شنبه، مهر ۱۸

امنیت در ICT، چالش یا فرصت؟!

این مطلب را به عنوان سرمقالة شمارة 19 ماهنامه طیف برق نوشته‌ام؛ این شماره با همکاری انجمن رمز ایران، ویژة ششمین کنفرانس انجمن رمز منتشر شد:

پرداختن به مقولة امنیت در فضای تبادل اطلاعات (افتا) چندان آسان نیست! موضوع امنیت به‌خودی خود، آن چنان سایه‌اش سنگین است که شاید نتوان به‌راحتی به سویش دست دراز کرد؛ چه برسد به آنکه بخواهیم جزئیاتش را بکاویم و ویژگی‌هایش را بررسی کنیم. اما به حکم "آب دریا را اگر نتوان کشید/ هم به قدر تشنگی باید چشید"، می‌خواهیم نیم‌نگاهی (اگرچه محافظه‌کارانه!) به موضوع امنیت در ICT‌ بیندازیم و برخی وجوهش را بررسی کنیم.

پیش از آن بگوییم که در این شماره از ماهنامه طیف برق، به بهانة برگزاری ششمین کنفرانس انجمن رمز ایران، بخشی ویژه را به موضوع امنیت و رمز اختصاص داده‌ایم. (این شماره در این کنفرانس توزیع خواهد شد) امیدواریم، خوانندگان و به‌ویژه صاحبنظران و استادان، اشکالاتِ این اولین تلاش ما برای پرداختن به این موضوع را به دیدة اغماض بنگرند و در عین حال گوشزد کنند و همچنین، ما را در ادامة این راه در شماره‌های آینده یاری رسانند. این نکته را از این بابت گفتیم که می‌دانیم پرداختن به این موضوع بسیار حساس و مهم، آن هم در اولین تجربه نمی‌تواند خالی از اشکال نباشد! (اگرچه در این مسیر از راهنمایی مشاوران و استادان بهره‌مند بوده‌ایم؛ به‌ویژه مدیران و کارشناسان انجمن رمز ایران که مراتب سپاس خود را به آنها اعلام می‌کنیم.)

اما بعد...
ابتدای سخن باید اذعان داشت که در فضای کنونی کشور با وجود اختلالات بسیار وسیع در شبکه‌های تلفنی، قطعی‌ها و اشتباهات و... پرداختن به مقوله امنیت‌،‌ سهل و ممتنع است. بی‌گمان، پرداختن به موضوع ابتدایی‌تری به نام حقوق مصرف‌کننده از اولویت بالاتر و بدیهی‌تری برخوردار است. اما به هر تقدیر، بنا بر حساسیت و اهمیتی که موضوع امنیت دارد، نویسنده ترجیح می‌دهد که یافته‌ها و باورهای خود را در این زمینه، در قالب نکاتی کوتاه و مجمل بیاورد؛ مسلماً شرح و توصیف کامل‌ و جامع هر یک از این نکته‌ها، مجالی فراخ‌تر می‌خواهد و توان تحلیلی قوی‌تر. در این مجال، تلاش می‌کنیم به روشن شدن ابعاد سؤالی کمک کنیم که بر بالای این مطلب نقش بسته است: "امنیت در ICT، چالش یا فرصت؟"

1- اهمیت موضوع امنیت در فضای ICT‌ کشور، آنقدر واضح و روشن است و آنچنان مورد اجماع و قبول همه است که سخن گفتن در باب آن، تکرار مکررات و توضیح واضحات می‌نماید. از سوی دیگر، این مقوله به‌گونه‌ای است که نمی‌توان از آن گذشت و جوانبش را بررسی نکرد. شاید در مقطع فعلی، باید از این اجماع استفاده کرد و در پی ایجاد نگاهی کلان (و معطوف به عمل و منافع کشور) نسبت به این موضوع در بین همة دست‌اندرکاران ICT کشور بود. یا آنگونه که برخی استادان و صاحبنظران بیان می‌کنند، باید به سمت تدوین و ابلاغ سندی راهبردی در این حوزه و تشکیل ستادی در سطوح بالای دولتی (فرابخشی)، گام برداشت.

2- تاکنون، امنیت در حوزة ICT‌ بیشتر معطوف به امنیت در فضای سایبر و اینترنت (یا بهتر بگوییم IT) بوده است؛ نگاهی به عناوین همایش‌هایی که تاکنون در این زمینه برگزار شده، به نوعی این ادعا را تأیید می‌کند. نگاه رسانه‌ها و مطبوعات نیز شاید بیشتر مبتنی بر چنین تلقی و تعبیری از موضوع امنیت در ICT‌ باشد.

به بیان دیگر، اگرچه دستگاه‌های مسؤول به سایر وجوه مقولة امنیت (مثلاًٌ امنیت در شبکه‌های مخابراتی) حساسیت و دقت دارند و به آن می‌پردازند، اما تلقی و نگاه عموم مخاطبان، کاربران و شاید کارشناسان این حوزه از مقولة امنیت، بیشتر معطوف به حوزة فناوری اطلاعات بوده و هست. در حالی که اهمیت موضوع امنیت در CT‌ اگر بیشتر از حوزة IT‌ نباشد، مسلماً کمتر از آن نیست.

نفوذ فناوری‌ها و خدمات مخابرات در تمامی سطوح اجتماعی، سیاسی و... جامعه و مردم، توسعة شبکه‌های جدید و گوناگون مخابراتی، ارائة خدمات جدید غیرمخابراتی بر بستر تکنولوژی‌ها و خدمات مخابراتی (مانند خدمات بانکی روی تلفن همراه)، همگرایی خدمات فناوری اطلاعات با خدمات مخابراتی (یا به بیان بهتر، توسعة کاربردهای فناوری اطلاعات بر روی شبکه‌های مخابراتی) و بسیاری رویدادها و روندهای دیگر، اهمیت پرداختن به موضوع امنیت در فضای CT‌ را بیش از پیش آشکار می‌کند. در چنین فضایی، امنیت صرفاً یک مقولة دفاعی یا "امنیتی" (با معنی خاص آن) به شمار نمی‌رود؛ بلکه گاهی به شخصی‌ترین وجوه زندگی مردم مربوط می‌شود؛ آن هم مردمی که اصلی‌ترین کاربران شبکه‌های مخابراتی هستند.

3- از دید کاربران و در فضای عمومی و رسانه‌ای مخابرات کشور، فعالیت اپراتورهای جدید تلفن همراه (به‌ویژه اپراتور دوم) مهم‌ترین رویدادی بوده است که توجه فعالان و برنامه‌ریزان مخابرات کشور را به موضوع امنیت شبکه‌های مخابراتی جلب کرده و حتی به تغییر تصمیمات و روندها در این مسیر منجر شده است. (ماجرای ترک‌سل شاهدی بر این مدعاست.)

چنین تجربیاتی، (اگرچه قدیمی و نادر) خود نشانگر توجه درست و به‌جای مسؤولان به تهدیدات و چالش‌های امنیتی در ایجاد و توسعة شبکه‌های مخابراتی در کشور است. مسلماً چنین دقت و نگاهی باید به همة فعالیت‌ها، تصمیم‌گیری‌ها و تحولات مخابرات کشور تسری یابد؛ هم در عرصة اپراتوری و خدمات، هم در حوزة زیرساخت‌های فیزیکی و مخابراتی و هم در بخش صنعت و تجهیزات.

به بیان دیگر، باید آگاهی مسؤولان و برنامه‌ریزان مخابرات کشور انچنان کامل و معطوف به عمل و نیز مبتنی بر مصالح کشور، باشد که به عنوان مثال، شاهد هیچ‌گونه اتفاقی نظیر خرید بی‌ملاحظة تجهیزات خارجی برای توسعة شبکه‌های مخابراتی یا سپردن پروژه‌های ایجاد یا توسعة زیرساخت‌های اصلی مخابراتی کشور به خارجی‌ها نباشیم؛ نه به بهانه‌های فنی و نه با دستاویز مصالح اقتصادی و...

4- سخن از صنعت و تجهیزات به میان آمد؛ از منظر امنیت، حداقل می‌توان با دو نوع نگاه به این مقوله پرداخت: یکی، توجه به تهدیدهای امنیتی در بهره‌گیری از تجهیزات مخابراتی و دیگری، تولید یا استفاده از تجهیزات و محصولاتی خاص برای کاهش چالش‌ها و تهدیدات امنیتی در حوزة مخابرات. هر کدام از این دو نگاه، سؤالات و پرسش‌هایی را به دنبال خود می‌آورد.

آیا بدون توجه به مقولة امنیت، می‌توان از تجهیزات و محصولات خارجی برای توسعة شبکه‌های مخابراتی استفاده کرد؟ مسلماً خیر؛ اما الزامات و پیش‌نیازهای چنین توجهی چیست؟ در مسیر توسعة مخابرات کشور، چگونه می‌توان مجال رشد و توسعه به توانمندی‌های داخلی در حوزة صنعت افتا داد؟ راه و روش آموزش و تحقیق و همچنین، پرورش نیروهای متخصص در این حوزه و سپس، بهره‌مندی از آنها در لایه‌های بالاتر (طبقه‌بندی‌شده) کدام است؟ و سؤالات دیگر که لابلای گفتگوها و تحلیل‌های بخش ویژه امنیت در این شماره از طیف برق، از زبان متخصصان بیان شده و برخی از آنها هم پاسخ گرفته است.

نکته مهم در این میان این است که در حوزة امنیت و رمز، نیروی متخصص و دانش در اختیار داریم، اما همانند سایر بخش‌های مخابرات کشور، صنعت همچنان با مشکلاتی مواجه است؛ سیاست‌های نامشخص و متغیر، عدم حمایت از فعالان این حوزه، نبود متولی مشخص برای صنعت مخابرات و... از مشکلاتی است که صنعتگران به آنها اشاره می‌کنند. در چنین شرایطی، مرور تجربه‌های قبلی مخابرات، بررسی تحولات جهانی در حوزة فناوری و خدمات و بسیاری از روندها و رویدادهای مخابراتی و غیرمخابراتی در ایران و جهان، ما را بر آن می‌دارد که بگوییم: در این حوزه چاره‌ای جز تکیه بر توانمندی‌های داخلی خود نداریم. (یا آنگونه که دکتر عارف، رییس انجمن رمز ایران در گفتگو با ما گفته است، باید در حوزة صنعت افتا به "خوداتکایی" برسیم.)

5- شاید امروزه در حوزة خدمات مخابراتی، بارزترین (و نه لزوماً مهم‌ترین) مصداق امنیت، ارائه خدمات بانکی بر بستر شبکه‌ها و خدمات مخابراتی و IT‌ باشد؛ در این میان، اپراتوهای موبایل و بانک‌ها که به ارائة خدمات m-payment‌ می‌پردازند یا به‌زودی خواهند پرداخت، بازیگرانی هستند که باید درصدد رفع یا جلوگیری از تهدیدات امنیتی در خدمات خود باشند. اطمینان دادن به مشتریان (کاربران) از درستی تراکنش‌های مالی و نیز رفع نگرانی‌های آنها از اختلال و یا خرابکاری در فعالیت‌ها و حساب‌های مالی، تنها یکی از جنبه‌هایی است که ذهن و توان اپراتورها و بانک‌ها را به خود جلب کرده است. تعامل با نهادهی ناظر و قانون‌گذار (به‌ویژه بانک‌ مرکزی به عنوان رگولاتور حوزة بانکی) و تدوین و استفاده از استانداردهای لازم در این زمینه، چالش دیگری است که پیش روی این فعالان قرار دارد.

این مثال، به‌تنهایی نشان می‌دهد که امنیت در مخابرات، دیگر محدود به حوزه‌های خاص و دور از دسترس (مانند بخش‌های دفاعی و اطلاعاتی) نیست و موفقیت هر فعالیت به‌ظاهر ساده‌ای، مستلزم توجه به این مقوله است.

6- در بین نهادهای متولی امنیت در فضای تبادل اطلاعات، بیش از همه، فعالیت‌های شرکت فناوری اطلاعات به چشم می‌آید؛ فعالیت‌هایی که این شرکت در قالب ایجاد مراکز ماهر و گوهر انجام داده است، نمونه‌هایی هستند که (البته در حوزة IT‌ و نه CT) گام‌های نخست محسوب می‌شوند. اما سایر نهادها همچون سازمان تنظیم مقررات و شرکت زیرساخت نیز حتماً دستی بر آتش امنیت دارند و لازم است که به عنوان متولیان اصلی ICT کشور (از منظر حاکمیتی) به ارتقای قابلیت‌ها، برنامه‌ها و روندهای خود بپردازند.

تعامل هم‌افزاینده با نهادهایی مانند سازمان پدافند غیر عامل و نیز نهادهای غیردولتی مانند انجمن رمز ایران و همچنین، مجامع دانشگاهی و علمی و تحقیقاتی کشور، باید از اولویت‌های اصلی این شرکت‌های مخابراتی باشد.

7- اما سؤال اصلی این مقاله: آنچه از تجربه‌ها بر می‌آید و آنچه مورد تأکید صاحبنظران این عرصه است (که بخشی از آن در این شماره از طیف برق منعکس شده است) نشان می‌دهد که موضوع امنیت، چالشی مهم و حساس بر سر راه توسعة و ارائة خدمات ICT است که از این بابت، جامع‌نگری و ملی‌نگری همة نهادهای ذیربط، متخصصان، استادان، برنامه‌ریزان و تصمیم‌گیریان را می‌طلبد. در این وادی، امنیت و قوت زنجیرة توسعة خدمات، در حد استحکام سست‌ترین حلقة آن است؛ بنابراین، نمی‌توان در جایی، محکم‌ترین روش‌ها و تمهیدات را در نظر گرفت و در جایی دیگر، از کنار این مقوله به‌راحتی گذشت یا ملاحظات امنیتی را فدای مصالح اقتصادی و... کرد و دلخوش بود به اینکه امنیت فضای مخابرات را پاس داشته‌ایم!

اما از سوی دیگر، همین حساسیت و اهمیت ما را وامی دارد که با تکیه بر توانمندی‌های صنعتی و مدیریتی خود، نیازهایمان را برطرف کنیم. این یعنی بهره‌مندی از نقاط قوت موجود در صنعت مخابرات کشور، مجال رشد دادن به فعالان و صنعتگران، باز شدن راه‌های تازه پیش پای آنان، فعال شدن متخصصان و نخبگان، توسعة پژوهش در این حوزه آنگونه که نیاز صنعت برآورده شود و بسیاری فرصت‌های دیگر که می‌تواند ایجاد شود یا رشد کند.

8- دولت جدید و وزیر جدید مخابرات به‌تازگی فعالیت خود را آغاز کرده‌اند؛ از سوی دیگر، سال جاری آخرین سال اجرای برنامه چهارم و سال تدوین برنامه پنجم توسعه است. همة اینها، با روندهایی اساسی در مخابرات کشور همزمان شده است: خصوصی‌سازی مخابرات (که البته تا زمان نگارش این مطلب، هنوز به سرانجامِ وعده‌داده‌شده نرسیده است و با مسیری که در پیش روست، بعید است عاقبت‌به‌خیر شود)، ورود اپراتور سوم به بازار ارتباطات سیار کشور، آغاز خدمات‌دهی اپراتورهای WiMAX‌ و ...؛ در هر یک از این اتفاقات و روندها، امنیت جایگاه خاصی دارد و نگاه جدیدی را طلب می‌کند. آیا می‌توانیم "امنیت" را به فرصتی برای رشد و توسعة توانمندی‌های داخلی، بهبود جایگاه تحقیقات، ارتقای رابطة صنعت و دانشگاه و در نهایت، رضایتمندی کاربران تبدیل کنیم؟

ارسال‌شده توسط سعيد سليماني
برچسب‌ها: ,

هیچ نظری موجود نیست:

ارسال یک نظر

اشتراک در: نظرات پیام (Atom)