بحران مدیریت در مدیریت بحران های سایبر

معین رضیئی، روزنامه‌نگار: سه‌شنبه هفته قبل حمله سایبری به سامانه‌های هوشمند کارت سوخت در کشور منجر به تعطیلی پمپ‌بنزین‌ها و ایجاد اختلال چندروزه در شبکه عرضه سوخت در سراسر کشور شد. علاوه‌بر این مورد در ماه‌های گذشته نیز شاهد حملات سایبری دیگری به نهادها و سازمان‌های حاکمیتی در کشور بوده‌ایم مانند هک دوربین‌های زندان اوین یا حمله به شرکت راه‌آهن و ستاد وزارت راه‌وشهرسازی در تیرماه سال جاری. گستردگی و تنوع مجموعه‌های هدف این حملات نشان می‌دهد در حوزه امنیت سایبری در کشورمان دچار ضعف و چالش جدی هستیم که در گزارش امروز «فرهیختگان» قصد داریم به واکاوی آن بپردازیم.

  فقدان فرماندهی واحد در مقابله با حملات سایبری

در ماجرای حمله سایبری به سامانه‌های هوشمند کارت سوخت در کشور یکی از ضعف‌های جدی، نبود نهاد متولی و پاسخگو درمورد این حمله صورت‌گرفته است. این نکته را در واکنش نهادهای مرتبط با حوزه فضای مجازی و امنیت شبکه  نسبت به حمله سایبری صورت‌گرفته می‌توان استنباط کرد، این نهادها از همان ساعات ابتدایی روز سه‌شنبه سعی کردند با صدور اطلاعیه‌های جداگانه نسبت به واقعه رخ‌داده واکنش نشان دهند. بررسی دقیق این اطلاعیه‌ها نشان می‌دهد هیچ‌کدام از متولیان حوزه فضای مجازی و امنیت شبکه در ماجرای رخ‌داده خود را مسئول نمی‌دانند. از طرفی قوانین بالادستی و مصوبات شورای عالی فضای مجازی نیز نشان می‌دهد که در حوزه امنیت شبکه ما دارای گستردگی نهادهای مسئول با تعریف وظایفی محدود و ناکارآمد هستیم. در همین راستا مطابق مصوبه شورای عالی فضای مجازی در موضوع «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی»، نهادهایی چون نیروی انتظامی، وزارت ارتباطات، مرکز افتای ریاست‌جمهوری و سازمان پدافند غیرعامل هرکدام وظایفی در حیطه امنیت شبکه دارند، تعدد این نهادهای متولی با مسئولیت‌هایی بعضا موازی و فاقد ضمانت اجرایی باعث شده است در اتفاقاتی مشابه حمل سایبری روز سه‌شنبه هرکدام از این نهادها به‌جای پاسخگویی نسبت به کاستی‌ها صرفا به بیان آمار کارهای انجام‌شده توسط خود بسنده کرده و برای توجیه ضعف‌های موجود نیز نهادهای دیگر یا ساختارهای بالادستی را متهم کنند. برای اثبات این گزاره کافی است صحبت‌های چند روز قبل سردار جلالی رئیس سازمان پدافند غیرعامل را مشاهده کرد؛ جلالی در سخنان خود معتقد بود نهاد تحت امرش سال گذشته اشکالات موجود در زمینه سامانه‌های سوخت را ارزیابی و به‌صورت کتبی به دولت ابلاغ کرده است، اما سهل‌انگاری جدی دولت در حوزه امنیت سایبری و ناهماهنگی‌های اجرایی باعث شده است این اشکالات ارزیابی‌شده اصلاح نشود. این سخنان درحالی توسط جلالی مطرح می‌شود که مطابق ماده10 اساسنامه سازمان پدافند غیرعامل این سازمان علاوه‌بر راهبری، وظیفه هماهنگی و اجرایی‌شدن طرح‌های پدافند غیرعامل در دستگاه‌های اجرایی کشور را برعهده دارد. همچنین مطابق سند «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» در حیطه پیشگیری از حملات سایبری نهاد متولی در حوادث حوزه عمومی نیروی انتظامی است، وزارت ارتباطات مسئولیت پیشگیری و پیگیری از حملات به سازمان‌های غیرزیر‌ساختی را دارد و درنهایت مرکز افتای ریاست‌جمهوری مسئولیت حفاظت و پیشگیری از حملات سایبری به دستگاه‌های دارای زیرساخت حیاتی و حساس را عهده‌دار است و سازمان پدافند غیرعامل نیز مسئول انجام رزمایش و تست پایداری زیرساخت‌های حیاتی کشور است. سپردن رسیدگی به یک موضوع واحد با عنوان پیشگیری از حملات سایبری به نهادهای محتلف باعث فقدان یک فرماندهی واحد در کشور برای مواجهه با این حملات شده است که خود این تکثر نهادی در مواجهه با حملات سایبری می‌تواند از عوامل مهم آسیب‌پذیر شدن شبکه‌های اینترنتی و فضای مجازی در کشور ما باشد، درحالی‌که می‌شد به‌جای تقسیم وظیفه پیشگیری از حملات سایبری میان نهادهای مختلف فرماندهی واحد این موضوع را به سازمان پدافند غیرعامل با دادن ضمانت‌های اجرایی مشخص سپرد تا این نهادها نیز تحت هدایت سازمان پدافند غیرعامل همان‌گونه که در اساسنامه آن آمده است با اجرایی‌کردن دستورالعملی مشخص به ایمن‌سازی شبکه‌های درونی خود و پیشگیری از حملات سایبری می‌پرداختند.

  سازمان پدافند غیرعامل، سازمانی که جدی گرفته نمی‌شود

سازمان پدافند غیرعامل مهم‌ترین نهاد در مقابله با حملات سایبری و حفظ امنیت شبکه در کشور است. این نهاد مطابق ماده 10 اساسنامه خود وظایف مهمی را عهده‌دار است. برخی از این وظایف عبارتند از: هدایت و راهبری اجرای طرح‌های پدافند غیرعامل، نظارت بر اجرای پدافند غیرعامل دستگاه‌های اجرایی، تصویب ضوابط، استانداردها و دستورالعمل‌های(عمومی و تخصصی) موضوع پدافند غیرعامل، تصویب طرح‌های پدافند غیرعامل دستگاه‌ها و تایید اعتبار موردنیاز آنها و از همه مهم‌تر ایجاد هماهنگی لازم بین دستگاه‌های اجرایی در حوزه پدافند غیرعامل است. اما این سازمان با وجود چنین وظایف گسترده‌ای، آن‌گونه که باید توسط نهادهای دولتی و بالادستی خود طی این سال‌ها جدی گرفته نشده است. به نحوی که بنابر گفته‌های دوشب قبل سردار جلالی، رئیس سازمان پدافند غیرعامل در برنامه نگاه یک بودجه عملیاتی سازمان در دولت گذشته صفر شد. صفر شدن بودجه عملیاتی به عبارت دیگر یعنی نادیده گرفتن و اجرایی نشدن نیمی از وظایف محول‌شده به سازمان پدافند غیرعامل، زیرا مطابق اساسنامه این سازمان از 24 وظیفه تعریف‌شده برای این نهاد، 12 مورد آن مربوط به وظایف عملیاتی است. بر همین اساس است که مفید‌ترین کار سازمان در سال‌های گذشته تنها خلاصه شده است به برگزاری رزمایش و تست پایداری زیرساخت‌های حیاتی کشور.  نادیده‌انگاری سازمان پدافند غیرعامل به‌عنوان یکی از نهاد‌های مهم و اثرگذار در حوزه جنگ نرم تنها به این مورد خلاصه نمی‌شود. به نظر می‌ رسد این سازمان برخلاف اساسنامه خود آن‌گونه که باید نمی‌تواند دولت و نهاد‌های مختلف را مجاب به اجرایی شدن برنامه‌ها و نظرات اصلاحیه خود کند. این نکته را می‌توان از سخنان دوشنبه‌شب سردار جلالی نیز برداشت کرد. جلالی در برنامه نگاه یک با اشاره به همکاری‌های سازمان پدافند غیرعامل با دولت قبل افزود: «سازمان پدافند غیرعامل در دولت گذشته آسیب‌ها و ضعف‌ها را کشف می‌کرد و اطلاع می‌داد اما می‌گفتند این اطلاعات را به فلان جا اعلام کنید و وقتی پیگیری می‌کردیم از ما حمایت نمی‌کردند.» در یک جمع‌بندی کلی می‌توان گفت اگر بخواهیم آسیب‌پذیری کشور در برابر حملات سایبری و سایر تهدیدهای مربوط به حوزه نرم را کاهش دهیم باید سازمان پدافند غیرعامل را به جایگاه اصلی خود بازگردانیم و برای آن هویتی مستقل و مشخص تعریف کنیم. این سازمان در شرایط فعلی زیرنظر ستادکل نیروهای مسلح است و به لحاظ ساختار تشکیلاتی تا حد زیادی وابسته به این ستاد است. البته پیگیری‌های خبرنگار «فرهیختگان» از برخی نمایندگان مجلس حاکی از این امر است که مجلس یازدهم به دنبال تصویب طرحی است تا به سازمان پدافند غیرعامل هویتی مستقل ببخشد.

در همین رابطه مطالب زیر را بخوانید: