تقسیم کار ملی در امنیت سایبری تغییر می‌کند

  • توسط نویسنده
  • ۴ ماه پیش
  • ۰

رئیس سازمان فناوری اطلاعات گفت: وزارت ارتباطات طرح جدیدی را در حوزه تقسیم کار ملی امنیت سایبری تهیه کرده است تا در نهایت مصوبه قبلی مرکز ملی فضای مجازی مورد بازنگری قرار گیرد.

سازمان فناوری اطلاعات با توجه به نیاز روز افزون کشور به برقراری و توسعه شبکه‌های رایانه‌ای و ارتباط آنها به یکدیگر و در نهایت اتصال به شبکه‌های جهانی و با هدف ایجاد زیرساختهای ارتباطی لازم برای تحقق چنین امری و نیز امکان دسترسی به منابع اطلاعاتی، خدماتی، و برنامه‌های کاربردی داخلی و خارجی از سال ۱۳۷۰ به عنوان یکی از قسمتهای زیرمجموعه وزارت پست و تلگراف و تلفن آغاز به کار کرد.

البته هم زمان با تغییر نام وزارت پست و تلگراف و تلفن به وزارت ارتباطات و فناوری اطلاعات در سال ۱۳۸۲، تغییراتی در سطح شرکت‌های تابعه رخ داد؛ به طور مثال در این رابطه امور ارتباطات دیتا ضمن تغییر هویت در تابستان ۱۳۸۳ به «شرکت ارتباطات داده ها» تغییر نام یافت. هدف گذاری، هدایت، نظارت راهبردی، ساماندهی و توسعه امن، ایمن و پایدار فناوری اطلاعات کشور در راستای تأمین منافع، مصالح، امنیت ملی، رفاه عمومی و توسعه همه جانبه و پایدارکشور از مأموریت‌های مهم سازمان فناوری اطلاعات به شمار می‌رود.

محمد خوانساری به عنوان رئیس جدید سازمان فناوری اطلاعات و معاون وزیر ارتباطات از آبان ۱۴۰۰ تاکنون سکانداری این سازمان را عهده دار است؛ چندی پیش و به مناسبت روز خبرنگار، خبرگزاری مهر میزبان محمد خوانساری بود و ضمن بازدید او از بخش‌های مختلف این رسانه، در نشستی پاسخگوی سوالات خبرنگاران نیز بود. خوانساری در این مصاحبه درباره آخرین وضعیت پیشرفت شبکه ملی اطلاعات، راه اندازی مراکز داده در اقصی نقاط کشور در دولت جدید، امنیت سایبری و انتقاد به عملکرد متولیان این حوزه، جزئیات همکاری با روسیه در حوزه ارتباطات توضیحاتی را ارائه داد.

مشروح گفتگوی رئیس سازمان فناوری اطلاعات با خبرگزاری مهر را در ادامه می‌خوانید؛

*به عنوان نخستین سوال درباره آخرین وضعیت پیشرفت «شبکه ملی اطلاعات» توضیح دهید؛ در آخرین جلسه شورای عالی فضای مجازی عنوان شد که شبکه ملی اطلاعات ۴۳ درصد پیشرفت داشته و وعده وزیر ارتباطات این است که تا پایان سال میزان پیشرفت به ۷۰ درصد خواهد رسید…

شبکه ملی اطلاعات تکلیف مهمی است که مطابق مصوبات شورای عالی فضای مجازی، سند طرح کلان و معماری آن در شهریور ۱۳۹۹ به تصویب رسیده و بعد از آن محور اصلی فعالیت‌های وزارت ارتباطات در دولت سیزدهم نیز قرار گرفته است و در سازمان فناوری اطلاعات ایران و بقیه دستگاه‌های وزارتخانه هم این تقسیم کار به شکل مناسب خود انجام گرفته است.

آن چیزی که ما در سازمان فناوری اطلاعات ایران در رابطه با شبکه ملی اطلاعات دنبال کردیم، آن خدماتی است که به عنوان «خدمات پایه فضای مجازی» مطرح است و هرگونه خدمات دیجیتالی را شامل می‌شود که به عنوان تکلیفِ بسترسازی آن در سازمان فناوری اطلاعات ایران در قالب تقسیم کار داخلی وزارتخانه انجام گرفته است. وقتی از خدمات صحبت می‌کنیم، یک بخش عمده‌ای از آن، خدماتی است که دولت باید به بخش خصوصی و دولت به سایر دستگاه‌های دولتی ارائه دهد؛ در خدماتی که ما از دولت به به دیگر دستگاه‌های دولتی ارائه می‌دهیم و به نوعی جزو تکالیفی است که در شبکه ملی اطلاعات مورد استفاده قرار می‌گیرد، موضوع مهم این است که ما بتوانیم امکان ارتباط الکترونیکی دستگاه‌های مختلف را در حوزه استعلاماتی که دستگاه‌ها از هم دارند، فراهم کنیم.

برای اینکه نیاز یک نفر در یک دستگاه پاسخ داده شود، خود آن دستگاه نیاز به سوال از سایر دستگاه‌ها دارد و این سوال را باید به صورت الکترونیکی بپرسد. در حوزه شبکه ملی اطلاعات، سازمان فناوری و اطلاعات ایران مجری مرکز تبادل اطلاعات کشور است که در این مرکز، دستگاه‌های مختلف خدمت دهنده و خدمت گیرنده متصل هستند و هر کسی از هر کجایی بخواهد خدمت بگیرد از این محل می‌تواند متصل شود و خدمت خود را دریافت کند.

*آخرین آمار در رابطه با گذرگاه خدمات دولت الکترونیک (GSB) را می‌فرمایید؟

سال گذشته تقریباً حدود ۲ میلیارد و ۲۰۰ میلیون تراکنش داشتیم که این ۲ میلیارد و ۲۰۰ تراکنش، تقریباً معادل کل تراکنش‌های ۵ سال قبل است؛ یعنی یک رشد خیلی زیاد از نیاز دستگاه‌ها برای اتصالشان به هم به وجود آمده است که این رشد جدید را ما باید بتوانیم پاسخ دهیم؛ یعنی زیرساخت‌های سخت افزاری، نرم افزاری و توسعه‌هایی که لازم است را در برنامه جدی امسال پیگیری خواهیم کرد و به تدریج به سمت جلو حرکت می‌کنیم.

در حال حاضر تقریباً حدود ۷۰ دستگاه متصل هستند و سرویس می‌دهند و حدود ۳۰۰ دستگاه هم سرویس می‌گیرند که بعضی از آن ۷۰ دستگاه، خودشان هم سرویس دهنده هستند و از یک جایی هم دارند سرویس می‌گیرند. یک بخشی از این خدمات، خدماتی است که بخش خصوصی هم باید بتواند از آن استفاده کند. که این از طریق گذرگاه عمومی خدمات دولت میسر است.

*دستگاه‌ها به نوعی به شبکه ملی اطلاعات متصل هستند؟

«مرکز تبادل اطلاعات» بخشی از شبکه ملی اطلاعات است و برخی دستگاه‌ها به آن متصل هستند؛ یعنی بر روی شبکه داخلی کشور این تبادل اطلاعات را انجام می‌دهند و نیازی به تبادل اطلاعات به خارج از کشور در این موضوع قطعاً نداریم. در واقع از نظر فیزیکی ربطی به خارج از کشور ندارد.

به طور مثال یک شرکت مرتبط با حمل و نقل اینترنتی خصوصی از وزارت بهداشت می‌خواهد یک سوال بپرسد و می‌خواهد ببیند راننده‌ای که در حال حاضر موبایلش را روشن کرده و می‌خواهد مسافری را سوار کند کرونا دارد یا خیر؟ این سوال را از ما می‌پرسد ما از وزارت بهداشت می‌پرسیم و آنها هم جواب می‌دهند که البته در این مسیر نیاز به سامانه‌های دیگری هم وجود دارد که استعلام‌ها صورت گیرد.

من با این مثال به نوعی سعی کردم موضوع را روشن کنم. ما سرویس‌هایی را در دولت داریم که بخش خصوصی نیز به آن احتیاج دارد. این پروسه هم از طریق مرکز ملی تبادل اطلاعات انجام می‌گیرد. این مرکز یک بخشی دارد که روی اینترنت سرویس می‌دهد؛ چون سرویسی که ما به یک شرکت خصوصی می‌دهیم یا سرویسی که به خیلی جاهای دیگر می‌دهیم که بخش خصوصی می‌شوند، از طریق همین مرکز تبادل ملی اطلاعات انجام می‌گیرد.

این ۷۰ دستگاه خدمات خود را با متدهای مختلفی ارائه می‌دهند. مجموع کل متُدخدمت های ما بر روی بستر مرکز ملی تبادل اطلاعات، حدود یک هزار و ۴۰۰ مورد است که بر روی بستر این مرکز ارائه می‌شود. در همین رابطه همکارانم، یک گزارش آماری تهیه کردند و دستگاهایی که بیشترین سرویس را ارائه می‌دهند، مشخص شده است؛ به طور مثال سازمان ثبت احوال یکی از این سازمان هاست، سازمان تنظیم مقررات رادیویی نیز سرویسی دارد به نام «شاهکار» که تطبیق شماره موبایل با کد ملی است و یک نوعی از احراز هویت است، یکی دیگر از سازمان‌ها وزارت کشور است که یک سامانه مرتبط با کرونا دارد. وزارت بهداشت نیز جز سرویس‌دهنده‌ها و سرویس‌گیرنده‌های پرکاربرد است.

همچنین شرکت پست که کدپستی ارائه می‌دهد و وزارت علوم که مدرک ارائه و استعلام مدرک تحصیلی را انجام می‌دهد جزو بیشترین سرویس دهنده‌های ما هستند. در بحث استعلامات یکی از دستگاه‌هایی که بیشترین تقاضا را دارد، وزارت علوم است که هم سرویس ارائه می‌دهد و هم سرویس گیرنده است. شاید این سوال مطرح می‌شود که وزارت علوم چه سرویسی می‌گیرد؟ «سرویس کرونا» که برای خوابگاه‌ها بسیار مهم است چرا که می‌خواهند بدانند دانشجویی که وارد خوابگاه می‌شود، کرونا نداشته باشد. اولین دانشگاهی که به این سرویس متصل شد، دانشگاه تهران بود.

واقعیت این است که کرونا بهانه‌ای بود برای امتحان کردن اینکه آیا ما آمادگی لازم برای سرویس‌های بزرگ ملی را داریم یا خیر که الحمدالله سرویس‌های خوبی در اختیار مردم گذاشته شد.

*وزارت ارتباطات در دوره جدید بر راه اندازی مراکز داده و گسترش آن در مناطق مختلف کشور تاکید دارد و آقای وزیر نیز در اظهارات خود چندین بار بر آن تاکید داشته‌اند؛ در این باره هم توضیح می‌فرمایید.

ما در بحث مراکز داده، کاری که انجام می‌دهیم موضوع «رتبه بندی مراکز داده» بوده و آئین نامه مشخصی برای این کار داریم و در حین مسئله رتبه بندی، بحث‌های زیرساختی، امنیت فیزیکی و مرتبط با طراحی مطرح می‌شود که هر کدام دارای استانداردهای جهانی هستند و ما هم در داخل کشور استاندارهایی را برای این موارد تدوین کرده‌ایم؛ همچنین با کمک سازمان نظام صنفی رایانه‌ای کشور تعدادی از شرکت‌ها و موسساتی که در این حوزه مجاز به فعالیت هستند را ارزیابی کردیم. در واقع سازمان فناوری اطلاعات ایران مسئولیت «تنظیم‌گری مراکز داده» را دارد. در بحث تنظیم گری مراکز داده، ما حتماً به سازماندهی مراکز داده در کل کشور نیازمندیم. پروژه بزرگی برای شناسنامه‌دار کردن مراکز داده در کشور داریم. پیش از این هر کسی در یک زمانی که مجوز هم نیاز نبوده، برقی را گرفته، سیستمی را تهیه و یک اتاقکی به عنوان اتاق سرور راه اندازی و بعداً اسم آن را مراکز داده گذاشته است.

*خروجی و تأثیر این ساماندهی و تنظیم گری را مردم و کاربران چگونه احساس می‌کنند؟

قاعدتاً آن فردی که کسب و کاری دارد باید از مرکز داده‌ای سرویس بگیرد که دارای رتبه بندی از جانب سازمان فناوری اطلاعات ایران است. ما قانوناً مجاز هستیم به مراکز داده، مجوز ارائه دهیم. بنابراین کسب و کاری که از مراکز داده رتبه بندی شده، سرویس می‌گیرد، حداقل از تعداد زیادی از استانداردها خیالش راحت است. واقعیت امر این است که مردم خیلی ارتباط مستقیمی با این موضوع پیدا نمی‌کنند، چون آنها نمی‌دانند داده‌هایشان کجا ذخیره می‌شود؛ ولی حداقل برای حفاظت از داده‌های مردم و نگهداری و ذخیره سازی در یک محل امن اقداماتی صورت می‌گیرد.

*یعنی امنیت نگهداری داده در نهایت افزایش پیدا می‌کند؟

بله. امنیت بیشتر می‌شود. الزاماً همه این داده‌ها برای دولت نیست و ممکن است یک بخش خصوصی که سرویسی مثل خرید و فروش آنلاین را ارائه می‌دهد، داده‌اش را در جایی نگهداری کند. این داده باید در یک مرکز داده‌ای نگهداری شود که دارای یک رتبه بندی بوده و مطمئن باشیم که حداقل‌هایی در آنجا وجود دارد.

*آقای خوانساری، سوال بعدی درباره «امنیت سایبری» است؛ این اواخر بحث هک و یا نفوذ یا حملات سایبری را زیاد داشتیم و از آن سو نهادهای متولی موضوع امنیت سایبری، آنطور که باید ساماندهی در اجرا ندارند و انتقاداتی نسبت به عملکرد آنها مطرح می‌شود؛ همچنین گفته شده تجهیزات امنیت سایبری فرسوده هستند؛ برنامه شما برای ارتقا امنیت سایبری و رفع مشکلات در این حوزه چیست؟

در حوزه ارتقا امنیت، موضوع نیروی انسانی یکی از مباحث بسیار کلیدی است. یعنی باید آموزش‌هایی را به کارکنان دولت که در رسته فناوری اطلاعات هستند بدهیم که در حوزه مسائل امنیت در فناوری اطلاعات و ارتباطات ارتقا یابند. یک بخش دیگر بحث پیشگیری است؛ برخی شرکت‌ها، کارهای خدماتی حوزه امنیتی را انجام می‌دهند از آن طرف هم شرکت‌هایی داریم که عملیات حوزه امنیت را انجام می‌دهد یعنی مثلاً در یک مکانی اتفاقی می‌افتاد و این شرکت‌ها امنیت آنجا را برقرار می‌کنند یا اقداماتی پیشگیرانه را قبل از اینکه اتفاقی رخ دهد انجام می‌دهند. برخی مراکز نیز انواع و اقسام خدماتی که ممکن است یک دستگاه یا بخش خصوصی در حوزه امنیت نیاز داشته باشند را ارائه می‌دهند که مسئول ساماندهی آن بخشی که به کسب و کارها (مراکز غیرحیاتی و غیرحساس کشور) مربوط می‌شود، بر عهده سازمان فناوری اطلاعات ایران است.

ما در درجه اول در بخش تربیت نیروی انسانی، برنامه ۱۰ هزار ساعت آموزش امنیتی به کارکنان دولت را در نظر گرفته‌ایم. در بخش دیگر ارزیابی دستگاه‌های دولتی و گزارش اشکالات امنیتی در سامانه‌های کلیدی و حساس‌شان در دستور کار جدی سازمان قرار دارد. نتایج این گزارشات را به خود دستگاه و به رئیس دستگاه اعلام می‌کنیم.

خاطرتان هست یک زمانی این امکان برای همه فراهم بود که چندین سیم‌کارت خریداری می‌کردند و ممکن بود فرد با آن سیم‌کارت هزار خلاف انجام دهد و کسی هم نبود سوالی در این رابطه بپرسد؛ یعنی اول فشار فناوری یا نیاز به حوزه فناوری این‌قدر زیاد است که حوزه امنیت آن، متأسفانه با حوزه توسعه فناوری رشد نمی‌کند. یعنی اول کاربری رشد می‌کند، بعد در اختیار مردم قرار می‌گیرد و بعد اگر مشکلی پیش بیاید ما بر می‌گردیم به عقب و به فکر تأمین امنیت آن می‌افتیم.

در حال حاضر اقداماتی در این رابطه در سازمان فناوری اطلاعات ایران آغاز شده و ما به‌جای مقابله به‌دنبال عملیات پیشگیرانه هستیم؛ یعنی طی همکاری و هماهنگی با دستگاه‌ها بنا داریم بررسی‌های لازم را برای دستگاه‌های غیرحساس و غیر حیاتی و کسب و کارها انجام دهیم. البته همه کار را خودمان انجام نمی‌دهیم. بلکه تعداد زیادی شرکت خصوصی هستند که احراز آنها قبل‌تر توسط سازمان انجام شده و مجوز دارند و بر اساس این مجوزها می‌توانند خدمات مورد نیاز مردم در بخش افزایش سطح ایمنی را انجام دهند. در نتیجه هر کسی که در حوزه فناوری اطلاعات فعالیت داشته باشد و یا اینکه در دستگاه یا در کسب و کار خود از فناوری اطلاعات و ارتباطات استفاده کند، می‌تواند فهرست شرکت‌های مورد تأیید را از سایت سازمان فناوری اطلاعات ایران استخراج کند و در آن حوزه‌ای که خدمت می‌خواهد، معلوم است که چه شرکت‌هایی برای ارائه خدمت، مجوز دارند.

*در حال حاضر اگر حمله سایبری صورت گیرد، یک متولی برای پاسخگویی درباره ابعاد مختلف حمله، علت آن و راهکارهای مقابله با آن وجود ندارد، در یکسال اخیر اتفاقات زیادی در همین زمینه رخ داد و شاهد نوعی بی نظمی بودیم و یک نهاد یا متولی خاص پاسخگو نبود تا برای مردم توضیح دهد که دقیقاً چه اتفاقی افتاده است، آیا به نظر شما نیاز به ساماندهی یا بازنگری در مصوبات حوزه امنیت سایبری احساس نمی‌شود؟

بله قطعاً. حدود پنج سال گذشته یک تقسیم کار ملی در مورد دستگاه‌های مختلفی که در این حوزه فعال اند، توسط مرکز ملی فضای مجازی انجام شده است، ولی قاعدتاً با توسعه فناوری، حجم خدمات و سرویس‌ها نسبت به پنج سال گذشته خیلی خیلی بیشتر شده و امروز خدماتی که در حوزه فضای مجازی یا خدمات دیجیتالی در اختیار مردم است، نسبت به ۵ سال گذشته اصلاً قابل قیاس نیست.

بنابراین با این تغییرات، آن تقسیم کار ملی که در ۵ سال پیش انجام گرفته در حال حاضر دستخوش تغییراتی شده است؛ به عنوان مثال در یک زمانی ممکن بود که سامانه‌هایی، صرفاً سامانه‌های کسب و کار تلقی شود اما امروز دیگر اینها سامانه‌ای نیستند که تلقی کسب و کاری از آنها بشود و تبدیل به سامانه‌های مهمی شده‌اند که زندگی مردم به آن‌ها وابسته است.

به عنوان مثال یک زمانی ممکن بود که تاکسی‌های آنلاین خیلی مهم نباشند ولی امروز و در شرایط فعلی بخش زیادی از زندگی روزمره مردم بر اساس این خدمات دیجیتال است. پس این اگر زمانی جزو سرویس‌های کلیدی و مهم کشور نبوده امروز چون مراجعات مردمی به آن خیلی افزایش یافته، شاید باید جزو سرویس‌ها و خدمات کلیدی فضای مجازی و فضای دیجیتال تلقی شود.

بنابراین قاعدتاً باید بازنگری و تغییراتی رخ دهد. تقسیم کار را مرکز ملی فضای مجازی انجام داده است؛ اما پیشنهاد جدیدی را وزارت ارتباطات تهیه کرده است تا در نهایت مصوبه قبلی مرکز، مورد بازنگری قرار گیرد. چون شرایط عملاً در یک سال گذشته تغییر کرده و این تغییرات باعث شده که تقسیم کارها مورد بازبینی قرار بگیرد.

*یک کارگروه همکاری مشترک با روسیه دارید و موضوع امنیت سایبری یکی از موضوعات مطرح شده در این کارگروه بوده است، درباره این موضوع هم کمی توضیح می‌دهید، شکل این همکاری به چه صورت است؟

ما نه تنها با روسیه بلکه با خیلی از نقاط دنیا ارتباط داریم؛ وقتی که یک رخنه پذیری رخ می‌دهد یا یک اشکالی در یک نرم افزاری بوجود بیاید، اطلاع رسانی بین‌المللی انجام می‌شود، در واقع مرکز ماهر ما یک مرکز شناخته شده بین المللی است که تبادل اطلاعاتِ نقصان‌ها و حوادث و رویدادهای امنیتی در آن انجام می‌شود.

ما به عنوان یک نهاد حاکمیتی و یک نهاد عمومی، رخدادهای امنیتی را که در سایر نقاط دنیا در حوزه فضای مجازی روی می‌دهد، دریافت می‌کنیم. یکی از موضوعاتی که ما دنبال می‌کنیم، این است که بتوانیم جدیدترین و به‌روزترین اطلاعات را در مورد نواقص امنیتی و رخنه پذیری‌های امنیتی دریافت کنیم تا بر اساس آن اقداماتی را در داخل کشور برای امن سازی سامانه‌های عمومی انجام دهیم.

*این همکاری‌ها با روسیه چقدر جدی است و آیا وارد فاز اجرا می‌شود؟

این همکاری‌ها یک همکاری‌های عمومی است و در واقع یک تفاهم نامه بین دو کشور روسیه و ایران در زمینه تبادلات حوزه امنیت مشخص شده که این تفاهم نامه را دولت تأیید کرده و برای تأیید نهایی به مجلس فرستاده شده است. در نهایت در قالب آن چیزی که مجلس به ما اجازه می‌دهد، همکاری‌هایی تعریف و اجرایی خواهد شد.

*گفته شده به تازگی موتور جستجوی روسیه در ایران رفع فیلتر شده است، آیا این موضوع صحت دارد؟

نه، چنین چیزی نیست. از سال ۱۳۹۴ رفع فیلتر شده است.

*آیا ایران برنامه مشخصی در حوزه مسائل امنیتی با روسیه دارد؟

خیر. به هیچ وجه ما برنامه کاری در حوزه مسائل امنیتی با روسیه نداریم؛ در حوزه نیازهای داخلی، اتکای ما به توان داخلی خودمان است و در حال حاضر سرویس‌های و محصولات مورد نیاز در داخل کشور از سوی شرکت‌های داخلی تهیه می‌شود. اگر آن شرکت‌ها برای اینکه سیستم‌هایشان با کیفیت بهتری کار کند، نیازهایی برای تبادل فناوری و یا تبادل داده داشته باشند، ممکن است همکاری‌هایی با سایر کشورها شکل بگیرد. در غیر این صورت اینکه ما بخواهیم سیاست عمومی برای مثلاً سازمان فناوری اطلاعات ایران داشته باشیم، خیر چنین چیزی نیست. چارچوب همکاری‌ها از سوی دولت در آن سندی که تصویب کرده و برای مجلس فرستاده، مشخص شده و دسترسی عمومی به این سند وجود دارد و تصور نمی‌کنم چیز محرمانه‌ای باشد.

نه. به هیچ وجه ما برنامه کاری در حوزه مسائل امنیتی با روسیه نداریم؛ در حوزه نیازهای داخلی، اتکای ما به توان داخلی خودمان است و در حال حاضر سرویس‌های امنیت کشور و محصولات مورد نیاز در داخل کشور از سوی شرکت‌های داخلی تهیه می‌شود. اگر آن شرکت‌ها نیازهایی برای تبادل فناوری و یا تبادل داده داشته باشند برای اینکه سیستم‌هایشان با کیفیت بهتری کار کند، ممکن است همکاری‌هایی با سایر کشورها شکل بگیرد در غیر این صورت اینکه ما بخواهیم سیاست عمومی برای مثلاً سازمان فناوری اطلاعات داشته باشیم، خیر چنین چیزی نیست. چارچوب همکاری‌ها از سوی دولت در آن سندی که تصویب کرده و برای مجلس فرستاده، مشخص شده و دسترسی عمومی به این سند وجود دارد و فکر نمی‌کنم چیز محرمانه‌ای باشد.

  • facebook
  • googleplus
  • twitter
  • linkedin
  • linkedin