طرح امنسازی زیرساختهای حیاتی در قبال حملات سایبری در سال ۹۷ توسط مرکز مدیریت راهبردی افتا به تمامی دستگاههای اجرایی دارای زیرساخت حیاتی کشور ابلاغ شد؛ اما آیا این طرح در سازمانها اجرایی میشود؟
به گزارش افتانا، زیرساختهای حیاتی نیازمند سازوکارهایی برای حفظ محرمانگی، یکپارچگی و دسترسپذیری داراییهای خود هستند. از همین رو بود که
مرکز مدیریت راهبردی افتای ریاست جمهوری در اسفندماه سال ۱۳۹۷ نسخه جدید طرح امن سازی زیرساختهای حیاتی در قبال حملات سایبری را به تمامی دستگاههای اجرایی دارای زیرساخت حیاتی کشور ابلاغ کرد. اما آیا این طرح در سازمانها اجرایی میشود؟ اگر استقبال خوبی از این طرح نشده، ریشه آن را باید در کجا یافت؟ آیا این طرح بهاندازه کافی شفاف و واضح نیست؟ آیا دلیل آن برمیگردد به اینکه طرح ارائه شده اما روشهای پیادهسازی از سوی ارائهدهندگان طرح در اختیار سازمانها قرار نگرفته است؟ آیا نداشتن آییننامه اجرایی در این مورد باعث نبود ضمانت اجرایی آن شده است؟
مهندس رضا طینیا، مدیرعامل شرکت کاسیس، در گفتوگو با افتانا نظر خود را اینگونه بیان میکند: موضوع امنیت بههیچوجه یک موضوع تکبعدی نیست و برای بررسی یک موضوع حتماً باید به ابعاد مختلف آن توجه داشت؛ مشکلات اقتصادی شرکتها، نبودن ضمانتهای اجرایی کافی، تعدد سازمانهای سیاستگذار، مهاجرت و کمبود نیروی انسانی، عدم حساسیت مدیران ارشد، همگی در به نتیجه نرسیدن یک موضوع تأثیرگذار هستند و
طرح امنسازی نیز از این امر مستثنی نبوده و ابعاد مختلفی بر نحوه اجرای آن تاثیرگذارند. مرکز راهبردی افتا و سازمان فناوری اطلاعات در زمان مناسبی پیادهسازی استاندارد ISO27001 را در دستگاهها الزامی کرده و با نظارت خوبی که داشته و دارند، اجازه صدور گواهینامههای جعلی و بدون اثر را مدیریت کردند. دلیل تأکیدم در خصوص ISO27001 این است که این استاندارد، همپوشانی زیادی با طرح امنسازی دارد و شرکتهایی که ISO27001 را پیادهسازی کردهاند عملاً بخشها زیادی از طرح امنسازی را هم پیادهسازی کردهاند؛ ولی رقم حدود ۱۰۰ شرکت دارای گواهینامه ISMS، با توجه به تعداد شرکتهای مشمول و بازه زمانی طولانی در خصوص الزام ISMS، حکایت از عدم استقبال دارد.
دکتر شهریار بیژنی، مدیرعامل شرکت فراکنش، در مورد نبود ضمانت اجرایی برای اینگونه ابلاغها، به افتانا میگوید: بهنظر نمیرسد ضمانت اجرایی برای ابلاغهای افتا وجود داشته باشد. درنهایت و در صورت وقوع حمله موفق، ممکن است مسئولان مورد مواخذه قرار بگیرند.
شفافیت کافی و نظارت ناکافی
مدیرعامل شرکت فراکنش، در مورد دلایل عدم اجرای موفق طرح در سازمانها اینگونه توضیح میدهد: عدم شفافیت و ابهام در نحوه اجرا و نبود راهنمای پیادهسازی (implementation guide) که برای مدلهای مشابه امن سازی افتا مرسوم است، باعث شده در مواردی، انجام طرح امنسازی زیرساختهای حیاتی افتا با پرکردن یک پرسشنامه ساده معادلسازی شود و درنتیجه بهسادگی از کنار اجرای دقیق و صحیح آن عبور میشود.
طینیا اما به کمبود نیروی انسانی متخصص، تعدد سازمانهای سیاستگذار، عدم همراستایی سیاستهای اعلام شده توسط سازمانهای بالادستی، عدم پیگیری پیوسته در بازههای زمانی متفاوت، عدم انتقال اهمیت موضوع به مدیران ارشد، عدم وجود سیاستهای تشویقی مناسب، عدم وجود نظام مشخص برای آموزش، پیادهسازی، سنجش اثربخشی و ... را از دلایل عدم اجرای مناسب طرح امنسازی اشاره میکند و در مورد شفافیت طرح معتقد است: اتفاقاً سند بسیار خوبی تهیه شده و نیاز به شفافیت بیشتری ندارد، اما این مواردی که اشاره کردم میتواند دلایل عدم استقبال کافی از طرح امنسازی توسط شرکتها باشد.
دکتر شاهین نوروزی، مدیرعامل شرکت پندارکوشک ایمن، نیز در این مورد به افتانا میگوید: طرح به اندازه کافی شفاف است و همین اندازه که در طرح گفته شده چگونه بر عملکرد سازمانها در این مورد نظارت خواهندکرد، کافی است و شفافسازی لازم از طرف مرکز مدیریت راهبردی افتا بهطور مشخص انجام شده است.
طینیا این موضوع را که طرح ارائهشده، یکسری شیوههای اجرایی را به سازمانها دیکته نکرده، یک حرکت خوب میداند و میگوید: به نظرم، بهتر است مرکز راهبردی افتا، تمرکز خود را بر سیاستگذاری در سطح کلان حفظ کرده و اجرای این کار مهم را به عهده تیمهای متخصص موجود در کشور بگذارد؛ ولی در کنار این موضوع، باید سنجش اثربخشی را با دقت و شدت بسیار بیشتری انجام دهد.
نوروزی هم این موضوع را از نکات خوب این طرح میداند و میگوید: سازمانهای مختلف، نوع دیتا، مخاطبان و سرویسهای متفاوت و متنوعی دارند و درنتیجه باید متناسب با همانها امنسازی را انجام بدهند. درنتیجه نمیتوان به یک راهحل واحد رسید و به همه سازمانها گفت که از این راهحل تبعیت کنند. هر سازمان دقیقا وابسته به شرایط خود، قوانین بالادستی و نوع خدمت و مخاطبان خودش باید در مورد امنسازی تصمیم بگیرد و قدم بردارد.
کسی جوابگوی کار نکرده نیست
این کارشناس و فعال حوزه امنیت سایبری، یکی از علل اجرا نشدن کامل این طرح را زیاد بودن قوانین و آییننامهها برمیشمرد و میگوید: ما آنقدر قانون و آییننامه برای این فضا نوشتهایم که حد و حساب ندارد و یکی از عللی که طرح اجرا نمیشود همین تنوع این آییننامههاست. کسی نمیداند که کدام را اجرا کند. متاسفانه این تصور که با دستور و آییننامه میتوان یک مسئله بزرگ مثل دغدغههای حوزه امنیت سایبری را حل کرد، تصور غلطی است. با چند دستورالعمل مشخص و قابل اجرا بهتر میتوانیم امنسازی را انجام دهیم تا تعداد زیادی آییننامه. به نظرم اصلیترین موضوع عدم استقبال از طرح، کمبود آییننامه نیست. اتفاقا به اندازه کافی آییننامه داریم. مشکل اجرا نشدن به عدم آگاهی سازمانها هم برنمیگردد. سازمانها خوب میدانند که باید چه کاری را انجام دهند. اصلیترین موضوع، عدم نظارت درست است.
دستورالعملها و قوانین شفاف است، اما هیچ نظارتی بر این حوزه نیست. وی میگوید: در نظارت، معمولا رایج نیست کسی را بابت کار نکرده بازخواست کرد و این مطلب باعث شده که سازمانهای مختلف اصلا در مورد اجرای این طرح حرکتی نداشته باشند. چون اگر کاری نکنند درنتیجه نیازی نیست به کسی پاسخگو باشند. در حالی که به نظرم خوب است جاهایی مثل مرکز راهبردی افتا، سازمان پدافند غیرعامل و بازرسی کل کشور و... تمام انرژی خود را بر این متمرکز کنند تا کسانی را که هیچ کاری نمیکنند بابت کاری که انجام ندادهاند مورد بازخواست قرار دهند و توبیخ و حتی تنبیه و مجازات کنند. اصلیترین موضوع و مشکل ما این است که تمام مدیران ما به این جمعبندی رسیدهاند که اگر کاری نکرده و پولی خرج نکنند مجبور به پاسخگویی هم نخواهندبود. اصلیترین علت این همه نابهسامانی که میبینید این است که هیچ کسی جوابگوی کار نکرده نیست.
طینیا در ادامه بر اهمیت وجود یک آییننامه که بر ضمانت اجرایی طرح بیفزاید اشاره میکند: وجود یک نظام برای تعریف دقیق ارکان و رساندن سازمانهای ذیربط، به اهداف تعریف شده بسیار مهم خواهد بود، لازم است مشخص باشد که متخصصان مرتبط با طرح امنسازی، باید چه توانمندیهایی داشته باشند و از چه مراجعی برای پیادهسازی استفاده کنند، آنان باید چه توانمندیهایی داشته باشند، سازمانها بعد از پیادهسازی به چه چیزی خواهند رسید و طرح امنسازی ماهیتاً چه مزیتی برای سازمانها ایجاد خواهد کرد، نظارت بر فرایند پیادهسازی، ممیزی و آموزش به چه صورتی است، طرحهای تشویقی و تنبیهی مناسب تعریف شود و سایر مواردی که در ذیل نظام قابلتعریف است.
او نیز بر جایگاه نظارتی مرکز راهبردی افتا تاکید کرده و ادامه میدهد: اگر مرکز راهبردی افتا، از اجرا و ممیزی طرح امنسازی فاصله گرفته و با انتقال دانش، این بخش را به شرکتهای خصوصی بسپارد و سپس نقش نظارتی را با دقت بیشتری پیش ببرد، میزان اثربخشی افزایش خواهد یافت. در کنار این امر مهم، توصیه میکنم مرکز راهبردی افتا، از طرحهای تشویقی بیشتری استفاده کند، بهگونهای که سازمانها و شرکتها، آن مرکز را یک سازمان حامی در کنار خود ببینند و بیشتر تلاش کنند تا از مشاوره و کمک آن استفاده ببرند.
بازنگری در نگرش و معماری امنیت
نوروزی دلیلی دیگری را نیز برای استقبال نشدن از طرح ارائه میدهد: تفکر
حوزه امنیت در کشور ما متعلق به بیش از یک دهه قبل است و اصلا بهروز نمیشود. البته تجهیزات و امکانات بهروز میشوند اما نگرش و فکر، هیچ تغییر نکرده و هنوز شبیه ده سال قبل فکر میکنیم. همین باعث شده که از نظر معماری امنیت در کشور عقبافتادگی داشته باشیم و شاهد نابسامانیهای فراوان و حملات سایبری موفق زیادی باشیم.
او همچنین به تهدیدات ناشی از عدم باور به تولیدکنندگان و کارشناسان داخلی اشاره میکند و میگوید: ما در خیلی موارد به تجهیزات خارجی و معماریهای غیربومی اعتماد میکنیم و این میتواند بسیار خطرناک باشد. نکتهای که ما باید به آن توجه کنیم این است که اگر تجهیزات مناسب تولید داخل داریم حتما از آن استفاده کنیم و اگر نداریم برویم سراغ تجهیزات خارجی، اما حتما معماری که ایجاد میکنیم از نظر طراحی و طرز تفکر، مناسب کار خودمان و بهروز باشد. برخی سازمانها، معماریهایی را ارائه میدهند که اصلا با اهداف و قوانین بالادستی آن سازمان مطابقت ندارد و فقط برای این است که اگر بازرسی آمد بگویند کاری کردهاند. اصلا کسی توجه نمیکند و یا شاید اصلا متوجه نیستند که آیا این معماری مناسب آن نیازمندی بوده یا نه و این هزینهای که برای اجرای آن شده اصلا آیا ضرورت داشته یا خیر. اگر به این مسائل توجه کنیم امیدوارم که مشکلاتی که در این زمینهها شاهد آن هستیم درکشورمان کمتر شود. تفکر معماری و بهروز نشدن روش فکر در این حوزه جای کار زیادی دارد و به خصوص در حوزه آموزش باید کار زیادی بشود و اطلاعات مدیران ما و کارشناسان حوزه امنیت باید بهروز شود تا بتوانیم قدمهای موثری برداریم.
بیژنی نیز معتقد است که فرهنگ امنیت سایبری هنوز هم در بین مدیران و تصمیمگیران سازمانها و شرکتها نهادینه نشده و عمدتا به الزامات اعلامی مرکز افتا بهعنوان رفع تکلیف نگاه میشود و این، نکته بسیار مهم و حائز اهمیتی برای اجرای چنین طرحهایی در سازمانهاست. تا زمانی که انجام چنین طرحهای زیربنایی، فقط به عنوان اجرای بخشی از وظایف اداری سازمانها تلقی میشود، نمیتوان به بهبود امنیت سایبری امیدوار بود.