در دنیای امروز، حوزه امنیت الکترونیک خصوصاً برخی متعلقات آن مانند امنیت سایبری تبدیل به یک میدان نبرد جدید شده است. امنیت الکترونیک موجب میشود اطلاعات در طول چرخه عمر خود (از زمان تولید تا زمان حذف) به طور غیرمجاز یا ناخواسته دستکاری، حذف یا تحریف نشوند. نقض یکپارچگی میتواند منجر به تصمیمگیریهای اشتباه بر اساس دادههای نادرست، یا عملکرد نادرست سیستمهای حیاتی شود.جهت آشنایی با ابعاد گوناگون این نبرد نوین گفت و گویی با دکتر محمد قلمچی صاحب نظر و تحلیلگر ارشد در حوزه امنیت الکترونیک صورت دادهایم که از نظرتان میگذرد:
تاکنون بارها کلید واژگانی مانند امنیت الکترونیک و امنیت سایبری در تحلیل هایی که معطوف به بحرانهای جدید جهانی صورت میگیرد، مورد تاکید قرار گرفته است. ابعاد این تهدید تا چه اندازهای گسترده است؟
در ابتدا لازم است تاکید کنم که امنیت الکترونیک به صورت ذاتی یک تهدید نیست بلکه بیشتر مقولهای تهدیدزدا است و اگر در تامین آن اغماض یا سهلانگاری صورت گیرد تبدیل به تهدید میشود. این مقوله (امنیت الکترونیک) اتفاقا اگر به درستی مورد توجه قرار گیرد و ابزارهای ارتقای آن فراهم شود فرصتساز است. بنابراین ذاتا نباید نگاه تهدیدمحور نسبت به این حوزه پویا داشت. با توجه به این نکته و مقدمه کوتاه به سوال شما پاسخ میدهم. به طور کلی دیگر جنگها تنها در مرزهای فیزیکی معنا نمییابند، بلکه جبهههای نبرد به دنیای دیجیتال گسترش یافته و تهدیدات نوینی در حوزه امنیت الکترونیک ظهور کردهاند. امنیت الکترونیک، که مجموعهای از تدابیر، فناوریها، فرآیندها و سیاستها برای حفاظت از سیستمهای کامپیوتری، شبکهها، دادهها و تمامی داراییهای اطلاعاتی در برابر حملات، دسترسیهای غیرمجاز، تخریب، سرقت و هرگونه اختلال ناخواسته است، اهمیت ویژهای یافته است. در عصری که زندگی روزمره، اقتصاد، زیرساختهای حیاتی، ارتباطات، و حتی امنیت ملی به شدت به فناوری اطلاعات و ارتباطات وابسته است، ایجاد و حفظ امنیت الکترونیک دیگر یک انتخاب نیست، بلکه یک ضرورت حیاتی است. امنیت الکترونیک محصور و محدود به امنیت سایبری نبوده و به حفظ زیرساختهای الکترونیک در زندگی انسانها بازمیگردد. یک خطای محاسباتی دیگر که ممکن است در اذهان به وجود آید، مربوط به مخاطب شناسی امنیت الکترونیک است. مخاطبان امنیت الکترونیک صرفا دستگاههای حیاتی و حساس، بانکها وموسسات دولتی و زیرساختهای سایبری نیستند. سالهاست تمامی کسبوکارها و حتی تمامی افراد نیازمند امنیت الکترونیک هستند.
با توجه به آنچه ذکر کردید، دامنه امنیت الکترونیک ومصادیق آن نامحدود است.آیا این مسئله به صورت خودکار منجر به پیچیدگی و فقدان روشهای مدون برای مدیریت این امنیت جمعی نمیشود؟
با بخشی از سوال شما موافق هستم. امنیت الکترونیک یک معادله ساده نبوده و در پیچیده بودن آن شکی وجود ندارد. اما مدیریت تخصص محور و فراگیر در قبال آن میتواند این پیچیدگی را تبدیل به خصلتی مثبت کند. تاکید میکنم که امنیت الکترونیک یک مفهوم چندوجهی است که هدف اصلی آن تامین امنیت فیزیکی و همچنین حفظ محرمانگی، یکپارچگی و کارآمدی اطلاعات و سامانهها است. این رکان اساسی، ستون فقرات هر استراتژی امنیتی در حوزه امنیت الکترونیک را تشکیل میدهد. این نحوه نگاه و مدیریت ما در قبال امنیت الکترونیک است که فرصتساز بودن یا تهدیدزا بودن آن را شکل میدهد. امنیتی که منجر به حفظ اطلاعات، تاسیسات و سامانههای زیرساختی کشور در عرصههای مختلف ازجمله صنعتی و خدماتی تضمین شود، قطعا مطلوب و تهدیدزدا خواهد بود. درحقیقت اطلاعات، تاسیسات و اماکن زیرساختی باید تنها برای افراد، موجودیتها یا فرآیندهای مجاز قابل دسترسی باشند. این بدان معناست که سامانهها، تاسیسات و اماکن قبل، حین و بعد از بحران برای افراد مجاز قابل بهرهبرداری بوده و از افشای غیرمجاز اطلاعات حساس، شخصی، تجاری یا دولتی جلوگیری شود. نقض محرمانگی میتواند منجر به سرقت هویت، افشای اسرار تجاری، یا درز اطلاعات طبقهبندی شده نظامی شود. منظور از اصل یکپارچگی نیز اطمینان از دقیق، کامل و بدون تغییر بودن اطلاعات است. اصل کارآمدی نیز مربوط به گردش موثر اطلاعات در یک مدار و چارچوب مطمئن با هدف تسریع در عملکرد و خدمترسانی تعیین شده یک یا چند مجموعه است. ملاحظه میکنید که امنیت الکترونیک صرفاً یک موضوع فنی یا مرتبط با شرکتهای فناوری نیست، بلکه یک مسئله راهبردی ملی است که ابعاد مختلف حیات یک کشور و را تحت تأثیر قرار میدهد. تاثیرات امنیت الکترونیک محدود به یک ملت نیست و میتواند تاثیر شگرف بینالمللی نیز داشته باشد.
طی سالهای اخیر شاهد بروز حملات سایبری گستردهای در سرتاسر دنیا هستیم که فعالیت یا حتی موجودیت بسیاری از کسبوکارها و دولتها را تحت تاثیر قرار داده است. اهمیت حفظ زیرساختهای حیاتی را در این خصوص چگونه ارزیابی میکنید؟
تهدیدات سایبری که بخشی از تهدیدات در عرصه امنیت الکترونیک محسوب میشود همان سه رکن اصلی ذکر شده یعنی محرمانگی و یکپارچگی و کارآمدی (دسترسپذیری) را هدف قرار میدهد. صیانت از زیرساختها در این جا اهمیت پررنگی دارد. بسیاری از زیرساختهای اساسی که ستون فقرات جامعه مدرن را تشکیل میدهند، به شدت به امنیت فیزیکی، سیستمهای اطلاعاتی و شبکههای کامپیوتری وابسته شدهاند. این زیرساختها مصادیق متعددی دارند. به عنوان مثال در شبکه های انرژی مانند نیروگاههای برق، شبکههای توزیع برق، و تأسیسات نفتی و گازی، فقدان امنیت الکترونیک و بروز حملات سایبری به این بخشها میتواند منجر به خاموشی گسترده، اختلال در تولید انرژی، و خسارات اقتصادی عظیم شود.
در سیستمهای حمل و نقل و شبکههای کنترل ترافیک هوایی، راهآهن، سیستمهای هدایت قطار و هواپیما، و مدیریت ترافیک شهری نیز اختلال در سیستمها که ممکن است ناشی از نقصان امنیت فیزیکی، حملات سایبری، عدم کارآمدی اتوماسیون صنعتی یا ناتوانی در مدیریت بر بستر تبادل داده باشد؛ میتواند عواقب سختی داشته باشد. بدیهی است که این قاعده در مورد سیستمهای مالی و بانکی نیز صادق است. اخلال در کارکرد بانکها، صرافیها، و بازارهای بورس میتواند اعتماد عمومی را از بین برده، منجر به بروز بحران در چرخه اقتصادی، و سرقت مقادیر عظیمی ثروت شود. در موارد دیگری مانند شبکههای آب و فاضلاب، سیستمهای بهداشتی و درمانی (از جمله بیمارستانها، کلینیکها، و شبکههای پرونده الکترونیک سلامت) و سیستمهای ارتباطی مانند شبکههای مخابراتی، اینترنت، و رسانههای جمعی این مسئله ظهور و بروز دارد. همانگونه که مشاهده میکنیم، مخاطبان این مجموعه ها همه ساکنان کره خاکی هستند. بنابراین در تمرکز بر مقوله امنیت الکترونیک ما باید نگاه فراگیر را با مدیریت تخصصی و چندوجهی ترکیب کنیم.
طی سالهای متمادی شاهد خلق ساختارهای اقتصادی و تجاری نوین بودهایم. امنیت الکترونیک چه نقشی در تثبیت و تقویت این ساختارهای نوین و حتی بازتولید آنها بر اساس نیازهای روز دارد؟
صورت مسئله بسیار گویاست. هم در عرصه اقتصاد بینالملل و تجارت جهانی و هم در عرصه اقتصاد ملی ما با دغدغه مهم صیانت از ساختارها مواجه هستیم. این ساختارها دارای ابعاد زیربنایی و روبنایی بوده و فقدان امنیت الکترونیک هر دو بعد را هدف قرارمی دهد. باید بپذیرییم که اقتصاد مدرن به شدت بر پایه امنیت، دادهها و ارتباطات استوار است. ضعف در عملکرد یا ساده انگاری نسبت به مقوله امنیت الکترونیک به طور مستقیم بر سلامت اقتصادی یک کشور تأثیر میگذارد. ابعاد تاثیر امنیت الکترونیک حتی به مراتب فراتر از حوزه اقتصاد است.
ثروت بسیار حساس به امنیت است و جایی که امنیت نباشد، ثروتی ایجاد نمیشود. شاید به همین دلیل است که کشورهای متعددی حتی همسایگان ایران ازجمله عمارات و عربستان، سازوکاری مشابه سپتام (درگاه انطباق پذیری استاندارد تجهیزات نظارت تصویری اصناف و اماکن عمومی ایران) برای اطمینان از صحت عملکرد سامانههای نظارت تصویری اماکن و صنوف پیادهسازی نمودهاند. سازوکارهای نظارت بر سامانههای اعلام و اطفای حریق هم سابقه طولانیتری دارند.
سرقت اطلاعات تجاری و مالکیت معنوی تبدیل به یک نگرانی مهم در جهان امروز شده است. اگر اطلاعات مربوط به محصولات جدید، استراتژیهای بازاریابی، فرمولهای تولید، و نوآوریهای تکنولوژیکی تحت تاثیر فقدان امنیت الکترونیک افشا شود، مزیت رقابتی شرکتهای داخلی و خارجی از بین خواهد رفت. همچنین از کار انداختن وبسایتهای فروشگاهی، سیستمهای پرداخت، یا شبکههای توزیع میتواند به فروشگاهها و تولیدکنندگان خسارات مالی وارد کند. حتی فراتر از موارد ذکر شده ما با مسئلهای تحت عنوان دستکاری در بازارهای مالی مواجه هستیم. حملات الکترونیک از جمله موارد سایبری میتوانند منجر به دستکاری در قیمت سهام، تبادلات ارزی، یا انتشار اطلاعات نادرست برای تأثیرگذاری بر بازارهای مالی شده و مخاطبان خاص و عام آنها را با سردرگمی و سیگنالهای نادرست مواجه سازد.
امنیت سایبری شاید امروزه شناخته شدهترین بعد امنیت الکترونیکی برای عموم باشد، لکن بهرهبرداری از سامانههای نظارت تصویری (دوربین مداربسته) استاندارد و کارآمد نقش بسزایی در پایداری کسب و کار، افزایش تابآوری کسب و کارها، تامین آسایش و امنیت عمومی و حتی مبارزه با تروریسم دارد. سامانههای اعلام و اطفای حریق از دارایی و ثروت شهروندان، کسب و کارها و دولت پاسبانی میکند تا حریق آنها را به تلی از خاکستر تبدیل نکند. سامانههای کنترل تردد نفری موجب جلوگیری از نفوذ افراد فاقد صلاحیت میشود، سامانههای کنترل تردد خودرویی مانع نفوذ و مبارزه با اقدامات تروریستی شده حتی در کنترل ترافیک هم میتوانند نقش موثری داشته باشند. نیاز بهرهبرداری صحیح از سامانههای مقابله با ریزپرنده در سراسر جهان بیشتر احساس میشود. اینها تنها بخشهایی کوچک از گسترده عظیم لزوم بهرهبرداری صحیح از سامانههای امنیت الکترونیک در اقتصاد، تجارت و حتی اجتماع هستند.
اشاره کردید که مخاطبان حوزه امنیت الکترونیک همه مردم دنیا هستند و استثنایی در این خصوص نمی توان قائل شد. تاثیر امنیت الکترونیک در حفظ حقوق شهروندی را چگونه ارزیابی و تحلیل میکنید؟
حفاظت از حقوق و حریم خصوصی شهروندان در دنیایی که بر مبنای معاملات مدرن و دیجیتال شکل گرفته موضوعیت و اصالت مهمی دارد. اطلاعات شخصی شهروندان ارزشمندترین داراییهای آنهاست.
بخشی از این مقوله ناظر بر حفاظت از دادههای شخصی است. داده های شخصی یعنی اطلاعات مربوط به هویت، سلامت، مالی، سوابق شغلی، و ارتباطات شخصی شهروندان که در سیستمهای دولتی (مانند ثبت احوال، سازمان تأمین اجتماعی، وزارت بهداشت) و خصوصی نگهداری میشوند. دسترسی غیرمجاز به این اطلاعات میتواند منجر به سرقت هویت، کلاهبرداری، سوء استفاده مالی، و آسیبهای روحی و اجتماعی به افراد شود. اخلال در امنیت الکترونیک منجر به اختلال گسترده در زندگی مردم و باعث نارضایتی عمومی، بیاعتمادی و بیثباتی اجتماعی و فردی می گردد. علاوه بر مقوله امنیت سایبری، سامانههای امنیت الکترونیک همچون سامانه هوشمند مدیریت ترافیک (ITS)، دوربینهای مداربسته، سامانههای کنترل تردد نیز دادههایی متعددی جمعآوری میکنند که از حیث حقوق شهروندی از اهمیت ویژه برخوردارند.
آیا روشها و مدلهایی که برای حفظ امنیت الکترونیک طراحی شده دارای تاکتیکها و روشهای ثابتی بوده یا ویژگیهای ملی و سرزمینی یک کشور در تدوین این استراتژیها وتاکتیکها دخیل است؟
امنیت الکترونیک دارای خصلت پویایی و انعطافپذیری است. به این معنا که مبانی آن ثابت اما روشها و اصول و تاکتیکهایی که در کشورها و مناطق و حتی شرکتها و موسسات گوناگون در بطن آن به کار گرفته میشود متغیر است.
در شرایطی که تهدیدات فیزیکی و سایبری روز به روز پیچیدهتر و فراگیرتر میشوند، اتکای صرف به راهکارها و فناوریهای کلان (بر اساس یک مدل ثابت و غیرقابل تغییر)، نه تنها مطلوب نیست، بلکه میتواند کشور را در موقعیتهای آسیبپذیرتری قرار دهد. تکیه بر توانمندیهای داخلی و بومی در زمینه امنیت الکترونیک، از اهمیت راهبردی بالایی برخوردار است. یکی از این دلایل مربوط به اصل استقلال و خودکفایی کشورهاست. اتکا به فناوریها و خدمات امنیتی کشورهای دیگر، کشور را در برابر فشارهای اقتصادی، و حتی دستورات فنی که ممکن است برخلاف منافع ملی باشد، آسیبپذیر میکند. در صورت بروز تنشهای بینالمللی، دسترسی به خدمات پشتیبانی، بهروزرسانیها، یا حتی قابلیت دسترسی به سیستمها ممکن است قطع شود. همچنین توسعه توانمندیهای بومی به کشور اجازه میدهد تا کنترل کاملی بر معماری امنیتی، نحوه عملکرد ابزارها، و نحوه مدیریت دادههای حساس خود داشته باشد.در این خصوص نیازها و شرایط خاص بومی یک کشور و مجموعه درترسیم ابعاد راهبردی و عملیاتی امنیت الکترونیک بسیار تعیین کننده است. به عنوان مثال هر منطقه جغرافیایی و هر کشور ممکن است با انواع خاصی از تهدیدات سایبری مواجه باشد که ریشه در شرایط فرهنگی، اجتماعی، اقتصادی، و حتی جغرافیایی آن منطقه دارد. بومیسازی راهکارها به متخصصان داخلی اجازه میدهد تا با شناخت دقیقتر این تهدیدات، راهکارهای مناسبتر و موثرتری را طراحی کنند. اصل سازگاری با قوانین و مقررات داخلی نیز در اینجا باید مورد توجه قرار گیرد. قوانین و مقررات هر کشور در زمینه حفاظت از دادهها، حریم خصوصی، و فعالیتهای سایبری متفاوت است. راهکارهای بومی میتوانند به سادگی با این چارچوبهای قانونی سازگار شوند. از سوی دیگر تیمهای بومی امنیت الکترونیک میتوانند با سرعت بیشتری به تهدیدات نوظهور که ممکن است بازتاب خاصی در یک جامعه داشته باشند، واکنش نشان داده و راهکارهای دفاعی مناسب را پیادهسازی کنند. نیازهای یک مجموعه دائماً در حال تغییر هستند. بنابراین توسعهدهندگان بومی حوزه امنیت الکترونیک میتوانند روشها و تاکتیکهای خود را به سرعت برای رفع نیازهای خاص یا انطباق با تغییرات پیکربندی، بازتعریف کنند.
