ITanalyze

عباس پورخصالیان - بدون شک اقدام برای حکمرانی داده، کوششی مبارک برای رسیدن به «دولت هوشمند» است. اما بیاییم با خود صادق باشیم:

1- تازمانی که حفره‌های امنیتی نرم افزارهای سیستمی ‌را برطرف نکرده‌ایم و ایمنی سخت‌افزارهای زیرساخت شبکه ملی اطلاعات کشورمان را برقرار نکرده‌ایم، هر بار که حساس‌ترین سازه‌های امنیتی‌مان را روی این زیرساخت‌های نحیف و مملو از حفره‌های امنیتی بنا می‌کنیم، شک نداشته باشیم که داریم بار دیگر به بدخواهان اجازه می‌دهیم، سنگین‌تر از پیش، تیشه به ریشه‌های حیات ملی مان بزنند.

2 – پس از جنگ 12 روزه، از چه می‌نالیم؟ حفره‌های امنیتی نرم‌افزارهای سیستمی ‌و ناایمنی سخت افزارهای زیرساخت شبکه ملی اطلاعات‌مان به زبان حال می‌گویند: خودکرده را تدبیر نیست!

روی سخن، با دو سازمان: 1) سازمان مدیریت و برنامه‌ریزی و 2) سازمان اداری و استخدامی‌کشور است. آنها با اجرایی شدن برنامه «حکمرانی داده مبنا»، در اصل نیت خوبی را دنبال می‌کنند ولی (در این یادداشت می‌پردازم به این که چرا) باید عقلانی‌تر اقدام کنیم.

• تعریف «حکمرانی داده»

«حکمرانی داده» و «مدیریت داده‌های حکومتی» زوج-واژه‌ای مکمل یکدیگراند. ترکیبِ اضافیِ اول (حکمرانی داده) به مثابه چارجوب تعیین سیاست‌ها، نقش‌ها، تنظیم مقررات و قانونگذاری برای اجرایِ ترکیبِ اضافیِ دوم (مدیریت داده‌های حکومتی) است. به عبارت دیگر: «مدیریت داده‌های حکومتی» نتیجه منطقی تدوین و تصویب چارجوب نظریِ «حکمرانی داده» است.

در تعریف بالا، عمداً از اصطلاحِ دستوریِ «ترکیب اضافی» استفاده کردم، تا بتوانم راحت بگویم که:

– ترکیب وصفیِ «حکمرانی داده-مبنا»، نامی‌ که «سازمان مدیریت و برنامه‌ریزی» و «سازمان امور اداری و استخدامی‌کشور» برای تحقق دولت هوشمند برگزیده است، چندان با معنا نیست! شک ندارم که منظور آنها، «حکمرانی داده» است!

– اما چرا «حکمرانی داده مبنا» چندان بامعنا نیست؟ -چون اولاً، «حکمرانی داده مبنا» نمی‌تواند نام یک برنامه باشد [زیرا که هر حکمرانی‌یی مانند حکمرانی اینترنت یا حکمرانی رسانه و غیرو، داده-مبنا است، اگر چنانچه نظارت و تصمیم‌گیری در هر سطحی، داده-مبنا باشد! در ثانی، «حکمرانی داده-مبنا» به عنوان نام یک برنامه نه فقط بامعنا نیست، بلکه بی معناست! چون که اصطلاح «حکمرانی داده-مبنا» موضوع حکمرانی را معین نمی‌کند! اگر بناست موضوع حکمرانی، «داده» باشد، ضرورتاً باید بگوییم: «حکمرانی داده»

– نیت و کوشش سازمان مدیریت و برنامه‌ریزی و سازمان امور اداری و استخدامی ‌در راستای اجرای دولت هوشمند، متمرکز است بر سیاست‌ها، راهبردها، نقش‌ها، استانداردها و قوانین مربوط به گردآوری ایمن داده‌ها، پردازش صحیح داده‌ها، نگهداری پایدار داده‌ها و – در مجموع- مدیریت درست داده‌ها در دستگاه‌های دولتی تا نظارت و تصمیم‌گیری در هر سطحی، داده-مبنا باشد!

• تعریف «حکمرانی»

مفاهیم جدید علم و فناوری اطلاعات و مدیریت، در مراکز تحقیق و توسعه ما ضرب نمی‌شوند، بلکه از مسیر ترجمه‌های اغلب ناشیانه به فارسی مدرن راه می‌یابند. یکی از این مفاهیم، «حکمرانی» است که معمولاً معادلِ Governance به کار می‌رود؛ مانند «حکمرانی خوب» برای  Good Governance. این در حالی است که «حکمرانی» و «حاکمیت» (گاه «حاکمیت» را نیز معادل Governance به کار می‌برند) در تاریخ ایران، رویکرد غالب در حکومت‌هایی بوده که به شیوه صدور فرامین «از بالا به پایین» عمل می‌کردند؛ در صورتی که Governance در دولت‌های مدرن (به ویژه در نظام‌های دموکراتیک) رویکرد تعاملی جامع و متوازنی است که همزمان در دو جهت: «از بالا به پایین» و «از پایین به بالا» عمل می‌کند. به عبارت دیگر: Governance چارچوب نظریِ حکومت-کردنی مدرن است! و اصطلاح «حکمرانی» در فارسی چنین معنایی را نمی‌رساند! با این وجود، وقتی که از حکمرانی داده به منظور نضارت و تصمیم گیری داده-مبنا در دولت هوشمند صحبت می‌کنیم، ضرورتاً باید رویکردی را در پیش گیریم که همزمان در دو جهتِ «از بالا به پایین» و «از پایین به بالا» عمل کند.

• معانی رویکردهای «از بالا به پایین» و «از پایین به بالا»

در مورد «حکمرانی داده»، هر یک از رویکردهای «از بالا به پایین» و «از پایین به بالا»، معانی خاص خود را دارد؛ به شرح زیر:

رویکرد از بالا به پایین به معنای وجود حمایت، رهبری قوی و نظارت عالیه از سوی مقامات ارشد در نهاد ریاست جمهوری است که می‌تواند منابع و توجه لازم را به برنامه حکمرانی داده اختصاص دهد؛ سیاست‌ها و استانداردهای لازم را برای رعایت در برنامه‌های حکمرانی داده در دستگاه‌های دولتی ابلاغ کنند، به گونه‌ای که انسجام و یکپارچگی در کل سازمان‌های اداری کشور ایجاد شود؛ و با ایجاد الگوهای رفتاریِ (یا فرهنگ سازمانیِ) مناسب، کارکنان در دستگاه‌های دولتی را متوجهِ ارزش و اهمیت «داده» برای استفاده مؤثر از داده‌ها کند؛ و

رویکرد از پایین به بالا به معنای آن است که کارکنان و مدیران در سطوح پایین‌تر به ‌خوبی با چالش‌ها و نیازهای روزمره آشنا شوند و بتوانند اطلاعات و داده‌های لازم را درست به موقع، برای بهبود فرآیندها به دست آورند و ارائه کنند؛ به نوآوری و یافتن راهکارهای خلاقانه در استفاده از داده‌ها روی آورند؛ تجربیات و دیدگاه‌های خود را در سطوح مختلف به اشتراک بگذارند؛ و در تصمیم سازی‌ها، تصمیم‌ گیری‌ها و پیاده ‌سازی برنامه‌ها مشارکت داشته باشند، تا احتمالِ اجرای بهترِ این برنامه‌ها افزایش ‌یابد.

• تبعات اجرای برنامه حکمرانی داده

تحلیل تبعات اجرایی مواد کلیدی برنامه هفتم توسعه درباره «حکمرانی داده‌-مبنا» برای وزارتخانه‌ها شامل موارد زیر است:

• تغییرات ساختاری و سازمانی

وزارتخانه‌ها ملزم به ایجاد زیرساخت‌های داده‌‌محور و اتصال به زیرساخت ابری دولت هوشمند هستند که نیازمند بازنگری در ساختارهای فناوری اطلاعات، تامین منابع مالی و نیروی انسانی متخصص است. این اقدامات سازمانی ممکن است به بازتعریف فرآیندها، آموزش کارکنان برای بهره‌ برداری داده‌‌ها و اصلاح دستورالعمل‌های داخلی نیاز داشته باشند.

• الزامات برنامه‌ریزی و پایش

وزارتخانه‌ها باید برنامه عملیاتی استقرار حکمرانی داده‌ را تدوین، اجرا و به صورت منظم ارزیابی کنند که مستلزم تخصیص تیم‌های نظارتی و مدیریتی برای پیگیری پیشرفت برنامه است.

تهیه گزارش‌های دوره‌‌ای برای ارسال به سازمان‌های بالادستی و ارائه شاخص‌های کمی ‌و کیفی عملکرد داده‌‌محور، بخشی از تعهدات اجرایی تیم‌های مدیریتی است.

• چالش‌های بودجه‌‌ای و تأمین منابع

 اجرای دقیق مواد برنامه به تامین منابع مالی کافی نیاز دارد. وزارتخانه‌ها باید منابع مربوط را در تخصیص بودجه‌های سالانه لحاظ کنند. همچنین اولویت‌بندی پروژه‌ها و تعامل با سایر دستگاه‌ها برای بهره‌ برداری مشترک از داده‌ها و زیرساخت‌ها لازم است.

• الزامات فنی و امنیت داده

وزارتخانه‌ها باید استانداردهای فنی لازم را در اختیار داشته باشند، امنیت داده‌ها و حریم خصوصی دستگاه مربوط را رعایت کنند و برای مقابله با تهدیدات سایبری و حفظ محرمانگی آماده باشند. استفاده از رایانش ابری و معماری‌های داده‌‌محور تطبیق‌پذیر، نیازمند راهکارهای مهندسی دقیق و بهره‌مندی از فناوری‌های روز است.

• فرهنگ‌سازی و تغییر رفتار

عمده چالش اجرای این مواد، مربوط به فرهنگ‌سازی در بکارگیری داده‌ها و تغییر رویکردهای تصمیم‌‌سازی است که نیازمند برنامه‌های آموزشی و انگیزشی مستمر در وزارتخانه‌ها است.

ارتقای مهارت‌ها و افزایش آگاهی مدیران و کارکنان درباره مزایای حکمرانی داده‌ و دولت هوشمند جزو اولویت‌هاست.

به طور کلی، تبعات اجرایی مواد کلیدی برنامه هفتم برای وزارتخانه‌ها شامل اصلاح ساختار، الزامات بودجه‌ای، تقویت امنیت داده، توسعه زیرساخت‌های هوشمند و تغییر فرهنگی در زمینه بهره‌گیری از داده‌ها برای تصمیم‌گیری است، که همگی باید به صورت برنامه‌ریزی‌شده و هماهنگ مدیریت شوند.

• چالش‌های استقرار حکمرانی داده

مرکز پژوهش‌های مجلس شورای اسلامی ‌ایران در یکی از انتشارات اخیر خود، تحت عنوانِ «حکمرانی داده و نقش آن در توسعه هوش مصنوعی در ایران» (به تاریخِ خرداد 1404، با شماره مسلسل: 20780) آورده است که: «در ایران، باوجود تلاش‌های صورت گرفته در سال‌های اخیر برای توسعه [دولت هوشمند]، هنوز در زمینه حکمرانی داده‌ها چالش‌های متعددی وجود دارد، […]، این چالش‌ها را می‌توان در سه دسته اصلی طبقه بندی کرد: چالش‌های قانونی و ساختاری، چالش‌های فنی و زیرساختی و چالش‌های انسانی و فرهنگی.»

چالش‌های قانونی و ساختاری: در این مورد در پژوهش مذکور آمده است که «هنوز چارچوب قانونی جامع و یکپارچه‌ای برای حکمرانی داده‌ها در ایران وجود ندارد. این موضوع می‌تواند منجر به ابهام و سردرگمی ‌در زمینه حقوق و تکالیف نهادها و افراد در قبال داده‌ها شود. [همچنین] درحال حاضر، قانون مشخصی برای تعیین مالکیت داده‌ها و نحوه استفاده از آنها وجود ندارد و این موضوع [نیز] می‌تواند منجر به اختلافات حقوقی شود.»

همچنین در جای جایِ پژوهش مورد بحث، آمده است که: «هنوز قانونی که کیفیت و امنیت داده‌ها را تضمین کند؛ از داده‌ها در برابر دسترسی غیرمجاز، استفاده غیرمجاز، افشای غیرمجاز، تخریب و تغییر غیرمجاز حفاظت کند؛ از تجاوز به اطلاعات شخصی افراد جلوگیری کند؛ واستفاده غیر اخلاقی از داده‌ها را منع کند، در مجلس شورای اسلامی ‌ایران به تصویب نرسیده است.»

چالش‌های فنی و زیرساختی: در این مورد پژوهش مذکور، تنها به کامل نبودن زیرساخت‌های فنی اشاره می‌کند، اما به یک نقیصه استفاده از نرم افزارهای سیستمی ‌کرک‌شده موجود در زیرساخت‌های نرم افزاری دولت الکترونیکی اشاره‌ای نشده است.

• چه باید کرد؟

 آگاهی داشتن از این که -از طرفی- برای رسیدن به دولت هوشمند، تحقق حکمرانی و مدیریت داده لازم است و -از طرف دیگر- واقف بودن از این که در شرایط تحریم‌های اقتصادی هستیم و سرمایه کافی برای خرید رسمی ‌یا اجاره رسمی ‌نرم افزارهای سیستمی ‌را نداریم، مصداقِ آگاهی نگون‌بخت است! ما مجبور به تحقق برنامه حکمرانی داده هستیم ولی مجبور به تحمل تحریم‌ها نیستیم!

• خطرات امنیتی استفاده از نرم افزار‌های کرک‌شده

نرم‌افزارهای کرک‌شده اغلب شامل بدافزار، تروجَن‌ها و درهای پشتی هستند که می‌توانند کنترل سیستم را در اختیار مهاجمان قرار دهند و به سرقت داده‌ها، رمزهای عبور و اسناد محرمانه منجر شوند.

همچنین، عدم امکان دریافت به‌ روزرسانی‌های رسمی ‌باعث می‌شود که آسیب‌پذیری‌های شناخته شده در سیستم باقی بمانند و هدف حملات سایبری قرار گیرند. به این ترتیب، نرم‌افزارهای کرک‌شده می‌توانند باعث ناپایداری سیستم و مزاحم کارکرد مناسبِ سایر نرم‌افزارهای قانونی شوند.

• ریسک‌های حقوقی استفاده از نرم افزار‌های کرک‌شده

استفاده از نرم‌افزارهای بدون لایسنس معتبر، نقض قوانین حقوق مالکیت معنوی است و در شرایط آتیِ رفعِ تحریم‌ها می‌تواند منجر به جریمه‌‌های مالی سنگین، مصادره سخت‌افزار و حتی مجازات‌های کیفری سنگین شود.

• ریسک‌های مالی و عملیاتی استفاده از نرم افزار‌های کرک‌شده

در شرایط آتیِ رفعِ تحریم‌ها، شرکت‌های خاطی ممکن است در پی ممیزی‌های لایسنس نرم‌افزار با هزینه‌های ناگهانی و جریمه‌های سنگین و پرداخت جرائم روزانه تا حد میلیون‌ها دلار و محکومیت‌های زندان برای مسؤولان مواجه شوند.

آسیب به برند و اعتبار سازمان، به دلیلِ استفاده غیرقانونی از نرم افزارهای کرک‌شده نیز از جمله ریسک‌هایی است که به نظر می‌رسد غیرمالی باشد، اما در نهایت به زیان مالی و عملیاتی خاطیان تمام می‌شود.

بنابراین، استفاده غیرمجاز از نرم‌افزارهای کرک‌شده توسط دستگاه‌های دولتی نه تنها تهدیدات امنیتی و عملیاتی ایجاد می‌کند، بلکه پیامدهای حقوقی و مالی بسیار سنگینی به همراه دارد که می‌تواند عملکرد و امنیت کل سازمان کشور را به خطر بیندازد.

استفاده از نرم‌افزار کرک‌شده می‌تواند به طرق مختلف باعث نشت داده‌های حساس دولتی شود:

• افزوده شدن بدافزار به سیستم

نرم‌افزارهای کرک‌شده اغلب در معرض آلوده شدن به بدافزارهایی مانند تروجان‌ها، ویروس‌ها، و درهای پشتی هستند که حمله‌کنندگان را قادر می‌سازند به سیستم‌های دولت نفوذ کنند. این بدافزارها می‌توانند به صورت خودکار داده‌ها را سرقت، منتقل یا منتشر کنند بدون اینکه کاربر متوجه شود.

• نبود به‌ روزرسانی‌های امنیتی

نرم‌افزارهای کرک‌شده نمی‌توانند به‌روزرسانی‌های رسمی‌دریافت کنند و در نتیجه آسیب‌پذیری‌های امنیتی شناخته‌شده که در نسخه‌های قانونی رفع شده‌اند در سیستم باقی می‌مانند و امکان سوءاستفاده توسط هکرها افزایش می‌یابد.

• امکان دسترسی غیرمجاز نااهلان از راه دور

بسیاری از نرم‌افزارهای کرک‌شده میزبانِ ابزارهای کنترل از راه دور مخفی هستند که به مهاجمان اجازه می‌دهد سیستم‌ها را تحت کنترل خود درآورند و داده‌های حساس را مشاهده یا استخراج کنند.

• افزایش احتمال حملات فیشینگ و مهندسی اجتماعی

سخت‌افزارهای آسیب‌ پذیر به دلیل نرم‌افزار کرک‌شده، محیط مناسبی برای حملات فیشینگ و مهندسی اجتماعی فراهم می‌کنند که به نشت داده‌ها کمک می‌کند. در مجموع، استفاده از نرم افزار‌های کرک‌شده، به یکپارچگی داده‌ها آسیب می‌رساند و باعث فساد داده‌ها و از دست رفتن کنترل و ممانعت از نشت داده‌ها می‌گردد.

عقلانیت حکم می‌کند که پیش از رفع حفره‌های امنیتی از نرم افزارهای سیستمی ‌و زیرساخت شبکه ملی اطلاعات، سازه حساس جدیدی را روی این ریسک‌ها بنا نکنیم! (منبع:عصرارتباط)