مسوولان باید پاسخگوی نشت اطلاعات دستگاه‌ها باشند

هدف شبکه ملی اطلاعات برقراری ارتباطات امن و حفاظت شده است، اما شواهد نشان می‌دهد که این شبکه در امنیت سایبری همچنان با خلأ روبه‌رو است و تبادل داده در فضای مجازی کشور تضمین‌شده نیست. مصوبات شورای عالی فضای مجازی در خصوص شبکه ملی اطلاعات بر لزوم ایجاد شبکه‌ای امن تاکید دارد. به‌طوری که در الزامات مربوط به ایجاد این شبکه، بر تحقق شبکه‌ای کاملاً مستقل و حفاظت‌شده نسبت به دیگر شبکه‌ها (از جمله اینترنت) با قابلیت عرضه انواع خدمات امن، اعم از رمزنگاری و امضای دیجیتالی به تمامی کاربران و نیز شبکه‌ای با قابلیت برقراری ارتباطات امن و پایدار میان دستگاه‌ها و مراکز حیاتی کشور تاکید شده است. در اصول حاکم بر شبکه ملی اطلاعات نیز موضوع سالم‌سازی و امنیت مورد توجه قرار گرفته و حتی در حوزه خدمات این شبکه نیز خدمات سالم‌سازی و امنیت مورد نیاز زیرساخت فضای مجازی کشور الزامی‌شده است.

با وجود تعاریف مشخصی که برای امنیت سایبری در شبکه ملی اطلاعات تکلیف شده است و با وجود مبلغ ۱۹هزار میلیارد تومان که گفته می‌شود برای زیرساخت‌های این شبکه هزینه شده است، اما وضعیت مقابله با تهدیدات سایبری، حفاظت از اطلاعات و مدیریت مخاطرات و صیانت از حریم خصوصی افراد هنوز تضمین نیست. نشت اطلاعات و افشای پایگاه اطلاعات هویتی کاربران بسیاری از سازمان‌ها، اپراتورها، شرکت‌های دولتی و خصوصی در فضای مجازی طی ماه‌های اخیر از موضوعات خبرساز بوده و به دلیل نبود قوانین مشخص و راهکارهای امنیتی، بسیاری از این اطلاعات در فضای مجازی خرید و فروش می‌شوند. کارشناسان معتقدند که نبود نظام حاکمیت سایبری در کشور، اتفاقاتی از نوع نشت اطلاعات و سرقت داده‌ها را رقم می‌زند. البته برخی نیز معتقدند که تهدیدات سایبری در حد و اندازه‌های مختلف از جمله به نشت پایگاه‌های اطلاعاتی، سرقت داده و یا تهدیداتی از نوع نفوذ به حریم خصوصی افراد در فضای مجازی در همه جای دنیا اتفاق می‌افتد و تنها مختص ایران نیست، اما با این وجود گزارش‌ها نشان می‌دهد که جایگاه جهانی ایران در این حوزه قابل دفاع نیست. براساس گزارشی که مرکز پژوهش‌های مجلس منتشر کرده است، وضعیت ایران در مقایسه با سایر کشورهای جهان در زمینه حفظ حریم خصوصی کاربران در فضای مجازی، «بسیار ضعیف» ارزیابی شده است.

  مسوولیت دستگاه‌ها 

برای مقابله با حوادث فضای مجازی 

مطابق با آنچه که در «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی»، در شورای عالی فضای مجازی به تصویب رسیده، مسوولیت هر دستگاهی در مقابله با حوادث فضای مجازی مشخص است. برای مثال طبق این مصوبه، حوادثی که در حوزه عمومی به وقوع می‌پیوندد، توسط نیروی انتظامی مورد رسیدگی قرار خواهد گرفت و حوادثی که در سازمان‌ها رخ می‌دهد از طریق وزارت ارتباطات و فناوری اطلاعات باید رسیدگی شود. مسوولیت جمع‌آوری ادله دیجیتال در جرایم عمومی فضای مجازی نیز به عهده نیروی انتظامی و مسوولیت جمع آوری ادله دیجیتال تخلفات اداری در سازمان‌ها به عهده سازمان حراست کل کشور است. در این مصوبه همه دستگاه‌ها موظفند که با حوادث فضای مجازی دستگاه مربوط به خود مقابله کنند و به نوعی به حفاظت از پایگاه‌های داده خود ناگزیر هستند. اما به نظر می‌رسد این قانون پاسخگوی همه نیازها نیست و جای یک مرکز فرماندهی و تصمیم‌گیری برای امنیت در حوزه حاکمیت سایبری خالی است؛ به نحوی که ناامنی پایگاه داده بسیاری از سازمان‌ها و عدم پاسخگویی به ضرر و زیان‌های ناشی از نشت این اطلاعات طی ماه‌های اخیر، شاهد روشنی بر این ادعا است. سردار باقری، معاون فناوری اطلاعات سازمان پدافند غیرعامل در مراسم صدور گواهی امنیتی محصولات بومی حوزه فناوری اطلاعات با انتقاد از وضعیت فعلی کشور در حوزه امنیت سایبری گفت: «با وجود اینکه تفکیک کار در حوزه امنیت سایبری در سازمان فناوری اطلاعات، مرکز افتای ریاست‌جمهوری و پدافند سایبری صورت گرفته اما وضعیت امنیت در دستگاه‌ها و نهادهای حاکمیتی مناسب نیست.» به گفته وی، اگر شبکه ملی اطلاعات به معنای کامل راه بیفتد و شاهد داشتن سیستم عامل بومی، مرورگر بومی و جست‌وجوگر بومی و مواردی از این دست باشیم، آسیب‌پذیری سایبری حتماً کمتر خواهد شد.

  رفع خلأ امنیت سایبری

 با تحقق واقعی شبکه ملی اطلاعات

در این راستا محمدحسن انتظاری، عضو حقیقی شورای عالی فضای مجازی در گفت‌وگو با مهر، معتقد است که رفع خلأ امنیت سایبری در کشور با تحقق کامل شبکه ملی اطلاعات صورت می‌گیرد. وی می‌گوید: «شبکه ملی اطلاعات با این هدف قرار است ایجاد شود که امنیت اطلاعات در کشور، استقلال، اعمال حاکمیت سایبری و مدیریت آن در اختیار خودمان باشد؛ این اصل اساسی ایجاد شبکه ملی اطلاعات است. این موارد هم در تعریف شبکه ملی اطلاعات و در الزامات اولیه آن در سال ۹۲ به تصویب رسیده است. تا زمانی که شبکه ملی اطلاعات در کشور تحقق پیدا نکرده باشد با مسائلی مانند نشت اطلاعات روبه‌رو هستیم و مساله اصلی در حال حاضر باید پرداختن به ایجاد و تحقق شبکه ملی اطلاعات باشد. چراکه یکی از ویژگی‌های اصلی این شبکه، حفاظت و مدیریت اطلاعات و امنیت است.» عضو شورای عالی فضای مجازی با بیان اینکه در شبکه ملی اطلاعات موضوع امن بودن در لایه‌های مختلف تعریف شده است، گفت: «تبادل اطلاعات در فضای امن و اعمال سیاست‌های حاکمیت سایبری در این فضا در اهداف تحقق شبکه ملی اطلاعات مدنظر است. تا زمانی که شبکه ملی اطلاعات به معنای واقعی ایجاد نشود، ما همچنان شاهد اینگونه خطرات و آسیب‌پذیری‌ها خواهیم بود.» وی با بیان اینکه بخشی از موضوعات مربوط به امنیت سایبری به وظایف دستگاه‌ها باز می‌گردد که هریک باید وظایف خود را انجام دهند، ادامه داد: «وظیفه دیگر مربوط به محدوده حاکمیت است. به این معنی که حاکمیت باید نسبت به ایجاد شبکه ملی اطلاعات که یکی از ویژگی‌های اصلی آن امنیت اطلاعات و حفظ داده است، اهتمام جدی به خرج دهد و با ایجاد این شبکه، آسیب‌پذپری‌ها را به حداقل برساند.» دبیر سابق شورای عالی فضای مجازی با اشاره به موضوع امنیت در لایه محتوا و خدمات شبکه ملی اطلاعات گفت: «این موضوع با توجه به اینکه یکی از ضروریات در سند تبیین الزامات شبکه ملی اطلاعات بوده است، باید در سند کلان شبکه ملی نیز دنبال شود. تضمین امنیت در لایه محتوا و خدمات محتوایی شبکه ملی اطلاعات در کمیته‌های تخصصی در مرکز ملی فضای مجازی بررسی شده اما هنوز به صحن شورای عالی فضای مجازی برای تصویب نیامده است.» عضو شورای عالی فضای مجازی گفت: «در رابطه با حفاظت از داده‌ها، شورای عالی فضای مجازی مصوبه‌ای تحت عنوان «نظام پیشگیری و مقابله با حوادث سایبری» داشته که در آن، یک تقسیم کار ملی برای مدیریت کلان داده در کشور صورت گرفته و توسط مرکز ملی فضای مجازی نظارت می‌شود. در این سند، برای هر دستگاه تکالیفی دیده شده و هم اکنون این دستگاه‌ها باید به شورای عالی فضای مجازی گزارش دهند که برای پیاده‌سازی این مصوبه چه اقداماتی انجام داده و چه برنامه‌ای تدوین کرده‌اند. تا زمانی که فعالیت هر یک از دستگاه‌های مسوول، مشخص نشود، نمی‌توان گفت که نظام پیشگیری حوادث فضای مجازی در چه بخش‌هایی با خلأ مواجه است.» عضو شورای عالی فضای مجازی با تاکید بر اینکه دستگاه‌ها باید گزارش بدهند که در خصوص حفاظت از اطلاعات چه کار باید انجام می‌دادند و چه اقداماتی انجام داده‌اند، افزود: «بررسی‌ها نشان می‌دهد برخی دستگاه‌ها که مسوولیت به عهده شأن است مسوولیت پذیرفته‌اند اما بعضی‌ها به صورت برنامه‌ریزی‌شده به این مصوبه نگاه نکردند و وظایف جاری خود را پیش می‌برند.» وی با اشاره به مشکل نشت اطلاعات و بی‌اهمیت جلوه دادن آن در کشور، گفت: «باید از دستگاه‌هایی که در آنها درز اطلاعات اتفاق افتاده، گزارش دقیق خواست و این مسوولان باید پاسخگو باشند. در هر دستگاهی حفاظت از اطلاعات در درجه نخست اهمیت قرار دارد و مسوولیت حفاظت از اطلاعات به عهده همان دستگاه است و ساده‌انگاری مساله، صحیح نیست.»