اختصاصی افتانا: طرح امنسازی زیرساختهای حیاتی در قبال حملات سایبری در سال ۹۷ توسط مرکز مدیریت راهبردی افتا به تمامی دستگاههای اجرایی دارای زیرساخت حیاتی کشور ابلاغ شد؛ اما این طرح برای اجرایی شدن در سازمانها با چه چالشهایی روبرو بودهاست؟
به گزارش افتانا، مهندس هدا حمزهلو، رئیس هیئتمدیره
شرکت مدبران، درباره چالشهای اجرایی شدن «طرح امنسازی زیرساختهای حیاتی در قبال حملات سایبری» به افتانا میگوید: چالشهای اجرایی طرحهای امنیتی تقریبا مشابه هم هستند. اگرچه این طرح، همه مسائل را بسیار شفاف، لحاظ کرده اما یکسری موارد میتوانند از دلایل عدم استقبال از اجرای آن باشد.
او در ادامه به تشریح این دلایل میپردازد و میگوید: در سازمانها بودجه معین برای اجرای این طرح و امثال آن معین نشده و مشخص نیست این بودجه از کدام منبع باید هزینه شود. اجرای این طرح، نیاز به هزینه قابل توجهی دارد و در زمانی که سازمانها حتی برای آنتی ویروس، کمبود بودجه دارند و برای خرید یا تمدید لایسنسهای تجهیزات امنیتی حاضر به استفاده از نسخههای کرک میشوند تا هزینه کمتری بپردازند، عدم اجرای چنین طرحی دور از انتظار نخواهد بود .
حمزهلو اضافه میکند: اگر هم در سازمانی، بودجه کافی وجود داشته باشد در اجرای این طرح معین نشدهاست که شخص مسئول در سازمان برای اجرای آن کیست؟ مدیرکل و مدیرعامل، حراست یا تیم فناوری اطلاعات؟ کدام باید پاسخگو باشند؟ آیا وقتی مدیر آیتی برای این طرح برنامهریزی میکند حمایت کافی را از طرف مدیر کل یا مدیرعاملی که برای هزینهکرد این طرح در سازمان به اندازه کافی توجیه نشده است، خواهد داشت؟ متاسفانه در سازمانها، مدیران ارشد نسبت به لزوم اجرای طرح و بخشنامه ها اقناع نشدهاند .
وی به لزوم هماهنگی با سازمانهای بالاسری اشاره میکند و میگوید: لازم است در اجرای طرحهای کلان، یکپارچگی لازم بین سیاستگذاری طرحهای اجرایی سازمانهای بالاسری و سازمانهای زیرمجموعه وابسته، وجود داشته باشد. در خیلی سازمانها حتی زمانی که طرح و برنامهای برای اجرا آماده میشود با طرح اجرایی سازمان بالاسری کاملا متفاوت بوده و این میتواند به دلیل ارتباطاتی که وجود دارد برای سازمانها خطر امنیتی ایجاد کند. اجرای سلیقهای طرحهای امنیتی و عدم یکپارچگی آن در سازمان بالاسری و زیرمجموعههای آن، قطعا مانع از دستیابی به موفقیت این طرح امنسازی و طرحهای مشابه میشود.
رئیس هیئتمدیره شرکت مدبران به نقش نیروی انسانی تاکید کرده و توضیح میدهد: نقش
نیروی انسانی، جهت اجرای این طرح و بخشنامههای مشابه غیر قابل انکار است،کما اینکه در این طرح هم در چند بخش الزام حضور کارشناسان متخصص و آموزش نیروی انسانی مورد توجه قرار گرفته است. متاسفانه کمبود شدید نیروهای انسانی متخصص در بدنه سازمانها مشکل بزرگی جهت اجرای این طرح است. نیروهای متخصص به دلیل حقوق و مزایای پایین تمایل به جذب در سازمانهای دولتی ندارند و بسیاری از نیروهای متخصص هم یا مهاجرت کردهاند یا در حال مهاجرت هستند. متاسفانه به دلایل محدودیتهای امنیتی و عدم اعطای مجوزهای لازم، استفاده از نیروی انسانی متخصص شرکتهای خصوصی نیز بسیار محدود شده است. اجرای چنين طرح جامعی نیاز مبرم به اختصاص بودجه جهت آموزش نیروهای انسانی هم دارد که متاسفانه به دلیل کمبود بودجه و هزینههای واجب تر در سازمانها مغفول مانده است.
وی به افتانا میگوید: نکته مهم دیگری که از نظر من به اندازه کافی به آن پرداخته نشده است، نحوه پایش سازمانها برای اجرای درست این طرح است. همان طور که مستحضرید، امنیت یک فرایند دائمی است و نیاز است در نقطه نهایی، پایش لازم با شرایطی شفاف انجام گیرد که متاسفانه سازوکار مشخصی برای آن وجود ندارد. اگرچه در طی سالیان اخیر بخشنامههای زیادی جهت تست و آزمایش تجهیزات در ابتدای ورود کالا به کشور صادر شده، به نظر میرسد نهادهای امنیتی سیاستگذار تمایل زیادی به پایش نقطه نهایی استفادهکننده در نحوه استفاده تجهیزات و نرمافزارهای مختلف ندارد، در حالی که این مورد میتواند یکی از مهمترین عوامل ایجاد رخنه امنیتی در سازمانها باشد.
حمزهلو به تعدد بخشنامهها و ابلاغیهها اشاره میکند و میگوید: فراوانی بخشنامهها و ابلاغیههای هر روزهای که از نهادهای مختلف سیاستگذار صادر میشود و حتی برخی از آنها با هم تناقض نیز دارد و عدم شفاف بودن متولی اجرایی آن در سازمانها و نبود سازوکار شفاف باعث سردرگمی و درنهایت، کنار گذاشتن این بخشنامهها در سازمان خواهد بود و اغلب به مرحله اجرایی نمیرسند و حتی زمانی که با سختی فراوان و گذر از تمام موارد اشارهشده، طرحی برای اجرا آماده میشود، بوروکراسیهای بسیار زیاد اداری سازمانها برای اجرای طرحهای اجرایی امنیتی آنقدر زمانبر است که گاه برای یک طرح ۶ ماه زمان لازم است تا یک استعلام به نتیجه برسد و گاه در این بازه، مدیران موثر که طرح را بررسی کردهاند و به آن اشراف دارند نیز تغییر میکنند.