دوشنبه, ۳۱ اردیبهشت, ۱۴۰۳ / 20 May, 2024
مجله ویستا

امنیت فضای تبادل اطلاعات


امنیت فضای تبادل اطلاعات
عصرحاضر، عصر ارتباطات و تبادل اطلاعات است. در این میان، بدون شک با پیشرفت هر چه بیشتر جوامع و نیاز به ارائه خدمات الکترونیکی با استفاده از ساز و کارهای مجازی، ضرورت ایجاد فضایی مناسب برای تبادل اطلاعات بیش از پیش احساس می شود. اما در حقیقت فضایی که در آن به تبادل اطلاعات می پردازیم، همواره در معرض آسیب ها و تهدیدهای جدی قرار دارد که عدم اتخاذ رویکرد مناسب در برابر آنها می تواند منجر به بروز چالش هایی در این زمینه شود که جرایم سایبر، دسترسی و تخریب بانک های اطلاعاتی و در عین حال محرمانه، حملات اطلاعاتی و نقض حقوق مالکیت معنوی و حریم خصوصی، نمونه ای از آنهاست. امروزه حفظ و صیانت از فضاهای تبادل اطلاعات کشور، کاهش مخاطرات و به حداقل رساندن خراب کاری ها، کاهش زمان تجدید حیات سیستم های آسیب دیده و ایجاد امنیت الکترونیکی در حوزه های مختلف از قبیل انرژی، پزشکی، قضایی، تجارت، بانکداری، امور مالی و اعتباری، رسانه ها، ارتباطات و اطلاعات و حمل و نقل جاده ای، ریلی، دریایی و هوایی جزو اصلی ترین نیازهای کشور در حوزه توسعه و کاربری فناوری اطلاعات محسوب می شوند. با توجه به اهمیت این موضوع، در کشور ما نیز اقداماتی برای تامین امنیت فضای تبادل اطلاعات صورت گرفته اما این اقدامات در بستر زمان دچار مناقشاتی شده اند که باعث شده اصل موضوع مغفول و بلاتکلیف بماند. علاوه بر این دستگاه های مختلف اجرایی کشور به فکر تدوین طرح های امنیتی در زمینه فناوری افتاده اند که خود منجر به ایجاد نوعی موازی کاری شده است. این مساله می تواند علاوه بر ایجاد مخاطرات امنیتی به اتلاف بودجه و هدر رفتن زمان بیانجامد.
● افتا و شوراهای عالی
هر چند مساله تامین امنیت فضای تبادل اطلاعات، هم زمان با کاربری فناوری اطلاعات در کشور مورد توجه قرار گرفت، اما این موضوع زمانی جدی شد که شوراهای عالی فناوری اطلاعات تشکیل شدند و فعالیت حلزونی خود را آغاز کردند. در میان چهار شورای عالی، به غیر از شورای عالی انفورماتیک که بیش از هفده سال قدمت دارد؛ سه شورای عالی اطلاع رسانی، فناوری اطلاعات (IT) و امنیت فضای تبادل اطلاعات کشور(افتا) هر یک به نوعی وظیفه تامین امنیت در فضای مجازی را به دوش می کشند که در این میان دو شورای عالی فناوری اطلاعات و افتا به طور مستقیم درگیر مناقشات ایجاد شده پیرامون موضوع امنیت فناوری اطلاعات هستند. بررسی عملکرد دو شورای عالی فناوری اطلاعات و افتا در این خصوص نشان می دهد که هر دو شورا از آغاز فعالیت خودتا کنون اقداماتی را به طور موازی در زمینه امنیت فناوری اطلاعات انجام داده اند که در این رابطه عملکرد شورای عالی افتا تا کنون نتیجه ای نداشته و اقدامات شورای عالی فناوری اطلاعات نیز با ابهاماتی همراه است. در ادامه به بررسی عملکرد دو شورای مذکور در زمینه امنیت فناوری اطلاعات می پردازیم. با توجه به اهمیت امنیت فناوری اطلاعات، سال ۱۳۸۲ تشکیل شورای عالی امنیت فضای تبادل اطلاعات کشور (افتا) در دستور کار قرار گرفت و سرانجام با تاکید بر ایجاد مسائل امنیتی در فضای تبادل اطلاعات به تصویب هیات وزیران رسید. دو سال پس از تشکیل شورا، تدوین و تصویب سند راهبردی «افتا» در این شورا مورد توجه قرار گرفت. سند راهبردی امنیت فضای تبادل فناوری اطلاعات علاوه بر این که مطابق با اهداف چشم انداز ۲۰ ساله کشور تدوین شده بود، خطوط راهنما و محورهای اصلی برنامه پنج ساله چهارم نیز در آن مد نظر قرار گرفته بود.به موجب تصویب سند افتا، که در واقع می توان آن را نخستین و در عین حال آخرین فعالیت شورای عالی امنیت فضای تبادل اطلاعات کشور دانست، بیش از دو هزار صفحه مستندات و ده ها جلد کتاب به انتشار رسید. گرچه این سند جزو معدود اسنادی در کشور است که هم به تصویب دولت رسید و هم به دستگاه ها ابلاغ شد، اما هرگز نتوانست از ایجاد یک نام به عنوان طرح امنیتی در زمینه IT فراتر رود. بر اساس این گزارش، پس از تصویب سند افتا، ۲۰۰ میلیارد ریال اعتبار توسط سازمان مدیریت و برنامه ریزی به صورت متمرکز در اختیار شورای عالی افتا قرار گرفت تا طرح های امنیتی فناوری اطلاعات دستگاه های دولتی در اختیار آنها قرار گیرد. در زمان ابلاغ سند افتا، ضرورت پیگیری این طرح تا بدان جا پیش رفت که حتی این اختیار به سازمان مدیریت و برنامه ریزی کشور داده شد که سال های آینده از پیش بینی اعتبار در بودجه طرح های فناوری اطلاعات سازمان ها و نهادهایی که فاقد بخش امنیت هستند خودداری کند. اما در حال حاضر شاهدیم که بعد از گذشت چهار سال از تصویب نخستین سند امنیتی فناوری اطلاعات کشور، علی رغم ضرورت انجام طرح مذکور و تهیه مقدمات لازم برای راه اندازی آن بنا به دلایل نامعلوم متوقف باقی مانده است. در همین راستا پیش بینی می شد علت تاخیر اجرای طرح افتا، مطرح شدن موضوع ادغام شوراهای عالی موازی و در پی آن ادغام شورای عالی افتا باشد. اما در حال حاضر که طرح ادغام شورای عالی موازی نیز منتفی اعلام شده، سند راهبردی افتا همچنان در سکوت خبری به سر می برد. بدیهی است تصویب سند افتا و سپس عدم پیگیری اجرای آن توسط شورای عالی افتا، همان طور که در متن سند پیش بینی شده، حاصلی جز اتلاف هزینه و زمان در طول این مدت زمان چهار ساله در بر نداشته است. اما همان طور که پیش از این نیز بدان اشاره شد، ارزیابی عملکرد شورای عالی فناوری اطلاعات درخصوص افتا، نوعی رفتار موازی میان دو شورای مذکور را نشان می دهد که هیچ یک به اخذ یک خروجی شفاف منجر نشده است. بررسی اقدامات شورای عالی فناوری اطلاعات در این خصوص نشان می دهد که به غیر از تشکیل کارگروه امنیت فناوری اطلاعات که به طور ناپیوسته امور مرتبط با موضوع امنیت را پیگیری می کند، این شورا سعی دارد با تدوین نظام جامع فناوری اطلاعات که بیش از چهار سال است مسوولیت آن را به عهده گرفته، به موضوعات طرح شده در حوزه فناوری اطلاعات با رویکرد امنیتی نگاه کند. با این تفاوت که از برآیند عملکرد شورای عالی فناوری اطلاعات چنین برمی آید که سیاست های کلی تامین امنیت فناوری اطلاعات آنان بیشتر مبتنی بر چشم اندازهای خارجی است. به این مفهوم که اغلب مستندات تهیه شده و اسناد تدوین شده این شورا در خصوص امنیت در راستای ایجاد محدودیت هر چه بیشتر برای کاربران ایرانی و جزیره ای کردن ایران در دنیای مجازی حرکت می کند. به هر ترتیب جمع بندی عملکرد شورای عالی امنیت فضای تبادل اطلاعات کشور و شورای عالی فناوری اطلاعات نشان می دهد که دو شورای یاد شده در زمینه امنیت تا کنون بسیار موازی با یکدیگر عمل کرده اند. به طوری که چگونگی و حدود فعالیت آنها در زمینه امنیت فضای تبادل اطلاعات از یکدیگر تفکیک نشده است. بنابراین هر اقدامی که در این راستا انجام داده اند با افق های در نظر گرفته شده در واقعیت، فاصله بسیاری دارد. در این رابطه کارشناسان بر این باورند که به طور کلی امنیت فناوری اطلاعات، موضوعی نیست که بتوان آن را به صورت یک ساختار جداگانه و مستقل از نهادهای متولی امنیت کشور پیگیری کرد. پیشنهاد می شود موضوع امنیت در فناوری اطلاعات توسط کارگروه های تخصصی در قالب نهادهایی نظیر شورای عالی امنیت ملی مورد پیگیری و اجرا قرار گیرد، نه این که در قالب یک شورای عالی مجزا و طی تصویب یک سند در یک مقطع زمانی خاص مورد توجه مسوولان قرار گیرد و پس از مدتی به حال خود رها شود.
● کلاف هزار و یک سر افتا در دستگاه های دولتی
در تاریخ ۱۹/۰۷/۱۳۸۳ و به موجب صدور بخشنامه امنیت فناوری اطلاعات کشور با شماره ۳۹۳۶۰، همه وزارتخانه ها، موسسات، شرکت های دولتی، نهادهای انقلاب اسلامی و استانداری های سراسر کشور موظف شدند برنامه عملیاتی امنیت فضای تبادل اطلاعات خود را حداکثر تا شش ماه پس از ابلاغ بخشنامه مذکور به سازمان مدیریت و برنامه ریزی وقت ارائه دهند تا با همکاری آن سازمان بتوانند موجبات تخصیص بودجه و اجرای برنامه افتای خود را فراهم کنند. اما در حالی که حدود چهار سال از ابلاغ بخشنامه امنیت فناوری اطلاعات کشور می گذرد، شنیده شده که تعداد ارگان ها و سازمان هایی که به ارائه برنامه عملیاتی خود اقدام کرده اند به تعداد انگشتان یک دست نیز نمی رسد و در واقع این بخشنامه نیز همچون بسیاری از بخشنامه های دیگر به بایگانی اداره های دولتی سپرده شده و خاک می خورد. بررسی ها درباره تدوین برنامه امنیتی دستگاه های دولتی نشان می دهد که علت تاخیر چهار ساله کشور در اجرای عملیات تامین امنیت فضای تبادل اطلاعات صرفا بی توجهی مسوولان به بخشنامه ۳۹۳۶۰ نیست؛ زیرا اظهارات و عملکرد بسیاری از دستگاه های دولتی نشان می دهد که همه کاملا بر اهمیت موضوع امنیت فناوری اطلاعات واقفند و حتی بابت رویکردهای غیرمسوولانه در این خصوص موضع گیری نیز می کنند. اما آنچه که موجب به چالش کشیده شدن افتا در دستگاه های دولتی شده، میل وافر و در عین حال ناشناخته مسوولان به انجام عملیات مستقل، مخفیانه و در عین حال موازی در این زمینه است. به عبارت واضح تر، در حال حاضر هر یک از دستگاه های دولتی ضمن تخصیص اعتبار جداگانه به تدوین برنامه راهبردی افتا در مجموعه خود پرداخته اند که این امر می تواند با هزینه کمتر و با بومی سازی یک برنامه جامع از پیش طراحی شده به اجرا دربیاید. بر اساس این گزارش، در وضعیت کنونی هر یک از وزارتخانه های دفاع و پشتیبانی نیروهای مسلح، وزارت کشور، وزارت اطلاعات، وزارت ارتباطات و فناوری اطلاعات، وزارت صنایع و حتی وزارت علوم تحقیقات و فناوری هر یک به طور منفک نسبت به تدوین امنیت فضای تبادل اطلاعات اقدام کرده اند. در این میان سایر مراکز مانند قوه قضاییه، بانک ها و حتی سازمان صدا و سیما نیز برنامه امنیتی خود را به طور مستقل پیش می برند. این جریان در حالی ادامه دارد که نه تنها هیچ گونه تعامل مثبت و سازنده ای میان دستگاه های مذکور و در راستای تدوین یک سند جامع در زمینه افتا صورت نگرفته تا در موقعیت های مشابه بتوانند از تجربیات هم در راستای تدوین بسته جامع تر استفاده کنند و به پشتیبانی امنیتی یکدیگر بپردازند؛ بلکه هر یک از دستگاه ها ترجیح می دهند که دیگر دستگاه ها را به استفاده از برنامه افتای خود ملزم کنند! در حقیقت می توان گفت موازی کاری دستگاه های دولتی در تنظیم یک پارچه سند افتا، قبل از هر اقدامی می تواند اصل قضیه را که همان تامین امنیت فضای تبادل اطلاعات است مخدوش کند و علاوه بر اتلاف زمان، سرمایه و دادن فرصت های بیشتر به مهاجمان، به ایجاد حفره های ضد امنیتی منجر شود. در این میان، درست است که تدوین یک برنامه راهبردی و امن حق مسلم تمام دستگاه های دولتی در پیشبرد اهداف تامین امنیت فناوری اطلاعات است، اما این مساله را نباید فراموش کرد که زمانی امکان ایجاد شبکه ای ایمن و غیر قابل نفوذ در فضای فناوری اطلاعات کشور فراهم می شود که چیدمان همه قطعات این بنا توسط یک معمار انجام شود و دستگاه های ذیربط صرفا به بومی سازی آن بسته، مطابق با نیازهای خود بپردازند.
● بی بهرگی خصوصی ها از مناقصات امنیتی
همان طور که پیش از این نیز اشاره شد، علاقه وافر دستگاه های دولتی به عملکرد مستقل و زیرزمینی در تدوین بسته امنیت فناوری اطلاعات باعث ایجاد نوعی هرج و مرج در این حوزه شده است. اما این تنها زیانی نیست که کشور و نیز بیت المال بابت این موازی کاری متحمل می شود. با توجه به اهمیت روز افزون بخش خصوصی و نیز سیاست های دولت مبنی بر تقویت شرکت هایی که با سرمایه مردم راه اندازی شده اند، تزریق اعتبار به بازار بیش از هر زمان دیگری اهمیت پیدا می کند. در این میان بیش از سیصد شرکت خصوصی در سراسر کشور وجود دارند که در زمینه تامین امنیت فناوری اطلاعات فعالیت می کنند و حتی برخی از آنها نیز به طور غیر متمرکز به عضویت کمیسیون افتای سازمان نظام صنفی رایانه ای درآمده اند. اما طی چند سال اخیر، این شرکت ها به دلیل عدم تمایل مسوولان دولتی به برون سپاری پروژه های امنیت فناوری اطلاعات موفق نشده اند حتی یک قرارداد با رقم و اشل قابل توجه ببندند. در این رابطه به گفته یکی از شرکت هایی که از قدیمی های کسب و کار در حوزه امنیت فناوری اطلاعات است، از دو سال گذشته تا کنون هیچ مناقصه عمومی و فراگیری در زمینه افتا برگزار نشده و این قضیه شرکت های مذکور را با بحران های مکرری
رو به رو کرده است. بی بهرگی بخش خصوصی از پروژهای افتای سازمان های دولتی و نیز در پی آن کسادی اوضاع شرکت ها، در حالی ادامه دارد که برخی از همین فعالان به دلیل سطح بالای دانش فنی و نیز وجود نیروهای متخصص به اجرای پروژه های امنیت فناوری اطلاعات در کشورهای همسایه می پردازند. بدین ترتیب می توان گفت گلایه مندی خصوصی ها از عدم اعتماد بخش دولتی در اجرای پروژه های امنیت فناوری اطلاعات در حالی ادامه دارد که ایجاد یک همکاری دوطرفه می تواند علاوه بر افزایش درک فنی از یکدیگر و بالا رفتن سطح تجربیات مفید شرکت های امنیتی، موجب رونق هر چه بیشتر سرمایه در میان فعالان بخش خصوصی شود.
● فقدان وجود نیروهای امن در کشور
بالغ بر دو دهه از تدریس آکادمیک علوم کامپیوتر به عنوان یکی از زیرشاخه های پرطرفدار فنی در دانشگاه های کشور می گذرد. در طول این سال ها کلیات دروس کامپیوتر در ایران، با توجه به پیشرفت های فنی این علم در سطح جهان تا حدودی به روز شده است. اما آنچه که در خلال این سال ها به میزان قابل توجهی مورد غفلت مسوولان به ویژه در وزارت علوم، تحقیقات و فناوری واقع شده است، عدم ظرفیت سازی مناسب دانشگاه ها با نیازهای فعلی کسب و کار فناوری اطلاعات است. در واقع بی توجهی به آموزش نیروهای امن در کشور در حالی صورت می گیرد که نه تنها امروزه امنیت فناوری اطلاعات به عنوان یکی از رشته های مطرح و کاملا کاربردی در دانشگاه های تراز اول دنیا تدریس می شود، بلکه در اغلب دستگاه های قضایی کشورهای توسعه یافته، نیروهایی تحت عنوان پلیس امنیت فناوری اطلاعات وجود دارند که به دفاع و جلوگیری از حملات الکترونیکی می پردازند. به عبارت دیگر، با توجه به توسعه و کاربری روز افزون فناوری اطلاعات در کشور، دغدغه آموزش نیروی انسانی در زمینه امنیت فناوری اطلاعات بیش از هر زمان دیگری وجود دارد؛ زیرا نه تنها یک نیاز اساسی برای تامین امنیت زیرساخت های ارتباطی کشور محسوب می شود، بلکه تحقق اهداف برنامه چشم انداز بیست ساله دولت نیز جز در سایه آموزش نیروی انسانی مورد نیاز میسر نیست. در این میان هر چند آموزش نیروی انسانی برای تامین امنیت فناوری اطلاعات به ندرت در برخی از دانشگاه های پایتخت نظیر دانشگاه امیرکبیر صورت می گیرد، اما این مساله که دانشگاه هایی که به مسائل امنیتی و دفاعی می پردازند نیز به این موضوع توجهی نمی کنند، قابل بررسی است. به عنوان نمونه مراکزی نظیر دانشگاه عالی دفاع ملی، دانشگاه امام حسین(ع)، دانشگاه صنعتی مالک اشتر که به مسائل امنیتی و دفاعی اهمیت خاصی می دهند، به طور جدی نسبت به تربیت نیروی متخصص در زمینه امنیت اقدام نمی کنند و به طور کلی سعی دارند تقصیر چنین اهمال کاری هایی را بر گردن سایرین بیندازند. این در حالی صورت می گیرد که شاید بهترین مکان دانشگاهی برای ارائه و آموزش دروس امنیتی فناوری اطلاعات چنین دانشگاه هایی باشند؛ زیرا نه تنها چگونگی نیازهای امنیتی در زمینه فناوری اطلاعات را می دانند، بلکه به طور معمول دانش آموختگانی را پس از فارغ التحصیلی در مراکز مربوطه به کار می گمارند که در مراکز دانشگاهی مورد تایید خودشان تحصیل کرده باشند. در واقع اهمیت ایجاد امنیت فناوری اطلاعات در کشور موضوعی است که کاملا با امنیت ملی کشور در ارتباط است و نمی توان با جذب نیروهای متخصص خارجی به تامین آن پرداخت. کارشناسان بر این باورند که با توجه به وضعیت کنونی ایران در جهان، سرمایه گذاری در زمینه هایی مثل امنیت زیرساخت های ارتباطی، امنیت اطلاعاتی، زیرساخت های نگهداری اطلاعات امن، کنترل امنیت نیرو، حوزه های پشتیبانی امنیت، پدافند الکترونیکی و زمینه های تشخیص نفوذ امنیتی به شدت مورد نیاز است؛ به گونه ای که در آینده ای بسیار نزدیک در صورت عدم تربیت و آموزش نیروی متخصص در زمینه های مذکور، کشور با بحرانی کاملا جدی مواجه خواهد شد.
● امنیت فناوری اطلاعات این بار در مجمع تشخیص
با توجه به آنچه گفته شد، در حالی که اغلب دستگاه های اجرایی کشور به تدوین طرح تامین امنیت فناوری اطلاعات به صورت منفک پرداخته اند، این بار موضوع امنیت سر از مجمع تشخیص مصلحت نظام در آورده است. بدین ترتیب که ظاهرا طرح جدید دیگری تحت عنوان طرح جامع حوزه امنیت فضای تبادل اطلاعات تدوین شده که فعلا در غالب یک پیش نویس
۱۲ ماده ای است و در انتظار تصویب به سر می برد. به گفته دکتر محمد رضا عارف، عضو مجمع تشخیص مصلحت نظام، در این پیش نویس همه سیاست های کلی که هر دستگاه اجرایی در کشور باید در حوزه سایبر داشته باشد
پیش بینی شده است. این پیش نویس ابتدا به دبیرخانه مجمع تشخیص مصلحت نظام ارائه شد و این دبیرخانه اصلاحات و نظرهای جدیدی روی آن اعمال کرد که باعث افزایش کاربرد آن شد. به گفته وی، پیش نویس جامع در حوزه افتا بعد از دبیرخانه به کمیسیون اصلی مجمع یعنی کمیسیون علمی و فرهنگی عرضه شد که آنجا هم بعد از اعمال اصلاحاتی تصویب و نهایی شد. بر اساس این گزارش، هر چند مجمع تشخیص مصلحت نظام مکان بسیار مناسبی برای تصویب و قطعیت بخشیدن جهت ابلاغ بسیاری از بخشنامه هاست، اما به راستی پیش نویس جامع حوزه امنیت فضای تبادل اطلاعات تاکنون کجا بوده که این چنین زیرزمینی مراحل مختلف را پیموده و به مجمع تشخیص مصلحت نظام رسیده است؟ یا به عبارت بهتر متولی این طرح چه نهادی است و چگونه از تجربیاتی که در این زمینه کسب شده،
استفاده کرده است؟ آیا ضمانت اجرایی خاصی برای به کارگیری مصوبه مذکور در دستگاه های دولتی در نظر گرفته شده است؟ در صورت پیش بینی بعد اجرایی مصوبه امنیت فضای تبادل اطلاعات کشور، ساز و کار آن به چه ترتیب است؟ همه این ها، سوالات و نگرانی هایی هستند که پس از خلا طولانی مدت امنیت در فضای تبادل اطلاعات کشور مطرح خواهد شد.
نویسنده: هدی رضایی
منبع : ماهنامه تحلیلگران عصر اطلاعات