ابلاغ طرح امنسازی زیرساختهای حیاتی
مخابرات ما – طرح «امنسازی زیرساختهای حیاتی در قبال حملات سایبری» بعد از تدوین از سوی مرکز مدیریت راهبردی افتای ریاست جمهوری برای اجرا به تمامی دستگاههای اجرایی دارای زیرساخت حیاتی کشور ابلاغ شد.
مخابرات ما ( محمد – مخابرات ایران) – در پی ابلاغ این طرح به دستگاههای اجرایی این سؤال مطرح میشود که برای امنسازی زیرساختهای حیاتی آیا تنها یک ابلاغیه کفایت میکند؟ برای کاهش مشکلات زیرساختهای حیاتی کشور دستگاههای اجرایی باید چه کارهایی انجام دهند؟ برای دریافت پاسخ این سؤالات روزنامه ایران به سراغ کارشناسان حوزه امنیت سایبری رفته و نظر آنان را در این باره جویا شده است.
آگاهی متولیان برای مقابله با حملات سایبری
«طرح امنسازی زیرساختهای حیاتی در قبال حملات سایبری نه تنها اقدام مثبتی است، بلکه بموقع و در شرایط مناسب و زمان خوبی به دستگاههای اجرایی ابلاغ شده است.»
محمدحسام تدین عضو هیأت علمی پژوهشگاه وزارت ارتباطات و فناوری اطلاعات با بیان مطلب فوق درباره تأثیرات این اقدام مثبت به «ایران» گفت: اولین اثر مؤثر و مثبت این اقدام فرهنگسازی در دستگاههای اجرایی کشور بخصوص در میان متولیان زیرساختهای حیاتی مانند آب، برق، گاز و… است. ابلاغ این طرح به متولیان زیرساختهای کشور میتواند توجه آنها را به نکته مهم و حساس که همان تهدیدات ناشی از حملات سایبری است، جلب کند. آنها باید بدانند با اقدامهای مؤثر و نقشه راه تبیین شده میتوانند با بهکارگیری کارشناسان متخصص حوزه فضای سایبری جلوی تهدیدات و حملات سایبری را گرفته و با آن مقابله کنند.
تدین با بیان اینکه مخاطرات سایبری اکنون دیگر با فضای واقعی و حقیقی در هم تنیده شده است و این دو فضا متأثر از همدیگر هستند، افزود: سیستمهای کنترلی از طریق اینترنت در دسترس است به همین دلیل باید ارتباطات و دسترسیهای امن و صحیح در نظر گرفته شود تا بتوان از بسیاری از رخدادها پیشگیری کرد.
وی با بیان اینکه ما هنوز به مواردی که بعد از تهدیدات و حملات سایبری برای زیرساختهای حیاتی کشور رخ میدهد، نپرداخته ایم، گفت: بهعنوان مثال در همین سیل اخیر که کشور را درگیر کرده و بسیاری از زیرساختهای حیاتی ما را تخریب کرد متولیان امر میتوانند با نقشه راه این طرح جدید به مقابله با تهدیدات ناشی از حملات سایبری بروند. هر طرحی دارای نقشه راهی برای مقابله با تهدیدات است و اجازه میدهد نقاط قوت و ضعف زیرساختهای حیاتی و عوامل تهدیدات را بشناسیم. از سوی دیگر باید کارشناسان خوب در این زمینه تربیت کنیم تا اگر حادثهای رخ داد بتوانیم با آن حوادث مقابله کنیم.
وی با بیان اینکه تنها ابلاغ طرح کافی نیست و باید نقشه راه را اجرایی کرد، گفت: در این نوع طرحها نقاط ضعف و مقابله با حملات سایبری ارائه میشود. دستگاههای اجرایی باید نه تنها تجهیزات لازم بخصوص تجهیزات امنیتی بومی شده را آماده کنند بلکه برای پیشگیری و مقابله با حوادث تمرینهای لازم را نیز داشته باشند.
تدین با اشاره به اینکه دستگاههای اجرایی باید چنین طرحهایی را جدی بگیرند، افزود: برای مقابله با تهدیدات سایبری باید ضمن آموزش و فرهنگسازی نیروی متخصص نیز تربیت کرد و به کار گرفت.
ارتقای سطح امنیت
امید توکلی کارشناس طراح و راهبر امنیت راهکارهای فناوری اطلاعات و عملیات نیز درباره این طرح به «ایران» گفت: ساختار طرح و اجزای آن بهدرستی و دقیق تدوین شده است به طوری که راهبردهای امنسازی مناسبی در طرح گنجانده شده است از سوی دیگر رویکرد مدل بلوغ امنیتی این طرح میتواند راهنمای خوبی برای دستگاههای اجرایی در رسیدن به سطح مطلوب امنیتی باشد. انتشار نسخه دوم طرح پس از ۵ سال و تغییرات عمدهای که در آن صورت گرفته است؛ در صورتی که بهصورت دقیق پیگیری شود، نویدبخش ارتقای مطلوب سطح امنیت زیرساختهای حیاتی کشور خواهد بود.
توکلی با بیان اینکه در این طرح به ظرفیتهای بخش خصوصی چابک و مورد تأیید در اجرای این طرح توجه ویژه شده و از نقاط قوت طرح محسوب میشود، افزود: به طور قطع بخش امنیتی دستگاههای اجرایی نیاز ضروری به این طرح دارند. دستگاههای اجرایی بهره بردار زیرساختهای حساس و حیاتی، نیازمند چارچوبی عملیاتی برای مصونسازی و افزایش تابآوری زیرساختهای خود هستند.
وی گفت: از آنجایی که حملات سایبری زیرساختهای آب، برق، انرژی و… را به صورت جدی تهدید کرده و اختلالهای زیادی را به وجود میآورند به همین دلیل تمام دولتها برای حفاظت از زیرساختهای خود چنین طرحهایی را ارائه میدهند. بهعنوان مثال در فوریه سال ۲۰۱۳، رئیس جمهوری وقت امریکا فرمان اجرایی برای تدوین طرح ملی محافظت سایبری زیرساختهای حیاتی این کشور را صادر کرد و در فوریه ۲۰۱۴ چارچوب عملیاتی مرتبط با آن ازسوی مؤسسه ملی استاندارد و فناوری امریکا منتشر شد.
این کارشناس در پاسخ به این سؤال که آیا این طرح بموقع به دستگاهها ابلاغ شده است، گفت: پیش از این نیز نهادهای حاکمیتی نظیر سازمان پدافند غیرعامل و مرکز ملی فضای مجازی اقدامهای مناسبی در این حوزه انجام دادهاند و به شکل موردی یا فراگیر، طرحها و نظامهای امنسازی زیرساختهای حساس و حیاتی را ابلاغ کردهاند.
وی افزود: امنسازی یک فرآیند مستمر در هر دستگاه اجرایی است که خدمات آن باید در طول چرخه عمر راهکارها و محصولات فناوری اطلاعات و عملیات مورد کاربرد در زیرساختها به شکل مستمر ارائه شود. بنابراین نباید نقطه آغاز یا پایانی برای این گونه فعالیتها در نظر گرفت. نکته مهم، پویایی این طرح و به روزرسانی آن در مقاطع مختلف و همگام با رخدادهای سایبری دنیا است.
توکلی با بیان اینکه مهمترین مسأله در ارائه طرحهای امنسازی، تدوین ساز و کارهای اجرایی آن است، افزود: بر اساس سطح بلوغ فعلی هر زیرساخت، میتوان ابزارهای انگیزشی و القایی برای اجرای طرح درنظر گرفت. بهطور مشخص، صرف ابلاغ و قید فوریت کافی نیست. باید اعتبارات لازم برای اجرا تأمین کرده و دستورالعملهای اجرایی ارائه داد. از سوی دیگر باید بازوهای نظارتی تعیین کرده و مشوقهای لازم برای زیرساختهایی که به سطح مطلوب امنیت رسیدهاند، فراهم کرد تا امنسازی زیرساختها بهصورت مستمر ادامه داشته باشد.
وی درباره اینکه چه مشکلاتی زیرساختهای حیاتی ما را تهدید میکند و آیا این طرح میتواند به کاهش مشکلات کمک کند، گفت: زیرساختهای حیاتی، همیشه در معرض حملات سایبری و خطاهای عملیاتی هستند. این موضوع فقط در کشور ما مطرح نیست و زیرساختهای اقتصاد، سلامت جامعه و امنیت ملی هر کشوری، وابسته به حفاظت سایبری زیرساختهای حساس و حیاتی آن کشور است. در اتفاقات اخیر ونزوئلا و حملات سایبری که انجام شد بهدلیل خاموشی سراسری به زیرساخت برق این کشور خسارات بسیاری وارد کرد و این گونه حملات خود مبنایی بر افول قدرت حاکمیت در مدیریت کشورها محسوب میشود. طرحهای امنسازی با پشتوانه اجرایی و نظارتی حاکمیت و حمایت از استفاده از راهکارهای بومی، نقش مؤثری در حفظ تمامیت و استقلال کشورها دارد.
مقابله با حملات سایبری
علیرضا پورابراهیمی عضو هیأت علمی دانشگاه آزاد اسلامی نیز با بیان اینکه حوزه سایبر بهطور کلی حوزه مستقلی نیست به «ایران» گفت: هر فعالیتی که اکنون در کشور انجام میشود در شبکههای جهانی صورت میگیرد به همین دلیل مخاطرات بزرگ سایبری در انتظار آنها است از آنجایی که بسیاری از خدمات مانند خدمات بانکی و… روی این شبکهها انجام میشود، به عموم مردم نیز مربوط میشود و هرگونه حملهای زندگی مردم را مختل میکند.
پورابراهیمی افزود: باید با ارائه بموقع چنین طرحهایی به سازمانها، آنها را با حملات سایبری و راههای مقابله با آن هوشیار کرد. البته در این میان باید امکانات لازم را نیز برای دستگاههای اجرایی فراهم کنند چون بسیاری از دستگاهها ممکن است امکانات، تجهیزات و حتی بودجه لازم را نیز برای اجرایی کردن آن نداشته باشند.
سوسن صادقی
***
نظرات بسته شده است.