یکشنبه, ۲۰ اسفند ۱۴۰۲
۱۱:۳۸
۲۷۸
طبقه بندی:
اخبار سازمان
به گزارش روابطعمومی سازمان نظام صنفی رایانهای استان تهران، مهدی فرجی، عضو کمیسیون افتا سازمان نصر تهران در خصوص چالشهای حوزه افتا و آگاهیرسانی دراین حوزه میگوید: «ذهنیتی که از وضعیت جاری امنیت سایبری کشور متبادر میشود، این است که ظاهراً در بعضی از حوزهها دچار تحریمهای دوطرفه هستیم. ما علاوه بر اعمال تحریم توسط سایر کشورها، خودمان نیز ناخواسته اقدام به تحریم کاربران عادی نمودهایم. به طور مثال عدم دسترسی کاربران به نرمافزارهای مرتبط با بروزرسانی نرمافزاری گوشی همراه اندروید یکی از تحریمهای دوطرفه است که اوضاع امنیت را در یکی از خصوصیترین وسیلههای افراد به چالش کشیده است. همچنین تلاش افراد برای استفاده از نرمافزارهای بعضاً ناامن جهت دسترسی به سرویسها و سامانههای تحریمی یا محدود شده نیز امری است که ناخواسته به کاربران عادی تحمیل شده و شرایطی ناامن سایبری را برای آنها رقم زده است. این مسئله موجب مقاومت کاربران در لحاظ نمودن کنترلرهای امنیتی یا اجرای دستورالعملهای مثبت در راستای افزایش امنیت سایبری در حوزه افتا شده است که به سایر بخشهای زندگی و کاری آنها نیز تسری مییابد».
او در همین زمینه ادامه داد: «از طرفی شاید بجای اینکه منتظر اقدامات آگاهیرسانی توسط سایرین باشیم، بهتر است از نزدیکترین جامعه یعنی افراد عادی، خانواده، محل کار و... شروع کرد. یعنی بجای اینکه تارگت کردن جوامع بزرگ و انتقال سلسلهمراتبی آن به افراد عادی، باید بهصورت معکوس عمل کرد. به طور مثال در 20 سال گذشته تبلیغات تلویزیونی در قالب طنز پیرامون صرفهجویی در برق، مصرف بهینه آب، توجه به قوانین راهنمایی رانندگی و... انجام میشد که در ذهن مخاطبین هک شده و به تکیه کلام و ملکه ذهن متولدین دهه 50 و 60 تبدیل شده است، به گونه ای که اکثریت آنها در جامعه بهصورت خودکار سعی در رعایت مسائل مرتبط با آن تبلیغات و فرهنگسازی ها دارند. اما اینروزها که طبع و گرایش مدیا در جامعه تغییر یافته است و شبکههای اجتماعی یا سرویسهای پخش آنلاین فیلم نقش پر رنگتری دارند، میتوان از راهکارهای خلاقانهتری برای اطلاعرسانی و آگاهیرسانی به کاربران عادی استفاده نمود».
او افزود: «در حوزه سازمانی نیز شدیداً از ناآگاهی رنج میبریم، رؤسا و مدیرانی که دید و نگرش امنیت سایبری ندارند، مدیرانی که بهصورت افراطی بین امنیت و امنیت سایبری تمایزی قائل نیستند، کارشناسانی که بخشی از آنها از تلاش برای متقاعدسازی مدیران خسته شدهاند و بخش دیگر تنها به غُر زدن و خود تخریبی در مقایسه با سایر نمونه ها و محصولات خارجی بسنده میکنند و بسیاری مثالهای دیگر که فضا را برای آگاهسازی تنگتر میکند و شاید اصلاح آنها فعلی زمانبر و خارج از حوصله باشد. اما شخصاً عقیده دارم که با نگاهی متفاوت میتوان خلاقیتهای جذابی در نمایش دادن ضعف سایبری سازمانها و تولیدکنندگان به آنها داشت تا در فضایی رقابتی به نتایج بهتری دست یافت. به طور مثال یکی از ضعفهایی که از قدیمالایام در فضای تولید و تبادل اطلاعات ایران احساس میکردم و تاکنون نیز فکری برای آن نشده است، عدم حمایت معنوی حاکمیت از سرمایهگذاری بخش خصوصی در راهاندازی پایگاههای آسیبپذیری متصل به پایگاههای جهانی همچون پایگاه ملی آسیبپذیری (NVD) است، بهگونهای که بخش خصوصی بدون وابستگی به دستورات و الزامات حاکمیتی حوزه افتا، بهصورت کاملاً بیطرفانه و شفاف اقدام به انتشار آسیبپذیریهای مرتبط با تجهیزات امنیتی علیالخصوص محصولات بومی استقراریافته در بخشهای مختلف کشور نماید. همچنین با کمی تغییر نگاه میتوان یا مثالهای عملکردی فراوانی را متصور بود و در راستای اجرای آنها گام برداشت».
او درباره دستگاههای متولی این حوزه نیز میگوید: «رسیدن به جواب اینکه کدام دستگاهها متولی امر آگاهیرسانی هستند احتمالاً مسیر خوبی برای اعتلای این امر مهم نخواهد بود، زیرا در این لحظه نتایج کار مثبت نبوده است و طبیعتاً بعداً نیز مثبت نخواهد بود. شاید بجای جستجوی متولی باید در قدم اول تمایز جدی قائل شد بین موضوع امنیت و امنیت سایبری، بهگونهای که با شنیدن اسم امنیت، موضوع پلیس امنیت یا کنترلهای نظارتی پلیس که موضوعی حاکمیتی است، بلافاصله در ذهن مخاطب متبادر نشده و اقدام به پسزدن آن ننماید و درک کند که موضوع امنیت سایبری در ابتدا موضوعی شخصی است که تنها در مراحل بالاتر و جدیتر میتواند رویکرد حاکمیتی داشته باشد تا همانطور که قبلتر گفتم، بتوان از جوامع کوچک شروع کرد و به جوامع بزرگ رسید».
او در همین خصوص ادامه داد: «از طرفی شنیدن صدای شرکتها و بخش خصوصی نیز امر مهمی است که باید توسط تمامی بخشهای حاکمیت جدی گرفته شود و با تسهیل نمودن شرایط فعالیت اینگونه شرکتها در زمینههای مختلف از جمله، مجوزهای فعالیت، مجوزهای محصول، کنترل تعرفههای واردات جهت شکوفایی بیشتر بخش خصوصی و بسیاری مشکلات دیگر که ذکر آنها نیازمند ساعتها بحث و مذاکره است مسیر را برای تلاش بیشتر بخش خصوصی باز گذاشت تا در نهایت با ارائه محصولات و خدمات باکیفیتتر گامهای مؤثرتری در حوزه افتا برداشته باشید».
فرجی در خصوص اقدامات سایر کشورها برای آگاهی رسانی در این حوزه نیز میگوید: «بدیهی است که در سایر کشورها از روشهای مختلفی برای آگاهرسانی استفاده میشود که تحقیق پیرامون آنها میتواند بهعنوان بخشی از فعالیتهای تحقیقاتی و پژوهشی طی دروس مرتبط با حوزه فناوری اطلاعات و امنیت باشد که گستردگی آنها از حوصله این بحث خارج است. مواردی همچون "پایگاه ملی آسیبپذیری" یکی از بزرگترین روشهای اطلاعرسانی در خصوص آسیبهایی است که متوجه افراد و سازمانها است. در مثالی دیگر ضعفی که همیشه خلأ آن را احساس میکنم وجود محصول یا نگرشی است که در سایر کشورها جذابیت بالایی دارد و من اسم "مانور سایبری" را همیشه برای آن متصور هستم، بهگونهای که محصول مذکور میتواند ابزاری قوی در دست متولیان دولتی از جمله افتا و پدافند غیرعامل باشد تا طی بازههای زمانی مختلف و بهصورت آزمایشی اقدام به برگزاری مانور امنیتی در حوزه سایبر سازمان داشته باشد و میزان بلوغ سازمان را صحت سنجی نمایند. مثلاً این محصول با ارسال ایمیلهای فیشینگ کنترل شده به کاربران، میزان آمادگی و آگاهی آنان را بسنجد یا با انتشار فایلهای باجافزار کنترل شده در سطح سازمان، گزارشی از سطح گسترش آلودگی، میزان امنیت کاربران و سطح آگاهی آنان کسب کند و طی گزارشاتی به مدیریت سازمان اطلاعرسانی نماید تا تصمیمات مقتضی صورت پذیرد؛ یا انواع آزمایشهای مختلف دیگری که میتوان برای این محصول متصور بود و موجب تطویل کلام خواهد شد».
او در پایان افزود: «در انتها اعتقاد دارم که فرهنگسازی پیرامون مسائل مهمی همچون مسئولیتپذیر بودن، دغدغهمند بودن، مقایسه تخریبی نکردن، اعتماد و اهمیت به توان و دانش متخصصان و... مسائلی هستند که در تمامی کشورها مورد توجه حتی مردم عوام است و قبل از گرهزدن این مسائل به رویکردهای حاکمیتی، خود افراد جامعه نسبت به آنها دقت و وسواس دارند؛ لذا با تلاش در راستای خارج نمودن اینگونه مسائل فرهنگی از پوسته حاکمیتی و نظارتی سختگیرانه میتوان افراد عادی را نیز با حوزه افتا آشتی داده و از نتایج جذاب آن بهرهمند بود. به طور مثال کمیسیون افتا در سازمان نظام صنفی تهران همواره این رویکرد را مدنظر داشته و بهعنوان زبان و کلام بخش خصوصی سعی دارد این ارتباط فرهنگی را بین بخش خصوصی و حاکمیت برقرار سازد تا با برقراری این آشتی گام مؤثری در آگاهیرسانی بخشی از جامعه مذکور شامل متخصصین و شرکتها برداشته باشد».