سمیناری دیگری با موضوع بررسی تهدیدات امنیتی و حملات سایبری در شبکه ها و سیستم های کنترل و اتوماسیون صنعتی، اسکادا، تله متری و دیسپاچینگ در یکی از استانهای کشور برگزار شد. در این سمینار از واحد آموزش شرکت امان دعوت شد تا آخرین تهدیدات امنیتی و آسیب پذیری های سیستم های کنترل صنعتی و اسکادا را بررسی نماید. مخاطبین این سمینار کلیه مدیران صنایع و سازمان های حساس و حیاتی یکی از استان های کشور بودند.
*** با عضویت در کانال تلگرام(MohammadMehdiAhmadian@)از مطالب بیشتر، فیلم ها و به روزرسانی ها مطلع شوید.***
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، روز سهشنبه ۴ آبان تمام کشور درگیر یک اختلال در سامانه هوشمند سوخت شدند. مراجعهکنندگان به جایگاههای سوخت با پیامهایی از قبیل «حمله سایبری» و شماره تلفن ۶۴۴۱۱ بر روی صفحه دیجیتال پمپها مواجه میشدند. این موضوع واکنشهای گوناگونی در میان مردم و کارشناسان امنیت سایبری داشت که همواره نگرانی و دغدغههای خود را بیان میکنند.
محمد مهدی احمدیان مشاور، مجری و مدرس حوزه امنیت سایبری سیستم های کنترل و اتوماسیون صنعتی در مصاحبه با افتانا میگوید:
متأسفانه کشور عزیزمان ایران از سال ۱۳۸۹-۱۳۸۸ به شکل جدی و علنی درگیر جنگهای سایبری از سوی کشورهای متخاصم شده است و در این سالها تجارب متعدد مواجهه با حملات سایبر-فیزیکی را در سازمانها و صنایع متعدد کشور داشتهایم.
روند این حملات در این سالها ادامه داشته و هر ساله شاهد حوادث متعددی در صنایع و سازمانها هستیم که در بسیاری از موارد با وجود زحمات مدیران و کارشناسان مربوطه، منشأ سایبری برای آنها شناسایی نمیشود. بر اساس بررسیهای کارشناسی و با استناد به بیانیههای مراجع ذیصلاح کشور، بسیاری از این حوادث منشأ سایبری ندارند. بااینوجود همانطور که برای ریشهیابی و تحلیل سقوط هواپیما جعبه سیاه در آن تعبیه شده، یکی از پیشنیازهای زیرساختی در سازمانها و صنایع، پیادهسازی و بهرهگیری از تجهیزات و رویههای ثبت، تحلیل و پایش رویدادهای امنیتی و عملکردی است تا بتوانیم در زمان وقوع حوادث و حملات سایبری یا سایبر-فیزیکی، فرایندهای جرمیابی سایبری (Forensic) را به شکل علمی و عملی انجام دهیم. متأسفانه علیرغم تلاشها و زحمات مسئولین محترم و کارشناسان زحمتکش، آنگونه که باید در زمینهی پیادهسازی مناسب و جامع این پیشنیازها موفق نبودهایم و لازم است با همت مضاعف این نقاط ضعف را تبدیل به نقطه قوت نماییم.
در حوزه امنیت سایبری هیچگاه نباید مغرور شویم
بر اساس تحلیلهای تخصصی حملات سایبری که ما در شرکت پیشگامان امنآرمان (امان) انجام میدهیم به این نتیجه رسیدیم که متأسفانه به دلیل تشدید مناقشات در منطقه، از بیستم اردیبهشت ۱۳۹۹، روند جنگهای سایبری علیه کشور وارد مرحله جدیدی شده است. از سال گذشته تاکنون این روند به شکل روزافزونی در حال افزایش است و همواره شاهد تلاشهای متعدد مهاجمین و نفوذگران برای ورود به شبکههای سازمانی و صنایع کشور هستیم. هدف برخی از این تلاشها دسترسی به اطلاعات دارای طبقهبندی سازمانها است و در مواردی دیگر متأسفانه شاهد تخریب یا خرابکاری سایبری در سامانهها هستیم.
در مورد حمله سایبری سهشنبه ۴ آبان که منجر به اختلال در سامانه هوشمند سوخت شد لازم میدانم در ابتدا به این نکته اشاره کنیم که قطعاً تلاشهای متعددی برای ارتقاء امنیت سایبر-فیزیکی شرکت ملی پخش فرآوردههای نفتی ایران و زیرمجموعههای آن انجام گرفته است اما آنچه به نظر میرسد وجود ضعف در بخشهایی از فرایندهای امنسازی است. قطعاً میدانیم که امنیت همچون زنجیری است که حتی اگر یکی از حلقههای آن ضعیف باشد، آن زنجیر بهسادگی ازهمگسیخته خواهد شد.
در مورد حمله مذکور، میدانیم که سامانههای هوشمند سوخت بنزین و دیزل یک شبکه بسیار وسیع و گسترده در سطح کشور است که تجهیزات متعدد و متنوعی را از جایگاههای سوخت تا مراکز داده و ستاد شرکت ملی پخش فرآوردههای نفتی ایران دارد. این سامانهها مدیریت، کنترل و نظارت بالغ بر چهار هزار جایگاه سوخت که شامل ۵۸ هزار نازل است را بر عهده دارند. همچنین این شبکه گسترده ارتباطات تنگاتنگی با مراکز تلفن جایگاههای سوخت، مناطق پخش، دفاتر خدمات کارت و مرکز مدیریت کارت دارد.
از سوی دیگر این شبکه ارتباطات دیگری را با سازمانهای دیگر نظیر بانکها و سامانه پلیس دارد. وجود این تجهیزات متنوع و متعدد و گستردگی جغرافیایی آن باعث میشود که اگر راهکارهای علمی، اصولی و عملی برای امنسازی اینگونه شبکهها طراحی، پیادهسازی و پایش نشود قطعاً با توجه به وضعیت بحرانی جنگهای سایبری در منطقه و جهان شاهد تکرار اینگونه حملات خواهیم بود. یکی از چالشهای مقوله امنسازی این نمونه شبکهها و سازمانها وجود تجهیزات خاصمنظوره نظیر دستگاههای کارتخوان سوخت، سامانههای میترینگ و تجهیزات دیگر مرتبط در جایگاههای سوخت است. در این نمونه شبکهها قطعاً باید بر اساس راهبردهای امنیتی نظیر دفاع در عمق، امنسازی لایهای بخشهای مختلف شبکه نظیر کارتهای سوخت، جایگاههای سوخت، مخازن، Poolerها، مراکز منطقهای و پخش، مراکز پشتیان و مراکز داده در نظر گرفته شود.
متأسفانه علیرغم زحمات بسیاری که مسئولین و متولیان امر در مقوله امنسازی سایبری اغلب سازمانها و صنایع کشور کشیدهاند، شاهد این هستیم که در برخی موارد فرایند امنسازی به شکل غیراصولی، غیرمنسجم و به شکل سلیقهای اجرا است. لازم به ذکر است که در آغاز، پروژه سامانه هوشمند سوخت با قدرت شروع شد و حمایتهای مناسبی از آن صورت گرفت اما بهمرور همانند پروژههای متعددی در کشور از این حمایتها کاسته شد و همین امر موجب کاهش توان امنیتی این شبکه شد.
میدانیم امنیت یک دانش است و طراحی تا اجرای فرایندهای آن نیاز به دانش فنی و تخصص دارد. از سویی دیگر باید همیشه در کنار حفظ و توسعه کسبوکار، امنیت آن را ارتقاء داد و بهروز نگه داشت چرا که بهعنوانمثال، سامانهای که ده سال پیش امن بوده است با توسعه فناوری و از رده خارج شدن برخی تجهیزات لزوماً دیگر امن نخواهد بود.
یکی از ابزارهای این دانش استانداردهای معتبر و الزامات امنیتی بالادستی است که توسط مراجع ذیصلاح توصیه یا ارائه میشوند. این استانداردها و بهروشها به ما کمک میکنند تا بتوانیم در قالب انجام فرایندهای مدیریت ریسک و ارزیابی امنیتی، مبتنی بر دانش روز دنیا طرحهای امنیتی را ارائه نماییم و بر اساس تجارب سازنده بینالمللی و داخلی راهکاری مناسب و مورد تائید نهادهای امنیتی کشور را اجرایی نماییم. یکی از اصول اولیه امنسازی اصولی سامانهها و شبکه انجام فرایندهای کمی و غیرسلیقهای است بهنحویکه بتوانیم امنیت را اندازهگیری نماییم و میزان موفقیت خود را در تحقق اهداف امنیت محاسبه نماییم. اگر قادر به اندازهگیری امنیت نباشیم قادر به بهبود آن نیز نخواهیم بود.
در امنیت باید کمّیسازی را جدی بگیریم
متأسفانه در حمله مذکور شاهد این بودیم که تمام اطلاعات ۵۸ هزار نازل جایگاههای سوخت که شامل ۴۴ هزار نازل بنزینی و ۱۴ هزار نازل دیزلی بود توسط مهاجمین از بین رفتند. به تعبیری دیگر در جایگاههای سوخت اطلاعات رایانههای صنعتی و کارتخوانهای سوخت بهطور کامل، همزمان و هماهنگ و بر اساس یک سناریو از پیش تعیینشده حذف شدند. همین مقوله باعث اختلال سراسری در ۴ هزار جایگاه سوخت در سراسر کشور شد و ارتباط جایگاههای سوخت با مراکز داده سامانه هوشمند سوخت قطع شد. در کنار این حمله گسترده، همزمان شاهد حملات سایبری جانبی دیگری به تابلوهای شهری بودیم.
این نوع حملات گسترده و چندجانبه برای اولین بار در دنیا نیست که اتفاق میافتد و نمونههای متعددی در خارج از کشور توسط تیم تخصصی تحلیل حملات سایبری شرکت پیشگامان امنآرمان (امان)، شناسایی، مورد بررسی و موشکافی قرار گرفته است. اگرچه اظهارنظر در مورد بردارهای حمله به سامانههای هوشمند سوخت و نقاط ورود مهاجمین به شبکه در حال حاضر ممکن نیست و نیاز است تا بررسیهای گروههای تخصصی فنی تکمیل گردد اما قاعدتاً تمامی سناریوهای نفوذ و اختلال در حال بررسی و تحلیل میباشد و نتایج آن توسط مراجع ذیصلاح کشور در صورت صلاحدید منتشر خواهد شد. با این وجود شاهد این هستیم که مهاجمین کاملاً با برنامه اقدام به طرحریزی و اجرای این حمله نمودند و اشراف اطلاعاتی مناسبی از زیرساختهای مورد نفوذ داشتند.
اظهارنظر در مورد منشأ حملات سایبری کار سادهای نیست
بر اساس تجارب ما در حملات مشابه، در این سبک از حملات، مهاجمین تلاش میکنند ضمن آسیب زدن به سامانههای هدف، جهت گسترش تبعات حمله و افزایش خسارات، به نحوی عمل نمایند که فرایند مقابله با بحران و بازیابی بعد از حادثه با کندی روبهرو شود. در این حمله شاهد این بودیم که میزان تخریب و نحوهی پاک کردن اطلاعات و اختلال در شبکه به نحوی بود که نیاز شد برای بازیابی جایگاهها و ارائه خدمت به مردم در حوزه سوخترسانی، کارشناسان شرکت ملی پخش فرآوردههای نفتی به تکبهتک جایگاههای سوخت مراجعه حضوری نمایند و هر نازل و رایانه صنعتی را با اختصاص زمان قابلتوجه به شکل محلی مجدد برنامهریزی نمایند، همین امر باعث شد که فرایند بازیابی حمله بهسرعت امکانپذیر نباشد و اختلال در شبکه نیز مزید بر علت شود.
این نوع اختلال که یک سازمان را با این مشکل روبهرو میکند که لازم باشد کارشناسان خود را در ابعاد وسیع جغرافیایی بهتمامی نقاط موردحمله اعزام نمایند تا بتوانند فرایند بازیابی را به شکل دستی و محلی انجام دهند در حملات سایبری دیگر نیز خاموشی سراسری غرب اوکراین در سال ۲۰۱۵ (در حوزه توزیع و فوق توزیع برق) دیده شده بود. اگرچه در حمله اخیر، مسئولین امر در بازیابی سامانههای مورد حمله، نمره عالی نمیگیرند اما قطعا تلاشهای ارزشمند شبانهروزی آنها باعث شد که به نسبت وسعت گسترده سامانههای مورد حمله، در زمان خوبی فرایند ارائه سرویس از سرگرفته شود و جایگاههای سوخت به تدریج به روال عادی بازگردند. میتوانیم از این تجارت و حملات گذشته درس بگیریم و با همکاری با متخصصین امر، رویههای پیشگیری از حملات، مقابله با حملات و اقدامات بازیابی پس از حادثه را به شکل مناسب پیادهسازی نماییم تا در این زمانها کمتر غافلگیر شویم. طرحهای تابآوری سایبری یا تداوم کسب و کار برهمین اساس تدوین میشوند و کمک مینمایند تا در بدترین حالت فرضی که مهاجمین بیشترین خسارات را وارد مینمایند نیز بتوان به فرایند کسب و کار سازمان تداوم بخشید.
همانطور که بیان شد در یک سال گذشته شاهد حملات متعددی به سازمانها و صنایع کشور بودیم و به نظر میرسد علیرغم زحمات مسئولین مربوطه آنگونه که باید مقوله امنیت سایبری در سازمانهای و صنایع کشور جدی گرفته نشده است. یکی از چالشهای دیگر ما در کشور این است که برخی پروژههای با حمایت خوبی شروع میشوند و مسائل امنیتی در ابتدای امر دیده میشود اما بهمرور، از توجه به امنیت کاسته میشود، این مهم فراموش میشود یا توسعه متوازن در همه بخشها به فراموشی سپرده میشود. ما معتقدیم که حل بحرانهای مرتبط با حملات سایبری به زیرساختهای حیاتی و حساس نظیر شرکت پخش فرآوردههای نفتی با راهکارهای علمی، اصولی و عملی، همراه با اتحاد و همدلی همه بازیگران فعال در امنیت سایبری کشور ممکن است و در این موارد صرفاً به دنبال مقصر گشتن راهگشا نخواهد بود.
استانداردها، بهروشها، تجارب ملی و بینالمللی میتوانند راهگشا باشد تا در قالب انجام فرایندهای مدیریت ریسک و ارزیابی امنیتی، مبتنی بر دانش روز دنیا طرحهای امنیتی را ارائه نماییم و بر اساس تجارب سازنده راهکاری مناسب و مورد تائید نهادهای امنیتی کشور را اجرایی نماییم. البته که وحدت رویه بین نهادهای امنیتی و مشخص بودن نهاد مرجع در هر حوزه، از ضرورتهایی است که علیرغم تلاشهای فراوان، متأسفانه به شکل مطلوب در کشور اجرایی نشده است. متأسفانه در پی این حمله شاهد بروز علنی اختلافات بین برخی مسئولین محترم و نهادیهای بالادستی بودیم که در فضای عمومی تأثیر مثبتی ندارد و راهگشا نیست. به نظر ضروری است طی یک توافق ملی تنها یک نهاد حاکمیتی اجازه اظهار نظر در خصوص حادثه سایبری و جزئیات آن داشته باشد تا افکار عمومی دچار ابهام و سردرگمی نشود.
اگرچه در حمله اخیر، مسئولین امر در بازیابی سامانههای مورد حمله، نمره عالی نمیگیرند اما قطعا تلاشهای ارزشمند شبانهروزی آنها باعث شد که به نسبت وسعت گسترده سامانههای مورد حمله، در زمان خوبی فرایند ارائه سرویس از سرگرفته شود و جایگاههای سوخت به تدریج به روال عادی بازگردند. بر خود واجب میدانم که به این نکته نیز اشاره کنم که در این نمونه حملات، چنانچه به مردم و سرمایههای مردمی آسیب رسیده است لازم است مسئولین مربوطه ضمن پذیرش کاستیها از مردم فهیم ایران عذرخواهی نمایند؛ بهطور خاص در این حمله شاهد این بودیم که مقام محترم ذیربط، از مردم عذرخواهی نمودند. امیدواریم این رفتار پسندیده بهعنوان یک اقدام ارزشمند در نظر گرفته شود و فرهنگ عذرخواهی، بیشازپیش، به یک فرهنگ سازمانی در کشور تبدیل شود و همیشه به درک عمیق و دقت نظر مردم عزیزمان که سرمایه اصلی کشور هستند احترام بگذاریم. در نهایت لازم میدانیم توصیه نماییم که در حوزه راهکارهای بازیابی شبکه و سامانهها، نهایت دقت و اصول فنی امنیتی را در بالاترین سطح ممکن در نظر بگیریم تا مشابه تجارب برخی حملات در دنیا، مجدد این شبکه مورد حمله سایبری قرار نگیرد. همچنین سایر سازمانها و صنایع کشور بهویژه در حوزه برق، آب، گاز و غیره نیز (علیرغم همه اقدامات ارزشمندی که تاکنون داشتهاند) لازم است بیشازپیش به مقوله امنیت سایبری توجه نمایند تا به سرمایههای ملی و مردمی کمتر آسیب رسد.
(جهت دانلود فایل pdf این مصاحبه اینجا کلیک نمایید)
*** با عضویت در کانال تلگرام(MohammadMehdiAhmadian@)از مطالب بیشتر، فیلم ها و به روزرسانی ها مطلع شوید.***
شرکت پیشگامان امن آرمان (امان) از نیروهای مستعد، متعهد و با انگیزه جهت تکمیل تیم تخصصی خود در حوزه امنیت سایبری سامانههای کنترل و اتوماسیون صنعتی دعوت به همکاری مینماید.
ردیف های شغلی: ۱- کارشناس ارزیابی و مدیریت ریسک ۲- پژوهشگر امنیت سایبری سامانه های کنترل و اتوماسیون صنعتی ۳-کارشناس امنیت
جزئیات بیشتر در پوستر
متقاضیان میتوانند رزومه خود را به آدرس info(at)AmanSec.irارسال نمایند.
شرکت پیشگامان امن آرمان یک شرکت فناور است که هدف آن ارائه خدمات و محصولات بسیار باکیفیت در حوزههای امنیت سایبری فناوریهای عملیات (OT)، ارتباطات و اطلاعات (ICT) با تمرکز ویژه بر روی امنیت سامانههای کنترل و اتوماسیون صنعتی است. جهت آشنایی بیشتر با امان یا شرایط شغلی به وبسایت شرکت به نشانی مراجعه نمایید.
استخدام متخصص امنیت سیستم های کنترل و اتوماسیون صنعتی
به نقل از پایگاه خبری وزارت نیرو، پایگاه خبری توانیر و نیرو نیوز در سالهای اخیر با گسترش فناوری شاهد توسعه و بهکارگیری فراگیر انواع سیستم های سایبر-فیزیکیدر حوزه انرژی بودهایم. این سیستمها امروزه از جوانب مختلف تأثیرات ویژهای بر زندگی روزانه ما میگذارند و این روند به شکل روزافزون در حال گسترش است؛ بهعنوانمثال میتوان شبکههای تولید، توزیع و انتقال برق، سیستم های انتقال و تصفیه آب، شبکههای توزیع و انتقال نفت و گاز را نمونههایی از این سیستم ها قلمداد کرد. از آنجایی سیستم های کنترل صنعتی بهعنوان یک نوع از این سیستمها به شکل گسترده در زیرساختهای حیاتی کشورها مورداستفاده قرار میگیرد، انتظار میرود مقوله امن سازی سایبری در آنها بسیار جدی گرفته شود.
امنسازی سایبری سیستمهای کنترل صنعتی و اسکادا
امنیت سایبری حوزه انرژی در زیرساختهای حیاتی کشور بسیار اهمیت دارد و ضامن پایداری و تابآوری شبکه برق، آب، گاز و غیره میباشد و حتی در شرایط همهگیری ویروس کووید ۱۹ نیز از اهمیت آن کاسته نمیشود. ازاینرو،مرکز توسعه فناوری امنیت اطلاعات، ارتباطات و تجهیزات صنعت برق (پژوهشگاه نیرو) سمینار آموزشی تخصصی با موضوع « تهدیدات سایبری در سیستم های اسکادا و کنترل صنعتی حوزه انرژی » را به دعوت شورای مدیریت بحران و پدافند غیرعامل استان یزد و به شکل حضوری به میزبانی شرکت برق منطقهای یزد در این استان برگزار نمود. در این نشست که در سالن اجلاس معاونت بهرهبرداری شرکت برق منطقهای یزد در تاریخ دوم مهرماه ۱۳۹۹ برگزار گردید، مقامات عالی رتبه شورای مدیریت بحران و پدافند غیرعامل استان یزد، شرکت برق منطقه ای یزد، شرکت تولید نیروی برق یزد، شرکت مدیریت تولید برق یزد، شرکت توزیع نیروی برق استان یزد، شرکت آب و فاضلاب یزد، شرکت آب منطقه ای یزد، شرکت ملی پخش فرآورده های نفتی یزد، شرکت گاز استان یزد و سایر شرکت ها و نهادهای مرتبط حضور داشتند. در این سخنرانی، آقای محمدمهدی احمدیان بعد از بیان اهمیت امنیت سیستم های کنترل و اتوماسیون صنعتی در حوزه انرژی، نمونه چالشها و تهدیدات امنیتی مطرح در حوزه صنایع حوزه انرژی کشور را بیان کردند و در انتها برخی حملات شاخص این حوزه را مورد تشریح قرار دادند. در انتهای این سمینار حاضرین به طرح پرسش و پاسخ و روشهای حل چالشهای پیشآمده در دوران پساکرونا پرداختند.Continue reading →
به نقل از روابط عمومی پژوهشگاه نیرو،امنیت سایبری حوزه توزیع برق بسیار اهمیت دارد و ضامن پایداری و تابآوری شبکه برق کشور میباشد.ازاینرو،مرکز توسعه فناوری امنیت اطلاعات، ارتباطات و تجهیزات صنعت برق (پژوهشگاه نیرو) وبینار آگاهی بخشی تخصصی با موضوع « امنیت سایبری شبکههای کنترل و اتوماسیون صنعتی در شرکتهای توزیع نیروی برق » را با همکاری کارگروه تخصصی امنیت فضای تولید و تبـادل اطلاعـات توزیـع صنعت برق شکل آنلاین برگزار نمود. این سمینار با حضور همکاران محترم صنعت برق از شرکتهای توزیع برق و با تدریس محمدمهدی احمدیان، در تاریخ ۱۹ بهمنماه ۱۳۹۹ برگزار شد.
در ادامه لیست برخی سمینارها و دورههای امنیت سایبری ویژه حوزه صنعت آب و برق تقدیم میگردد که برای دریافت پروپوزال هر یک از آنها و اطلاع از جزئیات کمی و کیفی آنها میتوانید از طریق این لینک با تلفن این مرکز به شماره ۸۸۰۷۹۳۸۸ (۰۲۱) تماس حاصل فرمایید.
وبینار امنیت سایبری شبکه های کنترل صنعتی و اتوماسیون
کتاب هنر امنیت؛ ۱۰۰ آموزه از امنیت سایبری نوشته محمد مهدی احمدیان و زیر نظر دکتر علیرضا صالحی در قالب کتاب های شبآوا منتشر شد. در این مجموعه کتاب های متعددی قرار دارد از جمله :
امنیت اطلاعات در شبکه های صنعتی
کتاب «امنیت اطلاعات در شبکههای صنعتی» بهعنوان نخستین کتاب منتشر شده به فارسی در حوزه امنیت سیستم های کنترل و اتوماسیون صنعتی در کشور است که در سال ۱۳۹۵ توسط نشر سایبان و جناب آقای دکتر صالحی منتشر شده است و در ده فصل به تشریح مبانی شبکههای صنعتی و ارتباط آن را با امنیت سایبری میپردازد. شبکه صنعتی چه تفاوتی با شبکه های سازمانی دارد؟ امنیت در این شبکه ها چگونه تعریف می شود؟ شبکه اتوماسیون و کنترل صنعتی را چگونه باید امن کنیم؟ آیا اقدامات خرابکارانه در حیطه امنیت سایبری شبکه صنعتی می گنجند؟ دفاع سایبری در شبکه صنعتی چگونه انجام می شود و ده ها موضوع دیگر را می توانید در اولین کتاب فارسی در این زمینه مطالعه نمایید.
کتاب هنر امنیت؛ ۱۰۰ آموزه از امنیت سایبری:
این کتاب در بردارنده جملات قصار و آموزه های کوتاه سایبری است و در این مطلب به معرفی آن پرداخته شده است.هدف این کتاب این است که امنیت سایبری را در سایه توجه به نکاتی ظریف و گاه نهچندان پیچیده جدی بگیریم و مواظب تاریکیها باشیم. باور کنیم بهایی که در سازمان و یا زندگی شخصی برای امنیت سایبری میپردازیم یک سرمایهگذاری ارزشمند است نه یک هزینه. محمدمهدی احمدیان آموزههای امنیت سایبری را با تصاویری مرتبط درهمآمیخته است که این موضوع به جذابیت و درک آسان مطالب آن کمک بسیاری کرده است و بهگفته گردآورنده اثر در پیشگفتار تمثیل کمک میکنند که حتی بتوان پیچیدهترین مسائل علمی را به زبانی که برای عموم قابل فهم باشد، منتقل کرد و به این سخن آلبرت اینشتین استناد میکند که «تمثیل یکی از را ههای آموزش نیست؛ بلکه تنها راه آموزش است.». این کتاب به صورت دوزبانه فارسی-انگلیسی و تمام رنگی و با رعایت قواعد کپیرایت بینالمللی و برای اولین بار در دنیا منتشر شده است. علاقهمندان میتوانند نسخه الکترونیکی کتاب را به رایگان از وبسایت ناشر،گیسوم، طاقچه، ResearchGate دانلود و مطالعه نمایند.
شما مخاطب گرامی میتوانید با انتشار یا معرفی کتاب به دیگران، در این نذر فرهنگی سهیم باشید.
بخشی از پیشگفتار کتاب:
در این چند سال که خداوند این توفیق را نصیب این حقیر کرد که در حوزهی امنیت اطلاعات فعالیت کنم، یکی از چالشهایی که در تدوین گزارشهای، ارائههای علمی و سخنرانیها با آن روبهرو بودم، کمبود جملات قصار در حوزهی امنیت اطلاعات بوده است. جملات قصار و آموزههای ساده، اما پرمغز این کمک را به گوینده میکند که در حداقل کلام، بیشترین مفهوم را منتقل کند؛ عموماً این آموزهها از تمثیل بهرهی فراوان میبرند و به قول آلبرت اینشتین: «تمثیل یکی از راههای آموزش نیست؛ بلکه تنها راه آموزش است»؛ تمثیل کمک میکنند که حتی بتوان پیچیدهترین مسائل علمی را به زبانی که برای عموم قابلفهم باشد، منتقل کرد.
چه زیبا دکتر علی شریعتی میگوید: «گفتن اندیشههای این وآن اندیشه نیست؛ بهترین اندیشهها یکلحظه اندیشیدن است»؛ ازاینرو بر آن شدم ضمن گردآوری اندک جملات بزرگان و مشاهیر حوزهی امنیت اطلاعات، با بضاعت اندک خود، بیندیشم و اندیشههای ذهنیام را تبدیل به آموزهها و جملات یا عباراتی کوتاه کنم. بالغبر شش سال که در محضر برخی اساتید فرهیختهی دانشگاه صنعتی امیرکبیر (پلیتکنیک تهران)- دکتر مهدی شجری، دکتر مهران سلیمان فلاح، دکتر بابک صادقیان، دکتر حمیدرضا شهریاری، دکتر سیاوش خرسندی و دکتر احمد افشار – مشغول کسب دانش و تجربه هستم و آنچه در این کتاب به قلم خود نوشتهام، نه بهمعنای جسارت در حضور بزرگان و اساتید این حوزه، بلکه بهمعنی درس پس دادن نزد این بزرگواران و ادامه دادن راه اساتید و متخصصان این حوزه بهعنوان پژوهشگر امنیت اطلاعات است.
برخی از جملات این کتاب را با اندیشیدن در طبیعت و با الگوبرداری از موجودات زنده و سازوکارهای طبیعی آنها اقتباس کردهام؛ طبیعتی بکر که بخشی از جهان عظیم آفرینش است و معتقدم میتوانیم از زوایای مختلف به آن بنگریم. این نگرش و تفکر میتواند از دید فیزیکدان، شیمیدان، منجم، زیستشناس، شاعر، فیلسوف، ریاضیدان و هر متخصصی در هر حوزهای، ازجمله امنیت اطلاعات صورت گیرد. در این کتاب سعی کردهام با دیدی متفاوت و از زاویهای دیگر، بهعنوان پژوهشگر حوزهی امنیت اطلاعات، به این پدیدهها بنگرم. این نگرش، ضمن اینکه میتواند الگوهای جالبی را برای طراحی و پیادهسازی راهحلهای امنیتی به همراه داشته باشد، توان این را نیز دارد که معجزههای طبیعت را نیز از زاویهای دیگر به تصویر بکشد.
این کتاب در قالب نه بخش تهیه شده است و در هر بخش جملاتی قصار یا آموزههایی کوتاه مرتبط با عنوان بخش تألیف یا گردآوری شدهاند. با توجه به نیاز به ارتباط تنگاتنگ میان برخی معادلهای فارسی در حوزهی امنیت اطلاعات با واژگان زبان اصلی آنها، جملات این کتاب به دو زبان فارسی و انگلیسی نوشته شدهاند تا مفهوم جملات به شکل مطلوبتر مشخص شود. ادعایی نیست که این اثر عاری از نقص باشد، پیشاپیش همهی قصورات و کاستیهای آن را میپذیرم و انتقادات و پیشنهادهای دلسوزانهی شما را با آغوشی باز و باافتخار پذیرا هستم.
توضیحات ناشر محترم:
کتاب «هنر امنیت؛ ۱۰۰ آموزه از امنیت سایبری» تالیف محمدمهدی احمدیان و زیر نظر دکتر علیرضا صالحی
در بخش نخست کتاب ضمن بیان الگوهای امنیتی و طراحی امن، تاکید میکند که امنیت نیاز به بزرگی ندارد و پیچیدگی دشمن امنیت است. بخش دوم با نکتهها و توصیههای امنیتی همراه است. در امنسازی در حوزه سازمان، مدیریت و کارکنان به مرز باریک میان توهم و تحقق امنیت میپردازد. در بخش بدافزارها و ضدبدافزارها به این موضوع اشاره میکند که ویرو سها تهدیدی برای حیات بشر هستند و در بخشهای بعدی ضمن بررسی تهدیدات امنیتی و جنگ سایبری از اشتباهات و چالشهای امنیتی سخن میگوید و به تعریف هکرها و مهاجمان میپردازد.
هدف این کتاب این است که امنیت سایبری را در سایه توجه به نکاتی ظریف و گاه نهچندان پیچیده جدی بگیریم و مواظب تاریکیها باشیم. باور کنیم بهایی که در سازمان و یا زندگی شخصی برای امنیت سایبری میپردازیم یک سرمایهگذاری ارزشمند است نه یک هزینه.
محمدمهدی احمدیان آموزههای امنیت سایبری را با تصاویری مرتبط درهمآمیخته است که این موضوع به جذابیت و درک آسان مطالب آن کمک بسیاری کرده است و بهگفته گردآورنده اثر در پیشگفتار تمثیل کمک میکنند که حتی بتوان پیچیدهترین مسائل علمی را به زبانی که برای عموم قابل فهم باشد، منتقل کرد و به این سخن آلبرت اینشتین استناد میکند که «تمثیل یکی از را ههای آموزش نیست؛ بلکه تنها راه آموزش است.».
این کتاب به صورت دوزبانه فارسی-انگلیسی و تمام رنگی منتشر شده است.
*** با عضویت در کانال تلگرام(MohammadMehdiAhmadian@) از مطالب بیشتر، فیلم ها و به روزرسانی ها مطلع شوید.***
*** با دنبال کردن کانال اینستاگرام( mmAhmadian@) از مطالب تصویری و ویدئویی و به روزرسانی ها مطلع شوید.***
*** با دنبال کردن کانال آپارات( mmAhmadian@) از ویدئوهای آموزشی و اطلاع رسانی ما مطلع شوید.***
نشت داده ها و راههای جلوگیری از آن :
نشت دادهها، مشکل جدی امروز همه سازمانها و شرکتها در همه جای دنیاست. آنچه در این کتاب میخوانید، توصیف موضوع نشت دادهها از دیدگاه تجاری، قانونی و فنی است. چالشهای که نشت داده در کسبوکار پدید میآورد، مشکلات حقوقی و قانونی که شرکتها با آن درگیر میشوند و جنبههای مختلف فنی برای مقابله با نشت دادهها. این کتاب که نخستین کتاب به زبان فارسی در این زمینه است در هفت فصل تدوین شده که در هر فصل، موضوع نشت داده از منظری خاص مورد بررسی قرارگرفته است.
ساده سازی مدیریت امنیت اطلاعات برای کسب و کارهای کوچک :
با هدف راهنمایی فعالان کسبوکارهای کوچک و متوسط در افزایش امنیت اطلاعات کاری منتشر شد. این کتاب حاوی نکات و راهنماییهایی مفید و ساده بوده و قصد دارد که به مخاطب یاری برساند تا اطمینان لازم را از امن بودن دادههای شرکت خود بهدستآورد و درنتیجه کمتر با مشکلات قانونی یا حیثیتی مواجه شود.
راهاندازی مرکز عملیات امنیت SOC با بودجه محدود :
کتاب راهاندازی مرکز عملیات امنیت SOC با بودجه محدود به کوشش شرکت آلین والت نگارش یافتهاست و با ترجمه مهندس شهرام آبابایی و مقدمه دکتر علیرضا صالحی در شمارگان ۲۰۰۰ نسخه برای نخستینبار توسط نشر سایبان وابسته به هلدینگ رسانهای دیدهبان به قیمت ۱۴ هزار تومان منتشر شدهاست.
کتاب «هنر امنیت؛ ۱۰۰ آموزه از امنیت سایبری» تالیف محمدمهدی احمدیان توسط نشر سایبان انتشار یافت.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کتاب «هنر امنیت» توسط محمدمهدی احمدیان، کاندیدای دکتری تخصصی امنیت اطلاعات از دانشگاه صنعتی امیرکبیر تهران تألیف و گردآوری و زیر نظر دکتر علیرضا صالحی در هلدینگ رسانهای دیدهبان منتشر شدهاست.
در بخش نخست کتاب ضمن بیان الگوهای امنیتی و طراحی امن، تاکید میکند که امنیت نیاز به بزرگی ندارد و پیچیدگی دشمن امنیت است. بخش دوم با نکتهها و توصیههای امنیتی همراه است. در امنسازی در حوزه سازمان، مدیریت و کارکنان به مرز باریک میان توهم و تحقق امنیت میپردازد. در بخش بدافزارها و ضدبدافزارها به این موضوع اشاره میکند که ویرو سها تهدیدی برای حیات بشر هستند و در بخشهای بعدی ضمن بررسی تهدیدات امنیتی و جنگ سایبری از اشتباهات و چالشهای امنیتی سخن میگوید و به تعریف هکرها و مهاجمان میپردازد.
هدف این کتاب این است که امنیت سایبری را در سایه توجه به نکاتی ظریف و گاه نهچندان پیچیده جدی بگیریم و مواظب تاریکیها باشیم. باور کنیم بهایی که در سازمان و یا زندگی شخصی برای امنیت سایبری میپردازیم یک سرمایهگذاری ارزشمند است نه یک هزینه.
محمدمهدی احمدیان آموزههای امنیت سایبری را با تصاویری مرتبط درهمآمیخته است که این موضوع به جذابیت و درک آسان مطالب آن کمک بسیاری کرده است و بهگفته گردآورنده اثر در پیشگفتار تمثیل کمک میکنند که حتی بتوان پیچیدهترین مسائل علمی را به زبانی که برای عموم قابل فهم باشد، منتقل کرد و به این سخن آلبرت اینشتین استناد میکند که «تمثیل یکی از راههای آموزش نیست؛ بلکه تنها راه آموزش است».
این کتاب به صورت دوزبانه فارسی-انگلیسی و تمام رنگی و با رعایت قواعد کپیرایت بینالمللی منتشر شده است. کتاب «هنر امنیت؛ ۱۰۰ آموزه از امنیت سایبری» با بهای ۶۵هزار برای نسخه کاغذی انتشار یافته، اما علاقهمندان میتوانند نسخه الکترونیکی کتاب را به رایگان از وبسایت انتشارات سایبان دانلود و مطالعه کنند.
مطالب مرتبط:
📽کلیپ کوتاه از دورههای آموزشی تئوری-عملی امنیت سایبری سیستمهای کنترل و اتوماسیون صنعتی
لیست دوره های آموزشی امنیت سایبری سامانه های کنترل و اتوماسیون صنعتی
برگزاری آموزش تخصصی ۶۴ ساعته نظری و عملی «امنیت سایبری سیستمهای کنترل و اتوماسیون صنعتی و اسکادای صنعت برق و راهکارهای ارتقاء آن (با تمرکز بر شرکت مدیریت شبکه برق ایران)
گزارش برگزاری دوره آموزشی تخصصی سهروزه نظری و عملی امنیت سایبری سیستمهای صنعتی نیروگاههای حرارتی، برق-آبی و منابع آب و راهکارهای ارتقاء آن
گزارش برگزاری دوره آموزشی امنیت سایبری تجهیزات و شبکههای صنعتی حوزه شرکتهای برق منطقهای
گزارش برگزاری سمینار «تجزیه و تحلیل حملات سایبری و سناریوهای نفوذ به صنعت برق» در سی و چهارمین کنفرانس بینالمللی برق
کارگاه تجزیه و تحلیل حملات سایبری و سناریوهای نفوذ به صنعت برق: نکتهها و آموزهها(کنفرانس بین المللی رمز – دانشگاه فردوسی مشهد)
کارگاه کالبدشکافی حملات سایبری به صنعت برق و پیاده سازی عملی حملات پایه به شبکه اتوماسیون توزیع(کنفرانس ملی شبکه های توزیع برق -دانشگاه لرستان)
نشست طرح مسئله امنیت اتوماسیون صنعتی و اینترنت اشیاء
برگزاری دوره آموزشی تخصصی امنیت سایبری سامانههای کنترل و اتوماسیون صنعتی صنعت برق و راهکارهای ارتقاء آن (با تمرکز بر حوزههای توزیع و انتقال)
گزارش بررسی حادثه قطع برق سراسری ونزوئلا، حمله سایبری یا خرابکاری صنعتی
ارزیابی امنیتی و تست نفوذ شبکه های کنترل صنعتی
ارائه آموزشی حمله به سیستم های کنترل صنعتی (حملات کنترل صنعتی، از حرف تا عمل)
دوره آموزشی پدافندغیرعامل و امنیت سایبری در سیستم های کنترل و اتوماسیون صنعتی (محتوای ۱۶ ساعته)
سخنرانی چالش های امنیتی در سامانه های سایبر-فیزیکی (با محوریت تحلیل جریان اطلاعات در خطوط لوله نفت و گاز)
معیارهای گزینش دورههای پیشرفته امنیت کنترل و اتوماسیون صنعتی درکشور
دوره های آموزشی امن سازی سیستم های کنترل صنعتی در سطح پیشرفته
کارگاه آموزشی امنیت اطلاعات در سامانههای کنترل صنعتی(کنفرانس انجمن کامپیوتر ۹۶)
کارگاه آموزشی امنیت اطلاعات در سامانههای کنترل صنعتی : چالشها و راهکارها(کنفرانس رمز ۹۶)
راهکارهای امنیت سایبری سامانه های کنترل صنعتی در جهان و تطبیق آن با وضعیت ایران
دوره آموزشی امنیت سایبری در سامانه های صنعتی
انتشار کتاب پروتکل کنترل صنعتی IEC 60870-5-104 از منظر امنیت سایبری
طبق قولی که در وبینار اخیر امن سازی سیستمهای کنترل و اتوماسیون صنعتی با محوریت چالشهای پروتکل IEC 60870-5-104 داده بودم و با توجه به پیگیری برخی بزرگواران، فایل فاقد طبقه بندی این ارائه جهت استفاده همه مخاطبین گرامی از طریق این لینک در اختیار قرار می گیرد. امیدوارم که مفید باشد، التماس دعا