گزارش پارس آی سی تی؛
خلا شبكه ملی اطلاعات در حفاظت از داده
به گزارش پارس آی سی تی با آنكه هدف شبكه ملی اطلاعات برقراری ارتباطات امن و حفاظت شده است، اما شواهد نشان داده است كه این شبكه در امنیت سایبری همچنان با خلا روبرو است و تبادل داده در فضای مجازی كشور تضمین شده نیست.
خبرگزاری مهر- گروه دانش و فناوری؛ معصومه بخشی پور: مصوبات شورایعالی فضای مجازی در مورد شبکه ملی اطلاعات، بر ضرورت ایجاد شبکه ای امن تاکید دارد. به صورتی که در الزامات مربوط به ایجاد این شبکه، بر تحقق شبکه ای کاملاً مستقل و حفاظت شده نسبت به دیگر شبکه ها (از جمله اینترنت) با قابلیت عرضه انواع خدمات امن، شامل رمزنگاری و امضای دیجیتالی به تمامی کاربران و هم شبکه ای با قابلیت برقراری ارتباطات امن و پایدار میان دستگاه ها و مراکز حیاتی کشور، تاکید گردیده است. در اصول حاکم بر شبکه ملی اطلاعات هم مبحث سالم سازی و امنیت مورد توجه قرار گرفته است و حتی در حوزه خدمات این شبکه هم خدمات سالم سازی و امنیت مورد نیاز زیرساخت فضای مجازی کشور و پشتیبانی از سالم سازی و امنیت لایه های بالایی خدمات کاربردی و محتوا که شامل خدمات زیرساخت سالم سازی و امنیت و خدمات مدیریت و عملیات امنیت می شود، اجبار شده است. وضعیت ایران در امنیت سایبری ضعیف است با وجود تعاریف مشخصی که برای امنیت سایبری در شبکه ملی اطلاعات تکلیف شده است و با وجود مبلغ ۱۹ هزار میلیارد تومان که گفته می شود برای زیرساختهای این شبکه هزینه شده است، اما وضعیت مقابله با تهدیدات سایبری، حفاظت از اطلاعات و مدیریت مخاطرات و صیانت از حریم خصوصی افراد هنوز تضمین نیست. برای مثال نشت اطلاعات و افشای پایگاه اطلاعات هویتی کاربران خیلی از سازمان ها، اپراتورها، شرکت های دولتی و خصوصی در فضای مجازی طی ماههای اخیر از موضوعات خبرساز بوده و به علت نبود قوانین مشخص و راهکارهای امنیتی، خیلی از این اطلاعات در فضای مجازی خرید و فروش می شوند. کارشناسان معتقدند که نبود نظام حاکمیت سایبری در کشور، اتفاقاتی از نوع نشت اطلاعات و سرقت داده ها را رقم می زند. البته برخی هم معتقدند که تهدیدات سایبری در حد و اندازه های مختلف همچون به نشت پایگاه های اطلاعاتی، سرقت داده و یا تهدیداتی از نوع نفوذ به حریم خصوصی افراد در فضای مجازی در همه جای دنیا اتفاق می افتد و تنها مختص ایران نیست، اما با این وجود گزارش ها نشان داده است که جایگاه جهانی ایران در این عرصه قابل دفاع نیست. برپایه گزارشی که مرکز پژوهش های مجلس منتشر نموده است، وضعیت ایران در مقایسه با سایر کشورهای جهان در زمینه حفظ حریم خصوصی کاربران در فضای مجازی، «بسیار ضعیف» ارزیابی شده است. در این راستا این سوال مطرح می شود که آیا ضعف ساختارهای امنیتی کشور در فضای سایبری به ضعف زیرساخت های شبکه ملی اطلاعات باز می گردد؟ و چرا با وجود اینکه مسؤلان بر تحقق ۸۰ درصدی شبکه ملی اطلاعات تاکید دارند، این تکلیف شبکه ملی اطلاعات به درستی کارساز نیست. سوال دیگر این است که مصوبه شورایعالی فضای مجازی در مورد امنیت و حریم خصوصی چطور اجرایی شده است و سالم سازی و امنیت بعنوان اصول حاکم بر طراحی شبکه ملی اطلاعات در چه وضعیتی قرار دارد؟ این سوال هم مطرح می شود که با وجود کارآمد بودن شبکه ملی اطلاعات، مشکل نشت اطلاعات از کجا است و مسئولیت افشای اطلاعات پایگاه های داده را چه نهادی برعهده می گیرد.
جای خالی یک مرکز فرماندهی برای امنیت سایبری مطابق با آنچه که در «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی»، در شورایعالی فضای مجازی به تصویب رسیده، مسئولیت هر دستگاهی در مقابله با حوادث فضای مجازی مشخص است. برای مثال طبق این مصوبه، حوادثی که در حوزه عمومی به وقوع می پیوندد، توسط نیروی انتظامی مورد رسیدگی قرار خواهد گرفت و حوادثی که در سازمان ها رخ می دهد از راه وزارت ارتباطات و فناوری اطلاعات باید رسیدگی شود. مسئولیت جمع آوری ادله دیجیتال در جرایم عمومی فضای مجازی هم به عهده نیروی انتظامی و مسئولیت جمع آوری ادله دیجیتال تخلفات اداری در سازمان ها به عهده سازمان حراست کل کشور است. در این مصوبه همه دستگاه ها موظفند که با حوادث فضای مجازی دستگاه مربوط به خود مقابله کنند و به شکلی به حفاظت از پایگاه های داده خود ناگزیر هستند. اما به نظر می آید این قانون پاسخگوی همه نیازها نیست و جای یک مرکز فرماندهی و تصمیم گیری برای امنیت در حوزه حاکمیت سایبری خالی است؛ به نحوی که ناامنی پایگاه داده خیلی از سازمان ها و عدم پاسخگویی به ضرر و زیان های ناشی از نشت این اطلاعات طی ماههای اخیر، شاهد روشنی بر این ادعا است. سردار باقری، معاون فناوری اطلاعات سازمان پدافند غیرعامل در مراسم صدور گواهی امنیتی محصولات بومی حوزه فناوری اطلاعات با انتقاد از وضعیت فعلی کشور در حوزه امنیت سایبری اظهار داشت: با وجود اینکه تفکیک کار در حوزه امنیت سایبری در سازمان فناوری اطلاعات، مرکز افتای ریاست جمهوری و پدافند سایبری صورت گرفته اما وضعیت امنیت در دستگاه ها و نهادهای حاکمیتی مناسب نمی باشد. به قول وی، اگر شبکه ملی اطلاعات به معنای کامل راه بیافتد و شاهد داشتن سیستم عامل بومی، مرورگر بومی و جستجوگر بومی و مواردی از این دست باشیم، صدمه پذیری سایبری حتما کمتر خواهد شد. درباره افشای اطلاعات هویتی کاربران بزرگنمایی می شود پیش از این ابوالحسن فیروزآبادی با اشاره به مواردی همچون افشای اطلاعات پایگاه های داده، هک و تهدیدات مراکز حیاتی و حساس و نقض حریم خصوصی افراد و نبود نظارت بر مصوبه شورایعالی فضای مجازی به خبرنگار مهر اظهار داشت: ما نظارت بسیار دقیق و نزدیکی در این بخش داریم و در مواردی که عنوان شد هم نظارت داشتیم. البته مقداری فضاسازی و بزرگنمایی در ارتباط با افشای اطلاعات هویتی بانکی و تلگرامی صورت گرفت. اما به هر ترتیب همه موارد رسیدگی شد و برخی موارد هم توسط ضابطان قضائی مورد دستگیری و تعقیب قرار گرفتند. دبیر شورایعالی فضای مجازی با اشاره به اینکه کشور به تدریج الکترونیکی می شود و وارد فضای مجازی می شود، تصریح کرد: با آمدن بیماری کرونا و اقبال عمومی مردم جهت استفاده از فضای مجازی، مشخص شد که نرم افزارها و سامانه هایمان آن درجه از امنیت را شاید نداشته باشند که بتوانند پاسخگوی حضور این جمعیت در فضای مجازی باشند. بنابراین متأسفانه شاهد می باشیم که بعضاً رخنه ها و صدمه پذیری های امنیتی در سامانه ها و بانکهای اطلاعاتی وجود دارد. اما اینکه فکر کنید اینها رها شده و رسیدگی نمی گردد، این طور نیست. ما تلاش می نماییم با تقسیم کاری که در کشور صورت گرفته، این مورد تحت کنترل و رسیدگی قرار گیرد. رفع خلاء امنیت سایبری با تحقق واقعی شبکه ملی اطلاعات محمدحسن انتظاری، عضو حقیقی شورایعالی فضای مجازی در گفتگو با خبرنگار مهر، اعتقاد دارد که رفع خلأ امنیت سایبری در کشور با تحقق کامل شبکه ملی اطلاعات صورت می گیرد. وی می گوید: شبکه ملی اطلاعات با این هدف مقرر است ایجاد شود که امنیت اطلاعات در کشور، استقلال، اعمال حاکمیت سایبری و مدیریت آن در اختیار خودمان باشد؛ این اصل اساسی ایجاد شبکه ملی اطلاعات است. این موارد هم در تعریف شبکه ملی اطلاعات و در الزامات اولیه آن در سال ۹۲ به تصویب رسیده است. انتظاری با اشاره به اینکه تا زمانی که شبکه ملی اطلاعات در کشور تحقق پیدا نکرده باشد با مسائلی مانند نشت اطلاعات روبرو می باشیم و مسئله اصلی هم اکنون باید پرداختن به ایجاد و تحقق شبکه ملی اطلاعات باشد. چون که یکی از خصوصیت های اصلی این شبکه، حفاظت و مدیریت اطلاعات و امنیت است. عضو شورایعالی فضای مجازی با اشاره به اینکه در شبکه ملی اطلاعات مبحث امن بودن در لایه های مختلف تعریف شده است، اظهار داشت: تبادل اطلاعات در فضای امن و اعمال سیاست های حاکمیت سایبری در این فضا در اهداف تحقق شبکه ملی اطلاعات مدنظر است. تا زمانی که شبکه ملی اطلاعات به معنای واقعی ایجاد نشود، ما همچنان شاهد اینگونه خطرات و صدمه پذیری ها خواهیم بود. تبادل اطلاعات در فضای امن و اعمال سیاست های حاکمیت سایبری در این فضا در اهداف تحقق شبکه ملی اطلاعات مدنظر است. تا زمانی که شبکه ملی اطلاعات به معنای واقعی ایجاد نشود، ما همچنان شاهد اینگونه خطرات و صدمه پذیری ها خواهیم بود وی با اشاره به اینکه بخشی از موضوعات مربوط به امنیت سایبری به وظایف دستگاه ها باز می گردد که هریک باید وظایف خویش را انجام دهند، افزود: وظیفه دیگر مربوط به محدوده حاکمیت است. به این مفهوم که حاکمیت باید نسبت به ایجاد شبکه ملی اطلاعات که یکی از خصوصیت های اصلی آن امنیت اطلاعات و حفظ داده است، اهتمام جدی به خرج دهد و با ایجاد این شبکه، صدمه پذپری ها را به حداقل برساند. امنیت محتوا در پیام رسان های بومی تضمین می شود بررسی ها نشان داده است که به علت نبود سازوکارهای مشخص فعالیت در شبکه های اجتماعی، بخشی از تهدیدات امنیتی در فضای مجازی که مربوط به نقض حریم خصوصی کاربران می شود، در این شبکه ها اتفاق می افتد. این درحالی است که در تمامی کشورهای پیشرفته دنیا، شبکه های مجازی ملزم به تبعیت از قوانین فضای مجازی آن کشورها برای صیانت از حریم خصوصی کاربران هستند و در صورت نقض آنها با جریمه های سنگینی مواجه می شوند. اما در ایران مشخص نبودن مصادیق گردآوری، استفاده، نگهداری، افشا و مسئولیت های متولیان داده های شخصی همچون شبکه های اجتماعی داخلی و خارجی، حفاظت از حریم خصوصی کاربران در فضای مجازی را با سوالات جدی مواجه ساخته و برای خیلی از مصادیق نقض حریم خصوصی در فضای مجازی هنوز قانونی مصوب نشده است. در این حوزه عضو شورایعالی فضای مجازی با اشاره به اینکه در سند تحقق شبکه ملی اطلاعات بر حفاظت از امنیت اطلاعات تاکید ویژه ای شده است، می گوید: بنابراین تاکید بر استفاده از پیام رسان های داخلی می شود. چون که اطلاعات شخصی کاربران که توسط پیام رسان های خارجی جمع آوری می شود در داخل کشور نیست و هیچ امنیتی هم برای آن وجود ندارد. موارد گوناگونی که از نشت اطلاعات در تلگرام اتفاق می افتد، گواه این مورد است. اما استفاده از شبکه های اجتماعی داخلی با عنایت به قوانین و مقرراتی که برای آنها متصور است، می تواند تا حدی تضمین کننده صیانت از حریم خصوصی افراد و حفاظت از اطلاعات باشد. دبیر سابق شورایعالی فضای مجازی با اشاره به مبحث امنیت در لایه محتوا و خدمات شبکه ملی اطلاعات اظهار داشت: این مورد با عنایت به این که یکی از ضروریات در سند تبیین الزامات شبکه ملی اطلاعات بوده است، باید در سند کلان شبکه ملی هم دنبال شود. وی ادامه داد: تضمین امنیت در لایه محتوا و خدمات محتوایی شبکه ملی اطلاعات در کمیته های تخصصی در مرکز ملی فضای مجازی بررسی شده است اما هنوز به صحن شورایعالی فضای مجازی برای تصویب نیامده است. انتظاری اضافه کرد: برای تحقق این مهم، بخش های محتوایی کشور (اعم از سازمان تبلیغات اسلامی، وزارت ارشاد، سازمان صدا وسیما) گزارشاتی را به کمیسیون تخصصی مرکز ملی فضای مجازی، عرضه دادند ولی این گزارش هنوز به جمع بندی نهایی نرسیده است. دستگاه ها در مورد حفاظت اطلاعات گزارش دهند عضو شورایعالی فضای مجازی اظهار داشت: در ارتباط با حفاظت از داده ها، شورایعالی فضای مجازی مصوبه ای تحت عنوان «نظام پیشگیری و مقابله با حوادث سایبری» داشته که در آن، یک تقسیم کار ملی برای مدیریت کلان داده در کشور صورت گرفته و توسط مرکز ملی فضای مجازی نظارت می شود. در این سند، برای هر دستگاه تکالیفی دیده شده و الان این دستگاه ها باید به شورایعالی فضای مجازی گزارش دهند که برای پیاده سازی این مصوبه، چه اقداماتی انجام داده و چه برنامه ای تدوین کرده اند. انتظاری تصریح کرد: تا زمانی که فعالیت هر یک از دستگاه های مسئول، مشخص نشود، نمی توان اظهار داشت که نظام پیشگیری حوادث فضای مجازی در چه بخش هایی با خلأ مواجه می باشد. وی با اشاره به اینکه مسئولیت هماهنگی این نظام، بر عهده مرکز ملی فضای مجازی است، اظهار داشت: نحوه برخورد دستگاه های در رابطه با مصوبه شورایعالی فضای مجازی در درجه اهمیت قرار دارد و آنها باید در این حوزه به صورت فعال، برنامه خود برای پیاده سازی وظایف شان را ارائه نمایند. عضو شورایعالی فضای مجازی با تاکید بر اینکه دستگاه ها باید گزارش بدهند که در مورد حفاظت از اطلاعات چه کار باید انجام می دادند و چه اقداماتی انجام داده اند، اضافه کرد: بررسی ها نشان داده است که برخی دستگاه ها که مسئولیت به عهده شأن است مسئولیت پذیرفته اند اما بعضی ها به صورت برنامه ریزی شده به این مصوبه نگاه نکردند و وظایف جاری خویش را پیش می برند. بررسی ها نشان داده است که برخی دستگاه ها که مسئولیت به عهده شأن است مسئولیت پذیرفته اند اما بعضی ها به صورت برنامه ریزی شده به این مصوبه نگاه نکردند و وظایف جاری خویش را پیش می برند وی با اشاره به مشکل نشت اطلاعات و بی اهمیت جلوه دادن آن در کشور، اظهار داشت: باید از دستگاه هایی که در آنها درز اطلاعات اتفاق افتاده، گزارش دقیق خواست و این مسؤلان باید پاسخگو باشند. در هر دستگاهی حفاظت از اطلاعات در درجه نخست اهمیت قرار دارد و مسئولیت حفاظت از اطلاعات به عهده همان دستگاه است و ساده انگاری مسئله، صحیح نیست. خدمات و زیرساخت های امنیتی، باید ارزیابی امنیتی شوند ابوذر عرب سرخی، رئیس پژوهشکده امنیت پژوهشگاه ارتباطات و فناوری اطلاعات هم در گفتگو با خبرنگار مهر، چاره مشکل حفاظت از داده در کوتاه مدت را ارزیابی امنیتی در خدمات و زیرساخت ها عنوان می کند و می گوید: پیشنهاد من این است که برای حل مشکل حفاظت از داده در کوتاه مدت، نگاه مان به سمت امن سازی خدمات و زیرساخت های مبتنی بر ارزیابی امنیتی باشد. وی اظهار داشت: مبحث این است که داده های ما در فضای سایبر اصولاً به اپلیکیشن های موبایل و خدمات تحت وب مربوط می شود و این کاربردها در یک بستر ارتباطی میزبانی شده و از یک زیرساخت ارتباطی بهره برداری می کنند. ازاین رو اگر بخواهیم از این داده ها صیانت نماییم و دغدغه مان حریم خصوصی است، یکی از طریق های مؤثر و مواجهه کارآمد با این مشکلات، می تواند ارزیابی امنیتی مستمر این برنامه های کاربردی و زیرساخت های ارتباطی باشد. عرب سرخی افزود: در این راستا باید با شناسایی صدمه پذیری ها در این عرصه، مانند نشت اطلاعات و نقض سیاست های امنیتی در حوزه حریم خصوصی، نسبت به امن سازی در این عرصه اقدام نماییم. با این رویکرد، پژوهشکده امنیت سال ها است که فعالیت می کند و ذیل نظر مرکز راهبردی افتا و مشارکت معاونت امنیت سازمان فناوری اطلاعات، بعنوان یکی از آزمایشگاه های مرجع امنیت در سطح کشور فعالیت دارد که نه تنها در حوزه شبکه، اپلیکیشن و زیرساخت، بلکه در حوزه سیستم های کنترل صنعتی هم تست های ارزیابی امنیتی انجام می دهد. وی اظهار داشت: آزمایشگاه تست محصولات صیانت و سالم سازی، آزمایشگاه تست زیرساخت های شبکه و آزمایشگاه تست اپلیکیشن به صورت کنسول و یا وب سرویس، همچون آزمایشگاه های تحت نظر پژوهشکده امنیت هستند و اخیراً هم مجوز نخستین آزمایشگاه تست سامانه های کنترل صنعتی را دریافت کرده ایم. پژوهشکده امنیت در زمینه این محصولات به فعالیت می پردازد و آزمایشگاه آن، متولی ارزیابی بخشی از محصولات صنعتی پرکاربرد در زیرساخت های حیاتی کشور به حساب می آید. عرب سرخی تصریح کرد: ما معتقدیم که تست و تائید محصولات خارجی پیش از بکارگیری آنها در سطح زیرساخت های حیاتی کشور بسیار حیاتی می باشد. بعنوان مثال، بروز تهدیدات سایبری مانند «استاکس نت» و «فلیم» روی زیرساخت های اطلاعاتی و صنعتی کشور نشان داد که فایروال های خارجی این حملات را شناسایی نکردند. به قول وی، مشخص است که اغلب حملاتی که به زیرساخت های حیاتی و حساس انجام می شود، اساساً از نوع حملات سازمان یافته است و حاکمیت ها و دولت ها پشت آن قرار دارند و یا از جانب نهادهای تبهکاری انجام می شود که تزریق مالی شأن از راه دولت های متخاصم صورت می گیرد. ازاین رو ارزیابی امنیتی تمامی محصولات خارجی و داخلی باید در اولویت امر متولیان زیرساخت های حیاتی و حساس کشور قرار گیرد. اغلب حملاتی که به زیرساخت های حیاتی و حساس انجام می شود، اساساً از نوع حملات سازمان یافته است و حاکمیت ها و دولت ها پشت آن قرار دارند و یا از جانب نهادهای تبهکاری انجام می شوند که تزریق مالی شأن از راه دولت های متخاصم صورت می گیرد رئیس پژوهشکده امنیت پژوهشگاه ارتباطات و فناوری اطلاعات تصریح کرد: در این حوزه بهترین فضا برای تشخیص قابلیت عملکردی و راندمان سیستم، فضای آزمایشگاهی است که در یک محیط شبیه سازی شده، کاربرد مطمئن و امن محصولات و خدمات، مورد ارزیابی قرار می گیرد. نبود متدولوژی توسعه امن اپلیکیشن در کشور عرب سرخی با اشاره به اینکه در حوزه اپلیکیشن های تحت وب و موبایل هم ارزیابی امنیتی در آزمایشگاه ما انجام می شود، اظهار داشت: اما آنچه که مشخص است این است که با وجود بلوغ در حوزه توسعه دهندگان اپلیکیشن ها، اما متدولوژی توسعه امن اپلیکیشن در کشور مورد استفاده قرار نمی گیرد؛ در حالیکه باید به این اصل توجه داشت که هرچه اطلاعات حیاتی تر باشند، حفاظت از داده و صیانت آنها برای ما مهم تر است و ضریب حساسیت الزامات امنیتی راجع به داده های سامانه های حساس و حیاتی باید سختگیرانه تر باشد اما هم اکنون این مورد در کشور رعایت نمی گردد. وی افزود: با وجود تلاشهای مرکز راهبردی افتا، سازمان پدافند غیرعامل و شورایعالی فضای مجازی و غیره، همچنان نگاه ما نگاه سیستمی و پیشگیرانه نیست و منفعلانه است. هنوز نگاه می نماییم زمانی که اتفاقی رخ داد، آغاز به رفع و رجوع و رسیدگی به آن می نماییم و این نگاه منفعل است. ازاین رو باید تلاش شود تا پیش از بروز مشکل و مبتنی بر ارزیابی مخاطرات، نسبت به پیگیری اقدامات امنیتی لازم عمل شود. تضمین امنیت در شبکه ملی اطلاعات نیازمند تلاش اکوسیستمی رئیس پژوهشکده امنیت پژوهشگاه ارتباطات و فناوری اطلاعات در پاسخ به چگونگی اهداف شبکه ملی اطلاعات برای تحقق امنیت سایبری با ایجاد شبکه ای امن و حفاظت شده و با رعایت سالم سازی و امنیت لایه های بالایی خدمات کاربردی و محتوا، تصریح کرد: نکته این است که شبکه ملی اطلاعات فقط زیرساخت اطلاعاتی و ارتباطی نیست. آنچه که در اختیار وزارت ارتباطات است، این دو لایه است. اما همانطور که در این سوال هم عنوان شد، امنیت لایه خدمات و محتوا در لایه ای جدا از امنیت لایه زیرساخت های ارتباطی باید تأمین شود. وی اظهار داشت: برای مثال در لایه محتوا، رایج ترین تهدیدات «فیک نیوز» و «نقض صحت» است و اینها ربطی به سازوکار امنیتی حوزه ارتباطات ندارد. در لایه خدمات هم ما در فضای سایبری قانون مشخصی نداریم و تکالیف آن هم به عهده وزات ارتباطات نیست. عرب سرخی اضافه کرد: من بعنوان یک کارشناس و پژوهشگر امنیتی، معتقدم که شبکه ملی اطلاعات از نظر زیرساخت ارتباطی و اطلاعاتی کارکرد خویش را حفظ نموده و پایداری داشته و در سرویس دهی عرضه کنندگان خدمات، وابستگی به منابع بیرونی را کم کرده و برمبنای آن شاهد خدمات پایدار بوده ایم؛ ما یک بخشی از این لایه را مربوط به استقرار امنیت می دانیم و از نظر من بعنوان کسی که در حوزه امنیت کار می کند، وزارت ارتباطات در این عرصه خوب کار کرده است. وی اظهار داشت: باید توجه داشت که مسائل امنیتی لایه محتوا و خدمات، اساساً خارج از کنترل ما است و امنیت شبکه ملی اطلاعات را باید در چارچوب یک اکوسسیستم تعریف کرد. تمامی وظایف این اکوسیستم به دوش وزارت ارتباطات نیست و این وزارت خانه تنها در حوزه امنیت زیرساخت های اطلاعاتی و ارتباطی مکلف است. این تکلیف مربوط به داده هایی می شود که در دیتاسنتر وجود دارد و باید حداکثر الزامات امنیتی را تأمین کند. اما در حوزه خدمات و محتوا با مسائلی روبرو می باشیم که اینها باید در جای خود حل و فصل شوند و همه موارد را نمی توان با یک چاره واحد مدیریت کرد. رئیس پژوهشکده امنیت پژوهشگاه ارتباطات و فناوری اطلاعات افزود: در این اکوسیستم سازمان صدا و سیما، رسانه ها، بانک ها، نیروهای مسلح، پدافند غیرعامل و … باید حضور داشته باشند و باید ملاحظات امنیتی در لایه خدمات و محتوا پیشبینی و اجرایی شود.
وجود گلوگاه در اشراف به کنترل فضای مجازی وی اظهار داشت: شاید یکی از جدی ترین مشکلات امنیتی بخصوص در حوزه CDN که با آن روبرو می باشیم، بحث هرزنامه باشد. ما شاهد انتشار انواع و اقسام هرزنامه ها هستیم اما سوال اینجاست که آیا این مساله تنها با حضور و نقش آفرینی وزارت ارتباطات و فناوری اطلاعات حل می شود، پاسخ خیر است چونکه مدیریت این فضا بر عهده ما نیست. عرب سرخی افزود: مشکل دیگری که با آن مواجه هستیم این است که نهادهای بالاسری در حوزه امنیت سایبری مختلف هستند. برای مثال مرکز ملی فضای مجازی سیاستگذار این حوزه است و مرکز مدیریت راهبردی افتای ریاست جمهوری نقش مرجع راهبردی را برعهده دارد اما سطح تعامل میان دستگاه های مختلف برای نیازهای امنیتی کم است. با این وجود و به علت اینکه ما در کشور گرفتار سیستم بروکراسی هستیم، یک مصوبه حدود یک سال طول می کشد تا توسط واحدهای مربوطه به اجرا برسد. وی ادامه داد: این درحالی است که اینگونه تهدیدات در فضای سایبر مرتباً در حال تغییر است و فناوری های نوین با اشکال جدید وارد این فضا می شوند، ازاین رو در این چرخه، نیازمند تسریع چرخه تصمیم گیری، تدوین آیین نامه ها و مصوبات نهادهای بالادستی و هم تقویت شبکه سازی و ارتقای سطح تعامل پذیری بین کلیه دستگاه ها هستیم. بحث بعدی هم این است که اگر قصدمان این است که می خواهیم موفق به صیانت از حریم خصوصی افراد و حفاظت از داده ها شویم، باید سطح اشراف و کنترل مان را در فضای مجازی ارتقا دهیم و این یک گلوگاه است. رئیس پژوهشکده امنیت پژوهشگاه ارتباطات و فناوری اطلاعات تصریح کرد: ما در پژوهشکده امنیت در حال کار روی مراکز رصدی در حوزه امینت هستیم و سامانه اشتراک گذاری و تحلیل اطلاعات امنیتی را برای بخش فاوا توسعه داده ایم. در همین حال سامانه عرضه اخطار ملی امنیت را هم بعنوان داشبورد پشتیبان برای بخش فاوا توسعه دادیم. البته کارآمدی این سیستم مستلزم توسعه سایر سیستم های نظیر در سطح دیگر زیرساخت های حیاتی کشور است. پیوست پدافندی شبکه ملی اطلاعات سطح امنیت را ارتقا می دهد وی در مورد تدوین پیوست پدافندی شبکه ملی اطلاعات در پژوهشکده امنیت هم توضیح داد: ما پیوست را تدوین کردیم و برای عملیاتی شدن آن در حال تعامل با سازمان پدافند غیرعامل از راه کمیته پدافند غیرعامل وزارت ارتباطات هستیم. رونمایی اولیه این پیوست برای سردار جلالی انجام شده و ما معتقدیم که این پیوست باید در محیط سازمان پدافند غیرعامل و قرارگاه سایبری بررسی و اصلاح شده و از نظرات نهایی ذینفعان هم بهره گرفته شود. ازاین رو تعامل با سازمان پدافند غیرعامل برای اصلاح و عملیاتی شدن آن در حال انجام می باشد. پیوست پدافندی شبکه ملی اطلاعات در سطح سیاستگذاری است و با عملیاتی شدن آن شاهد تحقق الزامات پایه در سطح زیرساخت های حیاتی کشور در حوزه پدافند سایبری خواهیم بود عرب سرخی تصریح کرد: در مورد کاربردی شدن پیوست پدافندی شبکه ملی اطلاعات هم باید اظهار داشت که این سند در سطح سیاستگذاری است و با عملیاتی شدن آن شاهد تحقق الزامات پایه در سطح زیرساخت های حیاتی کشور در حوزه پدافند سایبری خواهیم بود. اجرا، ممیزی و پیگیری سند پدافندی شبکه ملی اطلاعات نیازمند استفاده از ظرفیت های سازمان پدافند غیرعامل است تا با تعامل این سازمان، در مورد اجرای الزامات این سند هم تقسیم کار مربوط به آن صورت گیرد. رئیس پژوهشکده امنیت پژوهشگاه ارتباطات و فناوری اطلاعات افزود: باآنکه در حوزه الزامات پدافندی و پدافند سایبری شبکه ملی اطلاعات، برای تقسیم کار الزامی دیده نشده است و هدف این بوده که بدانیم برای پایداری و تاب آوری شبکه ملی اطلاعات چه الزاماتی باید تأمین شود، اما پیوست پدافندی شبکه ملی اطلاعات بر این اساس طراحی شده که مشخص شود برای پایداری و تاب آوری شبکه، هرکدام از متولیان زیرساخت حیاتی، به تفکیک چه کارهایی را باید انجام دهند. این در برنامه ریزی ما است و با سازمان پدافند غیرعامل و قرارگاه سایبری و با مشارکت کمیته پدافند غیرعامل وزارت ارتباطات، این هدف را پیش برده و انشالله عملیاتی می نماییم.
منبع: ict-pars.ir
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب