پیشنهاد تشکیل وزارت امنیت سایبری و صیانت داده‌ای

به گزارش پایداری ملی به نقل از خبرگزاری فارس، احسان کیان‌خواه، پژوهشگر فلسفه و حکمرانی سایبری طی یادداشتی نوشت: در چند روز گذشته دوربین‌های زندان اوین هک شد. عموماً سازمان‌ها، سامانه‌های نظارتی را در شبکه‌ای امن‌تر از شبکه سازمان قرار می‌دهند. هرچه سازمان ملاحظات امنیتی بالاتری داشته باشد، سطح دسترسی افراد و شبکه‌ها به داده‌هایی ازاین‌دست پیچیده‌تر خواهد شد. اما مشاهده این ضعف‌ها، نشانه‌ی نبود مدیریت امنیت سایبری مناسب یا ناکارآمدی دستگاه‌های مرتبط با امنیت فضای سایبر را به ذهن متبادر می‌سازد. مسئولیت‌پذیری و پاسخگویی در مقابل مسئولیت اهمیت خود را نشان می‌دهد. ضمن آنکه مطالبه مسئولیت‌ها و پاسخگویی باید پررنگ‌تر شود.

چالش امنیت سایبری غیرقابل‌جبران است. فارغ از محتوی اتفاق اخیر که مسئولان دلسوز را به سمت نظارت فرایندی بر عملکرد کارکنان سوق می‌دهد، نفوذهای پنهان سایبری‌ درروند جمع‌‌آوری داده‌های هویتی و عملکردی مشتریان و ذی‌نفعان سازمان‌ها است که هکر‌ها یا سرویس‌های متخاصم را قادر به تجزیه‌وتحلیل و بهره‌برداری از آن می‌کند.

چند مسئله‌ی مهم پیرامون طرح‌‌ریزی امنیت سایبری کشور مهم است.

یک. از دروازه اصلی سایبری کشور (Gateway) تا مرکز داده‌ها هیچ مانع و حفاظی نیست. فرض کنید از خود مرز کشور (مرز هم بدون کنترل) تا یک شرکت خصوصی، سازمان یا وزارت‌خانه هیچ کنترلی امنیتی نباشد و فقط سازمان دارای حفاظ و کنترل امنیتی (و آن‌هم نیم‌بند!) باشد. آیا توان حفاظت و کنترل وجود دارد؟ آیا صرفا با توصیه و خواهش و درخواست می‌توان امنیت را برقرار کرد؟ یا از مجموعه‌ای که با دیوار و حفاظ از امنیت خود حفاظت می‌کند، می‌توان توقع داشت در مقابل توپ، موشک و پهباد توان پایداری داشته باشد؟ و با یک یورش همه‌چیز متلاشی نشوند...

دو. داده صرفا در مراکز و سازمان‌های دولتی نیست. بخش خصوصی نیز اطلاعات هویتی و رفتاری زیادی را دارد که دستبرد به این داده‌ها و آشکار شدن‌ آن‌ها طبعات مختلفی امنیتی و اجتماعی خواهد داشت. نمی‌توان با پرچسب خصوصی بودن و اینکه شرکت خصوصی مسئولیت این اتفاق را باید به عهده بگیرد (البته در این مورد مسئولیت دارد)، داده‌های از دست رفته را برگراند و خسارت ملی یا منطقه‌ای وارد شده را جبران کرد.

سوم. Iran access شدن هم دردی را دوا نمی‌کند (یعنی دسترسی به سرورها فقط با IP داخلی). زیرا با شکل‌گیری مراکز داده بزرگ در داخل کشور، بات‌نت‌سازی هکرهای داخلی و خارجی در سرورهای داخلی به‌راحتی در حال انجام است (هکر مستقیماً و از رایانه خود حمله نمی‌کند بلکه با در اختیار گرفتن سرورها و رایانه‌هایی که از طریق آن‌ها واردشده دست به حمله و دستبرد می‌زند) و با محدودسازی دسترسی صرفاً از ایران،‌ داده‌ها امن نخواهد بود.

چهارم توزیع شدن و غیرمتمرکز بودن داده‌ها مزیت است. اینکه اطلاعات دولتی و حاکمیتی در مراکز مختلف پراکنده باشد، با توجه به معماری امنیتی مختلف و دسترسی‌های متنوع به شبکه‌ی عمومی (اینترنت، اینترانت یا شبکه ملی اطلاعات)، نوعی دفاع توزیع‌شده و موزاییکی را ایجاد می‌کند. این مزیت برای بخش‌ خصوصی نیز قابل‌طرح بوده و اجرای آن ضرورت دارد. با گسترش و تحول فضای سایبر و الکترونیکی شدن حداکثری فرایندها در آینده‌ای داده‌های ارزشمندتری از داده‌های حاکمیتی را در سرورهای خود نگه‌داری می‌کنند (شاید هم‌اکنون نیز برای برخی داده‌ها در آن نقطه باشیم!).

توجه به تشکیل «وزارت امنیت سایبری و صیانت داده‌ای» ضروری است. یعنی ساخت نهادی مسئولیت‌پذیر، پاسخگو و یاریگر، توانمند ساز و ناظر بر بخش دولتی و خصوصی لازم است. ویژگی این وزارتخانه باید چابکی، حرفه‌ای و خبره بودن مبتنی بر نظارت و دفاع توزیع‌شده و موزاییکی باشد. برای حفظ این ویژگی‌ها،‌ معماری این نهاد باید مشابه معماری «جهاد سازندگی» و «سازمان بسیج» در گسترش و شمولیت آن باشد تا در عین تمرکز در خط‌مشی‌گذاری و تصمیم‌گیری، با توان‌های متنوع یاریگرهم در حفاظت و صیانت باشند. به جهت‌دهی حاکمیتی نیاز است تا بتوان فارغ از نگاه‌های بخشی تهدیدات را رصد کرد و برای نقاط آسیب‌پذیر به‌موقع و به‌صورت لحظه‌ای پدافند لازم طراحی کرد.