ضعف و ناکارآمدی ساختارهای امنیت سایبری و نبود یک مرکز فرماندهی در این عرصه سبب شده تا هربار شاهد وقوع رخدادهایی باشیم که مسئولان خود را پاسخگوی ضرر و زیان ناشی از آن نمی دانند.
به گزارش پایداری ملی به نقل از مهر، با وجود تعاریف مشخصی که برای امنیت سایبری در شبکه ملی اطلاعات به وزارت ارتباطات و سایر دستگاههای متولی تکلیف شده اما همچنان وضعیت مقابله با تهدیدات سایبری، حفاظت و صیانت از داده و اطلاعات و مدیریت مخاطرات در داخل کشور قابل دفاع نیست.
به بیان دیگر اگرچه هدف شبکه ملی اطلاعات برقراری ارتباطات امن و حفاظت شده است، اما شواهد نشان میدهد که با عدم پیشرفت درست و به موقع، این شبکه در امنیت سایبری همچنان با خلأ روبرو است و تبادل داده در زیرساختهای حیاتی و حساس کشور تضمین شده نیست.
به دلیل نبود نظام حاکمیت سایبری در کشور هر چند وقت یکبار شاهد انتشار اخباری در خصوص نشت اطلاعات سازمانها و دستگاههای مختلف و یا سرقت داده و افشای پایگاه اطلاعات هویتی کاربران هستیم. اخباری که سازمانها و نهادهای مرتبط با موضوع دفاع سایبری در کشور، یا آن را برعهده نمیگیرند و یا پیگیری موضوع در جریان پاسکاری میان دستگاهها به فراموشی سپرده میشود.
در مورد جدید، رسانهها از حمله سایبری به شرکت راه آهن و ستاد وزارت راه و شهرسازی به دلیل ضعف لایههای امنیتی خبر داده اند که فعالیتهای جاری این وزارتخانه را دچار مشکل کرده است. گفته شده که در پی وقوع هک سامانههای شرکت راه آهن، این شرکت ناچار شد گراف (مدیریت سیر و حرکت) قطارهای باری و مسافری را از حالت سیستمی به دستی تغییر دهد.
حتی یک روز پس از انتشار این اخبار نیز گفته شد که وبسایت رسمی وزارت راه و شهرسازی دچار اختلال و پیامی روی آن درج شد که از هک شدن این وبسایت حکایت دارد. این وبسایت ساعاتی بعد از دسترس هم خارج شد.
پس از آن وزارت راه و شهرسازی در اطلاعیه ای اعلام کرد که «بروز اختلال سایبری در سیستمهای کامپیوتری کارکنان ستاد وزارت راه و شهرسازی ظاهر شد که در پی آن پرتال وزارتخانه و سایتهای زیر پرتال آن از دسترس خارج شد. کارشناسان فنی در حال بررسی موضوع هستند و در صورت در دسترس قرار گرفتن پرتال و سامانههای زیرمجموعه آن، اطلاع رسانی خواهند کرد.»
اگرچه هنوز وقوع حمله سایبری از سوی وزارت راه به درستی تأیید نشده است و پیگیری خبرنگار مهر از مرکز افتای ریاست جمهوری نیز نشان میدهد که موضوع در دست بررسی کارشناسان این مرکز قرار دارد اما آنچه مسلم است اینکه ضعف امنیت شبکه و نیز وجود نگاه بخشی به مباحث و وظایف فاوا در دستگاههای دولتی، ضریب آسیب پذیری سایبری این دستگاهها را روز به روز افزایش میدهد.
مصوبه مقابله با حوادث سایبری پاسخگوی همه نیازها نیست
مطابق با آنچه که در «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی»، در شورای عالی فضای مجازی به تصویب رسیده، مسئولیت هر دستگاهی در مقابله با حوادث فضای مجازی مشخص است. برای مثال طبق این مصوبه، حوادثی که در حوزه عمومی به وقوع میپیوندد، توسط نیروی انتظامی مورد رسیدگی قرار خواهد گرفت و حوادثی که در سازمانهای غیر زیرساختی رخ میدهد از طریق وزارت ارتباطات و فناوری اطلاعات باید رسیدگی شود. مسئولیت پیگیری حوادث در دستگاههای حاکمیتی که دارای زیرساختهای حیاتی هستند نیز بر عهده مرکز افتای ریاست جمهوری است.
در همین حال طبق این مصوبه همه دستگاهها موظفند که با حوادث فضای مجازی دستگاه مربوط به خود مقابله کنند و به نوعی به حفاظت از پایگاههای داده خود ناگزیر هستند. با این وجود اما به نظر میرسد این مصوبه پاسخگوی همه نیازها نیست و به نوعی ضمانت اجرایی ندارد و جای یک مرکز فرماندهی و تصمیم گیری برای امنیت فضای سایبری در کشور خالی است.
به همین دلیل و با توجه به ضعف ساختارهای امنیتی کشور، تقویت ابعاد زیرساختی شبکه ملی اطلاعات و قانونگذاری در این حوزه میتواند راهگشای مناسبی برای مشکلات امنیت فضای سایبری کشور باشد.
از این رو ضرورت رفع خلاءهای موجود در حوزه امنیت سایبری در طرح جدیدی که به تازگی از سوی نمایندگان مجلس در حوزه حمایت از حقوق کاربران در فضای مجازی مطرح شده آمده است.
در این طرح بر اعمال خطمشی و حاکمیت و حفاظت در گذرگاههای مرزی فضای مجازی کشور تاکید شده است. به نحوی که مرزبانی فضای مجازی و دفاع سایبری و جلوگیری از بهرهبرداری غیرمجاز از دادهها در گذرگاههای مرزی با مسئولیت ستاد کل نیروهای مسلح انجام پذیرد. در همین حال دستگاههایی مانند مرکز ملی فضای مجازی، وزارت ارتباطات و فناوری اطلاعات، وزارت اطلاعات، وزارت دفاع و پشتیبانی نیروهای مسلح، قوه قضائیه، سازمان صدا و سیما، نیروی انتظامی، سازمان پدافند غیرعامل و سازمان اطلاعات سپاه، شرکت ارتباطات زیرساخت و ارائهدهندگان خدمات اینترنت موظف به انجام دستورات ستاد کل نیروهای مسلح خواهند بود.
مرزبانی سایبری نقطه قوت طرح حمایت از حقوق کاربران در فضای مجازی
مسعود فیاضی معاون مطالعات آموزش و فرهنگ مرکز پژوهشهای مجلس در گفتگو با خبرنگار مهر، یکی از محسنات و نقاط قوت طرح «حمایت از حقوق کاربران و خدمات پایه کاربردی فضای مجازی» را پرداختن به بحث مرزبانی سایبری میداند.
وی با اشاره به اینکه در این طرح با تاکید بر لزوم پیشگیری و مقابله با حملات سایبری از خارج کشور به شبکه داخلی و شبکه ملی اطلاعات، موضوع مرزبانی سایبری مورد توجه قرار گرفته است، گفت: یکی از چالشهایی که امنیت فضای سایبری کشور را هر چند وقت یک بار تهدید میکند، خلأ جدی در تقسیم وظایف بین دستگاهی در موضوع مرزبانی فضای مجازی است.
فیاضی افزود: ما در تأمین امنیت کشور در فضای مجازی با نظامی از وظایف و مسئولیتها نسبت به دستگاههای مختلف مواجهیم که عدم طراحی و تصویب آن نظام در شوراهای بالادستی مانند شورای عالی فضای مجازی یا شورای عالی امنیت ملی از سویی و عدم تقسیم وظایف و ایجاد هماهنگی لازم بین دستگاههای دارای مسئولیت از سوی یک دستگاه محوری از سوی دیگر، موجب شده تا در موارد متعدد امنیت کشور در فضای مجازی دچار چالش شود.
وی تاکید کرد: همین مسئله سبب شده تا در موقع بروز مشکلات مقام پاسخگو نیز دقیقاً معلوم نباشد که کیست و در مقابل چه چیزی باید پاسخگو باشد. به عنوان مثال وزارت ارتباطات به لحاظ فنی و اجرایی در تأمین امنیت هم وظیفه دارد و هم مسئول است و در این حیطه نیز باید پاسخگو باشد. از طرف دیگر دستگاههای امنیتی مختلف مانند نیروی انتظامی، وزارت اطلاعات، سازمان اطلاعات سپاه، ستاد کل نیروهای مسلح و حتی قوه قضائیه نیز هر کدام برای انجام وظایف ذاتی خود مسئولیت داشته و در راستای عمل به وظایف خود نیاز به دسترسیهای لازم دارند که وزارت ارتباطات باید برای آنها فراهم کند. همه آنها در چارچوب وظایف خود نیز باید پاسخگو باشند.
ابهام در مسئولیت نهادها و سیاستهای امنیت سایبری
معاون مطالعات آموزش و فرهنگ مرکز پژوهشهای مجلس خاطرنشان کرد: خلائی که الان وجود دارد این است که اولاً سیاستهای امنیتی سایبری و نظام وظایف و مسئولیتهای نهادهای ذی ربط و ثانیاً دستگاه محوری هماهنگ کننده در مقام اجرای سیاستهای تعیین شده از سوی شوراهای بالادستی در مقام عمل، معلوم نشده و در نتیجه مقام پاسخگوی اصلی نیز در موقع بروز حوادث معلوم نیست که کدام ارگان یا نهاد است.
وی گفت: علاوه بر این با اینکه حفظ و حراست از گذرگاههای مجازی در همه کشورها حتی به لحاظ فنی و اجرایی امری کاملاً حاکمیتی است و باید توسط خود حاکمیت اجرا و تأمین شود ولی ملاحظه میکنیم که در کشور ما در مورد گذرگاههای فضای مجازی بخشی از امور فنی مربوط به مرزبانی سایبری توسط بخش خصوصی انجام میشود.
معاون مطالعات آموزش و فرهنگ مرکز پژوهشهای مجلس با اشاره به کارآمدی طرح حمایت از حقوق کاربران و خدمات پایه کاربردی فضای مجازی در خصوص تأمین امنیت فضای مجازی کشور، اضافه کرد: در این طرح پیشنهاد این بوده که نظام مسئولیتها و وظایف و همین طور سیاستها و خطوط مشی این عرصه توسط شوراهای بالادستی مانند مرکز ملی فضای مجازی تعیین شود و در خصوص امنیت نیز تقسیم وظیفه، نظارت و مطالبه گری با محوریت ستاد کل نیروهای مسلح بین نهادهای امنیتی مختلف صورت گیرد.
فیاضی گفت: طبیعی است که واگذاری این وظیفه به ستاد کل هرگز نافی یا محدودکننده وظایف ذاتی دستگاههایی مانند وزارت ارتباطات به عنوان مجری و مسئول امور فنی مرزبانی یا وزارت اطلاعات و دیگر مجموعهها نیست.
وی تاکید کرد: جزئیاتی از این طرح در خصوص جایگاه ستاد کل نیروهای مسلح در ایجاد هماهنگیهای لازم بین دستگاههای امنیتی در اجرای سیاستهای مرزبانی سایبری از سوی شوراهای بالادستی و نقشهای هر یک از دستگاهها در این خصوص، برای بازنگری مجدد در دستور کار مرکز پژوهشهای مجلس قرار دارد. اما آنچه مسلم است این است که در این طرح، موضوع ایجاد امنیت در گذرگاههای مجازی کشور مورد توجه ویژه ای قرار گرفته است.