اعتماد و تکیه بر بخش خصوصی، کلید ارتقاء امنیت سایبری در کشور

به گزارش کارگروه امنیت سایبربان , بهروز مهدوی، عضو کمیسیون افتا نصر کشور و رئیس کمیسیون افتا نصر خراسان رضوی در یادداشت ارسالی برای سیتنا نوشت:

از سال 1382 و تشکیل شورای عالی افتا با مصوبه دولت وقت، تا سال 1386 که مرکز مدیریت راهبردی افتا با استناد به سند افتا تشکیل شد، بیش از 17 سال می‌گذرد. علاوه بر مرکز افتا، سازمان فناوری اطلاعات ایران نیز با استناد به همان سند مصوب سال 1382 و برنامه پنج ساله توسعه تاسیس شده است. بازیگران حاکمیتی حوزه افتا به همین تعداد محدود نبوده و پدافند غیر عامل نیز در حوزه امنیت فناوری اطلاعات نقش پر رنگی دارد.

در تمام اسناد مرتبط با افتا، بخش خصوصی به عنوان بازوی اجرایی حاکمیت و دولت در امن‌سازی و پشتیبانی از امنیت دستگاه‌های دولتی اعم از زیرساختی و غیر زیرساختی مورد توجه قرار گرفته است؛ اما این توجه بیشتر به سخت‌گیری های فراوان و فرآیندهای پیچیده و زمان‌بر، در اخذ مجوزهای متعدد محدود شده است و دولت تلاش چندانی برای ایجاد بازار مناسب و تخصیص بودجه به مباحث مرتبط با افتا نکرده است، به عنوان مثال حمایت‌های گسترده از شرکت‌های دانش بنیان از قبیل وام، معافیت های مالیاتی و ... 

به نظر می‌رسد در شرایط فعلی و حوادث رخ داده در فضای سایبری کشور در سال‌های گذشته، نیازی به تبیین چند باره اهمیت جایگاه افتا در سازمان‌ها نباشد و این نیاز در بین متولیان اصلی این موضوع احساس شده است؛ اما دور بودن تفکر حاکمیتی و دولتی با تفکر بخش خصوصی، منجر به عدم پیشرفت مناسب در تامین امنیت زیرساخت‌ها شده است.

دولت به عنوان مرجعی که با تعریف فرآیندی سخت و پیچیده مجوزهای افتا را صادر می‌کند، باید دیدگاه حمایتی و بازارسازی نیز داشته باشد؛ چرا که عمده بازار حوزه امنیت اطلاعات به شکل برون‌سپاری شده توسط بخش دولتی تامین می‌گردد و به غیر از چند شرکت بزرگ خصوصی، سایر شرکت‌های بخش صنعتی و خصوصی اهمیت چندانی به مباحث امنیت اطلاعات نمی‌دهند و کارکرد شبکه و سیستم‌ها را اولویت اول خود می‌دانند.

نکته حائر اهمیت اینکه؛ راهبری، تخصص و حوزه فعالیت کارشناسان امنیت، کاملا متفاوت با کارشناسان شبکه، نرم‌افزار و سخت‌افزار است. کارشناس امنیت باید در وهله اول دارای دید صرفا امنیتی باشد. کارشناسی که سال‌ها به عنوان متخصص شبکه فعالیت کرده و حتی شاید دارای تخصص‌های بسیار بالا در این مقوله باشد، الزاما به عنوان یک کارشناس امنیت قابل استفاده نیست، لذا تفکیک قایل شدن بین راهبر و پشتیبان شبکه از امنیت نیز دارای اهمیت بسیار زیادی است.

بازیگر اصلی در مباحث مرتبط با افتا نیروی انسانی متخصص و کارآمد است و وظیفه ساخت و تربیت نیروی انسانی حرفه‌ای در این مورد تنها و تنها بر عهده بخش خصوصی توانمند و حرفه‌ای است. حوزه امنیت اطلاعات را شاید بتوان در قالب چند واحد و یا حتی دوره کارشناسی ارشد در دانشگاه‌ها تدریس کرد، اما همانند برنامه‌نویسی، حوزه امنیت نیز یک هنر ذاتی و ناشی از کار عملی مداوم و به‌روز است و صرفا با گذراندن چند واحد درسی دانشگاهی، متخصصان عملیاتی چندانی در اختیار کشور قرار نمی‌گیرد.

کمبود کارشناس در این زمینه به خصوص در شهرستان‌ها و مراکز استان‌ها، به طور ملموس‌تری قابل مشاهده است؛ چرا که متخصصان امنیت ترجیح می‌دهند در تهران یا کشورهای خارجی کار کنند و به تبع آن با کمبود نیرو در نقاط مختلف کشور مواجه هستیم.

نکته دیگر، بحث سطح درآمدی این متخصصان است که بعضا باعث کاهش انگیزه کاری آن‌ها می‌شود؛ یک مصداق اینکه، حتی متخصصان خاص و حرفه‌ای بخش تست نفود، از طریق سایت‌های باگ بانتی، درآمدهای بسیار بیشتری نسبت به درآمد استخدام در شرکت‌های دولتی و خصوصی داخل کشور دارند.

با بررسی آمار رسمی و غیر رسمی رخدادهای هک و نفوذ به سازمان‌ها، مشاهده می‌شود که عمده سازمان‌هایی که از ابلاغیه‌ها و دستورالعمل‌های نهادهای نظارتی مرکز مدیریت راهبردی افتا و پدافند غیرعامل پیروی کرده و از بخش خصوصی در جهت تامین امنیت خود استفاده کرده‌اند، کمتر در معرض هک و نفوذ بوده‌اند.

لذا در این میان نمی‌توان به نقش پررنگ مرکز مدیریت راهبردی افتا و پدافند غیر عامل در ارتقاء امنیت اطلاعات در کشور توجه ای نکرد، اما این هم‌افزایی وقتی به حداکثر کارایی خود خواهد رسید که نهادهای متولی این امر در کنار دید نظارتی و مجوز محور، دید بازارسازی و سیاست‌گذاری در راستای حرکت دولت به سمت استفاده از بخش خصوصی را نیز مد نظر داشته باشند. در حقیقت شرکت‌های بخش خصوصی باید به عنوان بازوی اجرایی و همکار نهادهای نظارتی فعالیت کرده و تحت ارزیابی و نظارت دائمی باشند.