هفته ملی امنیت فناوری اطلاعات؛ پاسخ به افزایش مخاطرات سایبری کشور/ رسانه‌ها، حلقه مفقوده ارتقای امنیت فضای مجازی

به گزارش سایت خبری پُرسون، نخستین «هفته ملی امنیت فناوری اطلاعات» از ۲۱ تا ۲۴ دی‌ماه در تهران برگزار می‌شود.

به همین مناسبت، نشست خبری این رویداد با حضور مسئولان مرکز مدیریت راهبردی افتا در معاونت توسعه و ارزیابی صنعت افتا برگزار شد.

در ابتدای این نشست، برگزارکنندگان با اشاره به ضرورت پرداختن به موضوع امنیت سایبری، تأکید کردند که برگزاری هفته ملی امنیت فناوری اطلاعات پاسخی به افزایش مخاطرات و چالش‌های امنیتی در فضای سایبری کشور است.

به گفته آنان، هدف از این نشست، تشریح ابعاد مختلف این رویداد و پاسخ‌گویی به پرسش‌های رسانه‌ها درباره موضوعات مرتبط با امنیت سایبری کشور است.در ادامه، محمود روزبهانی، جانشین رئیس مرکز مدیریت راهبردی افتا، با قدردانی از حضور اصحاب رسانه، گفت: «یکی از رویکردهای اصلی مرکز در این دوره، افزایش تعامل و همکاری با رسانه‌هاست؛ چراکه ارتقای امنیت فضای مجازی بدون همراهی افکار عمومی و اطلاع‌رسانی دقیق امکان‌پذیر نیست.»

وی با بیان اینکه امنیت سایبری صرفاً یک موضوع فنی نیست، افزود: «ابعاد فرهنگی و اجتماعی امنیت فضای مجازی به‌مراتب گسترده‌تر از ابعاد صرفاً فنی آن است. امروز فناوری اطلاعات به بخش جدایی‌ناپذیر زندگی روزمره مردم تبدیل شده و خدمات بانکی، ارتباطی و زیرساختی به‌طور مستقیم به این فضا وابسته‌اند؛ بنابراین امنیت این فضا دیگر فقط یک الزام حاکمیتی نیست، بلکه به یک مطالبه عمومی تبدیل شده است.»

روزبهانی با اشاره به برداشت‌های نادرست از مفهوم امنیت سایبری تصریح کرد: «گاهی تصور می‌شود امنیت فقط به معنای محرمانگی اطلاعات است، در حالی که امنیت سه رکن اصلی دارد؛ محرمانگی، صحت و دسترس‌پذیری.

اطلاعات باید هم از دسترسی غیرمجاز محافظت شوند، هم دقیق و قابل اعتماد باشند و هم در زمان نیاز در دسترس کاربران قرار گیرند.»

جانشین رئیس مرکز مدیریت راهبردی افتا همچنین درباره مفهوم «افتا» توضیح داد: «امنیت فضای تولید و تبادل اطلاعات به‌معنای نگاه امنیتی به کل فضای مجازی است. امنیت یک بخش جداگانه از فضای مجازی نیست، بلکه یک نگرش و زاویه دید به تمام اجزای آن محسوب می‌شود. هیچ خدمت یا محصولی در این فضا وجود ندارد که فاقد ابعاد امنیتی باشد.»

وی در ادامه با تشریح راهبرد کلان ایجاد و حفظ امنیت گفت: «مدیریت امنیت، در اصل مدیریت مخاطرات است. این فرآیند از شناسایی دارایی‌ها آغاز می‌شود؛ یعنی ابتدا باید بدانیم چه چیزی برای ما ارزشمند است و نیاز به حفاظت دارد. سپس دارایی‌ها ارزش‌گذاری می‌شوند و متناسب با ارزش آن‌ها، برای تأمین امنیت هزینه می‌شود.

روزبهانی تأکید کرد: «پس از شناسایی و ارزش‌گذاری دارایی‌ها، باید تهدیدات متصور برای هر دارایی احصا شود تا بتوان متناسب با آن، اقدامات پیشگیرانه و حفاظتی را طراحی و اجرا کرد.»وی در پایان خاطرنشان کرد: «هفته ملی امنیت فناوری اطلاعات فرصتی است برای هم‌افزایی میان دستگاه‌ها، متخصصان و رسانه‌ها تا موضوع امنیت سایبری بیش از پیش به‌عنوان یک ضرورت ملی و مطالبه عمومی مورد توجه قرار گیرد.»

وی با اشاره به مفهوم «مخاطره» در ادبیات امنیت سایبری توضیح داد: «هر تهدید در ارتباط با هر دارایی، یک مخاطره محسوب می‌شود. با ترکیب ارزش دارایی‌ها و میزان تهدیدات، می‌توان مخاطرات را شناسایی و سپس با استفاده از روش‌ها و الگوریتم‌های مختلف، آن‌ها را اولویت‌بندی کرد. از آنجا که منابع و بودجه همواره محدود است، مدیریت مخاطرات به‌ معنای تمرکز بر مهم‌ترین مخاطرات و رسیدگی به آن‌ها به‌ترتیب اولویت است.»

جانشین رئیس مرکز مدیریت راهبردی افتا در ادامه به چهار راهبرد اصلی مدیریت مخاطرات اشاره کرد و گفت: «راهبرد نخست، حذف مخاطره است؛ یعنی حذف کامل منبع خطر. برای مثال، قطع کامل دسترسی به یک سرویس. هرچند این روش در برخی موارد ممکن است، اما معمولاً هوشمندانه‌ترین گزینه نیست.»

وی افزود: «راهبرد دوم، انتقال مخاطره است. نمونه ساده آن بیمه کردن دارایی‌هاست؛ به‌گونه‌ای که در صورت وقوع حادثه، بخشی از خسارت جبران شود. در حوزه فناوری نیز می‌توان مسئولیت برخی مخاطرات را از طریق قراردادها یا برون‌سپاری خدمات منتقل کرد.»

روزبهانی با تأکید بر اینکه رایج‌ترین و فنی‌ترین راهبرد، کاهش مخاطره است، تصریح کرد: «در این رویکرد، با استفاده از راهکارهای فنی مانند تجهیزات امنیتی، آنتی‌ویروس‌ها، تفکیک شبکه‌ها، لایه‌بندی و زون‌بندی، احتمال وقوع تهدید یا میزان اثرگذاری آن کاهش داده می‌شود. همچنین پیش‌بینی راهکارهای تداوم کسب‌وکار و مسیرهای جایگزین برای ارائه خدمات در زمان بروز حادثه، بخش مهمی از این راهبرد محسوب می‌شود.»

وی ادامه داد: «راهبرد چهارم، پذیرش مخاطره است. به این معنا که سازمان با آگاهی از سطح مخاطره و با توجه به بلوغ امنیتی خود، تصمیم می‌گیرد برخی مخاطرات را بپذیرد. هرچه سازمان از نظر امنیت سایبری بالغ‌تر باشد، سطح پذیرش مخاطره آن کاهش می‌یابد و برای مخاطرات بالاتر حتماً راهکارهای کنترلی تعریف می‌کند.»

روزبهانی در پایان خاطرنشان کرد: «هدف از این توضیحات، ایجاد درک مشترک از ادبیات و چارچوب‌های امنیت سایبری بود. جزئیات بیشتر و پاسخ به پرسش‌های تخصصی، در بخش پرسش و پاسخ نشست و همچنین در برنامه‌های هفته ملی امنیت فناوری اطلاعات ارائه خواهد شد.»

در ادامه این نشست، زهرا آخودداد، معاون توسعه و ارزیابی مرکز مدیریت راهبردی افتا ریاست جمهوری با اشاره به فراگیر شدن فضای مجازی گفت: ضرورت امنیت فناوری اطلاعات پوشیده نیست، به‌ویژه با توجه به شرایط خاص ایران در منطقه که این اهمیت را دوچندان می‌کند. بخشی از ماموریت‌ افتا ارتباط با بخش خصوصی است و برای نخستین‌بار هفته ملی امنیت فناوری اطلاعات را با توجه به این اهمیت شکل داده‌ایم و به دنبال آن هستیم که امنیت اطلاعات و امنیت ملی در تقویم رسمی کشور درج شود.

به گفته آخودداد، این رویداد از تاریخ ۲۱ تا ۲۴ دی‌ماه برگزار می‌شود که دو روز نخست آن به برگزاری پنل‌ها و کارگاه‌های تخصصی اختصاص دارد. او با اشاره به چالش نیروی انسانی در صنعت امنیت اطلاعات گفت: در بخش خصوصی با کمبود نیروی انسانی مواجه هستیم و خروجی دانشگاه‌ها با نیاز صنعت هم‌سو نیست. آموزش دانشگاهی بیشتر نظری است تا مهارتی و سرعت دانشگاه نسبت به صنعت پایین‌تر است؛ همچنین موج مهاجرت باعث تشدید کمبود نیروی انسانی شده است.

معاون توسعه و ارزیابی افتا با تاکید بر ناامن‌بودن محصولات خارجی اظهار کرد: کالاهای وارداتی قابل اعتماد نیستند و باید بررسی و ارزیابی شوند. با توجه به فراگیر شدن اینترنت اشیا، لازم است اقدامات منسجمی درباره امنیت دستگاه‌های این حوزه انجام دهیم؛ در بخش بانکی کارهای خوبی انجام شده.

او ادامه داد: در این حوزه به دنبال جا انداختن مفهوم تنظیم‌گران بخشی هستیم؛ بانک مرکزی این نقش را ایفا می‌کند اما این مدل باید در سایر کسب‌وکارها نیز پیاده‌سازی شود. با توجه به حوزه هوش مصنوعی و اهمیت آن، به این موضوع نیز توجه ویژه شده و تضمین امنیت محصولات هوش مصنوعی یکی از دغدغه‌های اصلی ماست.

آخودداد با اشاره به حضور شرکت‌های داخلی گفت: ۴۰ شرکت فعال در صنعت بومی افتا در نمایشگاه روز پایانی این رویداد حضور خواهند داشت. اگر فضای سایبری امن نباشد، ممکن است حاکمیت به سمت محدودیت‌ها و قطع دسترسی برود، اما اگر بتوانیم امنیت را ایجاد کنیم، می‌توانیم مانع اعمال محدودیت‌ها شویم.

او در پاسخ به سوال درباره امنیت کالاهای وارداتی توضیح داد: سند توسعه افتا تدوین شده و قرار است ارائه شود. ما نمی‌توانیم انتظار امنیت کامل از محصولات وارداتی داشته باشیم و قرار است برنامه‌های حمایتی از محصولات و خدمات بومی داشته باشیم. تا زمانی که محصولات بومی به بلوغ نرسند، نمی‌توان واردات را حذف کرد؛ اما اگر از نظر امنیتی، فنی و کیفی بتوانیم از کیفیت محصولات داخلی مطمئن شویم، درباره واردات کالای خارجی تصمیم‌گیری می‌کنیم.

به گفته آخودداد، افتا با معاونت علمی ریاست‌جمهوری برای استفاده از پایان‌نامه‌های دانشگاهی همکاری دارد و طبق اعلام معاونت علمی، پایان‌نامه‌هایی که مورد تایید افتا باشند، با حمایت دوبرابری مواجه می‌شوند.

منبع: پُرسون