روزنامه ایران: از این‌رو تأمین امنیت سایبری زیرساخت‌های حیاتی کشور مورد توجه ویژه قرار گرفته و بخشی از مأموریت‌های سازمان فناوری اطلاعات به حوزه تأمین امنیت باز می‌گردد. در همین راستا با «محمود خالقی دخت» معاون امنیت سازمان فناوری اطلاعات به گفت‌و‌گو نشستیم که در زیر می‌خوانید.

سازمان فناوری اطلاعات در زمینه امنیت  چه مأموریت‌هایی دارد؟
حوزه مأموریت سازمان فناوری اطلاعات در زمینه امنیت بسیار گسترده است اگرچه بر اساس تقسیم کار ملی در حوزه مقابله با حوادث، تنها در برخی دستگاه‌های دولتی که از دو ویژگی غیرزیرساختی و فاقد محرمانگی برخوردارند، مسئولیت داریم اما در حوزه امنیت شبکه ملی اطلاعات و مشخصاً خدمات شبکه ملی اطلاعات و خدمات دولت الکترونیکی نیز مسئول هستیم. البته امروز این مرکز عملیات امنیت همه این قلمرو را پشتیبانی نمی‌کند و بخش‌هایی از آن هنوز تحت کنترل، پایش و اقدامات این مرکز عملیات قرار ندارد ازاین رو به‌دنبال ارتقای مرکز عملیات امنیت شبکه ملی اطلاعات هستیم تا به جایگاه اصلی‌اش برسد که بخشی از این ارتقا را برای سال‌جاری پیش‌بینی کرده‌ایم. معتقدیم امروز نیاز به توسعه داریم یعنی سامانه‌های موجود باید ارتقا یافته و قابلیت‌های شاخص جدید به آن اضافه شود، برخی سامانه‌ها یا پایگاه‌های داده ملی که نداشتیم را نیز باید ایجاد کنیم و مرحله بعد هم اتصال آنها به یکدیگر است تا مراکز عملیات متعددی در سطوح مختلف شکل بگیرد.

برای افزایش امنیت زیرساخت‌ها چه باید کرد؟
یکی از مواردی که باید ترویج شود، ارائه خدمات امنیتی در قالب خدمات ابری(CLOUD) است. ارائه‌دهنده خدمات ابری، معمولاً امنیت را به‌عنوان یک کنترل بیرونی تأمین می‌کنند. یعنی بخشی از حملات که در خارج از شبکه قابل تشخیص است، لایه‌های پایین یعنی لایه شبکه و حتی گاه حملات در لایه اپلیکیشن را می‌توانند تشخیص دهند و با آن مقابله کنند. این نوع اپراتورها الان در کشور ما وجود دارند و ما از این خدمات استفاده می‌کنیم. به‌عنوان یک اقدام پیشگیرانه، بخشی از دستگاه‌های دولتی که وزارت ارتباطات و فناوری اطلاعات هماهنگ کننده موضوع مقابله با حوادث‌شان هست را پشت چنین سرویس‌هایی قرار می‌دهیم تا بتوانند بخشی از خدمات امنیتی مورد نیاز خود را دریافت کنند. به دستگاه‌های مختلف نیز توصیه می‌کنیم حتماً از این سرویس‌ها که با هزینه کم قابل تأمین هستند، استفاده کنند. ما نیز حاضریم در حد بضاعت خود، چه در حوزه مأموریتی و چه دستگاه‌هایی که خارج از حوزه مأموریتی ما هستند ولی اهمیت بالایی دارند را پشت این سرویس‌ها ببریم تا بتوانند سطح امنیت خود را تاحدی ارتقا دهند. این سازوکارها در کنار شناسایی بموقع آسیب‌پذیری، منشأ تهدید و همچنین ویژگی‌های آن، وقتی کنار هم قرار می‌گیرند ارزشمند می‌شوند و می‌توان مقابله خوبی با حملات سایبری انجام داد مشروط بر اینکه هم داخل شبکه سازوکارهایی را به کار بگیریم، هم بیرون از شبکه از سرویس‌های مناسب بهره بگیریم و هم اصول را اساساً رعایت کنیم تا به سطح بالاتری از امنیت در کشور برسیم.

در حوزه امنیت سایبری، با کمبود نیروی متخصص مواجه هستیم؟
بله. یکی از مسائل جدی، کمبود متخصص امنیت سایبری است چرا که بسیاری از متخصصین این حوزه که البته حوزه خاصی هم محسوب می‌شود به دلایل مختلف ازجمله درآمدهای بسیار بالا و بازار کار مناسب در کشورهای دیگر، مهاجرت می‌کنند و غالباً سازمان‌های دولتی نمی‌توانند این متخصصان که دستمزد بالایی دارند را استخدام کنند. این موضوع سبب شده است که در این بخش کمبود قابل توجهی داشته باشیم.

چه راهکاری برای رفع این خلأ دارید؟
مراجع ملی در حوزه فضای مجازی و امنیت، برای این موضوع سازوکارهایی را پیش‌بینی کرده‌اند.معاونت امنیت سازمان فناوری اطلاعات نیز به سهم خود به‌دنبال ارتقای آموزش‌های حوزه امنیت و تربیت متخصصان حوزه امنیت سایبری است. ما بر افزایش چندبرابری ظرفیت آموزش در سال‌جاری، تنوع دوره‌ها و محتوا تمرکز داریم و می‌خواهیم از ماهیت آموزش‌های نظام‌مند به سمت آموزش تجارب ارزشمند برویم؛ تجارب برگرفته از حوادثی که اخیراً اتفاق افتاده است. این مدل آموزش، وظیفه ماست چراکه شرکت‌ها شاید اطلاعات لازم برای این آموزش را در اختیار نداشته باشند. آموزش‌های مهارتی نیز امروزه اصل تقاضای دستگاه‌های دولتی است تا بتوان از کارشناسان خبره و توانمندی استفاده کرد که سطح بالای مهارتی دارند. امروز دوره‌های آموزشی ما محدود است ولی یکی از برنامه‌های اصلی، توجه به حوزه آموزش است تا ظرفیت افزایش یابد و کارشناسان دستگاه‌های مختلف بتوانند در این دوره‌ها شرکت کنند. شرکت‌های خصوصی هم می‌توانند با مراجعه به پرتال مرکز «ماهر» اطلاعات لازم را کسب و در سامانه ثبت‌نام کنند تا پس از شرکت در دوره و موفقیت در آزمون، موفق به اخذ گواهی شوند. طی این آموزش‌ها، کارشناسان موجود توانمند می‌شوند و فعالان حوزه فناوری اطلاعات نیز می‌توانند به متخصصان امنیت تبدیل شوند به این ترتیب بخشی از خلأ موجود رفع می‌شود. البته پیش از این هم تلاش‌هایی برای تربیت نیروی متخصص و رفع این مشکل صورت گرفته به‌عنوان مثال از سال 86 مراکز آپا در دانشگاه‌ها ایجاد شدند و اکنون ما با 30مرکز آپا دانشگاهی برای این منظور قرارداد داریم. امروز سعی در ترمیم این قراردادها داریم تا این مراکز بتوانند تعداد بیشتری متخصص را جذب و تربیت کنند و ما هم از خدمات آنها در راستای مأموریت‌های خودمان بهره ببریم.

چگونه می‌توان نخبگان حوزه امنیت را دلگرم‌تر کرد؟
ما مواردی را برای افزایش امید نسل جوان و نخبه‌ها پیش‌بینی کرده‌ایم و پروژه‌های قابل توجهی داریم که یکی از آنها اعطای «جایزه تعالی» به بسیاری از عناصر مختلف زیست بوم افتا تا پایان سال‌جاری است تا از شرکت‌های دانش‌بنیان فعال در حوزه‌های مختلف امنیت تجلیل شود. زیست بوم افتا تولیدکننده، عرضه کننده خدمت و دستگاه‌های بهره‌بردار حوزه امنیت را در برمی‌گیرد. مجموعه‌های علمی ازجمله انجمن‌های علمی، دانشگاه‌ها، مؤسسات پژوهشی و حتی مجموعه‌های حاکمیتی نیز بخشی دیگر از عناصر این زیست بوم را تشکیل می‌دهند. ما در جایگاهی نیستیم که بتوانیم عناصر حاکمیتی را ترغیب کنیم ولی با این اقدام تلاش خواهیم کرد برخی عناصر این زیست بوم را تشویق کنیم. برخی مقررات‌ها در حوزه امنیت شناسایی شده که متناقض و مشکل ساز هستند. لازم به توضیح است که شناسایی عناصر زیست بوم افتا و مصادیق این عناصر، قبلاً درقالب یک فعالیت پژوهشی در پژوهشگاه ارتباطات و فناوری اطلاعات انجام شده است که ما از نتایج آن بهره خواهیم برد.

در تأمین امنیت زیرساخت‌ها از شرکت‌های دانش‌بنیان استفاده می‌شود؟
بله قطعاً. بومی‌سازی در زمینه تأمین امنیت از اهمیت بالایی برخوردار است. برای این منظور از ظرفیت شرکت‌های دانش‌بنیان درحال فعالیت در استان‌های مختلف بهره خواهیم برد.ازآنجاکه استفاده از خدمات شرکت‌های خصوصی در دستگاه‌های دولتی نیازمند اخذ گواهی است، معاونت امنیت سازمان با همکاری مرکز مدیریت راهبردی افتا، در فرایندی شرکت‌های متقاضی را از نظر فنی مورد ارزیابی قرار داده و درنهایت برای آنها گواهی صادر می‌کند تا مجاز به ارائه خدمات افتا به دستگاه‌های دولتی باشند. این دانش‌بنیان‌ها خدمات امنیتی در حوزه‌های مختلف از جمله مشاوره در حوزه امنیت و ایجاد نظام مدیریت امنیت (ISMS)، مقابله با حوادث و... ارائه می‌کنند. محصولات بومی این شرکت‌ها که در حوزه امنیت تولید می‌شوند و توسعه می‌یابند نیز توسط آزمایشگاه‌های معتبر، مورد آزمون قرار می‌گیرند و سازمان فناوری اطلاعات با همکاری مرکز مدیریت راهبردی افتا، برای آنها گواهی صادر می‌کند.

در دنیا برای شناسایی بموقع آسیب پذیری‌های شبکه از هکرهای کلاه سفید استفاده می‌شود، در ایران تلاشی برای به رسمیت شناخته شدن آنها انجام شده است؟
امروز اقتصاد این حوزه در کشور ما بسیار کوچک است چون به فعالیت آن رسمیت داده نشده ولی در کشورهای دیگر این هکرها اقتصاد بزرگی دارند. با این حال اکنون 3مجموعه در کشور رسماً از هکرهای کلاه سفید استفاده می‌کنند که معاونت علمی ریاست جمهوری نیز با برخی از آنها قرارداد دارد. ما هم قرارداد داشته‌ایم که خاتمه یافته و در تلاشیم با هر سه مجموعه قرارداد ببندیم. با توجه به رسالت دانشگاه‌ها و در دسترس بودن ظرفیت تخصصی در مراکز آپا تلاش خواهیم کرد از این ظرفیت در حوزه شناسایی آسیب‌پذیری استفاده کنیم. ازسوی دیگر در تلاشیم پیش‌نویس نظام افشای آسیب‌پذیری را جهت تصویب به مرکز ملی فضای مجازی ارائه دهیم. معتقدیم اگر کسب و کارهای حوزه آسیب‌پذیری را رسمیت ببخشیم پیامدهای‌ خوبی برای کشور در پی خواهد داشت. به‌عنوان مثال اگر این هکرها یک آسیب‌پذیری را کشف کردند، نهادی برای ثبت آن در دسترس باشد و جایزه این تلاش را هم بگیرند؛ موضوعی که در کشورهای دیگر هم انجام می‌شود و هکرها آسیب‌پذیری‌ها را در مرجع بین‌المللی (MITRE.ORG)به نام خودشان ثبت می‌کنند. معتقدیم اگر آسیب‌پذیری یک محصول داخلی در مرجع خارجی ثبت شود، اعتماد مجموعه‌های دولتی به آن کاهش پیدا می‌کند پس باید خودمان سازوکاری ایجاد کنیم تا این آسیب‌پذیری‌ها در داخل کشور ثبت شوند.به این ترتیب هکرهای کلاه سفید رسمیت پیدا می‌کنند و می‌توانند در این حوزه به‌صورت حقیقی یا حقوقی وارد شده و درآمد کسب کنند. اگر این هکرها به‌صورت مخفیانه فعالیت کنند می‌توان اطلاق مجرمانه بر کار آنها داشت ولی رسمیت دادن به کار آنها موجب گسترش آن، به‌عنوان یکی از حوزه‌های پردرآمد در زمینه امنیت می‌شود.

در حوزه امنیت تبادل داده و اطلاعات در چه جایگاه جهانی قرار داریم؟
برای رتبه‌بندی سازمان‌ها و شرکت‌ها در زمینه امنیت، شاخص‌های مختلفی توسط مراجع مختلف ارائه شده است. اصلی‌ترین شاخص مطرح در سطح بین‌المللی، شاخص GCI(Global Cybersecurity Index) است که اتحادیه جهانی مخابرات(ITU) بر اساس این شاخص کشورهای عضو خود را رتبه‌بندی می‌کند. ما در آخرین رتبه‌بندی تحت عنوان گزارش 2021، یک ارتقای جزئی داشته‌ایم ولی باید گفت که همچنان در رده نامناسبی قرار داریم و رتبه 54 را بین اعضای ITU داریم. بررسی‌ها نشان می‌دهد در حوزه امنیت، اقدامات زیادی در کشور انجام شده و از این نظر جزو پیشروترین کشورها بوده‌ایم اما بواسطه نبود هماهنگی لازم بین دستگاه‌های مختلف، طی دوره‌های قبل وزارت ارتباطات و فناوری اطلاعات و مشخصاً سازمان فناوری اطلاعات و معاونت امنیت، موفق نشده است این اقدامات را بخوبی بازنمایی کند و برای ITU به اثبات برساند. درواقع ما کارهای زیادی ازجمله در این شاخص انجام داده‌ایم اما نتوانسته‌ایم آن را بازنمایی کنیم.

چه تلاش‌هایی برای ارتقای این شاخص انجام شده است؟
یکی از مأموریت‌های ابلاغ شده به بنده در زمان انتصاب، ارتقای جایگاه کشور در شاخص GCI بوده و برنامه‌هایی هم داریم. در تلاشیم که هماهنگی بیشتری در دستگاه‌های مختلف و متناظر در حوزه امنیت و پدافند سایبری ایجاد کنیم. پلیس فتا، سازمان پدافند غیرعامل و مرکز مدیریت راهبردی افتا مجموعه‌هایی هستند که آنها هم در این حوزه مسئولیت دارند و سعی کردیم هماهنگی بیشتری با آنها داشته باشیم تا از اقدامات آنها در حوزه امنیت مطلع شویم. برای افزایش این هماهنگی، امسال سامانه‌هایی را نیز در برنامه پیش‌بینی کرده‌ایم تا اقدامات انجام شده در حوزه امنیت در داخل کشور را شناسایی و آن را در قالب شاخص GCI به اتحادیه جهانی مخابرات منتقل کنیم و رتبه ما ارتقا یابد.

انتهای پیام/