سوسن صادقی
خبرنگار
بتازگی مرکز تخصصی آموزش مجازی امنیت فضای تولید و تبادل اطلاعات (امنیت سایبری) از سوی سازمان فناوری اطلاعات ایران (securitylms.cert.ir) برای آموزش حوزه امنیت سایبری دستگاه‌ها و سازمان‌های دولتی و عمومی رونمایی شد. به بهانه آغاز به کار این مرکز، با «ابوالقاسم صادقی» معاون امنیت فضای تولید و تبادل اطلاعات گفت و گو کرده‌ایم که می‌خوانید.
این مرکز با چه هدفی آغاز به کار کرده است و مخاطبان آن را چه کسانی تشکیل می‌دهند؟
هدف اصلی، تأمین محتوای با کیفیت و برگزاری کارگاه‌های آموزشی برای افزایش دانش، مهارت و توانمندی کارکنان دولت و بخش خصوصی در حوزه امنیت فضای تولید و تبادل اطلاعات است و به نوعی مخاطبان آن را کارشناسان دستگاه‌های دولتی تشکیل می‌دهند.
آیا برای اولین بار است که سازمان فناوری اطلاعات اقدام به برگزاری چنین کلاس‌های آموزشی کرده است؟
خیر. در دو سال و نیم گذشته بیش از 300 هزار نفرساعت آموزش امنیت سایبری در کشور برگزار کرده‌ایم که 100درصد این آمار با همکاری دانشگاهی و شبکه‌های سازمان فناوری اطلاعات در استان‌ها بوده و بالای 60درصد از این آمار مربوط به سازمان‌ها و دستگاه‌های دولتی است.
آیا شرایط کرونا باعث شده است که آموزش به صورت مجازی برگزار شود؟
خیر. از آنجایی که آموزش امنیت سایبری به یک پروسه مستمر و طولانی مدت و تثبیت شده نیاز دارد و از سوی دیگر قرار است آموزش‌ها در سطح ملی برگزار شود، این مرکز آموزش تخصصی تولید و تبادل اطلاعات امنیت سایبری به صورت غیرحضوری و آنلاین برگزار می‌شود. برگزاری آموزش‌ها در قالب مرکز آموزش مجازی باعث می‌شود آموزش‌ها در دسترس تر، سریع تر و تکرار شونده تر برگزار شود.
محتواهایی که قرار است در این مرکز آموزش داده شود، چگونه انتخاب شده است؟
این کلاس‌ها مطابق با استانداردهای بین المللی و سرفصل‌های آن برگزار خواهد شد. حتی امکانات آزمایش‌های مجازی به صورت پیشرفته و تجهیز شده نیز فراهم شده تا در روند آموزش راندمان خوبی داشته باشیم.
از آنجایی که برخی از مشکلات به‌وجود آمده در سازمان‌ها و دستگاه‌های دولتی به نداشتن دانش امنیت سایبری مدیران برمی‌گردد، آیا برای آموزش مدیران هم تدابیری اندیشیده شده است؟
بله چراکه معتقدیم مدیران سازمان‌ها و دستگاه‌های دولتی از نظر غیرفنی مانند نوشتن سیاست‌ها، خط مشی‌ها، دستورالعمل‌های امنیتی و حتی تفکرات روانشناسانه به آموزش امنیت سایبری نیاز دارند. مدیران ما دانش کافی در زمینه امنیت سایبری ندارند و نمی‌توانند در این حوزه برنامه‌ریزی و سیاستگذاری کنند. بنابراین برگزاری سه دوره آموزشی برای مدیریت میانی و ارشد در نظر گرفته شده و قرار است مدیریت امنیت را طبق سرفصل‌های بین المللی،  تدریس کنیم.
بیشتر چه موارد امنیت سایبری در سازمان‌ها و دستگاه‌های دولتی رعایت نمی‌شود؟
سازمان‌ها و دستگاه‌های دولتی موارد بدیهی و حداقل‌های مبانی واصول امنیت سایبری را (مانند  راه‌اندازی یک سایت و ثبت کردن یک دامنه برای سازمان) هم رعایت نمی‌کنند حال این رعایت نکردن یا به‌دلیل آگاه نبودن کارشناسان فنی آن مجموعه است  یا بی‌توجهی لایه‌های مدیریت آنها؛ پس وقتی هر دو در مجموعه مباحث امنیتی را رعایت نمی‌کنند یعنی در سطح مدیریتی بحث امنیت سایبری بخوبی راهبری نشده این درحالی است که باید به هردو بخش توجه ویژه شود.
کلیدی ترین حلقه مفقوده سازمان‌ها و دستگاه‌های دولتی در حوزه امنیت سایبری کدام است؟
یکی از کلیدی ترین حلقه‌های مفقوده، نبود قوانین محکم به همراه عدم ضمانت اجرایی برای قوانین موجود در زمینه نشت و نشر اطلاعات و نقض حریم خصوصی کاربران در دستگاه‌های دولتی و حتی کسب و کارهای بسیار بزرگ است. وقتی نشت و نشر اطلاعات در حوزه امنیت سایبری دستگاه‌ها و نهادها اتفاق می‌افتد، طبق قانون یک نفر باید پاسخگو باشد. اجرا نشدن قوانین موجود به‌دلیل نبود ضمانت اجرایی و کمبود برخی قوانین باعث شده در زمینه مشکلات به‌وجود آمده در حوزه امنیت سایبری بازدارندگی نداشته باشیم. برای جلوگیری از نشت اطلاعات و مسئولیت پذیر کردن مدیران، به قانون کافی و ضمانت اجرایی نیاز داریم.
تعریف قوانین و ضمانت اجرایی بخش امنیت سایبری برعهده کدام نهاد است؟
وظیفه شورای عالی فضای مجازی است. باید مرکزملی فضای مجازی ابتدا قوانین را به همراه ضمانت اجرایی آن تدوین و سپس اجرایی می‌کرد. متأسفانه با اینکه برخی قوانین کلان تصویب شده ولی به‌دلیل نبود ضمانت اجرایی از سوی مدیران سازمان‌ها و دستگاه‌ها، اجرایی نمی‌شود و مدیران دغدغه‌ای نداشته و در برابر نشت اطلاعات کاربرانشان احساس مسئولیت نمی‌کنند، پس پاسخگوهم نیستند، در جدیدترین مورد اطلاعات کاربران، یک بانک هک و نشت پیدا کرد و حتی راستی آزمایی شد ولی مدیران بانک براحتی اعلام کردند که اطلاعات مربوط به دوماه پیش است ولی اطلاعات کاربران جزو حریم خصوصی آنهاست چه فرقی می‌کند که مربوط به چه ماه و سالی باشد و مقام مسئول باید در حفظ و نگهداری آنها بکوشد ولی کسی پیگیر نیست. اگر هم جسته و گریخته پیگیری می‌شود، اثرگذاری بسیار اندکی دارد چون مسئولان و مدیران نسبت به نشت اطلاعات و رعایت امنیت سایبری حساسیت ندارند.
چندین نهاد مختلف امنیت سایبری در حال فعالیت هستند آیا این موازی کاری باعث نمی‌شود راندمان کار حوزه امنیت سایبری روند نزولی داشته باشد؟
پیش از این در بین نهادهای امنیت سایبری موازی کاری و ناهماهنگی‌هایی وجود داشت ولی مدتی است که با مدیریت مرکز ملی فضای مجازی بین دستگاه‌های امنیت سایبری هماهنگی‌هایی به‌وجود آمده و شرایط بهبود یافته و تا حدی هم موفق عمل شده هرچند هنوز ایده آل نیست ولی اگر مشکل موازی کاری هم باشد به لایه‌های بعدی منتقل شده که آن هم قابل حل است.
مهم‌ترین و بزرگترین چالش امنیت سایبری در کشور را چه می‌دانید؟
 نبود ضمانت اجرایی برای قوانینی که وجود دارد.
بیشترین ضربه‌ای که ما در کشور در بخش امنیت سایبری می‌بینیم از چه جنسی است؟
رعایت نکردن حداقل‌های امنیت سایبری و بدیهیات. هک‌هایی که در سازمان‌ها و دستگاه‌های دولتی انجام می‌شود از جنس هک‌های حرفه‌ای نیست. چون امنیت سایبری که 100درصد نیست و بالاخره هکرهایی در دنیا وجود دارند که از هر سد امنیتی هم عبور می‌کنند. اگر تمام موارد امنیت سایبری با تکنیک‌ها در سازمانی رعایت شود و بعد هکی صورت بگیرد، قابل قبول است اما 99درصد هک‌هایی که در کشور ما رخ می‌دهد از نوع هک حرفه‌ای نیست، چون هکرهای حرفه‌ای که از سد تمام موارد و تکنیک‌های امنیتی عبور می‌کنند کار خود را رسانه‌ای نمی‌کنند.
فیلترینگ چقدر در آسیب پذیر بودن فضای امنیت سایبری کشور ما نقش دارد؟
از آنجایی که ما فقط مسئول رصد امنیت سایبری در کشور هستیم، نمی‌توانیم درباره امور فیلترینگ نظر بدهیم اما استفاده گسترده از فیلترشکن باعث شده فیلترشکن‌هایی در قالب تروجان‌ها و بدافزارها در کشور رواج زیادی پیدا کنند و فیلترشکن‌ها یکی از منابع مهم آلوده‌سازی و گسترش بدافزارها در فضای سایبری کشور شده‌اند.
 توجه نکردن به فعالیت بخش خصوصی در حوزه امنیت سایبری چه تبعات منفی برای کشور در بر دارد؟
بار تأمین امنیت سایبری در کشور روی دوش تعدادی از شرکت‌های بخش خصوصی است چون اینها محصولات امنیتی را تولید کرده و به شرکت‌ها می‌فروشند و از سوی دیگر مشاوره و خدمات و آموزش امنیت سایبری می‌دهند بنابراین اگر این بخش فعال نباشد دیگر بخش‌ها تعطیل می‌شود و در شرایط فعلی بقای این شرکت‌ها را در خطر می‌بینیم چرا که همین بضاعت محدودی هم که شرکت‌ها و برندهای خصوصی در  حوزه امنیت سایبری دارند تا چند وقت دیگر از دست خواهیم داد بنابراین مسئولان ارشد کشور مانند شورای عالی فضای مجازی و شورای امنیت ملی کشور باید به این موضوع توجه کرده و برای بقای آنها برنامه‌ریزی کنند.
کاربران هم در زمینه امنیت سایبری آگاهی و دانش کمی دارند و در دام فیشینگ و دیگر... می‌افتند برای ارتقای آگاهی این بخش چه باید کرد؟
تنها راه ورود، رسانه‌های فراگیر مانند صدا و سیما و دیگر رسانه‌ها برای آموزش مردم در راستای مسئولیت اجتماعی‌شان است. باید در ساعات پرمخاطب آموزش‌های لازم در زمینه مسائل امنیت سایبری به مردم داده شود.

وزیر به شبهه ها در خصوص اینترنت رایگان انتخابات پاسخ داد

بتازگی وزیر ارتباطات و فناوری اطلاعات از نحوه ثبت‌نام شهروندان برای دریافت بسته ۷ گیگ اینترنت رایگان انتخابات خبر داد و گفت: متقاضیان می‌توانند به سایت ictgifts.ir مراجعه و ثبت‌نام کنند.
به گزارش «ایران» بعد از اعلام این خبر سؤال‌های بسیاری از سوی کاربران با این مضمون که چرا برای ثبت‌نام بسته اینترنت رایگان انتخابات از مردم کد ملی خواسته می‌شود و چرا بسته فقط برای ۱۸ سال به بالا که حق رأی دارند، فعال می‌شود، پرسیده شد که محمد جواد آذری جهرمی به این سؤالات پاسخ داد. وزیر در پاسخ به این سؤال که چرا برای فعال‌سازی بسته‌های رایگان باید ثبت‌نام انجام  و کد ملی نیز ثبت شود، گفت: چون ممکن است یک فرد 10 سیم کارت داشته باشد و دیگری تنها یکی و این عادلانه نبود بنابراین به هر کد ملی تنها یک بسته و آن هم روی شماره‌ای که خود فرد درخواست آن را داده است فعال می‌شود. جهرمی در ادامه استوری خود در اینستاگرام در پاسخ به سؤال دیگری که چرا به افراد زیر 18 سال این بسته رایگان اهدا نمی‌شود نیز این گونه پاسخ داد: مطابق مقررات فعلی، مالکیت خط تلفن یا سیم کارت صرفاً برای افراد 18 سال به بالا مقدور است و بسته‌ها هم روی این سیم کارت‌ها ارائه می شود.

مهلت 24 ساعته روسیه به گوگل جهت حذف محتوای غیرقانونی

سازمان ناظر بر ارتباطات و رسانه های روسیه به گوگل ۲۴ ساعت مهلت داده تا محتوای غیرقانونی در این کشور را حذف کند. در غیر این صورت سرعت ترافیک این شرکت امریکایی در روسیه کاهش می‌یابد. به گزارش مهر، سازمان راسکامنادزور اعلام کرد تاکنون بیش از ۲۶ هزار درخواست برای حذف اطلاعات غیرقانونی مانند ویدئوهای حاوی خشونت یا مواد مخدر و همچنین محتواهای مربوط به گروه‌های افراطی به گوگل ارسال کرده است. به گفته این سازمان، چنانچه گوگل دسترسی به محتوای ممنوع را محدود نکند با جریمه‌ای بین ۸۰۰ هزار تا ۴ میلیون روبل (۱۰۸۰۰ تا ۵۴ هزار دلار) روبه‌رو خواهد شد. در صورت تکرار نقض قوانین جریمه‌ای معادل ۱۰ درصد کل درآمد سالانه شرکت برای آن وضع می‌شود. گوگل نسبت به درخواست اظهارنظر درباره مهلت راسکامنادزور پاسخی نداده است. علاوه‌بر آنچه گفته شد سازمان ناظر بر ارتباطات روسیه یوتیوب (زیر مجموعه گوگل) را به سانسور متهم می‌کند زیرا دسترسی رسانه‌های روسی به این شبکه اجتماعی محدود شده است. این درحالی است که روسیه در یک اقدام تنبیهی سرعت ترافیک توئیتر را کاست، زیرا این شبکه اجتماعی نیز محتوای ممنوع شده را حذف نکرد. در حقیقت فرایند کاهش سرعت ترافیک بخشی از تلاش دولت روسیه برای مقابله با شرکت‌های فناوری امریکایی و نظارت بهتر بر اینترنت است.