مسئولان در زمینه حملات سایبری باید پاسخگو باشند

سوسن صادقی
خبرنگار
چندی پیش خبر حمله سایبری به برخی دستگاه‌های دولتی، خبرساز شد. اما به راستی ریشه این دسته از مشکلات کجاست و چه اقدام‌هایی در دستگاه‌های دولتی باید صورت بگیرد تا شاهد به‌حداقل رسیدن این دسته از حملات سایبری باشیم. کارشناسان امنیت سایبری در این زمینه به «ایران» می‌گویند.
ضعف عملکرد در سه بخش


علیرضا جباریان، کارشناس امنیت سایبری اعتقاد دارد متأسفانه دستگاه‌های دولتی در سه حوزه اصلی امنیت سایبری که شامل پیشگیری، اقدام و پیگیری است، ضعیف عمل کرده‌اند.جباریان گفت: در حوزه پیشگیری نهادهای خوبی مانند مراکز آپا و ماهر در کشور داریم ولی به نظر می‌رسد به‌دلیل مشتریان زیادی که این مراکز دارند ارائه خدمات تخصصی هم در این مراکز دچار مشکل شده، مهمتر اینکه سازمان‌ها برای حوزه پیشگیری هزینه نمی‌کنند و توجه به این بخش در سازمان‌ها جذاب نیست و بیشتر آن را اتلاف منابع مالی می‌دانند.
وی افزود: در حوزه اقدام هم در حوزه ساختاری و فنی آن مشکل وجود دارد. گرچه در سال‌های اخیر تعداد نیروهای انسانی و استفاده از تکنولوژی‌ها افزایش یافته ولی کمبود نیروی متخصص در حوزه‌های کاملاً تخصصی مانند Incident Response بسیار کم و محدود است و این محدودیت‌ها موجب می‌شود که در حین رخداد هک و... با دستپاچگی و عدم مدیریت مناسب بحران روبه‌رو شویم.این کارشناس امنیت سایبری به حوزه پیگیری رخداد هم اشاره کرد و گفت: مهم‌ترین دلایل ضعف در این حوزه هم مربوط به نبود متخصصان کافی در این حوزه و نیز نبود امکان گسترش ارتباطات بین مراکز داخلی با سازمان‌های بین‌المللی است. در بسیاری از موارد رخداد از یک منبع خارج از سرزمین اصلی اتفاق می‌افتد که پیگیری چنین رخدادهایی نیازمند ارتباطات بین‌المللی است.وی پاسخگو نبودن مدیران ارشد دستگاه‌ها و سازمان‌های دولتی را از دیگر مشکلات رخدادهای امنیت سایبری عنوان کرد و افزود: در بسیاری از سازمان‌ها به‌جای اینکه مدیران ارشد پاسخگو باشند، برخی از مدیران رده‌های میانی و پایین‌تر مجبور به پاسخگویی و در برخی موارد استعفا می‌شوند، در حالی که فضای رخدادهای امنیتی و ریسک‌های این حوزه مربوط به بالاترین مقام سازمانی مسئول است.
جباریان یکی دیگر از دلایل وجود مشکلات امنیت سایبری را کاربرد پذیری پایین برخی از دستورالعمل‌های سازمان‌های ناظر عنوان کرد و گفت: صدور دستورالعمل‌هایی که منطبق با شرایط سازمان‌ها نباشد، منجر به اجرا نشدن آن دستورالعمل‌ها در سازمان می‌شود.
وی با بیان اینکه مرکز ماهر (در حوزه پیشگیری)، مرکز افتا (در حوزه‌های پیشگیری و اقدام) و مرکز افتا (در حوزه پیشگیری و پیگیری) انجام وظیفه می‌کنند، افزود: ولی اگر یک مرکز بالا دستی واحد ایجاد شود بهتر است تا شاید بتوانند در این حوزه مفیدتر واقع شوند.
این کارشناس امنیت سایبری معتقد است برای کاهش حملات سایبری دستگاه‌های دولتی باید اقدام‌های سریع در حوزه پیشگیری، یکسان‌سازی حداکثری تکنولوژی‌های مورد استفاده در دستگاه‌ها و شناسایی هرچه سریع‌تر نقاط آسیب پذیر و آنالیز ریسک کاربردی، اقدام برای کاهش ریسک به هر میزان ممکن با امکانات موجود را در اولویت کاری خود قرار دهند.
ریشه‌یابی و رفع مشکل با تصویب قانون
کاظم فلاحی دیگر کارشناس امنیت سایبری نیز اعتقاد دارد دستوری بودن دستورالعمل‌ها برای رعایت اصول امنیتی در دستگاه‌های دولتی کارساز نیست بنابراین نباید تنها به رعایت دستورالعمل‌ها اکتفا کرد.
فلاحی با بیان اینکه باید برای رعایت نشدن دستورالعمل‌های امنیت سایبری جریمه‌های سنگین تعیین کرده و مسئولان ارشد امنیتی سازمان‌ها را به پاسخگو بودن ملزم کرد، گفت: به‌نظرم مرکز شاپرک بانک مرکزی در پاسخگو بودن شرکت های ارائه دهنده درگاه، خوب عمل و به آنها تأکید کرده است اگر شرکتی اطلاعاتش از نظر امنیت سایبری لو برود و هک بشود باید مدیر مربوطه پاسخگو بوده و جریمه می‌شوند، همین موضوع باعث شده در این حوزه کم‌ترین رخدادها را شاهد باشیم.
 این کارشناس امنیت سایبری معتقد است مراکز امنیت سایبری مانند افتا، ماهر و فتا وظایف خود را انجام می‌دهند و در زمینه پیشگیری، پیگیری و اقدام فعالیت می‌کنند ولی دستگاه‌ها به آنچه آنها می‌گویند اهمیتی نمی‌دهند و پاسخگو نیستند. مهم این است که دستگاه‌های اجرایی را در اجرای دستورالعمل‌ها الزام کرده و در صورت روی دادن هر اتفاقی جریمه و پاسخگو کرد.
فلاحی مشکل اصلی در پاسخگو نبودن مدیران ارشد سازمان و دستگاه‌های دولتی و نبود جریمه‌های سنگین برای این دستگاه‌ها را متوجه مجلس و سیاستگذاران می‌داند.
وی گفت: چرا تاکنون مجلس برای لو رفتن اطلاعات کاربران و حفاظت قانونی از اطلاعات کاربران و... اقدام قانونی نکرده، چرا قانون سفت و سختی را تصویب و اجرایی نکرده، چرا سیاستگذاران هنوز برای این مشکل که بارها تکرار شده و می‌شود هیچ راهکار قانونی ارائه نداده‌اند. مشکل را باید ریشه‌یابی و قانونی حل کرد در غیر این صورت این اتفاق‌ها کماکان ادامه می‌یابد.این کارشناس امنیت سایبری افزود: اگر قانون بود و دستگاه‌ها را ملزم به پاسخگو بودن می‌کرد، وزارت راه و شهرسازی چندسال قبل که دچار هک و اختلال هکری شد اصول امنیتی را جدی می‌گرفت، امروز شاهد این رخداد نبودیم که با وجود مستندات آن را تکذیب کند.به اعتقاد فلاحی، باید پیگیری و پاسخگو کردن مسئولان در زمینه حملات سایبری به مطالبه عمومی مردمی تبدیل و بررسی شود. چرا هک صورت گرفته و نتیجه بررسی را منتشر نمی‌کنند تا مشخص شود که هکر تا کجا پیش رفته و برای پیشگیری اقدام‌های قانونی را اعمال کنند تا مسئولان دستگاه‌ها از کنار این رخدادهای مهم بی‌تفاوت نگذرند.
این کارشناس در ادامه گفت: متأسفانه افرادی که در بخش امنیت اطلاعات در دستگاه‌های دولتی فعالیت می‌کنند دارای دانش کافی نیستند و تنها با رانت بر سرکار آمده‌اند به‌همین دلیل تا در این بخش‌ها دگرگونی رخ ندهد، شاهد تغییراتی نخواهیم بود.
به‌کارگیری کارشناسان متخصص و دلسوز
مرتضی نکویی، دیگر کارشناس افتا نیز معتقد است که وجود مدیران ارشد و معاونت‌های امنیت فناوری اطلاعات دستگاه‌های دولتی و اجرایی مشکل اصلی هستند، چرا که آنها صلاحیت تصمیم‌گیری در این حوزه را ندارند به همین دلیل متأسفانه هرچند وقت یکبار زیرساخت‌های آنها مورد حمله سایبری قرار می‌گیرد.نکویی گفت: باید رویکرد حاکمیت و دولت‌ها در زمینه انتخاب مدیران ارشد بخش‌های امنیت اطلاعات دستگاه‌ها تغییر کند در غیر این صورت با وجود افراد مسن با دیدگاه سنتی و رفتار سلیقه‌ای و رفع مسئولیت این فرایند ادامه دار خواهد بود.
وی افزود: انتخاب و فیلتر افراد و کارشناسانی که در دستگاه‌های دولتی در بخش امنیت سایبری فعالیت می‌کنند هم دارای اهمیت بالایی است اما معمولاً افرادی که در این بخش‌ها کار می‌کنند به واسطه رابطه و رانت به این بخش‌ها راه یافته‌اند و در عین حال دانش کافی هم در این حوزه‌ها ندارند.
نکویی با بیان اینکه مراکزی مانند افتا، ماهر، فتا و... همگی به شکلی در حال انجام وظایف خود هستند، گفت: ولی معضل بزرگ در نبود دلسوزی در دستگاه‌ها برای کشور است، افراد مرتبط با بحث‌های امنیتی در شهرستان‌ها سرکار نیستند و فرایندهای دیکته شده هم پاسخگو نیست بنابراین اگر به فکر نجات کشور در حملات سایبری هستند باید افراد متخصص دانشگاهی و غیردانشگاهی توانمند در بحث امنیت سایبری را بکار بگیرند تا هم بدانند و دانش لازم را داشته باشند و هم از کارشناسان متخصص استفاده کنند.
وی افزود: شرکت‌هایی هم که در حوزه امنیت سایبری فعالیت می‌کنند به خوبی فیلترهایی که باید رعایت شود را رعایت نمی‌کنند و از آنجایی که خود در زمینه اخذ گواهی فعالیت داشتم به چشم خود این موارد را از نزدیک مشاهده کردم و شرکت‌ها محصولاتی را تأیید و گواهی صادر کردند که دارای شرایط فنی نبودند.به‌گفته این کارشناس امنیت سایبری، افرادی هم که در سازمان‌ها مشغول به فعالیت هستند توانمندی فنی ندارند و با روابط دوستانه بین پیمانکار و مسئول فاوای وزارتخانه و ایجاد لابی، سخت افزارها و نرم افزارهایی منتشر می‌کنند که فقط باعث پرشدن جیب شرکت‌ها می‌شود و خدمات مناسب و راه حل‌های متعارف و درست داده نمی‌شود.
وی افزود: حتی به چشم دیده‌ام محصولات امنیتی ای که در دستگاه‌های کشور استفاده می‌شود، آسیب پذیری‌های آن با وجود ارزیابی‌ها رفع نشده و وارد دستگاه‌ها شده و استفاده از آنها به طور حتم دارای ناامنی امنیتی سایبری است.