اندازه گیری توان کشورها در امنیت سایبری

GCI یا همان Global Cybersecurity Index پروژه‌ی مشترک ITU و شرکت ABIresearch برای اندازه‌گیری توان کشورها در امنیت سایبری آن‌هاست. امنیت سایبری بحث گسترده‌ای است که به موضوعات و رشته‌های گوناگونی مرتبط می‌شود. برای اندازه گیری GCI کشورها در پنج بخش قانونی، فنی ( CIRT، استانداردها و تاییدیه‌ها)، سازمانی (سیاست‌گذاری، نقشه راه، نهادهای مسئول)، ظرفیت سازی (استاندارد سازی توسعه، صدور گواهی برای افراد حرفه‌ای، صدور تاییده برای شرکت‌ها و توسعه منابع انسانی) و همکاری(بین‌المللی، بین ایالتی، بین نهادی، مشارکت مردمی) سنجیده می‌شوند. بخشی از اطلاعات مورد نظر توسط خود کشورهای عضو ITU ارائه می‌گردند و قسمتی از اطلاعات از دیگر منابع تامین می‌شوند.

با پایان سال 2015 باید منتظر اعلام لیست GCI از طرف سازمان بین المللی مخابرات (ITU) باشیم تا وضعیت ایران در میزان آمادگی برای دفاع در حملات سایبری مشخص شود تا بتوانیم عملکرد دستگاه‌های مربوط را بسنجیم. در سال 2014 این امتیاز برای ایران 294/ بود. با وجود اینکه این میزان 010/ نسبت به متوسط جهانی بیشتر است ولی کسب امتیاز 3/ نشان می‌دهد که هنوز امنیت در فضای مجازی کشور فاصله‌ی زیادی با استانداردهای بین المللی دارد. ITU وضعیت هر کشور را در هر یک از موارد پنجگانه به صورت جداگانه اعلام می‌کند که در زیر نگاهی به وضعیت ایران داریم.

معیارهای قانونی: در قسمت معیارهای قانونی به قانون جرائم رایانه‌ای و قانون تجارت الکترونیکی اشاره شده است که اولی به توضیح قوانین و میزان مجازات جرایم سایبری پرداخته و دومی به تبیین قوانین و اصول تجارت الکترونیک در کشور می‌پردازد.

معیارهای فنی: در این قسمت ایران دارای یک سازمان رسمی CIRT معرفی شده است که مرکز مدیریت امدادو هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) که زیر نظر سازمان فناوری اطلاعات ایران به فعالیت می‌پردازد مد نظر بوده است. در این بخش ایران فاقد هر گونه استاندارد رسمی داخلی یا زیر ساختی برای مجوزهای بین المللی تشخیص داده شده است. در قسمت تاییده‌ها هم وضعیت به همین صورت است ولی به نظر می‌رسد ITU نماد اعتماد الکترونیکی را نادیده گرفته است. البته که این نماد به دلیل محدودیت در کاربرد و موارد استفاده به هیج وجه نمی‌تواند معیار قابل قبولی برای امنیت باشد ولی به هر حال قابل ذکر در سند مذکور بوده است.

معیارهای سازمانی: این بخش خود به چند قسمت جداگانه تقسیم می‌شود. در قسمت مربوط به سیاست گذاری ایران دارای استراتژی سایبری جامعی معرفی شده است که یکی از پایه‌ای ترین اصول آن راه اندازی شبکه‌ی ملی اطلاعات است. سند عنوان می‌کند که راه اندازی این شبکه می‌تواند باعث قطع ارتباط بخش عظیمی از ایران با اینترنت جهانی باشد.

قسمت دیگر مربوط به نقشه‌ی راه برای دولت می‌شود که نگارندگان این سند در این قسمت ایران را فاقد نقشه‌‍‌ی راه رسمی در امنیت فضای سایبری می‌دانند. هر چند اسناد ملی مختلف مانند برنامه‌‌های پنج ساله‌ی توسعه و سند چشم انداز در قسمت‌های مختلف به اهمیت و برنامه‌های فضای مجازی کشور می‌پردازند ولی به نظر می‌رسد اختصاصی و تخصصی نبودن این برنامه‌ها باعث شده است نگارنده‌ها آن‌ها را نادیده بگیرند.

در قسمت نهادهای مسئول اسامی بسیج و سپاه پاسداران قبل از سازمان فناوری اطلاعات و وزارت ارتباطات و فناوری اطلاعات دیده می‌شود. سازمان پدافند غیر عامل هم نهاد دیگری است که در این بخش به عنوان نهاد مسئول معرفی شده است.

آنچه در بخش سازمانی جالب به نظر می‌رسد نبودن اسم مرکز ملی فضای مجازی و پلیس فتا در این بخش است. شورای عالی فضای مجازی به عنوان بالاترین مرجع تصمیم گیری و سیاست گذاری در فضای مجازی کشور نادیده گرفته شده است. پلیس فتا نیز یکی از تاثیرگذارترین نهادها در حفظ امنیت فضای مجازی می‌باشد.

ظرفیت سازی: در این قسمت هم ایران در قسمت‌های استانداردسازی توسعه، صدور گواهی حرفه‌ای برای افراد و صدور تاییده برای شرکت‌ها و سازمان‌ها فاقد هر گونه برنامه‌ی رسمی و استاندارد تشخیص داده شده است ولی در قسمت توسعه‌ی نیروی انسانی مسابقات ASIS که چند دوره‌ی آن در ایران برگزار شده است به عنوان فعالیتی برای رشد آگاهی از فضای مجازی در ایران نام برده شده است.

همکاری‌ها: در این بخش نیز ایران فقط در قسمت همکاری‌های بین‌المللی دارای فعالیت تشخیص داده شده و دستیابی به سرویس‌های IUT-IMPACT و عضویت در OCI-CERT به عنوان نمونه‌های آن آورده شده است. در قسمت‌های همکاری بین نهادی و مشارکت بخش عمومی فعالیتی تشخیص داده نشده است. در قسمت همکاری‌های دو جانبه ایران فاقد هر گونه همکاری با کشورهای دیگر برای تبادل اطلاعات مربوط به تهدید‌ها و استانداردهای مربوط به امنیت فضای مجازی عنوان شده است.

اگر نخواهیم ایران را با کشورهای صنعتی بزرگ و توسعه یافته مقایسه کنیم می‌توانیم به امتیاز 765/ مالزی و عمان اشاره کنیم که آن‌ها به صورت مشترک در رده‌ی سوم دنیا قرار داده است. سنگاپور و ترکیه هم به ترتیب با 676/ و 643/ امتیاز جزو بیست کشور برتر در این زمینه هستند.

در این گزارش ایران جزء کشورهایی است که اطلاعات مربوط به آن نه به طور مستقیم و رسمی از خود کشور بلکه از طریق روش‌ها و منابع جایگزین به دست آمده است. به همین علت این احتمال هم وجود دارد که به دلیل دقیق نبودن اطلاعات امتیاز ایران کمتر از حد واقعی خود برآورد شده باشد. چرا که با مراجعه به سایت مرکز ماهر و نگاهی به ماموریت‌ها و وظایف تعریف شده برای این مرکز، متوجه می‌شویم پوشش اکثر نقاط ضعفی که برای ایران در گزارش برشمرده شده است، در خطی مشی این مرکز پیش بینی و تعریف شده است. با این که بنا به دلایلی که ذکر شذ گزارش نقص‌هایی مانند نادیده گرفتن برخی سازمان‌ها و پروسه‌ها در خود دارد ولی دارای نکات قابل توجهی نیز هست و هشدار لازم را به مسئولان فضای سایبری کشور می‌دهد که برای رسیدن به استانداردهای جهانی بیشتر تلاش کنند.

بررسی امتیازات ایران در تک تک موارد نشان می‌دهد که بالاترین نمره‌های ایران در بین پنج بخش مربوط به بخش‌های قانونی و سازمانی بوده و پایین ترین آن هم به طور مشترک به ظرفیت سازی و همکاری رسیده است. این انتشار امتیاز در قسمت‌های مختلف به مسئولین امر کمک می‌‍کند که کمبودها را بهتر شناسایی کنند. به نظر می‌رسد مهم‌ترین موردی که باعث کسر امتیاز ایران گردیده است، نبود یک نقشه‌ی راه جامع و اختصاصی برای امنیت فضای سایبری می‌باشد که شاید از وظایف شورایعالی و مرکز ملی فضای مجازی کشور باشد. چرا که چگونگی گسترش همکاری‌های بین نهادهای مسئول، چگونگی همکاری بخش عمومی و خصوصی، استانداردهای مربوط به آموزش و صدور تاییدیه برای نیروی انسانی، همه و همه مسائلی هستند که باید در نقشه‌ی راه مورد نظر پیش بینی و تشریح گردند وسریعاْ اقدام گردد.

منبع:

https://www.itu.int

نویسنده: اسماعیل صابری نیا