امیر ناظمی: حوزه امنیت سایبری نیاز به سیاستگذاری دارد
به اعتقاد معاون وزیر ارتباطات، پلیس فتا برای رسیدگی به شکایات حوزه امنیت سایبری نهاد مناسبی نیست چرا که این حوزه با رفع و رجوع کردن شکایات ساماندهی نمیشود و نیاز به سیاستگذاری دارد.
«امیر ناظمی» در اینباره میگوید: به دلیل ساختاری که وجود دارد، مشارکت بینالملل برای دفع حملات سایبری در سطح مطلوبی قرار ندارد. رویارویی با حملات سایبری به دو رویکرد مهم عمومی و بینالمللی نیاز دارد که در کشور ما مشارکت بینالمللی در سطح مطلوبی نیست».
رئیس سازمان فناوری اطلاعات اذعان داشت: «ساماندهی فضای سایبری در کشور سه متولی دارد. در نظام مقابله، بانکهای داده دستگاهها به سه دسته تقسیم میشوند؛ دسته اول سازمانهای حساس هستند که مسئولیت مقابله با رخداد در این سازمانها به «افتا» ریاست جمهوری -امنیت فضای تولید و تبادل اطلاعات کشور- برمیگردد.
دسته دوم کسبوکارها هستند و مقابله با جرائمی که در خصوص آنها رخ میدهد، بر عهده پلیس فتا است. مقابله با رخدادهای بقیه سازمانهای دولتی را نیز وزارت ارتباطات و مرکز ماهر بر عهده دارند. رسیدگی به مشکلات حوزه کسبوکارها در اختیار پلیس فتا است که البته احساس میکنم شاید این نهاد، مرجع مناسبی برای این کار نباشد؛ چراکه سیاستگذاری در حوزه امنیت، با رفع و رجوع کردن شکایتها و نارضایتیهای کاربران متفاوت است.»
رئیس سازمان فناوری اطلاعات ایران تصریح کرد: زمانی میتوان سیاست سایبری و امنیت سایبری مناسب داشت که نهاد متولی آن یکنهاد توسعهگرا باشد. «پلیس امنیت» برای رفع شکایتها و نارضایتیهای اساسی طراحی شده و یکنهاد انتظامی است بهحساب میآید نه یکنهاد توسعهای. این تقسیمکار از ابتدا اشتباه بود.
وی اضافه کرد: «این شکل تقسیمکار باعث شده، نه کسبوکارها و نه نهادهای حیاتی، حرف من بهعنوان سازمان فناوری اطلاعات را گوش ندهند چراکه میگویند بر اساس قانون، رسیدگی به امور سایبری ما بر عهده سازمان دیگری است.»
نگاه ویژه به هکرهای کلاه سفید
ناظمی در خصوص حمایت از هکرهای کلاهسفید که میتوانند حملات سایبری و باگهایی که در سیستمها وجود دارد را کشف و دفع کنند، گفت: «حدود دو سال قبل برای اولین مرتبه بود که هکرهای کلاهسفید توسط سازمان فناوری اطلاعات و پس از آن از سوی نهادهای دیگر به رسمیت شناخته شدند. قبل از آن هکرها دستگیر میشدند؛ ما به آنها رسمیت دادیم و حتی با برگزاری باگبانتی (کشف و اعلام آسیبپذیری سیستمها با دریافت جایزه) تشویقشان کردیم. البته قبول دارم که هنوز با میزان مطلوبی که در این حوزه مدنظرمان است، فاصله داریم.»
ناظمی میگوید رسیدن به نقطه مطلوب در این حوزه، کار یکشب و یک هفته نیست، راهکارهای متفاوتی وجود دارد، یکی از آنها این است که شرکتها باید باگبانتی (bug bounty) را افزایش دهند. البته ما نیز باید کمک کنیم و دنبال این هستیم که حتماً در این مسیر قدم برداریم.
وزارت ارتباطات و سازمان فناوری نمیتواند بهصورت مستقیم به هکرهای کلاهسفید، پول بدهد اما فکرهایی در این خصوص داریم. مثلاً به بنگاهها و شرکتها وامهای ارزانقیمت بدهیم اما شرط بگذاریم که درصدی از این وام را به باگبانتی اختصاص بدهند. با این کار حملات سایبری به مجموعههای مختلف بهشدت کاهش پیدا میکند.