از حادثه پلاسكو چه درسی در حوزه امنیت IT می شود گرفت؟

از حادثه پلاسكو چه درسی در حوزه امنیت IT می شود گرفت؟

پلاسکو حادثه ای بود که در تاریخ ایران ماندگار شد ، نه به خاطر بحث خاص بودن ساختمان بلکه به خاطر خاص بودن عاشقانی که جانشان را فدا کردند تا جان و مال مردم را نجات بدهند ، قبل از شروع نقد برای خانواده های عزیز این شهدا آرزوی صبر داریم ، اما در این بین مطالبی در خصوص اگرها و اما ها و درس هایی که می توان از این حادثه گرفت در اینترنت منتشر شده است که نه تنها فنی نیست بلکه به شدت دور از واقعیت و بی انصافانه است ، امروز می خواهیم در خصوص یک مطلب که چند ساعت پیش به دستم رسید صحبت کنم و آن را نقد کنم چون این مطلب در خصوص درسها و تجربیاتی است که ما می توانیم در خصوص امنیت IT از حادثه پلاسکو بدست بیاوریم بود ، متن کامل و بدون تحریف این مطلب به شرح زیر می باشد :

دليل اكثريت هجوم صاحبان كسب و كار ، خروج اسناد و كامپيوتر هاي موجود جهت حفظ اسناد حسابداريشان بود ، در حالي كه اگر اطلاعات اين افراد بر روي سامانه هاي ابري ذخيره ميشد نگراني براي از دست رفتن اطلاعات وجود نداشت ، همچنين در صورت استفاده صحيح از نظام بانكداري الكترونيك نگراني وجود اسناد تضميني يا مدت دار پرداختي نيز برطرف ميشد . سامانه هاي اعلام و اطفا در اين ساختمان ها و همينطور سامانه BMS وجود نداشته است ، در حالي كه اكثر مغازه داران نسبت به نصب دوربين هاي تحت شبكه اقدام مي نمايند. نكته جالب تر عدم وجود سامانه اطلاع رساني جمعي اتش نشانان و نبود سامانه اي براي رهگيري وضعيت حياتي و موقعيت مكاني اين افراد است به طوري كه حتي سرپرست تيمها و افراد مسئول شمارش دقيق افراد مفقود را ندارند ! به طوري كه جهت اعلام زنده بودن اتش نشانان از تلفن همراه خود استفاده كرده اند . امنيت اطلاعات و امنيت فيزيكي را جدي بگيريم.

اما نقد این مطلب که چرا ما نمی توانیم از این حادثه با این برداشت درس بگیریم


اولین بحث اینجاست که ما از چه چیزی می توانیم درس بگیریم ؟ طبیعتا از تجربه های که قبلا وجود داشته است و ما از این تجربیات واقعی استفاده نکرده ایم ، به نظر شخص من این مطلب را کسی نوشته است که صرفا دیدگاه آکادمیک در حوزه فناوری اطلاعات دارد و هیچگونه فرآیند واقع گرایانه در آن وجود ندارد که بتوانیم به درستی از آن درس بگیریم ، واقعیت یعنی چیزی که در دنیای واقعی در حال استفاده از آن هستیم ، شاید من و شما به عنوان یک شخص ITMAN برخی از داده های خودمان را آن هم نه داده های حساس را بر روی محیط Cloud Storage ای مثل One Drive یا …. قرار بدهیم اما واقعا انتظار دارید که یک تاجر و یا یک حسابدار که هیچ دیدی نسبت به اینگونه محیط ها ندارد اطلاعاتی که بعضا در کامپیوترها هم برای بحث مالیات ذخیره نمی شوند را اعتماد کرده و به محیط های ابری اینترنتی بسپارد ؟ ما جامعه مالیات گریزی داریم اصلا چنین انتظاری نمی توانیم داشته باشیم حتی اگر چنین انتظاری داشتیم نباید اطلاعاتمان را در محیط Cloud ای قرار بدهیم که در خارج از ایران است ، در ضمن ما زمانی می توانیم درس بگیریم که امکانات انجام چنین کاری را داشته باشیم ، اگر قرار باشد داده های محرمانه ما در محیط Cloud داخلی ذخیره شوند خوشحال می شویم یک نمونه محیط Cloud Storage ایرانی و داخلی قابل اعتماد دولتی به ما معرفی کنید که اعتماد کنیم و اسناد و مدارکمان را درون آنها قرار بدهیم. پس این خیلی غیرمنطقی است که با دیدن این موضوع به فکر استفاده از Cloud بیوفتیم !!! مخصوصا Cloud ای که وجود ندارد … این حرف از نظر بنده حداقل یک ایده آل نگری کاملا آکادمیک است و تنها در دروس دانشگاهی می تواند تدریس شود نه در محیط عملیاتی حداقل تا چندین سال آینده …

ما هنوز مجبور به استفاده از کاغذ و اسناد مکتوب هستیم ، اولین نکته اینکه تجار و بازرگانان ایرانی هنوز این فرهنگ را ندارند که کاغذ را به کلی کنار بگذاریم و از یک صفحه وب استفاده کنید و همین !!! نسل ها زمان می برد که این فرهنگ جا بیوفتند و از طرفی هنوز سیستم بانکداری الکترونیکی ایران در جایگاهی قرار ندارد که بتواند همه اسناد را بصورت غیر فیزیکی و دیجیتال دریافت و پردازش کند ، نمونه ساده تری بیان می کنیم ، آیا ما هنوز می توانیم از خانه خودمان چک صادر کنیم ؟ آیا ما هنوز می توانیم از خانه حساب بانکی باز کنیم ؟ سفته ؟ حساب جاری … شاید به ظاهر شدنی باشد اما هنوز وجود ندارد که ما بخواهیم از آنها به عنوان درس یاد کنیم پس این مورد هم هنوز جایگاهی حداقل در ایران ندارد که بخواهیم اینقدر شفاف و روراست در خصوص این موارد صحبت کنیم ، بله از دیدگاه آکادمیک و مدیریت فناوری اطلاعات که بسیاری از مواردی که گفته می شود صرفا جنبه خوب صحبت کردن دارد و جنبه عملیاتی شدن ندارد اینکار بسیار ایده آل است اما واقع گرایانه نیست …

دوست عزیزی که این مطلب رو نگارش کردند یا هیچ دیدگاهی نسبت به فرآیند های آتش نشانی ندارند یا اینکه از روی شایعات قضاوت و مطلب را نوشته اند ، به عنوان کسی که قسمتی از عمرم را در آتش نشانی سپری کرده ام به شما می گویم که اتفاقا سریعترین سامانه اطلاع رسانی جمعی برای خدمات امدادی و آتش نشانی تعبیه شده است و به محض بروز کوچکترین مشکل در سریعترین زمان ممکن و نزدیک ترین مکان ممکن سرویس های امداد رسانی بسته به میزان امکانات و داشته های خودشان به سرعت مطلع و وارد عمل می شوند اما اینکه از حادثه ای مطلع شویم و اینکه چه موقع به محل حادثه برسیم دیگر دست آتش نشانان نیست که بخواهیم تقصیر را به گردن سامانه اطلاع رسانی و نبود ان بیندازیم ، شما همین الان اگر بخواهید از این سمت تهران به سمت دیگر بروید اصلا نمی توانید زمانبندی دقیقی داشته باشید چه برسد که بخواهید با کامیون و جرثقیل و بالابر اینکار را انجام بدهید.

در خصوص وضعیت حیاتی و سامانه رهگیری و موقعیت یاب مکانی صحبت کردید ، دوست عزیز و گرامی حتی اگر چنین سامانه ای وجود داشته باشد در شرایط پلاسکو قابل استفاده نیست ، در شرایط محیطی متفاوت یعنی حوادثی که در کوه و جنگل رخ می دهد از تجهیزات GPS و موقعیت یاب استفاده می شود اما منطقی است که در یک محیط شهری موقعیت یابی بی مورد است !! GPS یا هر سیستم موقعیت یاب تنها می تواند حدود محل را به شما اطلاع بدهد آن هم اگر روی سطح زمین قرار داشته باشید ، به موبایل خودتان نگاه کنید یک GPS دارد ، کافیست زیر دو طبقه آپارتمان بروید دیگر به شما موقعیت را نشان نمی دهد چون الزام این محیط داشتن فضای باز است پس در عملیات پلاسکو که آواری از آهن و بتن بر سر شهدای آتش نشان ریخته است طبیعتا وجود چنین سامانه ای کاملا بی اثر بوده است !! اگر سامانه ای می شناسید که در زیر زمین هم می تواند فعالیت کند خوشحال می شویم که این سامانه را در ادامه معرفی کنید که البته این سامانه بایستی عملیاتی هم شده باشد نه اینکه در کتاب ها و روایت ها آمده باشد.

در خصوص ندانستن وضعیت نیروهای آتش نشانی باید به این عزیز اعلام کنیم که موقعیت پلاسکو موقتی یک نفر نبوده است ، موقعیت یک ایستگاه آتش نشانی نبوده است ، شاید در یک ایستگاه آتش نشانی ۱۰ نفر مامور بصورت شیفتی کار کنند اما بحث در خصوص ۲۰۰ و شاید بیشتر از این تعداد مامور آتش نشانی است که در حال انجام ماموریت به یکباره خودشان تبدیل به قربانی می شوند و این کاملا شوکه کننده است ، دوست عزیز ماموریت آتش نشانی وظیفه نجات جان و مال مردم را با جان فشانی و عشق دارند اما اینکه به یکباره خودشان درگیر و قربانی شوند شوکه کننده است ، طبیعی است که یک پدر وقتی فرزندانش را از دست می دهد نمی تواند تا لحظاتی متمرکز شود ، پس اینکه بخواهیم بگوییم که مامورین آتش نشانی آمار خودشان را هم نداشتند این تنها تا لحظاتی پس از حادثه درست بود اما بعد از آن کاملا به روال طبیعی و آمار واقعی تبدیل شد . همیشه قبل از اینکه در خصوص راه رفتن دیگران نظر بدهیم سعی کنیم کمی با کفش های آنها هم راه برویم. همانطور که یکی از شایعه پراکنان گفته بود که برای اینکه هلی کوپتر هزینه زیادی دارد از آن استفاده نشده است و کلی از مردم هم این شایعه را پخش کردند اما کمی که فکر کنیم متوجه می شویم که هلی کوپتر آب پاش برای محیط های باز و کوه و جنگل است و اگر در اطفاء حریق ساختمان پلاسکو استفاده شود خودش باعث اکسیژن رسانی بیشتر به آتش می شود.

دوست عزیز ما امنیت اطلاعات و ارتباطات را باید جدی بگیریم در این شکی نیست اما مثالهای شما اصلا درس خوبی برای حوزه امنیت اطلاعات نیست بیشتر بحث شما در خصوص مباحث HSE و ایمنی می شود که البته در خصوص ساختمانی با قدمت بیش از ۵۰ سال بدون داشتن بازنگری مهندسی صحبت می کنیم ، حرفهای شما شاید ایده آل باشد اما هنوز خیلی زود است در خصوص عملیاتی شدن آنها در ایران صحبت کنیم ، هر موقع خودتان اسناد و مدارک و چک و سفته و اسناد کاغذی به هیچ عنوان در هیچ جا نداشتید ، هر موقع تلفن همراه شما را دزدیدند و خیالتان راحت بود که اطلاعاتتان در محیط Cloud بارگزاری شده است می توانیم در خصوص حادثه پلاسکو هم نظر فنی بدهیم ، در این شکی نیست که امکانات ما در این خصوص محدود بوده است اما به هر حال قضاوت منصفانه و ابهام ایجاد نکردن در خصوص فعالیت آتش نشانان و مدیران آنها در حد و اندازه های ما نیست ، هر موقع توانستیم در موقعیت کسی باشیم می توانیم در خصوص نحوه عملکرد آنها نیز صحبت کنیم. با آرزوی سلامتی برای همه جان فشانان کشور …

نویسنده : محمد نصیری

مطالب مرتبط

دیدگاهی بنویسید.

بهتر است دیدگاه شما در ارتباط با همین مطلب باشد.