در طرح آپا که توسط پژوهشکده امنیت ارتباطات و فناوری اطلاعات مرکز تحقیقات مخابرات ایران اجرا شده است فعالیتهای مرتبط با شناسایی تهدیدات رایانهای، رصد و کشف آسیبپذیریهای موجود در انواع فناوریهای اطلاعاتی و ارتباطی، رسیدگی و کمک به سازمانهای مختلف در هنگام بروز حوادث ناشی از حملات رایانهای و خدمات آگاهیرسانی عمومی مرتبط با این حوزه ارائه میشود.
7 دانشگاه اصلی کشور(صنعتی امیرکبیر، امامحسین(ع)، صنعتی اصفهان، صنعتی شریف، فردوسی مشهد، یزد و تربیتمدرس) در اجرای طرح آپا مشارکت داشته و با ایجاد آزمایشگاههای تخصصی خدمات لازم را ارائه میکنند.
آپا چیست؟
آپا، مخفف آگاهی رسانی، پشتیبانی و امداد است که در حوزه امنیت فضای تبادل اطلاعات خدمات مربوطه را ارائه میدهد.حوزه اصلی فعالیتهای آپا موضوع حوادث رایانهای است.
دریافت گزارش حوادث و آسیب پذیریها، رسیدگی به حوادث و آسیبپذیریها و ارائه توصیهها، هشدارهای امنیتی اخبار، آمار و نیز ارائه راهنماییها و مشاورههای مفید برای پاسخ به حوادث از جمله فعالیتهایی است که در حوزه آپا انجام میشود. لازم به ذکر است که مراکز مشابه در دنیا تحت عنوان CERT یا CSIRT فعالیت میکنند.
ماموریت آپا بیشتر جنبه پژوهشی– تخصصی در حوزه مدیریت پاسخ به حوادث دارد، مخاطبین آپا حوزه عمومی است و مراکز خاصی مد نظر نیستند.
از کاربران خانگی گرفته تا انواع سازمانهای دولتی و خصوصی میتوانند از نتایج فعالیتها، هشدارها، اخبار و توصیههای این مرکز استفاده کنند.
برای نمونه شما میتوانید در باره این موضوعات مشکلات خود را از طریق وب سایت ircert.cc با متخصصان آپا در میان گذاشته و راهکار دریافت کنید: آسیب پذیریهای امنیتی در محیطهای انواع سیستمهای رمزنگاری متداول در کشور، انواع نرمافزارهای کاربردی، انواع سرویسهای شبکهای، گزارشهای مرتبط با حوادث ناشی از تولید و انتشار انواع ویروسها، هرزنامهها و پیامهای ناخواسته الکترونیکی (اسپم) و آسیبپذیریهای امنیتی انواع محصولات شبکهای.
حمایت مرکز تحقیقات مخابرات
جزئیات بیشتر درباره ویژگیهای آپا را باید از زبان مسئولان طرح شنید. به گزارش همشهری، عباس ظریفکار، رئیس مرکز تحقیقات مخابرات ایران با اشاره به تاریخچه تاسیس مرکز و چارت آن گفت: فعالیتهای مرکز به 2 دسته تقسیم میشود یکی تحقیق روی طرحهایی که از سوی سازمانهای وابسته به وزارت ICT اعلام میشود و دیگری آن دسته از طرحها که سازمانهای دیگر اعلام نیاز خود را برای کمکهای تحقیقاتی به مرکز اعلام میدارند.
وی افزود: مجموع فعالیتهای انجام شده در زمینه آپا با همکاری 7دانشگاه بزرگ کشور صورت گرفته است. طرحهای آپا از مجموع طرحهایی است که مورد حمایت قرار گرفته است.
مجتبی جعفری، رئیس پژوهشکده امنیت ارتباطات و فناوری اطلاعات نیز با اشاره به ماهیت فضای تبادل اطلاعات گفت: فرایند امنسازی در وضعیتهای گوناگون شامل اقدامات قبل از حادثه، حین حادثه و بعد از حادثه که بیانکننده تامین، حفاظت، تداوم، تشخص امداد و ترمیم است، میشودو مراکز آپا در دیگر کشورها تنها مرکز امدادرسانی هستند اما در ایران قصد داریم نیروهای متخصص فعال در این مرکز را نیز آموزش داده و تامین کنیم زیرا بخش تحقیقات آپا، سنگ زیربنایی برای بخشهای اجرایی خواهد بود.
امنیت اطلاعات
اما محمد سلیمانی، وزیر ارتباطات و فناوری اطلاعات هم از فرصت استفاده کرده تا در مراسم راهاندازی آپا بگوید: از 90 سرویسی که دولت تصویب و ابلاغ کرده تا دستگاههای اجرایی بهصورت الکترونیکی در اختیار مردم بگذارند، 64سرویس عملیاتی شده که با تبلیغ و فرهنگسازی بهرهبرداری مفیدتر از آن امکانپذیر خواهد شد و مردم در عمل اثبات کردند حاضرند برای IT هزینه کنند، برای رسیدن به دولت الکترونیکی باید کاغذها را کنار گذاشت.
برای رسیدن به چنین دولتی نیازمند کار عملی هستیم که تاکنون بهطور جدی انجام نشده است. با استفاده از سرمایه عظیمی که در دانشگاهها موجود است میتوان به پیشبرد اهداف حوزه ICT امیدوار بود.
وی گفت: متخصصان در حوزه IT یعنی کسانی که بتوانند شبکهها را طراحی و پیادهسازی و امنیت آن را تامین کنند و در یک فضای مناسب با سرعتی خوب بر آن مدیریت داشته باشند، کم داریم.
دو پروژه دولتی موازی
همزمان با افتتاح آپا، خبرگزاری ایتنا گزارشی مخابره میکرد که در آن آمده بود: آپا در حالی راهاندازی میشود که حدود 2 ماه قبل،پروژه مشابهی از سوی شرکت فناوری اطلاعات با عنوان ماهر که مخفف «مرکز امداد و هماهنگی رایانهای» است به مرحله اجرا گذاشته شده بود.
در همین راستا شرکت فناوری اطلاعات با اعلام برگزاری مناقصهای درصدد کسب خدمات مشاور ایجاد این مرکز بوده و زمان پایانی دریافت اسناد این فراخوان تا هفدهم مهرماه بوده است.
هر چند بعدها خبر دیگری درخصوص مناقصه، نتایج و ادامه پروژه مورد نظر این شرکت منتشر نشد. ایتنا گلایه کرده بود: آنچه در میان این خبرها مهم است، نوعی موازیکاری(و گاه رقابت) است که به تدریج به رویهای ثابت بهویژه در میان دستگاههای اداری تبدیل شده و قاعدتا موجب اتلاف سرمایه و بودجه میشود و گاه با ایجاد سرگردانی، پیگیری پروژهها و نتایج احتمالی آنها(و موفقیت یا شکست آنها) را ناممکن میسازد و از سوی دیگر نشان از عدمنگاه مدیریتی کلان در عرصه فاوای کشورمان دارد.
البته توضیحات وزیر ارتباطات و فناوری اطلاعات در این خصوص تا حدی ابهامات موازیکاری را بر طرف میکند.
سلیمانی در این خصوص گفت: با توجه بهخصوصیسازی مخابرات قرار شده است بخشهای حاکمیتی مثل امنیت شبکههای مخابراتی و تامین امنیت، امدادرسانی، پشتیبانی آگاهی و اطلاعرسانی در اختیار دولت باقی بماند که در اساسنامه شرکت فناوری اطلاعات منظور و در کمیسیون دولت تصویب شد.
مرکز تحقیقات مخابرات ایران برنامههای تحقیقاتی امنیت حوزه IT را انجام میدهد و شرکت فناوری اطلاعات از تحقیقات انجامشده در امور اجرایی استفاده میکند.
همچنین مرکز امدادی را که شرکت IT راهاندازی میکند با عملکردی سریع مانند آتشنشانی به متقاضیان یاری خواهد رساند.
در هر صورت بهنظر میرسد با توجه به رعایت نشدن قانون کپی رایت در ایران، دستگاههای دولتی و مردم در ارتباط با به کارگیری فناوریهای اطلاعاتی مشکلات فراوانی داشته باشند.
هک و نفوذ برخی وب سایتهای دولتی، ویروسی شدن رایانهها و شبکههای مختلف و اختلالات امنیتی موجود، ضرورت راهاندازی یک مرکز رسمی امداد رایانهای را آشکار کرده بود.
با وجود این، این سؤال مطرح است که با توجه به وضعیت موجود آپا تا چه حد قادر خواهد بود مشکلات امنیتی موجود در فضای سایبر ایران را حل و فصل کند؟