شاید تا چند سال پیش اگر کیف پول یا دفترچه یادداشتمان را گم میکردیم، نگران اطلاعات شخصیمان میشدیم؛ اما امروز بخش بزرگی از زندگی ما نه در جیبهایمان، بلکه در سرورها و پایگاههای داده ذخیره شده است. از شماره تلفن و اطلاعات بانکی گرفته تا سوابق تحصیلی، پروندههای اداری، خریدهای اینترنتی و حتی سلیقهها و علایق روزمره ما.
کافی است چند ثانیه به این موضوع فکر کنیم که روزانه چه حجم عظیمی از اطلاعات شخصی و سازمانی در شبکهها جابهجا میشود؛ اطلاعاتی که حفاظت از آنها امروز به یکی از مهمترین دغدغههای دولتها، شرکتها و کاربران تبدیل شده است.
روز فناوری اطلاعات فرصتی است برای بازخوانی این پرسش که آیا به موازات توسعه فناوری، توانستهایم امنیت اطلاعات و حریم خصوصی را نیز تقویت کنیم؟ به همین مناسبت، داوود زارعیان، معاون ارتباطات شرکت مخابرات ایران در گفتوگو با ما ضمن پاسخ به این پرسش، وضعیت امنیت اطلاعات، چالشهای پیشروی کشور در حفاظت از دادهها و راهکارهای ارتقای پدافند سایبری را توضیح داده است.
با وجود توسعه زیرساختهای ارتباطی و فناوری اطلاعات، چرا به نظر میرسد همچنان در حوزه حفاظت از اطلاعات و دادههای خصوصی با آسیبپذیری مواجه هستیم؟
به نظر من دو دلیل را میتوان در پاسخ به چرایی آسیبپذیری ما در حفظ اطلاعات و دادههای خصوصی بیان کرد؛ دلیل نخست به مسائل فنی و زیرساختی و دلیل دوم به سواد اطلاعاتی، سواد رایانهای و بهطور کلی سواد فناوری اطلاعات در کشور مربوط میشود. در بخش نخست، بسیاری از تجهیزات و زیرساختهای مورد استفاده در حوزه فناوری اطلاعات، بهویژه تجهیزات اکتیو و زیرساختی، وارداتی هستند. طبعاً بخش قابل توجهی از این تجهیزات و نرمافزارها دارای لایسنس(۱) بوده و ملاحظات امنیتی در آنها پیشبینی شده است. اما متأسفانه برخی شرکتها و سازمانها برای دور زدن هزینههای مربوط به لایسنس، به جای تهیه نسخه اصلی، نرمافزارها را هک یا به اصطلاح کِرَک(۲) میکنند تا بتوانند از آنها استفاده کنند.
این موضوع موجب میشود بخشی از سازوکارهای امنیتی نرمافزارها و تجهیزات از کار بیفتد یا بهدرستی عمل نکند و در نتیجه زمینه برای نفوذ، سوءاستفاده و نشت اطلاعات فراهم شود. از سوی دیگر، استفاده از نسخههای غیررسمی معمولاً امکان دریافت بهروزرسانیهای امنیتی را نیز محدود میکند و همین مسئله ریسک آسیبپذیری را افزایش میدهد. در کنار این چالش فنی، نباید از مسئله سواد فناوری اطلاعات غافل شد. بخشی از تهدیدات امنیتی نه به ضعف زیرساختها، بلکه به رفتار کاربران و میزان آگاهی آنها بازمیگردد. استفاده از گذرواژههای ضعیف، بیتوجهی به اصول امنیتی، نصب نرمافزارهای نامعتبر و اشتراکگذاری اطلاعات شخصی در بسترهای ناامن از مواردی است که میتواند امنیت دادهها را با مخاطره مواجه کند. بنابراین برای ارتقای امنیت اطلاعات، باید هم به تقویت زیرساختها توجه شود و هم آموزش و ارتقای سواد دیجیتال در جامعه مورد توجه قرار گیرد.
نکته دیگری هم وجود دارد که کاربران برای حفظ امنیت اطلاعات و حریم خصوصی خود باید به آن توجه کنند؟
بله؛ عامل دیگری که در این حوزه تأثیرگذار است، به لایههای متعدد امنیتی برمیگردد که روی شبکهها و سامانهها اعمال میشوند، اما در بسیاری از موارد هماهنگی لازم میان آنها وجود ندارد. در سطح کشور، سازمانها و مجموعههای مختلف هر کدام از ابزارها، تجهیزات و راهکارهای امنیتی متناسب با ساختار و نیازهای خود استفاده میکنند. این نبود هماهنگی میتواند در نقاط اتصال و ارتباط میان لایههای مختلف، شکافها و آسیبپذیریهایی ایجاد کند که زمینه سوءاستفاده را فراهم میکند. موضوع دیگری که باید به آن توجه کرد، جدی نگرفتن مقوله امنیت در برخی سازمانها و شرکتهاست. گاهی امنیت اطلاعات در اولویت قرار نمیگیرد و همین مسئله میتواند خسارتهای قابل توجهی را به دنبال داشته باشد. از سوی دیگر، برخی کوتاهیها و کمکاریهای انسانی نیز در بروز مشکلات امنیتی مؤثر هستند؛ چرا که بخش قابل توجهی از امنیت اطلاعات به عملکرد و دقت نیروی انسانی وابسته است.
در مقابل، بسیاری از کاربران نیز از سواد رایانهای و سواد فناوری اطلاعات کافی برخوردار نیستند. گاهی افراد بدون توجه به پیامها و هشدارهای امنیتی که روی سیستم یا تلفن همراه خود مشاهده میکنند، تنها با تأیید یک پیام یا انتخاب گزینه «تأیید» و «موافقت»، وارد مسیری میشوند که میتواند زمینه سوءاستفاده از اطلاعات آنها را فراهم کند. این موضوع را بهویژه در حوزه تلفن همراه بارها مشاهده کردهایم و همچنان نیز شاهد وقوع آن هستیم. در مجموع، به نظر من حفاظت از دادهها و حریم خصوصی تنها به تجهیزات و زیرساختها محدود نمیشود، بلکه آموزش و آگاهی نیروی انسانی نیز نقش تعیینکنندهای در این زمینه دارد. به همین دلیل لازم است افرادی که در بخشهای حساس فعالیت میکنند، آموزشهای تخصصی و مستمر را دریافت کنند تا بتوانند به شکل مؤثرتر و مطمئنتری از دادهها و حریم خصوصی کاربران و سازمانها محافظت کنند.
مسئولیت حفظ و صیانت از اطلاعات و دادههای کاربران بر عهده کدام نهادها و سازمانهاست؟
مسئولیت حفظ و صیانت از دادهها و اطلاعات در وهله نخست بر عهده همان سازمان یا نهادی است که این اطلاعات را در اختیار دارد. هر سازمانی باید متناسب با نوع دادههایی که جمعآوری و نگهداری میکند، سازوکارهای لازم را برای حفاظت از آنها فراهم کند. برای مثال، اپراتورهای تلفن همراه، بانکها، شرکتهای بزرگ، مجموعههایی که دادههای مردم را در اختیار دارند، دانشگاهها و مراکز آموزشی که اطلاعات داوطلبان و دانشجویان را ثبت میکنند، شرکت پست که اطلاعات مربوط به مرسولات و نشانی افراد را در اختیار دارد و همچنین شهرداریها که اطلاعات املاک و داراییهای شهروندان را نگهداری میکنند، همگی موظف هستند از دادههای تحت اختیار خود به شکل مناسب محافظت کنند.
بنابراین هر دستگاه، سازمان یا شرکتی که به اطلاعات مردم دسترسی دارد، در قبال حفظ امنیت، محرمانگی و حریم خصوصی آن اطلاعات مسئول است و باید زیرساختها، فرایندها و الزامات لازم را برای جلوگیری از دسترسی غیرمجاز، سوءاستفاده یا افشای دادهها فراهم کند.
به نظر شما برای تقویت پدافند سایبری و ارتقای امنیت اطلاعات در کشور، چه اقداماتی باید در اولویت قرار گیرد؟
تقویت پدافندی و ارتقای امنیت اطلاعات، بیش از هر چیز نیازمند بازنگری در فرایندها و ساختارهای موجود است. البته بخشی از این مسئله به زیرساختها بازمیگردد، اما در بخش نیروی انسانی و مدیریت امنیت، مسیر تا حدی روشنتر و سادهتر است و میتوان با برنامهریزی مناسب به نتایج مطلوبتری دست یافت. در گام نخست باید آموزشهای لازم را به کارکنان و کاربران ارائه کنیم و تجهیزات و مسئولیتهای حساس را در اختیار افرادی قرار دهیم که دانش، مهارت و توانمندی کافی در حوزه ارتباطات و فناوری اطلاعات دارند. همچنین لازم است ضوابط سختگیرانهتری برای جابهجایی تجهیزات و اطلاعات در دستگاههای دولتی و مراکز حساس در نظر گرفته شود تا امکان خروج تجهیزات یا انتقال غیرمجاز دادهها به سادگی وجود نداشته باشد. از سوی دیگر، باید محدودیتها و کنترلهای لازم برای ورود و خروج اطلاعات اعمال شود و استفاده از شبکههای داخلی بیش از گذشته مورد توجه قرار گیرد. بسیاری از خدمات و سرویسهای حساس باید بر بستر شبکههای داخلی ارائه و در موارد حساس و حیاتی، تاحدامکان از وابستگی به اینترنت بینالملل پرهیز شود. همچنین سامانههایی که دادههای مهم و حیاتی را نگهداری میکنند، نباید بدون ملاحظات امنیتی در دسترس عمومی و بر بستر وب قرار گیرند.
موضوع دیگری که اهمیت زیادی دارد، دقت در خرید و بهکارگیری تجهیزات و زیرساختهای فناوری اطلاعات است. در این زمینه باید الزامات و ملاحظات امنیتی از ابتدا مورد توجه قرار گیرد. علاوه بر این، ضروری است سیاستها و اقدامات امنیتی در سطح کشور بهصورت هماهنگ و یکپارچه دنبال شود تا از ایجاد خلأها و آسیبپذیریهای ناشی از ناهماهنگی جلوگیری شود.
اگر این مجموعه اقدامات بهصورت همزمان و منسجم اجرا شود، میتوان انتظار داشت بخش قابل توجهی از مشکلات و آسیبپذیریهای موجود در حوزه حفاظت از دادهها و حریم خصوصی کاهش پیدا کند.
فناوریهایی مانند هوش مصنوعی چه فرصتها و تهدیدهایی برای امنیت اطلاعات ایجاد کردهاند؟
شاید مهمترین مسئلهای که امروز با آن مواجه هستیم این باشد که هنوز بر برخی فناوریها تسلط کامل پیدا نکردهایم، اما در عین حال از آنها استفاده میکنیم. این موضوع میتواند چالشآفرین باشد. هوش مصنوعی ظرفیتها و فرصتهای بسیار زیادی در اختیار ما قرار میدهد، اما اگر شناخت و تسلط حرفهای نسبت به آن نداشته باشیم، همین فرصتها میتوانند به تهدید تبدیل شوند. برای مثال، فرض کنید کاربری تصویری از یک منطقه یا ساختمان را در اختیار یک سامانه هوش مصنوعی قرار میدهد و از آن میخواهد محل ثبت تصویر را تشخیص دهد. ممکن است سامانه پاسخ دقیقی نداشته باشد و صرفاً براساس حدس و تحلیل دادههای موجود، مکانی را پیشنهاد کند. همین دادهها و تعاملات در شبکه باقی میمانند و میتوانند در آموزشها و تحلیلهای بعدی مورد استفاده قرار گیرند. این تنها یک مثال ساده از نحوه تولید و گردش داده در بسترهای هوش مصنوعی است. در مجموع، معتقدم تا زمانی که به شناخت و تسلط حرفهای بر یک فناوری نرسیدهایم، نباید اطلاعات حساس، امنیتی و سطح بالا را در اختیار آن قرار دهیم یا از آن برای تحلیل چنین دادههایی استفاده کنیم. امروز بخش قابل توجهی از دادهها، گفتوگوها، آمارها و اطلاعات ما توسط سامانههای مبتنی بر هوش مصنوعی پردازش و تحلیل میشود و این موضوع ضرورت توجه به امنیت دادهها را دوچندان میکند. نکته مهم این است که باید بدانیم این سامانهها چگونه عمل میکنند و دادههای ورودی آنها در چه مسیری قرار میگیرد. آیا اطلاعات در یک بستر داخلی پردازش و نگهداری میشود یا امکان انتشار و دسترسی به آن در سطح گستردهتری وجود دارد؟ این پرسشی است که پیش از استفاده از هر فناوری نوین باید به آن پاسخ داده شود. یکی از مهمترین آسیبهایی که در این حوزه با آن مواجه هستیم، وابستگی به بسترها و شبکههای خارجی است. این موضوع تنها به هوش مصنوعی محدود نمیشود؛ بلکه اینترنت بینالملل، نرمافزارها، سرویسها و پلتفرمهای خارجی نیز میتوانند در صورت نبود ملاحظات لازم، زمینه بروز آسیبهای امنیتی و خروج دادههای ارزشمند را فراهم کنند. از این رو، استفاده از این فناوریها باید همراه با شناخت دقیق، مدیریت ریسک و رعایت الزامات امنیتی باشد.
از نظر شما مهمترین اولویت کشور در حوزه امنیت سایبری در پنج سال آینده باید چه باشد؟
مهمترین اولویت در حوزه امنیت اطلاعات باید داخلیسازی شبکهها و زیرساختهای ارتباطی کشور باشد. هر شبکهای که اطلاعات، آمار، دادههای شهروندان یا اطلاعات حساس و راهبردی کشور را در خود نگهداری میکند، باید تا حد امکان بر بسترهای داخلی استقرار یابد. این شبکهها نباید وابستگی مستقیم به شبکه جهانی داشته باشند و لازم است برای حفاظت از اطلاعات حیاتی، از بسترهای عمومی و در معرض دسترس جدا شوند. در کنار این موضوع، توسعه توانمندیهای داخلی در حوزه تولید تجهیزات و زیرساختهای سختافزاری نیز از اهمیت بالایی برخوردار است. کشور باید به سمتی حرکت کند که وابستگی خود را در این حوزه کاهش دهد و بتواند بخش بیشتری از نیازهای راهبردی خود را از طریق ظرفیتهای داخلی تأمین کند. بدون تقویت زیرساختهای بومی، دستیابی به امنیت پایدار در فضای سایبری با دشواریهای جدی روبهرو خواهد بود.
از سوی دیگر، ارتقای دانش و آگاهی کاربران در کنار تقویت زیرساختهای فنی، یکی از الزامات اساسی برای حفاظت از دادهها و امنیت اطلاعات به شمار میرود. هرچه سطح سواد دیجیتال در جامعه بالاتر باشد، احتمال بروز خطاهای انسانی و آسیبپذیریهای ناشی از آن نیز کاهش خواهد یافت و نظام اطلاعاتی کشور از امنیت بیشتری برخوردار خواهد شد.
پینوشت:
۱-لایسنس، مجوز یا گواهینامهای است که اجازه استفاده، توزیع یا فروش یک محصول، خدمت یا نرمافزار را به فرد یا سازمانی میدهد.
۲-کِرَک کردن نرمافزار یا قفلگشایی نرمافزار، یعنی تغییر دادن نرمافزار به منظور حذف کردن روشهای حفاظتی آن نرمافزار.




نظر شما