نبود ضمانت اجرایی قوانین بزرگترین چالش امنیت سایبری است


سوسن صادقی
خبرنگار
بتازگی مرکز تخصصی آموزش مجازی امنیت فضای تولید و تبادل اطلاعات (امنیت سایبری) از سوی سازمان فناوری اطلاعات ایران (securitylms.cert.ir) برای آموزش حوزه امنیت سایبری دستگاه‌ها و سازمان‌های دولتی و عمومی رونمایی شد. به بهانه آغاز به کار این مرکز، با «ابوالقاسم صادقی» معاون امنیت فضای تولید و تبادل اطلاعات گفت و گو کرده‌ایم که می‌خوانید.


این مرکز با چه هدفی آغاز به کار کرده است و مخاطبان آن را چه کسانی تشکیل می‌دهند؟
هدف اصلی، تأمین محتوای با کیفیت و برگزاری کارگاه‌های آموزشی برای افزایش دانش، مهارت و توانمندی کارکنان دولت و بخش خصوصی در حوزه امنیت فضای تولید و تبادل اطلاعات است و به نوعی مخاطبان آن را کارشناسان دستگاه‌های دولتی تشکیل می‌دهند.
آیا برای اولین بار است که سازمان فناوری اطلاعات اقدام به برگزاری چنین کلاس‌های آموزشی کرده است؟
خیر. در دو سال و نیم گذشته بیش از 300 هزار نفرساعت آموزش امنیت سایبری در کشور برگزار کرده‌ایم که 100درصد این آمار با همکاری دانشگاهی و شبکه‌های سازمان فناوری اطلاعات در استان‌ها بوده و بالای 60درصد از این آمار مربوط به سازمان‌ها و دستگاه‌های دولتی است.
آیا شرایط کرونا باعث شده است که آموزش به صورت مجازی برگزار شود؟
خیر. از آنجایی که آموزش امنیت سایبری به یک پروسه مستمر و طولانی مدت و تثبیت شده نیاز دارد و از سوی دیگر قرار است آموزش‌ها در سطح ملی برگزار شود، این مرکز آموزش تخصصی تولید و تبادل اطلاعات امنیت سایبری به صورت غیرحضوری و آنلاین برگزار می‌شود. برگزاری آموزش‌ها در قالب مرکز آموزش مجازی باعث می‌شود آموزش‌ها در دسترس تر، سریع تر و تکرار شونده تر برگزار شود.
محتواهایی که قرار است در این مرکز آموزش داده شود، چگونه انتخاب شده است؟
این کلاس‌ها مطابق با استانداردهای بین المللی و سرفصل‌های آن برگزار خواهد شد. حتی امکانات آزمایش‌های مجازی به صورت پیشرفته و تجهیز شده نیز فراهم شده تا در روند آموزش راندمان خوبی داشته باشیم.
از آنجایی که برخی از مشکلات به‌وجود آمده در سازمان‌ها و دستگاه‌های دولتی به نداشتن دانش امنیت سایبری مدیران برمی‌گردد، آیا برای آموزش مدیران هم تدابیری اندیشیده شده است؟
بله چراکه معتقدیم مدیران سازمان‌ها و دستگاه‌های دولتی از نظر غیرفنی مانند نوشتن سیاست‌ها، خط مشی‌ها، دستورالعمل‌های امنیتی و حتی تفکرات روانشناسانه به آموزش امنیت سایبری نیاز دارند. مدیران ما دانش کافی در زمینه امنیت سایبری ندارند و نمی‌توانند در این حوزه برنامه‌ریزی و سیاستگذاری کنند. بنابراین برگزاری سه دوره آموزشی برای مدیریت میانی و ارشد در نظر گرفته شده و قرار است مدیریت امنیت را طبق سرفصل‌های بین المللی،  تدریس کنیم.
بیشتر چه موارد امنیت سایبری در سازمان‌ها و دستگاه‌های دولتی رعایت نمی‌شود؟
سازمان‌ها و دستگاه‌های دولتی موارد بدیهی و حداقل‌های مبانی واصول امنیت سایبری را (مانند  راه‌اندازی یک سایت و ثبت کردن یک دامنه برای سازمان) هم رعایت نمی‌کنند حال این رعایت نکردن یا به‌دلیل آگاه نبودن کارشناسان فنی آن مجموعه است  یا بی‌توجهی لایه‌های مدیریت آنها؛ پس وقتی هر دو در مجموعه مباحث امنیتی را رعایت نمی‌کنند یعنی در سطح مدیریتی بحث امنیت سایبری بخوبی راهبری نشده این درحالی است که باید به هردو بخش توجه ویژه شود.
کلیدی ترین حلقه مفقوده سازمان‌ها و دستگاه‌های دولتی در حوزه امنیت سایبری کدام است؟
یکی از کلیدی ترین حلقه‌های مفقوده، نبود قوانین محکم به همراه عدم ضمانت اجرایی برای قوانین موجود در زمینه نشت و نشر اطلاعات و نقض حریم خصوصی کاربران در دستگاه‌های دولتی و حتی کسب و کارهای بسیار بزرگ است. وقتی نشت و نشر اطلاعات در حوزه امنیت سایبری دستگاه‌ها و نهادها اتفاق می‌افتد، طبق قانون یک نفر باید پاسخگو باشد. اجرا نشدن قوانین موجود به‌دلیل نبود ضمانت اجرایی و کمبود برخی قوانین باعث شده در زمینه مشکلات به‌وجود آمده در حوزه امنیت سایبری بازدارندگی نداشته باشیم. برای جلوگیری از نشت اطلاعات و مسئولیت پذیر کردن مدیران، به قانون کافی و ضمانت اجرایی نیاز داریم.
تعریف قوانین و ضمانت اجرایی بخش امنیت سایبری برعهده کدام نهاد است؟
وظیفه شورای عالی فضای مجازی است. باید مرکزملی فضای مجازی ابتدا قوانین را به همراه ضمانت اجرایی آن تدوین و سپس اجرایی می‌کرد. متأسفانه با اینکه برخی قوانین کلان تصویب شده ولی به‌دلیل نبود ضمانت اجرایی از سوی مدیران سازمان‌ها و دستگاه‌ها، اجرایی نمی‌شود و مدیران دغدغه‌ای نداشته و در برابر نشت اطلاعات کاربرانشان احساس مسئولیت نمی‌کنند، پس پاسخگوهم نیستند، در جدیدترین مورد اطلاعات کاربران، یک بانک هک و نشت پیدا کرد و حتی راستی آزمایی شد ولی مدیران بانک براحتی اعلام کردند که اطلاعات مربوط به دوماه پیش است ولی اطلاعات کاربران جزو حریم خصوصی آنهاست چه فرقی می‌کند که مربوط به چه ماه و سالی باشد و مقام مسئول باید در حفظ و نگهداری آنها بکوشد ولی کسی پیگیر نیست. اگر هم جسته و گریخته پیگیری می‌شود، اثرگذاری بسیار اندکی دارد چون مسئولان و مدیران نسبت به نشت اطلاعات و رعایت امنیت سایبری حساسیت ندارند.
چندین نهاد مختلف امنیت سایبری در حال فعالیت هستند آیا این موازی کاری باعث نمی‌شود راندمان کار حوزه امنیت سایبری روند نزولی داشته باشد؟
پیش از این در بین نهادهای امنیت سایبری موازی کاری و ناهماهنگی‌هایی وجود داشت ولی مدتی است که با مدیریت مرکز ملی فضای مجازی بین دستگاه‌های امنیت سایبری هماهنگی‌هایی به‌وجود آمده و شرایط بهبود یافته و تا حدی هم موفق عمل شده هرچند هنوز ایده آل نیست ولی اگر مشکل موازی کاری هم باشد به لایه‌های بعدی منتقل شده که آن هم قابل حل است.
مهم‌ترین و بزرگترین چالش امنیت سایبری در کشور را چه می‌دانید؟
 نبود ضمانت اجرایی برای قوانینی که وجود دارد.
بیشترین ضربه‌ای که ما در کشور در بخش امنیت سایبری می‌بینیم از چه جنسی است؟
رعایت نکردن حداقل‌های امنیت سایبری و بدیهیات. هک‌هایی که در سازمان‌ها و دستگاه‌های دولتی انجام می‌شود از جنس هک‌های حرفه‌ای نیست. چون امنیت سایبری که 100درصد نیست و بالاخره هکرهایی در دنیا وجود دارند که از هر سد امنیتی هم عبور می‌کنند. اگر تمام موارد امنیت سایبری با تکنیک‌ها در سازمانی رعایت شود و بعد هکی صورت بگیرد، قابل قبول است اما 99درصد هک‌هایی که در کشور ما رخ می‌دهد از نوع هک حرفه‌ای نیست، چون هکرهای حرفه‌ای که از سد تمام موارد و تکنیک‌های امنیتی عبور می‌کنند کار خود را رسانه‌ای نمی‌کنند.
فیلترینگ چقدر در آسیب پذیر بودن فضای امنیت سایبری کشور ما نقش دارد؟
از آنجایی که ما فقط مسئول رصد امنیت سایبری در کشور هستیم، نمی‌توانیم درباره امور فیلترینگ نظر بدهیم اما استفاده گسترده از فیلترشکن باعث شده فیلترشکن‌هایی در قالب تروجان‌ها و بدافزارها در کشور رواج زیادی پیدا کنند و فیلترشکن‌ها یکی از منابع مهم آلوده‌سازی و گسترش بدافزارها در فضای سایبری کشور شده‌اند.
 توجه نکردن به فعالیت بخش خصوصی در حوزه امنیت سایبری چه تبعات منفی برای کشور در بر دارد؟
بار تأمین امنیت سایبری در کشور روی دوش تعدادی از شرکت‌های بخش خصوصی است چون اینها محصولات امنیتی را تولید کرده و به شرکت‌ها می‌فروشند و از سوی دیگر مشاوره و خدمات و آموزش امنیت سایبری می‌دهند بنابراین اگر این بخش فعال نباشد دیگر بخش‌ها تعطیل می‌شود و در شرایط فعلی بقای این شرکت‌ها را در خطر می‌بینیم چرا که همین بضاعت محدودی هم که شرکت‌ها و برندهای خصوصی در  حوزه امنیت سایبری دارند تا چند وقت دیگر از دست خواهیم داد بنابراین مسئولان ارشد کشور مانند شورای عالی فضای مجازی و شورای امنیت ملی کشور باید به این موضوع توجه کرده و برای بقای آنها برنامه‌ریزی کنند.
کاربران هم در زمینه امنیت سایبری آگاهی و دانش کمی دارند و در دام فیشینگ و دیگر... می‌افتند برای ارتقای آگاهی این بخش چه باید کرد؟
تنها راه ورود، رسانه‌های فراگیر مانند صدا و سیما و دیگر رسانه‌ها برای آموزش مردم در راستای مسئولیت اجتماعی‌شان است. باید در ساعات پرمخاطب آموزش‌های لازم در زمینه مسائل امنیت سایبری به مردم داده شود.