بتازگی مرکز تخصصی آموزش مجازی امنیت فضای تولید و تبادل اطلاعات (امنیت سایبری) از سوی سازمان فناوری اطلاعات ایران (securitylms.cert.ir) برای آموزش حوزه امنیت سایبری دستگاهها و سازمانهای دولتی و عمومی رونمایی شد. به بهانه آغاز به کار این مرکز، با «ابوالقاسم صادقی» معاون امنیت فضای تولید و تبادل اطلاعات گفت و گو کردهایم که میخوانید.
این مرکز با چه هدفی آغاز به کار کرده است و مخاطبان آن را چه کسانی تشکیل میدهند؟
هدف اصلی، تأمین محتوای با کیفیت و برگزاری کارگاههای آموزشی برای افزایش دانش، مهارت و توانمندی کارکنان دولت و بخش خصوصی در حوزه امنیت فضای تولید و تبادل اطلاعات است و به نوعی مخاطبان آن را کارشناسان دستگاههای دولتی تشکیل میدهند.
آیا برای اولین بار است که سازمان فناوری اطلاعات اقدام به برگزاری چنین کلاسهای آموزشی کرده است؟
خیر. در دو سال و نیم گذشته بیش از 300 هزار نفرساعت آموزش امنیت سایبری در کشور برگزار کردهایم که 100درصد این آمار با همکاری دانشگاهی و شبکههای سازمان فناوری اطلاعات در استانها بوده و بالای 60درصد از این آمار مربوط به سازمانها و دستگاههای دولتی است.
آیا شرایط کرونا باعث شده است که آموزش به صورت مجازی برگزار شود؟
خیر. از آنجایی که آموزش امنیت سایبری به یک پروسه مستمر و طولانی مدت و تثبیت شده نیاز دارد و از سوی دیگر قرار است آموزشها در سطح ملی برگزار شود، این مرکز آموزش تخصصی تولید و تبادل اطلاعات امنیت سایبری به صورت غیرحضوری و آنلاین برگزار میشود. برگزاری آموزشها در قالب مرکز آموزش مجازی باعث میشود آموزشها در دسترس تر، سریع تر و تکرار شونده تر برگزار شود.
محتواهایی که قرار است در این مرکز آموزش داده شود، چگونه انتخاب شده است؟
این کلاسها مطابق با استانداردهای بین المللی و سرفصلهای آن برگزار خواهد شد. حتی امکانات آزمایشهای مجازی به صورت پیشرفته و تجهیز شده نیز فراهم شده تا در روند آموزش راندمان خوبی داشته باشیم.
از آنجایی که برخی از مشکلات بهوجود آمده در سازمانها و دستگاههای دولتی به نداشتن دانش امنیت سایبری مدیران برمیگردد، آیا برای آموزش مدیران هم تدابیری اندیشیده شده است؟
بله چراکه معتقدیم مدیران سازمانها و دستگاههای دولتی از نظر غیرفنی مانند نوشتن سیاستها، خط مشیها، دستورالعملهای امنیتی و حتی تفکرات روانشناسانه به آموزش امنیت سایبری نیاز دارند. مدیران ما دانش کافی در زمینه امنیت سایبری ندارند و نمیتوانند در این حوزه برنامهریزی و سیاستگذاری کنند. بنابراین برگزاری سه دوره آموزشی برای مدیریت میانی و ارشد در نظر گرفته شده و قرار است مدیریت امنیت را طبق سرفصلهای بین المللی، تدریس کنیم.
بیشتر چه موارد امنیت سایبری در سازمانها و دستگاههای دولتی رعایت نمیشود؟
سازمانها و دستگاههای دولتی موارد بدیهی و حداقلهای مبانی واصول امنیت سایبری را (مانند راهاندازی یک سایت و ثبت کردن یک دامنه برای سازمان) هم رعایت نمیکنند حال این رعایت نکردن یا بهدلیل آگاه نبودن کارشناسان فنی آن مجموعه است یا بیتوجهی لایههای مدیریت آنها؛ پس وقتی هر دو در مجموعه مباحث امنیتی را رعایت نمیکنند یعنی در سطح مدیریتی بحث امنیت سایبری بخوبی راهبری نشده این درحالی است که باید به هردو بخش توجه ویژه شود.
کلیدی ترین حلقه مفقوده سازمانها و دستگاههای دولتی در حوزه امنیت سایبری کدام است؟
یکی از کلیدی ترین حلقههای مفقوده، نبود قوانین محکم به همراه عدم ضمانت اجرایی برای قوانین موجود در زمینه نشت و نشر اطلاعات و نقض حریم خصوصی کاربران در دستگاههای دولتی و حتی کسب و کارهای بسیار بزرگ است. وقتی نشت و نشر اطلاعات در حوزه امنیت سایبری دستگاهها و نهادها اتفاق میافتد، طبق قانون یک نفر باید پاسخگو باشد. اجرا نشدن قوانین موجود بهدلیل نبود ضمانت اجرایی و کمبود برخی قوانین باعث شده در زمینه مشکلات بهوجود آمده در حوزه امنیت سایبری بازدارندگی نداشته باشیم. برای جلوگیری از نشت اطلاعات و مسئولیت پذیر کردن مدیران، به قانون کافی و ضمانت اجرایی نیاز داریم.
تعریف قوانین و ضمانت اجرایی بخش امنیت سایبری برعهده کدام نهاد است؟
وظیفه شورای عالی فضای مجازی است. باید مرکزملی فضای مجازی ابتدا قوانین را به همراه ضمانت اجرایی آن تدوین و سپس اجرایی میکرد. متأسفانه با اینکه برخی قوانین کلان تصویب شده ولی بهدلیل نبود ضمانت اجرایی از سوی مدیران سازمانها و دستگاهها، اجرایی نمیشود و مدیران دغدغهای نداشته و در برابر نشت اطلاعات کاربرانشان احساس مسئولیت نمیکنند، پس پاسخگوهم نیستند، در جدیدترین مورد اطلاعات کاربران، یک بانک هک و نشت پیدا کرد و حتی راستی آزمایی شد ولی مدیران بانک براحتی اعلام کردند که اطلاعات مربوط به دوماه پیش است ولی اطلاعات کاربران جزو حریم خصوصی آنهاست چه فرقی میکند که مربوط به چه ماه و سالی باشد و مقام مسئول باید در حفظ و نگهداری آنها بکوشد ولی کسی پیگیر نیست. اگر هم جسته و گریخته پیگیری میشود، اثرگذاری بسیار اندکی دارد چون مسئولان و مدیران نسبت به نشت اطلاعات و رعایت امنیت سایبری حساسیت ندارند.
چندین نهاد مختلف امنیت سایبری در حال فعالیت هستند آیا این موازی کاری باعث نمیشود راندمان کار حوزه امنیت سایبری روند نزولی داشته باشد؟
پیش از این در بین نهادهای امنیت سایبری موازی کاری و ناهماهنگیهایی وجود داشت ولی مدتی است که با مدیریت مرکز ملی فضای مجازی بین دستگاههای امنیت سایبری هماهنگیهایی بهوجود آمده و شرایط بهبود یافته و تا حدی هم موفق عمل شده هرچند هنوز ایده آل نیست ولی اگر مشکل موازی کاری هم باشد به لایههای بعدی منتقل شده که آن هم قابل حل است.
مهمترین و بزرگترین چالش امنیت سایبری در کشور را چه میدانید؟
نبود ضمانت اجرایی برای قوانینی که وجود دارد.
بیشترین ضربهای که ما در کشور در بخش امنیت سایبری میبینیم از چه جنسی است؟
رعایت نکردن حداقلهای امنیت سایبری و بدیهیات. هکهایی که در سازمانها و دستگاههای دولتی انجام میشود از جنس هکهای حرفهای نیست. چون امنیت سایبری که 100درصد نیست و بالاخره هکرهایی در دنیا وجود دارند که از هر سد امنیتی هم عبور میکنند. اگر تمام موارد امنیت سایبری با تکنیکها در سازمانی رعایت شود و بعد هکی صورت بگیرد، قابل قبول است اما 99درصد هکهایی که در کشور ما رخ میدهد از نوع هک حرفهای نیست، چون هکرهای حرفهای که از سد تمام موارد و تکنیکهای امنیتی عبور میکنند کار خود را رسانهای نمیکنند.
فیلترینگ چقدر در آسیب پذیر بودن فضای امنیت سایبری کشور ما نقش دارد؟
از آنجایی که ما فقط مسئول رصد امنیت سایبری در کشور هستیم، نمیتوانیم درباره امور فیلترینگ نظر بدهیم اما استفاده گسترده از فیلترشکن باعث شده فیلترشکنهایی در قالب تروجانها و بدافزارها در کشور رواج زیادی پیدا کنند و فیلترشکنها یکی از منابع مهم آلودهسازی و گسترش بدافزارها در فضای سایبری کشور شدهاند.
توجه نکردن به فعالیت بخش خصوصی در حوزه امنیت سایبری چه تبعات منفی برای کشور در بر دارد؟
بار تأمین امنیت سایبری در کشور روی دوش تعدادی از شرکتهای بخش خصوصی است چون اینها محصولات امنیتی را تولید کرده و به شرکتها میفروشند و از سوی دیگر مشاوره و خدمات و آموزش امنیت سایبری میدهند بنابراین اگر این بخش فعال نباشد دیگر بخشها تعطیل میشود و در شرایط فعلی بقای این شرکتها را در خطر میبینیم چرا که همین بضاعت محدودی هم که شرکتها و برندهای خصوصی در حوزه امنیت سایبری دارند تا چند وقت دیگر از دست خواهیم داد بنابراین مسئولان ارشد کشور مانند شورای عالی فضای مجازی و شورای امنیت ملی کشور باید به این موضوع توجه کرده و برای بقای آنها برنامهریزی کنند.
کاربران هم در زمینه امنیت سایبری آگاهی و دانش کمی دارند و در دام فیشینگ و دیگر… میافتند برای ارتقای آگاهی این بخش چه باید کرد؟
تنها راه ورود، رسانههای فراگیر مانند صدا و سیما و دیگر رسانهها برای آموزش مردم در راستای مسئولیت اجتماعیشان است. باید در ساعات پرمخاطب آموزشهای لازم در زمینه مسائل امنیت سایبری به مردم داده شود.