مدیران امنیت سایبری باید در مقابل هر «هک» پاسخگو باشند
«عیسی زارعپور» وزیر ارتباطات و فناوری اطلاعات در برنامه اعلامی خود به افزایش قابل توجه جرایم سایبری مرتبط با فضای خصوصی و زیرساختی اشاره کرده و گفته این افزایش جرایم سایبری به خاطر نبود متولی مشخص در نظام امنیت سایبری زیرساختی کشور است. روزنامه ایران نظر کارشناسان امنیت سایبری را جویا شده که ارزیابی آنها در باره این گفته چیست؟
کافی نبودن طرح متولی
امید توکلی طراح و راهبر امنیت راهکارهای فناوری اطلاعات و عملیات معتقد است در آبانماه سال 96 شورای عالی فضای مجازی، نظام ملی پیشگیری و مقابله با حوادث فضای مجازی را تصویب کرد و این نظام مشخصکننده نهادهای متولی امنیت در حوزههای مختلف فضای مجازی ازجمله فضای خصوصی و امنیت زیرساختهاست.
توکلی گفت: متأسفانه پس از گذشت 4 سال از تصویب این نظام و براساس گزارشهای منتشرشده از حوادث سایبری در کشور، سازوکارهای این بخش اثربخش نبوده و نقشآفرینی مطلوبی در آن مشاهده نمیشود. بهعنوان مثال در یک سال گذشته اخبار نفوذ به دستگاههای اجرایی نظیر سازمان بنادر و دریانوردی، راهآهن، وزارت راه، پلیس راهور و اخیراً زندان اوین بهعنوان یکی از زیرمجموعههای سازمان زندانها و اقدامهای تأمینی کشور در رسانهها منتشر شده که هر یک از این دستگاههای اجرایی، تحت نظارت یکی از دستگاههای هماهنگ کننده در نظام ملی پیشگیری و مقابله با حوادث فضای مجازی فعالیت میکردند.
وی با اشاره به اینکه بروز حملات و حوادث سایبری در قویترین نظامهای سایبری دنیا نیز محتمل و حتی متداول است، افزود: به عنوان مثال اردیبهشتماه سال جاری خط لوله «کلونیال» بهعنوان بزرگترین خط لوله انتقال سوخت در امریکا به طول 8800 کیلومتر دچار حمله باجافزاری شد؛ حتی اعلام شد که مبلغ 5 میلیون دلار بهعنوان باج به هکرها پرداخت شده اما ردپایی (که مطالبه صنعت امنیت در کشور است) از مؤلفههای نظام ملی پیشگیری و مقابله با حوادث فضای مجازی قبل، حین و پس از حادثه مشاهده نمیشود.
توکلی گفت: دپارتمان مدیریت امنیت حمل ونقل در وزارت امنیت داخلی امریکا (DHS) کمتر از یک هفته پس از حادثه خط لوله کلونیال، دستورالعملی صادر کرد مبنی بر اینکه گزارشدهی وضعیت سایبری خطوط لوله به مقامات فدرال که تا پیش از این حادثه به شکل اختیاری دنبال میشد، الزامی شد. این در حالی است که شرکتهای مدیریت خطوط لوله در امریکا عموماً از سوی بخش خصوصی اداره میشوند.
وی افزود: در وضعیتی که اثری از اقدامهای پیشینی و پسینی دستگاههای هماهنگکننده نظام ملی در مواجهه با حوادث سایبری در دستگاههای اجرایی و دولتی مشاهده نمیشود، آیا میتوان به همکاری زیرساختهای حیاتی در اختیار بخش خصوصی مانند مجتمعهای پتروشیمی با این نظام امیدوار بود؟
این طراح و راهبر امنیت راهکارهای فناوری اطلاعات و عملیات با بیان اینکه تعیین متولی به تنهایی منجر به ارتقای سطح امنیت و افزایش تابآوری کشور در برابر حوادث سایبری نمیشود، گفت: صنعت امنیت کشور نیازمند متولیان کارآزموده و پاسخگو است که به استفاده از ظرفیتها و توانمندیهای بخش خصوصی در صنعت امنیت اعتقاد داشته باشد و از آن جهت ایجاد سازوکارهای تسلط سایبری، افزایش تابآوری و مدیریت ریسک بهرهبرداری کند.
پاسخگو کردن مدیران
کاظم فلاحی کارشناس امنیت سایبری نیز معتقد است، مطرح شدن نبود متولی مشخص در نظام امنیت زیر ساختی کشور از سوی وزیر جدید ارتباطات و فناوری اطلاعات به لمس شدن جرایم عمومی و خصوصی در قوه قضائیه از سوی ایشان برمی گردد.
فلاحی با بیان اینکه عیسی زارع پور مسئول فناوری اطلاعات و آمار قوه قضائیه بود، گفت: در این بخش جرایمی که در بخش عمومی و خصوصی بیشتر دیده میشود ، به مردم مربوط است. مردم بیشتر درگیر فیشینگ و کلاهبرداریهایی هستند که در برخی از پلتفرمها هر روزه رخ میدهد و قربانی میشوند به همین دلیل به نظر میرسد وزیر جدید ارتباطات و فناوری اطلاعات این موضوع را از نزدیک درک کرده از اینرو در برنامه خود چنین بحثی را مطرح کرده است.
وی با اشاره به اینکه گذاشتن متولی واحد، اقدام خوب و مثبتی است، افزود: ولی پیش از آن باید گفت که امنیت سایبری اکنون در سه حوزه مختلف سه متولی دارد. از سوی شورای عالی فضای مجازی، امنیت سایبری بخش عمومی به پلیس فتا، امنیت سایبری دستگاههای حساس و زیرساختهای حیاتی کشور به مرکز افتای نهاد ریاست جمهوری و امنیت سایبری دستگاههای غیرحساس به مرکز ماهر سازمان فناوری اطلاعات واگذار شده است.
این کارشناس امنیت سایبری در ادامه گفت: موضوع اصلی این است که با اینکه متولی هر بخش مشخص است اما دستگاههای مربوطه بعد هک شدن و آسیب پذیریها پاسخگو نیستند.
این کارشناس به هک وزارت راه و شهرسازی اشاره کرد و گفت: حمله سایبری به عینه رخ داده بود و حتی شرکت «چک پوینت» گزارش تحلیلی مفصلی درباره این هک ارائه داد به صورتی که نشان داد چقدر کامل به بحث امنیتی کشور ما اشراف دارند اما از سوی مسئولان مربوطه این هک تکذیب شد و حتی متولیان امر هم گزارش درستی از این هک ارائه ندادند و ما از یک گزارش خارجی متوجه شدیم که از کدام منبع این هک صورت گرفته، چگونه رخ داده و چه دادههایی از دست رفته، راههای مقابله با آن چیست و... تا در دیگر دستگاهها آنها را رعایت کنیم.
وی افزود: مشکل اصلی مسئولیت پذیر نبودن مدیران دستگاه هاست و باید مدیرانی برای امنیت سایبری دستگاهها و نهادها انتخاب شوند که مسئولیت پذیر بوده و در برابر حملات پاسخگو باشند چرا که تأیید هک بد و زشت نیست و در دنیا مرسوم است و این کار باعث میشود که با اشتراک گذاری، دیگر وزارتخانهها نیز سریع دست به کار شوند و جلوی حملات احتمالی را بگیرند.
این کارشناس از وزیر ارتباطات دولت سیزدهم خواست از افراد متخصص در دستگاهها برای بخش امنیت سایبری استفاده کنند و اگر واقعاً راهی نیست حداقل به این افراد آموزش داده شود.
خلأ قانونی
رضا اکبری دیگر کارشناس امنیت سایبری نیز معتقد است که اکنون سه متولی مرکز ماهر، مرکز افتا و پلیس فتا در حوزه امنیت سایبری در کشور وجود دارد ولی اگر این سه بخش زیر نظر یک متولی بالا دستی باشند شاید بهتر باشد.
اکبری گفت: اما مشکل اصلی در متولی نیست بلکه در مدیران بخشهای امنیت سایبری دستگاههای دولتی است. آنها دارای دانش کافی نیستند و بارها به این موضوع تأکید شده ولی اصولاً ترتیب اثر داده نشده است. از سوی دیگر متخصصان امنیت سایبری در دستگاهها حضور ندارند به همین دلیل این دسته از مشکلها باید حل شود.
وی نیز به پاسخگو نبودن مدیران دستگاهها هنگام هک اشاره کرد و افزود: باید مدیران را نسبت به هکهایی که اتفاق میافتد پاسخگو کرد اگر این الزام بهوجود آید آنها نیز بر امنیت سایبری دستگاههای خود با جذب متخصصان بیشتر نظارت میکنند. مدیران دغدغهای ندارند و در برابر نشت اطلاعات احساس مسئولیت نمیکنند و پاسخگو نیستند از اینرو به نظر میرسد در اینجا بیشتر خلأ قانونی وجود دارد و متولی باید با تصویب قانونی مدیران را بازخواست ، جریمه و... کرد.
اکبری در ادامه گفت: در دنیا هکهای زیادی البته بیشتر از نوع حرفهای آن اتفاق میافتد و امری اجتنابناپذیر است ولی مدیر باید پاسخگو باشد و گزارش کاملی از آنچه اتفاق افتاده ارائه دهد چیزی تاکنون در کشور ندیدهایم.این کارشناس امنیت سایبری در ادامه گفت: بارها آسیب پذیریها از سوی هر سه متولی به همراه راههای مقابله با آن نیز به دستگاهها اطلاعرسانی شده ولی ترتیب اثری ندادهاند و هک شدهاند.
وی معتقد است باید در زمینه انتخاب مدیران امنیت سایبری دستگاهها وسواس و حساسیت به خرج داد ولی تاکنون این اتفاق نیفتاده و افراد با رابطه سر کار آمدهاند و بهدلیل نداشتن دانش کافی در این حوزه شاهد هکهایی هستیم که پیش پا افتاده ترین موارد امنیتی را رعایت نکردهاند.