دستیار وزیر ارتباطات در امور امنیت فناوری اطلاعات ضمن تشریح برنامه های جدید این وزارتخانه در حوزه امنیت گفت: تکالیف مربوط به امنیت طبق اهداف شبکه ملی اطلاعات تنها ۲۱ درصد اجرا شده است.

خبرگزاری مهر - گروه دانش و فناوری؛ معصومه بخشی پور: دستیابی به شبکه‌ای امن و تأمین پدافند سایبری در زیرساخت‌های کشور در چارچوب سیاست‌های کلی نظام قرار دارد و از برنامه پنجم توسعه که در آن سند راهبردی امنیت فضای تبادل اطلاعات – افتا – گنجانده شده تاکنون چندین سند حوزه فضای سایبری به موضوع امنیت اختصاص یافته است.

برای مثال در برنامه ششم توسعه بر آمادگی ایران در حوزه امنیت سایبری تاکید شده تا ایران به یکی از قدرت‌های سایبری منطقه در حوزه امنیت تبدیل شود. در سند تبیین الزامات شبکه ملی اطلاعات نیز موضوع مصون سازی، کاهش آسیب پذیری، افزایش پایداری و تاب آوری امنیتی و دفاعی شبکه ملی اطلاعات در برابر تهدیدات مورد توجه قرار گرفته است. در همین حال در طرح کلان و معماری شبکه ملی اطلاعات نیز موضوع امنیت در پیوست حدود ۲۰ اقدام جای دارد.

با این وجود اما وقوع حملات سایبری، نفوذ به سامانه‌های اطلاعاتی و نشت اطلاعات به صورت متعدد در کشور طی چند سال اخیر نشان می‌دهد که حوزه امنیت فضای سایبری با اهداف اساسی سیاست‌های نظام فاصله دارد و اقدامات مدنظر آنطور که باید پیش نرفته است.

از این رو عیسی زارع پور وزیر ارتباطات دولت سیزدهم در زمان ارائه برنامه به مجلس شورای اسلامی برای اخذ رأی اعتماد از نمایندگان، «حفظ حریم خصوصی و امنیت فضای تبادل اطلاعات» را یکی از رئوس برنامه‌های خود عنوان کرد.

بنا بر اظهارات وی، دوگانه «احراز هویت» در مقابل «نقض حریم خصوصی» بعضاً دستاویزی برای امنیتی جلوه دادن فضای مجازی کشور شده است. در حالی که در واقع عدم تحقق امنیت و بی توجهی به سند الزامات شبکه ملی اطلاعات، باعث نا امن تر شدن این فضا و ضرر و زیان مادی و معنوی کاربران فضای مجازی کشور شده است.

زارع پور حدود ۱۴ راهبرد را برای رفع چالش‌های حوزه امنیت عنوان کرده که از جمله مهمترین آنها می‌توان به ارتقای توان داخلی و کاهش وابستگی به خارج از کشور، بومی سازی فناوری، خدمات و تجهیزات مورد نیاز کشور با استفاده از زیست بوم شرکت‌های دانش بنیان داخلی، حمایت از شرکت‌های دانش بنیان داخلی فعال در حوزه فاوا، پیگیری راه اندازی مرکز ملی پایش امنیت زیرساخت‌های ارتباطی و اطلاعاتی کشور برای کشف و دفع حملات، تهیه و در اختیار قرار دادن ابزارهای مناسب برای استفاده در سازمان‌های دولتی و خصوصی با هدف مقابله با حملات سایبری، تربیت نیروهای متخصص حوزه امنیت فناوری اطلاعات در کشور، پیگیری ایجاد سازوکار قانونی لازم جهت پیگیری حقوقی در ابعاد بین الملل در صورت حمله به زیرساخت‌های کشور و فراهم کردن زیرساخت‌های فنی و حقوقی لازم برای حمایت از حقوق کاربران در فضای مجازی اشاره کرد.

حدود ۳ ماه پیش نیز وزیر ارتباطات برای نیل به این اهداف، امیر محمدزاده لاجوردی را به عنوان نماینده ویژه خود در امور امنیت فناوری اطلاعات منصوب کرد.

محمدزاده لاجوردی که عضو هیأت مدیره شرکت ارتباطات زیرساخت نیز است، دارای مدرک دکتری مهندسی کامپیوتر با گرایش امنیت شبکه از دانشگاه صنعتی شریف و دانشجوی پسا دکتری مهندسی کامپیوتر گرایش تحلیل مبتنی بر جریان جهت شناسایی حملات مانای پیشرفته در دانشگاه صنعتی شریف و نیز متخصص شبکه‌های کامپیوتری و امنیت فناوری اطلاعات است.

با وی به گفتگو نشستیم تا روند برنامه‌های وزارت ارتباطات را در حوزه امنیت جویا شویم.

محمدزاده لاجوردی معتقد است که حدود ۲۱ درصد از وظایف مرتبط با وزارت ارتباطات مطابق با اسناد شبکه ملی اطلاعات در حوزه امنیت انجام شده است و ما در حوزه امنیت دچار عقب ماندگی هستیم.

متن این گفتگو به شرح زیر است:

* شما به عنوان نماینده ویژه وزیر ارتباطات در امور امنیت فاوا از سوی دکتر زارع‌پور منصوب شده اید، با توجه به اینکه این پست برای نخستین بار در این وزارتخانه تعریف شده است، ضرورت آن را چه می‌دانید؟ در سند طرح کلان و معماری شبکه ملی اطلاعات چندین سرفصل به موضوع امنیت و تکالیف وزارت ارتباطات در مورد آن اشاره دارد؛ به طور کل چه برنامه‌هایی را در دست انجام دارید؟

اسناد مرجعی که ما باید بر اساس آن در حوزه امنیت کار را جلو ببریم شامل سند تبیین الزامات و سند معماری و طرح کلان شبکه ملی اطلاعات می‌شود که از سند تبیین الزامات به عنوان «قانون اساسی شبکه ملی اطلاعات» تعبیر می‌شود و در سال ۹۶ تصویب شده است. سند معماری و طرح کلان شبکه ملی اطلاعات نیز یک سند اجرایی است که تصویب آن به سال ۹۹ بازمی گردد.

در سند طرح کلان و معماری شبکه ملی اطلاعات که ۵۳ اقدام کلان دارد و یک سری اجزا و اهداف عملیاتی و کمی نیز در آن دیده شده است، ما باید در ۳ طبقه بندی تکالیفی را در حوزه امنیت پیاده سازی کنیم.

به نحوی که از ۵۳ اقدام کلان تعریف شده در این سند، حدود ۲۰ اقدام کاملاً امنیتی است، مستقل از اینکه کدام سازمان و نهادی مجری آن باشد. از این ۲۰ اقدام، متولی اصلی ۱۸ مورد آن وزارت ارتباطات است.

در همین حال ۳۳ اقدام باقی مانده نیز که کاملاً امنیتی نیستند نیازمند طراحی امنیتی هستند که به اشتباه به آن پیوست امنیتی نیز گفته می‌شود.

به عبارت دیگر در معماری شبکه ملی اطلاعات، یک ستون عمودی در طرح کلان با موضوع امنیت وجود دارد. به این معنی که تمام پروژه‌ها باید طراحی امنیتی داشته باشد.

* با این وجود کار بسیار بزرگی در پیش دارید. حال با توجه به اینکه اسناد مرجعی که از آن نام برده اید در سال‌های گذشته به تصویب رسیده است، چه میزان از این تکالیف انجام شده و چه بخش‌هایی برای کار همچنان باقی مانده است؟

بله؛ کار بسیار بزرگی است و ارزیابی ما نشان می‌دهد که در این حوزه باید با سرعت بیشتری پیش رفت و طبق بررسی‌های ما حدود ۲۱ درصد از وظایف مرتبط با وزارت ارتباطات مطابق با این اسناد، در حوزه امنیت انجام شده است. این نشان می‌دهد که ما در حوزه امنیت دچار عقب ماندگی هستیم.

* شما دلیل این عقب ماندگی را در چه مواردی می‌دانید؟

به نظر می‌رسد که حوزه امنیت در وزارت ارتباطات تاکنون حوزه‌ای واگرا بوده و بخش‌های مختلف حوزه امنیت در این وزارتخانه با هم همگرا نیستند. حداقل ۶ معاونت و اداره‌کل مختلف در وزارت ارتباطات به نوعی مرتبط با حوزه امنیت هستند که لازم است حتماً با یکدیگر همگرا شوند. که شامل معاونت امنیت سازمان فناوری اطلاعات، مرکز امنیت سامانه‌های صیانتی زیرساخت، اداره کل امنیت سیستم‌های ارتباطی سازمان تنظیم مقررات و ارتباطات رادیویی، کمیته پدافند غیرعامل وزارت ارتباطات، پژوهشکده امنیت پژوهشگاه ارتباطات و تیم‌های سرت (CERT) دستگاه‌های زیرمجموعه وزارت ارتباطات، می‌شوند. اما موضوع این است که هر کدام از این بخش‌ها برای خود پروژه مستقل انجام می‌دهند و همگرا نیستند.

در حالی که می‌توان بسیاری از امور را با مساعدت یکدیگر انجام داد و در زمان و هزینه صرفه جویی کرد. به همین دلیل آقای وزیر تصمیم گرفتند که در وزارت ارتباطات یک نقطه کانونی برای حوزه امنیت ایجاد کنند.

* حدود ۳ ماه از انتصاب شما در این مسئولیت می‌گذرد. تاکنون موفق به همگرایی این بخش‌ها و سایر نهادهای مرتبط با حوزه امنیت شده اید؟

ما در ۳ ماه گذشته حدود ۲۵۰ جلسه با حضور این بخش‌ها در وزارتخانه داشتیم تا این واحدهای امنیتی از نظر تعریف مسئولیت، یکپارچه شوند.

در خارج از وزارت ارتباطات هم ما نیازمند این همگرایی هستیم. هم اکنون نهادهای مختلفی از جمله مرکز ملی فضای مجازی، افتای ریاست جمهوری، پدافند غیرعامل، پلیس فتا، معاونت فضای مجازی دادستانی، حراست‌های سازمانی و مراکز امنیتی مانند وزارت اطلاعات به نوعی درگیر موضوعات امنیت هستند و همگرایی این بخش‌ها نیز بسیار مهم است. باید برای این هماهنگی بیشتر هم راهکاری در نظر گرفت.

از این رو مرکز ملی فضای مجازی در تلاش است که این دستگاه‌ها و نهادها را با یکدیگر هماهنگ کند.

* با توجه به کلیتی که از ساختار موجود امنیت در کشور بیان کردید، اولویت برنامه‌های شما در این حوزه، مربوط به چه مواردی می‌شود؟

بحث امنیت بسیار گسترده است اما ما اولویت را روی «مقابله با حملات امنیتی فناوری اطلاعات»، «امن‌سازی و سالم‌سازی» و «مراقبت از کودک» معطوف کرده ایم.

در این زمینه کار جدیدی که در زمینه امنیت و سالم سازی در دست انجام داریم مربوط به «راه اندازی اپراتورهای خدمات امنیتی» می‌شود که پیگیر آن هستیم. به بیان دیگر اپراتورهایی که خدمات امنیتی ارائه می‌دهند را شناسایی خواهیم کرد و مدل کسب و کار آنها را اقتصادی خواهیم کرد تا بتوانند سرویس پایدار و با کیفیت ارائه دهند.

این گواهی فعالیت با توجه به مقیاس فعالیتی که این اپراتورها دارند و سرویس دهی آن شامل افراد عادی و خانواده و یا کسب و کارها، سازمان‌ها و زیرساخت‌ها، متفاوت خواهد بود.

ما اپراتورهای امنیت را راه اندازی می‌کنیم. این اپراتورها همان بخش خصوصی هستند که به صورت نظام مند خدمات حوزه امنیت را برای تأمین نیازهای مردم ارائه می‌دهند.

این اپراتورها می‌توانند خدمات امنیتی در مقیاس ملی ارائه دهند. در نگاه کلان‌تر هم اپراتور خدمات امنیت می‌تواند در زمان رخداد سایبری، به سازمان‌ها سرویس داده و رخدادهای امنیتی را پیشگیری و یا پیگیری کند.

این اپراتورها می‌توانند برای مدیریت دسترسی کودکان در فضای مجازی در حوزه خانواده، سرویس‌های مربوط به کودک ارائه کنند تا کودکان به صورت مدیریت شده با نظارت والدین در فضای مجازی حضور داشته باشند.

این پروژه در دست انجام است.

* در حوزه امن سازی پروژه دیگری در اولویت انجام ندارید؟

پروژه‌های زیادی را پیگیری می‌کنیم. برای مثال یکی از پروژه‌های ما «ایجاد و ارتقای گذرگاه‌های ایمن» است که این گذرگاه‌ها می‌تواند مرزی و یا داخلی باشد. هدف از اجرای این پروژه این است که ما بدانیم مرز سایبری مان کجاست؟ در این صورت اگر قرار بر ورود حملاتی به سازمان‌ها و یا شرکت های‌مان است، قبل از آن که حمله‌ای وارد شود، در همان مرز بتوانیم آن را پیش بینی و کنترل کنیم.

* هم اکنون وضعیت کنترل مرزهای فضای سایبری ما چگونه است؟

در حال حاضر ما نظارت خوبی در مرزهای مجازی نداریم و مهاجم از این طریق نفوذ می‌کند و به سازمان‌ها و زیرساخت‌های ما ورود پیدا می‌کند.

ما با ایجاد گذرگاه‌های ایمن، می‌توانیم این حملات را عقب تر بکشانیم؛ البته این پروژه مستلزم انجام یک کار فنی و هم نیازمند تجهیزات است. البته با توجه به اقداماتی که تاکنون انجام شده و تجهیزاتی که آماده است، می‌توان با زیرساخت قبلی هم بخشی از نیاز این کار را پیش برد. ما بررسی کردیم و دیدیم که می‌شود با زیرساخت پروژه‌های دیگر، نیاز این پروژه را تأمین کرد.

ما در حوزه مباحث ضد تحریم هم پروژه‌هایی تعریف کرده ایم تا تحریم‌هایی که کشورهای خارجی علیه ما انجام می‌دهند، اثربخشی لازم را نداشته باشد.

برای مثال بخشی از این تحریم‌ها، دسترسی به سرویس‌های مختلفی را برای شرکت‌های کامپیوتری و برنامه نویسان و توسعه دهندگان محدود می‌کند. این بی صداقتی شرکت‌های خارجی است که به بهانه تحریم، نمی‌خواهند ما در تولید نرم افزار و تجهیزات کامپیوتری رشد داشته باشیم و به همین دلیل دسترسی به برخی سرویس‌های توسعه‌ای را به روی مهندسان ایرانی محدود می‌کنند. تلاش ما این است که با یک سری اقدامات، با این رویکرد مقابله کرده و دسترسی به این سرویس‌های مسدود شده را باز کنیم.

شاید بسیاری از این موضوعات از نظر فنی از دید کاربر پنهان باشد اما در بخش‌هایی که مربوط به نیازمندی‌های متخصصان حوزه کامپیوتر است، ارائه این راهکارها برای این متخصصان بسیار کارساز است.

* در حوزه امنیت اطلاعات یکی از خلاءهای موجود به نبود قانون‌های مرتبط با این بخش بر می‌گردد. آیا در پیشبرد پروژه‌ها با خلاءهای قانونی حوزه امنیت نیز برخورد کرده اید؟

ما معتقدیم که وزارت ارتباطات در حوزه قانونگذاری امنیت باید به سایر نهادها کمک کند. چرا که در حوزه امنیت و فضای مجازی قوانینمان باید به روز و پخته‌تر شود.

در حوزه حریم خصوصی و حفاظت از داده‌های کاربر باید قانونگذاری صورت گیرد. همانطور که در اروپا نیز قانون GDPR در این زمینه تصویب شده است، ما هم باید به سراغ آن برویم.

در این زمینه وزارت ارتباطات برای لایحه حفاظت از داده‌های کاربران، پیشنهاداتی را تهیه کرده و اصلاحاتی را روی این لایحه اعمال کرده تا با تصویب دولت، به مجلس ارائه شود.

از این لایحه می‌توان برای طراحی‌های امنیتی پروژه‌های حوزه امنیت نیز استفاده کرد.

* طی سال‌های گذشته با مشکلات بسیاری به دلیل نبود امنیت در سازمان‌ها و کسب و کارها در خصوص نشت اطلاعات کاربران مواجه بودیم، آیا برنامه‌ای برای پیشگیری اینگونه رخدادها دارید؟

یکی از برنامه‌های مهم ما ساماندهی کسب و کارها در حوزه امنیت است. ما باید به کسب و کارها در این زمینه کمک کنیم. همانطور که اشاره کردید متأسفانه در دو سه سال گذشته نسبت به قبل، بیشترین مقدار انتشار اطلاعات خصوصی کاربران، کسب و کارها، و یا سازمان‌ها و شرکت‌ها را شاهد بوده ایم. البته ناگفته نماند که حجم حملات نیز به شدت افزایش یافته است.

ما در این باره تمهیداتی داریم تا اینگونه رخدادها را به حداقل برسانیم. در این زمینه کارگروهی تشکیل شده است که البته فقط وزارت ارتباطات درگیر آن نیست و بازیگران مختلفی در این حوزه حضور دارند.

*در مورد نشت اطلاعات چالشی که همواره در کشور وجود دارد این است که در زمان وقوع رخداد، سازمان‌های متولی مطابق با سند تقسیم کار مقابله با حوادث فضای مجازی (مصوب شورای عالی فضای مجازی)، مسئولیت را برعهده نمی‌گیرند و به نوعی موضوع در میان پاسکاری سازمان‌های متولی به فراموشی سپرده می‌شود.

طبق آن سند، مسئول نشت اطلاعات در هر سازمان و دستگاهی، بالاترین مقام همان سازمان است. یعنی وقتی در کسب و کاری نشت اطلاعات رخ می‌دهد مدیر آن کسب و کار مسئول است. اما موضوع این است که مسئولان آن سازمان‌ها پاسخگو نیستند. این موضوع دلایل مختلفی دارد.

برای مثال طبق بخشنامه‌ای، ۱۵ درصد از بودجه فناوری اطلاعات سازمان‌ها باید به حوزه امنیت تخصیص داده شود. اما آمارها نشان می‌دهد که در سالهای گذشته بودجه فناوری اطلاعات سازمان‌ها در مجموع حدود ۲ هزار میلیارد تومان بوده است که ۱۵ درصد آن، ۳۰۰ میلیارد تومان می‌شود. سوال این است که آیا با این مبلغ می‌شود امنیت دستگاه‌ها را تأمین و تضمین کرد؟

حوزه امنیت نیازمند هزینه و البته هزینه کرد آن نیز غیرقابل ملموس است. البته هم اکنون سازمان‌ها و مراکزی که دچار حمله سایبری شده اند حاضرند هزینه کنند که آن اتفاق مجدداً نیافتد.

البته باید توجه داشت که امنیت یک هنر است و فقط یک علم نیست (The security is an art, is not just a science) . اینکه احساس کنیم تنها با خرید تجهیزات و نیروی انسانی و یک دستور العمل، امنیت در یک سازمان تأمین می‌شود درست نیست. فرهنگ امنیت باید در مجموعه و یا سازمان نهادینه شود؛ این همان هنر است.

اگر هزاران اپلیکیشن و اپراتور و سامانه برای خانواده‌ها و سازمان‌ها راه اندازی شود اما فرهنگ حوزه امنیت وجود نداشته باشد، این تمهیدات بی فایده است.

از سوی دیگر همانطور که گفتم بودجه دولتی برای حوزه امنیت کم است و به همین جهت ما معتقدیم که باید مدل کسب و کار حوزه امنیت را در کشور اصلاح کنیم؛ به همین دلیل به دنبال اپراتورهای حوزه امنیت هستیم.

در این میان مشکل دیگری که وجود دارد این است که ما در کشور جایی نداریم که اپراتورهای حوزه امنیت را ارزیابی عملکردی کند. به دلیل نبود مرجع ارزیابی عملکردی محصولات و تجهیزات حوزه امنیت، هر یک از سازمان‌ها، متفاوت از سازمان دیگر تضمین امنیت یک محصول امنیتی را قبول دارد. این یک خلا است.

هم اکنون گواهی‌هایی مانند گواهی ISMS ، گواهی خدمات و گواهی ارزیابی تجهیزات از سوی سازمان فناوری اطلاعات صادر می‌شود اما این به معنای ارزیابی عملکرد نیست. این گواهی‌ها برای ارزیابی امنیتی است.

آنچه که مسلم است این است که ما در ارزیابی عملکردی سیستم‌های امنیتی در کشور خوب کار نکرده ایم و باید فکری به حال این موضوع کرد.

به همین دلیل آئین نامه‌ای با کمک چندین نهاد از جمله وزارت ارتباطات، سازمان ملی استاندارد و سازمان نظام صنفی رایانه‌ای به عنوان بخش خصوصی در دست تدوین است تا امکان ارزیابی عملکردی محصولات و تجهیزات حوزه امنیت فراهم شود و رویه‌ای باشد که همه سازمان‌ها مطابق آن پیش بروند و هر کس ساز خود را نزند.

ما معتقدیم که این حوزه باید ساماندهی شود. این آئین نامه در حال تدوین است تا تمامی گواهینامه‌های حوزه امنیت در سازمان‌ها یکپارچه شود.

* در سند اقدامات کلان شبکه ملی اطلاعات به موضوع ایجاد سیستم عامل امن نیز اشاره شده است. شما چه برنامه‌ای برای تحقق این هدف دارید؟

موضوع سیستم عامل امن در دو سیستم عامل بومی و سیستم عامل تلفن همراه دنبال می‌شود که ایجاد سیستم عامل داخلی برای مراکز امنیتی و نظامی، حیاتی و حساس مهم بر عهده وزارت دفاع و وزارت اطلاعات گذاشته شده است. از سوی دیگر ایجاد سیستم عامل تلفن همراه نیز برعهده وزارت ارتباطات است که در ذیل مسئولیت معاون فناوری و نوآوری این وزارتخانه دنبال می‌شود.

اگرچه هر یک از این پروژه‌ها نیازمند طراحی امنیتی است و ما باید آن را تهیه کنیم اما ما به طور مستقیم در این پروژه‌ها نقشی نداریم.

* در سند طرح کلان و معماری شبکه ملی اطلاعات در حوزه ساماندهی VPN ها نیز تکالیفی دیده شده است. در این زمینه برنامه‌ای دارید؟

بله ؛ باید توجه داشت که ساماندهی VPN ها کار پر چالشی است، چرا که در این اقدام، عوامل مختلفی دخیل هستند و ما نمی‌توانیم یکسره به سراغ آنها برویم.

متأسفانه به اشتباه شاید ساماندهی VPN ها معادل مسدود سازی و فیلترینگ عنوان می‌شود اما این درست نیست. برای ساماندهی این موضوع باید چند کار به پیش رود.

یکی از موضوعات به مباحث ضد تحریم باز می‌گردد. یعنی از VPN برای دور زدن تحریم‌ها استفاده می‌شود و باید در این خصوص فرهنگسازی شود و بالا بردن سواد رسانه‌ای کاربران در دستور کار قرار گیرد. در کنار آن بحث اقتصادی و نیز بومی سازی پلتفرم داخلی نیز مطرح است. همچنین موضوع قوانین حریم خصوصی نیز در این سطح باید مورد توجه قرار گیرد و تمامی این موارد باید به موازات هم پیش رود. همه اینها یک چرخه است و نمی‌شود به تنهایی بگوییم که استفاده از VPN را ساماندهی می‌کنیم.

برای مثال در ایالت متحده چون پلتفرم‌ها در اختیارش خودشان است، اعمال خط مشی در لایه پلتفرم انجام می‌پذیرد. به این معنی که دسترسی به توئیتر و اینستاگرام را نمی‌بندد اما در آن پلتفرم‌ها، خط مشی خود را اعمال می‌کنند و عکس حاج قاسم را حذف می‌کند. اگر امکان اعمال خط مشی در این پلتفرم‌ها وجود نداشته باشد، اولین جایی که آن‌ها را می‌بندد همان ایالت متحده است.

* به فیلترینگ هوشمند اشاره کردید. پروژه‌های متعددی در سالهای گذشته در این باره مطرح شد و برای مثال قرار بود به جای مسدودسازی پلتفرم اینستاگرام، محتوای نامناسب فیلتر شود. این پروژه‌ها به کجا رسید؟

به خاطر پیشرفت تکنولوژی و رمزگذاری داده این روش امکان پذیر نیست؛ ما اگر بخواهیم مشکلات فضای مجازی مان حل شود باید در حوزه فضای مجازی مانند فناوری‌های هسته‌ای و نانو روی لبه تکنولوژی حرکت کنیم.

اینکه می‌بینیم در فضای مجازی عقب هستیم و به فرموده مقام معظم رهبری این فضا ول است، دلیلش این است که در این حوزه معمولاً از تکنولوژی عقب بوده ایم.

فیلترینگ هوشمند در لایه محتوا روی پلتفرم‌های خارجی عملاً برای ما امکان پذیر نیست و کشورهای خارجی با صاحبان پلتفرم وارد مذاکره شده و اعمال خط مشی می‌کنند.

ما دو راه بیشتر نداریم؛ یا باید با این پلتفرم‌های خارجی تعامل کنیم که در کشور ما بیایند و شرایط ما را بپذیرند و یا اینکه نسخه‌های داخلی خودمان را راه اندازی کنیم.

* آیا بومی سازی سامانه‌های امنیتی هم در تکالیف وزارت ارتباطات طبق سند اقدامات کلان شبکه ملی اطلاعات آمده است؟

بله؛ بومی سازی ۱۰۰ درصدی سامانه‌های امنیتی جز تکلیف شبکه ملی اطلاعات است که البته مسئولیت آن در اختیار نهاد دیگری است و ما معتقدیم می‌توان آن را ۱۰۰ درصد بومی کرد. اما بومی سازی سامانه‌های غیرامنیتی به صورت ۱۰۰ درصد، تقریباً غیرممکن است.

برای مثال در تشخیص یک حمله سایبری، نیازمند این هستیم که سامانه ناظر و تشخیصی بومی در زیرساخت خودمان داشته باشیم و این سامانه نباید خارجی باشد.

* شما به سامانه‌های ناظر و تشخیصی حوزه امنیت اشاره کردید. یکی از سامانه‌های امنیتی که سال‌های گذشته معرفی و از آن به عنوان سپری برای جلوگیری از حملات سایبری نام برده شد، «دژفا» بود. این پروژه هم اکنون چه عملکردی دارد؟

ممکن است در هر دوره‌ای برای سامانه‌هایی اسم‌های خاصی گذاشته شود اما مستقل از این اسم، سالیان سال است که مرکز ماهر، سامانه‌های مختلفی را ایجاد می‌کند که اغلب جدای از هم هستند. در مقطعی مقرر شد که این سامانه‌ها یکپارچه شوند و نام آن را دژفا گذاشتند. البته اگر عملکرد دژفا نیز مانند اسمش بود الان خیلی از اقدامات کلان شبکه ملی اطلاعات انجام شده بود و دیگر هزینه نمی‌کردیم. دژفا اقدامات با ارزشی است که دوستان در سال‌های گذشته در حوزه امنیت انجام دادند اما کار بر زمین مانده زیاد است.

ما در حوزه امنیت باید قابلیت‌های بسیاری را به شبکه ملی اطلاعات اضافه کنیم. این سامانه‌ها باید به هم وصل شده و مقیاس پذیر (scalable) باشند نه واگرا!

* با این حال نمی‌توان امیدوار بود که سپر دژفا امنیت اطلاعات را تضمین کند و از نشت اطلاعات جلوگیری کند؟

ببینید حمله سایبری از طرق مختلف صورت می‌گیرد. باید یک سری سامانه داشته باشیم که این حملات روی کل ترافیک را تحلیل و همبسته‌سازی (اصطلاحاً Correlation) کند که هم اکنون این سامانه‌ها با حالت ایده‌آل ما فاصله دارد.

اما خیلی از حملات از طریق اینترنت رخ نمی‌دهد و نیروی نفوذی مثل استاکس نت در شبکه داخلی بدافزار را منتشر می‌کند.

به این قبیل حملات APT ( حملات مانای پیشرفته) می‌گویند که توسط دولت‌ها و حکومت‌ها به واسطه مهندسی اجتماعی و تحلیل ساختار، ساخته شده و هدایت می‌شوند . تاکنون ۱۲۰ مورد از این حملات در دنیا شناسایی شده است.

برای مثال در حمله اخیر به صدا و سیما که یک حمله سایبری تشخیص داده شد، نفوذ از طریق اشراف اطلاعاتی و به کمک بدافزار اتفاق افتاد. البته هنوز تحقیقات در حال انجام است اما اینکه حمله بدافزاری بوده، قطعی است.

در پاسخ به سوال شما به این نکته نیز باید توجه کرد که نظام ملی پیشگیری و مقابله با حوادث سایبری وظایف همه دستگاه‌های مرتبط را دسته بندی کرده است.

در مورد حمله سایبری باید توجه داشت که حمله، موضوعی امنیتی است و نهادهای امنیتی و نظامی هم در آن دخیل می‌شوند. البته حمله سایبری در آستانه‌های مختلف تعریف متفاوتی دارد و شاید برخی تهدیدات به معنای جنگ سایبری باشد و نیروی نظامی و انتظامی درگیر آن شوند.