نبود ضمانت اجرایی قوانین، بزرگ‌ترین چالش امنیت سایبری است

روزنامه ایران چهارشنبه پنجم خرداد در گفت‌وگو با ابوالقاسم صادقی، معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات، به بررسی کارکرد مرکز تخصصی آموزش مجازی امنیت فضای تولید و تبادل اطلاعات (امنیت سایبری) پرداخته است: به‌تازگی سازمان فناوری اطلاعات ایران (securitylms.cert.ir)، مرکز تخصصی آموزش مجازی امنیت فضای تولید و تبادل اطلاعات (امنیت سایبری) را برای آموزش حوزه امنیت سایبری دستگاه‌ها و سازمان‌های دولتی و عمومی رونمایی کرد. به مناسبت آغاز به کار این مرکز، با ابوالقاسم صادقی، معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات، گفت و گو کرده‌ایم که می‌خوانید.

این مرکز با چه هدفی آغاز به کار کرده است و مخاطبان آن را چه کسانی تشکیل می‌دهند؟

هدف اصلی، تأمین محتوای با کیفیت و برگزاری کارگاه‌های آموزشی برای افزایش دانش، مهارت و توانمندی کارکنان دولت و بخش خصوصی در حوزه امنیت فضای تولید و تبادل اطلاعات است و به نوعی مخاطبان آن را کارشناسان دستگاه‌های دولتی تشکیل می‌دهند.

آیا برای اولین بار است که سازمان فناوری اطلاعات اقدام به برگزاری چنین کلاس‌های آموزشی کرده است؟

خیر. در دو سال و نیم گذشته بیش از ۳۰۰ هزار نفر ساعت آموزش امنیت سایبری در کشور برگزار کرده‌ایم که صد درصد این آمار با همکاری دانشگاهی و شبکه‌های سازمان فناوری اطلاعات در استان‌ها بوده و بالای ۶۰ درصد از این آمار مربوط به سازمان‌ها و دستگاه‌های دولتی است.

آیا شرایط کرونا سبب شده است که آموزش به صورت مجازی برگزار شود؟

خیر. از آنجایی که آموزش امنیت سایبری به یک پروسه مستمر و طولانی مدت و تثبیت‌شده نیاز دارد و از سوی دیگر قرار است آموزش‌ها در سطح ملی برگزار شود، این مرکز آموزش تخصصی تولید و تبادل اطلاعات امنیت سایبری به صورت غیرحضوری و آنلاین برگزار می‌شود. برگزاری آموزش‌ها در قالب مرکز آموزش مجازی سبب می‌شود آموزش‌ها در دسترس‌تر، سریع‌تر و تکرارشونده‌تر برگزار شود.

محتواهایی که قرار است در این مرکز آموزش داده شود، چگونه انتخاب شده است؟

این کلاس‌ها مطابق با استانداردهای بین‌المللی و سرفصل‌های آن برگزار خواهد شد. حتی امکانات آزمایش‌های مجازی به صورت پیشرفته و تجهیزشده نیز فراهم شده تا در روند آموزش راندمان خوبی داشته باشیم.

از آنجایی که برخی از مشکلات به‌وجود آمده در سازمان‌ها و دستگاه‌های دولتی به نداشتن دانش امنیت سایبری مدیران برمی‌گردد، آیا برای آموزش مدیران هم تدابیری اندیشیده شده است؟

بله؛ چراکه معتقدیم مدیران سازمان‌ها و دستگاه‌های دولتی از نظر غیرفنی مانند نوشتن سیاست‌ها، خط مشی‌ها، دستورالعمل‌های امنیتی و حتی تفکرات روان‌شناسانه به آموزش امنیت سایبری نیاز دارند. مدیران ما دانش کافی در زمینه امنیت سایبری ندارند و نمی‌توانند در این حوزه برنامه‌ریزی و سیاست‌گذاری کنند. بنابراین برگزاری سه دوره آموزشی برای مدیریت میانی و ارشد در نظر گرفته شده و قرار است مدیریت امنیت را طبق سرفصل‌های بین‌المللی، تدریس کنیم.

بیشتر چه موارد امنیت سایبری در سازمان‌ها و دستگاه‌های دولتی رعایت نمی‌شود؟

سازمان‌ها و دستگاه‌های دولتی موارد بدیهی و حداقل‌های مبانی و اصول امنیت سایبری را (مانند راه‌اندازی یک سایت و ثبت کردن یک دامنه برای سازمان) هم رعایت نمی‌کنند، حال این رعایت نکردن یا به‌دلیل آگاه نبودن کارشناسان فنی آن مجموعه است یا بی‌توجهی لایه‌های مدیریت آنها؛ پس وقتی هر دو در مجموعه مباحث امنیتی را رعایت نمی‌کنند، یعنی در سطح مدیریتی بحث امنیت سایبری به‌خوبی راهبری نشده است. این درحالی است که باید به هر دو بخش توجه ویژه شود.

کلیدی‌ترین حلقه مفقوده سازمان‌ها و دستگاه‌های دولتی در حوزه امنیت سایبری کدام است؟

یکی از کلیدی‌ترین حلقه‌های مفقوده، نبود قوانین محکم به همراه نبود ضمانت اجرایی برای قوانین موجود در زمینه نشت و نشر اطلاعات و نقض حریم خصوصی کاربران در دستگاه‌های دولتی و حتی کسب و کارهای بسیار بزرگ است. وقتی نشت و نشر اطلاعات در حوزه امنیت سایبری دستگاه‌ها و نهادها اتفاق می‌افتد، طبق قانون یک نفر باید پاسخگو باشد. اجرا نشدن قوانین موجود به‌دلیل نبود ضمانت اجرایی و کمبود برخی قوانین سبب شده در زمینه مشکلاتِ به‌وجودآمده در حوزه امنیت سایبری، بازدارندگی نداشته باشیم. برای جلوگیری از نشت اطلاعات و مسؤولیت‌پذیرکردن مدیران، به قانون کافی و ضمانت اجرایی نیاز داریم.

تعریف قوانین و ضمانت اجرایی بخش امنیت سایبری برعهده کدام نهاد است؟

وظیفه شورای عالی فضای مجازی است. باید مرکز ملی فضای مجازی ابتدا قوانین را به همراه ضمانت اجرایی آن تدوین و سپس اجرایی می‌کرد. متأسفانه با اینکه برخی قوانین کلان تصویب شده ولی به‌دلیل نبود ضمانت اجرایی از سوی مدیران سازمان‌ها و دستگاه‌ها، اجرایی نمی‌شود و مدیران دغدغه‌ای نداشته، در برابر نشت اطلاعات کاربرانشان احساس مسئولیت نمی‌کنند؛ پس پاسخگو هم نیستند. در جدیدترین مورد، اطلاعات کاربرانِ یک بانک هک شد و نشت پیدا کرد و حتی راستی‌آزمایی شد ولی مدیران بانک به‌راحتی اعلام کردند که اطلاعات مربوط به دو ماه پیش است. ولی اطلاعات کاربران جزو حریم خصوصی آنها است؛ چه فرقی می‌کند که مربوط به چه ماه و سالی باشد و مقام مسئول باید در حفظ و نگهداری آنها بکوشد، ولی کسی پیگیر نیست. اگر هم جسته و گریخته پیگیری می‌شود، اثرگذاری بسیار اندکی دارد، چون مسؤولان و مدیران نسبت به نشت اطلاعات و رعایت امنیت سایبری حساسیت ندارند.

چندین نهاد مختلف امنیت سایبری در حال فعالیت هستند. آیا این موازی‌کاری موجب نمی‌شود راندمان کار حوزه امنیت سایبری روند نزولی داشته باشد؟

پیش از این در میان نهادهای امنیت سایبری موازی‌کاری و ناهماهنگی‌هایی وجود داشت ولی مدتی است که با مدیریت مرکز ملی فضای مجازی بین دستگاه‌های امنیت سایبری هماهنگی‌هایی به‌وجود آمده و شرایط بهبود یافته و تا حدی هم موفق عمل شده است، هرچند هنوز ایده‌آل نیست، ولی اگر مشکل موازی‌کاری هم باشد، به لایه‌های بعدی منتقل شده که آن هم قابل حل است.

مهم‌ترین و بزرگ‌ترین چالش امنیت سایبری در کشور را چه می‌دانید؟

نبود ضمانت اجرایی برای قوانینی که وجود دارد.

بیشترین ضربه‌ای که ما در کشور در بخش امنیت سایبری می‌بینیم، از چه جنسی است؟

رعایت نکردن حداقل‌های امنیت سایبری و بدیهیات. هک‌هایی که در سازمان‌ها و دستگاه‌های دولتی انجام می‌شود از جنس هک‌های حرفه‌ای نیست. چون امنیت سایبری که صد درصد نیست و بالاخره هکرهایی در دنیا وجود دارند که از هر سد امنیتی هم عبور می‌کنند. اگر تمام موارد امنیت سایبری با تکنیک‌ها در سازمانی رعایت شود و بعد هکی صورت بگیرد، قابل قبول است؛ اما ۹۹ درصد هک‌هایی که در کشور ما رخ می‌دهد از نوع هک حرفه‌ای نیست، چون هکرهای حرفه‌ای که از سد تمام موارد و تکنیک‌های امنیتی عبور می‌کنند کار خود را رسانه‌ای نمی‌کنند.

فیلترینگ چقدر در آسیب‌پذیر بودن فضای امنیت سایبری کشور ما نقش دارد؟

از آنجایی که ما فقط مسئول رصد امنیت سایبری در کشور هستیم، نمی‌توانیم درباره امور فیلترینگ نظر بدهیم، اما استفاده گسترده از فیلترشکن باعث شده فیلترشکن‌هایی در قالب تروجان‌ها و بدافزارها در کشور رواج زیادی پیدا کنند و فیلترشکن‌ها یکی از منابع مهم آلوده‌سازی و گسترش بدافزارها در فضای سایبری کشور شده‌اند.

توجه نکردن به فعالیت بخش خصوصی در حوزه امنیت سایبری چه تبعات منفی برای کشور در بر دارد؟

بار تأمین امنیت سایبری در کشور روی دوش تعدادی از شرکت‌های بخش خصوصی است چون اینها محصولات امنیتی را تولید کرده و به شرکت‌ها می‌فروشند و از سوی دیگر مشاوره و خدمات و آموزش امنیت سایبری می‌دهند، بنابراین اگر این بخش فعال نباشد، دیگر بخش‌ها تعطیل می‌شود و در شرایط فعلی بقای این شرکت‌ها را در خطر می‌بینیم؛ چراکه همین بضاعت محدودی هم که شرکت‌ها و برندهای خصوصی در حوزه امنیت سایبری دارند تا چند وقت دیگر از دست خواهیم داد. بنابراین مسئولان ارشد کشور مانند شورای عالی فضای مجازی و شورای امنیت ملی کشور باید به این موضوع توجه کرده، برای بقای آنها برنامه‌ریزی کنند.

کاربران هم در زمینه امنیت سایبری آگاهی و دانش کمی دارند و در دام فیشینگ و غیره می‌افتند. برای ارتقای آگاهی این بخش چه باید کرد؟

تنها راه، ورود رسانه‌های فراگیر مانند صدا و سیما و دیگر رسانه‌ها برای آموزش مردم در راستای مسئولیت اجتماعی‌شان است. باید در ساعات پرمخاطب آموزش‌های لازم در زمینه مسائل امنیت سایبری به مردم داده شود.

منبع : ایرنا 

افزایش حملات سایبری در غرب و آسیب‌پذیری نهادها و م...
تنظیم نخستین مقررات امنیت سایبری برای خطوط لوله آم...

مطالب مرتبط

By accepting you will be accessing a service provided by a third-party external to https://behinrahkar.com/