بدون رونق کسب‌وکار نمی‌توان انتظار امنیت سایبری پایدار داشت

چه شد که مرکز افتا که قرار بود به عنوان مأمن شرکت‌ها باشد، به مرکزی برای صدور مجوز کسب‌وکار افتا تبدیل شد و چرا مرکز افتا از ماموریت راهبردی خود دور افتاد؟ اینها پرسش‌هایی بود که با آن، گفت‌وگو را با رئیس خوشروی مرکز افتا شروع کردیم.

گفت‌وگویی که در اولین ساعات کاری روز شروع شد و او ترجیح داد ابتدا مقدمه‌ای بگوید و تاکید کند که رویه مرکز افتا هرچه که تاکنون بوده، از این پس بر مدار مدارا و تعامل خواهد بود. مرکزی که هم از تولید داخل حمایت می‌کند و هم به نظم‌بخشی بازار فکر می‌کند. مرکزی که ادعای توانمندی مطلق ندارد ولی می‌داند که ذاتاً دورنگرا و بدون صدا است و درنتیجه بسیاری از اقداماتش نادیده می‌ماند یا نادیده گرفته می‌شود.

مرکزی که می‌خواهد در خیلی از زمینه‌ها گشایش ایجاد کند ولی می‌داند که این کار نه تنها ساده نیست که مدعیانی هم دارد که این را نمی‌خواهند.

او از برنامه‌های یک ساله مرکز گفت که هم متنوع است و هم می‌خواهد بازتاب مناسبی برای جامعه مخاطبان داشته باشد. هم به فکر توسعه بازار است و هم مراقب است که تولید‌کننده واقعی آسیب نبیند.

پس اولین گفت‌وگوی افتانا را به عنوان نخستین گفت‌وگوی رئیس مرکز مدیریت راهبری افتا با یک رسانه بخوانید و قضاوت کنید. در این گفت‌وگو، دکتر علی‌محمد نوروززاده، رئیس مرکز مدیریت راهبردی افتا پاسخگوی سئوالات ما بود. در پاسخ به برخی پرسش‌ها نیز مهندس زهرا آخودداد، معاون توسعه و ارزیابی صنعت افتا، همراهی داشت.

سوال : مرکز افتا با ماموریت‌های گسترده و فعالیت‌های متنوع خود آغاز به‌کار کرد و تا مدت‌ها هم همین نقش را ایفا می‌کرد. اما چرا مدتی است در نظر عموم، فعالیت‌های این مرکز عمدتاً به صدور مجوز افتا محدود شده است؟ این مجوز که قرار نبود مجوز کسب‌وکار باشد، چگونه به یک چالش تبدیل شد؟

نوروززاده: یکی از دلایل اصلی این موضوع، جوانی حوزه امنیت سایبری در کشور و کمبود تجربه در این زمینه است. این حوزه به دلیل حساسیت‌های ذاتی خود، همواره با محافظه‌کاری و احتیاط‌های بعضاً غیرضروری همراه بوده است.

بخشی از این حساسیت‌ها واقعی و بخشی دیگر ممکن است خودساخته باشد. وقتی موضوع امنیت سایبری مطرح می‌شود، ذهنیت‌های سنتی غالب، این حوزه را صرفاً به دستگاه‌های امنیتی مرتبط می‌دانستند. حتی دکتر عارف، معاون محترم رئیس‌جمهور، بارها تأکید کرده‌اند که در سطح وزرا نیز این دیدگاه وجود دارد که امنیت سایبری به حوزه حراست سازمان‌ها محدود می‌شود. این ذهنیت، به طور خودکار محافظه‌کاری را به دنبال داشته و بر فرایندهای این حوزه تأثیر گذاشته است.

امروزه، اما این دیدگاه تغییر کرده است و همه دریافته‌اند که امنیت سایبری صرفاً به دستگاه‌های امنیتی محدود نیست. این حوزه یکی از اجزای پازل امنیت ملی است که در کنار سایر حوزه‌ها، از جمله رسانه، آموزش و بخش خصوصی، فعالیت می‌کند. با این حال، پیشینه ذهنی و محافظه‌کاری موجود باعث شد که فرایند صدور مجوز افتا، که قرار بود تنها بخشی کوچک از فرآیند امن‌سازی سازمان‌ها باشد، به یک چالش بزرگ تبدیل شود.

از طرفی فرایندهای صدور مجوز افتا بیش از یک دهه پیش، تدوین شده‌اند و نیاز به بازبینی دارند. دیدگاه‌های گذشته در مورد امنیت سایبری با واقعیت‌های امروز تفاوت‌های اساسی دارند.
یکی دیگر از دلایل این وضعیت، نبودِ تقسیم کار مناسب بین دستگاه‌های دخیل در فرایند صدور مجوز، از جمله مرکز افتا، سازمان فناوری اطلاعات و نهادهای نظارتی است و این عدم هماهنگی، باعث شده است که بخش خصوصی نتواند به وضوح مشکلات خود را شناسایی و پیگیری کند.

از سوی دیگر، سامانه‌های مورد استفاده برای صدور مجوز هم از شفافیت کافی برخوردار نبوده و کاربرپسند نیستند. به همین علت، مرکز ملی فضای مجازی اصلاح این فرایندها را از بهمن‌ماه سال گذشته، در دستور کار قرار داد. جلسات متعددی برگزار شد و برخلاف مقاومت‌های اولیه، اکنون اجماع بر ضرورت اصلاحات شکل گرفته است. بنده نیز در جلسات مرکز ملی اعلام کرده‌ام که مرکز افتا آماده است در این اصلاحات پیش‌قدم شود و حتی هزینه‌های لازم را تقبل خواهد کرد. به رئیس محترم مرکز ملی فضای مجازی، اعلام کردم که حاضر به پذیرش مسئولیت‌ها هستیم تا این مشکلات رفع شود. این اعلام آمادگی باعث بهبود نسبی وضعیت شده، اما همچنان کارهای زیادی باقی مانده است. انتظار داشتیم تا پایان فروردین‌ماه ابلاغیه‌ای از مرکز ملی دریافت کنیم، اما هنوز این ابلاغیه صادر نشده است.

در صورت دریافت ابلاغیه، دو ماه فرصت داریم تا فرآیندها را بازبینی کنیم. در این بازبینی، از ظرفیت بخش خصوصی، تشکل‌ها، سازمان‌های مردم‌نهاد و دستگاه‌های مرتبط استفاده خواهیم کرد تا مجوز افتا دیگر دغدغه اصلی شرکت‌ها نباشد. امیدواریم با اصلاح فرایندها، با مشارکت همه اجزای مرتبط با این موضوع، مشکلات موجود به میزان قابل‌توجهی مرتفع شود و بخش خصوصی بتواند بر دغدغه‌های اصلی خود تمرکز کند.

همان‌طور که اشاره کردید، فرایند صدور مجوز افتا شامل اجزای آشکار و پنهانی است که به دلیل تمرکز بر خود مجوز، کمتر دیده می‌شود. لطفاً توضیح دهید که چه بخش‌هایی از این فرایند در سازمان فناوری اطلاعات، نهادهای نظارتی و امنیتی و مرکز افتا انجام می‌شود؟

نوروززاده: ارائه آمار دقیق در این زمینه به دلیل عدم حضور نمایندگان سایر سازمان‌ها دشوار است. ولی اگر بخواهم از بهبود‌های انجام شده بگویم، براساس اطلاعات موجود، در بازه 36 روزه از 16 فروردین تا 20 اردیبهشت، میانگین زمان پاسخگویی به درخواست‌های مجوز در مرکز افتا و بخش‌های اعتباری و نظارتی به 35 روز رسیده است. این در حالی است که در دی‌ماه گذشته، این زمان حدود 70 روز بود. بر اساس قانون، دستگاه‌های نظارتی تا یک ماه فرصت دارند پاسخ خود را ارائه دهند. با این حال، ما در تلاش هستیم با استفاده از ارتباطات و ابزارهای موجود، این زمان را کوتاه‌تر کنیم. به عنوان مثال، مذاکراتی با بخش استعلامات انجام شده تا دست‌کم در موارد مرتبط با بخش خصوصی، پاسخگویی در زمان کمتری انجام شود. این موضوع در حال پیگیری است و اعلام آمادگی و همکاری کردند، اما ممکن است نیازمند ابلاغیه‌های جدیدی از سطوح بالاتر باشد.

در خصوص فرآیندهایی که در سازمان فناوری اطلاعات انجام می‌شود، سامانه‌ای که برای بارگذاری مدارک شرکت‌های متقاضی مجوز افتا استفاده می‌شود، همچنان مشکلاتی دارد. فرایند بارگذاری مدارک زمان‌بر است و برخلاف انتظار، نمی‌توان آن را در چند دقیقه انجام داد. گزارش‌هایی دریافت شده که نشان می‌دهد این سامانه اخیراً بهبود یافته است. به عنوان مثال، برخی شرکت‌ها در سه هفته اخیر اعلام کرده‌اند که سامانه نسبت به گذشته بهتر شده است. با این حال، همچنان مشکلاتی وجود دارد و امیدواریم سازمان فناوری اطلاعات با تلاش‌های خود، این مشکلات را به‌زودی رفع کند.

آنچه به نظر می‌رسد این است که با وجود کاهش زمان پاسخگویی در مرکز افتا، بخش خصوصی همچنان این بهبود را احساس نمی‌کند. کُندی‌هایی وجود دارد و گاهی وصل شدن سامانه به ثبت احوال، شرکت پست و... فرایند را با وقفه‌های طولانی مواجه می‌کند.

نوروززاده: یکی از دلایل اصلی، کُندیِ کل زنجیره فرایند صدور مجوز است. مشکلات سامانه‌ای، مانند قطعی ارتباط با سازمان‌هایی نظیر ثبت احوال باعث می‌شود که مدارک شرکت‌ها در مراحل اولیه تأیید نشود و به مرکز افتا نرسد. این تأخیرها مانع از آن می‌شود که بهبودهای انجام‌شده در مرکز افتا برای بخش خصوصی ملموس باشد.

برای رفع این مشکل، اقداماتی انجام شده است. به عنوان مثال، در پایان سال گذشته، برای کاهش دغدغه‌های شرکت‌ها در زمینه مطالبات مالی، پرداخت حقوق، عیدی و سنوات، مجوزهای موقت برای تمدیدها صادر کردیم. این اقدام، اگرچه ممکن است از نظر برخی مراجع نظارتی نامتعارف محسوب شود، اما با هدف حل مشکلات بخش خصوصی انجام شد.

در جلسه‌ای در مرکز ملی فضای مجازی، با حضور معاون دادستان کل کشور و سایر اعضای حقیقی و حقوقی، این موضوع را صراحتاً اعلام کردم که برای حل مشکلات شرکت‌ها، مجوزهای موقت صادر می‌کنیم.

همچنین، پیشنهاد داده‌ایم که مدارک شرکت‌ها به‌صورت موازی برای مرکز افتا ارسال شود تا از تأخیرهای ناشی از فرایندهای سریالی جلوگیری شود. این پیشنهاد، زمان صدور مجوز را به‌طور قابل‌توجهی کاهش خواهد داد. دوستان در سازمان فناوری اطلاعات نیز اعلام کرده‌اند که به محض آن‌که شرکت‌های متقاضی مجوز افتا مدارک خود را بارگذاری، این مدارک به‌صورت همزمان برای مرکز مدیریت راهبردی افتا ارسال خواهد شد تا ما نیز بررسی‌های خود را آغاز کنیم. این تغییر نیازمند اصلاح سامانه است و امیدواریم به‌زودی اجرایی شود.

یکی از مشکلات شرکت‌ها این است که نمی‌دانند درخواست مجوز آن‌ها در چه مرحله‌ای قرار دارد. در حال حاضر، سامانه موجود اطلاعات کافی در مورد وضعیت درخواست‌ها ارائه نمی‌دهد. این موضوع باید اصلاح شود تا شرکت‌ها بتوانند به‌طور شفاف مراحل پیشرفت پرونده خود را مشاهده کنند. سامانه باید به شرکت‌ها نشان دهد که پرونده آن‌ها در چه مرحله‌ای است، کجا متوقف شده و چه اقدامی لازم است. آیا می‌توان سازوکاری برای شفافیت بیشتر در این زمینه ایجاد کرد؟

زهرا آخودداد، معاون توسعه و ارزیابی صنعت افتا: ما در افتا، مراحل اجرای کار را می‌بینیم و کاملا می‌دانیم که پرونده در چه وضعیتی قرار دارد و مراحل کاملا مشخص هستند، اما سامانه این را به کاربر نشان نمی‌دهد که باید فکری برای آن بکنیم. در مورد احساس نکردن تغییرات توسط بخش خصوصی، باید گفت که تعداد مجوزهای صادرشده در مقایسه با گذشته به‌طور قابل‌توجهی افزایش یافته است، برای مثال در اردیبهشت ماه امسال نسبت به ماه مشابه پارسال 4 و نیم برابر و نسبت به فروردین ماه امسال قریب به سه برابر شده است، ولی متاسفانه بخش خصوصی این بهبود را حس نکرده است، در حالیکه افتا، اخبار مربوط به صدور مجوزها را به‌صورت ماهانه و شفاف منتشر می‌کند.

نوروززاده: این حق مسلم بخش خصوصی است که بتواند وضعیت پرونده خود را در سامانه ببیند و باید این مشکل حل شود. سازمان فناوری اطلاعات، که مسئولیت پشتیبانی از این سامانه را بر عهده دارد، اقدامات اصلاحی را آغاز کرده است، اما همچنان تا رسیدن به وضعیت مطلوب فاصله داریم، طراحی و پیاده‌سازی چنین سامانه‌ای با توجه به توانمندی‌های سازمان فناوری اطلاعات، کار پیچیده‌ای نیست و امیدواریم قول‌های داده‌شده در این زمینه به‌زودی عملی شود.

تعداد درخواست‌های در صف صدور مجوز چه میزان است و این موضوع چه تأثیری بر عملکرد مرکز دارد؟

نوروززاده: برخی مجوزها که نیازی به آزمون‌ ندارند، به‌سرعت به بخش اعتباری ارجاع می‌شوند و طبق قانون، مرجع استعلام تا یک ماه فرصت پاسخگویی دارد. با این حال، حجم بالای درخواست‌ها ممکن است به تشکیل صف منجر شود. ما پیشنهاد کرده‌ایم که کل فرایند صدور مجوز به 60 روز محدود شود و در صورت عدم پاسخگویی، شرکت بتواند فعالیت خود را ادامه دهد. همچنین، بهبود سامانه و مکانیزه شدن فرایندها می‌تواند این مشکلات را کاهش دهد. سامانه‌ای که مدارک را دریافت و وضعیت آن‌ها را بررسی می‌کند، نقش کلیدی در مدیریت این فرایند دارد و امیدواریم با اصلاحات لازم، مشکلات موجود رفع شود.

موضوع دیگری که می‌خواهم مطرح کنم بحث مربوط به ابلاغیه‌های مرکز است. در صورتی که ابلاغیه‌ای از مرکز افتا به کسب‌وکارهای خصوصی آسیب برساند، شرکت‌ها چگونه می‌توانند اعتراض خود را پیگیری کنند و اصولا می‌توانند شکایت خود را به چه نهادی ببرند؟

نوروززاده: شرکت‌ها می‌توانند از دو مسیر اقدام کنند: در داخل مرکز افتا، ما آماده دریافت نظرات و پیگیری مشکلات هستیم و تلاش می‌کنیم مسائل را حل کنیم، در خارج از مرکز، نهادهای نظارتی مانند سازمان بازرسی کل کشور یا قوه قضاییه می‌توانند مرجع رسیدگی به شکایات باشند.

به نظر می‌رسد که سازوکار مشخصی برای اعتراض به تصمیمات مرکز افتا به‌صورت شفاف وجود نداشته است؛ در قالب میز خدمت، پنجره واحد خدمات و یا فرایندی که بخش خصوصی بتواند از آن طریق اقدام کند. اگر شرکتی مشکلی با مرکز افتا داشته باشد، نمی‌داند با کدام قسمت تماس بگیرد یا چگونه پیگیری کند. ممکن است مشکل حتی با یک راهنمایی کوچک حل شود.

آخودداد: پیشنهاد ایجاد واحدی مشخص برای رسیدگی به شکایات، مانند میز خدمت یا پنجره واحد، ایده‌ای مناسب است. در حال حاضر معاونت توسعه و ارزیابی صنعت افتا این کار را انجام می‌دهد اما چنین واحدی به صورت مشخص وجود ندارد.

نوروززاده: این پیشنهاد می‌تواند در ساختار مرکز لحاظ و در چارت سازمانی مرکز افتا چنین بخشی تعریف شود، تا شرکت‌ها بتوانند به‌راحتی مشکلات خود را با مرکز افتا مطرح و پیگیری کنند.

حالا که مقداری درباره مشکلات مجوز افتا گفتگو کردیم. خوب است از شما بشنویم که مرکز افتا چه فعالیت‌های دیگری انجام می‌دهد؟

نوروززاده: صدور مجوز تنها بخش کوچکی از فعالیت‌های مرکز افتا است. وظایف اصلی ما بسیار گسترده‌تر به‌طور اجمالی شامل این موارد است که در اینجا اشاره می‌کنم.
ابلاغ سیاست‌ها و الزامات امنیتی یکی از این موارد است. ما مسئول تدوین و ابلاغ سیاست‌ها و تکالیف امنیتی به دستگاه‌های اجرایی هستیم که بر اساس اسناد بالادستی تعریف شده‌اند.

ممیزی و ارزیابی دستگاه‌ها فعالیت دیگری است که بر اساس الزامات ابلاغ‌شده، سازمان‌ها را ارزیابی می‌کنیم تا از رعایت استانداردها مطمئن شویم.

مرکز مدیریت راهبردی افتا دارای سامانه‌های ملی پایش تهدیدات سایبری است که به صورت شبانه روزی و مستمر فضای سایبری زیرساخت‌های حیاتی و حساس کشور را رصد می کنند، این سامانه‌ها مسئولیت جمع‌آوری و تحلیل آسیب پذیری‌های سازمانی و تهدیدات سایبری را بر عهده دارند و بر اساس اطلاعات به دست آمده، هشدارهای لازم را به سازمان‌ها ارائه می‌دهیم.

در موارد خاص، تیم‌های تخصصی شکار تهدید برای انجام تحقیقات دقیق اعزام شده و داده‌های لازم را برای ارزیابی و مقابله با تهدیدات گردآوری می‌کنند. علاوه بر این، در صورت وقوع حوادث سایبری تیم‌های امداد و پاسخ‌گویی سریع مرکز مدیریت راهبردی افتا، به سازمان‌ها اعزام شده و با انجام خدمات تخصصی، راهبران سامانه‌های سازمانی را در مهار تهدیدات سایبری و بازگرداندن شرایط به حالت عادی، یاری می‌دهند.

امن‌سازی سازمان‌ها هم از مرکز درخواست می‌شود. اگرچه امن‌سازی وظیفه ذاتی ما نیست، اما در صورت نیاز، تیم‌های امن‌سازی به سازمان‌ها اعزام می‌کنیم تا به آن‌ها کمک کنیم. در ارتباط با شرکت‌ها و بخش خصوصی، ارزیابی و حمایت از محصولات بومی نیز به ما ارجاع شده است. ما محصولات بومی را ارزیابی می‌کنیم و با همکاری معاونت علمی و فناوری ریاست‌جمهوری، از آن‌ها حمایت مالی هم ممکن است داشته باشیم. و دیگر اینکه برای اشراف بر ترافیک سایبری کشور، سامانه‌های ملی خاصی طراحی کرده و ارتقا داده‌ایم تا ترافیک سازمان‌ها را پایش کرده و در صورت لزوم هشدار دهیم.

این‌ها تنها بخشی از وظایف مرکز مدیریت راهبردی افتا است که نشان‌دهنده نقش کلیدی ما در امنیت سایبری کشور است. متأسفانه، به دلیل برجسته شدن موضوع مجوزها، این فعالیت‌ها کمتر دیده می‌شوند.

ممنونم. اجازه دهید که سئوالاتم را با صراحت بیشتری بپرسم. سئوالی که مرتب پرسیده می‌شود این است که آیا فرایندهای مرکز افتا، به‌ویژه صدور مجوزها، واقعاً به افزایش امنیت سایبری کشور کمک کرده است؟ اغلب گفته می‌شود که تصمیمات افتا عملا بیشتر مانع‌تراشی می‌کند تا باعث ارتقای امنیت شود.

نوروززاده: من هم تشکر می‌کنم که شما سئوالات جدی و صریحی را مطرح می‌کنید. برخلاف برخی انتقادات که می‌گویند مرکز افتا صرفاً، مانع ایجاد می‌کند، فعالیت‌های ما تأثیرات مثبتی بر امنیت سایبری و رونق کسب‌وکار در این حوزه داشته است. از منظر کسب‌وکار، مرکز افتا و دیگر دستگاه‌های مرتبط با رایزنی‌هایی که انجام داده‌اند، توانسته‌اند بودجه‌ای معادل یک درصد از منابع را برای امنیت سایبری در قانون بودجه پیش‌بینی کنند. اگرچه این میزان کافی نیست، اما گامی رو به جلو بوده است.

با این حال، نقدی هم به بخش خصوصی وارد است. در سال گذشته، از حدود 3 و دو دهم همت بودجه این حوزه، تنها برای دو دهم آن طرح ارائه شده که نشان‌دهنده ضعف سازمان‌ها و بخش خصوصی در ارائه طرح‌های امنیتی است. سازمان‌ها به دلیل کمبود نیروی کیفی و کمی، توان تدوین طرح‌های امن‌سازی را ندارند. بخش خصوصی می‌تواند با کمک به سازمان‌ها در تدوین این طرح‌ها، به رونق بازار امنیت سایبری کمک کند. این کار می‌تواند به‌عنوان یک مسئولیت اجتماعی نیز در نظر گرفته شود که انتظار می‌رود بخش خصوصی اینجا وارد شود و قطعا می‌تواند به رونق کسب‌‌وکار کمک کند. به طور کلی می‌توان گفت که نهادهای افتایی اعم از مرکز افتا، سازمان فناوری اطلاعات و پدافند غیرعامل همگی به بهبود امنیت سایبری کمک می‌کنند. حتی اگر ده درصد ابلاغیه‌ها و بخش‌نامه‌ها همان طور که گفته می‌شود خروجی خوبی نداشته باشند اما 90 درصد موثر هستند و همین بازدیدهای نوبه‌ای و تذکراتی که می‌دهیم و حتی به دستگاه قضایی ارجاع می‌شوند تاثیر زیادی دارد. شاید این بحثِ صدور مجوزها و مشکلاتِ مرتبط با آن آنقدر بزرگ باشد که باعث می‌شود این‌ها به چشم نیایند.
از منظر امنیتی، آمارها نشان می‌دهد که تعداد حملات پیشگیری‌شده در سال 1403 به‌مراتب بیشتر از سال 1402 بوده است. تیم‌های مرکز افتا، با همکاری بخش خصوصی به‌عنوان بازوهای اجرایی، آسیب‌پذیری‌های مهمی را در سازمان‌های بانکی، زیرساختی، حمل‌ونقل و ارتباطات شناسایی و از حملات سنگین پیشگیری کرده‌اند. به عنوان مثال، در یک رخداد خاص، از ساعت ۶ بعد از ظهر تا ساعت ۴ صبح، تیم‌های ما با همکاری بخش خصوصی از یک حمله بزرگ پیشگیری کردند. این اقدامات نشان‌دهنده تأثیر مثبت مرکز افتا در ارتقای امنیت سایبری کشور است و پتانسیل لازم و کافی برای بهبود بیشتر وجود دارد.

ولی این را هم در نظر داشته باشید که وقتی سازمان یا محصولی با وجود داشتن مجوز افتا مورد حمله قرار می‌گیرد، این ذهنیت ایجاد می‌شود که مجوز افتا کارایی لازم را ندارد. چرا فعالیت‌های پیشگیرانه مرکز افتا نمود بیرونی ندارد و چگونه می‌توان این مشکل را حل کرد؟

نوروززاده: فعالیت‌های پیشگیرانه به دلیل ماهیت محرمانه خود، کمتر نمود بیرونی دارند. از سوی دیگر، وقتی سازمانی یا محصولی با وجود داشتن مجوز افتا مورد حمله قرار می‌گیرد باید توجه داشت که مجوز افتا به معنای مصونیت کامل سازمان نیست، بلکه نشان‌دهنده صلاحیت اولیه شرکت یا محصول است. همان‌طور که در پزشکی خطای انسانی ممکن است رخ دهد، در حوزه فناوری نیز محصولات و افراد جایزالخطا هستند. تکنولوژی تغییر می‌کند و هیچ محصولی نمی‌تواند به‌طور کامل از آسیب‌پذیری‌ها مصون باشد.

این توقع که مجوز افتا سازمان را کاملاً ایمن می‌کند، به دلیل سختی‌های فرایند صدور مجوز ایجاد شده است. برای رفع این مشکل، رسانه‌ها و فعالان این حوزه باید به شفاف‌سازی کمک کنند. انتشار گزارش‌های فنی و غیرفنی از رخدادها، هم برای جامعه فنی و هم برای عموم، می‌تواند درس‌آموخته‌هایی ارائه دهد. به عنوان مثال، شناسایی گروه APT15 در روزهای پایانی سال 1403، دستاورد بزرگی بود و شاید جلوی خیلی اتفاقات را گرفت، اما انتشار این خبر با انتقاداتی از سوی مراجع بالادستی ما مواجه شد که می‌گفتند چنین اخباری جامعه را ملتهب می‌کند. این نشان‌دهندهِ نبود سازوکار مشخص برای اطلاع‌رسانی در این حوزه است و محدودیت‌های نانوشته‌ای که مرکز دارد.

من اینجا نکته‌ای را به گفته شما اضافه کنم. برای اتفاقاتی که می‌افتد معمولا نه گزارش فنی و نه گزارش غیرفنی منتشر نمی‌شود. بنابراین درس‌آموخته‌ مدونی ندارد و برای جامعه فنی هم مستندی ارائه‌ نمی‌شود. درنهایت بار اطلاع‌رسانی بر دوش رسانه می‌افتد. حالا رسانه یا باید کلا چیزی نگوید یا به خبری در حد اینکه چنین اتفاقی افتاده بدون هیچ جزییاتی که چرا، کجا، چگونه رخ داده، بسنده کند.

نوروززاده: مرکز ملی فضای مجازی کارگروهی برای تدوین پیوست رسانه‌ای تشکیل داده است تا هماهنگی بهتری بین دستگاه‌ها، رسانه‌ها و سازمان‌های درگیر ایجاد شود و در حال برگزاری جلسات خود است و امیدواریم سازوکاری مشخص برای اطلاع‌رسانی ایجاد شود. همچنین، پیشنهاد می‌شود گزارش‌های فنی به‌صورت محرمانه برای شرکت‌های مرتبط منتشر شود تا از آسیب‌پذیری‌های مشابه پیشگیری کنند، بدون اینکه رقابت ناسالم بین شرکت‌ها ایجاد شود.

آخودداد: به هرحال مشکلی که برای یک سازمان پیش می‌آید می‌تواند مانع رخ دادن آن برای سازمان یا محصولی مشابه بشود. اما چطور باید اطلاع‌رسانی کرد که این حساسیت به وجود نیاید، باید برای آن راهکاری تدوین شود که این گزارش فنی برای همه مفید و کاربردی و در دسترس افراد این حوزه باشد.

به هرحال فرایند و ذات اطلاع‌رسانی در این حوزه همین است. اینکه چند درصد سازمان‌ها دارند از همان محصول یا خدمت آسیب‌پذیر استفاده می‌کنند مهم نیست، اما اینکه بدانیم چنین آسیب‌پذیری وجود دارد، قطعا به همه کمک خواهد کرد. نه اینکه لزوما رسانه‌ای شود اما اطلاعات فنی آن به کار گرفته شود.

نوروززاده: با این حال، حساسیت‌هایی در این زمینه وجود دارد. در گذشته، برخی شرکت‌ها هشدارهای محرمانه را به رسانه‌ها منتقل کردند که باعث شد مرکز افتا در این زمینه محتاط‌تر عمل کند. همچنین، انتشار گزارش‌های فنی ممکن است به رقابت ناسالم بین شرکت‌ها منجر شود. به عنوان مثال، در یک مورد، گزارشی محرمانه درباره آسیب‌پذیری یک محصول به مرکز ملی ارائه شد، اما برخی تماس گرفتند و پرسیدند چرا نام محصول ذکر شده است و این کار به بازار محصول آسیب خواهد زد. این حساسیت‌ها باید مدیریت شود تا این اطلاع‌رسانی‌ها به بهبود امنیت کمک کند، نه به تضعیف شرکت‌ها و امنیت سایبری.

باید سازوکاری برای آن تعریف شود. چون در این مسیر، اعلام نکردن نقاط ضعف، فقط باعث می‌شود که ما شاهد تکرار رخدادهای سایبری باشیم. گزارش‌های سالانه مرسوم در دنیا که به چنین مواردی اشاره می‌کنند را متاسفانه ما تاکنون در کشور نداشته‌ایم.

نوروززاده: این بخش را که به خود سازمان‌ها و مشتریان مرتبط با آن آسیب‌پذیری اطلاع‌رسانی شود که باید حتما انجام شود و ما این کار را می‌کنیم، اما اینکه رسانه‌ای بشود و یا به طریقی به سایر شرکت‌ها گفته شود شائبه‌هایی را ایجاد می‌کند که چنین حاشیه‌هایی برای مرکزی مانند افتا مناسب نیست.

اجازه بدهید وارد موضوع بعدی بشویم. نیازهای امنیتی سازمان‌ها از یک طرف و میزان توانمندی‌های شرکت‌ها از طرف دیگر بسیار متفاوت هستند. اما برای همه ان نیاز و ان توانمندی مجوزی بدون سطح و رتبه وجود دارد که تحت عنوان مجوز افتا صادر می‌شود. با توجه به این تفاوت‌ها چگونه می‌توان مجوز افتا را طبقه‌بندی کرد؟

آخودداد: در بازبینی فرایندهای صدور مجوز، که قرار است طی دو ماه پس از ابلاغ مرکز ملی فضای مجازی انجام شود، طبقه‌بندی سازمان‌ها و مجوزهای افتا در نظر گرفته خواهد شد. پیش‌نویس سند رتبه‌بندی پیمانکاران و سازمان‌ها آماده شده و حدود 60 تا 70 درصد پیشرفت داشته است. این سند نحوه رتبه‌بندی پیمانکاران و سازمان‌ها را مشخص می‌کند. به عنوان مثال، شرکت‌ها می‌توانند بر اساس عملکرد خود به رتبه‌های بالاتر ارتقا یابند و سازمان‌ها نیز بر اساس نیازهای امنیتی خود طبقه‌بندی شوند.

نوروززاده: البته ما منتظر ابلاغیه مرکز ملی نماندیم و از قبل کار را آغاز کردیم. خانم مهندس آخودداد پیش‌نویس این سند را آماده کردند و به محض دریافت ابلاغیه، آن را با بخش خصوصی، مرکز ملی و سایر دستگاه‌های هماهنگ‌کننده به اشتراک می‌گذاریم تا نظرات آن‌ها را دریافت کنیم. هدف این است که مجوزها بر اساس توانمندی شرکت‌ها و نیازهای سازمان‌ها به درجات مختلف تقسیم شوند و این فرایند در نیمه دوم سال 1404 اجرایی شود.

چالش دیگری هم هست که بخش خصوصی با برگزارکنندگان مناقضات دارد. برخی کارفرمایان در مناقصات، شروط غیرضروری برای مجوزهای افتا تعیین می‌کنند. این موضوع باعث می شود رقابت در بخش خصوصی مختل شود. برای مناقصه‌هایی که در محدوده خرید تجهیزات حتی غیرفعال مثل کابل شبکه و مانیتور هم هستند، مجوز افتا درخواست می‌شود یا تعداد غیرمعقولی مجوز درخواست می‌شود. چون سازمان برگزارکننده مناقضه، دانش کافی در این حوزه ندارد و به نظرش می‌رسد که هرچه مجوزهای درخواستی بیشتر باشند بهتر است.

نوروززاده: بخشی از این مشکل به رویکرد حراستی سازمان‌ها بازمی‌گردد که شروط حداکثری را برای مناقصات تعیین می‌کنند. این شروط، گاهی غیرضروری هستند و باعث ابطال مناقصات یا کاهش رقابت در بخش خصوصی می‌شوند. برای رفع این مسئله، جلساتی با حراست کل کشور برگزار و توافق شده است که سامانه مشترکی ایجاد شود. این سامانه به بخش خصوصی، سازمان‌ها، حراست و مرکز افتا امکان می‌دهد تا به‌صورت شفاف مشخص کنند که کدام خدمات یا محصولات نیاز به چه مجوزی از افتا دارند.

در حال حاضر، این هماهنگی از طریق مکاتبات رسمی انجام می‌شود. به عنوان مثال، اگر سازمانی در مناقصه‌ای شروط غیرضروری تعیین کند، ما سریعاً نامه رسمی به حراست آن سازمان و حراست کل کشور ارسال می‌کنیم و اعلام می‌کنیم که این محصول یا خدمت نیاز به مجوز افتا ندارد یا نوع خاصی از مجوز کافی است. با راه‌اندازی سامانه، این فرایند شفاف‌تر و سریع‌تر خواهد شد و بسیاری از مشکلات رفع خواهد شد.

بله این سامانه اتفاق بسیار خوبی خواهدبود. من به عنوان سوال پایانی و قبل از جمع‌بندی نهایی یکی دیگر از دغدغه‌های شرکت‌ها را مطرح می‌کنم و آن دریافت مجوز محصولی است که هنوز برای آن پروفایل حفاظتی (Protection Profile) در مرکز افتا تعریف نشده است.

نوروززاده: در گذشته، نبود پروفایل حفاظتی برای برخی محصولات باعث تأخیر در فرایند صدور مجوز می‌شد. اما اکنون رویکرد ما تغییر کرده است. اگر پروفایل حفاظتی وجود نداشته باشد، از شرکت درخواست می‌کنیم آن را ارائه دهد و در صورت نیاز، هزینه تدوین آن را تقبل می‌کنیم. حتی حاضر هستیم این کار را به شرکت پیمانکار واگذار کرده و هزینه آن را پرداخت کنیم. هدف ما این است که عرضه محصول به دلیل نبود پروفایل حفاظتی متوقف نشود.

به عنوان مثال، اخیراً برای یک محصول در زنجان، تیم‌های ما به محل شرکت اعزام شدند تا محصول را بررسی کنند. چون آزمایشگاه اعلام کرده بود که ارزیابی کامل یک سال طول می‌کشد، ما تصمیم گرفتیم گزارش اولیه‌ای از یک آزمایشگاه مورد اعتماد دریافت کنیم و مجوز موقت صادر کنیم. این مجوز اجازه می‌دهد محصول زیر بار برود و ارزیابی‌های تکمیلی به‌تدریج انجام شود. این رویکرد منطقی و عملیاتی است و از توقف فعالیت شرکت‌ها جلوگیری می‌کند.

متشکرم. سئوالات زیاد دیگری باقی ماند که می‌خواهم از شما درخواست کنم که در فرصت دیگری درباره آنها گفتگو کنیم. لطفا اگر برای جمع بندی این قسمت نکته‌ای مانده است، بفرمایید.

نوروززاده: از رسانه‌ها و بخش خصوصی دعوت می‌کنم که به‌عنوان بازیگران اصلی این حوزه، با مرکز افتا همکاری کنند. پیشنهاد ایجاد میز خدمت یا مرجع پاسخگویی برای رسیدگی به مشکلات بخش خصوصی که مطرح کردید را استقبال می‌کنیم و پذیرای پیشنهادهای جدید هم هستیم و هدف‌مان تسهیل‌گری برای بخش خصوصی است. بدون رونق کسب‌وکار در این حوزه، نمی‌توان انتظار امنیت پایدار داشت.

امنیت سایبری با دعا یا شعار محقق نمی‌شود، بلکه نیازمند رونق اقتصادی و مشارکت فعال بخش خصوصی است. تمام تلاش ما این است که فرایند صدور مجوز را طوری ساده کنیم که دیگر دغدغه اصلی شرکت‌ها نباشد. امیدواریم در نیمه اول سال 1404 به بخش قابل‌توجهی از این اهداف دست یابیم. مثلا در مورد آزمایشگاه‌های آزمون‌های امنیتی نیز اقدامات خوبی آغاز شده است. با وزیر محترم ارتباطات هم هماهنگی‌هایی انجام شده است تا مشکلات این حوزه کاهش یابد. برنامه‌های اساسی‌تر از نیمه دوم سال اجرا خواهد شد که جزییات آن را در آینده تشریح خواهیم کرد.