سردار جلالی افزود: به دلیل درهم آمیختگی امنیت فضای سایبری و فیزیکی، موضوع امنیت سایبری صرفاً در شورای عالی فضای مجازی قابل حل نیست، چراکه بعضاً پدیدهای در فضای سایبری شروع میشود که تبعات آن در فضای فیزیکی پدیدار میشود از اینرو باید برای این پدیدههای جدید، فکری اندیشیده شود. وی گفت: بحث امنیت باید اقتصادی و به بخش خصوصی واگذار شود.» در پی این اظهار نظر روزنامه «ایران» به سراغ کارشناسان حوزه امنیت رفته و نظر آنها را درباره این تقسیمبندی و برون سپاریها جویا شد.
کاهش موازی کاری در امنیت سایبری
با توجه به گفته جلالی مبنی بر تقسیمبندی امنیت سایبری به ۴ حوزه، آیا براستی این تقسیمبندی برای بحث امنیت سایبری کشور مفید است؟ آیا با این وضعیت تقسیمبندی امنیت سایبری کشور بهبود مییابد؟ مهدی شجری استاد دانشگاه امیرکبیر در حوزه امنیت اطلاعات درباره این تقسیمبندی به «ایران» گفت: نمیدانم آقایان تعریفشان از امنیت آشکار و پنهان چیست، بنابراین ابتدا باید دید این بخشها چگونه تعریف شدهاند تا بتوان درباره آن اظهار نظر کرد.
عباس حسینی مدیرعامل شرکت یکی از شرکتهای تولیدکننده نرمافزاری ضد بدافزار نیز به «ایران» گفت: در حال حاضر این تقسیمبندی به نوعی وجود دارد و به نظر میرسد این تصمیم در راستای به رسمیت شناختن و تعیین حدود و ضوابط اجرایی آن باشد. بهعنوان نمونه حوزه ایمنی در اختیار بخش خصوصی، حوزه امنیت آشکار در حیطه سازمان فناوری اطلاعات و پلیس فتا، حوزه امنیت پنهان در اختیار وزارت اطلاعات و بعضاً سپاه و حوزه دفاع در اختیار پدافند غیر عامل و ستاد کل نیروهای مسلح است.
حسینی درباره بهبود وضعیت سایبری کشور نیز گفت: این دستهبندی باعث کاهش تداخل وظایف و حیطههای کاری شده و در درازمدت برای صنعت بومی افتا در کشور یک فرصت مناسب ایجاد خواهد کرد.امید توکلی طراح و راهبر راهکارهای امنیت اطلاعات و عملیات نیز با اشاره به اینکه باید تقسیم کار میان متولیان و ذینفعان امنیت سایبری کشور را به فال نیک گرفت به «ایران» گفت: دستگاههای دولتی در خصوص مسائل امنیت سایبری، بر اساس نیاز خود به یکی از متولیان حوزههای گفته شده (ایمنی و امنیت آشکار، پنهان و دفاع) رجوع میکنند و این تقسیمبندی در صورت اجراییشدن موازیکاریها را تا حد زیادی کاهش خواهد داد.
از سوی دیگر ارائهکنندگان محصولات و خدمات امنیت سایبری نیز از سردرگمی که اکنون گریبانگیر آنهاست، رهایی مییابند، ولی به نظر میرسد در کنار این تقسیمبندی با افزایش فرهنگسازی، آموزش و ایجاد ساز و کارها و الزامات قانونی بتوان به ارتقای سطح امنیت سایبری کشور امیدوار بود.این کارشناس ارشد امنیت با بیان اینکه در حال حاضر یکی از بزرگترین موانع در پیشبرد کیفیت و کاربرد محصولات صنعت افتا و ارتقای خدمات امنیت سایبری در کشور، تعدد متولیان و نبود مرزبندی بین سرویسهای حاکمیتی است.
وی افزود: نمونههای متعددی از ناهماهنگی نهادهای مذکور در ارائه خدمات حاکمیتی حوزه افتا وجود دارد و سطح نامطلوب امنیت زیرساختهای حساس و حیاتی کشور، نخستین قربانی این ناهماهنگی است چرا که در حال حاضر در بیشتر دستگاههای دولتی و بویژه بخش صنعتی کشور موازی کاری فراوانی وجود دارد و معمولاً واحد فناوری اطلاعات (که با نهاد حراست مرتبط است) و کمیته پدافند غیرعامل به صورت موازی در حال ارائه سیاستها و الزامات کاربردی در خصوص محصولات و خدمات افتا هستند و حتی در میان این الزامها، تناقضهایی نیز دیده میشود که اینگونه ناهماهنگیها باعث افول تولیدکنندگان محصولات بومی افتا شده است.
نبود تعریف درست عامل اجرایی نشدن
ولی تقسیمبندی حوزه امنیت سایبری دارای چه نقاط ضعف و قوتی است؟ عباس حسینی مدیرعامل یکی از شرکتهای تولیدکننده نرمافزاری ضد بدافزار در این باره »گفت: یکی از نقاط ضعف این طرح در شروع کار میتواند مقاومت کردن برخی دستگاههای بانفوذ در قبال اجرایی کردن این تقسیمبندی باشد، چرا که با این تقسیمبندی ممکن است دامنه قدرت و اختیارات آنها کاهش یابد و همین مقاومتها مشکلاتی را به وجود آورد.
از سوی دیگر چون امنیت سایبری، دولتی و شبه دولتی است از اینرو ممکن است همین گروهها دخالت کرده و اجازه برون سپاری را به بخش خصوصی ندهند از اینرو این موضوع میتواند باعث عدم موفقیت طبقهبندی گفته شده شود.
حسینی افزود: به عبارتی شرکتهای شبه دولتی با بهانههای امنیتی میتوانند برای خود انحصار ایجاد کرده و صنعت امنیت اطلاعات را در کشور از حرکت و شکوفایی که تنها با رقابت و شرایط مساوی پدید میآید، محروم کنند. مهمتر اینکه دولت باید کارشناسان و مدیران مسلطی در این حوزه تربیت کند تا در سطوح راهبردی توانایی پاسخگویی به چالشهای پیش رو را داشته باشند.امید توکلی طراح و راهبر راهکارهای امنیت اطلاعات نیز درباره نقاط ضعف این تقسیمبندی گفت: بزرگترین مشکل، ضعف در تعریف و اجراست.
این چهار حوزه گفته شده باید به صورت دقیق تعریف شود و در آن ابهامی وجود نداشته باشد، چرا که با تعریف خوب میتوان اجرای خوبی را انتظار داشت. وقتی تعریفها مبهم باشد کارشناسان و مدیران غیرمطلع، از تعریفها برداشت نادرستی میکنند و در نتیجه اجرا با مشکل مواجه میشود.وی افزود: نهادهای حاکمیتی باید ضمن ارائه تعریف شفاف، آییننامههای عملیاتی ارائه داده و مشوقها و تنبیهات اجرایی را تدوین کنند. از سوی دیگر باید کارشناسان تصمیمساز و مدیران تصمیمگیر دستگاههای اجرایی و متولیان زیرساختهای حساس و حیاتی را در مسیر صحیح هدایت کنند.
واگذاری امنیت به بخش خصوصی
اما وضعیت امنیت سایبری در دنیا چگونه است و بر عهده کدام بخشها است خصوصی یا دولتی؟ مهدی شجری استاد دانشگاه امیرکبیر در حوزه امنیت اطلاعات در پاسخ به این سؤال گفت: معمولاً در دنیا امنیت سایبری را به دو بخش عمومی و دولتی تقسیمبندی میکنند و هر کدام از این دو بخش متولی جداگانه دارد.
در بخش امنیت سایبری عمومی معمولاً اطلاعات خیلی محرمانه و خاص نیست و اطلاعات باز محسوب میشوند و اصولاً طبق تعریفهایی که دولت انجام داده و به بخش خصوصی و دانشگاهها سپرده است، فعالیت و امنیت سرویسهای مورد نظر و تعریف شده را تأمین میکنند.شجری افزود: معمولاً دو بخش دولتی و نظامی در دست خود دولت است و دولت امنیت این بخشها را تأمین میکند، چرا که اطلاعات بخش دولتی و نظامی خیلی محرمانه است و فعالیتها بسیار مستقل و جدا از بخشهای دیگر انجام میشود، ولی بحث ایمنی در کل از امنیت سایبری جدا است و اصلاً در مقوله امنیت جای نمیگیرد. بخش ایمنی در دنیا مستقل از تمام این بخشها است و متولیان جداگانهای دارد.
امید توکلی کارشناس ارشد امنیت نیز معتقد است دولتها در دنیا به جای تسهیم قدرت و تشکیل نهادهای حاکمیتی موازی، به دنبال تسهیل فضای رقابت و شکل گرفتن بنیادهای خصوصی قدرتمند جهت پیشبرد اهداف امنیت سایبری خود هستند. مثلاً در کشور ما بخش خصوصی اجازه ورود به بخش آزمایشگاههای فعال حوزه امنیت سایبری ندارند، چرا که از خطوط قرمز به شمار میآید در صورتی که در دنیا بسیاری از آزمایشگاههای تخصصی ارزیابی امنیتی در دست بخش خصوصی است.
وی افزود: نهادهای حاکمیتی ما نیز میتوانند با حمایت از کنسرسیومهایی نظیر کنسرسیوم ملی حفاظت سایبری، زیرساختهای حساس و حیاتی یا گروههای مشورتی سندیکایی اجازه تشکیل ساختارهای آزمون را (بر اساس فناوریهای توسعه یافته در مجموعههای مورد تأیید خصوصی) بدهند و سپس درباره نحوه مدیریت و راهبری این آزمایشگاهها (به گونهای که امکان سوءاستفاده از آنها وجود نداشته باشد) به توافق برسند.
این کارشناس ارشد امنیت به «ایران »گفت: در حوزه امنیت سایبری نیز میتوان تصدیگریهای دولتی را کاهش داد و فراتر از سیاستگذاری و رگولاتوری در حوزه امنیت سایبری (که باید از سوی دولت صورت پذیرد) عمل کرد از اینرو باید به راهکارهایی مانند مصوبات شورای گفت و گوی دولت و بخش خصوصی، حمایت از تشکیل فعالیتهای سندیکایی، اعتماد و سپردن مسئولیت برخی امور به بخش خصوصی بها داد.
عباس حسینی مدیرعامل شرکت یکی از شرکتهای تولیدکننده نرمافزاری ضد بدافزار نیز گفت: در دنیا (کشورهای توسعه یافته) از منظر حاکمیتی دقیقاً مشابه این مدل (با ویژه سازیهای لازم از منظر ساختهای داخلی) رفتار میشود. از آنجایی که سیاستگذاری و رگولاتوری بر عهده نهادهای دولتی و صنعت در اختیار بخش خصوصی قراردارد، با طبقهبندی بخشهای خصوصی و احراز صلاحیتهای لازم، زمینه رشد و رقابت در صنعت و ایجاد بازار برای تولیدکنندگان محصول و ارائهکنندگان خدمت در زمینه امنیت سایبری وجود دارد.
- 13
- 5
