تقسیم کار ملی در امنیت سایبری تغییر میکند
رئیس سازمان فناوری اطلاعات گفت: وزارت ارتباطات طرح جدیدی را در حوزه تقسیم کار ملی امنیت سایبری تهیه کرده است تا در نهایت مصوبه قبلی مرکز ملی فضای مجازی مورد بازنگری قرار گیرد.
سازمان فناوری اطلاعات با توجه به نیاز روز افزون کشور به برقراری و توسعه شبکههای رایانهای و ارتباط آنها به یکدیگر و در نهایت اتصال به شبکههای جهانی و با هدف ایجاد زیرساختهای ارتباطی لازم برای تحقق چنین امری و نیز امکان دسترسی به منابع اطلاعاتی، خدماتی، و برنامههای کاربردی داخلی و خارجی از سال ۱۳۷۰ به عنوان یکی از قسمتهای زیرمجموعه وزارت پست و تلگراف و تلفن آغاز به کار کرد.
البته هم زمان با تغییر نام وزارت پست و تلگراف و تلفن به وزارت ارتباطات و فناوری اطلاعات در سال ۱۳۸۲، تغییراتی در سطح شرکتهای تابعه رخ داد؛ به طور مثال در این رابطه امور ارتباطات دیتا ضمن تغییر هویت در تابستان ۱۳۸۳ به «شرکت ارتباطات داده ها» تغییر نام یافت. هدف گذاری، هدایت، نظارت راهبردی، ساماندهی و توسعه امن، ایمن و پایدار فناوری اطلاعات کشور در راستای تأمین منافع، مصالح، امنیت ملی، رفاه عمومی و توسعه همه جانبه و پایدارکشور از مأموریتهای مهم سازمان فناوری اطلاعات به شمار میرود.
محمد خوانساری به عنوان رئیس جدید سازمان فناوری اطلاعات و معاون وزیر ارتباطات از آبان ۱۴۰۰ تاکنون سکانداری این سازمان را عهده دار است؛ چندی پیش و به مناسبت روز خبرنگار، خبرگزاری مهر میزبان محمد خوانساری بود و ضمن بازدید او از بخشهای مختلف این رسانه، در نشستی پاسخگوی سوالات خبرنگاران نیز بود. خوانساری در این مصاحبه درباره آخرین وضعیت پیشرفت شبکه ملی اطلاعات، راه اندازی مراکز داده در اقصی نقاط کشور در دولت جدید، امنیت سایبری و انتقاد به عملکرد متولیان این حوزه، جزئیات همکاری با روسیه در حوزه ارتباطات توضیحاتی را ارائه داد.
مشروح گفتگوی رئیس سازمان فناوری اطلاعات با خبرگزاری مهر را در ادامه میخوانید؛
*به عنوان نخستین سوال درباره آخرین وضعیت پیشرفت «شبکه ملی اطلاعات» توضیح دهید؛ در آخرین جلسه شورای عالی فضای مجازی عنوان شد که شبکه ملی اطلاعات ۴۳ درصد پیشرفت داشته و وعده وزیر ارتباطات این است که تا پایان سال میزان پیشرفت به ۷۰ درصد خواهد رسید...
شبکه ملی اطلاعات تکلیف مهمی است که مطابق مصوبات شورای عالی فضای مجازی، سند طرح کلان و معماری آن در شهریور ۱۳۹۹ به تصویب رسیده و بعد از آن محور اصلی فعالیتهای وزارت ارتباطات در دولت سیزدهم نیز قرار گرفته است و در سازمان فناوری اطلاعات ایران و بقیه دستگاههای وزارتخانه هم این تقسیم کار به شکل مناسب خود انجام گرفته است.
آن چیزی که ما در سازمان فناوری اطلاعات ایران در رابطه با شبکه ملی اطلاعات دنبال کردیم، آن خدماتی است که به عنوان «خدمات پایه فضای مجازی» مطرح است و هرگونه خدمات دیجیتالی را شامل میشود که به عنوان تکلیفِ بسترسازی آن در سازمان فناوری اطلاعات ایران در قالب تقسیم کار داخلی وزارتخانه انجام گرفته است. وقتی از خدمات صحبت میکنیم، یک بخش عمدهای از آن، خدماتی است که دولت باید به بخش خصوصی و دولت به سایر دستگاههای دولتی ارائه دهد؛ در خدماتی که ما از دولت به به دیگر دستگاههای دولتی ارائه میدهیم و به نوعی جزو تکالیفی است که در شبکه ملی اطلاعات مورد استفاده قرار میگیرد، موضوع مهم این است که ما بتوانیم امکان ارتباط الکترونیکی دستگاههای مختلف را در حوزه استعلاماتی که دستگاهها از هم دارند، فراهم کنیم.
برای اینکه نیاز یک نفر در یک دستگاه پاسخ داده شود، خود آن دستگاه نیاز به سوال از سایر دستگاهها دارد و این سوال را باید به صورت الکترونیکی بپرسد. در حوزه شبکه ملی اطلاعات، سازمان فناوری و اطلاعات ایران مجری مرکز تبادل اطلاعات کشور است که در این مرکز، دستگاههای مختلف خدمت دهنده و خدمت گیرنده متصل هستند و هر کسی از هر کجایی بخواهد خدمت بگیرد از این محل میتواند متصل شود و خدمت خود را دریافت کند.
*آخرین آمار در رابطه با گذرگاه خدمات دولت الکترونیک (GSB) را میفرمایید؟
سال گذشته تقریباً حدود ۲ میلیارد و ۲۰۰ میلیون تراکنش داشتیم که این ۲ میلیارد و ۲۰۰ تراکنش، تقریباً معادل کل تراکنشهای ۵ سال قبل است؛ یعنی یک رشد خیلی زیاد از نیاز دستگاهها برای اتصالشان به هم به وجود آمده است که این رشد جدید را ما باید بتوانیم پاسخ دهیم؛ یعنی زیرساختهای سخت افزاری، نرم افزاری و توسعههایی که لازم است را در برنامه جدی امسال پیگیری خواهیم کرد و به تدریج به سمت جلو حرکت میکنیم.
در حال حاضر تقریباً حدود ۷۰ دستگاه متصل هستند و سرویس میدهند و حدود ۳۰۰ دستگاه هم سرویس میگیرند که بعضی از آن ۷۰ دستگاه، خودشان هم سرویس دهنده هستند و از یک جایی هم دارند سرویس میگیرند. یک بخشی از این خدمات، خدماتی است که بخش خصوصی هم باید بتواند از آن استفاده کند. که این از طریق گذرگاه عمومی خدمات دولت میسر است.
*دستگاهها به نوعی به شبکه ملی اطلاعات متصل هستند؟
«مرکز تبادل اطلاعات» بخشی از شبکه ملی اطلاعات است و برخی دستگاهها به آن متصل هستند؛ یعنی بر روی شبکه داخلی کشور این تبادل اطلاعات را انجام میدهند و نیازی به تبادل اطلاعات به خارج از کشور در این موضوع قطعاً نداریم. در واقع از نظر فیزیکی ربطی به خارج از کشور ندارد.
به طور مثال یک شرکت مرتبط با حمل و نقل اینترنتی خصوصی از وزارت بهداشت میخواهد یک سوال بپرسد و میخواهد ببیند رانندهای که در حال حاضر موبایلش را روشن کرده و میخواهد مسافری را سوار کند کرونا دارد یا خیر؟ این سوال را از ما میپرسد ما از وزارت بهداشت میپرسیم و آنها هم جواب میدهند که البته در این مسیر نیاز به سامانههای دیگری هم وجود دارد که استعلامها صورت گیرد.
من با این مثال به نوعی سعی کردم موضوع را روشن کنم. ما سرویسهایی را در دولت داریم که بخش خصوصی نیز به آن احتیاج دارد. این پروسه هم از طریق مرکز ملی تبادل اطلاعات انجام میگیرد. این مرکز یک بخشی دارد که روی اینترنت سرویس میدهد؛ چون سرویسی که ما به یک شرکت خصوصی میدهیم یا سرویسی که به خیلی جاهای دیگر میدهیم که بخش خصوصی میشوند، از طریق همین مرکز تبادل ملی اطلاعات انجام میگیرد.
این ۷۰ دستگاه خدمات خود را با متدهای مختلفی ارائه میدهند. مجموع کل متُدخدمت های ما بر روی بستر مرکز ملی تبادل اطلاعات، حدود یک هزار و ۴۰۰ مورد است که بر روی بستر این مرکز ارائه میشود. در همین رابطه همکارانم، یک گزارش آماری تهیه کردند و دستگاهایی که بیشترین سرویس را ارائه میدهند، مشخص شده است؛ به طور مثال سازمان ثبت احوال یکی از این سازمان هاست، سازمان تنظیم مقررات رادیویی نیز سرویسی دارد به نام «شاهکار» که تطبیق شماره موبایل با کد ملی است و یک نوعی از احراز هویت است، یکی دیگر از سازمانها وزارت کشور است که یک سامانه مرتبط با کرونا دارد. وزارت بهداشت نیز جز سرویسدهندهها و سرویسگیرندههای پرکاربرد است.
همچنین شرکت پست که کدپستی ارائه میدهد و وزارت علوم که مدرک ارائه و استعلام مدرک تحصیلی را انجام میدهد جزو بیشترین سرویس دهندههای ما هستند. در بحث استعلامات یکی از دستگاههایی که بیشترین تقاضا را دارد، وزارت علوم است که هم سرویس ارائه میدهد و هم سرویس گیرنده است. شاید این سوال مطرح میشود که وزارت علوم چه سرویسی میگیرد؟ «سرویس کرونا» که برای خوابگاهها بسیار مهم است چرا که میخواهند بدانند دانشجویی که وارد خوابگاه میشود، کرونا نداشته باشد. اولین دانشگاهی که به این سرویس متصل شد، دانشگاه تهران بود.
واقعیت این است که کرونا بهانهای بود برای امتحان کردن اینکه آیا ما آمادگی لازم برای سرویسهای بزرگ ملی را داریم یا خیر که الحمدالله سرویسهای خوبی در اختیار مردم گذاشته شد.
*وزارت ارتباطات در دوره جدید بر راه اندازی مراکز داده و گسترش آن در مناطق مختلف کشور تاکید دارد و آقای وزیر نیز در اظهارات خود چندین بار بر آن تاکید داشتهاند؛ در این باره هم توضیح میفرمایید.
ما در بحث مراکز داده، کاری که انجام میدهیم موضوع «رتبه بندی مراکز داده» بوده و آئین نامه مشخصی برای این کار داریم و در حین مسئله رتبه بندی، بحثهای زیرساختی، امنیت فیزیکی و مرتبط با طراحی مطرح میشود که هر کدام دارای استانداردهای جهانی هستند و ما هم در داخل کشور استاندارهایی را برای این موارد تدوین کردهایم؛ همچنین با کمک سازمان نظام صنفی رایانهای کشور تعدادی از شرکتها و موسساتی که در این حوزه مجاز به فعالیت هستند را ارزیابی کردیم. در واقع سازمان فناوری اطلاعات ایران مسئولیت «تنظیمگری مراکز داده» را دارد. در بحث تنظیم گری مراکز داده، ما حتماً به سازماندهی مراکز داده در کل کشور نیازمندیم. پروژه بزرگی برای شناسنامهدار کردن مراکز داده در کشور داریم. پیش از این هر کسی در یک زمانی که مجوز هم نیاز نبوده، برقی را گرفته، سیستمی را تهیه و یک اتاقکی به عنوان اتاق سرور راه اندازی و بعداً اسم آن را مراکز داده گذاشته است.
*خروجی و تأثیر این ساماندهی و تنظیم گری را مردم و کاربران چگونه احساس میکنند؟
قاعدتاً آن فردی که کسب و کاری دارد باید از مرکز دادهای سرویس بگیرد که دارای رتبه بندی از جانب سازمان فناوری اطلاعات ایران است. ما قانوناً مجاز هستیم به مراکز داده، مجوز ارائه دهیم. بنابراین کسب و کاری که از مراکز داده رتبه بندی شده، سرویس میگیرد، حداقل از تعداد زیادی از استانداردها خیالش راحت است. واقعیت امر این است که مردم خیلی ارتباط مستقیمی با این موضوع پیدا نمیکنند، چون آنها نمیدانند دادههایشان کجا ذخیره میشود؛ ولی حداقل برای حفاظت از دادههای مردم و نگهداری و ذخیره سازی در یک محل امن اقداماتی صورت میگیرد.
*یعنی امنیت نگهداری داده در نهایت افزایش پیدا میکند؟
بله. امنیت بیشتر میشود. الزاماً همه این دادهها برای دولت نیست و ممکن است یک بخش خصوصی که سرویسی مثل خرید و فروش آنلاین را ارائه میدهد، دادهاش را در جایی نگهداری کند. این داده باید در یک مرکز دادهای نگهداری شود که دارای یک رتبه بندی بوده و مطمئن باشیم که حداقلهایی در آنجا وجود دارد.
*آقای خوانساری، سوال بعدی درباره «امنیت سایبری» است؛ این اواخر بحث هک و یا نفوذ یا حملات سایبری را زیاد داشتیم و از آن سو نهادهای متولی موضوع امنیت سایبری، آنطور که باید ساماندهی در اجرا ندارند و انتقاداتی نسبت به عملکرد آنها مطرح میشود؛ همچنین گفته شده تجهیزات امنیت سایبری فرسوده هستند؛ برنامه شما برای ارتقا امنیت سایبری و رفع مشکلات در این حوزه چیست؟
در حوزه ارتقا امنیت، موضوع نیروی انسانی یکی از مباحث بسیار کلیدی است. یعنی باید آموزشهایی را به کارکنان دولت که در رسته فناوری اطلاعات هستند بدهیم که در حوزه مسائل امنیت در فناوری اطلاعات و ارتباطات ارتقا یابند. یک بخش دیگر بحث پیشگیری است؛ برخی شرکتها، کارهای خدماتی حوزه امنیتی را انجام میدهند از آن طرف هم شرکتهایی داریم که عملیات حوزه امنیت را انجام میدهد یعنی مثلاً در یک مکانی اتفاقی میافتاد و این شرکتها امنیت آنجا را برقرار میکنند یا اقداماتی پیشگیرانه را قبل از اینکه اتفاقی رخ دهد انجام میدهند. برخی مراکز نیز انواع و اقسام خدماتی که ممکن است یک دستگاه یا بخش خصوصی در حوزه امنیت نیاز داشته باشند را ارائه میدهند که مسئول ساماندهی آن بخشی که به کسب و کارها (مراکز غیرحیاتی و غیرحساس کشور) مربوط میشود، بر عهده سازمان فناوری اطلاعات ایران است.
ما در درجه اول در بخش تربیت نیروی انسانی، برنامه ۱۰ هزار ساعت آموزش امنیتی به کارکنان دولت را در نظر گرفتهایم. در بخش دیگر ارزیابی دستگاههای دولتی و گزارش اشکالات امنیتی در سامانههای کلیدی و حساسشان در دستور کار جدی سازمان قرار دارد. نتایج این گزارشات را به خود دستگاه و به رئیس دستگاه اعلام میکنیم.
خاطرتان هست یک زمانی این امکان برای همه فراهم بود که چندین سیمکارت خریداری میکردند و ممکن بود فرد با آن سیمکارت هزار خلاف انجام دهد و کسی هم نبود سوالی در این رابطه بپرسد؛ یعنی اول فشار فناوری یا نیاز به حوزه فناوری اینقدر زیاد است که حوزه امنیت آن، متأسفانه با حوزه توسعه فناوری رشد نمیکند. یعنی اول کاربری رشد میکند، بعد در اختیار مردم قرار میگیرد و بعد اگر مشکلی پیش بیاید ما بر میگردیم به عقب و به فکر تأمین امنیت آن میافتیم.
در حال حاضر اقداماتی در این رابطه در سازمان فناوری اطلاعات ایران آغاز شده و ما بهجای مقابله بهدنبال عملیات پیشگیرانه هستیم؛ یعنی طی همکاری و هماهنگی با دستگاهها بنا داریم بررسیهای لازم را برای دستگاههای غیرحساس و غیر حیاتی و کسب و کارها انجام دهیم. البته همه کار را خودمان انجام نمیدهیم. بلکه تعداد زیادی شرکت خصوصی هستند که احراز آنها قبلتر توسط سازمان انجام شده و مجوز دارند و بر اساس این مجوزها میتوانند خدمات مورد نیاز مردم در بخش افزایش سطح ایمنی را انجام دهند. در نتیجه هر کسی که در حوزه فناوری اطلاعات فعالیت داشته باشد و یا اینکه در دستگاه یا در کسب و کار خود از فناوری اطلاعات و ارتباطات استفاده کند، میتواند فهرست شرکتهای مورد تأیید را از سایت سازمان فناوری اطلاعات ایران استخراج کند و در آن حوزهای که خدمت میخواهد، معلوم است که چه شرکتهایی برای ارائه خدمت، مجوز دارند.
*در حال حاضر اگر حمله سایبری صورت گیرد، یک متولی برای پاسخگویی درباره ابعاد مختلف حمله، علت آن و راهکارهای مقابله با آن وجود ندارد، در یکسال اخیر اتفاقات زیادی در همین زمینه رخ داد و شاهد نوعی بی نظمی بودیم و یک نهاد یا متولی خاص پاسخگو نبود تا برای مردم توضیح دهد که دقیقاً چه اتفاقی افتاده است، آیا به نظر شما نیاز به ساماندهی یا بازنگری در مصوبات حوزه امنیت سایبری احساس نمیشود؟
بله قطعاً. حدود پنج سال گذشته یک تقسیم کار ملی در مورد دستگاههای مختلفی که در این حوزه فعال اند، توسط مرکز ملی فضای مجازی انجام شده است، ولی قاعدتاً با توسعه فناوری، حجم خدمات و سرویسها نسبت به پنج سال گذشته خیلی خیلی بیشتر شده و امروز خدماتی که در حوزه فضای مجازی یا خدمات دیجیتالی در اختیار مردم است، نسبت به ۵ سال گذشته اصلاً قابل قیاس نیست.
بنابراین با این تغییرات، آن تقسیم کار ملی که در ۵ سال پیش انجام گرفته در حال حاضر دستخوش تغییراتی شده است؛ به عنوان مثال در یک زمانی ممکن بود که سامانههایی، صرفاً سامانههای کسب و کار تلقی شود اما امروز دیگر اینها سامانهای نیستند که تلقی کسب و کاری از آنها بشود و تبدیل به سامانههای مهمی شدهاند که زندگی مردم به آنها وابسته است.
به عنوان مثال یک زمانی ممکن بود که تاکسیهای آنلاین خیلی مهم نباشند ولی امروز و در شرایط فعلی بخش زیادی از زندگی روزمره مردم بر اساس این خدمات دیجیتال است. پس این اگر زمانی جزو سرویسهای کلیدی و مهم کشور نبوده امروز چون مراجعات مردمی به آن خیلی افزایش یافته، شاید باید جزو سرویسها و خدمات کلیدی فضای مجازی و فضای دیجیتال تلقی شود.
بنابراین قاعدتاً باید بازنگری و تغییراتی رخ دهد. تقسیم کار را مرکز ملی فضای مجازی انجام داده است؛ اما پیشنهاد جدیدی را وزارت ارتباطات تهیه کرده است تا در نهایت مصوبه قبلی مرکز، مورد بازنگری قرار گیرد. چون شرایط عملاً در یک سال گذشته تغییر کرده و این تغییرات باعث شده که تقسیم کارها مورد بازبینی قرار بگیرد.
*یک کارگروه همکاری مشترک با روسیه دارید و موضوع امنیت سایبری یکی از موضوعات مطرح شده در این کارگروه بوده است، درباره این موضوع هم کمی توضیح میدهید، شکل این همکاری به چه صورت است؟
ما نه تنها با روسیه بلکه با خیلی از نقاط دنیا ارتباط داریم؛ وقتی که یک رخنه پذیری رخ میدهد یا یک اشکالی در یک نرم افزاری بوجود بیاید، اطلاع رسانی بینالمللی انجام میشود، در واقع مرکز ماهر ما یک مرکز شناخته شده بین المللی است که تبادل اطلاعاتِ نقصانها و حوادث و رویدادهای امنیتی در آن انجام میشود.
ما به عنوان یک نهاد حاکمیتی و یک نهاد عمومی، رخدادهای امنیتی را که در سایر نقاط دنیا در حوزه فضای مجازی روی میدهد، دریافت میکنیم. یکی از موضوعاتی که ما دنبال میکنیم، این است که بتوانیم جدیدترین و بهروزترین اطلاعات را در مورد نواقص امنیتی و رخنه پذیریهای امنیتی دریافت کنیم تا بر اساس آن اقداماتی را در داخل کشور برای امن سازی سامانههای عمومی انجام دهیم.
*این همکاریها با روسیه چقدر جدی است و آیا وارد فاز اجرا میشود؟
این همکاریها یک همکاریهای عمومی است و در واقع یک تفاهم نامه بین دو کشور روسیه و ایران در زمینه تبادلات حوزه امنیت مشخص شده که این تفاهم نامه را دولت تأیید کرده و برای تأیید نهایی به مجلس فرستاده شده است. در نهایت در قالب آن چیزی که مجلس به ما اجازه میدهد، همکاریهایی تعریف و اجرایی خواهد شد.
*گفته شده به تازگی موتور جستجوی روسیه در ایران رفع فیلتر شده است، آیا این موضوع صحت دارد؟
نه، چنین چیزی نیست. از سال ۱۳۹۴ رفع فیلتر شده است.
*آیا ایران برنامه مشخصی در حوزه مسائل امنیتی با روسیه دارد؟
خیر. به هیچ وجه ما برنامه کاری در حوزه مسائل امنیتی با روسیه نداریم؛ در حوزه نیازهای داخلی، اتکای ما به توان داخلی خودمان است و در حال حاضر سرویسهای و محصولات مورد نیاز در داخل کشور از سوی شرکتهای داخلی تهیه میشود. اگر آن شرکتها برای اینکه سیستمهایشان با کیفیت بهتری کار کند، نیازهایی برای تبادل فناوری و یا تبادل داده داشته باشند، ممکن است همکاریهایی با سایر کشورها شکل بگیرد. در غیر این صورت اینکه ما بخواهیم سیاست عمومی برای مثلاً سازمان فناوری اطلاعات ایران داشته باشیم، خیر چنین چیزی نیست. چارچوب همکاریها از سوی دولت در آن سندی که تصویب کرده و برای مجلس فرستاده، مشخص شده و دسترسی عمومی به این سند وجود دارد و تصور نمیکنم چیز محرمانهای باشد.
نه. به هیچ وجه ما برنامه کاری در حوزه مسائل امنیتی با روسیه نداریم؛ در حوزه نیازهای داخلی، اتکای ما به توان داخلی خودمان است و در حال حاضر سرویسهای امنیت کشور و محصولات مورد نیاز در داخل کشور از سوی شرکتهای داخلی تهیه میشود. اگر آن شرکتها نیازهایی برای تبادل فناوری و یا تبادل داده داشته باشند برای اینکه سیستمهایشان با کیفیت بهتری کار کند، ممکن است همکاریهایی با سایر کشورها شکل بگیرد در غیر این صورت اینکه ما بخواهیم سیاست عمومی برای مثلاً سازمان فناوری اطلاعات داشته باشیم، خیر چنین چیزی نیست. چارچوب همکاریها از سوی دولت در آن سندی که تصویب کرده و برای مجلس فرستاده، مشخص شده و دسترسی عمومی به این سند وجود دارد و فکر نمیکنم چیز محرمانهای باشد.