تکنولوژی

امنيت فضاي تبادل اطلاعات

نام نویسنده: هدی رضایی

عصرحاضر، عصر ارتباطات و تبادل اطلاعات است. در اين ميان، بدون شک با پيشرفت هر چه بيشتر جوامع و نياز به ارائه خدمات الکترونيکي با استفاده از ساز و کارهاي مجازي، ضرورت ايجاد فضايي مناسب براي تبادل اطلاعات بيش از پيش احساس مي شود. اما در حقيقت فضايي که در ن به تبادل اطلاعات مي پردازيم، همواره در معرض آسيب ها و تهديدهاي جدي قرار دارد که عدم اتخاذ رويکرد مناسب در برابر آنها مي تواند منجر به بروز چالش هايي در اين زمينه شود که جرايم سايبر، دسترسي و تخريب بانک هاي اطلاعاتي و در عين حال محرمانه، حملات اطلاعاتي و نقض حقوق مالكيت معنوي و حريم خصوصي، نمونه اي از آنهاست.

امروزه حفظ و صيانت از فضاهاي تبادل اطلاعات کشور، کاهش مخاطرات و به حداقل رساندن خراب کاري ها، کاهش زمان تجديد حيات سيستم هاي آسيب ديده و ايجاد امنيت الکترونيکي در حوزه هاي مختلف از قبيل انرژي، پزشکي، قضايي، تجارت، بانکداري، امور مالي و اعتباري، رسانه ها، ارتباطات و اطلاعات و حمل و نقل جاده اي، ريلي، دريايي و هوايي جزو اصلي ترين نيازهاي کشور در حوزه توسعه و کاربري فناوري اطلاعات محسوب مي شوند. با توجه به اهميت اين موضوع، در کشور ما نيز اقداماتي براي تامين امنيت فضاي تبادل اطلاعات صورت گرفته اما اين اقدامات در بستر زمان دچار مناقشاتي شده اند که باعث شده اصل موضوع مغفول و بلاتکليف بماند. علاوه بر اين دستگاه هاي مختلف اجرايي کشور به فکر تدوين طرح هاي امنيتي در زمينه فناوري افتاده اند که خود منجر به ايجاد نوعي موازي کاري شده است. اين مساله مي تواند علاوه بر ايجاد مخاطرات امنيتي به اتلاف بودجه و هدر رفتن زمان بيانجامد.

افتا و شوراهاي عالي
هر چند مساله تامين امنيت فضاي تبادل اطلاعات، هم زمان با کاربري فناوري اطلاعات در کشور مورد توجه
قرار گرفت، اما اين موضوع زماني جدي شد که شوراهاي عالي فناوري اطلاعات تشکيل شدند و فعاليت حلزوني خود را
آغاز کردند. در ميان چهار شوراي عالي، به غير از شوراي عالي انفورماتيک که بيش از هفده سال قدمت دارد؛ سه شوراي عالي اطلاع رساني، فناوري اطلاعات (IT) و امنيت فضاي تبادل اطلاعات کشور(افتا) هر يک به نوعي وظيفه تامين امنيت در فضاي مجازي را به دوش مي کشند که در اين ميان دو شوراي عالي فناوري اطلاعات و افتا به طور مستقيم درگير منقشات ايجاد شده پيرامون موضوع امنيت فناوري اطلاعات هستند. بررسي عملکرد دو شوراي عالي فناوري اطلاعات و افتا در اين خصوص نشان مي دهد که هر دو شورا از آغاز فعاليت خودتا کنون اقداماتي را به طور موازي در زمينه امنيت فناوري اطلاعات انجام داده اند که در اين رابطه عملکرد شوراي عالي افتا تا کنون نتيجه اي نداشته و اقدامات شوراي عالي فناوري اطلاعات نيز با ابهاماتي همراه است. در ادامه به بررسي عملکرد دو شوراي مذکور در زمينه امنيت فناوري اطلاعات مي پردازيم. با توجه به اهميت امنيت فناوري اطلاعات، سال 1382 تشکيل شوراي عالي امنيت فضاي تبادل اطلاعات کشور (افتا) در دستور کار قرار گفت و سرانجام با تاکيد بر ايجاد مسائل امنيتي در فضاي تبادل اطلاعات به تصويب هيات وزيران رسيد. دو سال پس از تشکيل شورا، تدوين و تصويب سند راهبردي «افتا» در اين شورا مورد توجه قرار گرفت. سند راهبردي امنيت فضاي تبادل فناوري اطلاعات علاوه بر اين که مطابق با اهداف چشم انداز 20 ساله کشور تدوين شده بود، خطوط راهنما و محورهاي اصلي برنامه پنج ساله چهارم نيز در آن مد نظر قرار گرفته بود.به موجب تصويب سند افتا، که در واقع مي توان آن را نخستين و در عين حال آخرين فعاليت شوراي عالي امنيت فضاي تبادل اطلاعات کشور دانست، بيش از دو هزار صفحه مستندات و ده ها جلد کتاب به انتشار رسيد. گرچ اين سند جزو معدود اسنادي در کشور است که هم به تصويب دولت رسيد و هم به دستگاه ها ابلاغ شد، اما هرگز نتوانست از ايجاد يک نام به عنوان طرح امنيتي در زمينه IT فراتر رود. بر اساس اين گزارش، پس از تصويب سند افتا، 200 ميليارد ريال اعتبار توسط سازمان مديريت و برنامه ريزي به صورت متمرکز در اختيار شوراي عالي افتا قرار گرفت تا طرح هاي امنيتي فناوري اطلاعات دستگاه هاي دولتي در اختيار آنها قرار گيرد. در زمان ابلاغ سند افتا، ضرورت پيگيري اين طرح تا بدان جا پيش رفت که حتي اين اختيار به سازمان مديريت و برنامه ريزي کشور داده شد که سال هاي آينده از پيش بيني اعتبار در بودجه طرح هاي فناوري اطلاعات سازمان ها و نهادهايي که فاقد بخش امنيت هستند خودداري کند. اما در حال حاضر شاهديم که بعد از گذشت چهار سال از تصويب نخستين سند امنيتي فناوري اطلاعات کشور، علي رغم ضرورت انجام طرح مذکور و تهيه مقدمات لازم براي راه اندازي آن بنا به دلايل نامعلوم متوقف باقي مانده است. در همين راستا پيش بيني مي شد علت تاخير اجراي طرح افتا، مطرح شدن موضوع ادغام شوراهاي عالي موازي و در پي آن ادغام شوراي عالي افتا باشد. اما در حال حاضر که طرح ادغام شوراي عالي موازي نيز منتفي اعلام شده، سند راهبردي افتا همچنان در سکوت خبري به سر مي برد.

بديهي است تصويب سند افتا و سپس عدم پيگير اجراي آن توسط شوراي عالي افتا، همان طور که در متن سند پيش بيني شده، حاصلي جز اتلاف هزينه و زمان در طول اين مدت زمان چهار ساله در بر نداشته است. اما همان طور که پيش از اين نيز بدان اشاره شد، ارزيابي عملکرد شوراي عالي فناوري اطلاعات درخصوص افتا، نوعي رفتار موازي ميان دو شوراي مذکور را نشان مي دهد که هيچ يک به اخذ يک خروجي شفاف منجر نشده است. بررسي اقدامات شوراي عالي فناوري اطلاعات در اين خصوص نشان مي دهد که به غير از تشکيل کارگروه امنيت فناوري اطلاعات که به طور ناپيوسته امور مرتبط با موضوع امنيت را پيگيري مي کند، اين شورا سعي دارد با تدوين نظام جامع فناوري اطلاعات ک بيش از چهار سال است مسووليت آن را به عهده گرفته، به موضوعات طرح شده در حوزه فناوري اطلاعات با رويکرد امنيتي نگاه کند. با اين تفاوت که از برآيند عملکرد شوراي عالي فناوري اطلاعات چنين برمي آيد که سياست هاي کلي تامين امنيت فناوري اطلاعات آنان بيشتر مبتني بر چشم اندازهاي خارجي است. به اين مفهوم که اغلب مستندات تهيه شده و اسناد تدوين شده اين شورا در خصوص امنيت در راستاي ايجاد محدوديت هر چه بيشتر براي کاربران ايراني و جزيره اي کردن ايران در دنياي مجازي حرکت مي کند. به هر ترتيب جمع بندي عملکرد شوراي عالي امنيت فضاي تبادل اطلاعات کشور و شوراي عالي فناوري اطلاعات نشان مي دهد که دو شوراي ياد شده در زمينه امنيت تا کنون بسيار موازي با يکديگر عمل کرده اند. به طوري که چگونگي و حدود فعاليت آنها در زمينه امنيت فضاي تبادل اطلاعات از يکديگر تفکيک نشده است. بنابراين هر اقدامي که در اين راستا انجام داده اند با افق هاي در نظر گرفته شده در واقعيت، فاصله بسياري دارد. در اين رابطه کارشناسان بر اين باورند که به طور کلي امنيت فناوري اطلاعات، موضوعي نيست كه بتوان آن را به صورت يك ساختار جداگانه و مستقل از نهادهاي متولي امنيت كشور پيگيري كرد. پيشنهاد مي شود موضوع امنيت در فناوري اطلاعات توسط كارگروه هاي تخصصي در قالب نهادهايي نظير شوراي عالي امنيت لي مورد پيگيري و اجرا قرار گيرد، نه اين که در قالب يك شوراي عالي مجزا و طي تصويب يک سند در يک مقطع زماني خاص مورد توجه مسوولان قرار گيرد و پس از مدتي به حال خود رها شود.

کلاف هزار و يک سر افتا در دستگاه هاي دولتي
در تاريخ 19/07/1383 و به موجب صدور بخشنامه امنيت فناوري اطلاعات کشور با شماره 39360، همه وزارتخانه ها، موسسات، شرکت هاي دولتي، نهادهاي انقلاب اسلامي و استانداري هاي سراسر کشور موظف شدند برنامه عملياتي امنيت فضاي تبادل اطلاعات خود را حداکثر تا شش ماه پس از ابلاغ بخشنامه مذکور به سازمان مديريت و برنامه ريزي وقت ارائه دهند تا با همکاري آن سازمان بتوانند موجبات تخصيص بودجه و اجراي برنامه افتاي خود را فراهم کنند. اما در حالي که حدود چهار سال از ابلاغ بخشنامه امنيت فناوري اطلاعات کشور مي گذرد، شنيده شده که تعداد ارگان ها و سازمان هايي که به ارائه برنامه عملياتي خود اقدام کرده اند به تعداد انگشتان يک دست نيز نمي رسد و در واقع اين بخشنامه نيز همچون بسياري از بخشنامه هاي ديگر به بايگاني اداره هاي دولتي سپرده شده و خاک مي خورد. بررسي ها درباره تدوين برنامه امنيتي دستگاه هاي دولتي نشان مي دهد که علت تاخير چهار ساله کشور در اجراي عمليات تامين امنيت فضاي تبادل اطلاعات صرفا بي توجهي مسوولان به بخشنامه 39360 نيست؛ زيرا اظارات و عملکرد بسياري از دستگاه هاي دولتي نشان مي دهد که همه کاملا بر اهميت موضوع امنيت فناوري اطلاعات واقفند و حتي بابت رويکردهاي غيرمسوولانه در اين خصوص موضع گيري نيز مي کنند. اما آنچه که موجب به چالش کشيده شدن افتا در دستگاه هاي دولتي شده، ميل وافر و در عين حال ناشناخته مسوولان به انجام عمليات مستقل، مخفيانه و در عين حال موازي در اين زمينه است. به عبارت واضح تر، در حال حاضر هر يک از دستگاه هاي دولتي ضمن تخصيص اعتبار جداگانه به تدوين برنامه راهبردي افتا در مجموعه خود پرداخته اند که اين امر مي تواند با هزينه کمتر و با بومي سازي يک برنامه جامع از پيش طراحي شده به اجرا دربيايد.

بر اساس اين گزارش، در وضعيت کنوني هر يک از وزارتخانه هاي دفاع و پشتيباني نيروهاي مسلح، وزارت کشور، وزارت اطلاعات، وزارت ارتباطات و فناوري اطلاعات، وزارت صنايع و حتي وزارت علوم تحقيقات و فناوري هر يک به طور منفک نسبت به تدوين امنيت فضاي تبادل اطلاعات اقدام کرده اند. در اين ميان ساير مراکز مانند قوه قضاييه، بانک ها و حتي سازمان صدا و سيما نيز برنامه امنيتي خود را به طور مستقل پيش مي برند. اين جريان در حالي ادامه دارد که نه تنها هيچ گونه تعامل مثبت و سازنده اي ميان دستگاه هاي مذکور و در راستاي تدوين يک سند جامع در زمينه افتا صورت نگرفته تا در موقعيت هي مشابه بتوانند از تجربيات هم در راستاي تدوين بسته جامع تر استفاده کنند و به پشتيباني امنيتي يکديگر بپردازند؛ بلکه هر يک از دستگاه ها ترجيح مي دهند که ديگر دستگاه ها را به استفاده از برنامه افتاي خود ملزم کنند! در حقيقت مي توان گفت موازي کاري دستگاه هاي دولتي در تنظيم يک پارچه سند افتا، قبل از هر اقدامي مي تواند اصل قضيه را که همان تامين امنيت فضاي تبادل اطلاعات است مخدوش کند و علاوه بر اتلاف زمان، سرمايه و دادن فرصت هاي بيشتر به مهاجمان، به ايجاد حفره هاي ضد امنيتي منجر شود. در اين ميان، درست است که تدوين يک برنامه راهبردي و امن حق مسلم تمام دستگاه هاي دولتي در پيشبرد اهداف تامين امنيت فناوري اطلاعات است، اما اين مساله را نبايد فراموش کرد که زماني امکان ايجاد شبکه اي ايمن و غير قابل نفوذ در فضاي فناوري اطلاعات کشور فراهم مي شود که چيدمان همه قطعات اين بنا توسط يک معمار انجام شود و دستگاه هاي ذيربط صرفا به بومي سازي آن بسته، مطابق با نيازهاي خود بپردازند.

بي بهرگي خصوصي ها از مناقصات امنيتي
همان طور که پيش از اين نيز اشاره شد، علاقه وافر دستگاه هاي دولتي به عملکرد مستقل و زيرزميني در تدوين بسته امنيت فناوري اطلاعات باعث ايجاد نوعي هرج و مرج در اين حوزه شده است. اما اين تنها زياني نيست که کشور و نيز بيت المال ابت اين موازي کاري متحمل مي شود. با توجه به اهميت روز افزون بخش خصوصي و نيز سياست هاي دولت مبني بر تقويت شرکت هايي که با سرمايه مردم راه اندازي شده اند، تزريق اعتبار به بازار بيش از هر زمان ديگري اهميت پيدا مي کند. در اين ميان بيش از سيصد شرکت خصوصي در سراسر کشور وجود دارند که در زمينه تامين امنيت فناوري اطلاعات فعاليت مي کنند و حتي برخي از آنها نيز به طور غير متمرکز به عضويت کميسيون افتاي سازمان نظام صنفي رايانه اي درآمده اند. اما طي چند سال اخير، اين شرکت ها به دليل عدم تمايل مسوولان دولتي به برون سپاري پروژه هاي امنيت فناوري اطلاعات موفق نشده اند حتي يک قرارداد با رقم و اشل قابل توجه ببندند. در اين رابطه به گفته يکي از شرکت هايي که از قديمي هاي کسب و کار در حوزه امنيت فناوري اطلاعات است، از دو سال گذشته تا کنون هيچ مناقصه عمومي و فراگيري در زمينه افتا برگزار نشده و اين قضيه شرکت هاي مذکور را با بحران هاي مکرري
رو به رو کرده است. بي بهرگي بخش خصوصي از پروژهاي افتاي سازمان هاي دولتي و نيز در پي آن کسادي اوضاع شرکت ها، در حالي ادامه دارد که برخي از همين فعالان به دليل سطح بالاي دانش فني و نيز وجود نيروهاي متخصص به اجراي پروژه هاي امنيت فناوري اطلاعات در کشورهاي همسايه مي پردازند. بدين ترتيب مي توان گفت گلايه مندي خصوصي ها از عدم اعتماد بخش دولتي در اجراي پروژه هاي امنيت فناوري اطلاعات در حالي ادامه دارد که ايجاد يک همکاري دوطرفه مي تواند علاوه بر افزايش درک فني از يکديگر و بالا رفتن سطح تجربيات مفيد شرکت هاي امنيتي، موجب رونق هر چه بيشتر سرمايه در ميان فعالان بخش خصوصي شود.

فقدان وجود نيروهاي امن در کشور
بالغ بر دو دهه از تدريس آکادميک علوم کامپيوتر به عنوان يکي از زيرشاخه هاي پرطرفدار فني در دانشگاه هاي کشور مي گذرد. در طول اين سال ها کليات دروس کامپيوتر در ايران، با توجه به پيشرفت هاي فني اين علم در سطح جهان تا حدودي به روز شده است. اما آنچه که در خلال اين سال ها به ميزان قابل توجهي مورد غفلت مسوولان به ويژه در وزارت علوم، تحقيقات و فناوري واقع شده است، عدم ظرفيت سازي مناسب دانشگاه ها با نيازهاي فعلي کسب و کار فناوري اطلاعات است. در واقع بي توجهي به آموزش نيروهاي امن در کشور در حالي صورت مي گيرد که نه تنها امروزه امنيت فناوري اطلاعات به عنوان يکي از رشته هاي مطرح و کاملا کاربردي در دانشگاه هاي تراز اول دنيا تدريس مي شود، بلکه در اغلب دستگاه هاي قضايي کشورهاي توسعه يافته، نيروهايي تحت عنوان پليس امنيت فناوري اطلاعات وجود دارند که به دفاع و جلوگيري از حملات الکترونيکي مي پردازند. به عبارت ديگر، با توجه به توسعه و کاربري روز افون فناوري اطلاعات در کشور، دغدغه آموزش نيروي انساني در زمينه امنيت فناوري اطلاعات بيش از هر زمان ديگري وجود دارد؛ زيرا نه تنها يک نياز اساسي براي تامين امنيت زيرساخت هاي ارتباطي کشور محسوب مي شود، بلکه تحقق اهداف برنامه چشم انداز بيست ساله دولت نيز جز در سايه آموزش نيروي انساني مورد نياز ميسر نيست.

در اين ميان هر چند آموزش نيروي انساني براي تامين امنيت فناوري اطلاعات به ندرت در برخي از دانشگاه هاي پايتخت نظير دانشگاه اميرکبير صورت مي گيرد، اما اين مساله که دانشگاه هايي که به مسائل امنيتي و دفاعي مي پردازند نيز به اين موضوع توجهي نمي کنند، قابل بررسي است. ب عنوان نمونه مراکزي نظير دانشگاه عالي دفاع ملي، دانشگاه امام حسين(ع)، دانشگاه صنعتي مالک اشتر که به مسائل امنيتي و دفاعي اهميت خاصي مي دهند، به طور جدي نسبت به تربيت نيروي متخصص در زمينه امنيت اقدام نمي کنند و به طور کلي سعي دارند تقصير چنين اهمال کاري هايي را بر گردن سايرين بيندازند. اين در حالي صورت مي گيرد که شايد بهترين مکان دانشگاهي براي ارائه و آموزش دروس امنيتي فناوري اطلاعات چنين دانشگاه هايي باشند؛ زيرا نه تنها چگونگي نيازهاي امنيتي در زمينه فناوري اطلاعات را مي دانند، بلکه به طور معمول دانش آموختگاني را پس از فارغ التحصيلي در مراکز مربوطه به کار مي گمرند که در مراکز دانشگاهي مورد تاييد خودشان تحصيل کرده باشند. در واقع اهميت ايجاد امنيت فناوري اطلاعات در کشور موضوعي است که کاملا با امنيت ملي کشور در ارتباط است و نمي توان با جذب نيروهاي متخصص خارجي به تامين آن پرداخت. کارشناسان بر اين باورند که با توجه به وضعيت کنوني ايران در جهان، سرمايه گذاري در زمينه هايي مثل امنيت زيرساخت هاي ارتباطي، امنيت اطلاعاتي، زيرساخت هاي نگهداري اطلاعات امن، کنترل امنيت نيرو، حوزه هاي پشتيباني امنيت، پدافند الکترونيکي و زمينه هاي تشخيص نفوذ امنيتي به شدت مورد نياز است؛ به گونه اي که در آينده اي بسيار نزديک در صورت عدم تربيت و آموزش نيروي متخصص در زمينه هاي مذکور، کشور با بحراني کاملا جدي مواجه خواهد شد.

امنيت فناوري اطلاعات اين بار در مجمع تشخيص
با توجه به آنچه گفته شد، در حالي که اغلب دستگاه هاي اجرايي کشور به تدوين طرح تامين امنيت فناوري اطلاعات به صورت منفک پرداخته اند، اين بار موضوع امنيت سر از مجمع تشخيص مصلحت نظام در آورده است. بدين ترتيب که ظاهرا طرح جديد ديگري تحت عنوان طرح جامع حوزه امنيت فضاي تبادل اطلاعات تدوين شده که فعلا در غالب يک پيش نويس
12 ماده اي است و در انتظار تصويب به سر مي برد. به گفته دکتر محمد رضا عارف، عضو مجمع تشخيص مصلحت نظام، در اين پيش نويس هه سياست هاي کلي که هر دستگاه اجرايي در کشور بايد در حوزه سايبر داشته باشد

پيش بيني شده است. اين پيش نويس ابتدا به دبيرخانه مجمع تشخيص مصلحت نظام ارائه شد و اين دبيرخانه اصلاحات و نظرهاي جديدي روي آن اعمال کرد که باعث افزايش کاربرد آن شد. به گفته وي، پيش نويس جامع در حوزه افتا بعد از دبيرخانه به کميسيون اصلي مجمع يعني کميسيون علمي و فرهنگي عرضه شد که آنجا هم بعد از اعمال اصلاحاتي تصويب و نهايي شد. بر اساس اين گزارش، هر چند مجمع تشخيص مصلحت نظام مکان بسيار مناسبي براي تصويب و قطعيت بخشيدن جهت ابلاغ بسياري از بخشنامه هاست، اما به راستي پيش نويس جامع حوزه امنيت فضاي تبادل اطلاعات تاکنون کجا بوده که اين چنين زيرزميني مراحل مختلف را پيموده و به مجمع تشخيص مصلحت نظام رسيده است؟ يا به عبارت بهتر متولي اين طرح چه نهادي است و چگونه از تجربياتي که در اين زمينه کسب شده،
استفاده کرده است؟ آيا ضمانت اجرايي خاصي براي به کارگيري مصوبه مذکور در دستگاه هاي دولتي در نظر گرفته شده است؟ در صورت پيش بيني بعد اجرايي مصوبه امنيت فضاي تبادل اطلاعات کشور، ساز و کار آن به چه ترتيب است؟ همه اين ها، سوالات و نگراني هايي هستند که پس از خلا طولاني مدت امنيت در فضاي تبادل اطلاعات کشور مطرح خواهد شد.

لينک مطلب اصلی :‌http://infoage.ir/official/5370/view.asp?ID=536088

منبع : ماهنامه تحليل گران عصر اطلاعات

نوشته های مشابه

دیدگاهتان را بنویسید

دکمه بازگشت به بالا