مدیر عامل شرکت سباپردازش معتقد است که نادیده انگاشتن چابکی و انعطافپذیری بخش خصوصی و بهره نگرفتن از این قابلیت را به ضرر امنیت سایبری کشور میداند که اتفاقا نیروی انسانی متخصص بیشتری هم در اختیار دارد.
اختصاصی افتانا: مدیر عامل شرکت سباپردازش معتقد است که نادیده انگاشتن چابکی و انعطافپذیری بخش خصوصی و بهره نگرفتن از این قابلیت را به ضرر امنیت سایبری کشور میداند که اتفاقا نیروی انسانی متخصص بیشتری هم در اختیار دارد.
مقابله با تهدیدات و حملات سایبری، نیازمند تعاملی بسیار گسترده بین بخشهای دولتی و خصوصی است. این نظر دکتر کامبیز قادری، رئیس انجمن صنفی افتا و مدیر عامل شرکت سباپردازش است که نادیده انگاشتن چابکی و انعطافپذیری بخش خصوصی و بهره نگرفتن از این قابلیت را به ضرر امنیت سایبری کشور میداند که اتفاقا نیروی انسانی متخصص بیشتری هم در اختیار دارد. او گرفتن بازخورد از مشکلات موجود و انجام اقدامات اصلاحی را مهمترین بخش قدرتمند یک چرخه مدیریت قوی برمیشمرد که در حوزه امنیت سایبری کشور باید به آن توجه ویژه داشت.
تعامل بین بخش خصوصی و دولتی در حملات سایبری بهویژه به زیرساختهای کشور را چگونه ارزیابی میکنید؟ متاسفانه به سبب برخی از نگرشها، در حال حاضر بخش خصوصی از جایگاهی در کشور که شایسته آن است در زمینه مقابله با رخدادها، تهدیدات و حملات سایبری برخوردار نیست. یکی از قابلیت های بخش خصوصی که همیشه نادیده گرفته میشود، چابکی و انعطافپذیری آن است. دستگاههای دولتی بهدلیل بوروکراسی و قوانین دستوپاگیر موجود در تامین نیازمندیهای نیروی انسانی متخصص و حتی برخی از تجهیزات مورد نیاز خود ناتواناند. بخش خصوصی با توجه به رها بودن از بیشتر این عوامل دستوپاگیر، میتواند منابع مورد نیاز دستگاههای دولتی را در کوتاهترین زمان و با پیکربندی مورد نیاز برای این دستگاهها فراهم کند. لذا تقویت بخش خصوصی باید به عنوان یک امکان در دسترس برای دستگاههای دولتی در نظر گرفته شود. ایجاد یک بخش خصوصی قدرتمند بر اساس نیازهای دستگاه های دولتی و برونسپاری نیازهای ایشان برای مقابله با تهدیدات و حملات سایبری- پیش، در خلال و یا بعد از وقوع آن- میتواند بخش دولتی را برای مقابله با تهدیدات سایبری توانمند کرده و خصوصا برای حفظ امنیت زیرساختهای کشور مورد بهرهبرداری قرار گیرد. بر این اساس برای مقابله با تهدیدات و حملات سایبری در حال حاضر و آینده، نیازمند تعاملی بسیار گستردهتر بین بخشهای دولتی و خصوصی خواهیم بود.
آیا لازم است هزینههای بومیسازی هر محصولی را در حوزه افتا به خود تحمیل کنیم؛ حتی اگر به کیفیت نمونه مشابه خارجی نرسیم؟ این یک رویه جهانی است که کشورهای در معرض تهدیدات و حملات گسترده در فضای تولید و تبادل اطلاعات، به منظور تقویت و مقاومسازی فضای سایبری خود، به دنبال تولید علم و در ادامه آن تولید محصولات بومی برای افزایش توان مقابله با تهدیدات و حملات هستند.
مثالهای متعددی در این زمینه میتوان مطرح کرد، ولی شاید به عنوان برجستهترین آنها بتوان دو کشور از قدرتهای اقتصادی جهان؛ یعنی چین و روسیه را مثال زد. این، یک اصل غیر قابل انکار است که «امنیت ملی را بدون تجهیزات و علوم مرتبط بومی نمیتوان تامین کرد.»
این در حالی است که متاسفانه در تجربیات گذشته، بسیاری از تجهیزات وارداتی نصبشده در فضای تولید و تبادل اطلاعات کشور با اهداف شنود و یا خرابکاری به صورت خاصمنظوره، تولید و از طریق مبادی رسمی کشور وارد و بهکارگیری شدهاند. رسانه ملی، بسیاری از این تجربیات را در قالب اخبار و یا برنامههای مستند ارائه کرده است.
از سوی دیگر، تولید هر محصول در داخل کشور به صورت بومی، یک ارزش افزوده ویژه را به همراه دارد و آن، تولید و ارتقای علم است. باید توجه داشت که اکثر کشورهایی که در حال حاضر از پیشتازان تولید هستند، ابتدا کار خود را با محصولات بیکیفیت آغاز کردند که بسیاری از آنها کپی شده محصولات نهچندان پیشرفته خارجی بوده است.
باید توجه داشت که بدون تولید نمیتوان به خلاقیت در تولید و ارائه ویژگیهای جدید در محصولات و خدمات پرداخت. اکثر کشورهایی که اکنون به تولید در لبه علم میپردازند، کار خود را از یک خط تولید بسیار ساده آغاز کردهاند.
حال اگر با نگرشی دقیقتر و عمیقتر به موضوع بنگریم، تولید محصولات بومی در حوزه فضای سایبری، امری انکارناپذیر است و حمایت همهجانبه حاکمیت را میطلبد. البته تولید اگر فقط در سمت ساختارهای حاکمیتی صورت پذیرد، فاقد دو خصیصه ویژه خواهد بود: نخست، مقرون بهصرفه کردن تولید و دیگری، ایجاد رقابت در تولید محصولات باکیفیت و قیمت مناسب برای عرضه به مشتریان اعم از دولتی و خصوصی.
لذا از این منظر ضروری است که حاکمیت علاوه بر تشویق به تولید بومی در حوزه فضای تولید و تبادل اطلاعات، انواع روشهای حمایتی را ایجاد و خصوصا به بخش خصوصی ارائه کند.
وضعیت امنیت سایبری ایران از تجربه استاکسنت تا به امروز را چگونه میبینید؟ متاسفانه تجربه موفق در زمینه تولید محصولات مدرن نظامی از قبیل پهپاد در تولید محصولات فضای سایبر در کشور اجرا در نیامده است. این تجربه، تشویق به ایجاد و بهکارگیری شرکتهای دانشبنیان در زمینه تولید محصولات بومی است. بسیاری از تولیدات محصولات بومی فضای سایبر، بر اساس علاقه و گرایش مدیران شرکتهای ایرانی برای تولید و عرضه اینگونه محصولات بوده است.
از تجربه استاکسنت تاکنون، متاسفانه یک روند کند و بدون حمایتهای لازم برای مقابله با تهدیدات و حملات سایبری را شاهد بودهایم. حتی شاهد یک روند ویرانگر، یعنی مهاجرت نیروی متخصص ایرانی به خارج از کشور بوده و در حال حاضر نیز با آن مواجه هستیم.
این یک اصل است که مهمترین منبع برای توسعه هر کشور، نیروی انسانی است. از آغاز تحصیلات ابتدایی تا پایان تحصیلات مقطع کارشناسی در دانشگاهها، بودجه بسیار زیادی از ثروتهای ملی برای هر فرد در کشور هزینه میشود که با از دست دادن هر فرد تحصیلکرده، جبران آن غیرممکن است. در حال حاضر وضعیت نابهسامان اقتصاد کشور و کمبود نقدینگی، بسیاری از شرکتهای خصوصی را با چالشهای بیشمار حفظ و نگهداری نیروی انسانی مواجه کرده است. این وضعیت در بخش دولتی هم چندان مناسب نیست. از زمانی که بحث تعدیل نیرو در بخش دولتی را شاهد بودهایم، امکان بهکارگیری نیروهای جدید در بدنه دولت فراهم نیست. این موضوع با ممنوعیت ایجاد پستهای جدید در دستگاههای اجرایی از طرف سازمان مدیریت و برنامهریزی، امکان جذب و تحول در نیروی انسانی خصوصا در بخش فناوری اطلاعات را از بین برده است. بر این اساس، هر دو بخش دولتی و خصوصی از بهرهگیری نیروی انسانی متخصص و تازهنفس دانشگاهی محروم شدهاند. این باعث شده است که دانش و توان نیروی انسانی متخصص تحصیلکرده برای مقابله با تهدیدات و حملات سایبری از زمان استاکسنت به بدنه بخش دولتی و خصوصی تزریق نشود و هردو بخش از این جنبه فقیرتر شوند.
از سوی دیگر، دستگاههای متولی امنیت فضای تولید و تبادل اطلاعات در کشور، نواخت مناسبی را برای ایجاد یک روند سیستماتیک به منظور مقابله با تهدیدات و حملات سایبری نداشتهاند. یک ساختار سیستماتیک بر اساس یک سیستم پایهگذاری میشود و سیستم مبتنی بر استراتژیها (راهبردها)، خطمشیها، فرایندها، رویهها، دستورالعملها و مانند آن شکل میگیرد. اگر دقیقتر بررسی کنیم، مشاهده میشود که کشور از نظر تولید و بهکارگیری اینگونه ابزار نرم، بسیار فقیر است.
باید توجه داشت که موفقیت در بهکارگیری این ابزار نرم، وجود یک ساختار مبتنی بر چرخه حیات مدیریتی است. به عنوان نمونه، چرخه حیات مدیریتی دمینگ با چهار مرحله طرحریزی، اجرا، بازبینی و اصلاح، یک چرخه مداوم را برای بررسی مشکلات و اصلاح روشهای نادرست دنبال میکند. این چرخه حیات مدیریتی، نمیتواند بدون وجود یک ساختار ممیزیکننده، پایدار بماند.گرفتن بازخورد از مشکلات موجود و انجام اقدامات اصلاحی مهمترین بخش قدرتمند یک چرخه مدیریت قوی است. متاسفانه علیرغم دستور مقام معظم رهبری در ایجاد شورای عالی فضای مجازی، مرکز فضای مجازی به عنوان بازوی اجرایی آن، اقدامات بسیار محدودی را در این زمینه داشته است که به هیچ وجه پاسخگوی نیازهای جاری کشور نیست. از طرفی، سازمان پدافند غیر عامل در حوزه سایبری مواردی را از مخاطبان طلب میکند که برخی از این موارد در هماهنگی با سایر متولیان امر امنیت سایبری نبوده و این رویکرد موجب تشکیک در سوی دستگاههای اجرایی و سایر بخشهای هدف بوده است. به نظر میرسد، هدف اصلی که مقام معظم رهبری در زمینه تعیین متولی امر فضای مجازی و امنیت آن و هماهنگی دستگاههای کشور در این امر در فرامین معظم له، خصوصا فرمان تشکیل شورای عالی مجازی در نظر گرفته شده است، همچنان باقی است و تاکنون محقق نشده است.
ارزیابی شما از چشمانداز امنیت سایبری ایران چیست؟ به نظر میرسد در بخش نظامی و انتظامی، دستگاههای متولی امنیت سایبری به جهت وظیفه خطیری که بر عهده دارند، اقدامات اصولی را برای مقابله با تهدیدات و حملات سایبری، برنامهریزی و مدیریت کردهاند. اما کشور در بخش غیر نظامی، نیازمند اقدامی اصولی و سیستماتیک است. ایجاد ساختارهای مبتنی بر علوم روز و استانداردهای ملی و بینالمللی، لازمه مدیریت امنیت فضای تولید و تبادل اطلاعات است. لذا اگر این اقدامات اصولی هرچه سریعتر آغاز نشود، طی دهه آینده مجددا خواهیم پرسید که از زمان تهدید استاکسنت تاکنون چه فعالیتی در زمینه مقابله با تهدیدات و حملات سایبری در کشور برداشته شده است.
بزرگترین چالش امنیت سایبری کشور چیست؟ - کمبود شدید نیروی انسانی متخصص.
- کمبود شدید تجهیزات، خصوصا تجهیزات بومی.
- نبود یک ساختار متولی توانمند در زمینه امنیت سایبری کشور که با برخورداری از دغدغههای امنیت ملی، جنبههای فنی و گسترش علوم روز، مقابله با تهدیدات و حملات سایبری را در هردو بخش دولتی و خصوصی دنبال کند.
- ارج نگذاردن به متخصصان در زمینههای مرتبط با فضای سایبر؛ از تخصصهای فنی تا تخصصهای مهندسی اجتماعی.
- عدم ایجاد تحول لازم در ساختارهای نیروی انسانی بهکارگرفته شده در بخش دولتی متناسب با پیشرفتهای فنی و تخصصی فضای سایبر و امنیتی آن.
- نگاه کاملا امنیتی متولیان به امنیت فضای تولید و تبادل اطلاعات که منجر به قربانی شدن جنبههای فنی و تکنیکال امنیت در این فضا شده و شرکتهای ایرانی که باید در توسعه این فنون نقش کلیدی ایفا کنند، درگیر این نگرشهای امنیتی شده و از تلاشهای بیشتر باز ماندهاند.
- متولیانی که در کشور توسط حاکمیت به عنوان بخش لجستیک توسعه فناوری اطلاعات و ارتباطات و امنیت آن تعریف شدهاند، متاسفانه نهفقط تسهیلاتی در این امر ایجاد نکردهاند، بلکه گاهی خودشان با پیچیده کردن قوانین و طولانی کردن فرایندها به عنوان گامهای غیرضروری و اضافی در رسیدن به اهداف ملی در زمینه توسعه فناوری اطلاعات و ارتباطات و امنیت آن نقشآفرینی میکنند.