مقوله امن‌سازی مانند یک پازل است

اختصاصی افتانا: طرح امن‌سازی زیرساخت‌های حیاتی در قبال حملات سایبری در سال ۹۷ توسط مرکز مدیریت راهبردی افتا به تمامی دستگاه‌های اجرایی دارای زیرساخت حیاتی کشور ابلاغ شد؛ اما آیا این طرح در سازمان‌ها اجرایی می‌شود؟
 
به گزارش افتانا، دکتر محمدمهدی احمدیان، مدیرعامل شرکت دانش‌بنیان پیشگامان امن‌آرمان (امان)، نظر خود را در این مورد با پایگاه خبری افتانا در میان گذاشته‌است. آنچه در ادامه می‌خوانید نگاه و تحلیل دکتر احمدیان بر اساس دانش، مشاهدات و تجربیات چندساله او در حوزه امنیت سایبری است.
 
«طرح امن‌سازی زیرساخت‌های حیاتی در قبال حملات سایبری»، یکی از تلاش‌های ارزشمندی است که برای ارتقای امنیت سایبری کشور انجام شده، اما متاسفانه به نظر می‌رسد آن‌گونه که انتظار می‌رود تمامی اقدامات مرتبط با این موضوع در سازمان‌ها و شرکت‌ها صورت نمی‌گیرد.
 
چالش‌های عدم اجرای طرح مذکور یا طرح‌هایی مشابه آن، محدود به یک پارامتر خاص نمی‌شود و عوامل متعددی در آن دخیل هستند. مقوله امن‌سازی مانند یک «پازل» است. تا زمانی که تمام قطعات «پازل‌ امن‌سازی» به‌درستی در کشور طراحی و پیاده‌سازی نشوند نمی‌توان توقع داشت که این پازل، تصویر کامل و خوبی نشان دهد. در برخی سازمان‌ها و صنایع، بخش‌های ارزشمندی از طرح مذکور یا طرح‌های مشابه اجرا شده یا در حال اجراست که توصیه می‌کنیم این موارد، الگوی سایر سازمان‌ها و صنایع مشابه قرار گیرند.
 
در اینجا مهم‌ترین قطعات «پازل‌ امن‌سازی زیرساخت‌های حیاتی» را از زاویه دید خود و شرکت امان مطرح می‌کنم:
 
۱. عدم درک مناسب از مخاطرات و ریسک‌های امنیت سایبری از سوی خود سازمان‌ها و صنایع:
برخی افراد تأثیرگذار در صنایع و زیرساخت‌های حیاتی، اشراف مناسبی نسبت به تهدیدات و آسیب‌پذیری‌های امنیتی سامانه‌های خود ندارند و به‌اشتباه تصور می‌کنند شبکه و سامانه‌های آن‌ها امن است. توصیه همیشگی ما این است که «احساس کاذب وجود امنیت، خطرناک‌تر از نداشتن امنیت است».
 
اینها برخی از دلایلی است که از این افراد تأثیرگذار درباره جدی نبودن مخاطرات امنیت سایبری می‌شنویم:

- وجود سامانه‌های قدیمی و غیرهوشمند در صنایع
- خرید سامانه‌های جدیدی که تاکنون به آن‌ها حمله نشده است
- ایزوله بودن سامانه‌ها یا شبکه حیاتی از شبکه‌های ناامن به‌ویژه اینترنت

 
اما این دلایل از نظر علمی و عملی اعتباری ندارند و در حملات متعدد به صنایع دنیا و حتی در داخل کشور شاهد نقض این دلایل بوده‌ایم. حملات سایبری اخیر به صنایع و سازمان‌ها در دنیا و کشور، وجود باورهای اشتباه در مورد امنیت را به‌وضوح به چالش می‌کشد و توهمات امنیتی را نشان می‌دهد. طرح امن‌سازی به سازمان‌هایی ابلاغ ‌شده‌است که بسیاری از آن‌ها، آموزش‌‌های لازم را ندیده‌اند و یا فرایند آگاهی‌بخشی امنیتی در آن‌ها تعریف ‌نشده‌است و این، رسیدن به نتیجه مطلوب را دشوار می‌کند.
 
۲. ضعف در شرکت‌های امنیتی داخلی:
یکی از قطعات دیگر پازل، شکل‌گیری و تداوم فعالیت اثربخش شرکت‌های امنیتی داخلی باکیفیت به‌ویژه بخش خصوصی است. شرایط شرکت‌داری و اخذ مجوزها در کشور به حدی سخت و فرسایشی شده است که شرکت‌داری و حفظ شرکت با اصول و آرمان‌های درست اخلاق حرفه‌ای و شرعی، کاری بسیار دشوار شده است و بسیاری از  نخبگان جامعه از آن، دوری می‌کنند یا در میانه راه، دست از ادامه فعالیت می‌کشند و گاه مهاجرت می‌کنند. در اینجا صحبت از شرکت‌های بی‌کیفیت نمی‌کنم که با ادعاهای ناصحیح و عمدتاً براساس رانت، لابی‌ و غیره اگر پروژه‌هایی می‌گیرند یا تسهیلاتی دریافت می‌کنند خروجی مناسب را تحویل نمی‌دهند و این، خود از اقدامات مخرب در حوزه امنیت سایبری است که در این سال‌ها شاهد آن بوده‌ایم.
 
زمانی که این طرح ابلاغ شد، ریاست وقت مرکز مدیریت راهبردی افتای ریاست‌جمهوری دراین‌باره عنوان کرد که مسئولیت امنیت سایبری در هر حوزه زیرساختی کشور با بالاترین مقام آن دستگاه است و انتظار می‌رود برای پیشگیری از وقوع حوادث احتمالی، این طرح در هر دستگاه زیرساختی و واحدهای تابع آن با بهره‌گیری از ظرفیت بخش خصوصی دارای مجوز با قید فوریت، عملیاتی شود؛ اما شاهد این هستیم که برخی از کارفرمایان به بهانه همین مجوزها، شرکت‌های جوان باکیفیت را از فراخوان‌ها و مناقصه‌ها حذف می‌کنند و حتی بدون استعلام از مراجع ‌ذی‌صلاح از همکاری با این شرکت‌ها خودداری می‌کنند!
 
اگر در ایران، شرکت‌های تخصصی و دانش‌بنیان بخواهند با ارائه مدارک علمی و عملی معتبر، براساس مقالات علمی بین‌المللی خود و ثبت‌های اختراع و بر اساس طرح‌های کسب‌وکار قابل راستی‌آزمایی، در راستای تحقق بخش‌هایی از همین طرح امن‌سازی فعالیت کنند و خدمات و محصولات باکیفیت (حتی در سطح جهانی) ارائه کنند، در «مقام عمل» چه میزان سازمان‌ها، صنایع و مراجع حاکمیتی حاضرند از طرح‌های آن‌ها حمایت کنند و با صبوری در کنار این شرکت‌ها باشند؟! در مقام صحبت، قطعاً حمایت‌ها بسیار است، اما در مقام عمل، متأسفانه این‌گونه نیست! اغلب ترجیح داده‌می‌شود این مبالغ را به شرکت‌هایی بدهند که تمکن مالی بالایی دارند و طرح‌های اقتصادی زودبازده در حوزه‌های غیر امنیت سایبری دارند. این یکی از عواملی است که منجر می‌شود شرکت‌ها به شکل روزافزون به سمت فعالیت‌های صرفاً زودبازده از نظر اقتصادی، بروند که گاه حتی در مقام اجرا با اهداف طرح امن‌سازی در تناقض باشد.
 
مرکز مدیریت راهبردی افتای ریاست جمهوری، هم‌زمان با بلاغ این طرح عنوان کرد که مدیریت مخاطرات در طرح امن‌سازی، فرایندی مستمر و الزامی است که در آن تهدیدات و آسیب‌پذیری‌های موجود در هر سازمان یا صنعت دارای زیرساخت حیاتی باید به شکل مستمر شناسایی و ارزیابی شوند و انجام اقدامات امن‌سازی، مخاطرات احتمالی سایبری به شکل پیوسته مدیریت شوند. سؤال اینجاست که چند درصد از سازمان‌ها، فرایند مدیریت اثربخش مخاطرات سایبری را براساس ISMS و چند درصد از صنایع، فرایند مدیریت اثربخش مخاطرات سایبری را براساس CSMS که در این طرح الزام شده است به شکل سالیانه انجام می‌دهند و بلوغ امنیت سایبری خود را ارتقا می‌دهند؟! متأسفانه شاهد این هستیم که در برخی پروژه‌های ISMS یا CSMS بی‌کیفیت، صرفاً پروژه‌ای جهت رفع تکلیف انجام می‌شود و خروجی مناسب ارائه نمی‌شود.
 
۳. ضعف در رگولاتوری حوزه امنیت سایبری و مرجعیت در نهادهای حاکمیتی:
یکی از قطعات دیگر این پازل، وجود ساختار مناسب و اثربخش تنظیم مقررات (رگولاتوری) و مرجعیت در نهادهای حاکمیتی حوزه امنیت سایبری است. در کشور ما هنوز مرجعیت واحدی در بین نهادهای حاکمیتی در این حوزه وجود ندارد و تغییرات در مرجعیت واحد و تناقض در برخی دستورالعمل‌های نهادهای مختلف، مشکلات عدیده‌ای را در پیاده‌سازی این طرح  یا طرح‌های مشابه ایجاد کرده است. چابکی نهادهای حاکمیتی در پاسخ به نیازمندی‌های سازمان‌ها و صنایع نیز مهم است که شاید معدود بودن نفرات متخصص و متعهد در این حوزه و وسعت جنگ سایبری، محدودیت‌هایی را برای این نهادها ایجاد کرده است.
 
نباید از این‌گونه طرح‌های امن‌سازی، انتظار غیرمعقول داشت. چنین طرح‌هایی عمدتاً با رویکرد «سطح بالا» تهیه، تدوین و ابلاغ می‌شوند و لازم است اسناد تکمیلی و فنی دیگری به شکل تفصیلی و متناسب با هر نوع سامانه و سازنده خاص تهیه شوند و همراه با برنامه اقدامات اجرایی به سازمان‌ها (همراه با سفارشی‌سازی) ابلاغ شوند. البته لازم است در تهیه این اسناد تفصیلی و برنامه اقدامات اجرایی از همکاری سایر بازیگران این حوزه و سایر قطعات «پازل‌ امن‌سازی» نیز به نحو احسن استفاده شود و حتماً راهکارها و برنامه‌هایی که ابلاغ می‌شود قابلیت اجرا از بالاترین لایه‌های سازمان تا پایین‌ترین لایه‌های فنی را داشته باشند و آزمون خود را در محیط‌های آزمایشگاهی مورد تایید گذرانده باشند. فراموش نکنیم که صنعت، آزمایشگاه نیست!
 
۴. ضعف در اختصاص بودجه یا نبود نقدینگی:
علی‌رغم وجود بندها و ردیف‌هایی در سازمان برنامه‌وبودجه کشور یا سایر ارگان‌های مالی، نظیر برنامه‌های پنج‌ساله توسعه کشور، شاهد مشکلات بودجه در سازمان‌ها و صنایع بسیاری برای اجرای این طرح هستیم و این یکی از دلایلی است که باعث شده اقدامات اساسی درباره این موضوع در همه سازمان‌ها و صنایع صورت نگیرد. گاه شاهد این هستیم که در سازمان‌ها و صنایع از برخی ردیف‌های بودجه‌ای در این حوزه بی‌اطلاع هستند و حتی انگیزه‌ای نیز برای جست‌وجوی این ردیف‌های بودجه از سوی بخش کارفرمایی وجود ندارد.
 
۵. سایر عوامل:
عدم همکاری مناسب شرکت‌ها و سازندگان خارجی محصولات در مقوله امنیت سایبری به دلایلی ازجمله تحریم‌ها یا تغییرات مدیریتی درون‌سازمانی و درنتیجه تأثیر منفی آن‌ها بر روی تداوم پرو‌ژه‌های امنیتی و ... از دیگر موارد و عوامل تأثیرگذار هستند. یکی از چالش‌های دیگر ما در کشور این است که برخی پروژه‌های با حمایت خوبی شروع می‌شوند و مسائل امنیتی در ابتدای امر دیده می‌شود، اما به‌مرور از توجه به امنیت کاسته شده و به فراموشی سپرده می‌شود.
 
در دنیای کنونی امروز، با توسعه فناوری‌ها و گسترش جنگ‌های سایبری، امنیت نه‌تنها یک کالای لوکس نیست، بلکه یک سرمایه‌گذاری ارزشمند است.