تحولات منطقه

در دنیایی که داده‌ها به «نفت قرن بیست‌ویکم» تشبیه می‌شوند، امنیت اطلاعات دیگر یک موضوع صرفاً فنی نیست؛ بلکه به بخشی از زندگی روزمره مردم، حکمرانی کشورها و حتی امنیت ملی تبدیل شده است.  

معاون ارتباطات شرکت مخابرات ایران از چرایی آسیب‌پذیری داده‌های اطلاعات در کشور می‌گوید/ نشتی چاهِ «نفت قرن بیست‌ویکم»
زمان مطالعه: ۹ دقیقه

شاید تا چند سال پیش اگر کیف پول یا دفترچه یادداشتمان را گم می‌کردیم، نگران اطلاعات شخصی‌مان می‌شدیم؛ اما امروز بخش بزرگی از زندگی ما نه در جیب‌هایمان، بلکه در سرورها و پایگاه‌های داده ذخیره شده است. از شماره تلفن و اطلاعات بانکی گرفته تا سوابق تحصیلی، پرونده‌های اداری، خریدهای اینترنتی و حتی سلیقه‌ها و علایق روزمره ما.

کافی است چند ثانیه به این موضوع فکر کنیم که روزانه چه حجم عظیمی از اطلاعات شخصی و سازمانی در شبکه‌ها جابه‌جا می‌شود؛ اطلاعاتی که حفاظت از آن‌ها امروز به یکی از مهم‌ترین دغدغه‌های دولت‌ها، شرکت‌ها و کاربران تبدیل شده است.

روز فناوری اطلاعات فرصتی است برای بازخوانی این پرسش که آیا به موازات توسعه فناوری، توانسته‌ایم امنیت اطلاعات و حریم خصوصی را نیز تقویت کنیم؟ به همین مناسبت، داوود زارعیان، معاون ارتباطات شرکت مخابرات ایران در گفت‌وگو با ما ضمن پاسخ به این پرسش، وضعیت امنیت اطلاعات، چالش‌های پیش‌روی کشور در حفاظت از داده‌ها و راهکارهای ارتقای پدافند سایبری را توضیح داده است.

با وجود توسعه زیرساخت‌های ارتباطی و فناوری اطلاعات، چرا به نظر می‌رسد همچنان در حوزه حفاظت از اطلاعات و داده‌های خصوصی با آسیب‌پذیری مواجه هستیم؟

به نظر من دو دلیل را می‌توان در پاسخ به چرایی آسیب‌پذیری ما در حفظ اطلاعات و داده‌های خصوصی بیان کرد؛ دلیل نخست به مسائل فنی و زیرساختی و دلیل دوم به سواد اطلاعاتی، سواد رایانه‌ای و به‌طور کلی سواد فناوری اطلاعات در کشور مربوط می‌شود. در بخش نخست، بسیاری از تجهیزات و زیرساخت‌های مورد استفاده در حوزه فناوری اطلاعات، به‌ویژه تجهیزات اکتیو و زیرساختی، وارداتی هستند. طبعاً بخش قابل توجهی از این تجهیزات و نرم‌افزارها دارای لایسنس(۱) بوده و ملاحظات امنیتی در آن‌ها پیش‌بینی شده است. اما متأسفانه برخی شرکت‌ها و سازمان‌ها برای دور زدن هزینه‌های مربوط به لایسنس، به جای تهیه نسخه اصلی، نرم‌افزارها را هک یا به اصطلاح کِرَک(۲) می‌کنند تا بتوانند از آن‌ها استفاده کنند.

این موضوع موجب می‌شود بخشی از سازوکارهای امنیتی نرم‌افزارها و تجهیزات از کار بیفتد یا به‌درستی عمل نکند و در نتیجه زمینه برای نفوذ، سوءاستفاده و نشت اطلاعات فراهم شود. از سوی دیگر، استفاده از نسخه‌های غیررسمی معمولاً امکان دریافت به‌روزرسانی‌های امنیتی را نیز محدود می‌کند و همین مسئله ریسک آسیب‌پذیری را افزایش می‌دهد. در کنار این چالش فنی، نباید از مسئله سواد فناوری اطلاعات غافل شد. بخشی از تهدیدات امنیتی نه به ضعف زیرساخت‌ها، بلکه به رفتار کاربران و میزان آگاهی آن‌ها بازمی‌گردد. استفاده از گذرواژه‌های ضعیف، بی‌توجهی به اصول امنیتی، نصب نرم‌افزارهای نامعتبر و اشتراک‌گذاری اطلاعات شخصی در بسترهای ناامن از مواردی است که می‌تواند امنیت داده‌ها را با مخاطره مواجه کند. بنابراین برای ارتقای امنیت اطلاعات، باید هم به تقویت زیرساخت‌ها توجه شود و هم آموزش و ارتقای سواد دیجیتال در جامعه مورد توجه قرار گیرد.

نکته دیگری هم وجود دارد که کاربران برای حفظ امنیت اطلاعات و حریم خصوصی خود باید به آن توجه کنند؟

بله؛ عامل دیگری که در این حوزه تأثیرگذار است، به لایه‌های متعدد امنیتی برمی‌گردد که روی شبکه‌ها و سامانه‌ها اعمال می‌شوند، اما در بسیاری از موارد هماهنگی لازم میان آن‌ها وجود ندارد. در سطح کشور، سازمان‌ها و مجموعه‌های مختلف هر کدام از ابزارها، تجهیزات و راهکارهای امنیتی متناسب با ساختار و نیازهای خود استفاده می‌کنند. این نبود هماهنگی می‌تواند در نقاط اتصال و ارتباط میان لایه‌های مختلف، شکاف‌ها و آسیب‌پذیری‌هایی ایجاد کند که زمینه سوءاستفاده را فراهم می‌کند. موضوع دیگری که باید به آن توجه کرد، جدی نگرفتن مقوله امنیت در برخی سازمان‌ها و شرکت‌هاست. گاهی امنیت اطلاعات در اولویت قرار نمی‌گیرد و همین مسئله می‌تواند خسارت‌های قابل توجهی را به دنبال داشته باشد. از سوی دیگر، برخی کوتاهی‌ها و کم‌کاری‌های انسانی نیز در بروز مشکلات امنیتی مؤثر هستند؛ چرا که بخش قابل توجهی از امنیت اطلاعات به عملکرد و دقت نیروی انسانی وابسته است.

در مقابل، بسیاری از کاربران نیز از سواد رایانه‌ای و سواد فناوری اطلاعات کافی برخوردار نیستند. گاهی افراد بدون توجه به پیام‌ها و هشدارهای امنیتی که روی سیستم یا تلفن همراه خود مشاهده می‌کنند، تنها با تأیید یک پیام یا انتخاب گزینه «تأیید» و «موافقت»، وارد مسیری می‌شوند که می‌تواند زمینه سوءاستفاده از اطلاعات آن‌ها را فراهم کند. این موضوع را به‌ویژه در حوزه تلفن همراه بارها مشاهده کرده‌ایم و همچنان نیز شاهد وقوع آن هستیم. در مجموع، به نظر من حفاظت از داده‌ها و حریم خصوصی تنها به تجهیزات و زیرساخت‌ها محدود نمی‌شود، بلکه آموزش و آگاهی نیروی انسانی نیز نقش تعیین‌کننده‌ای در این زمینه دارد. به همین دلیل لازم است افرادی که در بخش‌های حساس فعالیت می‌کنند، آموزش‌های تخصصی و مستمر را دریافت کنند تا بتوانند به شکل مؤثرتر و مطمئن‌تری از داده‌ها و حریم خصوصی کاربران و سازمان‌ها محافظت کنند.

مسئولیت حفظ و صیانت از اطلاعات و داده‌های کاربران بر عهده کدام نهادها و سازمان‌هاست؟

مسئولیت حفظ و صیانت از داده‌ها و اطلاعات در وهله نخست بر عهده همان سازمان یا نهادی است که این اطلاعات را در اختیار دارد. هر سازمانی باید متناسب با نوع داده‌هایی که جمع‌آوری و نگهداری می‌کند، سازوکارهای لازم را برای حفاظت از آن‌ها فراهم کند. برای مثال، اپراتورهای تلفن همراه، بانک‌ها، شرکت‌های بزرگ، مجموعه‌هایی که داده‌های مردم را در اختیار دارند، دانشگاه‌ها و مراکز آموزشی که اطلاعات داوطلبان و دانشجویان را ثبت می‌کنند، شرکت پست که اطلاعات مربوط به مرسولات و نشانی افراد را در اختیار دارد و همچنین شهرداری‌ها که اطلاعات املاک و دارایی‌های شهروندان را نگهداری می‌کنند، همگی موظف هستند از داده‌های تحت اختیار خود به شکل مناسب محافظت کنند.

بنابراین هر دستگاه، سازمان یا شرکتی که به اطلاعات مردم دسترسی دارد، در قبال حفظ امنیت، محرمانگی و حریم خصوصی آن اطلاعات مسئول است و باید زیرساخت‌ها، فرایندها و الزامات لازم را برای جلوگیری از دسترسی غیرمجاز، سوءاستفاده یا افشای داده‌ها فراهم کند.

به نظر شما برای تقویت پدافند سایبری و ارتقای امنیت اطلاعات در کشور، چه اقداماتی باید در اولویت قرار گیرد؟

تقویت پدافندی و ارتقای امنیت اطلاعات، بیش از هر چیز نیازمند بازنگری در فرایندها و ساختارهای موجود است. البته بخشی از این مسئله به زیرساخت‌ها بازمی‌گردد، اما در بخش نیروی انسانی و مدیریت امنیت، مسیر تا حدی روشن‌تر و ساده‌تر است و می‌توان با برنامه‌ریزی مناسب به نتایج مطلوب‌تری دست یافت. در گام نخست باید آموزش‌های لازم را به کارکنان و کاربران ارائه کنیم و تجهیزات و مسئولیت‌های حساس را در اختیار افرادی قرار دهیم که دانش، مهارت و توانمندی کافی در حوزه ارتباطات و فناوری اطلاعات دارند. همچنین لازم است ضوابط سختگیرانه‌تری برای جابه‌جایی تجهیزات و اطلاعات در دستگاه‌های دولتی و مراکز حساس در نظر گرفته شود تا امکان خروج تجهیزات یا انتقال غیرمجاز داده‌ها به سادگی وجود نداشته باشد. از سوی دیگر، باید محدودیت‌ها و کنترل‌های لازم برای ورود و خروج اطلاعات اعمال شود و استفاده از شبکه‌های داخلی بیش از گذشته مورد توجه قرار گیرد. بسیاری از خدمات و سرویس‌های حساس باید بر بستر شبکه‌های داخلی ارائه و در موارد حساس و حیاتی، تاحدامکان از وابستگی به اینترنت بین‌الملل پرهیز شود. همچنین سامانه‌هایی که داده‌های مهم و حیاتی را نگهداری می‌کنند، نباید بدون ملاحظات امنیتی در دسترس عمومی و بر بستر وب قرار گیرند.

موضوع دیگری که اهمیت زیادی دارد، دقت در خرید و به‌کارگیری تجهیزات و زیرساخت‌های فناوری اطلاعات است. در این زمینه باید الزامات و ملاحظات امنیتی از ابتدا مورد توجه قرار گیرد. علاوه بر این، ضروری است سیاست‌ها و اقدامات امنیتی در سطح کشور به‌صورت هماهنگ و یکپارچه دنبال شود تا از ایجاد خلأها و آسیب‌پذیری‌های ناشی از ناهماهنگی جلوگیری شود.

اگر این مجموعه اقدامات به‌صورت همزمان و منسجم اجرا شود، می‌توان انتظار داشت بخش قابل توجهی از مشکلات و آسیب‌پذیری‌های موجود در حوزه حفاظت از داده‌ها و حریم خصوصی کاهش پیدا کند.

فناوری‌هایی مانند هوش مصنوعی چه فرصت‌ها و تهدیدهایی برای امنیت اطلاعات ایجاد کرده‌اند؟

شاید مهم‌ترین مسئله‌ای که امروز با آن مواجه هستیم این باشد که هنوز بر برخی فناوری‌ها تسلط کامل پیدا نکرده‌ایم، اما در عین حال از آن‌ها استفاده می‌کنیم. این موضوع می‌تواند چالش‌آفرین باشد. هوش مصنوعی ظرفیت‌ها و فرصت‌های بسیار زیادی در اختیار ما قرار می‌دهد، اما اگر شناخت و تسلط حرفه‌ای نسبت به آن نداشته باشیم، همین فرصت‌ها می‌توانند به تهدید تبدیل شوند. برای مثال، فرض کنید کاربری تصویری از یک منطقه یا ساختمان را در اختیار یک سامانه هوش مصنوعی قرار می‌دهد و از آن می‌خواهد محل ثبت تصویر را تشخیص دهد. ممکن است سامانه پاسخ دقیقی نداشته باشد و صرفاً براساس حدس و تحلیل داده‌های موجود، مکانی را پیشنهاد کند. همین داده‌ها و تعاملات در شبکه باقی می‌مانند و می‌توانند در آموزش‌ها و تحلیل‌های بعدی مورد استفاده قرار گیرند. این تنها یک مثال ساده از نحوه تولید و گردش داده در بسترهای هوش مصنوعی است. در مجموع، معتقدم تا زمانی که به شناخت و تسلط حرفه‌ای بر یک فناوری نرسیده‌ایم، نباید اطلاعات حساس، امنیتی و سطح بالا را در اختیار آن قرار دهیم یا از آن برای تحلیل چنین داده‌هایی استفاده کنیم. امروز بخش قابل توجهی از داده‌ها، گفت‌وگوها، آمارها و اطلاعات ما توسط سامانه‌های مبتنی بر هوش مصنوعی پردازش و تحلیل می‌شود و این موضوع ضرورت توجه به امنیت داده‌ها را دوچندان می‌کند. نکته مهم این است که باید بدانیم این سامانه‌ها چگونه عمل می‌کنند و داده‌های ورودی آن‌ها در چه مسیری قرار می‌گیرد. آیا اطلاعات در یک بستر داخلی پردازش و نگهداری می‌شود یا امکان انتشار و دسترسی به آن در سطح گسترده‌تری وجود دارد؟ این پرسشی است که پیش از استفاده از هر فناوری نوین باید به آن پاسخ داده شود. یکی از مهم‌ترین آسیب‌هایی که در این حوزه با آن مواجه هستیم، وابستگی به بسترها و شبکه‌های خارجی است. این موضوع تنها به هوش مصنوعی محدود نمی‌شود؛ بلکه اینترنت بین‌الملل، نرم‌افزارها، سرویس‌ها و پلتفرم‌های خارجی نیز می‌توانند در صورت نبود ملاحظات لازم، زمینه بروز آسیب‌های امنیتی و خروج داده‌های ارزشمند را فراهم کنند. از این رو، استفاده از این فناوری‌ها باید همراه با شناخت دقیق، مدیریت ریسک و رعایت الزامات امنیتی باشد.

از نظر شما مهم‌ترین اولویت کشور در حوزه امنیت سایبری در پنج سال آینده باید چه باشد؟

مهم‌ترین اولویت در حوزه امنیت اطلاعات باید داخلی‌سازی شبکه‌ها و زیرساخت‌های ارتباطی کشور باشد. هر شبکه‌ای که اطلاعات، آمار، داده‌های شهروندان یا اطلاعات حساس و راهبردی کشور را در خود نگهداری می‌کند، باید تا حد امکان بر بسترهای داخلی استقرار یابد. این شبکه‌ها نباید وابستگی مستقیم به شبکه جهانی داشته باشند و لازم است برای حفاظت از اطلاعات حیاتی، از بسترهای عمومی و در معرض دسترس جدا شوند. در کنار این موضوع، توسعه توانمندی‌های داخلی در حوزه تولید تجهیزات و زیرساخت‌های سخت‌افزاری نیز از اهمیت بالایی برخوردار است. کشور باید به سمتی حرکت کند که وابستگی خود را در این حوزه کاهش دهد و بتواند بخش بیشتری از نیازهای راهبردی خود را از طریق ظرفیت‌های داخلی تأمین کند. بدون تقویت زیرساخت‌های بومی، دستیابی به امنیت پایدار در فضای سایبری با دشواری‌های جدی روبه‌رو خواهد بود.

از سوی دیگر، ارتقای دانش و آگاهی کاربران در کنار تقویت زیرساخت‌های فنی، یکی از الزامات اساسی برای حفاظت از داده‌ها و امنیت اطلاعات به شمار می‌رود. هرچه سطح سواد دیجیتال در جامعه بالاتر باشد، احتمال بروز خطاهای انسانی و آسیب‌پذیری‌های ناشی از آن نیز کاهش خواهد یافت و نظام اطلاعاتی کشور از امنیت بیشتری برخوردار خواهد شد.

پی‌نوشت:
۱-لایسنس، مجوز یا گواهی‌نامه‌ای است که اجازه استفاده، توزیع یا فروش یک محصول، خدمت یا نرم‌افزار را به فرد یا سازمانی می‌دهد.
۲-کِرَک کردن نرم‌افزار یا قفل‌گشایی نرم‌افزار، یعنی تغییر دادن نرم‌افزار به منظور حذف کردن روش‌های حفاظتی آن نرم‌افزار.

منبع: روزنامه قدس

برچسب‌ها

نظر شما

شما در حال پاسخ به نظر «» هستید.
در زمینه انتشار نظرات مخاطبان رعایت چند مورد ضروری است:
  • لطفا نظرات خود را با حروف فارسی تایپ کنید.
  • مدیر سایت مجاز به ویرایش ادبی نظرات مخاطبان است.
  • نظرات حاوی توهین و هرگونه نسبت ناروا به اشخاص حقیقی و حقوقی منتشر نمی‌شود.
  • نظرات پس از تأیید منتشر می‌شود.
captcha