چرا سازمان‌ها از ابلاغیه‌های امنیتی استقبال نمی‌کنند

طرح امن‌سازی زیرساخت‌های حیاتی در قبال حملات سایبری در سال ۹۷ توسط مرکز مدیریت راهبردی افتا به تمامی دستگاه‌های اجرایی دارای زیرساخت حیاتی کشور ابلاغ شد؛ اما آیا این طرح در سازمان‌ها اجرایی می‌شود؟
 
به گزارش افتانا، زیرساخت‌های حیاتی نیازمند سازوکارهایی برای حفظ محرمانگی، یکپارچگی و دسترس‌پذیری دارایی­‌های خود هستند. از همین رو بود که مرکز مدیریت راهبردی افتای ریاست جمهوری در اسفندماه سال ۱۳۹۷ نسخه جدید طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری را به تمامی دستگاه‌های اجرایی دارای زیرساخت حیاتی کشور ابلاغ کرد. اما آیا این طرح در سازمان‌ها اجرایی می‌شود؟ اگر استقبال خوبی از این طرح نشده، ریشه آن را باید در کجا یافت؟ آیا این طرح به‌اندازه کافی شفاف و واضح نیست؟ آیا دلیل آن برمی‌گردد به اینکه طرح ارائه‌ شده اما روش‌های پیاده‌سازی از سوی ارائه‌دهندگان طرح در اختیار سازمان‌ها قرار نگرفته است؟ آیا نداشتن آیین‌نامه اجرایی در این مورد باعث نبود ضمانت اجرایی آن شده است؟
 
مهندس رضا طی‌نیا، مدیرعامل شرکت کاسیس، در گفت‌وگو با افتانا نظر خود را این‌گونه بیان می‌کند: موضوع امنیت به‌هیچ‌وجه یک موضوع تک‌بعدی نیست و برای بررسی یک موضوع حتماً باید به ابعاد مختلف آن توجه داشت؛ مشکلات اقتصادی شرکت‌ها، نبودن ضمانت‌های اجرایی کافی، تعدد  سازمان‌های سیاست‌گذار، مهاجرت و کمبود نیروی انسانی، عدم حساسیت مدیران ارشد، همگی در به نتیجه نرسیدن یک موضوع تأثیرگذار هستند و طرح امن‌سازی نیز از این امر مستثنی نبوده و ابعاد مختلفی بر نحوه اجرای آن تاثیرگذارند. مرکز راهبردی افتا و سازمان فناوری اطلاعات در زمان مناسبی پیاده‌سازی استاندارد ISO27001 را در دستگاه‌ها الزامی کرده و با نظارت خوبی که داشته و دارند، اجازه صدور گواهی‌نامه‌های جعلی و بدون اثر را مدیریت کردند. دلیل تأکیدم در خصوص ISO27001 این است که این استاندارد، هم‌پوشانی زیادی با طرح امن‌سازی دارد و شرکت‌هایی که ISO27001 را پیاده‌سازی کرده‌اند عملاً بخش‌ها زیادی از طرح امن‌سازی را هم پیاده‌سازی کرده‌اند؛ ولی رقم حدود ۱۰۰ شرکت دارای گواهی‌نامه ISMS، با توجه به تعداد شرکت‌های مشمول و بازه زمانی طولانی در خصوص الزام ISMS، حکایت از عدم استقبال دارد.
 
دکتر شهریار بیژنی، مدیرعامل شرکت فراکنش، در مورد نبود ضمانت اجرایی برای این‌گونه ابلاغ‌ها، به افتانا می‌گوید: به‌نظر نمی‌رسد ضمانت اجرایی برای ابلاغ‌های افتا وجود داشته باشد. درنهایت و در صورت وقوع حمله موفق، ممکن است مسئولان مورد مواخذه قرار بگیرند.
 

مدیرعامل شرکت فراکنش، در مورد دلایل عدم اجرای موفق طرح در سازمان‌ها این‌گونه توضیح می‌دهد: عدم شفافیت و ابهام در نحوه اجرا و نبود راهنمای پیاده‌سازی (implementation guide) که برای مدل‌های مشابه امن سازی افتا مرسوم است، باعث شده در مواردی، انجام طرح امن‌سازی زیرساخت‌های حیاتی افتا با پرکردن یک پرسش‌نامه ساده معادل‌سازی شود و درنتیجه به‌سادگی از کنار اجرای دقیق و صحیح آن عبور می‌شود.
 
طی‌نیا اما به کمبود نیروی انسانی متخصص، تعدد سازمان‌های سیاست‌گذار، عدم هم‌راستایی سیاست‌های اعلام شده توسط سازمان‌های بالادستی، عدم پیگیری پیوسته در بازه‌های زمانی متفاوت، عدم انتقال اهمیت موضوع به مدیران ارشد، عدم وجود سیاست‌های تشویقی مناسب، عدم وجود نظام مشخص برای آموزش، پیاده‌سازی، سنجش اثربخشی و ... را از دلایل عدم اجرای مناسب طرح امن‌سازی اشاره می‌کند و در مورد شفافیت طرح معتقد است: اتفاقاً سند بسیار خوبی تهیه شده و نیاز به شفافیت بیشتری ندارد، اما این مواردی که اشاره کردم می‌تواند دلایل عدم استقبال کافی از طرح امن‌سازی توسط شرکت‌ها باشد.
 
دکتر شاهین نوروزی، مدیرعامل شرکت پندارکوشک ایمن، نیز در این مورد به افتانا می‌گوید: طرح به اندازه کافی شفاف است و همین اندازه که در طرح گفته شده چگونه بر عملکرد سازمان‌ها در این مورد نظارت خواهندکرد، کافی است و شفاف‌سازی لازم از طرف مرکز مدیریت راهبردی افتا به‌طور مشخص انجام شده است.

طی‌نیا این موضوع را که طرح‌ ارائه‌شده، یک‌سری شیوه‌های اجرایی را به سازمان‌ها دیکته نکرده، یک حرکت خوب می‌داند و می‌گوید: به نظرم، بهتر است مرکز راهبردی افتا، تمرکز خود را بر سیاست‌گذاری در سطح کلان حفظ کرده و اجرای این کار مهم را به عهده تیم‌های متخصص موجود در کشور بگذارد؛ ولی در کنار این موضوع، باید سنجش اثربخشی را با دقت و شدت بسیار بیشتری انجام دهد.
 
نوروزی هم این موضوع را از نکات خوب این طرح می‌داند و می‌گوید: سازمان‌های مختلف، نوع دیتا، مخاطبان و سرویس‌های متفاوت و متنوعی دارند و درنتیجه باید متناسب با همان‌ها امن‌سازی را انجام بدهند. درنتیجه نمی‌توان به یک راه‌حل واحد رسید و به همه سازمان‌ها گفت که از این راه‌حل تبعیت کنند. هر سازمان دقیقا وابسته به شرایط خود، قوانین بالادستی و نوع خدمت و مخاطبان خودش باید در مورد امن‌سازی تصمیم بگیرد و قدم بردارد.
 

این کارشناس و فعال حوزه امنیت سایبری، یکی از علل اجرا نشدن کامل این طرح را زیاد بودن قوانین و آیین‌نامه‌ها برمی‌شمرد و می‌گوید: ما آن‌قدر قانون و آیین‌نامه برای این فضا نوشته‌ایم که حد و حساب ندارد و یکی از عللی که طرح  اجرا نمی‌شود همین تنوع این آیین‌نامه‌هاست. کسی نمی‌داند که کدام را اجرا کند. متاسفانه این تصور که با دستور و آیین‌نامه می‌توان یک مسئله بزرگ مثل دغدغه‌های حوزه امنیت سایبری را حل کرد، تصور غلطی است. با چند دستورالعمل مشخص و قابل اجرا بهتر می‌توانیم امن‌سازی را انجام دهیم تا تعداد زیادی آیین‌نامه. به نظرم اصلی‌ترین موضوع عدم استقبال از طرح، کمبود آیین‌نامه نیست. اتفاقا به اندازه کافی آیین‌نامه داریم. مشکل اجرا نشدن به عدم آگاهی سازمان‌ها هم برنمی‌گردد. سازمان‌ها خوب می‌دانند که باید چه کاری را انجام دهند. اصلی‌ترین موضوع، عدم نظارت درست است.
 
دستورالعمل‌ها و قوانین شفاف است، اما هیچ نظارتی بر این حوزه نیست. وی می‌گوید: در نظارت، معمولا رایج نیست کسی را بابت کار نکرده بازخواست کرد و این مطلب باعث شده که سازمان‌های مختلف اصلا در مورد اجرای این طرح حرکتی نداشته باشند. چون اگر کاری نکنند درنتیجه نیازی نیست به کسی پاسخگو باشند. در حالی که به نظرم خوب است جاهایی مثل مرکز راهبردی افتا، سازمان پدافند غیرعامل و بازرسی کل کشور و... تمام انرژی خود را بر این متمرکز کنند تا کسانی را که هیچ ‌کاری نمی‌کنند بابت کاری که انجام نداده‌اند مورد بازخواست قرار دهند و توبیخ و حتی تنبیه و مجازات کنند. اصلی‌ترین موضوع و مشکل ما این است که تمام مدیران ما به این جمع‌بندی رسیده‌اند که اگر کاری نکرده و پولی خرج نکنند مجبور به پاسخگویی هم نخواهندبود. اصلی‌ترین علت این همه نابه‌سامانی که می‌بینید این است که هیچ کسی جوابگوی کار نکرده نیست.
 
طی‌نیا در ادامه بر اهمیت وجود یک آیین‌نامه که بر ضمانت اجرایی طرح بیفزاید اشاره می‌کند: وجود یک نظام برای تعریف دقیق ارکان و رساندن سازمان‌های ذی‌ربط، به اهداف تعریف شده بسیار مهم خواهد بود، لازم است مشخص باشد که متخصصان مرتبط با طرح امن‌سازی، باید چه توانمندی‌هایی داشته باشند و از چه مراجعی برای پیاده‌سازی استفاده کنند، آنان باید چه توانمندی‌هایی داشته باشند، سازمان‌ها بعد از پیاده‌سازی به چه چیزی خواهند رسید و طرح امن‌سازی ماهیتاً چه مزیتی برای سازمان‌ها ایجاد خواهد کرد، نظارت بر فرایند پیاده‌سازی، ممیزی و آموزش به چه صورتی است، طرح‌های تشویقی و تنبیهی مناسب تعریف شود و سایر مواردی که در ذیل نظام قابل‌تعریف است.  
 
او نیز بر جایگاه نظارتی مرکز راهبردی افتا تاکید کرده و ادامه می‌دهد: اگر مرکز راهبردی افتا، از اجرا و ممیزی طرح امن‌سازی فاصله گرفته و با انتقال دانش، این بخش را به شرکت‌های خصوصی بسپارد و سپس نقش نظارتی را با دقت بیشتری پیش ببرد، میزان اثربخشی افزایش خواهد یافت. در کنار این امر مهم، توصیه می‌کنم مرکز راهبردی افتا، از طرح‌های تشویقی بیشتری استفاده کند، به‌گونه‌ای که سازمان‌ها و شرکت‌ها، آن مرکز را یک سازمان حامی در کنار خود ببینند و بیشتر تلاش کنند تا از مشاوره و کمک آن استفاده ببرند.
 

نوروزی دلیلی دیگری را نیز برای استقبال نشدن از طرح ارائه می‌دهد: تفکر حوزه امنیت در کشور ما متعلق به بیش از یک دهه قبل است و اصلا به‌روز نمی‌شود. البته تجهیزات و امکانات به‌روز می‌شوند اما نگرش و فکر، هیچ تغییر نکرده و هنوز شبیه ده سال قبل فکر می‌کنیم. همین باعث شده که از نظر معماری امنیت در کشور عقب‌افتادگی داشته باشیم و شاهد نابسامانی‌های فراوان و حملات سایبری موفق زیادی باشیم.
 
او همچنین به تهدیدات ناشی از عدم باور به تولیدکنندگان و کارشناسان داخلی اشاره می‌کند و می‌گوید: ما در خیلی موارد به تجهیزات خارجی و معماری‌های غیربومی اعتماد می‌کنیم و این می‌تواند بسیار خطرناک باشد. نکته‌ای که ما باید به ‌آن توجه کنیم این است که اگر تجهیزات مناسب تولید داخل داریم حتما از آن استفاده کنیم و اگر نداریم برویم سراغ تجهیزات خارجی، اما حتما معماری که ایجاد می‌کنیم از نظر طراحی و طرز تفکر، مناسب کار خودمان و به‌روز باشد. برخی سازمان‌ها، معماری‌هایی را ارائه می‌دهند که اصلا با اهداف و قوانین بالادستی آن سازمان مطابقت ندارد و فقط برای این است که اگر بازرسی آمد بگویند کاری کرده‌اند. اصلا کسی توجه نمی‌کند و یا شاید اصلا متوجه نیستند که آیا این معماری مناسب آن نیازمندی بوده یا نه و این هزینه‌ای که برای اجرای آن شده اصلا آیا ضرورت داشته یا خیر. اگر به این مسائل توجه کنیم امیدوارم که مشکلاتی که در این زمینه‌ها شاهد آن هستیم درکشورمان کمتر شود. تفکر معماری و به‌روز نشدن روش فکر در این حوزه جای کار زیادی دارد و به خصوص در حوزه آموزش باید کار زیادی بشود و اطلاعات مدیران ما و کارشناسان حوزه امنیت باید به‌روز شود تا بتوانیم قدم‌های موثری برداریم.
 
بیژنی نیز معتقد است که فرهنگ امنیت سایبری هنوز هم در بین مدیران و تصمیم‌گیران سازمان‌ها و شرکت‌ها نهادینه نشده و عمدتا به الزامات اعلامی مرکز افتا به‌عنوان رفع تکلیف نگاه می‌شود و این، نکته بسیار مهم و حائز اهمیتی برای اجرای چنین طرح‌هایی در سازمان‌هاست. تا زمانی که انجام چنین طرح‌های زیربنایی، فقط به عنوان اجرای بخشی از وظایف اداری سازمان‌ها تلقی می‌شود، نمی‌توان به بهبود امنیت سایبری امیدوار بود.