نهاد‌های متولی امنیت سایبری منسجم عمل کنند

علی مزروعی، روزنامه‌نگار: کیوان نقره‌کار وجود متولیان متعدد در حوزه امنیت سایبری را عامل عدم‌پاسخگویی آنها در زمان وقوع مشکلات می‌داند. در گفت‌وگویی که در روزنامه «فرهیختگان» با این کارشناس حوزه فناوری داشته‌ایم، دلایل آسیب‌پذیری مقابل حملات سایبری و راه‌های رفع آن مورد ارزیابی قرار گرفته است که مشروح آن را در ادامه می‌خوانید.

با توجه به اینکه بسیاری از بخش‌های اجرایی ما خدمات هوشمند خود را توسط عامل واسطه و پیمانکار ارائه می‌دهند، فکر نمی‌کنید این امر در مباحث امنیتی خلل ایجاد می‌کند؟

اصل استفاده از پیمانکار مشکلی ایجاد نمی‌کند. نکته مهم در این باره نحوه انتخاب پیمانکاران است. در پروژه‌های بزرگ دولتی شاید بهتر این باشد که خود دولت متولی امر باشد، اما در بسیاری از پروژه‌ها نیز برون‌سپاری بسیار مقرون به صرفه است و دقت کار را نیز بالاتر می‌برد و استفاده از آن ایرادی ندارد. اما نکته محل ایراد این است که روند واگذاری پروژه‌ها شفاف نیست و معلوم نیست که پیمانکار براساس چه استاندارد‌هایی انتخاب شده است تا بتواند اولویت‌های لازم را اجرا کند.  زمانی که نسبت به قراردادها و استانداردهای انتخاب پیمانکاران، شفافیتی وجود داشته باشد، آن وقت ما می‌توانیم ارگان‌ها را نسبت به مشکلات ایجادشده پاسخگو کنیم و از اتفاقات اینچنینی بکاهیم.  شاید در قضیه تعطیلی جایگاه‌های سوخت صرفا هزینه مادی متحمل شده باشیم، اما اگر این مساله در حوزه نظام سلامت رخ می‌داد آن زمان جان مردم در خطر می‌افتاد و مثل الان قابل جبران نبود.  بنابراین باید در توسعه دولت الکترونیک و ارائه خدمات اینترنتی دقت زیادی را به خرج دهیم‌ که متاسفانه در حوزه آی‌تی و آی‌سی‌تی این مورد را هیچ‌وقت شاهد نبوده‌ایم و با انبوهی از پروژه‌های شکست‌خورده و نیمه‌کاره در این حوزه مواجهیم.

یکی از مباحثی که در حوزه امنیتی می‌تواند ما را دچار مشکل کند این است که درحال حاضر مراکز داده ما براساس استانداردهای خارجی طراحی می‌شوند که خود این شرکت‌ها می‌توانند اطلاعات ما را در اختیار عوامل مخرب قرار دهند و مشکلاتی را در حوزه سایبر برای ما ایجاد کنند. با توجه به این مورد آیا بهتر نیست ما خودمان یک استاندارد بومی طراحی کنیم؟ چقدر توان این کار را داریم؟

یک‌سری جاهایی ما الزام داریم که استاندارد‌های جهانی را رعایت کنیم. دلیل آن نیز این است که ما خودمان تولیدکننده بسیاری از نرم‌افزارها و سخت‌‌افزارها نیستیم. زمانی که ما درحال استفاده از محصولاتی در حوزه امنیت هستیم که خودمان تولیدکننده آن نیستیم، به ناچار درقالب استاندارد‌های خارجی قرار می‌گیریم.  اگر ما خودمان بتوانیم به‌ویژه در حوزه‌های نرم‌افزاری فرآیندی را ایجاد کنیم که تولیدکننده باشیم، می‌توانیم چارچوب‌ها و لایه‌های امنیتی را نیز خود تعیین کنیم.  اما این بحث درحالی مطرح می‌شود که ما جدا از مباحث ساختاری گاهی در برخی از قسمت‌ها به جهت آموزش یک‌سری مفاهیم حوزه امنیت به پرسنل‌مان، استقرار و نصب تجهیزات سخت‌افزاری و آپدیت کردن نرم‌افزارها از نیروی انسانی خارجی نیز استفاده می‌کنیم و اگر در بخش نیروی انسانی نیز به مرز دانش برسیم و سواد لازم را به دست بیاوریم می‌توانیم اینگونه خلل‌ها را به حداقل برسانیم. اما با توجه به اینکه ما خودمان تولیدکننده همه تجهیزات نیستیم ملزم به رعایت استاندارد‌های جهانی هستیم.  ضمن اینکه استاندارد‌های جهانی یک‌سری چالش‌ها را پشت‌سر گذاشته و به چارچوب‌های قابل قبولی رسیده است و تا زمانی که ما بخواهیم یک‌سری استاندارد‌های جدید طراحی کنیم ممکن است به‌واسطه انجام یک کار جدید دچار ضرر‌هایی شویم که از این جهت برای ما ممکن است مقرون به صرفه نباشد.

آیا نباید با وجود هزینه‌های زیاد به مرور به‌سمت تدوین استانداردها برویم تا از این وابستگی که امنیت ما را تهدید می‌کند و شما نیز به آن اشاره کردید، خارج شویم؟

قطعا این ایده‌آل‌ترین و بهترین راهکار است، اما باید ببینیم برای رسیدن به این موضوع چقدر ظرفیت لازم را داریم. ما می‌توانیم یک برنامه‌ریزی درست چندساله داشته باشیم که در حوزه امنیت درصد خودکفایی خود را افزایش دهیم و یا به‌طور کامل خودکفا شویم.  اما اگر برویم به‌دنبال اینکه یک بودجه هنگفت را بدون برنامه‌ریزی هزینه کنیم و با پایان دوره ریاست‌جمهوری این کار را رها کنیم مثل بسیاری دیگر از پروژه‌های حوزه فناوری اطلاعات به نتیجه‌ای نمی‌رسیم.

چند روز پیش جلالی، رئیس سازمان پدافند غیرعامل گفتند که پیش از این مرکز افتای ریاست‌جمهوری را نسبت به مشکلات احتمالی در سامانه سوخت‌رسانی آگاه کرده‌اند و این سازمان اقدامی نکرده است. دلیل این شانه خالی کردن بخش‌های مختلف در قبول مسئولیت‌شان نسبت به اتفاق رخ‌داده چیست؟

در حوزه آی‌تی و دیگر حوزه‌ها یکی از معضلات‌مان داشتن متولیان بسیار است که هریک علی‌رغم ادعایی که دارند از توانایی لازم برخوردار نیستند و زمانی که به مشکلی می‌خوریم هیچ‌کدام مسئولیت آن را قبول نمی‌کنند.  به‌طور مثال چند روز پیش وزیر ارتباطات و فناوری اطلاعات گفت که حمله سایبری به سامانه هوشمند سوخت هیچ‌گونه ارتباطی به این وزارتخانه ندارد، اما باتوجه به اینکه وزارت اطلاعات متولی زیرساخت‌های فناورانه کشور است، قطعا این موضوع به این وزارتخانه نیز مرتبط است.  همین‌طور زمانی که رئیس سازمان پدافند غیرعامل بیان می‌کند که این سازمان پیش از این، مشکلات احتمالی را پیش‌بینی کرده و آن را در زمان دولت قبل به مرکز افتای ریاست جمهوری اطلاع داده و این مرکز که مسئولیت پیگیری حوادث سایبری در دستگاه‌های حاکمیتی که دارای زیرساخت‌های حیاتی و حساس هستند را به عهده دارد، مسئولیت خود را انجام نداده است. این سوال ایجاد می‌شود که اگر سازمان پدافند غیرعامل صرفا ایراد را پیش‌بینی کرده و کسی به آن عمل نکرده است پس کارکرد این سازمان چیست؟
پدافند غیرعامل باید آنقدر قدرت اجرایی داشته باشد که بتواند در جلساتی که برای بیان مباحث امنیتی تشکیل می‌شود نقشی اثرگذار ایفا کند. زمانی این سازمان می‌تواند مدعی باشد که مسئولیت خود را به درستی انجام داده که توصیه‌های او اجرایی شده باشد. صرفا هشدار کفایت نمی‌کند و این بحث اهمیت دارد که چقدر توصیه‌ها اجرایی می‌شود.  همان‌طور که درمورد تصویب طرح صیانت ما یک همبستگی را در بین برخی بخش‌ها می‌بینیم باید در موقعیت فعلی نیز در حوزه امنیت سایبری بخش‌های مختلف در یک همبستگی با یکدیگر عمل کنند.  درحال حاضر باید وقت‌مان را برای امنیت بگذاریم و بعد از این مورد پراهمیت، زمان برای بررسی طرح‌هایی مثل صیانت نیز وجود دارد.

برای رفع معضل نیروی انسانی متولی آموزش به‌نظر شما بهتر است کجا باشد؟ آیا دانشگاه باید در این زمینه نیروی متخصص تربیت کند یا قسمت‌هایی که در حوزه امنیت سایبری فعالیت می‌کنند باید در این حوزه نیز نقش ایفا کنند؟

دانشگاه شروع آموزش ماست. ما انتظار نداریم از دانشگاه یک کارشناس متخصص استخراج شود. اگر بخواهیم صفر و یکی نگاه کنیم تمام سرفصل‌های دانشگاهی و حتی آموزش‌وپرورش باید تغییر کند و نحوه آموزش و محتواهای آموزشی نیز باید عوض شود، اما می‌دانیم که این اتفاقی نیست که الان بخواهد رخ دهد. پیشنهاد بهتر این است که در دانشگاه‌ها و در رده‌های بالاتر مثل کارشناسی‌ارشد و دکتری محتوا و اساتید کورس‌های آموزشی که در این زمینه برگزار می‌شود، به‌روز شود.  به غیر از دانشگاه سایر نهادهای متولی امنیت سایبری مثل سازمان پدافند غیرعامل نیز باید درقالب مراکز آموزشی در این باره نقش ایفا کنند.  این سازمان می‌تواند اساتید و محتوای به‌‌روز دنیا را برای تربیت متخصصان این حوزه به ایران بیاورد و متخصصان این حوزه را متناسب با مشکلاتی که ممکن است به‌وجود بیاید به‌روز کند. به‌هرحال نیروی انسانی یکی از ایرادات این موضوع در کنار سخت‌افزار و نرم‌افزار است که من فکر می‌کنم رویکرد سریعش دانشگاه نیست، بلکه رویکرد سریع‌تر انتقال دانش به‌روز دنیا به داخل است.

 مفهومی که برای بالا بردن ضریب امنیتی مطرح می‌شود، این است که ما کنترل مناسبی بر درگاه‌های ورودی داده به داخل نداریم. نسبت این مساله با اینترنت ملی و شبکه ملی اطلاعات چیست و آیا  با افزایش کنترل بر داده‌های ورودی امنیت شبکه داخل تامین می‌شود؟

اینترانت ملی و شبکه ملی اطلاعات از لحاظ ساختار فنی دو مقوله جدا هستند، البته که یکی از شعارهای شبکه ملی اطلاعات امن بودن است؛ یعنی سرعت بالاتر، امنیت بالاتر و قیمت ارزان‌تر. این شعاری است که از 10 سال پیش تا الان برای توسعه شبکه داده می‌شد. پس بحث امنیت قطعا رعایت می‌شود اما این مبادی ورودی یک‌سری الزامات سخت‌افزاری، نرم‌افزاری و هوش مصنوعی نیاز دارد. و درمورد سوال شما که این دو به یکدیگر پیوند می‌خورد یا نه، باید گفت خیر، اصلا این‌طور نیست که مثلا با پیاده‌سازی شبکه ملی اطلاعات یا طرح صیانت یا بستن اینترنت بین‌الملل، امنیت ما صددرصد حفظ شود و اصلا به این شکل نیست و امنیت در این فضا، هر آن ممکن است که مخدوش شود و یا از بین برود؛ چراکه مشکلاتش فقط مشکلات سخت‌افزاری و نرم‌افزاری نیست که بسته شود، به‌هر‌حال می‌تواند از جوانب دیگر هم این آسیب‌پذیری وجود داشته باشد. کما اینکه در دنیا تکنولوژی هم مدام عوض می‌شود و فناوری‌های جدید، فناوری‌های قبلی را حذف و از چرخه خارج می‌کنند، بنابراین ممکن است اتفاقی بیفتد که بر فرض مثال شبکه ملی اطلاعات، با یک تکنولوژی جدیدی که از آن خبر نداریم، هک بشود. یا یک فناوری کارآمدتری بیاید که آن را عملا غیرقابل استفاده کند.

جایگاه ایران با وجود تمام ضعف‌ها در زمینه امنیت سایبری کجاست؟

جنگ سایبری برخلاف جنگ سخت که هرکس تجهیزات بیشتری داشته باشد قوی‌تر خواهد بود، پیش نمی‌رود. همین چند وقت پیش بود که فیس‌بوک دچار مشکل شد و تمام خدماتش به چالش خورد. اگرچه مجموعه فیس‌بوک نهایتا دلیل این مشکل را داخلی عنوان کرد، ولی دقیقا مشخص نشد مشکل پیش‌آمده واقعا داخلی بوده یا درنتیجه حمله سایبری از بیرون بوده است. به‌هر‌حال مجموعه‌ای با صدها میلیون کاربر در کشور پیشرو فناوری آمریکا دچار این مشکل می‌شود و آسیب‌های خاص خودش را هم دارد. در کشور ما هم ممکن است این اتفاق به شکلی در جایگاه‌های سوخت و دیگر مراکز بیفتد. با توجه به این موارد، ما نمی‌توانیم ادعا کنیم کدام کشور در این حوزه در چه رتبه‌ای قرار دارد. عمق و تاثیرگذاری عملیات‌هاست که تعیین‌کننده است نه تعدد آنها.  ممکن است در کشورمان، روزانه شاهد ده‌ها یا صدها حمله سایبری باشیم، ولی ممکن است یکی از این حملات آنقدر تاثیرگذار باشد که تمام رسانه‌های داخلی و خارجی را تحت‌تاثیر خود قرار دهد. عمق آن اتفاق است که تعیین می‌کند حمله قدرت کافی را داشته است یا خیر. ضمن اینکه ما باید پیش از مواجهه با این حملات، فرهنگ‌سازی‌ کافی را هم کرده باشیم. یعنی راهکارهای ما نباید راهکارهای صرفا فنی، علمی و انسانی باشد. یکی از راهکارهایی که حتما باید مدنظر قرار دهیم، بحث فرهنگ‌سازی درباره این موضوع میان مردم و مسئولان است. در عصر فناوری و فضای مجازی ممکن است چنین اتفاقاتی به‌وجود بیاید و تا حدی طبیعی است. بنابراین اگر آمادگی ما کافی باشد، با یک اتفاق، همه چیز کن‌فیکون و در همدیگر تنیده نخواهد شد. این‌گونه حملات، در همه‌جای دنیا پیش می‌آید و ما باید سعی کنیم چگونه با امثال این اتفاق مواجه شویم یا چگونه اقدام کنیم تا اثرات مخرب آن به حداقل برسد.