یک کارشناس امنیت سایبری در گفت‌وگو با سیتنا؛ لزوم استفاده از توان بخش خصوصی در قالب «اپراتور امنیتی» برای تامین امنیت سایبری کشور

دکتر هاشم حبیبی، مدیرعامل یک شرکت دانش بنیان حوزه امنیت سایبری در گفت‌وگو با سیتنا پیرامون نقش بخش خصوصی در تامین امنیت سایبری کشور، گفت: امنیت مهمترین و اصلی‌ترین رکن هر جامعه است. حال این امنیت می‌تواند در حوزه اجتماعی، اقتصادی یا سایبری باشد. امروزه مردم در زندگی شبانه‌روزی خود بارها وارد فضای مجازی شده و بسیاری از کارهای روزمره خود را انجام می‌دهند. همه ما چنان وابسته به این فضا هستیم که گاهی متوجه نمی‌شویم قسمتی از زندگی ما در این فضا می‌گذرد. اگر امروز به مسیری که در این سال‌ها طی شده نگاه کنیم می‌بینیم که رشد فناوری اطلاعات و ارتباطات باعث شده وابستگی بشر به فضای مجازی به گونه‌ای شود که برگشت به عقب تقریبا غیرممکن باشد. پس حفظ امنیت فضای مجازی، یکی از ارکان رشد و توسعه جامعه شده است.

حبیبی در ادامه افزود: امنیت اطلاعات و ارتباطات را همانگونه که می‌دانید در سه بعد محرمانگی، جامعیت و دسترس‌پذیری تعریف می‌کنند، که برای حفظ هر کدام از این ابعاد باید سرویس‌ها و خدمات متنوع امنیتی ارائه شود تا در نهایت بتوان به امنیت قابل قبولی دست پیدا کرد. با توجه به اینکه یکی از وظایف هر نظام و حکومتی تامین امنیت است، گاها به اشتباه ایجاد امنیت هم تمام و کمال وظیفه دولت و حکومت شمرده می‌شود، اما همانگونه در دفاع مقدس، مردم از مرزها و خاک مملکت دفاع کردند، و بسیجی‌وار در کنار نیروی مسلح از کیان کشور دفاع کردند، در امنیت فضای سایبری هم قطعا مردم که همان بخش خصوصی محسوب می‌شوند نقش بسیار پررنگی دارند.

این کارشناس امنیت سایبری، ادامه داد: شورای عالی فضای مجازی یک آیین‌نامه نظام مقابله با تهدیدات سایبری تدوین کرده است که در آن نقش حاکمیت در این نظام به روشنی بیان شده است و وظایف دستگاه‌های دولتی و حاکمیتی در مقابله با حوادث سایبری تعریف شده است، اما نقطه مجهول و نامشخص این آیین‌نامه این است که تمامی این دستگاه‌ها وظایف نظارتی و قانون‌گذاری و تنظیم مقررات دارند و درنهایت مشخص نشده است اگر حمله‌ای رخ دهد چه سازمان یا دستگاهی باید برای عملیات اجرایی اقدام کند. بدیهی است دستگاه‌های دولتی و حاکمیتی نه می‌توانند و نه وظیفه دارند کار اجرایی از قبیل خدمات و سرویس‌های امنیتی ارائه کنند، اما بخش خصوصی در حوزه امنیت باید در این موارد به عنوان بازوی اجرایی بخش دولتی و حاکمیتی و با همراهی و در راستای سیاست‌های آنها وارد میدان شده و نقش خود را ایفا کند.

مدیرعامل شرکت دانش بنیان حوزه امنیت سایبری بیان کرد: اکنون برای اینکه بخش خصوصی حساب شده و با برنامه وارد میدان شود و بتواند در کنار دستگاه‌های دولتی و حاکمیتی نقش خود را ایفا کند، باید کارهایی را انجام دهد. در اولین قدم شرکت‌های خصوصی حوزه امنیت سایبری باید توسط سازمان‌های ذیصلاح دولتی بر اساس تعداد نیروی انسانی متخصص، عمق و تعداد محصول تولیدی، عمر و تجربه شرکت و صلاحیت‌های امنیتی مدیران ارشد و کارکنان سطح‌بندی شوند. اکنون با توجه به سطح اهمیت و امنیت هر شرکت و میزان حساسیت هر دستگاه دولتی، باید به هر دستگاه یا سازمان دولتی یک شرکت خصوصی متناسب با آن تخصیص داده شود. این شرکت‌های خصوصی باید در تمام امور امنیت سایبری آن دستگاه یا سازمان ورود کرده و به عبارتی به عنوان واحد اجرایی امنیت سایبری سازمان نقش ایفا کنند.

وی، تاکید کرد: نکته مهم و قابل توجه این است که در کمیسیون‌ها و کمیته‌های امنیت دستگاه یا سازمان دولتی باید نماینده بخش خصوصی اعم از مدیرعامل، مدیران ارشد یا کارشناسان فنی حضور فعال داشته باشند. بخش خصوصی در این وضعیت به عنوان “اپراتور امنیت” دستگاه دولتی شناخته می‌شود و تمامی فعالیت‌های امنیت سایبری باید توسط این اپراتور یا با هماهنگی آن انجام شود. یکی از مهمترین وظایف اپراتور امنیت، تخصیص نیروی متخصص در سازمان به تعداد لازم می‌باشد. با توجه به اینکه دولت امکان استخدام نیروی انسانی به تعداد زیاد را ندارد، این مشکل براحتی با وجود اپراتور امنیت حل می‌شود. البته اپراتورهای امنیت باید در چارچوب‌های بسیار سختگیرانه دولتی تعریف و نظارت شوند.

حبیبی در ادامه بیان کرد: شرکت‌هایی که مجوز اپراتور امنیتی می‌گیرند، که البته این مجوزها هم می‌تواند سطوح مختلفی داشته باشد، باید برنامه‌ریزی کنند که از شرکت‌های نوپا که توان دریافت مجوز اپراتوری ندارند استفاده کنند. این موضوع بسیار مهم است که استفاده از شرکت‌های نوپا و تازه‌تاسیس یا شرکت‌های کوچک برای ادامه کار اپراتورها، امتیاز داشته باشد. با این کار رقابت ناصحیح شرکت‌های بزرگ و شرکت‌های کوچک از بین می‌رود و این رقابت به رفاقت تبدیل خواهد شد.

مدیرعامل شرکت دانش بنیان حوزه امنیت سایبری در ادامه به سیتنا گفت: اما در ادامه با ورود اپراتورهای امنیت به سازمان‌ها، و قرار گرفتن این شرکت‌های خصوصی در تمامی ابعاد امنیت سایبری سازمان‌ها، مسولیت هرگونه رخداد امنیتی برعهده اپراتور امنیتی نیز می‌باشد. بنابراین اپراتورها باید با تمام ابزار و نیروهای خود از فضای سایبری سازمان کارفرما محافظت کنند. چنانچه به هردلیلی حمله‌ای برای سازمان رخ دهد، اپراتور امنیت هم باید در کنار مدیران ارشد سازمان پاسخگوی کارهای انجام داده و انجام نداده باشد. البته با توجه به چابکی شرکت‌های خصوصی، حتما میزان خطرات، تهدیدات و حملات سایبری کاهش چشم‌گیری خواهد داشت.

وی، خاطرنشان کرد: حال باید در نظام مقابله با حوادث سایبری نیز بخش خصوصی در کنار دیگر ارکان حاکمیتی و دولتی قرار گیرد، برای این کار نیز انجمن‌های صنفی که توسط شرکت‌های خصوصی انتخاب می‌شوند، می‌توانند متولی این موضوع در کنار نهادهای دولتی و حاکمیتی باشند.

حبیبی در جمع‌بندی موضوع گفت: امور اجرایی در حوزه امنیت سایبری فقط و فقط توسط بخش خصوصی قابل انجام است و دولت یا حاکمیت باید عهده‌دار وظیفه تنظیم مقررات و نظارت باشد. دولت باید شاخص‌ها را تعریف کرده و شرکت‌های خصوصی را براساس معیارهای تعریف شده سطح‌بندی کرده و از دستگاه‌های دولتی بخواهد براساس میزان حساسیت دستگاه از شرکت‌های خصوصی که سطح مورد نظر را دارند به عنوان “اپراتور امنیتی” استفاده کنند. دستگاه‌ها باید از ظرفیت و توان اپراتورها نهایت استفاده برده و این اپراتورها را قسمتی از سازمان بدانند. اپراتورها هم باید بدانند که در صورت هرگونه رخداد امنیتی باید پاسخگوی نهادهای ذیصلاح باشند.

انتهای پیام

گفت‌وگو از فرزانه احمدی منش