اختصاصی افتانا: مدیر عامل شرکت سباپردازش معتقد است که نادیده انگاشتن چابکی و انعطاف‌پذیری بخش خصوصی و بهره نگرفتن از این قابلیت را به ضرر امنیت سایبری کشور می‌داند که اتفاقا نیروی انسانی متخصص بیشتری هم در اختیار دارد.

مقابله با تهدیدات و حملات سایبری، نیازمند تعاملی بسیار گسترده بین بخش‌های دولتی و خصوصی است. این نظر دکتر کامبیز قادری، رئیس انجمن صنفی افتا و مدیر عامل شرکت سباپردازش است که نادیده انگاشتن چابکی و انعطاف‌پذیری بخش خصوصی و بهره نگرفتن از این قابلیت را به ضرر امنیت سایبری کشور می‌داند که اتفاقا نیروی انسانی متخصص بیشتری هم در اختیار دارد. او گرفتن بازخورد از مشکلات موجود و انجام اقدامات اصلاحی را مهم‌ترین بخش قدرتمند یک چرخه مدیریت قوی برمی‌شمرد که در حوزه امنیت سایبری کشور باید به آن توجه ویژه داشت.

تعامل بین بخش خصوصی و دولتی در حملات سایبری به‌ویژه به زیرساخت‌های کشور را چگونه ارزیابی می‌کنید؟
متاسفانه به سبب برخی از نگرش‌ها، در حال حاضر بخش خصوصی از جایگاهی در کشور که شایسته آن است در زمینه مقابله با رخدادها، تهدیدات و حملات سایبری برخوردار نیست. یکی از قابلیت های بخش خصوصی که همیشه نادیده گرفته می‌شود، چابکی و انعطاف‌پذیری آن است. دستگاه‌های دولتی به‌دلیل بوروکراسی و قوانین دست‌وپاگیر موجود در تامین نیازمندی‌های نیروی انسانی متخصص و حتی برخی از تجهیزات مورد نیاز خود ناتوان‌اند. بخش خصوصی با توجه به رها بودن از بیشتر این عوامل دست‌وپاگیر، می‌تواند منابع مورد نیاز دستگاه‌های دولتی را در کوتاه‌ترین زمان و با پیکربندی مورد نیاز برای این دستگاه‌ها فراهم کند. لذا تقویت بخش خصوصی باید به عنوان یک امکان در دسترس برای دستگاه‌های دولتی در نظر گرفته شود. ایجاد یک بخش خصوصی قدرتمند بر اساس نیازهای دستگاه های دولتی و برون‌سپاری نیازهای ایشان برای مقابله با تهدیدات و حملات سایبری- پیش، در خلال و یا بعد از وقوع آن- می‌تواند بخش دولتی را برای مقابله با تهدیدات سایبری توانمند کرده و خصوصا برای حفظ امنیت زیرساخت‌های کشور مورد بهره‌برداری قرار گیرد. بر این اساس برای مقابله با تهدیدات و حملات سایبری در حال حاضر و آینده، نیازمند تعاملی بسیار گسترده‌تر بین بخش‌های دولتی و خصوصی خواهیم بود.

آیا لازم است هزینه‌های بومی‌سازی هر محصولی را در حوزه افتا به خود تحمیل کنیم؛ حتی اگر به کیفیت نمونه مشابه خارجی نرسیم؟
این یک رویه جهانی است که کشورهای در معرض تهدیدات و حملات گسترده‌ در فضای تولید و تبادل اطلاعات، به منظور تقویت و مقاوم‌سازی فضای سایبری خود، به دنبال تولید علم و در ادامه آن تولید محصولات بومی برای افزایش توان مقابله با تهدیدات و حملات هستند.

مثال‌های متعددی در این زمینه می‌توان مطرح کرد، ولی شاید به عنوان برجسته‌ترین آنها بتوان دو کشور از قدرت‌های اقتصادی جهان؛ یعنی چین و روسیه را مثال زد. این، یک اصل غیر قابل انکار است که «امنیت ملی را بدون تجهیزات و علوم مرتبط بومی نمی‌توان تامین کرد.»

این در حالی است که متاسفانه در تجربیات گذشته، بسیاری از تجهیزات وارداتی نصب‌شده در فضای تولید و تبادل اطلاعات کشور با اهداف شنود و یا خرابکاری به صورت خاص‌منظوره، تولید و از طریق مبادی رسمی کشور وارد و به‌کارگیری شده‌اند. رسانه ملی، بسیاری از این تجربیات را در قالب اخبار و یا برنامه‌های مستند ارائه کرده است.

از سوی دیگر، تولید هر محصول در داخل کشور به صورت بومی، یک ارزش افزوده ویژه را به همراه دارد و آن، تولید و ارتقای علم است. باید توجه داشت که اکثر کشورهایی که در حال حاضر از پیشتازان تولید هستند، ابتدا کار خود را با محصولات بی‌کیفیت آغاز کردند که بسیاری از آنها کپی شده محصولات نه‌چندان پیشرفته خارجی بوده است.

باید توجه داشت که بدون تولید نمی‌توان به خلاقیت در تولید و ارائه ویژگی‌های جدید در محصولات و خدمات پرداخت. اکثر کشورهایی که اکنون به تولید در لبه علم می‌پردازند، کار خود را از یک خط تولید بسیار ساده آغاز کرده‌اند.

حال اگر با نگرشی دقیق‌تر و عمیق‌تر به موضوع بنگریم، تولید محصولات بومی در حوزه فضای سایبری، امری انکارناپذیر است و حمایت همه‌جانبه حاکمیت را می‌طلبد. البته تولید اگر فقط در سمت ساختارهای حاکمیتی صورت پذیرد، فاقد دو خصیصه ویژه خواهد بود: نخست، مقرون به‌صرفه کردن تولید و دیگری، ایجاد رقابت در تولید محصولات باکیفیت و قیمت مناسب برای عرضه به مشتریان اعم از دولتی و خصوصی.

لذا از این منظر ضروری است که حاکمیت علاوه بر تشویق به تولید بومی در حوزه فضای تولید و تبادل اطلاعات، انواع روش‌های حمایتی را ایجاد و خصوصا به بخش خصوصی ارائه کند.

وضعیت امنیت سایبری ایران از تجربه استاکس‌نت تا به امروز را چگونه می‌بینید؟
متاسفانه تجربه موفق در زمینه تولید محصولات مدرن نظامی از قبیل پهپاد در تولید محصولات فضای سایبر در کشور اجرا در نیامده است. این تجربه، تشویق به ایجاد و به‌کارگیری شرکت‌های دانش‌بنیان در زمینه تولید محصولات بومی است. بسیاری از تولیدات محصولات بومی فضای سایبر، بر اساس علاقه و گرایش مدیران شرکت‌های ایرانی برای تولید و عرضه این‌گونه محصولات بوده است.

از تجربه استاکس‌نت تاکنون، متاسفانه یک روند کند و بدون حمایت‌های لازم برای مقابله با تهدیدات و حملات سایبری را شاهد بوده‌ایم. حتی شاهد یک روند ویرانگر، یعنی مهاجرت نیروی متخصص ایرانی به خارج از کشور بوده و در حال حاضر نیز با آن مواجه هستیم.

این یک اصل است که مهم‌ترین منبع برای توسعه هر کشور، نیروی انسانی است. از آغاز تحصیلات ابتدایی تا پایان تحصیلات مقطع کارشناسی در دانشگاه‌ها، بودجه بسیار زیادی از ثروت‌های ملی برای هر فرد در کشور هزینه می‌شود که با از دست دادن هر فرد تحصیل‌کرده، جبران آن غیر‌ممکن است. در حال حاضر وضعیت نابه‌سامان اقتصاد کشور و کمبود نقدینگی، بسیاری از شرکت‌های خصوصی را با چالش‌های بی‌شمار حفظ و نگهداری نیروی انسانی مواجه کرده است. این وضعیت در بخش دولتی هم چندان مناسب نیست. از زمانی که بحث تعدیل نیرو در بخش دولتی را شاهد بوده‌ایم، امکان به‌کارگیری نیروهای جدید در بدنه دولت فراهم نیست. این موضوع با ممنوعیت ایجاد پست‌های جدید در دستگاه‌های اجرایی از طرف سازمان مدیریت و برنامه‌ریزی، امکان جذب و تحول در نیروی انسانی خصوصا در بخش فناوری اطلاعات را از بین برده است. بر این اساس، هر دو بخش دولتی و خصوصی از بهره‌گیری نیروی انسانی متخصص و تازه‌نفس دانشگاهی محروم شده‌اند. این باعث شده است که دانش و توان نیروی انسانی متخصص تحصیل‌کرده برای مقابله با تهدیدات و حملات سایبری از زمان استاکس‌نت به بدنه بخش دولتی و خصوصی تزریق نشود و هردو بخش از این جنبه فقیرتر شوند.

از سوی دیگر، دستگاه‌های متولی امنیت فضای تولید و تبادل اطلاعات در کشور، نواخت مناسبی را برای ایجاد یک روند سیستماتیک به منظور مقابله با تهدیدات و حملات سایبری نداشته‌اند. یک ساختار سیستماتیک بر اساس یک سیستم پایه‌گذاری می‌شود و سیستم مبتنی بر استراتژی‌ها (راهبردها)، خط‌مشی‌ها، فرایندها، رویه‌ها، دستورالعمل‌ها و مانند آن شکل می‌گیرد. اگر دقیق‌تر بررسی کنیم، مشاهده می‌شود که کشور از نظر تولید و به‌کارگیری این‌گونه ابزار نرم، بسیار فقیر است.

باید توجه داشت که موفقیت در به‌کارگیری این ابزار نرم، وجود یک ساختار مبتنی بر چرخه حیات مدیریتی است. به عنوان نمونه، چرخه حیات مدیریتی دمینگ با چهار مرحله طرح‌ریزی، اجرا، بازبینی و اصلاح، یک چرخه مداوم را برای بررسی مشکلات و اصلاح روش‌های نادرست دنبال می‌کند. این چرخه حیات مدیریتی، نمی‌تواند بدون وجود یک ساختار ممیزی‌کننده، پایدار بماند.گرفتن بازخورد از مشکلات موجود و انجام اقدامات اصلاحی مهم‌ترین بخش قدرتمند یک چرخه مدیریت قوی است. متاسفانه علی‌رغم دستور مقام معظم رهبری در ایجاد شورای عالی فضای مجازی، مرکز فضای مجازی به عنوان بازوی اجرایی آن، اقدامات بسیار محدودی را در این زمینه داشته است که به هیچ وجه پاسخگوی نیازهای جاری کشور نیست. از طرفی، سازمان پدافند غیر عامل در حوزه سایبری مواردی را از مخاطبان طلب می‌کند که برخی از این موارد در هماهنگی با سایر متولیان امر امنیت سایبری نبوده و این رویکرد موجب تشکیک در سوی دستگاه‌های اجرایی و سایر بخش‌های هدف بوده است. به نظر می‌رسد، هدف اصلی که مقام معظم رهبری در زمینه تعیین متولی امر فضای مجازی و امنیت آن و هماهنگی دستگاه‌های کشور در این امر در فرامین معظم له، خصوصا فرمان تشکیل شورای عالی مجازی در نظر گرفته شده است، همچنان باقی است و تاکنون محقق نشده است.

ارزیابی شما از چشم‌انداز امنیت سایبری ایران چیست؟
به نظر می‌رسد در بخش نظامی و انتظامی، دستگاه‌های متولی امنیت سایبری به جهت وظیفه خطیری که بر عهده دارند، اقدامات اصولی را برای مقابله با تهدیدات و حملات سایبری، برنامه‌ریزی و مدیریت کرده‌اند. اما کشور در بخش غیر نظامی، نیازمند اقدامی اصولی و سیستماتیک است. ایجاد ساختار‌های مبتنی بر علوم روز و استانداردهای ملی و بین‌المللی، لازمه مدیریت امنیت فضای تولید و تبادل اطلاعات است. لذا اگر این اقدامات اصولی هرچه سریع‌تر آغاز نشود، طی دهه آینده مجددا خواهیم پرسید که از زمان تهدید استاکس‌نت تاکنون چه فعالیتی در زمینه مقابله با تهدیدات و حملات سایبری در کشور برداشته شده است.

بزرگ‌ترین چالش امنیت سایبری کشور چیست؟
- کمبود شدید نیروی انسانی متخصص.

- کمبود شدید تجهیزات، خصوصا تجهیزات بومی.

- نبود یک ساختار متولی توانمند در زمینه امنیت سایبری کشور که با برخورداری از دغدغه‌های امنیت ملی، جنبه‌های فنی و گسترش علوم روز، مقابله با تهدیدات و حملات سایبری را در هردو بخش دولتی و خصوصی دنبال کند.

- ارج نگذاردن به متخصصان در زمینه‌های مرتبط با فضای سایبر؛ از تخصص‌های فنی تا تخصص‌های مهندسی اجتماعی.

- عدم ایجاد تحول لازم در ساختارهای نیروی انسانی به‌کارگرفته شده در بخش دولتی متناسب با پیشرفت‌های فنی و تخصصی فضای سایبر و امنیتی آن.

- نگاه کاملا امنیتی متولیان به امنیت فضای تولید و تبادل اطلاعات که منجر به قربانی شدن جنبه‌های فنی و تکنیکال امنیت در این فضا شده و شرکت‌های ایرانی که باید در توسعه این فنون نقش کلیدی ایفا کنند، درگیر این نگرش‌های امنیتی شده و از تلاش‌های بیشتر باز مانده‌اند.

- متولیانی که در کشور توسط حاکمیت به عنوان بخش لجستیک توسعه فناوری اطلاعات و ارتباطات و امنیت آن تعریف شده‌اند، متاسفانه نه‌فقط تسهیلاتی در این امر ایجاد نکرده‌اند، بلکه گاهی خودشان با پیچیده کردن قوانین و طولانی کردن فرایندها به عنوان گام‌های غیرضروری و اضافی در رسیدن به اهداف ملی در زمینه توسعه فناوری اطلاعات و ارتباطات و امنیت آن نقش‌آفرینی می‌کنند.

- و بسیاری موارد دیگر ...