رییس سازمان فناوری مطرح کرد: یکپارچگی نهادی، عامل افزایش امنیت سایبری در کشور
در ماههای اخیر لو رفتن دادههای کاربران از پلتفرمها، سازمانها و دستگاههای مختلف به یکی از اتفاقات مرسوم و نسبتا عادی تبدیل شد. حالا سازمان فناوری اطلاعات توسط همکاری با افتای ریاست جمهوری و همچنین ...
در ماههای اخیر لو رفتن دادههای کاربران از پلتفرمها، سازمانها و دستگاههای مختلف به یکی از اتفاقات مرسوم و نسبتا عادی تبدیل شد. حالا سازمان فناوری اطلاعات توسط همکاری با افتای ریاست جمهوری و همچنین سازمان پدافند غیرعامل، میخواهد یک گواهینامه حوزه امنیت که به تایید سه دستگاه میرسد را به کسبوکارهای خصوصی ارائه دهد. این روند میتواند در پیشگیری افشای اطلاعات کاربران و سادهسازی فرآیند دریافت گواهینامههای حوزه امنیت به شرکتهای حوزه فناوری کمک کرده و یکپارچگی نهادی را در این حوزه به وجود آورد.
در گام اول، گواهینامه مشترک از سوی سازمان فناوری اطلاعات ایران، افتای ریاست جمهوری و سازمان پدافند غیرعامل به چند شرکت خصوصی که در حوزه فناوری اطلاعات فعال بودند ارائه شد. «امیر ناظمی»، رئیس سازمان فناوری اطلاعات و معاون وزیر ارتباطات، امروز (۱۸ خرداد) و در این رویداد اعلام کرد که این، یکی از نخستینبارهایی است که چند نهاد با همکاری یکدیگر در حوزه ارائه گواهینامههای امنیتی، کار را برای بخش خصوصی سادهتر میکنند.
تا پیش از این، شرکتهایی که اطلاعات کاربران را در اختیار داشتند یا مایل بودند در حوزه فناوری اقدام به فعالیت کنند باید گواهینامههای امنیتی را از مراجع مختلفی مانند سازمان فناوری، افتای ریاست جمهوری و پدافند غیرعامل دریافت میکردند اما حالا این گواهینامهها تجمیع شدهاند تا هزینه مالی و زمانی برای کسبوکارهای خصوصی کاهش پیدا کند. همین مسئله باعث میشود تا شرکتها به دلیل تسریع فرآیندها، علاقه بیشتری به کسب این مجوز داشته باشند.
امیر ناظمی این جلسه را با طرح این سوال شروع کرد که «آیا ضرورت دارد تا دولت در بحث مجوزهای امنیتی مداخله کند؟» او با پاسخ مثبت به این سوال گفت که مداخله دولت در ارائه مجوزهای حوزه امنیت یکی از ضرورتهاست و عدم وجود آنها میتواند باعث نقض حریم خصوصی شهروندان شود.
استراتژیهای سازمان فناوری برای گواهینامههای امنیتی
او در این جلسه به ۵ استراتژی و رویکرد از سوی سازمان فناوری اطلاعات ایران برای ارائه گواهینامههای امنیتی اشاره کرد؛ رویکردی که تلاش میکند در حالی که حریم خصوصی شهروندان را حفظ کند، تبدیل به مانعی برای کسبوکارهای خصوصی نیز نشود.
۱- استراتژی سطح صفر
ناظمی میگوید شرکتها یا اپلیکیشنها در شروع فعالیت خود نیازی به اخذ گواهینامه ندارند:
«در این حالت شرکت فعالیت خود را شروع میکند اما با افزایش تعداد رکوردهایی که از شهروندان جمعآوری میکند و میزان اهمیت رکوردها، نیازمند اخذ گواهینامه یا گواهیهای سختگیرانهتر خواهد بود. لو رفتن اطلاعات ۵ با ۵۰۰ با ۵ میلیون شهروند فرق میکند و به همین نسبت، باید گواهیهای امنیتی بر اساس سطح فعالیت وجود داشته باشد. در نتیجه، مخالف بودیم که یک اپلیکیشن در لحظه صفر فعالیت خود بیاید گواهی بگیرد.»
۲- استراتژی استقلال حداکثری از دولت
ناظمی اعلام کرد که این استراتژی به گونهای است که میزان دخالت دولت حداقل باشد. او در همین رابطه توضیح داد:
«به این مفهوم که ما ۶ آزمایشگاه مستقل و خارج از دولت را در نظر گرفتهایم که ارزیابی روی نرم افزار و سامانهها را انجام دهند و سپس به دولت گزارش خود را ارائه دهند. نکته اینجاست که وقتی میزان مداخله دولت کمتر شود، سلامت اداری هم بیشتر میشود؛ فساد از انحصارهایی است که دولت برای خودش درست میکند.»
۳- استراتژی یکپارچگی نهادی
ناظمی توضیح داد که این استراتژی تلاش میکند تا چگونگی تقسیم کار در بین بخشهای مختلف را مشخص کرده و بیشترین هماهنگی بین بخشهای متفاوت را ایجاد کند. او با ذکر مثالی از گواهینامه مشترکی که توسط سازمان فناوری، افتا و پدافند غیرعامل به کسبوکارها ارائه میشود، گفت:
«اگر ما بیاییم و به جای ۱ مجوز، ۳ مجوز همزمان بدهیم، یعنی هم بین خودمان ناهماهنگی به وجود می آوریم هم مانع برای شرکتها به وجود میآوریم و هم رقابتی بین خودمان به وجود میآوریم، که شاید در این بازی، اهمیت امنیت کاهش پیدا کند. شاید گواهینامهای که امروز ارائه میشود، یکی از اولین گواهینامههایی باشد که ۳ نهاد مستقل با هم آن را ارائه میدهند؛ سازمانهایی که ارتباطات آنها هم زیاد نبوده است. این یکپارچگی نهادی اهمیت بسیار بالایی دارد. حالا وقتی گواهینامه به شرکتها داده میشود، امضای ۳ دستگاه پایین آن است.»
او توضیح داد که حالا مشکلات جدی در حوزه امنیت وجود دارد که بخشی از آن به ناهماهنگی و یکپارچه نبودن نهادها با هم مربوط میشود:
«ما همین امروز با مشکلات جدی در حوزه امنیت رو به رو هستیم که ریشه یابی آن به ما نشان میدهد که فقدان یکپارچگی بیش از هر چیز دیگر باعث آسیب دیدن ما شده است. دستورالعملها خیلی مواقع در تقسیم کار نادیده گرفته می شوند. پیش فرض ما این است که بخشی از مسئله را افتا رسیدگی میکند و از طرفی افتا این پیش فرض را دارد که مسئول، سازمان فناوری است. اینجا یا خیلی از مسائل نادیده گرفته میشوند یا مورد تعارض یا حتی رقابت (بین دستگاهها) قرار میگیرند. گاهی بیشتر زمان دستگاهها صرف این موضوع میشود که کدام یک باید گواهینامهای را صادر کند، اما اتفاق امروز، اتفاق خوبی است.»
۴- استراتژی تنوع در گواهینامهها بر حسب نیازها
ناظمی اشاره میکند که نیازی نیست همه شرکتهای فعال در حوزه فناوری اطلاعات را با یک عینک نگاه کرد:
«لازم نیست همه را با یک معیار اندازهگیری کنیم. بنا به کاربردهای مختلف باید گواهینامههای متنوعی ارائه دهیم و در ادامه آنها را بیشتر میکنیم. الان این گواهینامهها تا حد زیادی یکسان هستند و تلاش میکنیم در گذر زمان تنوع آنها را بیشتر کنیم.»
۵- استراتژی کاهش هزینههای مالی و زمانی
او اعلام کرد که استراتژی آخر سازمان فناوری در زمینه ارائه گواهینامههای حوزه امنیت، کاهش هزینهها برای کسبوکارها هم در بُعد مالی و هم زمانی است:
«منظور از هزینه، یعنی هم نگاهمان به هزینه مالی و زمانی است. هزینه زمانی کشندهتر از هزینه مالی است. وقتی یک شرکت باید ۶ ماه را صرف دریافت مجوز کند و دوباره ۶ ماه زمان بگذارد که همان مجوز را با کمی تغییر از جای دیگری بگیرد، زمان رسیدنش به بازار از دست میدهد و این یعنی کاهش چابکی و رقابت پذیری.»
ناظمی اعلام کرد که طی هماهنگی با صندوق نوآوری و شکوفایی انجام شده، هزینه گواهی های امنیتی برای شرکتهای دانش بنیان به عنوان یک بسته تشویقی در نظر گرفته شده و بخش عمدهای از این هزینه را صندوق پرداخت میکند: «این موضوع کمک میکند تا شرکتها با دغدغه کمتری به این موضوع بپردازند».
برای گفتگو با کاربران ثبت نام کنید یا وارد حساب کاربری خود شوید.