تشکیل کمیته مقابله با بحران و بیمه امنیت سایبری

در جریان جنگ اخیر میان ایران و اسرائیل، فضای سایبری نیز به یکی از جبهه‌های فعال تبدیل شد. از منظر کمیسیون افتا، این درگیری چه ابعادی در حوزه تهدیدات سایبری برای کسب‌وکارهای ایرانی داشت؟

در جریان جنگ فضای سایبری به یکی از جبهه‌های فعال تبدیل شد. این درگیری نشان داد که جنگ‌های امروز، جنگ‌های فناورانه هستند و امنیت سایبری، آمادگی دفاعی و مقابله با بحران در حوزه امنیت اطلاعات، مزیتی جدی و ضرورتی انکارناپذیر است.

در این دوازده روز، الگوهای تهدید کنونی، پیچیده و چندلایه‌اند و شاهد حملات کاملاً هدفمند و از پیش برنامه‌ریزی‌شده بودیم که حتی در سطح فناوری اطلاعات، به‌ویژه در حوزه مالی و اعتباری، موجب برهم زدن آرامش روانی جامعه شد. زنجیره تأمین دیجیتال از جمله آسیب‌پذیری‌های جدی بود که لزوم آمادگی برای مقابله با بحران را آشکار کرد. هرچند برنامه‌هایی وجود داشت، اما به دلیل عدم تمرین و عملیاتی‌سازی، این برنامه‌ها در شرایط بحران کارآمدی لازم را نداشتند.

از همین رو، امنیت اطلاعات به اولویت اصلی کشورها تبدیل شده و نیازمند سرمایه‌گذاری جدی و مشارکت همه بازیگران این حوزه، از آحاد جامعه تا حاکمیت و بخش خصوصی است. این امر، نیازمند آمادگی و همکاری همه اعضای زیست‌بوم امنیت سایبری برای ایجاد سپر دفاعی مناسب در برابر تهدیدات است. یکی از بازیگران مهم این زیست‌بوم، کسب‌وکارهای فعال در حوزه اقتصاد دیجیتال بودند که هم متحمل آسیب‌های گسترده شدند و هم با مشکلاتی مانند قطع و محدودیت دسترسی روبه‌رو بودند، اما با وجود این، به ارائه خدمات گسترده ادامه دادند؛ به‌ویژه پلتفرم‌ها که نقش محوری در این خدمت‌رسانی داشتند.

علاوه‌براین، مشخص شد که تمرکز صرف بر امنیت اطلاعات کافی نیست. ضروری است رویکردی جامع برای تاب‌آوری سازمانی و تداوم کسب‌وکار، مبتنی بر ریسک‌های سایبری، پیاده‌سازی شود. فناوری اطلاعات به‌عنوان زیرساخت حیاتی کشور، در این دوازده روز اهمیتی دوچندان یافت.

نظام صنفی رایانه‌ای کشور در این دوران چه نقشی در هماهنگی، اطلاع‌رسانی یا حمایت از اعضای خود ایفا کرد؟ آیا سازوکار مشخصی برای واکنش سریع به تهدیدات وجود داشت؟

حمایت از شرکت‌های عضو اولویت اصلی این دوره بود. از نخستین روز جنگ، جلسات آنلاین مستمری برگزار شد و ستاد بحران فعال گردید. در ادامه کمیسیون افتا با انتشار بیانیه‌ای، هشدارهای امنیتی لازم را اعلام و آمادگی کامل بخش خصوصی برای همکاری با نهادهای ذی‌ربط را ابراز کرد.

همچنین، تجربیات به‌دست‌آمده در این مدت طی جلسات متعددی بررسی شد و نظام صنفی تلاش کرد نقش یک مرکز هماهنگ‌کننده میان شرکت‌ها چه در تهران و چه در استان‌ها را ایفا کرده و چالش‌های مشترک را شناسایی و برطرف کند. سازوکار آزمایشی واکنش سریع برای بحران‌های آتی نیز برای پیگیری فوری مشکلات اعضا در زمان بحران ایجاد شد. پیگیری‌های متعددی از مراجع حاکمیتی انجام، نامه‌هایی به رؤسای قوای کشور ارسال و هماهنگی نزدیکی با نهادهای امنیتی برقرار شد تا دسترسی‌های لازم برای شرکت‌های امنیتی فراهم گردد و خدمات‌رسانی ادامه یابد.

باتوجه‌به تمرکز حملات سایبری بر زیرساخت‌های دیجیتال کشور، آیا نظام صنفی در قالب کمیسیون افتا توانست گزارشی از آسیب‌پذیری‌ها یا حملات دریافت و تحلیل کند؟ چه میزان از اطلاعات سایبری کسب‌وکارها به این کمیسیون منتقل شد؟

یکی از موضوعاتی که سال‌ها پیگیری شده، اشتراک‌گذاری اطلاعات رخدادهای امنیتی است. این اطلاعات طبقه‌بندی‌شده‌اند و امکان انتشار عمومی ندارند. بااین‌حال، تلاش شده سازوکاری ایجاد شود تا به‌خصوص اطلاعات فنی در اختیار بخش خصوصی قرار بگیرد و تصمیم‌گیری‌ها صرفاً بر پایه شایعات و اخبار شنیده شده نباشد. همواره سعی کردیم با اشتراک اطلاعات فنی از طریق متولیان، با رخدادها مواجه شویم و از تکرار این وقایع جلوگیری کنیم و بتوانیم اقدامات اصلاحی را داشته باشیم.

اگرچه متولیان ابراز تمایل کرده‌اند، هنوز سازوکار رسمی و مناسبی ایجاد نشده و عمده اطلاعات موجود، همان گزارش‌هایی است که شرکت‌ها خود تهیه و با یکدیگر به اشتراک می‌گذارند. البته بعدازاین 12 روز بسیاری از موارد مورد بررسی قرار گرفت. اما نکته مهم این است که زمان اثر اقدام اصلاحی کوتاه است و ما حتما باید در یک زمان مناسب در جریان رخداد ها قرار بگیریم تا بتوانیم اقدامات امنیتی لازم را انجام دهیم.

نظام صنفی رایانه‌ای همواره به‌عنوان میانجی میان بخش خصوصی و نهادهای حاکمیتی آیا برنامه‌ای برای تدوین دستورالعمل‌های امنیتی یا ارتقا تاب‌آوری سایبری شرکت‌ها در دستور کار قرار داده است؟

تجربه ۱۲ روز اخیر به‌روشنی نشان داد که در حوزه تاب‌آوری و تداوم کسب‌وکار، به‌ویژه در سطح مسائل کلان، با چالش‌های جدی مواجه هستیم. نبود چارچوب‌های قانونی و نظارتی مشخص و همچنین فقدان نظام بودجه‌بندی رسمی برای مدیریت بحران و تقویت تاب‌آوری، از مهم‌ترین نقاط ضعف این دوره بود. حتی در مواردی که سازمان‌ها برنامه‌های تاب‌آوری تدوین کرده بودند، به دلیل فقدان نظام مدیریت برنامه‌های تداوم کسب‌وکار، این برنامه‌ها عملاً بی‌اثر و ناکارآمد ماند.

کمبود آگاهی مدیران نسبت به اهمیت سرمایه‌گذاری در تاب‌آوری، نبود مدل‌های تحلیلی اقتصادی برای تصمیم‌گیری در این حوزه، فقدان الگوهای مرجع برای ارزیابی و پایش میزان تاب‌آوری و ضعف در آمادگی برای واکنش و بازیابی در زمان بحران، از جمله مشکلات برجسته‌ای بود که در این مدت به‌خوبی نمایان شد. علاوه بر این، ضعف زیرساخت‌های پشتیبان و نارسایی در حاکمیت بحران نیز باعث شد که آمادگی لازم برای مواجهه مؤثر با بحران‌ها وجود نداشته باشد؛ مسئله‌ای که در صورت تکرار شرایط مشابه، می‌تواند بار دیگر توان تاب‌آوری ما را به‌شدت کاهش دهد.

بر همین اساس، کمیسیون افتا به این جمع‌بندی رسید که تمرکز ویژه‌ای بر موضوع تاب‌آوری، تداوم کسب‌وکار و بازیابی پس از بحران (Disaster Recovery) داشته باشد. یکی از اقدامات کلیدی در این مسیر، تشکیل «کمیته مقابله با بحران و تاب‌آوری» است که مأموریت اصلی آن ارتقای آگاهی و آموزش مباحث مرتبط با BCP (برنامه‌ریزی تداوم کسب‌وکار) و DRP (برنامه بازیابی پس از بحران) خواهد بود. این موضوع در استانداردهای متعددی از سازمان جهانی استاندارد (ISO) و سازمان ملی استاندارد ایران موردتوجه قرار گرفته و در دستور کار ما نیز قرار دارد. هدف ما ارتقای سطح دانش صنف و مشتریان صنف برای افزایش تاب‌آوری در برابر بحران‌های مبتنی بر فناوری اطلاعات است.

در حال حاضر، ممیزان، مدرسین و پیاده‌سازان متعددی در حوزه تاب‌آوری و تداوم کسب‌وکار در سازمان نظام صنفی رایانه‌ای حضور دارند تا با افزایش سطح دانش و توانمندی، پیش از وقوع بحران، ریسک‌ها را شناسایی کرده، راهکارهای مقابله را طراحی و تمرین کنیم و سپس با بهبود مستمر این راهکارها، به حداکثر سطح تاب‌آوری دست یابیم. تعریف و اجرای پروژه‌های مرتبط با این استانداردها می‌تواند کمک شایانی به کسب‌وکارها و مشتریان آن‌ها در مسیر افزایش پایداری عملیاتی و کاهش آسیب‌پذیری در بحران‌ها داشته باشد.

به‌زودی سمینارها و وبینارهای حضوری و آنلاین، به‌ویژه با هدف تسهیل مشارکت استان‌ها، برای ارتقای دانش سایبری برگزار و جزئیات برنامه آن اعلام خواهد شد. همچنین، رایزنی با متولیان این حوزه در جریان است تا در صورت تکرار شرایط مشابه، اعضای سازمان بتوانند خدمت‌رسانی خود را در لایه زیر ساخت های حیاتی، با حداقل محدودیت و قطعی ادامه دهند.

در دوران پسا‌جنگ، چه برنامه‌هایی برای حمایت از اعضای صنف در مواجهه با تهدیدات سایبری، بازسازی امنیت اطلاعات و ارتقا سطح آمادگی آن‌ها تدوین شده یا در حال طراحی است؟ آیا این تجربیات به سیاست‌گذاری آینده صنف تبدیل خواهند شد؟

در شرایط کنونی، تمرکز اصلی ما بر ارتقای تاب‌آوری و توانمندسازی اعضا برای مواجهه با بحران‌هاست. هم‌زمان، مذاکراتی را برای تأمین تسهیلات، تجهیزات و ابزارهای ضروری در زمان بروز مجدد بحران آغاز کرده‌ایم تا آمادگی لازم پیشاپیش فراهم شود. همچنین، برای مجموعه‌هایی که در دوران جنگ متحمل خسارت شده‌اند، پیگیری‌هایی انجام شده تا از طریق وزارت ارتباطات و شورای‌عالی فضای مجازی، تسهیلات و وام‌های حمایتی در اختیارشان قرار گیرد و اطلاع‌رسانی لازم نیز انجام شده است.

در این مسیر، ضروری است که با تغییرات محیطی سازگار شویم و همگام با آن‌ها، توانمندی خود را ارتقا دهیم. اقداماتی همچون حسابرسی فناوری اطلاعات، ایجاد بیمه امنیت سایبری و سایر ابزارهای مرتبط، به‌عنوان الزامات افزایش بلوغ سایبری، می‌توانند نقش مؤثری در کاهش خسارت‌های احتمالی در بحران‌های آتی ایفا کنند. برگزاری مانورهای واقع‌گرایانه بین‌سازمانی با حضور رگولاتور و نهادهای زیرساختی حیاتی نیز از دیگر اقداماتی است که می‌تواند به ارتقای مهارت‌ها و بهبود فرایندهای واکنش در بحران کمک کند.

در افق بلندمدت، زیرساخت‌های ملی و حاکمیتی کشور باید در جهت افزایش تاب‌آوری توسعه یابند. طراحی و تدوین یک چارچوب ملی شامل ایجاد مراکز بازیابی پس از فاجعه و گنجاندن الزامات تاب‌آوری در قراردادهای پیمانکاری، در کنار حکمرانی مؤثر و قانونی بر فضای تاب‌آوری دیجیتال، می‌تواند به ایجاد ثبات و کارآمدی بیشتر در شرایط مشابه منجر شود. اکنون، فرصت مناسبی فراهم است تا تاب‌آوری به‌عنوان یک سرمایه راهبردی در نظر گرفته شود و همه بازیگران زیست‌بوم با سرمایه‌گذاری کافی، جایگاه این ظرفیت کلیدی را در نظام اقتصادی و فناورانه کشور تقویت کنند.