بهناز آریا - رئیس کمیسیون افتا نظام صنفی رایانه ای استان تهران - در گفتوگو با ایران اکونومیست، درباره وظایف کمیسیون افتای نظام صنفی رایانهای استان تهران، خاطر نشان کرد: عنوان افتا به معنی امنیت فضای تولید و تبادل اطلاعات است. در نتیجه امنیت تمام اطلاعاتی که در این فضا تبادل می شود مربوط به کمیسیون افتا نظام صنفی رایانه ای کشور است.
وی با بیان اینکه بنده زمانی که وارد سازمان نظام صنفی شدم، سالهایی بود که هنوز موضوع امنیت در فضای مجازی کشور خیلی شناخته شده نبود، گفت: در آن سالها قرار شده بود که کمیسیون افتا منحل شود چرا که احساس نیازی به وجود این کمیسیون وجود نداشت. برای این که این کمیسیون منحل نشود بسیار جنگیدم. این در حالی است که امروز موضوع امنیت اطلاعات به یکی از اولویتهای کشور و دنیا تبدیل شده است و در طی این سالها چنین روندی را طی کردهایم.
وی در ادامه با تاکید بر اهمیت موضوعات سایبری در کشور، خاطر نشان کرد: از آنجا که کشور ما در موقعیت ژئوپلیتیک بسیار خاصی قرار گرفته است، این موقعیت باعث می شود که ما همیشه هدف خیلی مهمی برای کشورهای دیگر باشیم. همچنین در بخشی دیگر از این تغییرات ما به جای جنگ مسلحانه با جنگ سایبری مواجهیم که یکی از بزرگترین دغدغههای دنیا محسوب می شود.
آریا ادامه داد: به این ترتیب ما در رخدادهای امنیت سایبری که اخیرا اتفاق می افتد، مشاهده می کنیم که چقدر کشور ایران جزو اولویت های دنیا در این زمینه قرار دارد. در این زمینه چند سال پیش برای نخستین بار در دنیا ویروسی با یک هدف خاص برای یک کشور خاص طراحی شد. هدف این ویروس عمدتا ایران بود و با توجه با اتفاقاتی که در حوزه زیر ساختهای حیاتی کشور رخ داد، به شدت موضوع امنیت در کشور مهم تر شد و اولویت پیدا کرد.
تامین امنیت اطلاعات ملی مطلوب با استفاده از تجهیزات و راهکار های بومی
وی افزود: پس از مهم شدن موضوع امنیت اطلاعات در حاکمیت، شرکتهای خصوصی نیز شروع به فعالیت بیشتری در این حوزه کردند. البته در عین حال ما در شرایط تحریم مشکلات فراوانی برای دسترسی به اطلاعات و ابزارهای لازم در این حوزه داریم. تمام این موارد کشور را به سمت ایجاد امنیت بومی و امنیت ملی پیش برد. در نتیجه در سالهای اخیر نگاه کشور و نگاه حاکمیت تامین امنیت اطلاعات مطلوب ملی با استفاده از تجهیزات و راهکار های بومی و ایرانی بوده است. این درحالیست که مشکلات فراوان در بخش تولید، راه را برای شرکتهای تولیدکننده افتایی بسیار دشوار کرده است. تولیدکنندگان ما برای رسیدن به امنیت مطلوب ملی، نیازمند یک عزم ملی و یک حمایت همه جانبه برای رسیدن به راه حل های مورد نیاز کشور هستند.
آریا با بیان اینکه در سازمان صنفی رایانهای کشور، کمیسیون افتا نماینده شرکتهای فعال در حوزه امنیت اطلاعات است، خاطر نشان کرد: این شرکتهای فعال در حوزه امنیت در حوزههای تامین تجهیزات، تامین خدمات، تامین نرم افزار و ... فعالیت می کنند.
ضرورت وجود دانش به روز و چابکی انطباق با رویدادهای دنیا
وی ادامه داد: طبیعتا ما در کمیسیون افتا خود را در بخش خصوصی به عنوان بازوی اجرایی دولت می بینیم و اعتقاد داریم که دانش به روز، ابزارهای به روز و چابکی انطباق با رویدادهایی که در دنیا در حال اتفاق است، در بخش خصوصی وجود دارد.
آریا با بیان اینکه رخدادهای امنیتی در سالهای اخیر عمدتا در زیر ساختهای حیاتی کشور اتفاق افتاده است، گفت: انتظار بخش خصوصی این بوده است که بتواند به عنوان بازوی اجرایی حاکمیت به سرعت واکنش نشان داده و بتواند سپر دفاعی در مقابل این رخدادها را تامین کند. همچنین بتواند اقدامات اصلاحی را انجام داده و سطح مطلوب امنیت را تامین کند.
لزوم تعامل بین حاکمیت و بخش خصوصی برای حفظ بیشتر امنیت اطلاعات
وی تاکید کرد: یکی از بزرگترین چالشهای بخش خصوصی طی سالهای گذشته این بوده که به اندازه کافی محرم حاکمیت نبوده است. البته ما به عنوان بخش خصوصی متوجه محرمانگی و طبقهبندی مسائل هستیم. ما سالهاست که با این موارد کار می کنیم اما انتظار ما همواره تعامل بین حاکمیت و بخش خصوصی بوده است. ما انتظار داریم اطلاعاتی که از این رخدادها به دست آمده با بخش خصوصی به اشتراک گذاشته شود تا ما تیز بتوانیم برای دفاع از امنیت اطلاعات اقدامات اصلاحی انجام دهیم.
آریا با بیان اینکه ما طی سالهای گذشته در حال تلاش برای ایجاد اعتماد بین بخش حاکمیتی و بخش خصوصی بوده ایم، اظهار کرد: این اقدامات به منظور این بوده است که حاکمیت متوجه باشد که باید به سرعت و در میزان لازم اطلاعات را با ما به اشتراک بگذارند تا بتوانیم عکس العمل لازم را انجام دهیم. نتیجه این تلاشها این بوده که ما توانستیم تا حدی در این راه موفق باشیم و اما همچنان این موضوع یکی از بزرگترین مسائل ما است.
وی با اشاره به اهمیت امنیت اطلاعات در جامعه، گفت: این موضوع برآیند بیرونی زیادی دارد برای مثال ممکن است یک سازمان مورد حمله سایبری قرار بگیرد، هفته بعد دوباره یک سازمان دیگر از همان راه مورد حمله سایبری قرار بگیرد و این چرخه ادامه پیدا کند. این تکرار حملات سایبری یعنی ما موفق نبوده ایم برای اینکه اقدامات اصلاحی را به موقع انجام دهیم و کاری کنیم این آسیب پذیری عملا برطرف شود و دیگر این مشکل به وجود نیاید. این نتیجه و برآیند بیرونی امن نبودن در سطح لازم است که بسیار به ضرر جامعه است. برای مثال یکی از اتفاقات مشابه در این زمینه مسائل مربوط به کارت سوخت بود که مشاهده کردید چقدر در جامعه هرج و مرج، نگرانی و دغدغه ایجاد کرد. این مسائل اهمیت به اشتراک گذاشتن اطلاعات توسط حاکمیت با بخش خصوصی و لزوم واکنش مناسب به رخدادها را به خوبی نشان میدهد.
تعدد متولیان حوزه امنیت سایبری، یک چالش مهم بخش خصوصی
آریا ادامه داد: عملا یکی از مسائل بزرگ ما روش تعاملی در زمان بروز رخدادهاست که علاوه بر آن تعدد بسیار متولیان در حوزه امنیت هم یکی دیگر از مسائل است. ما در حوزه امنیت متولیانی از جمله پدافند غیر عامل، افتای ریاست جمهوری، شورای عالی فضای مجازی، پلیس فتا و ... را داریم. همچنین اخذ انواع و اقسام مجوزها برای کار در این حوزه نیز به یکی دیگر از مسائل ما تبدیل شده است.
وی افزود: در این زمینه در حالی که توان بخش خصوصی باید صرف افزایش توان تخصصی خود باشد، صرف دوندگی برای کسب مجوزهای لازم می شود. در واقع تمام توان شرکتهای خصوصی برای دریافت مجوزهای مختلف صرف می شود. روشهای اخذ مجوز نیز به قدری ناکارآمد است که به سختی به نتیجه میرسد و در نتیجه اجازه فعالیت هم تا زمان دریافت مجوز به شرکتها داده نمی شود. مجوززدایی و صدور متمرکز و تجمیع مجوزهای لازم، یکی از نیازمندیهای بخش خصوصی برای چابکی است.
وی تاکید کرد: یکی دیگر از مشکلات بخش خصوصی در این زمینه این است که در سیاست گذاری دائما انواع ابلاغیهها و آئین نامهها صادر می شود که ضمانتهای اجرایی درستی برای آن وجود ندارد. تمام آسیب پذیریهایی که میبینید یک بخش عمده آن ناشی از این است که آنچه برای سازمان ها الزامی بوده و به سازمانها ابلاغ شده توسط سازمانها انجام نشده است و به هیچ جا هم پاسخگو نیستند و از طرفی دیگر، هیچ جایی هم توبیخ نمی شوند. بنابراین انواع و اقسام قوانین بدون ضمانت اجرایی ایجاد می شود که اگرچه قوانین کارآمدیست اما به دلیل اجرایی نشدن ناکارآمد میشود.
عدم مشورت کافی درباره وضع قوانین فضای امنیت سایبری با بخش خصوصی
آریا ادامه داد: این موضوع همچنین بدون در نظر گرفتن نظر بخش خصوصی در مورد آئین نامهها است. در واقع در مورد آنچه که قرار است بخش خصوصی در فضای امنیت سایبری انجام دهد و مجری آن باشد، با بخش خصوصی در این مورد مشورت مناسبی نمیشود.
وی با بیان اینکه برای حل این موضوعات تلاش های زیادی در کمیسیون افتای نظام صنفی رایانه ای تهران صورت گرفته است، گفت: اگر در این زمینه با سالهای قبل یک مقایسه انجام دهیم، متوجه می شویم که قطعا در حال حاضر ارتباط تعاملی بهتری با حاکمیت و متولیان این حوزه پیدا کرده ایم و کم کم داریم جایگاه خود را در این حوزه پیدا می کنیم و این جایگاه را به عنوان بازوی مشورتی حاکمیت بدست میآوریم ولی هم حاکمیت و هم خود بخش خصوصی باید برای بهبود این تعامل تلاش بیشتری انجام دهند.
لزوم مشارکت بخش خصوصی در تدوین آئیننامههای لازم
آریا با تاکید بر اینکه بازوی مشورتی بودن برای حاکمیت تنها درخواست ما نیست، اظهار کرد: ما در این زمینه علاوه بر اینکه می خواهیم بازوی مشورتی حاکمیت باشیم بلکه کرسی نیز می خواهیم تا رای درستی در تدوین سیاست ها و آئین نامه ها داشته باشیم. در حال حاضر اگر آئین نامه یا دستور العملی نوشته شود تنها چند روز به ما فرصت می دهند که برای این آئین نامه نظر بدهیم. این کافی نیست ما می خواهیم بخش خصوصی هم در تدوین آئین نامهها مشارکت داشته باشد و هم کرسی لازم برای تصمیم سازی را دارا باشد.
وی تاکید کرد: به عنوان بخش خصوصی در این زمینه انتظار چابکی، انعطاف پذیری و پذیرش بسیار زیاد از سمت حاکمیت داریم چرا که دنیا صبر نمی کند، ما پیچ و خم های روالهای امنیتی را در کشور خودمان طی کنیم و از آنجا که ما به عنوان یک هدف برای دنیا محسوب می شویم، باید به سرعت با تحول های فناوری و حتی سیاسی در دنیا خود را به روز کنیم.
آریا در ادامه با اشاره به مشکلات مربوط به نیروی انسانی در شرکتها اظهار کرد: بحث مربوط به نیروی انسانی در حوزه امنیت یکی از بزرگترین چالش های این حوزه در دنیاست. چرا که آموزش افرادی که می خواهند در حوزه امنیت کار می کنند یک پروسه طولانی است. این در حالی است که برای یک نیروی انسانی که می خواهد در حوزه شبکه کار کند، برگزاری یک یا چند دوره آموزشی کفایت میکند، اما در حوزه امنیت این موضوع کاملا فرق میکند چراکه آموزش در حوزه امنیت یک آموزش چند وجهی در ابعاد فنی و حتی روانشناسی اجتماعی است، در زمان طولانیتر و با پیش نیازهای بیشتر. به همین دلیل است که نرخ بیکاری افراد در حوزه امنیت در دنیا صفر است.
تحول دیجیتال در دنیا بدون حفظ امنیت آن بی معنی است
وی با بیان اینکه تمام دنیا به دنبال افراد متخصص در زمینه امنیت هستند، گفت: در دنیا هر روز تکنولوژی های جدیدی وارد می شود و حفظ امنیت داراییهای اطلاعاتی بسیار مهم است و تحول دیجیتال بدون حفظ امنیت آن بی معنی است، به همین دلیل نیروی انسانی در حوزه امنیت که هر روز صنعت بزرگتری میشود، بزرگترین چالش این حوزه است.
آریا با اشاره به موضوعاتی مانند پر چالش نیروی انسانی در ایران و پروسه طولانی تربیت نیروی انسانی متخصص، تاکید کرد: با تغییراتی که هر روز در علم امنیت اتفاق میافتد و تعداد نیروی انسانی محدود، شرکتهای ایرانی با چالشهای بزرگی مواجه هستند.
وی با تاکید بر اینکه با توجه به مسائل روز دنیا درحوزه امنیت اطلاعات ما می توانیم در این بخش یک اقتصاد بی نظیر داشته باشیم، خاطر نشان کرد: متاسفانه به دلیل مسائلی که در ایران وجود دارد از جمله نیروی انسانی، شرکتهای امنیتی ما عمدتا در اندازه کوچک و متوسط باقی می مانند و نمی توانند بزرگ شوند.
کمک رشد اقتصاد امنیت اطلاعات به نگهداشت نیروی انسانی
آریا در ادامه درباره چگونگی نگهداشت نیروی انسانی در شرکتها گفت: این موضوعی است که با متولیانی نظیر شورای عالی فضای مجازی در حال مطالعه هستیم. در این مورد باید تاکید کنم تا زمانی که اقتصاد امنیت اطلاعات در کشور ما رشد نکند، نگهداشت نیروی انسانی امکان پذیر نیست. اعدادی که این افراد به عنوان حقوق دریافت می کنند واقعا ناچیز است. یکی از پارامترهایی که ما می توانیم در نگهداشت نیروی انسانی در آن دخیل باشم موضوع پرداخت حقوق است.
وی ادامه داد: در این زمینه مهمترین موضوعی که ما داریم رشد اقتصاد امنیت اطلاعات است تا بتوانیم عدد پروژه ها را افزایش داده و حقوق های پرداختی را زیاد کنیم تا به این ترتیب یکی از پارامترهای نگهداشت نیروی انسانی را بتوانیم تامین کنیم.
آریا در ادامه با بیان اینکه نظام صنفی رایانه ای کشور بزرگترین تشکل مردم نهاد بخش خصوصی است ، گفت: این سازمان نماینده حوزه فناوری اطلاعات و ارتباطات کشور است. ما در بخش خصوصی حدود ۲۰ هزار عضو در کشور داریم، این ۲۰ هزار عضو عمدتا شرکت هستند یعنی می توان گفت که جامعه فناوری اطلاعات عملا در سازمان نظام صنفی حضور دارد و همه شرکتها باید بر اساس قانون مجوز فعالیتهای خود را از سازمان نظام صنفی رایانهای بگیرند و این یعنی دانش و عملیات زیرساخت فناوری کشور در سازمان نظام صنفی رایانهای جمع شده است.
وی با تاکید بر اهمیت حوزه فناوری اطلاعات در دنیا، گفت: امروز اهمیت این حوزه بر کسی پوشیده نیست. فناوری اطلاعات یک حوزه فرا رشته ای و توانمندساز برای سایر صنایع است.
آریا ادامه داد: در حال حاضر نگرانی که از رخدادهای امنیتی وجود دارد، تنها به یک عملیات نفوذ خلاصه نمی شود بلکه نگرانی ما از این است که طی یک رخداد امنیتی، زیرساختی دچار آسیب شود و فرضا برق یا آب یک استان قطع شود، این موضوع اهمیت امنیت اطلاعات را به خوبی نشان می دهد که بخش خصوصی و حاکمیت و حتی آحاد جامعه به نوعی برای حفظ آن مسوولیتی دارند.
فناوری اطلاعات زیرساخت حیاتی کشور است
وی با تاکید بر اینکه فناوری اطلاعات زیرساخت حیاتی کشور است، اظهار کرد: ما دریک برهه زمانی با فرصتهایی طلایی برای فناوری اطلاعات قرار داریم و در این شرایط انتظار داریم که سازمان نظام صنفی رایانهای و کمیسیون افتا در تصمیم گیریهای حاکمیت مشارکت داده شده و حضور داشته باشد. به عقیده من در سالهای گذشته حاکمیت تا حدودی این هویت را به سازمان نظام صنفی داده است و سازمان را به رسمیت شناخته است و در بسیاری از موارد سازمان نظام صنفی را نماینده بخش خصوصی میداند اما هنوز جای کار فراوانی دارد.
او تصریح کرد: نظام صنفی از لحاظ قانونی جایگاه خود را دارد اما از لحاظ عرفی و واقعیتی که وجود دارد از جایگاه واقعی خود خصوصا از منظر اقتصادی و تصمیم سازی برخوردار نیست و این نیازمند خودباوری بخش خصوصی و تعامل سازنده با حاکمیت است تا فناوری اطلاعات به اقتصاد طلایی کشور تبدیل شود.