مدیران امنیت سایبری باید در مقابل هر «هک» پاسخگو باشند

 «عیسی زارع‌پور» وزیر ارتباطات و فناوری اطلاعات در برنامه اعلامی خود به افزایش قابل توجه جرایم سایبری مرتبط با فضای خصوصی و زیرساختی اشاره کرده و گفته این افزایش جرایم سایبری به خاطر نبود متولی مشخص در نظام امنیت سایبری زیرساختی کشور است. روزنامه ایران نظر کارشناسان امنیت سایبری را جویا شده که ارزیابی آنها در باره این گفته چیست؟
کافی نبودن طرح متولی
امید توکلی طراح و راهبر امنیت راهکارهای فناوری اطلاعات و عملیات معتقد است در آبان‌ماه سال 96 شورای عالی فضای مجازی، نظام ملی پیشگیری و مقابله با حوادث فضای مجازی را تصویب کرد و این نظام مشخص‌کننده نهادهای متولی امنیت در حوزه‌های مختلف فضای مجازی ازجمله فضای خصوصی و امنیت زیرساخت‌هاست.
توکلی گفت: متأسفانه پس از گذشت 4 سال از تصویب این نظام و براساس گزارش‌های منتشرشده از حوادث سایبری در کشور، سازوکارهای این بخش اثربخش نبوده و نقش‌آفرینی مطلوبی در آن مشاهده نمی‌شود. به‌عنوان مثال در یک سال گذشته اخبار نفوذ به دستگاه‌های اجرایی نظیر سازمان بنادر و دریانوردی، راه‌آهن، وزارت راه، پلیس راهور و اخیراً زندان اوین به‌عنوان یکی از زیرمجموعه‌های سازمان زندان‌ها و اقدام‌های تأمینی کشور در رسانه‌ها منتشر شده که هر یک از این دستگاه‌های اجرایی، تحت نظارت یکی از دستگاه‌های هماهنگ‌ کننده در نظام ملی پیشگیری و مقابله با حوادث فضای مجازی فعالیت می‌کردند.
وی با اشاره به اینکه بروز حملات و حوادث سایبری در قوی‌ترین نظام‌های سایبری دنیا نیز محتمل و حتی متداول است، افزود: به عنوان مثال اردیبهشت‌ماه سال جاری خط لوله «کلونیال» به‌عنوان بزرگترین خط لوله انتقال سوخت در امریکا به طول 8800 کیلومتر دچار حمله‌ باج‌افزاری شد؛ حتی اعلام شد که مبلغ 5 میلیون دلار به‌عنوان باج به هکرها پرداخت شده اما ردپایی (که مطالبه صنعت امنیت در کشور است) از مؤلفه‌های نظام ملی پیشگیری و مقابله با حوادث فضای مجازی قبل، حین و پس از حادثه مشاهده نمی‌شود.
توکلی گفت: دپارتمان مدیریت امنیت حمل ونقل در وزارت امنیت داخلی امریکا (DHS) کمتر از یک هفته پس از حادثه خط لوله کلونیال، دستورالعملی صادر کرد مبنی بر اینکه گزارش‌دهی وضعیت سایبری خطوط لوله به مقامات فدرال که تا پیش از این حادثه به شکل اختیاری دنبال می‌شد، الزامی شد. این در حالی است که شرکت‌های مدیریت خطوط لوله در امریکا عموماً از سوی بخش خصوصی اداره می‌شوند.
وی افزود: در وضعیتی که اثری از اقدام‌های پیشینی و پسینی دستگاه‌های هماهنگ‌کننده نظام ملی در مواجهه با حوادث سایبری در دستگاه‌های اجرایی و دولتی مشاهده نمی‌شود، آیا می‌توان به همکاری زیرساخت‌های حیاتی‌ در اختیار بخش خصوصی مانند مجتمع‌های پتروشیمی با این نظام امیدوار بود؟
این طراح و راهبر امنیت راهکارهای فناوری اطلاعات و عملیات با بیان اینکه تعیین متولی به تنهایی منجر به ارتقای سطح امنیت و افزایش تاب‌آوری کشور در برابر حوادث سایبری نمی‌شود، گفت: صنعت امنیت کشور نیازمند متولیان کارآزموده‌ و پاسخگو است که به استفاده از ظرفیت‌ها و توانمندی‌های بخش خصوصی در صنعت امنیت اعتقاد داشته باشد و از آن جهت ایجاد سازوکارهای تسلط سایبری، افزایش تاب‌آوری و مدیریت ریسک بهره‌برداری کند.
پاسخگو کردن مدیران
کاظم فلاحی کارشناس امنیت سایبری نیز معتقد است، مطرح شدن نبود متولی مشخص در نظام امنیت زیر ساختی کشور از سوی وزیر جدید ارتباطات و فناوری اطلاعات به لمس شدن جرایم عمومی و خصوصی در قوه قضائیه از سوی ایشان برمی گردد.
فلاحی با بیان اینکه عیسی زارع پور مسئول فناوری اطلاعات و آمار قوه قضائیه بود، گفت: در این بخش جرایمی که در بخش عمومی و خصوصی بیشتر دیده می‌شود ، به مردم مربوط است. مردم بیشتر درگیر فیشینگ و کلاهبرداری‌هایی هستند که در برخی از پلتفرم‌ها هر روزه رخ می‌دهد و قربانی می‌شوند به همین دلیل به نظر می‌رسد وزیر جدید ارتباطات و فناوری اطلاعات این موضوع را از نزدیک درک کرده از این‌رو در برنامه خود چنین بحثی را مطرح کرده است.
وی با اشاره به اینکه گذاشتن متولی واحد، اقدام خوب و مثبتی است، افزود: ولی پیش از آن باید گفت که امنیت سایبری اکنون در سه حوزه مختلف سه متولی دارد. از سوی شورای عالی فضای مجازی، امنیت سایبری بخش عمومی به پلیس فتا، امنیت سایبری دستگاه‌های حساس و زیرساخت‌های حیاتی کشور به مرکز افتای نهاد ریاست جمهوری و امنیت سایبری دستگاه‌های غیرحساس به مرکز ماهر سازمان فناوری اطلاعات واگذار شده است.
این کارشناس امنیت سایبری در ادامه گفت: موضوع اصلی این است که با اینکه متولی هر بخش مشخص است اما دستگاه‌های مربوطه بعد هک شدن و آسیب پذیری‌ها پاسخگو نیستند.
این کارشناس به هک وزارت راه و شهرسازی اشاره کرد و گفت: حمله سایبری به عینه رخ داده بود و حتی شرکت «چک پوینت» گزارش تحلیلی مفصلی درباره این هک ارائه داد به صورتی که نشان داد چقدر کامل به بحث امنیتی کشور ما اشراف دارند اما از سوی مسئولان مربوطه این هک تکذیب شد و حتی متولیان امر هم گزارش درستی از این هک ارائه ندادند و ما از یک گزارش خارجی متوجه شدیم که از کدام منبع این هک صورت گرفته، چگونه رخ داده و چه داده‌هایی از دست رفته، راه‌های مقابله با آن چیست و... تا در دیگر دستگاه‌ها آنها را رعایت کنیم.
وی افزود: مشکل اصلی مسئولیت پذیر نبودن مدیران دستگاه هاست و باید مدیرانی برای امنیت سایبری دستگاه‌ها و نهادها انتخاب شوند که مسئولیت پذیر بوده و در برابر حملات پاسخگو باشند چرا که تأیید هک بد و زشت نیست و در دنیا مرسوم است و این کار باعث می‌شود که با اشتراک گذاری، دیگر وزارتخانه‌ها نیز سریع دست به کار شوند و جلوی حملات احتمالی را بگیرند.
 این کارشناس از وزیر ارتباطات دولت سیزدهم خواست از افراد متخصص در دستگاه‌ها برای بخش امنیت سایبری استفاده کنند و اگر واقعاً راهی نیست حداقل به این افراد آموزش داده شود.
خلأ قانونی
رضا اکبری دیگر کارشناس امنیت سایبری نیز معتقد است که اکنون سه متولی مرکز ماهر، مرکز افتا و پلیس فتا در حوزه امنیت سایبری در کشور وجود دارد ولی اگر این سه بخش زیر نظر یک متولی بالا دستی باشند شاید بهتر باشد.
اکبری گفت: اما مشکل اصلی در متولی نیست بلکه در مدیران بخش‌های امنیت سایبری دستگاه‌های دولتی است. آنها دارای دانش کافی نیستند و بارها به این موضوع تأکید شده ولی اصولاً ترتیب اثر داده نشده است. از سوی دیگر متخصصان امنیت سایبری در دستگاه‌ها حضور ندارند به همین دلیل این دسته از مشکل‌ها باید حل شود.
وی نیز به پاسخگو نبودن مدیران دستگاه‌ها هنگام هک اشاره کرد و افزود: باید مدیران را نسبت به هک‌هایی که اتفاق می‌افتد پاسخگو کرد اگر این الزام به‌وجود آید آنها نیز بر امنیت سایبری دستگاه‌های خود با جذب متخصصان بیشتر نظارت می‌کنند. مدیران دغدغه‌ای ندارند و در برابر نشت اطلاعات احساس مسئولیت نمی‌کنند و پاسخگو نیستند از این‌رو به نظر می‌رسد در اینجا بیشتر خلأ قانونی وجود دارد و متولی باید با تصویب قانونی مدیران را بازخواست ، جریمه و... کرد.
اکبری در ادامه گفت: در دنیا هک‌های زیادی البته بیشتر از نوع حرفه‌ای آن اتفاق می‌افتد و امری اجتناب‌ناپذیر است ولی مدیر باید پاسخگو باشد و گزارش کاملی از آنچه اتفاق افتاده ارائه دهد چیزی تاکنون در کشور ندیده‌ایم.این کارشناس امنیت سایبری در ادامه گفت: بارها آسیب پذیری‌ها از سوی هر سه متولی به همراه راه‌های مقابله با آن نیز به دستگاه‌ها اطلاع‌رسانی شده ولی ترتیب اثری نداده‌اند و هک شده‌اند.
وی معتقد است باید در زمینه انتخاب مدیران امنیت سایبری دستگاه‌ها وسواس و حساسیت به خرج داد ولی تاکنون این اتفاق نیفتاده و افراد با رابطه سر کار آمده‌اند و به‌دلیل نداشتن دانش کافی در این حوزه شاهد هک‌هایی هستیم که پیش پا افتاده ترین موارد امنیتی را رعایت نکرده‌اند.