یک کارشناس امنیت سایبری در گفتوگو با سیتنا؛ لزوم استفاده از توان بخش خصوصی در قالب «اپراتور امنیتی» برای تامین امنیت سایبری کشور
مدیرعامل یک شرکت دانش بنیان حوزه امنیت سایبری معتقد است: امور اجرایی در حوزه امنیت سایبری فقط و فقط توسط بخش خصوصی قابل انجام است و دولت یا حاکمیت باید عهدهدار وظیفه تنظیم مقررات و نظارت باشد. دولت باید شاخصها را تعریف کرده و شرکتهای خصوصی را براساس معیارهای تعریف شده سطحبندی کرده و از دستگاههای دولتی بخواهد بر اساس میزان حساسیت دستگاه از شرکتهای خصوصی که سطح مورد نظر را دارند به عنوان “اپراتور امنیتی” استفاده کنند. دستگاهها باید از ظرفیت و توان اپراتورها نهایت استفاده برده و این اپراتورها را قسمتی از سازمان بدانند. اپراتورها هم باید بدانند که در صورت هرگونه رخداد امنیتی باید پاسخگوی
دکتر هاشم حبیبی، مدیرعامل یک شرکت دانش بنیان حوزه امنیت سایبری در گفتوگو با سیتنا پیرامون نقش بخش خصوصی در تامین امنیت سایبری کشور، گفت: امنیت مهمترین و اصلیترین رکن هر جامعه است. حال این امنیت میتواند در حوزه اجتماعی، اقتصادی یا سایبری باشد. امروزه مردم در زندگی شبانهروزی خود بارها وارد فضای مجازی شده و بسیاری از کارهای روزمره خود را انجام میدهند. همه ما چنان وابسته به این فضا هستیم که گاهی متوجه نمیشویم قسمتی از زندگی ما در این فضا میگذرد. اگر امروز به مسیری که در این سالها طی شده نگاه کنیم میبینیم که رشد فناوری اطلاعات و ارتباطات باعث شده وابستگی بشر به فضای مجازی به گونهای شود که برگشت به عقب تقریبا غیرممکن باشد. پس حفظ امنیت فضای مجازی، یکی از ارکان رشد و توسعه جامعه شده است.
حبیبی در ادامه افزود: امنیت اطلاعات و ارتباطات را همانگونه که میدانید در سه بعد محرمانگی، جامعیت و دسترسپذیری تعریف میکنند، که برای حفظ هر کدام از این ابعاد باید سرویسها و خدمات متنوع امنیتی ارائه شود تا در نهایت بتوان به امنیت قابل قبولی دست پیدا کرد. با توجه به اینکه یکی از وظایف هر نظام و حکومتی تامین امنیت است، گاها به اشتباه ایجاد امنیت هم تمام و کمال وظیفه دولت و حکومت شمرده میشود، اما همانگونه در دفاع مقدس، مردم از مرزها و خاک مملکت دفاع کردند، و بسیجیوار در کنار نیروی مسلح از کیان کشور دفاع کردند، در امنیت فضای سایبری هم قطعا مردم که همان بخش خصوصی محسوب میشوند نقش بسیار پررنگی دارند.
این کارشناس امنیت سایبری، ادامه داد: شورای عالی فضای مجازی یک آییننامه نظام مقابله با تهدیدات سایبری تدوین کرده است که در آن نقش حاکمیت در این نظام به روشنی بیان شده است و وظایف دستگاههای دولتی و حاکمیتی در مقابله با حوادث سایبری تعریف شده است، اما نقطه مجهول و نامشخص این آییننامه این است که تمامی این دستگاهها وظایف نظارتی و قانونگذاری و تنظیم مقررات دارند و درنهایت مشخص نشده است اگر حملهای رخ دهد چه سازمان یا دستگاهی باید برای عملیات اجرایی اقدام کند. بدیهی است دستگاههای دولتی و حاکمیتی نه میتوانند و نه وظیفه دارند کار اجرایی از قبیل خدمات و سرویسهای امنیتی ارائه کنند، اما بخش خصوصی در حوزه امنیت باید در این موارد به عنوان بازوی اجرایی بخش دولتی و حاکمیتی و با همراهی و در راستای سیاستهای آنها وارد میدان شده و نقش خود را ایفا کند.
مدیرعامل شرکت دانش بنیان حوزه امنیت سایبری بیان کرد: اکنون برای اینکه بخش خصوصی حساب شده و با برنامه وارد میدان شود و بتواند در کنار دستگاههای دولتی و حاکمیتی نقش خود را ایفا کند، باید کارهایی را انجام دهد. در اولین قدم شرکتهای خصوصی حوزه امنیت سایبری باید توسط سازمانهای ذیصلاح دولتی بر اساس تعداد نیروی انسانی متخصص، عمق و تعداد محصول تولیدی، عمر و تجربه شرکت و صلاحیتهای امنیتی مدیران ارشد و کارکنان سطحبندی شوند. اکنون با توجه به سطح اهمیت و امنیت هر شرکت و میزان حساسیت هر دستگاه دولتی، باید به هر دستگاه یا سازمان دولتی یک شرکت خصوصی متناسب با آن تخصیص داده شود. این شرکتهای خصوصی باید در تمام امور امنیت سایبری آن دستگاه یا سازمان ورود کرده و به عبارتی به عنوان واحد اجرایی امنیت سایبری سازمان نقش ایفا کنند.
وی، تاکید کرد: نکته مهم و قابل توجه این است که در کمیسیونها و کمیتههای امنیت دستگاه یا سازمان دولتی باید نماینده بخش خصوصی اعم از مدیرعامل، مدیران ارشد یا کارشناسان فنی حضور فعال داشته باشند. بخش خصوصی در این وضعیت به عنوان “اپراتور امنیت” دستگاه دولتی شناخته میشود و تمامی فعالیتهای امنیت سایبری باید توسط این اپراتور یا با هماهنگی آن انجام شود. یکی از مهمترین وظایف اپراتور امنیت، تخصیص نیروی متخصص در سازمان به تعداد لازم میباشد. با توجه به اینکه دولت امکان استخدام نیروی انسانی به تعداد زیاد را ندارد، این مشکل براحتی با وجود اپراتور امنیت حل میشود. البته اپراتورهای امنیت باید در چارچوبهای بسیار سختگیرانه دولتی تعریف و نظارت شوند.
حبیبی در ادامه بیان کرد: شرکتهایی که مجوز اپراتور امنیتی میگیرند، که البته این مجوزها هم میتواند سطوح مختلفی داشته باشد، باید برنامهریزی کنند که از شرکتهای نوپا که توان دریافت مجوز اپراتوری ندارند استفاده کنند. این موضوع بسیار مهم است که استفاده از شرکتهای نوپا و تازهتاسیس یا شرکتهای کوچک برای ادامه کار اپراتورها، امتیاز داشته باشد. با این کار رقابت ناصحیح شرکتهای بزرگ و شرکتهای کوچک از بین میرود و این رقابت به رفاقت تبدیل خواهد شد.
مدیرعامل شرکت دانش بنیان حوزه امنیت سایبری در ادامه به سیتنا گفت: اما در ادامه با ورود اپراتورهای امنیت به سازمانها، و قرار گرفتن این شرکتهای خصوصی در تمامی ابعاد امنیت سایبری سازمانها، مسولیت هرگونه رخداد امنیتی برعهده اپراتور امنیتی نیز میباشد. بنابراین اپراتورها باید با تمام ابزار و نیروهای خود از فضای سایبری سازمان کارفرما محافظت کنند. چنانچه به هردلیلی حملهای برای سازمان رخ دهد، اپراتور امنیت هم باید در کنار مدیران ارشد سازمان پاسخگوی کارهای انجام داده و انجام نداده باشد. البته با توجه به چابکی شرکتهای خصوصی، حتما میزان خطرات، تهدیدات و حملات سایبری کاهش چشمگیری خواهد داشت.
وی، خاطرنشان کرد: حال باید در نظام مقابله با حوادث سایبری نیز بخش خصوصی در کنار دیگر ارکان حاکمیتی و دولتی قرار گیرد، برای این کار نیز انجمنهای صنفی که توسط شرکتهای خصوصی انتخاب میشوند، میتوانند متولی این موضوع در کنار نهادهای دولتی و حاکمیتی باشند.
حبیبی در جمعبندی موضوع گفت: امور اجرایی در حوزه امنیت سایبری فقط و فقط توسط بخش خصوصی قابل انجام است و دولت یا حاکمیت باید عهدهدار وظیفه تنظیم مقررات و نظارت باشد. دولت باید شاخصها را تعریف کرده و شرکتهای خصوصی را براساس معیارهای تعریف شده سطحبندی کرده و از دستگاههای دولتی بخواهد براساس میزان حساسیت دستگاه از شرکتهای خصوصی که سطح مورد نظر را دارند به عنوان “اپراتور امنیتی” استفاده کنند. دستگاهها باید از ظرفیت و توان اپراتورها نهایت استفاده برده و این اپراتورها را قسمتی از سازمان بدانند. اپراتورها هم باید بدانند که در صورت هرگونه رخداد امنیتی باید پاسخگوی نهادهای ذیصلاح باشند.
انتهای پیام
افزودن دیدگاه جدید