لزوم توجه به اقتصاد امنیت اطلاعات /تعدد متولیان امنیت سایبری یک چالش مهم

بهناز آریا – رئیس کمیسیون افتا نظام صنفی رایانه ای استان تهران –  در گفت‌وگو با اخبار ایران من، درباره وظایف کمیسیون افتای نظام صنفی رایانه‌ای استان تهران، خاطر نشان کرد: عنوان افتا به معنی امنیت فضای تولید و تبادل اطلاعات است. در نتیجه امنیت تمام اطلاعاتی که در این فضا تبادل می شود مربوط به کمیسیون افتا نظام صنفی رایانه ای کشور است.

وی با بیان اینکه بنده زمانی که وارد سازمان نظام صنفی شدم، سالهایی بود که هنوز موضوع امنیت در فضای مجازی کشور خیلی شناخته شده نبود، گفت: در آن سالها قرار شده بود که کمیسیون افتا منحل شود چرا که احساس نیازی به وجود این کمیسیون وجود نداشت. برای این که این کمیسیون منحل نشود بسیار جنگیدم. این در حالی است که امروز موضوع امنیت اطلاعات به یکی از اولویت‌های کشور و دنیا تبدیل شده است و در طی این سالها چنین روندی را طی کرده‌ایم.

وی در ادامه با تاکید بر اهمیت موضوعات سایبری در کشور، خاطر نشان کرد: از آنجا که کشور ما در موقعیت ژئوپلیتیک بسیار خاصی قرار گرفته است، این موقعیت باعث می شود که ما همیشه هدف خیلی مهمی برای کشورهای دیگر باشیم. همچنین در بخشی دیگر از این تغییرات ما به جای جنگ مسلحانه با جنگ سایبری مواجهیم که یکی از بزرگترین دغدغه‌های دنیا محسوب می شود.

آریا ادامه داد: به این ترتیب ما در رخدادهای امنیت سایبری که اخیرا اتفاق می افتد، مشاهده می کنیم که چقدر کشور ایران جزو اولویت های دنیا در این زمینه قرار دارد. در این زمینه چند سال پیش برای نخستین بار در دنیا ویروسی با یک هدف خاص برای یک کشور خاص طراحی شد. هدف این ویروس عمدتا ایران بود و با توجه با اتفاقاتی که در حوزه زیر ساخت‌های حیاتی کشور رخ داد، به شدت موضوع امنیت در کشور مهم تر شد و اولویت پیدا کرد.

تامین امنیت اطلاعات ملی مطلوب با استفاده از تجهیزات و راهکار های بومی

وی افزود: پس از مهم شدن موضوع امنیت اطلاعات در حاکمیت، شرکت‌های خصوصی نیز شروع به فعالیت بیشتری در این حوزه کردند. البته در عین حال ما در شرایط تحریم مشکلات فراوانی برای دسترسی به اطلاعات  و ابزارهای لازم در این حوزه داریم. تمام این موارد کشور را به سمت ایجاد امنیت بومی و امنیت ملی پیش برد. در نتیجه در سال‌های اخیر نگاه کشور و نگاه حاکمیت تامین امنیت اطلاعات مطلوب ملی با استفاده از تجهیزات و راهکار های بومی و ایرانی بوده است. این درحالیست که مشکلات فراوان در بخش تولید، راه را برای شرکت‌های تولیدکننده افتایی بسیار دشوار کرده است. تولیدکنندگان ما برای رسیدن به امنیت مطلوب ملی، نیازمند یک عزم ملی و یک حمایت همه جانبه برای رسیدن به راه حل های مورد نیاز کشور هستند.

آریا با بیان اینکه در سازمان صنفی رایانه‌ای کشور، کمیسیون افتا نماینده شرکت‌های فعال در حوزه امنیت اطلاعات است، خاطر نشان کرد: این شرکت‌های فعال در حوزه امنیت  در حوزه‌های تامین تجهیزات، تامین خدمات، تامین نرم افزار و … فعالیت می کنند.

ضرورت وجود دانش به روز و چابکی انطباق با رویدادهای دنیا

وی ادامه داد: طبیعتا ما در کمیسیون افتا خود را در بخش خصوصی به عنوان بازوی اجرایی دولت می بینیم و اعتقاد  داریم که دانش به روز، ابزارهای به روز و چابکی انطباق با رویدادهایی که در دنیا در حال اتفاق است، در بخش خصوصی وجود دارد.

آریا با بیان اینکه رخدادهای امنیتی در سالهای اخیر عمدتا در زیر ساخت‌های حیاتی کشور اتفاق افتاده است، گفت: انتظار بخش خصوصی این بوده است که بتواند به عنوان بازوی اجرایی حاکمیت به سرعت واکنش نشان داده و بتواند سپر دفاعی در مقابل این رخدادها را تامین کند. همچنین بتواند اقدامات اصلاحی را انجام داده و سطح مطلوب امنیت را تامین کند.

لزوم تعامل بین حاکمیت و بخش خصوصی برای حفظ بیشتر امنیت اطلاعات

وی تاکید کرد: یکی از بزرگترین چالش‌های بخش خصوصی طی سال‌های گذشته این بوده که به اندازه کافی محرم حاکمیت نبوده است. البته ما به عنوان بخش خصوصی متوجه محرمانگی و طبقه‌بندی مسائل هستیم. ما سال‌هاست که با این موارد کار می کنیم اما انتظار ما همواره تعامل بین حاکمیت و بخش خصوصی بوده است. ما انتظار داریم اطلاعاتی که از این رخدادها به دست آمده با بخش خصوصی به اشتراک گذاشته شود تا ما تیز بتوانیم برای دفاع از امنیت اطلاعات اقدامات اصلاحی انجام دهیم.

آریا با بیان اینکه ما طی سال‌های گذشته در حال تلاش برای ایجاد اعتماد بین بخش حاکمیتی و بخش خصوصی بوده ایم، اظهار کرد: این اقدامات به منظور این بوده است  که حاکمیت متوجه باشد که باید به سرعت و در میزان لازم اطلاعات را با ما به اشتراک بگذارند تا بتوانیم عکس العمل لازم را انجام دهیم. نتیجه این تلاش‌ها این بوده که ما توانستیم تا حدی در این راه موفق باشیم و اما همچنان این موضوع یکی از بزرگترین مسائل ما است.

وی با اشاره به اهمیت امنیت اطلاعات در جامعه، گفت: این موضوع برآیند بیرونی زیادی دارد برای مثال ممکن است یک سازمان مورد حمله سایبری قرار بگیرد، هفته بعد دوباره یک سازمان دیگر از همان راه مورد حمله سایبری قرار بگیرد و این چرخه ادامه پیدا کند. این تکرار حملات سایبری یعنی ما موفق نبوده ایم برای اینکه اقدامات اصلاحی را به موقع انجام دهیم و کاری کنیم این آسیب پذیری عملا برطرف شود و دیگر این مشکل به وجود نیاید. این نتیجه و برآیند بیرونی امن نبودن در سطح لازم است که بسیار به ضرر جامعه است. برای مثال یکی از اتفاقات مشابه در این زمینه مسائل مربوط به کارت سوخت بود که مشاهده کردید چقدر در جامعه هرج و مرج، نگرانی و دغدغه ایجاد کرد. این مسائل اهمیت به اشتراک گذاشتن اطلاعات توسط حاکمیت با بخش خصوصی و لزوم واکنش مناسب به رخدادها را به خوبی نشان می‌دهد.

تعدد متولیان حوزه امنیت سایبری، یک چالش‌ مهم بخش خصوصی

آریا ادامه داد: عملا یکی از مسائل بزرگ ما روش تعاملی در زمان بروز رخدادهاست که علاوه بر آن تعدد بسیار متولیان در حوزه امنیت هم یکی دیگر از مسائل است. ما در حوزه امنیت متولیانی از جمله پدافند غیر عامل، افتای ریاست جمهوری، شورای عالی فضای مجازی، پلیس فتا و … را داریم. همچنین اخذ انواع و اقسام مجوزها برای کار در این حوزه نیز به یکی دیگر از مسائل ما تبدیل شده است.

وی افزود: در این زمینه در حالی که توان بخش خصوصی باید صرف افزایش توان تخصصی خود باشد، صرف دوندگی برای کسب مجوزهای لازم می شود. در واقع تمام توان شرکت‌های خصوصی برای دریافت مجوزهای مختلف صرف می شود. روش‌های اخذ مجوز نیز به قدری ناکارآمد است که به سختی به  نتیجه می‌رسد و در نتیجه اجازه فعالیت هم تا زمان دریافت مجوز به شرکت‌ها داده نمی شود. مجوززدایی و صدور متمرکز و تجمیع مجوزهای لازم، یکی از نیازمندی‌های بخش خصوصی برای چابکی است.

وی تاکید کرد: یکی دیگر از مشکلات بخش خصوصی در این زمینه این است که در سیاست گذاری دائما انواع ابلاغیه‌ها و آئین نامه‌ها صادر می شود که ضمانت‌های اجرایی درستی برای آن وجود ندارد. تمام آسیب پذیری‌هایی که می‌بینید یک بخش عمده آن ناشی از این است که آنچه برای سازمان ها الزامی بوده و به سازمان‌ها ابلاغ شده توسط سازمان‌ها انجام نشده است و به هیچ جا هم پاسخگو نیستند و از طرفی دیگر، هیچ جایی هم توبیخ نمی شوند. بنابراین انواع و اقسام قوانین بدون ضمانت اجرایی ایجاد می شود که اگرچه قوانین کارآمدیست اما به دلیل اجرایی نشدن ناکارآمد می‌شود.

عدم مشورت کافی درباره وضع قوانین فضای امنیت سایبری با بخش خصوصی

آریا ادامه داد: این موضوع همچنین بدون در نظر گرفتن نظر بخش خصوصی در مورد آئین نامه‌ها است. در واقع در مورد آنچه که قرار است بخش خصوصی در فضای امنیت سایبری انجام دهد و مجری آن باشد، با بخش خصوصی در این مورد مشورت مناسبی نمی‌شود.

وی با بیان اینکه برای حل این موضوعات تلاش های زیادی در کمیسیون افتای نظام صنفی رایانه ای تهران صورت گرفته است، گفت: اگر در این زمینه با سالهای قبل یک مقایسه انجام دهیم، متوجه می شویم که قطعا  در حال حاضر ارتباط تعاملی بهتری با حاکمیت و متولیان این حوزه پیدا کرده ایم و کم کم داریم جایگاه خود را در این حوزه پیدا می کنیم و این جایگاه را به عنوان بازوی مشورتی حاکمیت بدست می‌آوریم ولی هم حاکمیت و هم خود بخش خصوصی باید برای بهبود این تعامل تلاش بیشتری انجام دهند.

لزوم مشارکت بخش خصوصی در تدوین آئین‌نامه‌های لازم

آریا با تاکید بر اینکه بازوی مشورتی بودن برای حاکمیت تنها درخواست ما نیست، اظهار کرد: ما در این زمینه علاوه بر اینکه می خواهیم بازوی مشورتی حاکمیت باشیم بلکه کرسی نیز می خواهیم تا رای درستی در تدوین سیاست ها و آئین نامه ها داشته باشیم. در حال حاضر اگر آئین نامه یا دستور العملی نوشته شود تنها چند روز به ما فرصت می دهند که برای این آئین نامه نظر بدهیم. این کافی نیست ما می خواهیم  بخش خصوصی هم در تدوین آئین نامه‌ها مشارکت داشته باشد و هم کرسی لازم برای تصمیم سازی را دارا باشد.

وی تاکید کرد: به عنوان بخش خصوصی در این زمینه انتظار چابکی، انعطاف پذیری و پذیرش بسیار زیاد از سمت حاکمیت داریم چرا که دنیا صبر نمی کند، ما پیچ و خم های روالهای امنیتی را در کشور خودمان طی کنیم و از آنجا که ما به عنوان یک هدف برای دنیا محسوب می شویم، باید به سرعت با تحول های فناوری و حتی سیاسی در دنیا خود را به روز کنیم.

آریا در ادامه با اشاره به مشکلات مربوط به نیروی انسانی در شرکت‌ها اظهار کرد: بحث مربوط به نیروی انسانی در حوزه امنیت یکی از بزرگترین چالش های این حوزه در دنیاست. چرا که آموزش افرادی که می خواهند در حوزه امنیت کار می کنند  یک پروسه طولانی است. این در حالی است که برای یک نیروی انسانی که می خواهد در حوزه شبکه کار کند، برگزاری یک یا چند دوره آموزشی کفایت می‌کند، اما در حوزه امنیت این موضوع کاملا فرق می‌کند چراکه آموزش در حوزه امنیت یک آموزش چند وجهی در ابعاد فنی و حتی روانشناسی اجتماعی است، در زمان طولانی‌تر و با پیش نیازهای بیشتر. به همین دلیل است که نرخ بیکاری افراد در حوزه امنیت در دنیا صفر است.

تحول دیجیتال در دنیا بدون حفظ امنیت آن بی معنی است

وی با بیان اینکه تمام دنیا به دنبال افراد متخصص در زمینه امنیت هستند، گفت: در دنیا هر روز تکنولوژی های جدیدی وارد می شود و حفظ امنیت دارایی‌های اطلاعاتی بسیار مهم است و تحول دیجیتال بدون حفظ امنیت آن بی معنی است، به همین دلیل نیروی انسانی در حوزه امنیت که هر روز صنعت بزرگتری می‌شود، بزرگترین چالش این حوزه است.

آریا با اشاره به موضوعاتی مانند پر چالش نیروی انسانی در ایران و پروسه طولانی تربیت نیروی انسانی متخصص، تاکید کرد: با تغییراتی که هر روز در علم امنیت اتفاق می‌افتد و تعداد نیروی انسانی محدود، شرکت‌های ایرانی با چالش‌های بزرگی مواجه هستند.

وی با تاکید بر اینکه با توجه به مسائل روز دنیا درحوزه امنیت اطلاعات ما می توانیم در این بخش یک اقتصاد بی نظیر داشته باشیم، خاطر نشان کرد: متاسفانه به دلیل مسائلی که در ایران وجود دارد از جمله نیروی انسانی، شرکت‌های امنیتی ما عمدتا در اندازه کوچک و متوسط باقی می مانند و نمی توانند بزرگ شوند.

کمک رشد اقتصاد امنیت اطلاعات به نگهداشت نیروی انسانی

آریا در ادامه درباره چگونگی نگهداشت نیروی انسانی در شرکت‌ها گفت: این موضوعی است که با متولیانی نظیر شورای عالی فضای مجازی در حال مطالعه هستیم. در این مورد باید تاکید کنم تا زمانی که اقتصاد امنیت اطلاعات در کشور ما رشد نکند، نگهداشت نیروی انسانی امکان پذیر نیست. اعدادی که این افراد به عنوان حقوق دریافت می کنند واقعا ناچیز است. یکی از پارامترهایی که ما می توانیم در نگهداشت نیروی انسانی در آن دخیل باشم موضوع پرداخت حقوق است.

وی ادامه داد: در این زمینه مهمترین موضوعی که ما داریم رشد اقتصاد امنیت اطلاعات است تا بتوانیم عدد پروژه ها را افزایش داده و حقوق های پرداختی را زیاد کنیم تا به این ترتیب یکی از پارامترهای نگهداشت نیروی انسانی را بتوانیم تامین کنیم.

آریا در ادامه با بیان اینکه نظام صنفی رایانه ای کشور بزرگترین تشکل مردم نهاد بخش خصوصی است ، گفت: این سازمان نماینده حوزه فناوری اطلاعات و ارتباطات کشور است. ما در بخش خصوصی حدود ۲۰ هزار عضو در کشور داریم، این ۲۰ هزار عضو عمدتا شرکت هستند یعنی می توان گفت که جامعه فناوری اطلاعات عملا در سازمان نظام صنفی حضور دارد و همه شرکت‌ها باید بر اساس قانون مجوز فعالیت‌های خود را از سازمان نظام صنفی رایانه‌ای بگیرند و این یعنی دانش و عملیات زیرساخت فناوری کشور در سازمان نظام صنفی رایانه‌ای جمع شده است.

وی با تاکید بر اهمیت حوزه فناوری اطلاعات در دنیا، گفت: امروز اهمیت این حوزه بر کسی پوشیده نیست. فناوری اطلاعات یک حوزه فرا رشته ای و توانمندساز برای سایر صنایع است.

آریا ادامه داد: در حال حاضر نگرانی که از رخدادهای امنیتی وجود دارد، تنها به یک عملیات نفوذ خلاصه نمی شود بلکه نگرانی ما از این است که طی یک رخداد امنیتی، زیرساختی دچار آسیب شود و فرضا برق یا آب یک استان قطع شود، این موضوع اهمیت امنیت اطلاعات را به خوبی نشان می دهد که بخش خصوصی و حاکمیت و حتی آحاد جامعه به نوعی برای حفظ آن مسوولیتی دارند.

فناوری اطلاعات زیرساخت حیاتی کشور است

وی با تاکید بر اینکه فناوری اطلاعات زیرساخت حیاتی کشور است، اظهار کرد: ما دریک برهه زمانی با فرصت‌هایی طلایی برای فناوری اطلاعات قرار داریم و در این شرایط انتظار داریم که سازمان نظام صنفی رایانه‌ای و کمیسیون افتا در تصمیم گیری‌های حاکمیت مشارکت داده شده و حضور داشته باشد. به عقیده من در سال‌های گذشته حاکمیت تا حدودی این هویت را به سازمان نظام صنفی داده است و سازمان را به رسمیت شناخته است و در بسیاری از موارد سازمان نظام صنفی را نماینده بخش خصوصی می‌داند اما هنوز جای کار فراوانی دارد. 

او تصریح کرد: نظام صنفی از لحاظ قانونی جایگاه خود را دارد اما از لحاظ عرفی و واقعیتی که وجود دارد از جایگاه واقعی خود خصوصا از منظر اقتصادی و تصمیم سازی برخوردار نیست و این نیازمند خودباوری بخش خصوصی و تعامل سازنده با حاکمیت است تا فناوری اطلاعات به اقتصاد طلایی کشور تبدیل شود.

انتهای پیام