معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات در گفت و گو با «ایران»:
نبود ضمانت اجرایی قوانین، بزرگترین چالش امنیت سایبری است
سوسن صادقی
خبرنگار
بتازگی مرکز تخصصی آموزش مجازی امنیت فضای تولید و تبادل اطلاعات (امنیت سایبری) از سوی سازمان فناوری اطلاعات ایران (securitylms.cert.ir) برای آموزش حوزه امنیت سایبری دستگاهها و سازمانهای دولتی و عمومی رونمایی شد. به بهانه آغاز به کار این مرکز، با «ابوالقاسم صادقی» معاون امنیت فضای تولید و تبادل اطلاعات گفت و گو کردهایم که میخوانید.
این مرکز با چه هدفی آغاز به کار کرده است و مخاطبان آن را چه کسانی تشکیل میدهند؟
هدف اصلی، تأمین محتوای با کیفیت و برگزاری کارگاههای آموزشی برای افزایش دانش، مهارت و توانمندی کارکنان دولت و بخش خصوصی در حوزه امنیت فضای تولید و تبادل اطلاعات است و به نوعی مخاطبان آن را کارشناسان دستگاههای دولتی تشکیل میدهند.
آیا برای اولین بار است که سازمان فناوری اطلاعات اقدام به برگزاری چنین کلاسهای آموزشی کرده است؟
خیر. در دو سال و نیم گذشته بیش از 300 هزار نفرساعت آموزش امنیت سایبری در کشور برگزار کردهایم که 100درصد این آمار با همکاری دانشگاهی و شبکههای سازمان فناوری اطلاعات در استانها بوده و بالای 60درصد از این آمار مربوط به سازمانها و دستگاههای دولتی است.
آیا شرایط کرونا باعث شده است که آموزش به صورت مجازی برگزار شود؟
خیر. از آنجایی که آموزش امنیت سایبری به یک پروسه مستمر و طولانی مدت و تثبیت شده نیاز دارد و از سوی دیگر قرار است آموزشها در سطح ملی برگزار شود، این مرکز آموزش تخصصی تولید و تبادل اطلاعات امنیت سایبری به صورت غیرحضوری و آنلاین برگزار میشود. برگزاری آموزشها در قالب مرکز آموزش مجازی باعث میشود آموزشها در دسترس تر، سریع تر و تکرار شونده تر برگزار شود.
محتواهایی که قرار است در این مرکز آموزش داده شود، چگونه انتخاب شده است؟
این کلاسها مطابق با استانداردهای بین المللی و سرفصلهای آن برگزار خواهد شد. حتی امکانات آزمایشهای مجازی به صورت پیشرفته و تجهیز شده نیز فراهم شده تا در روند آموزش راندمان خوبی داشته باشیم.
از آنجایی که برخی از مشکلات بهوجود آمده در سازمانها و دستگاههای دولتی به نداشتن دانش امنیت سایبری مدیران برمیگردد، آیا برای آموزش مدیران هم تدابیری اندیشیده شده است؟
بله چراکه معتقدیم مدیران سازمانها و دستگاههای دولتی از نظر غیرفنی مانند نوشتن سیاستها، خط مشیها، دستورالعملهای امنیتی و حتی تفکرات روانشناسانه به آموزش امنیت سایبری نیاز دارند. مدیران ما دانش کافی در زمینه امنیت سایبری ندارند و نمیتوانند در این حوزه برنامهریزی و سیاستگذاری کنند. بنابراین برگزاری سه دوره آموزشی برای مدیریت میانی و ارشد در نظر گرفته شده و قرار است مدیریت امنیت را طبق سرفصلهای بین المللی، تدریس کنیم.
بیشتر چه موارد امنیت سایبری در سازمانها و دستگاههای دولتی رعایت نمیشود؟
سازمانها و دستگاههای دولتی موارد بدیهی و حداقلهای مبانی واصول امنیت سایبری را (مانند راهاندازی یک سایت و ثبت کردن یک دامنه برای سازمان) هم رعایت نمیکنند حال این رعایت نکردن یا بهدلیل آگاه نبودن کارشناسان فنی آن مجموعه است یا بیتوجهی لایههای مدیریت آنها؛ پس وقتی هر دو در مجموعه مباحث امنیتی را رعایت نمیکنند یعنی در سطح مدیریتی بحث امنیت سایبری بخوبی راهبری نشده این درحالی است که باید به هردو بخش توجه ویژه شود.
کلیدی ترین حلقه مفقوده سازمانها و دستگاههای دولتی در حوزه امنیت سایبری کدام است؟
یکی از کلیدی ترین حلقههای مفقوده، نبود قوانین محکم به همراه عدم ضمانت اجرایی برای قوانین موجود در زمینه نشت و نشر اطلاعات و نقض حریم خصوصی کاربران در دستگاههای دولتی و حتی کسب و کارهای بسیار بزرگ است. وقتی نشت و نشر اطلاعات در حوزه امنیت سایبری دستگاهها و نهادها اتفاق میافتد، طبق قانون یک نفر باید پاسخگو باشد. اجرا نشدن قوانین موجود بهدلیل نبود ضمانت اجرایی و کمبود برخی قوانین باعث شده در زمینه مشکلات بهوجود آمده در حوزه امنیت سایبری بازدارندگی نداشته باشیم. برای جلوگیری از نشت اطلاعات و مسئولیت پذیر کردن مدیران، به قانون کافی و ضمانت اجرایی نیاز داریم.
تعریف قوانین و ضمانت اجرایی بخش امنیت سایبری برعهده کدام نهاد است؟
وظیفه شورای عالی فضای مجازی است. باید مرکزملی فضای مجازی ابتدا قوانین را به همراه ضمانت اجرایی آن تدوین و سپس اجرایی میکرد. متأسفانه با اینکه برخی قوانین کلان تصویب شده ولی بهدلیل نبود ضمانت اجرایی از سوی مدیران سازمانها و دستگاهها، اجرایی نمیشود و مدیران دغدغهای نداشته و در برابر نشت اطلاعات کاربرانشان احساس مسئولیت نمیکنند، پس پاسخگوهم نیستند، در جدیدترین مورد اطلاعات کاربران، یک بانک هک و نشت پیدا کرد و حتی راستی آزمایی شد ولی مدیران بانک براحتی اعلام کردند که اطلاعات مربوط به دوماه پیش است ولی اطلاعات کاربران جزو حریم خصوصی آنهاست چه فرقی میکند که مربوط به چه ماه و سالی باشد و مقام مسئول باید در حفظ و نگهداری آنها بکوشد ولی کسی پیگیر نیست. اگر هم جسته و گریخته پیگیری میشود، اثرگذاری بسیار اندکی دارد چون مسئولان و مدیران نسبت به نشت اطلاعات و رعایت امنیت سایبری حساسیت ندارند.
چندین نهاد مختلف امنیت سایبری در حال فعالیت هستند آیا این موازی کاری باعث نمیشود راندمان کار حوزه امنیت سایبری روند نزولی داشته باشد؟
پیش از این در بین نهادهای امنیت سایبری موازی کاری و ناهماهنگیهایی وجود داشت ولی مدتی است که با مدیریت مرکز ملی فضای مجازی بین دستگاههای امنیت سایبری هماهنگیهایی بهوجود آمده و شرایط بهبود یافته و تا حدی هم موفق عمل شده هرچند هنوز ایده آل نیست ولی اگر مشکل موازی کاری هم باشد به لایههای بعدی منتقل شده که آن هم قابل حل است.
مهمترین و بزرگترین چالش امنیت سایبری در کشور را چه میدانید؟
نبود ضمانت اجرایی برای قوانینی که وجود دارد.
بیشترین ضربهای که ما در کشور در بخش امنیت سایبری میبینیم از چه جنسی است؟
رعایت نکردن حداقلهای امنیت سایبری و بدیهیات. هکهایی که در سازمانها و دستگاههای دولتی انجام میشود از جنس هکهای حرفهای نیست. چون امنیت سایبری که 100درصد نیست و بالاخره هکرهایی در دنیا وجود دارند که از هر سد امنیتی هم عبور میکنند. اگر تمام موارد امنیت سایبری با تکنیکها در سازمانی رعایت شود و بعد هکی صورت بگیرد، قابل قبول است اما 99درصد هکهایی که در کشور ما رخ میدهد از نوع هک حرفهای نیست، چون هکرهای حرفهای که از سد تمام موارد و تکنیکهای امنیتی عبور میکنند کار خود را رسانهای نمیکنند.
فیلترینگ چقدر در آسیب پذیر بودن فضای امنیت سایبری کشور ما نقش دارد؟
از آنجایی که ما فقط مسئول رصد امنیت سایبری در کشور هستیم، نمیتوانیم درباره امور فیلترینگ نظر بدهیم اما استفاده گسترده از فیلترشکن باعث شده فیلترشکنهایی در قالب تروجانها و بدافزارها در کشور رواج زیادی پیدا کنند و فیلترشکنها یکی از منابع مهم آلودهسازی و گسترش بدافزارها در فضای سایبری کشور شدهاند.
توجه نکردن به فعالیت بخش خصوصی در حوزه امنیت سایبری چه تبعات منفی برای کشور در بر دارد؟
بار تأمین امنیت سایبری در کشور روی دوش تعدادی از شرکتهای بخش خصوصی است چون اینها محصولات امنیتی را تولید کرده و به شرکتها میفروشند و از سوی دیگر مشاوره و خدمات و آموزش امنیت سایبری میدهند بنابراین اگر این بخش فعال نباشد دیگر بخشها تعطیل میشود و در شرایط فعلی بقای این شرکتها را در خطر میبینیم چرا که همین بضاعت محدودی هم که شرکتها و برندهای خصوصی در حوزه امنیت سایبری دارند تا چند وقت دیگر از دست خواهیم داد بنابراین مسئولان ارشد کشور مانند شورای عالی فضای مجازی و شورای امنیت ملی کشور باید به این موضوع توجه کرده و برای بقای آنها برنامهریزی کنند.
کاربران هم در زمینه امنیت سایبری آگاهی و دانش کمی دارند و در دام فیشینگ و دیگر... میافتند برای ارتقای آگاهی این بخش چه باید کرد؟
تنها راه ورود، رسانههای فراگیر مانند صدا و سیما و دیگر رسانهها برای آموزش مردم در راستای مسئولیت اجتماعیشان است. باید در ساعات پرمخاطب آموزشهای لازم در زمینه مسائل امنیت سایبری به مردم داده شود.
وزیر به شبهه ها در خصوص اینترنت رایگان انتخابات پاسخ داد
بتازگی وزیر ارتباطات و فناوری اطلاعات از نحوه ثبتنام شهروندان برای دریافت بسته ۷ گیگ اینترنت رایگان انتخابات خبر داد و گفت: متقاضیان میتوانند به سایت ictgifts.ir مراجعه و ثبتنام کنند.
به گزارش «ایران» بعد از اعلام این خبر سؤالهای بسیاری از سوی کاربران با این مضمون که چرا برای ثبتنام بسته اینترنت رایگان انتخابات از مردم کد ملی خواسته میشود و چرا بسته فقط برای ۱۸ سال به بالا که حق رأی دارند، فعال میشود، پرسیده شد که محمد جواد آذری جهرمی به این سؤالات پاسخ داد. وزیر در پاسخ به این سؤال که چرا برای فعالسازی بستههای رایگان باید ثبتنام انجام و کد ملی نیز ثبت شود، گفت: چون ممکن است یک فرد 10 سیم کارت داشته باشد و دیگری تنها یکی و این عادلانه نبود بنابراین به هر کد ملی تنها یک بسته و آن هم روی شمارهای که خود فرد درخواست آن را داده است فعال میشود. جهرمی در ادامه استوری خود در اینستاگرام در پاسخ به سؤال دیگری که چرا به افراد زیر 18 سال این بسته رایگان اهدا نمیشود نیز این گونه پاسخ داد: مطابق مقررات فعلی، مالکیت خط تلفن یا سیم کارت صرفاً برای افراد 18 سال به بالا مقدور است و بستهها هم روی این سیم کارتها ارائه می شود.
مهلت 24 ساعته روسیه به گوگل جهت حذف محتوای غیرقانونی
سازمان ناظر بر ارتباطات و رسانه های روسیه به گوگل ۲۴ ساعت مهلت داده تا محتوای غیرقانونی در این کشور را حذف کند. در غیر این صورت سرعت ترافیک این شرکت امریکایی در روسیه کاهش مییابد. به گزارش مهر، سازمان راسکامنادزور اعلام کرد تاکنون بیش از ۲۶ هزار درخواست برای حذف اطلاعات غیرقانونی مانند ویدئوهای حاوی خشونت یا مواد مخدر و همچنین محتواهای مربوط به گروههای افراطی به گوگل ارسال کرده است. به گفته این سازمان، چنانچه گوگل دسترسی به محتوای ممنوع را محدود نکند با جریمهای بین ۸۰۰ هزار تا ۴ میلیون روبل (۱۰۸۰۰ تا ۵۴ هزار دلار) روبهرو خواهد شد. در صورت تکرار نقض قوانین جریمهای معادل ۱۰ درصد کل درآمد سالانه شرکت برای آن وضع میشود. گوگل نسبت به درخواست اظهارنظر درباره مهلت راسکامنادزور پاسخی نداده است. علاوهبر آنچه گفته شد سازمان ناظر بر ارتباطات روسیه یوتیوب (زیر مجموعه گوگل) را به سانسور متهم میکند زیرا دسترسی رسانههای روسی به این شبکه اجتماعی محدود شده است. این درحالی است که روسیه در یک اقدام تنبیهی سرعت ترافیک توئیتر را کاست، زیرا این شبکه اجتماعی نیز محتوای ممنوع شده را حذف نکرد. در حقیقت فرایند کاهش سرعت ترافیک بخشی از تلاش دولت روسیه برای مقابله با شرکتهای فناوری امریکایی و نظارت بهتر بر اینترنت است.