در دنیایی که دادهها به «نفت قرن بیستویکم» تشبیه میشوند، امنیت اطلاعات دیگر یک موضوع صرفاً فنی نیست؛ بلکه به بخشی از زندگی روزمره مردم، حکمرانی کشورها و حتی امنیت ملی تبدیل شده است.
روز فناوری اطلاعات فرصتی است برای بازخوانی این پرسش که آیا به موازات توسعه فناوری، توانستهایم امنیت اطلاعات و حریم خصوصی را نیز تقویت کنیم؟ به همین مناسبت،
داوود زارعیان، معاون ارتباطات شرکت مخابرات ایران در گفتوگو با ما ضمن پاسخ به این پرسش، وضعیت امنیت اطلاعات، چالشهای پیشروی کشور در حفاظت از دادهها و راهکارهای ارتقای پدافند سایبری را توضیح داده است.
با وجود توسعه زیرساختهای ارتباطی و فناوری اطلاعات، چرا به نظر میرسد همچنان در حوزه حفاظت از اطلاعات و دادههای خصوصی با آسیبپذیری مواجه هستیم؟
به دو دلیل؛ دلیل نخست به مسائل فنی و زیرساختی و دلیل دوم به سواد اطلاعاتی، سواد رایانهای و بهطور کلی سواد فناوری اطلاعات در کشور مربوط میشود. در بخش نخست، بسیاری از تجهیزات و زیرساختهای مورد استفاده در حوزه فناوری اطلاعات، بهویژه تجهیزات اکتیو و زیرساختی، وارداتی هستند. طبعاً بخش قابل توجهی از این تجهیزات و نرمافزارها دارای لایسنس(۱) بوده و ملاحظات امنیتی در آنها پیشبینی شده است. اما متأسفانه برخی شرکتها و سازمانها برای دور زدن هزینههای مربوط به لایسنس، به جای تهیه نسخه اصلی، نرمافزارها را هک یا به اصطلاح کِرَک(۲) میکنند تا بتوانند از آنها استفاده کنند.
این موضوع موجب میشود بخشی از سازوکارهای امنیتی نرمافزارها و تجهیزات از کار بیفتد یا بهدرستی عمل نکند و در نتیجه زمینه برای نفوذ، سوءاستفاده و نشت اطلاعات فراهم شود. از سوی دیگر، استفاده از نسخههای غیررسمی معمولاً امکان دریافت بهروزرسانیهای امنیتی را نیز محدود میکند و همین مسئله ریسک آسیبپذیری را افزایش میدهد. در کنار این چالش فنی، نباید از مسئله سواد فناوری اطلاعات غافل شد. بخشی از تهدیدات امنیتی نه به ضعف زیرساختها، بلکه به رفتار کاربران و میزان آگاهی آنها بازمیگردد. استفاده از گذرواژههای ضعیف، بیتوجهی به اصول امنیتی، نصب نرمافزارهای نامعتبر و اشتراکگذاری اطلاعات شخصی در بسترهای ناامن از مواردی است که میتواند امنیت دادهها را با مخاطره مواجه کند. بنابراین برای ارتقای امنیت اطلاعات، باید هم به تقویت زیرساختها توجه شود و هم آموزش و ارتقای سواد دیجیتال در جامعه مورد توجه قرار گیرد.
نکته دیگری هم وجود دارد که کاربران برای حفظ امنیت اطلاعات و حریم خصوصی خود باید به آن توجه کنند؟
بله؛ عامل دیگری که در این حوزه تأثیرگذار است، به لایههای متعدد امنیتی برمیگردد که روی شبکهها و سامانهها اعمال میشوند، اما در بسیاری از موارد هماهنگی لازم میان آنها وجود ندارد. در سطح کشور، سازمانها و مجموعههای مختلف هر کدام از ابزارها، تجهیزات و راهکارهای امنیتی متناسب با ساختار و نیازهای خود استفاده میکنند. این نبود هماهنگی میتواند در نقاط اتصال و ارتباط میان لایههای مختلف، شکافها و آسیبپذیریهایی ایجاد کند که زمینه سوءاستفاده را فراهم میکند. موضوع دیگری که باید به آن توجه کرد، جدی نگرفتن مقوله امنیت در برخی سازمانها و شرکتهاست. گاهی امنیت اطلاعات در اولویت قرار نمیگیرد و همین مسئله میتواند خسارتهای قابل توجهی را به دنبال داشته باشد. از سوی دیگر، برخی کوتاهیها و کمکاریهای انسانی نیز در بروز مشکلات امنیتی مؤثر هستند؛ چرا که بخش قابل توجهی از امنیت اطلاعات به عملکرد و دقت نیروی انسانی وابسته است.
در مقابل، بسیاری از کاربران نیز از سواد رایانهای و سواد فناوری اطلاعات کافی برخوردار نیستند. گاهی افراد بدون توجه به پیامها و هشدارهای امنیتی که روی سیستم یا تلفن همراه خود مشاهده میکنند، تنها با تأیید یک پیام یا انتخاب گزینه «تأیید» و «موافقت»، وارد مسیری میشوند که میتواند زمینه سوءاستفاده از اطلاعات آنها را فراهم کند. این موضوع را بهویژه در حوزه تلفن همراه بارها مشاهده کردهایم و همچنان نیز شاهد وقوع آن هستیم. در مجموع، به نظر من حفاظت از دادهها و حریم خصوصی تنها به تجهیزات و زیرساختها محدود نمیشود، بلکه آموزش و آگاهی نیروی انسانی نیز نقش تعیینکنندهای در این زمینه دارد. به همین دلیل لازم است افرادی که در بخشهای حساس فعالیت میکنند، آموزشهای تخصصی و مستمر را دریافت کنند تا بتوانند به شکل مؤثرتر و مطمئنتری از دادهها و حریم خصوصی کاربران و سازمانها محافظت کنند.
برای تقویت پدافند سایبری و ارتقای امنیت اطلاعات در کشور، چه اقداماتی باید در اولویت قرار گیرد؟
تقویت پدافندی و ارتقای امنیت اطلاعات، بیش از هر چیز نیازمند بازنگری در فرایندها و ساختارهای موجود است. البته بخشی از این مسئله به زیرساختها بازمیگردد، اما در بخش نیروی انسانی و مدیریت امنیت، مسیر تا حدی روشنتر و سادهتر است و میتوان با برنامهریزی مناسب به نتایج مطلوبتری دست یافت. در گام نخست باید آموزشهای لازم را به کارکنان و کاربران ارائه کنیم و تجهیزات و مسئولیتهای حساس را در اختیار افرادی قرار دهیم که دانش، مهارت و توانمندی کافی در حوزه ارتباطات و فناوری اطلاعات دارند. همچنین لازم است ضوابط سختگیرانهتری برای جابهجایی تجهیزات و اطلاعات در دستگاههای دولتی و مراکز حساس در نظر گرفته شود تا امکان خروج تجهیزات یا انتقال غیرمجاز دادهها به سادگی وجود نداشته باشد. از سوی دیگر، باید محدودیتها و کنترلهای لازم برای ورود و خروج اطلاعات اعمال شود و استفاده از شبکههای داخلی بیش از گذشته مورد توجه قرار گیرد. بسیاری از خدمات و سرویسهای حساس باید بر بستر شبکههای داخلی ارائه و در موارد حساس و حیاتی، تاحدامکان از وابستگی به اینترنت بینالملل پرهیز شود. همچنین سامانههایی که دادههای مهم و حیاتی را نگهداری میکنند، نباید بدون ملاحظات امنیتی در دسترس عموم و بر بستر وب قرار گیرند.موضوع دیگری که اهمیت زیادی دارد، دقت در خرید و بهکارگیری تجهیزات و زیرساختهای فناوری اطلاعات است. در این زمینه باید الزامات و ملاحظات امنیتی از ابتدا مورد توجه قرار گیرد. علاوه بر این، ضروری است سیاستها و اقدامات امنیتی در سطح کشور بهصورت هماهنگ و یکپارچه دنبال شود تا از ایجاد خلأها و آسیبپذیریهای ناشی از ناهماهنگی جلوگیری به عمل بیاید.
از نظر شما مهمترین اولویت کشور در حوزه امنیت سایبری در پنج سال آینده باید چه باشد؟
مهمترین اولویت در حوزه امنیت اطلاعات باید داخلیسازی شبکهها و زیرساختهای ارتباطی کشور باشد. هر شبکهای که اطلاعات، آمار، دادههای شهروندان یا اطلاعات حساس و راهبردی کشور را در خود نگهداری میکند، باید تا حد امکان بر بسترهای داخلی استقرار یابد. این شبکهها نباید وابستگی مستقیم به شبکه جهانی داشته باشند و لازم است برای حفاظت از اطلاعات حیاتی، از بسترهای عمومی و در معرض دسترس جدا شوند. در کنار این موضوع، توسعه توانمندیهای داخلی در حوزه تولید تجهیزات و زیرساختهای سختافزاری نیز از اهمیت بالایی برخوردار است. کشور باید به سمتی حرکت کند که وابستگی خود را در این حوزه کاهش دهد و بتواند بخش بیشتری از نیازهای راهبردی خود را از طریق ظرفیتهای داخلی تأمین کند. بدون تقویت زیرساختهای بومی، دستیابی به امنیت پایدار در فضای سایبری با دشواریهای جدی روبهرو خواهد بود.
از سوی دیگر، ارتقای دانش و آگاهی کاربران در کنار تقویت زیرساختهای فنی، یکی از الزامات اساسی برای حفاظت از دادهها و امنیت اطلاعات به شمار میرود. هرچه سطح سواد دیجیتال در جامعه بالاتر باشد، احتمال بروز خطاهای انسانی و آسیبپذیریهای ناشی از آن نیز کاهش خواهد یافت و نظام اطلاعاتی کشور از امنیت بیشتری برخوردار خواهد شد.
پینوشت:
۱-لایسنس، مجوز یا گواهینامهای است که اجازه استفاده، توزیع یا فروش یک محصول، خدمت یا نرمافزار را به فرد یا سازمانی میدهد.
۲-کِرَک کردن نرمافزار یا قفلگشایی نرمافزار، یعنی تغییر دادن نرمافزار به منظور حذف کردن روشهای حفاظتی آن نرمافزار.




نظر شما