جای خالی مرکز ملی دفاع سایبری

عمادالدین قاسمی‌پناه- خبر‌نگار

 پس از اختلال در سامانه سوخت، بار دیگر بحث توجه به امنیت سایبری در کشور داغ شد. نهادهای متولی می‌گویند که ما توصیه‌ها و نکات لازم را به سازمان‌ها در مورد امنیت سامانه‌ها اعلام کرده‌ایم و این سازمان‌ها هستند که گاهی آن را جدی نگرفته‌اند. این موضوع به حدی اهمیت پیدا کرده ‌که سیدابراهیم رئیسی، رئیس‌جمهور کشور و رئیس شورای‌عالی فضای مجازی در جلسه این شورا بر ضرورت پیش‌بینی، پیشگیری، سرمایه‌گذاری و اقدام متناسب در مقابل حملات سایبری تأکید کرده است. در بسیاری از کشورها یک سازمان واحد مسئولیت سیاستگذاری، تعیین استانداردها و حفاظت از امنیت سایبری دستگاه‌ها را به‌عهده دارد. این در حالی است که در کشور ما چندین نهاد متولی این حوزه هستند که هر‌یک بخشی از این حوزه را پوشش می‌دهند. بنابراین شاید بحث و بررسی در مورد یک سازمان واحد در حوزه امنیت سایبری یا به اصطلاح «مرکز ملی دفاع سایبری» که مسئولیت کامل امر را به‌عهده بگیرد، دور از واقع نباشد. رئیس‌جمهور در جلسه شورای‌عالی فضای مجازی مدیریت فضای سایبری را موضوعی فراقوه‌ای دانسته و بر ضرورت الزام سازمانی در این حوزه تأکید کرده است. به‌گفته رئیسی، توصیه و هشدار به‌تنهایی کافی نیست و اصلاح و تقویت ساختارها ضرورت دارد. رئیسی همچنین بر وجود یک قرارگاه که بتواند دائما وضعیت را رصد کند و به‌روز شود، تأکید کرد.

نبود سازمان متمرکز
مجتبی مصطفوی، کارشناس امنیت سایبری در گفت‌وگو با همشهری، با اشاره به اینکه در بخش پایش، بخش‌های مختلفی در کشور فعالیت می‌کنند، می‌گوید: «از جمله این نهادها می‌توان به مرکز ماهر (زیرمجموعه وزارت ارتباطات و فناوری اطلاعات)، مرکز افتا (زیرمجموعه نهاد ریاست‌جمهوری)، سازمان پدافند غیرعامل و همچنین پلیس فتا اشاره کرد. با این حال، ما یک نهاد مرکزی نداریم که پایش کل زیرساخت‌های کشور را به‌طور متمرکز انجام دهد.»
به‌گفته مصطفوی «هرکدام از سازمان‌های متولی امنیت سایبری کشور بخشی از کار را به‌عهده گرفته‌اند و در حال انجام وظایف خود هستند، اما از آنجا که این سازمان‌ها به‌طور غیرمتمرکز مشغول فعالیت هستند، به‌نظر می‌رسد که پایش‌های آنها کافی نیست.»
این متخصص حوزه امنیت سایبری معتقد است که «این سازمان‌ها در حالت کلی به سازمان‌ها و دستگاه‌ها توصیه‌های عمومی می‌‌کنند، اما «توصیه» به‌تنهایی نمی‌تواند اثرگذار و کافی باشد.»

کمبود نیروی متخصص
مصطفوی همچنین در پاسخ به این سؤال که آیا لزوم یک نهاد فراقوه‌ای یا فرادستگاهی برای الزام سازمان‌های کشور به رعایت توصیه‌های امنیتی احساس می‌شود، می‌گوید: «ما برای چنین کاری با مشکلات بسیاری روبه‌رو هستیم. یکی از این مشکلات، کمبود نیروی انسانی متخصص در حوزه امنیت است.»  کارشناس امنیت سایبری با اظهار تأسف از اینکه در همه حوزه‌های امنیت سایبری این کمبود احساس می‌شود، ادامه می‌دهد: «به‌نظر می‌رسد که سرمایه‌گذاری کافی در حوزه آموزش صورت نمی‌گیرد.»
مصطفوی همچنین به نبود یک سازمان متولی مرکزی که مورد پذیرش همه شرکت‌‌ها، نهادها و سازمان‌ها، به‌عنوان متولی امنیت سایبری کشور باشد، اشاره می‌کند و می‌گوید: «به‌عنوان مثال، یک شرکت ممکن است یک سازمان را قبول داشته باشد، اما در عین حال یک شرکت دیگر همان سازمان را قبول ندارد.»

   امنیت از منظر فنی و حقوقی
خلیل طاهری، کارشناس حوزه امنیت فناوری اطلاعات هم در گفت‌وگو با همشهری، در مورد وجود یک سازمان متمرکز که بتواند استانداردهای حوزه امنیت سایبری مجموعه‌های مختلف کشور را تدوین کند، از منظرهای فنی و قانونگذاری صحبت می‌کند.
طاهری معتقد است که «اصولا در حوزه امنیت سایبری، وجود سازمانی که به‌طور متمرکز استانداردهای حوزه امنیت سایبری قابل استفاده برای مجموعه‌های مختلف را تدوین کند، در دنیا پذیرفته شده است و اجرا می‌شود. به‌عنوان مثال، می‌توان به سازمان NIST اشاره کرد که استانداردها، چک‌‌لیست‌ها و سیاستگذاری‌ها را در این حوزه انجام می‌دهد. همچنین زمانی که قرار است یک محصول مرتبط با امنیت اطلاعات تولید و یا راهکاری ارائه شود، ساختارها می‌تواند براساس این استانداردها تعریف شود.» این متخصص امنیت سایبری همچنین موضوع قانونگذاری در این حوزه را مورد توجه قرار می‌دهد و می‌گوید: «قانونگذاری در این حوزه بسته به سیاست‌‌های یک کشور و چارچوب‌هایی که آن کشور دارد، صورت می‌گیرد.» به‌گفته او «در کشور ما سازمان‌های مختلفی ازجمله سازمان پدافند غیرعامل، افتا و... متولیان امر تدوین استانداردهای حوزه امنیت سایبری هستند.» طاهری با اشاره به اینکه هر یک از نهادهای فعلی، متمرکز بر بخش‌‌های مختلف حوزه امنیت سایبری در کشور هستند، می‌گوید: «هرچه سازمان تدوین‌کننده استانداردهای حوزه امنیت سایبری فراگیرتر باشد، قطعا می‌تواند به افزایش سطح امنیت سایبری مجموعه‌های مختلف کشور کمک کند.»