«بهتازگی حبیب رستمی، دبیر انجمن رمز ایران تاکید کرد که برای حفظ امنیت فضای تولید و تبادل اطلاعات (افتا) لازم است یک رگولاتوری و تنظیم کننده نهایی و مستقل راهاندازی شود، چرا که هم اکنون به این موضوع در سازمان تنظیم مقررات و ارتباطات رادیویی پرداخته نمیشود.» از آنجایی که بحث رگولاتوری و قانونگذاری در حوزه امنیت فضای تولید و تبادل اطلاعات یکی از مهمترین مباحث است، در همین راستا روزنامه ایران به سراغ فعالان حوزه امنیت رفت و نظر آنها را درباره ضرورت وجود رگولاتوری مستقل در حوزه امنیت جویا شد.
دغدغه ساماندهی
علیرضا جباریان، کارشناس امنیت اعتقاد دارد، داشتن رگولاتوری مستقل بحث جدیدی نیست چرا که در حال حاضر ارگانهای موازی زیادی هستند که در حوزه امنیت فضای تولید و تبادل اطلاعات مشغول فعالیت هستند و همین تعدد رگولاتور باعث سردرگمی در این حوزه شده است.
جباریان به «ایران» گفت: واقعاً داشتن سازمان رگولاتوری مستقل «افتا» یک دغدغه عادی نیست، بلکه دغدغه اصلی ساماندهی نهادها و مراکزی است که ادعای رگولاتوری در حوزه امنیت فضای تولید و تبادل اطلاعات را دارند، چرا که هم اکنون رگولاتورهای متعدد و زیادی در این حوزه وجود دارند.
جباریان با بیان اینکه مرکز مدیریت راهبردی افتای ریاست جمهوری و مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر) سازمان پدافند غیرعامل در حوزه رگولاتوری فعال هستند، افزود: داشتن رگولاتوری مستقل و عملیاتی کردن آن میتواند اقدام مثبتی باشد و فعالان این حوزه و سازمانها و نهادها و شرکتها و… را از سردرگمی نجات دهد ولی اگر قرار باشد باز نهاد دیگری به نام سازمان رگولاتوری مستقل امنیت شکل بگیرد و یک نهاد دیگر به نهادهای موجود اضافه شود، اقدام خوبی نیست.
جباریان در ادامه گفت: با تشکیل سازمان رگولاتوری مستقل امنیت فضای تولید و تبادل اطلاعات باید دیگر نهادها حذف یا با هم ادغام شوند و بهصورت زیرمجموعه یک کل قرار بگیرند، به طوری که بخش کل، سیاستگذاریهای کلان را انجام دهد و زیرمجموعهها بهصورت سلسله مراتب در حوزههای مختلف فعالیت کنند تا از موازی کاری نیز پرهیز شود.
میلاد نوری، دیگر کارشناس امنیت نیز معتقد است در نگاه اول شاید احساس شود که ما برای بهبود امنیت فضای تولید و تبادل اطلاعات نیاز به یک سازمان رگولاتوری مستقل در این حوزه داریم ولی باید گفت ما بهدلیل داشتن تعداد زیادی مرکز و سازمان در حوزه امنیت، بیشتر از آن نیازمند ساماندهی هستیم، چرا که ایجاد امنیت تنها از عهده یک نهاد و سازمان خارج است.
نوری گفت: بهنظر میرسد اگر این سازمان نیز ایجاد شود یک نهاد به دیگر نهادها اضافه شده و باز شاهد موازی کاری خواهیم بود و این اقدام تنها سدی دیگر بر سدهای قبلی ارائه دهندگان واقعی خدمات در این فضا اضافه خواهد کرد. وی همچنین با بیان اینکه مفهوم «امنیت» یک مفهوم گستردهای است، افزود: زمانی که از امنیت فضای تولید و تبادل اطلاعات صحبت به میان میآید، باید تعریف امنیت مشخص باشد، چرا که امنیت اطلاعات کاربران در دست کسب و کارها، امنیت مراودات مالی کاربران، امنیت روانی شهروندان و… همه در این فضا خلاصه میشود و مهمتر اینکه برای حفظ امنیت در ابعاد مختلف این فضا، خلأهای قانونی و در برخی موارد ضعف در اجرای قوانین موجود وجود دارد.
نوری در ادامه گفت: بهعنوان مثال کسب و کارها نیاز به دریافت تصویر مدارک حساس کاربر نظیر کارت ملی، کارت بانکی و… دارند، ولی در زمینه اجازه نحوه دریافت مدارک، نحوه ذخیره آنها و حتی برخورد قانونی در صورت لو رفتن مدارک کاربران و… هیچ قانون مشخصی وجود ندارد. از سوی دیگر حتی بهدلیل وجود نقص امنیت در سرویسدهندهها، اطلاعات کاربران نشت پیدا کند در این بخش هم هیچ قانون و تبعات قانونی خاصی برای قصور سرویس دهنده وجود ندارد. بنابراین همانطور که میبینید دغدغه فضای امنیت تولید و تبادل اطلاعات داشتن رگولاتوری مستقل نیست؛ بلکه بیشتر رفع خلأهای قانونی و… است تا امنیت در فضای تولید و تبادل اطلاعات افزایش یابد.
وی افزود: این روزها سازمانهای مختلف در حال ایجاد محدودیت در قالب قوانین جدید و دست و پاگیر بخصوص برای کسب و کارهای اینترنتی با ابزارهای مختلفی مانند احراز هویت کاربران، استعلامهای مالی و… هستند در حالی که مسئولان بهتر است بهجای ایجاد قوانین هر چه بیشتر یا نهاد بیشتر و موازی، درصدد اصلاح قوانین و ایجاد ابزارها و افزایش آگاهی مردم و مدیران در زمینه امنیت باشند.
خلأ اعمال قدرت
اما مرتضی نکویی، دیگر کارشناس افتا، اعتقاد دارد حوزه امنیت نیازمند تنظیم و مقررات و رگولاتوری مستقل است و سال هاست که فعالان حوزه امنیت فضای تولید و تبادل اطلاعات این موضوع را طرح میکنند.
نکویی به «ایران» گفت: در حوزه امنیت هم اکنون نهادها و سازمانهای مختلفی مانند افتا، ماهر، نما، پدافند غیرعامل کشور، سازمان نصر کشور و مرکز ملی فضای مجازی فعال هستند و با اینکه تمام این بخشها کارهای خوبی انجام دادهاند ولی با تعدد رگولاتوری روبهرو هستیم و این اصلاً خوب نیست از اینرو نیاز است تا با تشکیل زیرساختها در حوزه افتا انسجام و یکپارچگی ایجاد شود.
این کارشناس امنیت معتقد است افتا مبحث گستردهای است و با تشکیل یک سازمان رگولاتوری مستقل امنیت فضای تولید و تبادل اطلاعات نباید کاری کرد که یک سازمان انحصاری شکل بگیرد، چرا که انحصار نیز خود مشکلات و معضلات خود را در پی دارد.
وی در ادامه گفت: از آنجایی که بحث امنیت در کشور ما به بلوغ مناسبی نرسیده است و برخی سازمانهای امنیت مانند افتای ریاست جمهوری با اینکه کارها و اقدامهای خوبی در این حوزه انجام دادهاند، بسیار جوان هستند بنابراین باید با کمک نهادهایی که هم اکنون در حوزه امنیت شکل گرفتهاند و در کنار آن با کمک شرکتهایی که در حوزه افتا صاحبنظر هستند، این سازمان رگولاتور مستقل شکل بگیرد. حتی باید بتوان از نیروهای خبره موجود که در استارتاپها و شرکتهای کوچک فعال هستند، بهره برد.
نکویی تأکید کرد که سازمانها و مراکزی که هم اکنون در زمینه افتا فعالیت دارند، تلاش میکنند تا به یک رگولاتوری مستقل، جامع و بدون انحصار تبدیل شوند ولی این رگولاتوری باید متشکل از کارگروههای مختلف و با کمک صاحبنظرانی باشد که اطلاعات آنها ثانیه به ثانیه بهروز میشود بنابراین نیازمند کارگروهی منسجم و زیرمجموعههایی هستیم تا زیر نظر یک مرکزیتی فعالیت کنند.
نکویی به بحث چالشهایی که در حوزه مدیریتی سازمانها و نهادها وجود دارد نیز اشاره کرد و افزود: مدیران حوزه زیرساختهای حیاتی در زمینه امنیت آگاهی ندارد و به علت داشتن تفکر سنتی و بیگانه بودن با مباحث آیتی و افتا ابلاغیههای امنیتی یا بحث امنیت را جدی نمیگیرند بهطوری که وقتی مرکزی مانند افتا مسأله مهم امنیتی را ابلاغ میکند، مدیران سازمانها آن را اعمال نمیکنند.
وی اعتقاد دارد اگر سازمان رگولاتوری مستقلی وجود داشته باشد میتواند اعمال قدرت و نفوذ کند تا آنها بحثهای امنیتی را در سازمان و نهادهای خود جدی بگیرند حتی به این طریق میتوان بحث جدی گرفتن امنیت فضای تولید و تبادل اطلاعات را در کشور بیشتر جا انداخت بخصوص برای مدیران با تفکر سنتی که با مباحث آی تی و افتا بیگانهاند.
کاظم فلاحی، دیگر کارشناس امنیت نیز اعتقاد دارد که بخش امنیت و تبادل اطلاعات به رگولاتوری مستقل نیاز دارد و بهتر است که بحث امنیت رگولاتوری جدا از سازمان تنطیم مقررات و ارتباطات رادیویی باشد.
فلاحی گفت: سازمان تنظیم مقررات و ارتباطات رادیویی خود چندین حوزه مانند اپراتورها، سرویس دهندهها و غیره را رگولاتوری کرده و بر آنها نظارت دارد و بخوبی هم اعمال قدرت میکند ولی در حوزه امنیت شرکتهایی که بهعنوان مثال اطلاعاتشان لو رفته اعمال قدرت نکرده است بنابراین بخش امنیت به چنین سازمانی نیاز دارد تا در این بخش اعمال قدرت کند. این کارشناس امنیت معتقد است هنوز وقتی شرکتی، مؤسسهای و… در زمینه امنیت دچار مشکل میشود مثلاً اپلیکیشنی اطلاعاتش هک شده و لو رفته و منتشر میشود هیچ نهادی نیست این موضوع را پیگیری و نظارت کرده، جریمه کند و دیگر اقدامهای قانونی را اعمال کند.