اخبار آنلاین روزنامه ایران (ایران آنلاین) وابسته به موسسه فرهنگی و مطبوعاتی ایران

  • چهارشنبه ۳۰ مهر ۱۳۹۹
کارشناسان حوزه امنیت فناوری در گفت‌و‌گو با «ایران» :

نهادهای موازی در امنیت فضای تولید و تبادل اطلاعات باید ساماندهی شوند

نهادهای موازی در امنیت فضای تولید و تبادل اطلاعات باید ساماندهی شوند
سوسن صادقی خبرنگار

«به‌تازگی حبیب رستمی، دبیر انجمن رمز ایران تاکید کرد که برای حفظ امنیت فضای تولید و تبادل اطلاعات (افتا) لازم است یک رگولاتوری و تنظیم کننده نهایی و مستقل راه‌اندازی شود، چرا که هم اکنون به این موضوع در سازمان تنظیم مقررات و ارتباطات رادیویی پرداخته نمی‌شود.» از آنجایی که بحث رگولاتوری و قانونگذاری در حوزه امنیت فضای تولید و تبادل اطلاعات یکی از مهم‌ترین مباحث است، در همین راستا روزنامه ایران به سراغ فعالان حوزه امنیت رفت و نظر آنها را درباره ضرورت وجود رگولاتوری مستقل در حوزه امنیت جویا شد.

دغدغه ساماندهی
علیرضا جباریان، کارشناس امنیت اعتقاد دارد، داشتن رگولاتوری مستقل بحث جدیدی نیست چرا که در حال حاضر ارگان‌های موازی زیادی هستند که در حوزه امنیت فضای تولید و تبادل اطلاعات مشغول فعالیت هستند و همین تعدد رگولاتور باعث سردرگمی در این حوزه شده است.
جباریان به «ایران» گفت: واقعاً داشتن سازمان رگولاتوری مستقل «افتا» یک دغدغه عادی نیست، بلکه دغدغه اصلی ساماندهی نهادها و مراکزی است که ادعای رگولاتوری در حوزه امنیت فضای تولید و تبادل اطلاعات را دارند، چرا که هم اکنون رگولاتورهای متعدد و زیادی در این حوزه وجود دارند.
جباریان با بیان اینکه مرکز مدیریت راهبردی افتای ریاست جمهوری و مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) سازمان پدافند غیرعامل در حوزه رگولاتوری فعال هستند، افزود: داشتن رگولاتوری مستقل و عملیاتی کردن آن می‌تواند اقدام مثبتی باشد و فعالان این حوزه و سازمان‌ها و نهادها و شرکت‌ها و... را از سردرگمی نجات دهد ولی اگر قرار باشد باز نهاد دیگری به‌ نام سازمان رگولاتوری مستقل امنیت شکل بگیرد و یک نهاد دیگر به نهادهای موجود اضافه شود، اقدام خوبی
نیست.
جباریان در ادامه گفت: با تشکیل سازمان رگولاتوری مستقل امنیت فضای تولید و تبادل اطلاعات باید دیگر نهادها حذف یا با هم ادغام شوند و به‌صورت زیرمجموعه یک کل قرار بگیرند، به طوری که بخش کل، سیاستگذاری‌های کلان را انجام دهد و زیرمجموعه‌ها به‌صورت سلسله مراتب در حوزه‌های مختلف فعالیت کنند تا از موازی کاری نیز پرهیز شود.
میلاد نوری، دیگر کارشناس امنیت نیز معتقد است در نگاه اول شاید احساس شود که ما برای بهبود امنیت فضای تولید و تبادل اطلاعات نیاز به یک سازمان رگولاتوری مستقل در این حوزه داریم ولی باید گفت ما به‌دلیل داشتن تعداد زیادی مرکز و سازمان در حوزه امنیت، بیشتر از آن نیازمند ساماندهی هستیم، چرا که ایجاد امنیت تنها از عهده یک نهاد و سازمان خارج است.
نوری به «ایران» گفت: به‌نظر می‌رسد اگر این سازمان نیز ایجاد شود یک نهاد به دیگر نهادها اضافه شده و باز شاهد موازی کاری خواهیم بود و این اقدام تنها سدی دیگر بر سدهای قبلی ارائه دهندگان واقعی خدمات در این فضا اضافه خواهد کرد. وی همچنین با بیان اینکه مفهوم «امنیت» یک مفهوم گسترده‌ای است، افزود: زمانی که از امنیت فضای تولید و تبادل اطلاعات صحبت به میان می‌آید، باید تعریف امنیت مشخص باشد، چرا که امنیت اطلاعات کاربران در دست کسب و کارها، امنیت مراودات مالی کاربران، امنیت روانی شهروندان و... همه در این فضا خلاصه می‌شود و مهمتر اینکه برای حفظ امنیت در ابعاد مختلف این فضا، خلأهای قانونی و در برخی موارد ضعف در اجرای قوانین موجود وجود دارد.
نوری در ادامه گفت: به‌عنوان مثال کسب و کارها نیاز به دریافت تصویر مدارک حساس کاربر نظیر کارت ملی، کارت بانکی و... دارند، ولی در زمینه اجازه نحوه دریافت مدارک، نحوه ذخیره آنها و حتی برخورد قانونی در صورت لو رفتن مدارک کاربران و... هیچ قانون مشخصی وجود ندارد. از سوی دیگر حتی به‌دلیل وجود نقص امنیت در سرویس‌دهنده‌‌ها، اطلاعات کاربران نشت پیدا کند در این بخش هم هیچ قانون و تبعات قانونی خاصی برای قصور سرویس دهنده وجود ندارد. بنابراین همان‌طور که می‌بینید دغدغه فضای امنیت تولید و تبادل اطلاعات داشتن رگولاتوری مستقل نیست؛ بلکه بیشتر رفع خلأهای قانونی و... است تا امنیت در فضای تولید و تبادل اطلاعات افزایش یابد.
وی افزود: این روزها سازمان‌های مختلف در حال ایجاد محدودیت‌ در قالب قوانین جدید و دست و پاگیر بخصوص برای کسب و کارهای اینترنتی با ابزارهای مختلفی مانند احراز هویت کاربران، استعلام‌های مالی و... هستند در حالی که مسئولان بهتر است به‌جای ایجاد قوانین هر چه بیشتر یا نهاد بیشتر و موازی، درصدد اصلاح قوانین و ایجاد ابزارها و افزایش آگاهی مردم و مدیران در زمینه امنیت باشند.
خلأ اعمال قدرت
اما مرتضی نکویی، دیگر کارشناس افتا، اعتقاد دارد حوزه امنیت نیازمند تنظیم و مقررات و رگولاتوری مستقل است و سال هاست که فعالان حوزه امنیت فضای تولید و تبادل اطلاعات این موضوع را طرح می‌کنند.
نکویی به «ایران» گفت: در حوزه امنیت هم اکنون نهادها و سازمان‌های مختلفی مانند افتا، ماهر، نما، پدافند غیرعامل کشور، سازمان نصر کشور و مرکز ملی فضای مجازی فعال هستند و با اینکه تمام این بخش‌ها کارهای خوبی انجام داده‌اند ولی با تعدد رگولاتوری روبه‌رو هستیم و این اصلاً خوب نیست از این‌رو نیاز است تا با تشکیل زیرساخت‌ها در حوزه افتا انسجام و یکپارچگی ایجاد شود.
این کارشناس امنیت معتقد است افتا مبحث گسترده‌ای است و با تشکیل یک سازمان رگولاتوری مستقل امنیت فضای تولید و تبادل اطلاعات نباید کاری کرد که یک سازمان انحصاری شکل بگیرد، چرا که انحصار نیز خود مشکلات و معضلات خود را در پی دارد.
وی در ادامه گفت: از آنجایی که بحث امنیت در کشور ما به بلوغ مناسبی نرسیده است و برخی سازمان‌های امنیت مانند افتای ریاست جمهوری با اینکه کارها و اقدام‌های خوبی در این حوزه انجام داده‌اند، بسیار جوان هستند بنابراین باید با کمک نهادهایی که هم اکنون در حوزه امنیت شکل گرفته‌اند و در کنار آن با کمک شرکت‌هایی که در حوزه افتا صاحبنظر هستند، این سازمان رگولاتور مستقل شکل بگیرد. حتی باید بتوان از نیروهای خبره موجود که در استارتاپ‌ها و شرکت‌های کوچک فعال هستند، بهره برد.
نکویی تأکید کرد که سازمان‌ها و مراکزی که هم اکنون در زمینه افتا فعالیت دارند، تلاش می‌کنند تا به یک رگولاتوری مستقل، جامع و بدون انحصار تبدیل شوند ولی این رگولاتوری باید متشکل از کارگروه‌های مختلف و با کمک صاحبنظرانی باشد که اطلاعات آنها ثانیه به ثانیه به‌روز می‌شود بنابراین نیازمند کارگروهی منسجم و زیرمجموعه‌هایی هستیم تا زیر نظر یک مرکزیتی فعالیت کنند.
نکویی به بحث چالش‌هایی که در حوزه مدیریتی سازمان‌ها و نهادها وجود دارد نیز اشاره کرد و افزود: مدیران حوزه زیرساخت‌های حیاتی در زمینه امنیت آگاهی ندارد و به علت داشتن تفکر سنتی و بیگانه بودن با مباحث آی‌تی و افتا ابلاغیه‌های امنیتی یا بحث امنیت را جدی نمی‌گیرند به‌طوری که وقتی مرکزی مانند افتا مسأله مهم امنیتی را ابلاغ می‌کند، مدیران سازمان‌ها آن را اعمال نمی‌کنند.
وی اعتقاد دارد اگر سازمان رگولاتوری مستقلی وجود داشته باشد می‌تواند اعمال قدرت و نفوذ کند تا آنها بحث‌های امنیتی را در سازمان و نهادهای خود جدی بگیرند حتی به این طریق می‌توان بحث جدی گرفتن امنیت فضای تولید و تبادل اطلاعات را در کشور بیشتر جا انداخت بخصوص برای مدیران با تفکر سنتی که با مباحث آی تی و افتا بیگانه‌اند.
کاظم فلاحی، دیگر کارشناس امنیت نیز اعتقاد دارد که بخش امنیت و تبادل اطلاعات به رگولاتوری مستقل نیاز دارد و بهتر است که بحث امنیت رگولاتوری جدا از سازمان تنطیم مقررات و ارتباطات رادیویی باشد.
فلاحی به «ایران» گفت: سازمان تنظیم مقررات و ارتباطات رادیویی خود چندین حوزه مانند اپراتورها، سرویس دهنده‌ها و غیره را رگولاتوری کرده و بر آنها نظارت دارد و بخوبی هم اعمال قدرت می‌کند ولی در حوزه امنیت شرکت‌هایی که به‌عنوان مثال اطلاعاتشان لو رفته اعمال قدرت نکرده است بنابراین بخش امنیت به چنین سازمانی نیاز دارد تا در این بخش اعمال قدرت کند. این کارشناس امنیت معتقد است هنوز وقتی شرکتی، مؤسسه‌ای و... در زمینه امنیت دچار مشکل می‌شود مثلاً اپلیکیشنی اطلاعاتش هک شده و لو رفته و منتشر می‌شود هیچ نهادی نیست این موضوع را پیگیری و نظارت کرده، جریمه کند و دیگر اقدام‌های قانونی را اعمال کند.

کپی