سوسن صادقی
خبرنگار
 جایگاه ایران در ارزیابی شاخص‌های جهانی امنیت سایبری، 6 رتبه ارتقا یافت و در بین 194 کشور در جایگاه 54 ایستاد. درباره ارتقای وضعیت امنیت سایبری کشورمان در جهان با «بیتا کیامهر»، مدیر کل نظام مدیریت امنیت اطلاعات (نما) سازمان فناوری اطلاعات ایران گفت‌و‌گو کرده‌ایم که می‌خوانید.
ارزیابی شاخص‌های جهانی امنیت سایبری شامل چه مواردی است؟
اتحادیه بین‌المللی مخابرات (ITU) به‌صورت دوره‌ای و دوسالانه از طریق پرسشنامه‌هایی با بیش از 80 سؤال شاخص امنیت (global cyber security index) کشورهای جهان را از نظر امنیت سایبری ارزیابی می‌کند که این ارزیابی‌ها در 5 محور قانونی، فنی، ظرفیت سازی، سازمانی و تعاملی صورت می‌گیرد. سازمان فناوری اطلاعات ایران با انجام دقیق فعالیت‌های کارشناسی موفق شد که به درستی سیاست‌های این 5 محور را به مسئولان دستگاه‌های اجرایی منعکس کند تا شاهد ارتقای 6 پله‌ای در جهان باشیم.
در رده‌بندی ارزیابی شاخص‌های جهانی امنیت سایبری بالاتر از چه کشورهایی قرار گرفته‌ایم؟
 در سطح جهانی کشور ما در بین 194 کشور در جایگاه 54 و بالاتر از کشورهایی مانند کویت، بحرین، سودان، آفریقای جنوبی، سنگال، میانمار، جامائیکا و... ایستاد. در منطقه آسیا و اقیانوسیه هم رتبه 12 را در بین 37 کشور به‌ دست آورد و بالاتر از کشورهایی چون فیلیپین، پاکستان، سریلانکا و... پایین‌تر از کشورهای کره جنوبی، سنگاپور، مالزی، چین، هند و... قرار گرفت.
امتیازهای کشورمان نسبت به رده بندهای قبلی چقدر تغییر داشته است؟
در سال‌های 2017 و 2018 کشور ما رتبه 60 و به ترتیب494 هزارم و 641 هزارم امتیاز به‌ دست آورد. این در حالی است که امتیاز ما در این رده‌بندی اخیر یعنی در سال 2021 به81.06 درصد ارتقا یافته است.
به انجام فعالیت‌های کارشناسی و اقدام‌های مؤثر از سوی سازمان فناوری اطلاعات اشاره کردید دقیقاً چه نوع اقدام‌هایی صورت گرفته است؟
 از جمله اقدام‌هایی که با مشارکت سازمان فناوری اطلاعات ایران و دستگاه‌های اجرایی صورت گرفت و در بالا رفتن امتیاز کشورمان در این رتبه‌بندی نقش داشت، هوشمندسازی مدارس، فعالیت کودکان در اینترنت، ارائه سیم کارت دانش‌آموزی، راه‌اندازی پیام رسان بومی ویژه کودکان مانند شبکه شاد، تهیه دستورالعمل‌ها و الزام‌های حوزه امنیت، توسعه استانداردسازی فنی و...بود. از سوی دیگر بومی‌سازی استانداردهای حوزه امنیت برای تمام افراد جامعه، حتی افراد کم توان نیز انجام شد. همچنین دستورالعمل‌ها و الزام‌های امنیت سایبری مانند دستورالعمل‌های امن‌سازی پایگاه اطلاعاتی به دستگاه‌های اجرایی ابلاغ شد. در حوزه امنیت سایبری برای بخش خصوصی هم امکان مشاوره، پیاده‌سازی و ممیزی سیستم مدیریت امنیت اطلاعات در سازمان‌ها از طریق ارزیابی، اعتباربخشی و اعطای پروانه‌ حوزه‌های خدمات و محصولات امنیت فضای تولید و تبادل اطلاعات فراهم شد. بسترهای متعدد تعاملات امن اطلاعاتی مانند سیستم‌های ارتباطی جهت دریافت لاگ رخدادهای رایانه‌ای ایجاد شد. بسیاری از طرح‌های مطالعاتی و پژوهشی را با همکاری بخش‌های دولتی و خصوصی نیزعملیاتی کرد که منجر به بومی‌سازی دستورالعمل و استانداردهای حوزه امنیت شد.
بیشترین تهدیدات امنیت سایبری که در کشور رخ می‌دهد از چه نوع تهدیداتی است؟
فضای تولید و تبادل اطلاعات کشورهر روزه با حملات و تهدیدات سایبری مختلفی روبه‌رو می‌شود که برخی از حملات بسیار پیچیده و هوشمندانه توسط انسان و ماشین انجام می‌شود. برخی حملات هم از طریق هکرها و بدافزارها رخ می‌دهند. (که معمولاً اطلاعات آنها به‌صورت عمومی از طریق مرکز ماهر سازمان فناوری اطلاعات در اختیار عموم قرار می‌گیرد.) ولی در کل می‌توان گفت حملات از جنس باج افزارها، باگ‌ها، ویروس‌ها، بک دورها، جاسوسی‌های سایبری و... است.
چارچوب اصلی مقابله با تهدیدات سایبری را چه ارکانی تشکیل می‌دهد؟
 از دو رکن مدیریت و موارد فنی تشکیل شده است. ارکان مدیریتی و فنی هم شامل پرورش نیروهای انسانی متخصص، تدوین راهبردهای امنیتی و ارتقای نرم افزار، مغزافزار و سخت افزارهای حوزه امنیت است. البته در این میان نباید اتخاذ تدابیر پیشگیرانه و راه‌اندازی مرکز آموزش مجازی و خودکفایی کشور در طراحی متدولوژی فناورانه، کنترل و رصد حملات و تهدیدات سایبری را فراموش کرد، چرا که این موارد باید در رأس امور قرار بگیرند.
در مسیر حرکت امنیت سایبری، سازمان فناوری اطلاعات، اصلاحاتی را انجام داده است. درباره این اصلاحات توضیح می‌دهید که چه روش و تکنیک‌هایی را اجرایی کرده‌اید؟
سازمان فناوری اطلاعات ایران برای ارتقای فرهنگ امنیت کاربران و طراحان حوزه‌های فناوری اطلاعات دوره‌های آموزشی برگزار می‌کند. از سوی دیگر سیستم مدیریتی امنیت اطلاعات ISMS را طراحی و اجرایی کرده است. با مشارکت سازمان ملی استاندارد ایران، بومی‌سازی استانداردهای تخصصی این حوزه را تدوین و تعامل و ارتباط مؤثری را با نمایندگان فنی سازمان و دستگاه‌های اجرایی کشور در حوزه امنیت برقرار کرده تا روند حرکت کشور را در حوزه امنیت سایبری بهبود بخشد. البته باید گفت اقدام‌هایی که امروز در حوزه امنیت سایبری انجام می‌شود، بیشتر بر اساس پیش‌بینی‌های فنی ارزیابی مخاطرات و شناسایی آسیب‌پذیری و نقاط ضعف بالقوه برنامه‌ریزی شده است. دیگر امروزه نمی‌توان منتظر بروز حملات و انجام اقدام‌های اصلاحی و پیشگیرانه ماند، بلکه در شرایط عادی باید به فکر مدیریت بحران و استقرار طرح‌های بازیافتی پس از فاجعه و تداوم خدمات‌رسانی بود. بر این اساس روش‌ها و تکنیک‌های امروزی نسبت به سابق پیشرفته‌تر و پیچیده‌تر شده است. به‌هر حال با برداشتن گام‌های اصلی که عنوان شد، می‌توان باعث امن‌سازی فضای سایبری شد ولی مهم این است که میان اقدام‌ها و هدفگرا بودن فرایندهای امنیت، هم‌افزایی وجود داشته و مطابق با سناریو و راهبردهای کلان این حوزه باشد تا در زمان وقوع حملات از اطلاعات و داده‌ها بخصوص داده‌های شخصی کاربران و حریم خصوصی آنان محافظت کنیم.
به رعایت ملاحظات و الزامات امنیت سایبری امنیتی اشاره کردید دراین باره توضیح می‌دهید؟
الزامات امنیتی شامل موارد بسیاری است؛ به‌عنوان مثال باید از برنامه‌های کاربردی استفاده کرد. شبکه‌های محلی را امن‌سازی کرد. آزمون‌های نفوذپذیری منظم دوره‌ای انجام شود. آسیب پذیرهای بحرانی شناسایی و رفع شود. نرم افزارها به‌روزرسانی شوند. به وصله‌های امنیتی توجه شود. دسترسی‌ها کنترل و مدیریت شوند. از رمزهای عبور با ساختار پیچیده و نرم افزارهای بومی استفاده شود و... مهمتر اینکه دستگاه‌ها باید از محصولات و خدمات شرکت‌های دارای مجوز و پروانه معتبر که لیست آنها در سایت سازمان فناوری اطلاعات درج شده استفاده کنند.
چه نوع استانداردهای فنی و مدیریتی در امنیت سایبری در کل کشور باید رعایت شود؟
 یکی از مهم‌ترین استانداردها، استانداردهای امنیتی خانواده ایزو 27000، بخصوص ایزو 27001 (سیستم مدیریت امنیت اطلاعات)، استانداردهای مدیریت مخاطرات و به‌ روش‌ها و متدولوژی‌های امنیت است. البته باید گفت که با استقرار تنها یک استاندارد  یا صرفاً با استفاده از یک روش و یا یک ابزار خاص مثل آنتی ویروس، نمی‌توان امنیت سایبری را در کل سامانه‌ها برقرار کرد. بنابراین باید در این میان، به برقراری امنیت در تمام اجزای شبکه توجه کرد.
برای ارتقای رتبه وضعیت امنیت سایبری کشورمان در منطقه و جهان چه مواردی باید در دستور کار قرار بگیرد؟
برای پایداری این روند و ارتقای بیشتر نیاز به عزم ملی و همکاری بیشتر دستگاه‌های اجرایی در فضای تولید و تبادل اطلاعات داریم، چرا که بدون همکاری سازمان‌ها و دستگاه‌های اجرایی ارتقا ممکن نیست. دستگاه‌های اجرایی باید استانداردهای حوزه امنیت مانند ایزو 27001 را برای پیاده‌سازی سیستم مدیریت امنیت اطلاعات در دستگاه خود مستقر کنند. افرادی که در حوزه امنیت سایبری فعالیت می‌کنند باید دانش تخصصی خود را به‌رورزسانی کنند تا ضریب تاب‌آوری امنیت سایبری در کشور افزایش یابد و خسارت ناشی از حملات تعدیل شود. از سوی دیگر تمام کاربران حقیقی و حقوقی فضای سایبری، طراحان و توسعه دهندگان سامانه‌ها به همراه پشتیبانی کننده‌ها نیاز است که ملاحظات و الزامات امنیت اطلاعات مانند دستورالعمل‌ها و الزامات امنیتی پورتال‌ها، مراکز داده و سایر الزاماتی را که بیشتر آنها در زمان استقرار سیستم مدیریت امنیت مختص هر سازمانی تدوین می‌شود به‌صورت جدی رعایت کنند تا شاهد بلوغ در این حوزه و کاهش آسیب پذیری‌های احتمالی باشیم و بتوانیم رتبه خود را در جهان و منطقه ارتقا دهیم.

وزیر ارتباطات و فناوری اطلاعات گفت: تبیین یک نظام حکمرانی سایبری درست، بدون تبیین نظام‌های هویت و مالکیت ممکن نیست. شاید بتوان گفت صیانت از داده‌ها مسأله آخر است و نمی‌تواند تک بعدی باشد و تنها به بیان حقوق حاکمیت بر مردم بپردازد.به گزارش ایرنا، «محمدجواد آذری جهرمی» در کانال تلگرامی خود با انتشار مطلبی با عنوان «سخن آخر در باب حکمرانی سایبری» نوشت: شاید مهم‌ترین نقصی که این روزها در برخی نگاه‌ها و قوانین به چشم می‌خورد، نبود یک تعریف کامل، جامع و درست از حکمرانی سایبری است. نگاه ابتری که به راه‌حل‌های ابتر می‌انجامد و آن‌گاه نتیجه‌اش می‌شود موجود ناقص‌الخلقه‌ای که آن را حکمرانی می‌نامیم.
وزیر ارتباطات افزود: حکمرانی، از یک نگاه یعنی تنظیم قواعد بین فاعل‌ها (Subjects) و مفعول‌ها (Objects). پس اولین مسأله در تبیین نظام حکمرانی سایبری، تشخیص و تعریف دقیق اجزا است. کاربران فضای مجازی فاعل‌ و اطلاعات و داده‌ها مفعول هستند. در این بین پردازشگرها در تعاریف امروزی هم می‌توانند فاعل باشند و هم مفعول. جهرمی خاطرنشان کرد: حال اگر بخواهیم یک چارچوب حکمرانی درست تبیین کنیم باید به تک تک این اجزا بپردازیم و بعد روابط و ضوابط‌شان را مشخص کنیم، نه اینکه به دلخواه یکی را انتخاب و با عینکی خاص به آن نگاه کنیم.وی تصریح کرد: ما هنوز در بحث هویت کاربران فضای مجازی با مشکل مواجه ایم. چرایش شاید جالب باشد! هویت یک ایرانی در فضای حقیقی توسط سازمان ثبت احوال ثبت و گواهی می‌شود. برای اتباع خارجی مقیم ایران، وزارت خارجه ویزا صادر می‌کند. وزارت کشور نیز کارت هویتی خاصی صادر می‌کند. نیروی انتظامی هم برای دسته‌ای دیگر مدرک هویتی صادر می‌کند.در بحث هویت در فضای حقیقی، کشور دارای متولیان چند گانه است. حال حساب کنید که همه این موازی‌کاری‌ها و مدیریت‌های چندگانه در بحث هویت در فضای مجازی می‌خواهد یکجا تجمیع شود. بحث امضای دیجیتال نیز یک نمونه دیگر از این موازی‌کاری‌ها است و البته از این مثال‌ها بسیار.وی با بیان این‌که درباره به رسمیت شناختن پردازشگرها، هنوز در هیچ قانون مصوب یا حتی رد پایی هم وجود ندارد، افزود: اما مالکیت یکی از قواعد مهم در دنیای حقیقی است. آیا تبیین یک نظام حکمرانی سایبری درست، بدون تبیین نظام‌های هویت و مالکیت ممکن است؟
جهرمی در ادامه بیان داشت: با نگاهی جامع و با توجه به آنچه که پیش‌تر گفته شد، در سال ۹۶ با درک ضرورت تبیین حکمرانی سایبری، پنج لایحه تقدیم دولت کردیم. در تضاد منافع بین سازمان‌ها و بعضاً قوا، این مصوبات در پیچ و خم کمیسیون‌های فرعی و اصلی دولت رفت و آمد کرد و حالا دست‌ آخر تنها یکی از آنها، پس از فراز و نشیب‌های فراوان در دستور طرح در صحن دولت قرار گرفته است.

گروه مایکروسافت در گزارشی اعلام کرد که یک گروه وابسته به رژیم صهیونیستی نرم افزاری را برای نفوذ به سیستم عامل ویندوز در کشورهایی از جمله ایران، به فروش رسانده است.
به گزارش ایسنا به نقل از خبرگزاری رویترز، گروه «مایکروسافت و فناوری حقوق بشری» اعلام کرد گروهی به نام کاندیرو، نرم‌افزاری ساخته و فروخته است که می‌تواند به سیستم عامل ویندوز نفوذ کند و این یکی از چندین محصولات جاسوسی به فروش رسیده توسط صنعتی سری است که ضعف‌های موجود در نرم افزارهای متداول را شناسایی کرده و از این طریق نفوذ می‌کند.
طبق گزارش گروه مایکروسافت و فناوری حقوق بشری، تحلیل و بررسی فنی محققان امنیتی شرح می‌دهد که چگونه نرم‌افزار هک کاندیرو به دست مشتریان ناشناسی در سراسر جهان رسیده که در آنجا برای هدف قرار دادن چندین سازمان غیرنظامی مورد استفاده قرار گرفته است.
رویترز می‌گوید تلاش‌ها برای دسترسی به کاندیرو برای ارائه توضیحاتی در این باره ناموفق بوده است.بنابه گزارشی که گروه مایکروسافت و فناوری حقوق بشری ارائه کرده است، بررسی‌های فنی شرکت مایکروسافت نشان داده که این نرم‌افزار علیه کاربرانی در چندین کشور از جمله ایران، لبنان، اسپانیا و انگلیس مورد استفاده قرار گرفته است.