نقطۀ بحرانی طرح صیانت
عباس پورخصالیان - مدیریت گذرگاه ایمن مرزی (مُگام) مبحثی حساس در پیش نویس «طرح قانون حمایت از حقوق کاربران و خدمات پایۀ کاربردیِ فضای مجازی» است زیرا که تهیه کنندگان طرح مذکور، مدیریت گذرگاه ایمن مرزی (مُگام) را به کارگروهی هفت نفره سپرده اند، متشکل از رئیس مرکز ملی فضای مجازی که همچنین رئیس کارگروه مُگام است،
به علاوۀ نمایندگانی از شش نهاد حاکمیتی و دولتی دیگر، به شرح زیر:
- نمایندۀ ستاد کل نیروهای مسلح. وی مسئولیت کلان اِعمال مصوبات کارگروه مُگام را بر عهده دارد و علاوه بر آن، وظیفه دارد بین دستگاه های مرتبط هماهنگی های لازم برای اجرای مصوبات کارگروه مُگام را ایجاد کند و باز فراتر از آن: بر حُسن اجرای امور محوله، نظارت داشته باشد! وظیفۀ دیگری که در مادۀ 10 بر عهدۀ ستاد کل نیروهای مسلح و درنتیجه بر عهدۀ نمایندۀ ستاد گذاشته شده بیان می کند که نظام دسترسی، تکالیف و صلاحیت های دستگاه های مرتبط در گذرگاه های ایمن مرزی و آئین نامه های لازم برای اجرای مصوبات کارگروه، مبتنی بر سیاست های مصوب شورای عالی فضای مجازی به پیشنهاد ستاد کل نیروهای مسلح ظرف مدت 3 ماه به تصویب کمیسیون عالی تنظیم مقررات فضای مجازی خواهد رسید!!!
[حال اگر «نظام دسترسی، تکالیف و صلاحیت های دستگاه های مرتبط در گذرگاه های ایمن مرزی و آئین نامه های لازم برای اجرای مصوبات کارگروه» در کمیسیون عالی تنظیم مقررات فضای به تصویب نرسید، یا چیزی به تصویب رسید که مورد نظر ستاد کل نیروهای مسلح نیست، چه می شود؟- خدا میداند!] در هر صورت، مسئولیت کلان اِعمال مصوبات کارگروه مدیریت گذرگاه ایمن مرزی، ایجاد هماهنگی های لازم بین دستگاه های مرتبط در اجرای مصوبات مزبور و نظارت بر حسن اجرای آنها، تنها به عهدۀ نمایندۀ ستاد کل نیروهای مسلح است و همۀ دستگاه های مرتبط موظفند در اجرای مصوبات کارگروه در هماهنگی کامل با ستاد کل نیروهای مسلح بر اساس نظام و آئین نامه مذکور عمل کنند. احالۀ این وظایف بسیار سنگین به نمایندۀ ستاد کل نیروهای مسلح، در شرایطی ست که او رئیس کارگروه مُگام نیست، و ریاست کارگروه بر عهدۀ نمایندۀ مرکز ملی فضای مجازی است! سؤال: چرا ستاد کل نیروهای مسلح، خود رأساً ریاست کارگروه مُگام را نمی پذیرد؟
- نمایندۀ سازمان اطلاعات سپاه. مسئولیت وی در کارگروه مُگام هنوز تعریف نشده، ولی همان طور که از نام این سازمان بر می آید؛ به نظر می رسد کارکرد احتمالی نمایندۀ سازمان اطلاعات سپاه، گردآوری اطلاعات حاکمیتی، یعنی اطلاعاتی ست که ضامن بقای نظام کل، نهادهایی فراتر از سه قوه و فراتر از دولت هستند.
- نمایندۀ وزارت اطلاعات. برای نمایندۀ وزارت اطلاعات نیز هنوز مسئولیت مشخصی در کارگروه مُگام تعریف نشده ولی به گمانم کارکرد احتمالی او هم جمع آوری اطلاعات است؛ منتها نه اطلاعاتی حاکمیتی بلکه جمع آوری "اطلاعات دولتی"، یعنی اطلاعاتی که برای رئیس جمهور وزارتخانه های تحت نظارت وی، "حساس" به نظر می رسند؛
- نمایندۀ وزارت ارتباطات و فناوری اطلاعات. عمدۀ مسئولیت های نمایندۀ این وزارتخانه در طرح صیانت (تبصرۀ 2 ذیل مادۀ 10) مشخص شده است: او دارای مسئولیت در امور فنی و اجرایی مربوط به گذرگاه ایمن مرزی است؛ تبصرۀ مذکور همچنین مصادیق امور فنی و اجرایی را برای وی و وزارت ارتباطات و فناوری اطلاعات، اینچنین بیان می کند: راه اندازی، نگهداری، بهره برداری، ایجاد دسترسی (!؟)، توسعه و ارتقاء گذرگاه ایمن مرزی! در حالی که منظور از "ایجاد دسترسی"، تأمین پهنای باند لازم برای ارتباطات بین المللی شبکۀ ملی اطلاعات و ترانزیت کشوری است.
- نمایندۀ سازمان پندافند غیر عامل. مسئولیت او هم در کارگروه مُگام نامشخص است؛ اما اگر کارکرد وی را از هدف سازمان پدافند غیر عامل مشتق کنیم، وظیفۀ وی، دفاع در مقابل حملات سایبری، جلوگیری از تلفات انسانی و پیشگیری از وارد آمدن خسارات نشأت گرفته از حملات سایبری به تأسیسات حیاتی و حساس نظام و جامعۀ مدنی و به حد اقل رساندن تلفات و خسارات مذکور با استفاده از ابزارهایی غیر نظامی است. البته باید توجه داشت که حدود یک سال پیش، یعنی روز 27 مرداد ماه 1399 از طرف ستاد کل نیروهای مسلح، برای اولین بار، هشداری رسانه ای شد با این مضمون که اگر عملیات های سایبری به زیرساخت های حیاتی کشور، به آستانۀ حملۀ مسلحانۀ متعارف ارتقاء یابند، نیروهای مسلح ایران، حق دفاع مشروع دارند و دفاع در مقابل تهدیدات سایبری را حق خود می دانند. پس از 27 مرداد 1399 این پرسش حقوقی/قانونی پیش آمده است که آیا ستاد کل نیروهای مسلح خود رأساً وطیفۀ دفاع سایبری را بر عهده دارد؟ یا سازمان پدافند غیر عامل، موظف به دفاع سایبری است؟ از ترکیب اعضای کارگروه مُگفا چنین به نظر می رسد که پاسخ تدوین کنندگان طرح به این موضوع، این است: هردو! هم ستاد کل نیروهای مسلح و هم سازمان پدافند غیر عامل موظفند با تقسیم کار بین خود، به دفاع سایبری بپردازند. در نگارش بعدی طرح، شاید ناجا هم به عضویت کارگروه درآید.
- و بالاخره، نمایندۀ قوۀ قضائیه. کارکرد نمایندۀ این قوه نیز معلوم نیست؛ اما در مادۀ 11 پیش نویس طرح صیانت آمده است که در قوۀ قضائیه باید کمیتۀ اجرای اصل 25 قانون در فضای مجازی اساسی تأسیس شود! می توان حدس زد که یکی از وظایف نمایندۀ قوۀ قضائیه در کارگروه مُگام، تبادل اطلاعات میان کارگروه مُگام و کمیتۀ اجرای اصل 25 قانون در فضای مجازی باشد. در ضمن اصل 25 قانون اساسی به زبانِ "پیشافاوا"ی رایج در زمان خود، می گوید: «بازرسی و نرساندن نامهها، ضبط و فاش کردن مکالمات تلفنی، افشای مخابرات تلگرافی و تلکس، سانسور، عدم مخابره و نرساندن آنها، استراق سمع و هر گونه تجسس ممنوع است مگر به حکم قانون».
مدیریت گذرگاه ایمن مرزی چه قدر ایمن است!
واقعیت این است که مُگام کنونی کشور برای ارتباطات اینترنتی و داده ای در مقابل حوادث ناگوار و حملات سایبری اصلاً ایمن نیست! چرا؟ - به چند دلیل! یکی از دلایل ایمن نبودن مُگام، این است که مُگام کنونی کشور برای ارتباطات اینترنتی و داده ای در یک مکان متمرکز است و ایمنی تأسیسات ارتباطی کشور، در صورت تمرکز مُگام در یک مکان، بسیار کم و اندک است! به عبارت دیگر: کشورها و شرکت هایی که گذرگاه های مرزی ارتباطات اینترنتی و داده ای را در پهنه ای گسترده پراکنده می کنند، از ایمنی بیشتری بهره می برند. لذا در طراحی مُگام، مهندسان شبکه سازی در اغلب کشورها از دو اصلِ Diversity فنی و Diversity جغرافیایی استفاده می کنند.
به همین لحاظ، هیچ کشوری در جهان، غیر از ایران، مُگام ارتباطات اینترنتی و داده ای خود را در یک نقطه متمرکز نکرده است.
چرا ایران از لحاظ تمرکز مُگام کشور در یک نقطه، در جهان بی همتا و یگانه است؟
متمرکز شدن مُگام کنونی کشور برای ارتباطات اینترنتی و داده ای در یک نقطه، چندان آگاهانه صورت نگرفته بلکه در پی تصمیماتی خاص در برنامۀ پنج سالۀ سوم توسعه به صورت ناخواسته و اجتناب ناپذیر، به مرور زمان شکل گرفته و به صورت کنونی رخ داده است: تدوین کنندگان برنامۀ پنج سالۀ سوم توسعه می خواستند شرایط تبدیل شرکت دولتی مخابرات ایران به شرکتی خصوصی را در برنامۀ پنج سالۀ چهارم توسعه از پیش آماده کنند، آمدند دو اصطلاح "شبکه های مادر مخابراتی" و "شبکه های غیر مادر مخابراتی" را از خود جعل نمودند و براساس تعریف هریک از این دو اصطلاح مجعول، "شبکه های مادر مخابراتی" را حاکمیتی قلمداد و شرکت مخابرات دولتی ایران را به دو شرکت: یکی شرکت ارتباطات زیرساخت (حاکمیتی) و دیگری شرکت مخابرات ایران (خصوصی سازی شده) تقسیم کردند.
مزیت و عیب متمرکر بودن مُگام
اول این که ایمنی در کنار امنیت، مطلوب است. دوم این که مطلوبیت نسبی متمرکز بودن مُگام، سهولت در قطع سریع ارتباطات بین المللی است. پس اگر استراتژی مدیریت ارتباطات یک کشور یا یک شرکت، سهولت قطع و ایجاد انسداد ارتباطات اینترنتی و داده ای باشد، متمرکز بودن مُگام، امری مطلوب است. ولی اگر کشوری و شرکتی دارای استراتژی استفادۀ هرچه بیشتر، گسترده تر و ایمن تر از اینترنت باشد، هیچ وقت، آگاهانه سراغ استراتژی متمرکزسازی مُگام و محدودسازی تعداد نقاط کنترل ارتباطات اینترنتی و داده ای نمی رود!
آیا در ایران یک مُگام موجود است یا چند مُگام؟
واقعیت این است که مُگام موجود در شرکت ارتباطات زیرساخت برای ارتباطات اینترنتی تنها یکی از چند نمونۀ شناخته شدۀ آن از منظر شرکت ارتباطات زیرساخت است، یعنی در کشور، مُگام هایی هم هستند که از منظر شرکت ارتباطات زیرساخت شناخته شده اما خارج از مدیریت شرکت ارتباطات زیرساخت اند و مُگام هایی هم در جاهایی از کشور موجودند که از نظر شرکت ارتباطات زیرساخت اصلاً رسمیت ندارند و شناخته شده هم نیستند!
نتیجه؟ بگرد تا بگردیم! بحث شیرین طرح صیانت، بسیار آموزنده است و البته که هنوز ادامه دارد! (منبع:عصرارتباط)