به گزارش شبکه خبری ICTPRESS، در پی ابلاغ این طرح به دستگاه‌های اجرایی این سؤال مطرح می‌شود که برای امن‌سازی زیرساخت‌های حیاتی آیا تنها یک ابلاغیه کفایت می‌کند؟ برای کاهش مشکلات زیرساخت‌های حیاتی کشور دستگاه‌های اجرایی باید چه کارهایی انجام دهند؟ برای دریافت پاسخ این سؤالات روزنامه ایران به سراغ کارشناسان حوزه امنیت سایبری رفته و نظر آنان را در این باره جویا شده است.

آگاهی متولیان برای مقابله با حملات سایبری
«طرح امن‌سازی زیرساخت‌های حیاتی در قبال حملات سایبری نه تنها اقدام مثبتی است، بلکه بموقع و در شرایط مناسب و زمان خوبی به دستگاه‌های اجرایی ابلاغ شده است.»
محمدحسام تدین عضو هیأت علمی پژوهشگاه وزارت ارتباطات و فناوری اطلاعات با بیان مطلب فوق درباره تأثیرات این اقدام مثبت به «ایران» گفت: اولین اثر مؤثر و مثبت این اقدام فرهنگسازی در دستگاه‌های اجرایی کشور بخصوص در میان متولیان زیرساخت‌های حیاتی مانند آب، برق، گاز و... است. ابلاغ این طرح به متولیان زیرساخت‌های کشور می‌تواند توجه آنها را به نکته مهم و حساس که همان تهدیدات ناشی از حملات سایبری است، جلب کند. آنها باید بدانند با اقدام‌های مؤثر و نقشه راه تبیین شده می‌توانند با به‌کارگیری کارشناسان متخصص حوزه فضای سایبری جلوی تهدیدات و حملات سایبری را گرفته و با آن مقابله کنند.
تدین با بیان اینکه مخاطرات سایبری اکنون دیگر با فضای واقعی و حقیقی در هم تنیده شده است و این دو فضا متأثر از همدیگر هستند، افزود: سیستم‌های کنترلی از طریق اینترنت در دسترس است به همین دلیل باید ارتباطات و دسترسی‌های امن و صحیح در نظر گرفته شود تا بتوان از بسیاری از رخدادها پیشگیری کرد.
وی با بیان اینکه ما هنوز به مواردی که بعد از تهدیدات و حملات سایبری برای زیرساخت‌های حیاتی کشور رخ می‌دهد، نپرداخته ایم، گفت: به‌عنوان مثال در همین سیل اخیر که کشور را درگیر کرده و بسیاری از زیرساخت‌های حیاتی ما را تخریب کرد متولیان امر می‌توانند با نقشه راه این طرح جدید به مقابله با تهدیدات ناشی از حملات سایبری بروند. هر طرحی دارای نقشه راهی برای مقابله با تهدیدات است و اجازه می‌دهد نقاط قوت و ضعف زیرساخت‌های حیاتی و عوامل تهدیدات را بشناسیم. از سوی دیگر باید کارشناسان خوب در این زمینه تربیت کنیم تا اگر حادثه‌ای رخ داد بتوانیم با آن حوادث مقابله کنیم.
وی با بیان اینکه تنها ابلاغ طرح کافی نیست و باید نقشه راه را اجرایی کرد، گفت: در این نوع طرح‌ها نقاط ضعف و مقابله با حملات سایبری ارائه می‌شود. دستگاه‌های اجرایی باید نه تنها تجهیزات لازم بخصوص تجهیزات امنیتی بومی شده را آماده کنند بلکه برای پیشگیری و مقابله با حوادث تمرین‌های لازم را نیز داشته باشند.
تدین با اشاره به اینکه دستگاه‌های اجرایی باید چنین طرح‌هایی را جدی بگیرند، افزود: برای مقابله با تهدیدات سایبری باید ضمن آموزش و فرهنگسازی نیروی متخصص نیز تربیت کرد و به کار گرفت.

ارتقای سطح امنیت

امید توکلی کارشناس طراح و راهبر امنیت راهکارهای فناوری اطلاعات و عملیات نیز درباره این طرح به «ایران» گفت: ساختار طرح و اجزای آن به‌درستی و دقیق تدوین شده است به طوری که راهبردهای امن‌سازی مناسبی در طرح گنجانده شده است از سوی دیگر رویکرد مدل بلوغ امنیتی این طرح می‌تواند راهنمای خوبی برای دستگاه‌های اجرایی در رسیدن به سطح مطلوب امنیتی باشد. انتشار نسخه دوم طرح پس از ۵ سال و تغییرات عمده‌ای که در آن صورت گرفته است؛ در صورتی که به‌صورت دقیق پیگیری شود، نویدبخش ارتقای مطلوب سطح امنیت زیرساخت‌های حیاتی کشور خواهد بود.
 توکلی با بیان اینکه در این طرح به ظرفیت‌های بخش خصوصی چابک و مورد تأیید در اجرای این طرح توجه ویژه شده و از نقاط قوت طرح محسوب می‌شود، افزود: به طور قطع بخش امنیتی دستگاه‌های اجرایی نیاز ضروری به این طرح دارند. دستگاه‌های اجرایی بهره‌ بردار زیرساخت‌های حساس و حیاتی، نیازمند چارچوبی عملیاتی برای مصون‌سازی و افزایش تاب‌آوری زیرساخت‌های خود هستند.
وی گفت: از آنجایی که حملات سایبری زیرساخت‌های آب، برق، انرژی و... را به‌ صورت جدی تهدید کرده و اختلال‌های زیادی را به وجود می‌آورند به همین دلیل تمام دولت‌ها برای حفاظت از زیرساخت‌های خود چنین طرح‌هایی را ارائه می‌دهند. به‌عنوان مثال در فوریه سال ۲۰۱۳، رئیس جمهوری وقت امریکا فرمان اجرایی برای تدوین طرح ملی محافظت سایبری زیرساخت‌های حیاتی این کشور را صادر کرد و در فوریه ۲۰۱۴ چارچوب عملیاتی مرتبط با آن ازسوی مؤسسه ملی استاندارد و فناوری امریکا منتشر شد.
این کارشناس در پاسخ به این سؤال که آیا این طرح بموقع به دستگاه‌ها ابلاغ شده است، گفت: پیش از این نیز نهادهای حاکمیتی نظیر سازمان پدافند غیرعامل و مرکز ملی فضای مجازی اقدام‌های مناسبی در این حوزه انجام داده‌اند و به شکل موردی یا فراگیر، طرح‌ها و نظام‌‌های امن‌سازی زیرساخت‌های حساس و حیاتی را ابلاغ کرده‌اند.
وی افزود: امن‌سازی یک فرآیند مستمر در هر دستگاه اجرایی است که خدمات آن باید در طول چرخه عمر راهکارها و محصولات فناوری اطلاعات و عملیات مورد کاربرد در زیرساخت‌ها به شکل مستمر ارائه شود. بنابراین نباید نقطه آغاز یا پایانی برای این گونه فعالیت‌ها در نظر گرفت. نکته مهم، پویایی این طرح و به‌ روز‌رسانی آن در مقاطع مختلف و همگام با رخدادهای سایبری دنیا است.
توکلی با بیان اینکه مهم‌ترین مسأله در ارائه طرح‌های امن‌سازی، تدوین ساز و کارهای اجرایی آن است، افزود: بر اساس سطح بلوغ فعلی هر زیرساخت، می‌توان ابزارهای انگیزشی و القایی برای اجرای طرح درنظر گرفت. به‌طور مشخص، صرف ابلاغ و قید فوریت کافی نیست. باید اعتبارات لازم برای اجرا تأمین کرده و دستورالعمل‌های اجرایی ارائه داد. از سوی دیگر باید بازوهای نظارتی تعیین کرده و مشوق‌های لازم برای زیرساخت‌هایی که به سطح مطلوب امنیت رسیده‌اند، فراهم کرد تا امن‌سازی زیرساخت‌ها به‌صورت مستمر ادامه داشته باشد.
وی درباره اینکه چه مشکلاتی زیرساخت‌های حیاتی ما را تهدید می‌کند و آیا این طرح می‌تواند به کاهش مشکلات کمک کند، گفت: زیرساخت‌های حیاتی، همیشه در معرض حملات سایبری و خطاهای عملیاتی هستند. این موضوع فقط در کشور ما مطرح نیست و زیرساخت‌های اقتصاد، سلامت جامعه و امنیت ملی هر کشوری، وابسته به حفاظت سایبری زیرساخت‌های حساس و حیاتی آن کشور است. در اتفاقات اخیر ونزوئلا و حملات سایبری که انجام‌ شد به‌دلیل خاموشی سراسری به زیرساخت برق این کشور خسارات بسیاری وارد کرد و این گونه حملات خود مبنایی بر افول قدرت حاکمیت در مدیریت کشور‌ها محسوب می‌شود. طرح‌های امن‌سازی با پشتوانه اجرایی و نظارتی حاکمیت و حمایت از استفاده از راهکارهای بومی، نقش مؤثری در حفظ تمامیت و استقلال کشورها دارد.

مقابله با حملات سایبری
علیرضا پورابراهیمی عضو هیأت علمی دانشگاه آزاد اسلامی نیز با بیان اینکه حوزه سایبر به‌طور کلی حوزه مستقلی نیست به «ایران» گفت: هر فعالیتی که اکنون در کشور انجام می‌شود در شبکه‌های جهانی صورت می‌گیرد به همین دلیل مخاطرات بزرگ سایبری در انتظار آنها است از آنجایی که بسیاری از خدمات مانند خدمات بانکی و... روی این شبکه‌ها انجام می‌شود، به عموم مردم نیز مربوط می‌شود و هرگونه حمله‌ای زندگی مردم را مختل می‌کند.
پورابراهیمی افزود: باید با ارائه بموقع چنین طرح‌هایی به سازمان‌ها، آنها را با حملات سایبری و راه‌های مقابله با آن هوشیار کرد. البته در این میان باید امکانات لازم را نیز برای دستگاه‌های اجرایی فراهم کنند چون بسیاری از دستگاه‌ها ممکن است امکانات، تجهیزات و حتی بودجه لازم را نیز برای اجرایی کردن آن نداشته باشند.