غفلت پرهزینه!
جهان صنعت– زیرساختهای حیاتی ایران در دودهه گذشته بارها مورد حمله سایبری قرار گرفتهاند اما همچنان خبری از یک سیاست ملی جامع و مدون برای حفاظت از این زیرساختها نیست. این ضعف نهتنها یک مشکل فنی که باید در سطح متخصصان فناوری حل شود بلکه یک بحران امنیت ملی است که میتواند ثبات اقتصادی، اجتماعی و حتی سیاسی کشور را تحتتاثیر قرار دهد. یکی از مهمترین و در عینحال تلخترین تجربههای ایران در این زمینه حمله استاکسنت در سال۲۰۱۰ بود؛ بدافزاری پیچیده که توسط برخی دولتهای خارجی طراحی و اجرا و موفق شد بخشی از سانتریفیوژهای تاسیسات هستهای نطنز را از کار بیندازد. این رویداد بهعنوان نقطهعطفی در تاریخ جنگهای سایبری شناخته شد و بسیاری از کارشناسان انتظار داشتند ایران پس از آن یک راهبرد ملی امنیت سایبری تدوین کند اما چنین اتفاقی رخ نداد. بهجای آن تنها واکنشهای امنیتی کوتاهمدت و محدود در دستور کار قرار گرفت، بدون آنکه به فکر یک ساختار پایدار و شفاف برای آینده باشند. سالهای بعد نیز حوادث مشابهی تکرار شد. از حملات به سیستمهای بانکی و پالایشگاهی گرفته تا هک گسترده دوربینهای شهری و سامانههای دولتی در سالهای اخیر، همه نشان دادند که کشور همچنان در برابر تهدیدات سایبری آسیبپذیر است. با وجود این واقعیتها هیچ گزارشی از یک برنامه درازمدت منتشر نشد و حتی هماهنگی بین نهادهای مختلف هم شکل نگرفت. به همین دلیل امروز وقتی حملهای رخ میدهد، واکنشها بیشتر حالت مقطعی و واکنشی دارد تا راهبردی و برنامهریزیشده.
نگاه محدود، نهادهای پراکنده و قوانین کهنه
اینکه چرا ایران هنوز سیاست امنیت سایبری جامع ندارد، ریشه در چند مشکل ساختاری دارد.
نگاه غالب به امنیت سایبری بیشتر از زاویه کنترل فضای مجازی و محدودسازی محتوای آنلاین است تا حفاظت از زیرساختهای حیاتی. همین نگاه باعث شده بخش بزرگی از ظرفیتها صرف مسائلی مانند فیلترینگ شود و موضوعاتی که واقعا با امنیت ملی گره خوردهاند، در حاشیه بمانند. در کنار این مشکل، پراکندگی نهادی نیز نقش مهمی دارد. امروز چندین سازمان و نهاد مختلف از مرکز ماهر و وزارت ارتباطات گرفته تا سازمان پدافند غیرعامل و بخشهای نظامی هرکدام سهمی در مدیریت امنیت سایبری دارند اما هیچ نهاد مرکزی و واحدی که همه را هماهنگ کند وجود ندارد. این پراکندگی به معنای دوبارهکاری، هدررفت منابع و نبود پاسخگویی در مواقع بحران است.
نبود قوانین روزآمد و الزامآور هم مزید بر علت است. بیشتر قوانین فناوری اطلاعات در ایران مربوط به دهه۸۰ و اوایل۹۰ است و هیچ چارچوب شفافی برای الزام سازمانها به رعایت استانداردهای امنیتی وجود ندارد درحالیکه کشورهای دیگر مقررات سختگیرانهای در این زمینه وضع کردهاند، مثل اتحادیه اروپا که دستورالعملNIS2 را تصویب کرده و همه سازمانها را ملزم به رعایت الزامات امنیتی کرده است. علاوه بر این، بحران کمبود منابع انسانی متخصص نیز قابلانکار نیست. بسیاری از کارشناسان و متخصصان امنیت سایبری در سالهای گذشته مهاجرت کردهاند و همین باعث شده پروژههای امنیتی یا به تاخیر بیفتند یا اصلا اجرا نشوند.
تبعات آشکار
پیامدهای نبود سیاست جامع امنیت سایبری تنها در سطح فنی باقی نمیماند. آسیبپذیری زیرساختهای حیاتی کشور یکی از آشکارترین نتایج آن است. شبکه برق، گاز، آب، سیستمهای حملونقل شهری یا حتی بیمارستانها میتوانند هدف حملات سایبری قرار بگیرند و از کار بیفتند. چنین حملاتی نهتنها خسارت اقتصادی ایجاد میکنند بلکه میتوانند زندگی روزمره میلیونها نفر را مختل کنند. نمونههای مشابه در دیگر کشورها نشان داده که یک حمله سایبری گسترده میتواند تبعاتی مشابه زلزله یا سیل داشته باشد. در سطح اقتصادی نیز نبود امنیت سایبری تاثیر مخربی دارد. استارتاپها و شرکتهای فناوری که موتور محرک اقتصاد دیجیتال هستند، در فضایی که امنیت تضمینشده وجود ندارد با مشکلات جدی مواجه هستند. نشت اطلاعات کاربران، هک سرورها و ضعف در زیرساختها باعث میشود اعتماد عمومی به این کسبوکارها کاهش یابد و سرمایهگذاران نیز رغبتی برای ورود به چنین بازاری نداشته باشند. در نهایت این چرخه منفی باعث میشود اقتصاد دیجیتال ایران رشد نکند و استعدادها نیز مهاجرت کنند. از سوی دیگر هزینههای جبران حملات سایبری بسیار سنگین است. هربار که یک سیستم هک میشود یا اطلاعاتی نشت میکند، هزینه زیادی برای بازیابی و بازسازی صرف میشود. در کشوری که بودجه فناوری اطلاعات محدود است، این هزینهها منابع توسعهای را میبلعند و عملا به جای حرکت به جلو، همواره در حال جبران عقبماندگی هستیم. علاوهبر این، کاهش اعتماد عمومی نیز پیامد جدی دیگری است. وقتی مردم میبینند اطلاعات شخصیشان بارها و بارها از پلتفرمهای داخلی نشت پیدا میکند و هیچ نهادی پاسخگو نیست، اعتمادشان به خدمات دیجیتال داخلی از بین میرود و ترجیح میدهند به سرویسهای خارجی مهاجرت کنند. همین موضوع به مرور اکوسیستم دیجیتال داخلی را تضعیف میکند.
مسیر خروج ایران از چرخه بحران
در این میان تجربه کشورهای دیگر میتواند درسآموز باشد. ایالاتمتحده از سالها پیش «راهبرد ملی امنیت سایبری» را تدوین کرده و آن را مرتب بهروز میکند. اتحادیه اروپا با تصویب دستورالعملهای الزامآور، کشورها را موظف به رعایت استانداردهای مشترک کرده است. چین نیز با تشکیل آژانس ملی امنیت سایبری و سرمایهگذاری وسیع روی فناوریهای بومی توانسته بخش بزرگی از نیازهایش را در داخل تامین کند. حتی کشورهای منطقه هم گامهایی در این مسیر برداشتهاند و در حال ایجاد ساختارهای قانونی و نهادی هستند. ایران اگر بخواهد از چرخه تکراری حملات و واکنشهای مقطعی خارج شود، ناگزیر به تدوین یک راهبرد ملی جامع است. این راهبرد باید چند محور اصلی داشته باشد: نخست تعیین یک نهاد مرکزی و قدرتمند که همه بخشها را هماهنگ کند و پاسخگو باشد. دوم تصویب قوانین روزآمد که سازمانها را ملزم به رعایت استانداردهای امنیتی کند و برای تخلف نیز مجازات در نظر بگیرد. سوم سرمایهگذاری جدی در آموزش و تربیت نیروی انسانی متخصص، بهویژه از طریق دانشگاهها و مراکز تحقیقاتی. چهارم توجه به حقوق شهروندان و حفاظت از دادههای شخصی آنان زیرا امنیت سایبری فقط حفاظت از سازمانهای دولتی نیست بلکه اعتماد مردم را هم شامل میشود و در نهایت همکاری بینالمللی که میتواند باوجود مشکلات سیاسی، بخشی از این خلأها را پر کند. اگر این مسیر طی نشود، ایران همچنان در معرض خطر باقی خواهد ماند. حملات سایبری دیگر یک احتمال دور از ذهن نیست بلکه بخشی از واقعیت جهان امروز است. همانطورکه کشورها ارتش و سیستمهای دفاعی برای جنگهای فیزیکی دارند، باید ساختارهای مشابهی هم برای جنگهای سایبری ایجاد کنند. غفلت از این ضرورت به معنای باز گذاشتن درهای کشور برای دشمنان است. واقعیت این است که آینده امنیت ایران نه فقط در مرزهای فیزیکی بلکه در دنیای مجازی رقم میخورد. اگر سیاستگذاران همچنان به جای پرداختن به ریشهها، انرژی خود را صرف کنترلهای سطحی کنند، خسارتهای بیشتری در انتظار خواهد بود. باید نگاه به امنیت سایبری از سطح مقطعی و شعاری فراتر رود و به یک راهبرد ملی و ساختاریافته تبدیل شود. چنین رویکردی نهتنها از زیرساختهای حیاتی محافظت میکند بلکه اعتماد عمومی را بازمیگرداند و اقتصاد دیجیتال کشور را به حرکت درمیآورد. آینده ایران بدون این تغییر قابل تصور نیست.
