اختصاصی افتانا: به گفته دکتر حمید بابادی‌نیا، عضو هیئت‌مدیره شرکت گیلاس کامپیوتر، سه دلیل عمده وجود دارد که کارشناسان آی‌تی به امنیت سایبری در آینده خوش‌بین‌تر باشند.

به گفته دکتر حمید بابادی‌نیا، عضو هیئت‌مدیره شرکت گیلاس کامپیوتر، سه دلیل عمده وجود دارد که کارشناسان آی‌تی به امنیت سایبری در آینده خوش‌بین‌تر باشند. اولین دلیل آن، افزایش پذیرش و استقبال از بهترین شیوه‌های امنیتی توسط صاحبان کسب‌و‌کار است. صاحبان کسب‌وکارها اکنون به دنبال بالاترین و پیچیده‌ترین تکنولوژی‌های روز بازار می‌گردند تا بتوانند به کمک آن‌ها بر امنیت کسب‌وکار خود بیفزایند و این رقابتی را به وجود آورده که باعث شده که تکنولوژیست‌ها خصوصا در حوزه‌ امنیت سایبری، به‌صورت مستمر با انجام کارهای تحقیقاتی به‌دنبال خلق تکنولوژی‌های جدید و به تعبیری خلق ابزار جدید باشند. دومین دلیل، آگاهی امنیتی است که در میان مصرف‌کنندگان و کاربران، چه کاربران معمولی و چه کاربران شبکه‌‌ای بالا رفته‌است. این آگاهی‌های امنیتی با آموزش‌هایی که به صورت سازمانی ارائه شد و از طریق شبکه‌های اجتماعی، فرهنگ اهمیت دادن به امنیت سایبری را رشد داد، افزایش یافت. این کارشناس امنیت سایبری، دلیل سوم را که باعث می‌شود کارشناسان امنیت سایبری نسبت به آینده آن خوش‌بین‌تر باشند نقش رو به رشد هوش مصنوعی در شناسایی و ایجاد سازوکارهای جدید برای مقابله با تهدیدات می‌داند. ابزاری که با سرعت بالایی در حال رشد و توسعه است. اما ببینیم به نظر ایشان، ایران در این میانه در کجا ایستاده‌است.

مهم‌ترین رویداد امنیتی سال ۱۴۰۱ از نظر شما چیست؟
در سال ۱۴۰۱ شاهد نشت‌های اطلاعاتی بودیم که در یک‌سری پایگاه‌های اطلاعات و هویت کاربران و بسیاری از سازمان‌ها و اپراتورها رخ داد. شاید برخی دوستان بگویند که اطلاعات چندانی نشت پیدا نکرده و بیشتر آن اغراق‌هایی بود که در شبکه های ‌اجتماعی اتفاق افتاد. اما من به‌ عنوان کارشناس امنیت سایبری به کمیت این موضوع کار ندارم بلکه سخن این است که نهایتا این نفوذ اتفاق افتاده‌ است. بالاخره یک عملکردی وجود داشته است که به زیرساخت‌های حیاتی کشور ما لطمه زده است. با اینکه چقدر لطمه زده کاری ندارم. چیزی که برای من به‌عنوان کارشناس امنیت اهمیت دارد این است که این اتفاق اصولا نباید رخ می‌داد. حالا که رخ داده پس یعنی حداقل‌های لازم امنیت هنوز رعایت نمی‌شود. برخی کارشناسان اعتقاد دارند که نظام حاکمیت سایبری در کشور، یکدست نیست و نبود یک نظام حاکمیت یکسان و مشخص و نبود یک مرجع قطعی برای ابلاغ بخش‌نامه‌ها و قوانین باعث بروز این مشکلات می‌شود. برخی نیز معتقدند که سرقت اطلاعات و نفوذ به حریم خصوصی در همه‌دنیا اتفاق می‌افتد و فقط مختص ایران نیست، ولی گزارش‌های بین‌المللی که منتشر می‌شوند حکایت از این دارند که جایگاه جهانی ایران در حوزه‌ دفاع سایبری زیاد هم قابل دفاع نیست.

تعامل بین بخش خصوصی و دولتی در حملات سایبری به‌ویژه به زیرساخت‌های کشور را چگونه ارزیابی می‌کنید؟
بالاخره تهدیدات در فضای سایبری با توجه به فناوری‌های جدید چهره خود را تغییر می‌دهند. بنابراین در این شرایط نیازمند تسریع چرخه تصمیم‌گیری، تدوین آیین‌نامه‌ها و مصوبات بالادستی و همچنین تقویت شبکه‌سازی و ارتقای سطح تعامل‌پذیری بین تمامی دستگاه‌ها هستیم. کارشناسان حوزه‌ امنیت در بخش خصوصی باید به عنوان بازوهایی برای نهادهای حاکمیتی قرار بگیرند. یکی از مشکلاتی که ما داریم این است که تصمیمات در پشت درهای بسته گرفته می‌شود. باید به بخش خصوصی و کارشناسان حوزه‌ی آی‌تی کشور فرصت داده‌شود تا آنها را بررسی کنند. باید منافع بخش خصوصی در تمام این تصمیم‌گیری‌ها دیده شود. باید از این نیروهای متخصص کشور استفاده کرد در حالی که استفاده‌ لازم و درست انجام نمی‌شود.

به خاطر موقعیت ژئوپلیتیک کشور، ما مرتب باید سطح امنیت‌مان را بالا ببریم. تکنولوژی در حال رشد است و ما به نیروهای متخصصی نیاز داریم در این کشور بمانند، دلسوز باشند و زحمت بکشند. بخش خصوصی، بخش دولتی و بخش حاکمیتی باید همانند حلقه‌های به‌هم پیوسته یک زنجیر باشند و باید باهم در تعامل باشند. در غیر این‌صورت وضعیت همین خواهد بود که هست.

وضعیت امنیت سایبری ایران از تجربه استاکس‌نت تا به امروز را چگونه می‌بینید؟
در کشور ما یک نظام ملی پیشگیری و مقابله با حوادث فضای مجازی در شورای عالی فضای مجازی به تصویب رسید که در آن مسئولیت هر بخش در مقابله با حوادث فضای مجازی مشخص شده‌است. اما به نظر می‌رسد که این قانون، پاسخگوی همه‌ نیازها نیست و جای یک تصمیم‌گیرنده و فرماندهی متمرکز در حوزه‌ امنیت سایبری همیشه خالی است. ناامنی پایگاه داده در بسیاری از سازمان‌ها و عدم پاسخگویی به ضرر و زیان‌های ناشی از این نشت اطلاعات در سال‌های اخیر، شاهد همین ادعاست که ما به یک حاکمیت متمرکز در رابطه با این فرماندهی فضای امنیت سایبری نیاز داریم جایی که باید در چنین مواقعی در برابر رعایت نشدن ابلاغیه‌های امنیتی، عدم پایش‌های مکرر و ضرور و زیان و خسارت‌های ناشی از حملات به سازمان، پاسخگو باشد. اگر یک نظام مستقل و یک نظام حاکمیتی واحد و متمرکز در کشور باشد بالاخره می‌توان امید داشت که این نظام پاسخگوست و بررسی‌های لازم برای رفع نقاط ضعف‌ و جلوگیری از تکرار قصور و کوتاهی‌های اتفاق می‌افتد. با احترام به نهادهای حاکمیتی ازجمله مرکز راهبردی افتا، سازمان پدافند غیر عامل، شورای عالی فضای مجازی و دوستان و همکاران دیگری که در این زمینه زحمت می‌کشند باید بگویم که نگاه ما به حوزه‌ امنیت سایبری، سیستماتیک و پیشگیرانه نیست و خیلی منفعلانه عمل می‌کنیم. باید قبل از بروز مشکل و مبتنی بر ارزیابی مخاطرات، اقدامات مخرب را پیش‌بینی و از رخ دادن آنها پیشگیری کنیم. این که به عنوان یک نیروی واکنش سریع وارد عمل می‌شویم تا به‌سرعت مشکل را برطرف کنیم بد نیست، ولی باید سعی کنیم و آن را اصلاح کنیم تا بتوانیم از قبل پیش‌بینی کرده و برای پیشگیری از آن راهکار داشته باشیم. متاسفانه تعدد نهادهای بالاسری و نظارتی در اکوسیستم امنیت سایبری باعث می‌شود که جریان بوروکراتیک کشور بیشتر شده و نتوانیم به طور مناسب پاسخگوی مناسبی نسبت به مخاطرات امنیتی داشته باشیم. گاهی مصوبه‌ای که واقعا نیاز مملکت هست شاید چندین ماه یا حتی چندین سال طول بکشد تا به مرحله اجرایی دربیاید و یک نظام حاکمیتی بالاسری وجود ندارد که با دستگاهی که مصوبه را اجرا نمی‌کند یا سلیقه‌ای اجرا می‌کند برخورد جدی داشته باشد. امنیت فضای سایبری کم از امنیت فیزیکی کشور ندارد بنابراین به نظر من وجود یک نهاد حاکمیتی واقعا الزامی است. موضوع خیلی مهم دیگر این است که برای امنیت فضای سایبری کشور باید تجهیزاتی که وارد شبکه‌های کامپیوتری می‌شوند هنگام ورود از لحاظ رعایت استانداردهای امنیتی لازم تست شوند اما آیا هیچ نهادی هست که نظارت کند که این دستگاه‌ها توسط کاربران که اغلب ارگان‌های دولتی هستند، درست پیکربندی شده‌اند و در شبکه‌های کامپیوتری درست راه‌اندازی شدند یا خیر و اصلا آیا هیچ نهادی هست که به طور مستمر این موارد را بررسی کند تا اگر پیکربندی اشتباه بوده و یا حفره‌های امنیتی وجود داشت گزارش‌های لازم را به ادمین‌ها و مدیران شبکه اطلاع بدهند.

اگر در جاهایی که باید سطح امنیت خیلی بالا باشد و استانداردهای امنیتی بالایی در آن رعایت شود از نرم‌افزارهایی که استانداردهای لازم را نداشته باشند، استفاده شود چه کسی این تشخیص را می‌دهد؟ چه کسی می‌گوید که اگر شما برخلاف توصیه‌نامه امنیتی نهادهای حاکمیتی عمل نکنید چه برخوردی با شما می‌شود؟ آیا اصلا برای آن جریمه‌ای در نظر گرفته شده‌است؟ مسئولیت مدیر دولتی که از تصمیم حاکمیت در زمینه امنیت سایبری تخطی می‌کند چه اندازه است؟ پس ما باید بیش و پیش از هر چیزی نگاه ویژه‌ای به رگولیشن و نظام تنظیم‌گری، نظام‌نامه‌ها و آیین‌نامه‌های و روش‌های پیگیری و پایش در شبکه‌های اطلاعات کشور داشته باشیم.

گاهی ممکن است با بیشترین هزینه، پیشرفته‌ترین تجهیزات را وارد کشور بکنید ولی تا وقتی که کارشناسان متخصص این‌ها را پیکربندی نکنند اصلا گویی که هیچ کار مفیدی انجام نداده‌اید .

ارزیابی شما از چشم‌انداز امنیت سایبری ایران چیست؟
به نظر من ما هنوز در امنیت سایبری به آن جایگاهی که شایسته‌ سرزمین‌مان است، نرسیده‌ایم هرچند که هزینه‌های لازم را برای تحقق آن پرداخت کرده و می‌کنیم. در مصوبه‌ شورای فضای مجازی در ارتباط با ایجاد شبکه‌ ملی اطلاعات علاوه بر لزوم ایجاد این شبکه‌ بر ضرورت امنیت آن نیز تاکید شده‌است. در الزامات مربوط به ایجاد این شبکه بر تحقق شبکه‌ای کاملا مستقل و حفاظت شده نسبت به سایر شبکه‌ها با قابلیت عرضه انواع خدمات امن، اعم از رمزنگاری و امضای دیجیتال به تمامی کاربران اشاره شده‌است و همچنین تاکید شده که باید با قابلیت برقراری ارتباط امن و پایدار میان دستگاه‌ها و مراکز حیاتی کشور همراه باشد. این مصوبه‌ای بوده که از فضای مجازی بیرون آمده و اکنون روی این مصوبه خیلی بحث و صحبت زیاد است. با وجود تمامی تعاریف مشخصی که برای امنیت سایبری در شبکه ملی اطلاعات تکلیف شده‌است و با علم بر اینکه مبلغی حدود نوزده هزار میلیارد تومان برای زیرساخت‌های شبکه کشور هزینه شده اما تاکنون چیزی که شاهدیم آن است که هنوز وضعیت مقابله با تهدیدات سایبری حفاظت از اطلاعات و مدیریت مخاطرات و صیانت از حریم خصوصی افراد تضمین‌شده نیست. البته ما می‌دانیم که امنیت هیچ‌وقت تضمینی ندارد هیچ وقت صد درصد نیست ولی بحث ما در واقع داشتن حداقل‌های امنیتی است.

سوالی که مطرح می‌شود این است که آیا این ضعف ساختارهای امنیتی کشور در فضای سایبری به ضعف زیرساخت‌های شبکه ملی اطلاعات برمی‌گردد یا علت را باید جای دیگری جست‌وجو کرد. موضوع دیگری که نگرانی را درباره ضعف‌های زیرساختی شبکه ملی اطلاعات افزایش می‌دهد این است که گفته می‌شود که هشتاد درصد شبکه‌ ملی اطلاعات تحقق پیدا کرده و این موضوع با وجود اتفاقات ناگوار سایبری، شائبه‌ها و نگرانی‌هایی برای امنیت سایبری به وجود می‌آورد.

بزرگ‌ترین چالش امنیت سایبری کشور چیست؟
متاسفانه یکی از مشکلاتی که ما در فضای کشور داریم این است که پایین‌ترین سطح بودجه‌ها در وزارت‌خانه‌ها به واحدهای آی‌تی داده می‌شود. اگر بودجه‌ لازم هم داده شود در پایین‌ترین سطح کنترل و نظارت، اجرا می‌شود. اگر بودجه کافی در اختیار مدیران فناوری اطلاعات قرار بگیر و اگر پایش مداوم بر اجرای امنیت اتفاق بیفتد آن‌وقت شاید بتوان امید داشت که سطح امنیت فضای سایبری در سال ۱۴۰۲ بالاتر از چیزی بشود که در سال ۱۴۰۱ شاهد بوده‌ایم.