وضعیت نامطلوب امنیت سایبری ایران نیازمند آسیب شناسی است
سند راهبردی افتا مهمترین سند بالادستی نظام در حوزه امنیت سایبر محسوب میشود که طبق قانون برنامه پنجم توسعه تمامیارکان کشور موظف به اجرای آن شده اند. در این سند الزاماتی در حوزه امنیت فضای تبادل اطلاعات برای دولت و بخش خصوصی دیده شده است.
استقرار نظام مدیریت امنیت اطلاعات (ISMS) در دستگاههای حکومتی، استانداردسازی محصولات امنیتی در حوزه سایبر، راه اندازی مراکزی چون مرکز عملیات امنیت (SOC) و مرکز ماهر (CERT) از جمله این الزامات است؛ اما آنچه که در آمار مطرح شده از سوی درگاه پایش شاخصهای فناوری اطلاعات کشور به چشم میخورد با این اهداف فاصله دارد.
برای مثال بر اساس آمار درگاه پایش شاخصهای فناوری اطلاعات کشور در سند راهبردی افتا، انتظار استقرار ۵۳ درصدی نظام مدیریت امنیت اطلاعات میرود؛ اما تنها ۳۹ درصد این هدف محقق شده است؛ در مورد راه اندازی مرکز عملیات امنیت یا SOC نیز از ۱۰۰ درصد انتظار ۲۰ درصد پروژه محقق شده و پروژه گوهر (گروه واکنش هماهنگ رخدادهای امنیتی) از ۱۰۰ درصد تنها ۳۵ درصد به مرحله عملیاتی رسیده است.
در حوزه استانداردسازی و ارزیابی محصولات امنیتی نیز باوجودی که انتظار میرفت ۲۹ آزمایشگاه ارزیابی محصولات امنیتی در این بخش ایجاد شود، راهاندازی تنها ۸ آزمایشگاه در این زمینه محقق شده است.
ناکامیسند راهبردی افتا
آمارها نشان میدهد که با وجود تامین امنیت زیرساخت های ارتباطی و اطلاعاتی در کشور، همچنان کشور ما در مرکز حملات سایبری قرار دارد و برای رسیدن به اهداف بالادستی نظام، باید رتبه ایران در میان سایر کشورها بهبود یابد.
بهناز آریا، رییس کمیسیون افتا سازمان نظام صنفی رایانه ای استان تهران تاکید میکند که بخشی از این اهداف باید توسط بخش خصوصی دنبال شود و این امر به جد، نیازمند تعامل دولت با بخش خصوصی است؛ تعاملی که هنوز به طور کامل شکل نگرفته است.
وی کمبود بودجه برای تحقیق و پژوهش (R&D) را از جمله چالشهای این بخش میداند و میافزاید: زمانی که صحبت از اقتصاد دانش بنیان و اقتصاد مقاومتی میکنیم، برای اجرا باید بودجه در اختیار بخش خصوصی قرار دهیم، اما همچنان بودجه لازم در زمان مناسب با سرعت مناسب در اختیار بخش خصوصی قرار نمیگیرد.
آریا، بومیسازی محصولات امنیت سایبری را در راستای اهداف امنیت ملی میداند و معتقد است که برای رسیدن به اهداف بالادستی نظام باید راهکارهای اجرایی تعریف شود و متناسب با آن، سازمانها پروژهها را تعریف کرده و به آن بودجه تخصیص دهند.
وی شتاب توسعه در بخش امنیت اطلاعات را چندین برابر سرعت تکنولوژی ارزیابی میکند و میگوید: در وضعیت کنونی اجرای پروسههای طولانی و فرسایشی باعث عقب رفت کشور در حوزه امنیت سایبری میشود و به جای پژوهش، ارائه خدمات، نگهداری و مراقبت، آموزش و آگاهی رسانی، تنها مصرف کننده صرف ابزارهای این حوزه خواهیم ماند.
به گفته وی، آمارها نشان میدهد به آنچه میخواستیم در حوزه افتا دست نیافتهایم و این موضوع نیازمند آسیب شناسی است.
آسیب پذیری سایبری به دلیل ناآگاهی عمومی
آریا مشکل فعلی کشور در حوزه امنیت اطلاعات و فضای سایبر را ناآگاهیهای عمومیسازمان ها و جامعه میداند و با اشاره به لزوم تعامل و همکاری بخش خصوصی حوزه افتا با مراکز علمیو دانشگاهی تصریح میکند: یکی از مشکلات این بخش آن است که افرادی که از دانشگاهها فارغ التحصیل میشوند دانش به روزی در این زمینه ندارند؛ اما از سوی دیگر یک نقطه قوت وجود دارد و آن این است که رشتههای جدیدی در دانشگاههای کشور در حوزههای امنیت اطلاعات ایجاد شده که دانشگاهها رویکرد امنیت اطلاعات را وارد رشتههای دانشگاهی کرده اند.
سهم ۱۹ درصدی شرکتهای امنیت اطلاعات از تسهیلات وزارت ارتباطات
اخیرا تسهیلات درنظر گرفته شده از سوی وزارت ارتباطات در قالب وام وجوه اداره شده برای بخش خصوصی حوزه افتا با روند مناسب تری طی میشود تا بتوان از ابزارهای بومیدر فضای امنیت سایبر بهره برد؛ اما با این وجود، این تسهیلات به نسبت اندازه، ظرفیت و موقعیت استراتژیک کشور و مساله امنیتی که مساله روز دنیا است، کافی نیست.
حسین صمیمی، مدیرکل توسعه فناوری وزارت ارتباطات و فناوری اطلاعات، سهم شرکتهای فعال در حوزه امنیت اطلاعات را ۱۹.۵ درصد از کل تسهیلات مدنظر از محل وام وجوه اداره شده، اعلام کرده است.به گفته وی، در چارچوب فراخوان سال ۹۳ اعطای تسهیلات از محل وجوه اداره شده، پرداخت بیش از ۲۶ میلیارد تومان تسهیلات به ۷۳ شرکت خصوصی فعال در حوزه ارتباطات و فناوری اطلاعات به تائید کمیته وجوه اداره شده وزارت ارتباطات رسیده است که سهم شرکتهای حوزه امنیت در این چارچوب ۱۹.۵ درصد است.