جایگاه ایران در ارزیابی شاخصهای جهانی امنیت سایبری، 6 رتبه ارتقا یافت و در بین 194 کشور در جایگاه 54 ایستاد. درباره ارتقای وضعیت امنیت سایبری کشورمان در جهان با «بیتا کیامهر»، مدیر کل نظام مدیریت امنیت اطلاعات (نما) سازمان فناوری اطلاعات ایران گفتوگو کردهایم که میخوانید.
ارزیابی شاخصهای جهانی امنیت سایبری شامل چه مواردی است؟
اتحادیه بینالمللی مخابرات (ITU) بهصورت دورهای و دوسالانه از طریق پرسشنامههایی با بیش از 80 سؤال شاخص امنیت (global cyber security index) کشورهای جهان را از نظر امنیت سایبری ارزیابی میکند که این ارزیابیها در 5 محور قانونی، فنی، ظرفیت سازی، سازمانی و تعاملی صورت میگیرد. سازمان فناوری اطلاعات ایران با انجام دقیق فعالیتهای کارشناسی موفق شد که به درستی سیاستهای این 5 محور را به مسئولان دستگاههای اجرایی منعکس کند تا شاهد ارتقای 6 پلهای در جهان باشیم.
در ردهبندی ارزیابی شاخصهای جهانی امنیت سایبری بالاتر از چه کشورهایی قرار گرفتهایم؟
در سطح جهانی کشور ما در بین 194 کشور در جایگاه 54 و بالاتر از کشورهایی مانند کویت، بحرین، سودان، آفریقای جنوبی، سنگال، میانمار، جامائیکا و… ایستاد. در منطقه آسیا و اقیانوسیه هم رتبه 12 را در بین 37 کشور به دست آورد و بالاتر از کشورهایی چون فیلیپین، پاکستان، سریلانکا و… پایینتر از کشورهای کره جنوبی، سنگاپور، مالزی، چین، هند و… قرار گرفت.
امتیازهای کشورمان نسبت به رده بندهای قبلی چقدر تغییر داشته است؟
در سالهای 2017 و 2018 کشور ما رتبه 60 و به ترتیب494 هزارم و 641 هزارم امتیاز به دست آورد. این در حالی است که امتیاز ما در این ردهبندی اخیر یعنی در سال 2021 به81.06 درصد ارتقا یافته است.
به انجام فعالیتهای کارشناسی و اقدامهای مؤثر از سوی سازمان فناوری اطلاعات اشاره کردید دقیقاً چه نوع اقدامهایی صورت گرفته است؟
از جمله اقدامهایی که با مشارکت سازمان فناوری اطلاعات ایران و دستگاههای اجرایی صورت گرفت و در بالا رفتن امتیاز کشورمان در این رتبهبندی نقش داشت، هوشمندسازی مدارس، فعالیت کودکان در اینترنت، ارائه سیم کارت دانشآموزی، راهاندازی پیام رسان بومی ویژه کودکان مانند شبکه شاد، تهیه دستورالعملها و الزامهای حوزه امنیت، توسعه استانداردسازی فنی و…بود. از سوی دیگر بومیسازی استانداردهای حوزه امنیت برای تمام افراد جامعه، حتی افراد کم توان نیز انجام شد. همچنین دستورالعملها و الزامهای امنیت سایبری مانند دستورالعملهای امنسازی پایگاه اطلاعاتی به دستگاههای اجرایی ابلاغ شد. در حوزه امنیت سایبری برای بخش خصوصی هم امکان مشاوره، پیادهسازی و ممیزی سیستم مدیریت امنیت اطلاعات در سازمانها از طریق ارزیابی، اعتباربخشی و اعطای پروانه حوزههای خدمات و محصولات امنیت فضای تولید و تبادل اطلاعات فراهم شد. بسترهای متعدد تعاملات امن اطلاعاتی مانند سیستمهای ارتباطی جهت دریافت لاگ رخدادهای رایانهای ایجاد شد. بسیاری از طرحهای مطالعاتی و پژوهشی را با همکاری بخشهای دولتی و خصوصی نیزعملیاتی کرد که منجر به بومیسازی دستورالعمل و استانداردهای حوزه امنیت شد.
بیشترین تهدیدات امنیت سایبری که در کشور رخ میدهد از چه نوع تهدیداتی است؟
فضای تولید و تبادل اطلاعات کشورهر روزه با حملات و تهدیدات سایبری مختلفی روبهرو میشود که برخی از حملات بسیار پیچیده و هوشمندانه توسط انسان و ماشین انجام میشود. برخی حملات هم از طریق هکرها و بدافزارها رخ میدهند. (که معمولاً اطلاعات آنها بهصورت عمومی از طریق مرکز ماهر سازمان فناوری اطلاعات در اختیار عموم قرار میگیرد.) ولی در کل میتوان گفت حملات از جنس باج افزارها، باگها، ویروسها، بک دورها، جاسوسیهای سایبری و… است.
چارچوب اصلی مقابله با تهدیدات سایبری را چه ارکانی تشکیل میدهد؟
از دو رکن مدیریت و موارد فنی تشکیل شده است. ارکان مدیریتی و فنی هم شامل پرورش نیروهای انسانی متخصص، تدوین راهبردهای امنیتی و ارتقای نرم افزار، مغزافزار و سخت افزارهای حوزه امنیت است. البته در این میان نباید اتخاذ تدابیر پیشگیرانه و راهاندازی مرکز آموزش مجازی و خودکفایی کشور در طراحی متدولوژی فناورانه، کنترل و رصد حملات و تهدیدات سایبری را فراموش کرد، چرا که این موارد باید در رأس امور قرار بگیرند.
در مسیر حرکت امنیت سایبری، سازمان فناوری اطلاعات، اصلاحاتی را انجام داده است. درباره این اصلاحات توضیح میدهید که چه روش و تکنیکهایی را اجرایی کردهاید؟
سازمان فناوری اطلاعات ایران برای ارتقای فرهنگ امنیت کاربران و طراحان حوزههای فناوری اطلاعات دورههای آموزشی برگزار میکند. از سوی دیگر سیستم مدیریتی امنیت اطلاعات ISMS را طراحی و اجرایی کرده است. با مشارکت سازمان ملی استاندارد ایران، بومیسازی استانداردهای تخصصی این حوزه را تدوین و تعامل و ارتباط مؤثری را با نمایندگان فنی سازمان و دستگاههای اجرایی کشور در حوزه امنیت برقرار کرده تا روند حرکت کشور را در حوزه امنیت سایبری بهبود بخشد. البته باید گفت اقدامهایی که امروز در حوزه امنیت سایبری انجام میشود، بیشتر بر اساس پیشبینیهای فنی ارزیابی مخاطرات و شناسایی آسیبپذیری و نقاط ضعف بالقوه برنامهریزی شده است. دیگر امروزه نمیتوان منتظر بروز حملات و انجام اقدامهای اصلاحی و پیشگیرانه ماند، بلکه در شرایط عادی باید به فکر مدیریت بحران و استقرار طرحهای بازیافتی پس از فاجعه و تداوم خدماترسانی بود. بر این اساس روشها و تکنیکهای امروزی نسبت به سابق پیشرفتهتر و پیچیدهتر شده است. بههر حال با برداشتن گامهای اصلی که عنوان شد، میتوان باعث امنسازی فضای سایبری شد ولی مهم این است که میان اقدامها و هدفگرا بودن فرایندهای امنیت، همافزایی وجود داشته و مطابق با سناریو و راهبردهای کلان این حوزه باشد تا در زمان وقوع حملات از اطلاعات و دادهها بخصوص دادههای شخصی کاربران و حریم خصوصی آنان محافظت کنیم.
به رعایت ملاحظات و الزامات امنیت سایبری امنیتی اشاره کردید دراین باره توضیح میدهید؟
الزامات امنیتی شامل موارد بسیاری است؛ بهعنوان مثال باید از برنامههای کاربردی استفاده کرد. شبکههای محلی را امنسازی کرد. آزمونهای نفوذپذیری منظم دورهای انجام شود. آسیب پذیرهای بحرانی شناسایی و رفع شود. نرم افزارها بهروزرسانی شوند. به وصلههای امنیتی توجه شود. دسترسیها کنترل و مدیریت شوند. از رمزهای عبور با ساختار پیچیده و نرم افزارهای بومی استفاده شود و… مهمتر اینکه دستگاهها باید از محصولات و خدمات شرکتهای دارای مجوز و پروانه معتبر که لیست آنها در سایت سازمان فناوری اطلاعات درج شده استفاده کنند.
چه نوع استانداردهای فنی و مدیریتی در امنیت سایبری در کل کشور باید رعایت شود؟
یکی از مهمترین استانداردها، استانداردهای امنیتی خانواده ایزو 27000، بخصوص ایزو 27001 (سیستم مدیریت امنیت اطلاعات)، استانداردهای مدیریت مخاطرات و به روشها و متدولوژیهای امنیت است. البته باید گفت که با استقرار تنها یک استاندارد یا صرفاً با استفاده از یک روش و یا یک ابزار خاص مثل آنتی ویروس، نمیتوان امنیت سایبری را در کل سامانهها برقرار کرد. بنابراین باید در این میان، به برقراری امنیت در تمام اجزای شبکه توجه کرد.
برای ارتقای رتبه وضعیت امنیت سایبری کشورمان در منطقه و جهان چه مواردی باید در دستور کار قرار بگیرد؟
برای پایداری این روند و ارتقای بیشتر نیاز به عزم ملی و همکاری بیشتر دستگاههای اجرایی در فضای تولید و تبادل اطلاعات داریم، چرا که بدون همکاری سازمانها و دستگاههای اجرایی ارتقا ممکن نیست. دستگاههای اجرایی باید استانداردهای حوزه امنیت مانند ایزو 27001 را برای پیادهسازی سیستم مدیریت امنیت اطلاعات در دستگاه خود مستقر کنند. افرادی که در حوزه امنیت سایبری فعالیت میکنند باید دانش تخصصی خود را بهرورزسانی کنند تا ضریب تابآوری امنیت سایبری در کشور افزایش یابد و خسارت ناشی از حملات تعدیل شود. از سوی دیگر تمام کاربران حقیقی و حقوقی فضای سایبری، طراحان و توسعه دهندگان سامانهها به همراه پشتیبانی کنندهها نیاز است که ملاحظات و الزامات امنیت اطلاعات مانند دستورالعملها و الزامات امنیتی پورتالها، مراکز داده و سایر الزاماتی را که بیشتر آنها در زمان استقرار سیستم مدیریت امنیت مختص هر سازمانی تدوین میشود بهصورت جدی رعایت کنند تا شاهد بلوغ در این حوزه و کاهش آسیب پذیریهای احتمالی باشیم و بتوانیم رتبه خود را در جهان و منطقه ارتقا دهیم.