برنامه های دولت برای امنیت اطلاعات

دستیابی به شبکه‌ای امن و تأمین پدافند سایبری در زیرساخت‌های کشور در چارچوب سیاست‌های کلی نظام قرار دارد و از برنامه پنجم توسعه که در آن سند راهبردی امنیت فضای تبادل اطلاعات – افتا – گنجانده شده تاکنون چندین سند حوزه فضای سایبری به موضوع امنیت اختصاص یافته است.

برای مثال در برنامه ششم توسعه بر آمادگی ایران در حوزه امنیت سایبری تاکید شده تا ایران به یکی از قدرت‌های سایبری منطقه در حوزه امنیت تبدیل شود. در سند تبیین الزامات شبکه ملی اطلاعات نیز موضوع مصون سازی، کاهش آسیب پذیری، افزایش پایداری و تاب آوری امنیتی و دفاعی شبکه ملی اطلاعات در برابر تهدیدات مورد توجه قرار گرفته است. در همین حال در طرح کلان و معماری شبکه ملی اطلاعات نیز موضوع امنیت در پیوست حدود ۲۰ اقدام جای دارد.

با این وجود، اما وقوع حملات سایبری، نفوذ به سامانه‌های اطلاعاتی و نشت اطلاعات به صورت متعدد در کشور طی چند سال اخیر نشان می‌دهد که حوزه امنیت فضای سایبری با اهداف اساسی سیاست‌های نظام فاصله دارد و اقدامات مدنظر آنطور که باید پیش نرفته است.

از این رو عیسی زارع پور وزیر ارتباطات دولت سیزدهم در زمان ارائه برنامه به مجلس شورای اسلامی برای اخذ رأی اعتماد از نمایندگان، «حفظ حریم خصوصی و امنیت فضای تبادل اطلاعات» را یکی از رئوس برنامه‌های خود عنوان کرد.

بنا بر اظهارات وی، دوگانه «احراز هویت» در مقابل «نقض حریم خصوصی» بعضاً دستاویزی برای امنیتی جلوه دادن فضای مجازی کشور شده است. در حالی که در واقع عدم تحقق امنیت و بی توجهی به سند الزامات شبکه ملی اطلاعات، باعث نا امن‌تر شدن این فضا و ضرر و زیان مادی و معنوی کاربران فضای مجازی کشور شده است.

زارع پور حدود ۱۴ راهبرد را برای رفع چالش‌های حوزه امنیت عنوان کرده که از جمله مهمترین آن‌ها می‌توان به ارتقای توان داخلی و کاهش وابستگی به خارج از کشور، بومی سازی فناوری، خدمات و تجهیزات مورد نیاز کشور با استفاده از زیست بوم شرکت‌های دانش بنیان داخلی، حمایت از شرکت‌های دانش بنیان داخلی فعال در حوزه فاوا، پیگیری راه اندازی مرکز ملی پایش امنیت زیرساخت‌های ارتباطی و اطلاعاتی کشور برای کشف و دفع حملات، تهیه و در اختیار قرار دادن ابزار‌های مناسب برای استفاده در سازمان‌های دولتی و خصوصی با هدف مقابله با حملات سایبری، تربیت نیرو‌های متخصص حوزه امنیت فناوری اطلاعات در کشور، پیگیری ایجاد سازوکار قانونی لازم جهت پیگیری حقوقی در ابعاد بین الملل در صورت حمله به زیرساخت‌های کشور و فراهم کردن زیرساخت‌های فنی و حقوقی لازم برای حمایت از حقوق کاربران در فضای مجازی اشاره کرد.

حدود ۳ ماه پیش نیز وزیر ارتباطات برای نیل به این اهداف، امیر محمدزاده لاجوردی را به عنوان نماینده ویژه خود در امور امنیت فناوری اطلاعات منصوب کرد.

محمدزاده لاجوردی که عضو هیأت مدیره شرکت ارتباطات زیرساخت نیز است، دارای مدرک دکترای مهندسی کامپیوتر با گرایش امنیت شبکه از دانشگاه صنعتی شریف و دانشجوی پسا دکتری مهندسی کامپیوتر گرایش تحلیل مبتنی بر جریان جهت شناسایی حملات مانای پیشرفته در دانشگاه صنعتی شریف و نیز متخصص شبکه‌های کامپیوتری و امنیت فناوری اطلاعات است.

با وی به گفتگو نشستیم تا روند برنامه‌های وزارت ارتباطات را در حوزه امنیت جویا شویم.

محمدزاده لاجوردی معتقد است که حدود ۲۱ درصد از وظایف مرتبط با وزارت ارتباطات مطابق با اسناد شبکه ملی اطلاعات در حوزه امنیت انجام شده است و ما در حوزه امنیت دچار عقب ماندگی هستیم.

متن این گفتگو به شرح زیر است:

* شما به عنوان نماینده ویژه وزیر ارتباطات در امور امنیت فاوا از سوی دکتر زارع‌پور منصوب شده اید، با توجه به اینکه این پست برای نخستین بار در این وزارتخانه تعریف شده است، ضرورت آن را چه می‌دانید؟ در سند طرح کلان و معماری شبکه ملی اطلاعات چندین سرفصل به موضوع امنیت و تکالیف وزارت ارتباطات در مورد آن اشاره دارد؛ به طور کل چه برنامه‌هایی را در دست انجام دارید؟

اسناد مرجعی که ما باید بر اساس آن در حوزه امنیت کار را جلو ببریم شامل سند تبیین الزامات و سند معماری و طرح کلان شبکه ملی اطلاعات می‌شود که از سند تبیین الزامات به عنوان «قانون اساسی شبکه ملی اطلاعات» تعبیر می‌شود و در سال ۹۶ تصویب شده است. سند معماری و طرح کلان شبکه ملی اطلاعات نیز یک سند اجرایی است که تصویب آن به سال ۹۹ بازمی گردد.

در سند طرح کلان و معماری شبکه ملی اطلاعات که ۵۳ اقدام کلان دارد و یک سری اجزا و اهداف عملیاتی و کمی نیز در آن دیده شده است، ما باید در ۳ طبقه بندی تکالیفی را در حوزه امنیت پیاده سازی کنیم.

به نحوی که از ۵۳ اقدام کلان تعریف شده در این سند، حدود ۲۰ اقدام کاملاً امنیتی است، مستقل از اینکه کدام سازمان و نهادی مجری آن باشد. از این ۲۰ اقدام، متولی اصلی ۱۸ مورد آن وزارت ارتباطات است.

در همین حال ۳۳ اقدام باقی مانده نیز که کاملاً امنیتی نیستند نیازمند طراحی امنیتی هستند که به اشتباه به آن پیوست امنیتی نیز گفته می‌شود.

به عبارت دیگر در معماری شبکه ملی اطلاعات، یک ستون عمودی در طرح کلان با موضوع امنیت وجود دارد. به این معنی که تمام پروژه‌ها باید طراحی امنیتی داشته باشد.

* با این وجود کار بسیار بزرگی در پیش دارید. حال با توجه به اینکه اسناد مرجعی که از آن نام برده اید در سال‌های گذشته به تصویب رسیده است، چه میزان از این تکالیف انجام شده و چه بخش‌هایی برای کار همچنان باقی مانده است؟

بله؛ کار بسیار بزرگی است و ارزیابی ما نشان می‌دهد که در این حوزه باید با سرعت بیشتری پیش رفت و طبق بررسی‌های ما حدود ۲۱ درصد از وظایف مرتبط با وزارت ارتباطات مطابق با این اسناد، در حوزه امنیت انجام شده است. این نشان می‌دهد که ما در حوزه امنیت دچار عقب ماندگی هستیم.

* شما دلیل این عقب ماندگی را در چه مواردی می‌دانید؟

به نظر می‌رسد که حوزه امنیت در وزارت ارتباطات تاکنون حوزه‌ای واگرا بوده و بخش‌های مختلف حوزه امنیت در این وزاتخانه با هم همگرا نیستند. حداقل ۶ معاونت و اداره‌کل مختلف در وزارت ارتباطات به نوعی مرتبط با حوزه امنیت هستند که لازم است حتماً با یکدیگر همگرا شوند؛ که شامل معاونت امنیت سازمان فناوری اطلاعات، مرکز امنیت سامانه‌های صیانتی زیرساخت، اداره کل امنیت سیستم‌های ارتباطی سازمان تنظیم مقررات و ارتباطات رادیویی، کمیته پدافند غیرعامل وزارت ارتباطات، پژوهشکده امنیت پژوهشگاه ارتباطات و تیم‌های سرت (CERT) دستگاه‌های زیرمجموعه وزارت ارتباطات، می‌شوند. اما موضوع این است که هر کدام از این بخش‌ها برای خود پروژه مستقل انجام می‌دهند و همگرا نیستند.

در حالی که می‌توان بسیاری از امور را با مساعدت یکدیگر انجام داد و در زمان و هزینه صرفه جویی کرد. به همین دلیل آقای وزیر تصمیم گرفتند که در وزارت ارتباطات یک نقطه کانونی برای حوزه امنیت ایجاد کنند.

* حدود ۳ ماه از انتصاب شما در این مسئولیت می‌گذرد. تاکنون موفق به همگرایی این بخش‌ها و سایر نهاد‌های مرتبط با حوزه امنیت شده اید؟

ما در ۳ ماه گذشته حدود ۲۵۰ جلسه با حضور این بخش‌ها در وزارتخانه داشتیم تا این واحد‌های امنیتی از نظر تعریف مسئولیت، یکپارچه شوند.

در خارج از وزارت ارتباطات هم ما نیازمند این همگرایی هستیم. هم اکنون نهاد‌های مختلفی از جمله مرکز ملی فضای مجازی، افتای ریاست جمهوری، پدافند غیرعامل، پلیس فتا، معاونت فضای مجازی دادستانی، حراست‌های سازمانی و مراکز امنیتی مانند وزارت اطلاعات به نوعی درگیر موضوعات امنیت هستند و همگرایی این بخش‌ها نیز بسیار مهم است. باید برای این هماهنگی بیشتر هم راهکاری در نظر گرفت.

از این رو مرکز ملی فضای مجازی در تلاش است که این دستگاه‌ها و نهاد‌ها را با یکدیگر هماهنگ کند.

* با توجه به کلیتی که از ساختار موجود امنیت در کشور بیان کردید، اولویت برنامه‌های شما در این حوزه، مربوط به چه مواردی می‌شود؟

بحث امنیت بسیار گسترده است، اما ما اولویت را روی «مقابله با حملات امنیتی فناوری اطلاعات»، «امن‌سازی و سالم‌سازی» و «مراقبت از کودک» معطوف کرده ایم.

در این زمینه کار جدیدی که در زمینه امنیت و سالم سازی در دست انجام داریم مربوط به «راه اندازی اپراتور‌های خدمات امنیتی» می‌شود که پیگیر آن هستیم. به بیان دیگر اپراتور‌هایی که خدمات امنیتی ارائه می‌دهند را شناسایی خواهیم کرد و مدل کسب و کار آن‌ها را اقتصادی خواهیم کرد تا بتوانند سرویس پایدار و با کیفیت ارائه دهند.

این گواهی فعالیت با توجه به مقیاس فعالیتی که این اپراتور‌ها دارند و سرویس دهی آن شامل افراد عادی و خانواده و یا کسب و کارها، سازمان‌ها و زیرساخت‌ها، متفاوت خواهد بود.

ما اپراتور‌های امنیت را راه اندازی می‌کنیم. این اپراتور‌ها همان بخش خصوصی هستند که به صورت نظام‌مند خدمات حوزه امنیت را برای تأمین نیاز‌های مردم ارائه می‌دهند.

این اپراتور‌ها می‌توانند خدمات امنیتی در مقیاس ملی ارائه دهند. در نگاه کلان‌تر هم اپراتور خدمات امنیت می‌تواند در زمان رخداد سایبری، به سازمان‌ها سرویس داده و رخداد‌های امنیتی را پیشگیری و یا پیگیری کند.

این اپراتور‌ها می‌توانند برای مدیریت دسترسی کودکان در فضای مجازی در حوزه خانواده، سرویس‌های مربوط به کودک ارائه کنند تا کودکان به صورت مدیریت شده با نظارت والدین در فضای مجازی حضور داشته باشند.

این پروژه در دست انجام است.

* در حوزه امن سازی پروژه دیگری در اولویت انجام ندارید؟

پروژه‌های زیادی را پیگیری می‌کنیم. برای مثال یکی از پروژه‌های ما «ایجاد و ارتقای گذرگاه‌های ایمن» است که این گذرگاه‌ها می‌تواند مرزی و یا داخلی باشد. هدف از اجرای این پروژه این است که ما بدانیم مرز سایبری مان کجاست؟ در این صورت اگر قرار بر ورود حملاتی به سازمان‌ها و یا شرکت های‌مان است، قبل از آن که حمله‌ای وارد شود، در همان مرز بتوانیم آن را پیش بینی و کنترل کنیم.

* هم اکنون وضعیت کنترل مرز‌های فضای سایبری ما چگونه است؟

در حال حاضر ما نظارت خوبی در مرز‌های مجازی نداریم و مهاجم از این طریق نفوذ می‌کند و به سازمان‌ها و زیرساخت‌های ما ورود پیدا می‌کند.

ما با ایجاد گذرگاه‌های ایمن، می‌توانیم این حملات را عقب‌تر بکشانیم؛ البته این پروژه مستلزم انجام یک کار فنی و هم نیازمند تجهیزات است. البته با توجه به اقداماتی که تاکنون انجام شده و تجهیزاتی که آماده است، می‌توان با زیرساخت قبلی هم بخشی از نیاز این کار را پیش برد. ما بررسی کردیم و دیدیم که می‌شود با زیرساخت پروژه‌های دیگر، نیاز این پروژه را تأمین کرد.

ما در حوزه مباحث ضد تحریم هم پروژه‌هایی تعریف کرده ایم تا تحریم‌هایی که کشور‌های خارجی علیه ما انجام می‌دهند، اثربخشی لازم را نداشته باشد.

برای مثال بخشی از این تحریم‌ها، دسترسی به سرویس‌های مختلفی را برای شرکت‌های کامپیوتری و برنامه نویسان و توسعه دهندگان محدود می‌کند. این بی صداقتی شرکت‌های خارجی است که به بهانه تحریم، نمی‌خواهند ما در تولید نرم افزار و تجهیزات کامپیوتری رشد داشته باشیم و به همین دلیل دسترسی به برخی سرویس‌های توسعه‌ای را به روی مهندسان ایرانی محدود می‌کنند. تلاش ما این است که با یک سری اقدامات، با این رویکرد مقابله کرده و دسترسی به این سرویس‌های مسدود شده را باز کنیم.

شاید بسیاری از این موضوعات از نظر فنی از دید کاربر پنهان باشد، اما در بخش‌هایی که مربوط به نیازمندی‌های متخصصان حوزه کامپیوتر است، ارائه این راهکار‌ها برای این متخصصان بسیار کارساز است.

* در حوزه امنیت اطلاعات یکی از خلاء‌های موجود به نبود قانون‌های مرتبط با این بخش بر می‌گردد. آیا در پیشبرد پروژه‌ها با خلاء‌های قانونی حوزه امنیت نیز برخورد کرده اید؟

ما معتقدیم که وزارت ارتباطات در حوزه قانونگذاری امنیت باید به سایر نهاد‌ها کمک کند. چرا که در حوزه امنیت و فضای مجازی قوانینمان باید به روز و پخته‌تر شود.

در حوزه حریم خصوصی و حفاظت از داده‌های کاربر باید قانونگذاری صورت گیرد. همانطور که در اروپا نیز قانون GDPR در این زمینه تصویب شده است، ما هم باید به سراغ آن برویم.

در این زمینه وزارت ارتباطات برای لایحه حفاظت از داده‌های کاربران، پیشنهاداتی را تهیه کرده و اصلاحاتی را روی این لایحه اعمال کرده تا با تصویب دولت، به مجلس ارائه شود.

از این لایحه می‌توان برای طراحی‌های امنیتی پروژه‌های حوزه امنیت نیز استفاده کرد.