پیوست » اقتصاد دیجیتال » دولت الکترونیکی » ۱۰ اپراتور امنیت وارد بازار می‌شوند؛ سامان‌دهی امنیت اطلاعات یا تمرکز پرریسک؟

۱۰ اپراتور امنیت وارد بازار می‌شوند؛ سامان‌دهی امنیت اطلاعات یا تمرکز پرریسک؟

مهرک محمودی سردبیر

۶ دی ۱۴۰۴

زمان مطالعه : ۴ دقیقه

اپراتورهای امنیت در فاز نخست با صدور مجوز برای ۱۰ شرکت وارد بازار می‌شوند؛ سازوکاری که وزارت ارتباطات در چارچوب اجرای ماده ۱۰۳ برنامه هفتم برای ارائه متمرکز خدمات امنیت اطلاعات به دستگاه‌های اجرایی در حال نهایی‌سازی آن است.

به گزارش پیوست، با هدف سامان‌دهی ارائه خدمات امنیت اطلاعات به دستگاه‌های اجرایی، موضوع «اپراتور امنیت» یا «کاروران امنیت» به‌عنوان یکی از برنامه‌های محوری وزارت ارتباطات و فناوری اطلاعات در دستور کار قرار گرفته است.

حسین مومنی، معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات ایران در گفت‌گو با پیوست می‌گوید: «وزارت ارتباطات متولی ایجاد اپراتورهای امنیت در کشور است. هدف اصلی از این اقدام، کاهش چندگانگی، بلاتکلیفی و ناهماهنگی‌هایی است که سال‌هاست بسیاری از دستگاه‌های اجرایی در حوزه امنیت اطلاعات با آن مواجه‌اند.»

طبق گفته او اپراتورهای امنیت قرار است با اتکا بر دانش تخصصی، تجربه عملی و نیروی انسانی حرفه‌ای، خدمات امنیتی را به‌صورت جامع و در لایه‌های مختلف به دستگاه‌ها ارائه دهند؛ خدماتی که صرفا مشاوره‌ای نیست و جنبه اجرایی نیز دارد.

اپراتورهای خصوصی با نظارت حاکمیتی

مومنی تاکید می‌کند: «اپراتورهای امنیت از بخش خصوصی انتخاب خواهند شد. در فاز نخست، پیش‌بینی صدور مجوز برای حدود ۱۰ اپراتور امنیت انجام شده است، هرچند این عدد با توجه به نیاز دستگاه‌های اجرایی و شاخص‌های نهایی می‌تواند تغییر کند.»

نظارت بر عملکرد این اپراتورها نیز بخش جدایی‌ناپذیر طرح است. مومنی از تدوین چندین دستورالعمل نظارتی خبر می‌دهد و می‌گوید: «تاکنون حدود ۱۰ SLA (توافق‌نامه سطح خدمت) طراحی شده که هدف از آنها، شفاف‌سازی تعهدات، کاهش چالش‌ها و امکان ارزیابی دقیق عملکرد کاروران امنیت است. همچنین تلاش می‌شود این SLAها در صورت امکان تجمیع یا ساده‌سازی شوند.»

معاون امنیت سازمان فناوری اطلاعات تأکید می‌کند که نقش اپراتورهای امنیت محدود به مشاوره نخواهد بود. این کاروران باید به‌صورت عملیاتی وارد سازمان‌ها شوند، اقدامات لازم را انجام دهند و حتی مسئولیت انتخاب و پیاده‌سازی سخت‌افزارها و نرم‌افزارهای امنیتی را نیز برعهده بگیرند.

او می‌گوید: «در عین حال، قرار نیست هر دستگاه اجرایی یک اپراتور مجزا داشته باشد. بلکه دستگاه‌ها موظف خواهند بود از خدمات اپراتورهای دارای مجوز استفاده کنند. دستورالعمل اجرایی این موضوع در مراحل نهایی تدوین قرار دارد.» به گفته مومنی، اختلاف‌نظرهایی نیز در این مسیر وجود داشته که با برگزاری نشست‌های هم‌اندیشی با فعالان صنعت افتا و دارندگان بیشترین مجوز و تجربه، تلاش شده دغدغه‌های بخش خصوصی در شاخصه‌ها و دستورالعمل‌ها لحاظ شود.

یکی از موضوعاتی که به نظر می‌رسد باید در این بخش مورد توجه وزارت ارتباطات و سازمان فناوری اطلاعات صورت گیرد این است که در مدل پیشنهادی، اپراتور امنیت هم نقش مشاور و هم مجری را بر عهده دارد و حتی انتخاب سخت‌افزار و نرم‌افزار نیز به او سپرده می‌شود. این هم‌پوشانی نقش‌ها می‌تواند زمینه‌ساز تعارض منافع شود؛ به‌ویژه در نبود سازوکارهای شفاف ارزیابی مستقل که مشخص کند انتخاب‌ها بر اساس نیاز واقعی سازمان انجام شده یا منافع تجاری اپراتور.

مدل واحد امنیتی یا تطبیق با ویژگی سازمان‌ها؟

یکی از مهم‌ترین نگرانی‌ها، تمرکز خدمات امنیتی در تعداد محدودی اپراتور است. واگذاری امنیت دستگاه‌های اجرایی به حدود ۱۰ اپراتور، این پرسش را مطرح می‌کند که آیا چنین مدلی خود به ایجاد یک نقطه شکست واحد منجر نمی‌شود؟

در صورت بروز رخنه یا خطای عملیاتی در یک اپراتور، دامنه اثر آن می‌تواند هم‌زمان چندین سازمان را درگیر کند؛ موضوعی که در تجربه‌های جهانی همواره محل بحث بوده است. مومنی در این‌باره توضیح می‌دهد که «هر سازمان دارای سیاست‌های خاص خود در اجرای مکانیزم‌های امنیتی (Policy Enforcement) است. اگرچه دستورالعمل‌ها و اسناد بالادستی مشترک‌اند، اما نحوه اجرا، توپولوژی شبکه، زیرساخت، نیروی انسانی و بودجه سازمان‌ها با یکدیگر متفاوت است.»

به گفته او، «اپراتورهای امنیت موظف‌اند با در نظر گرفتن ویژگی‌ها و شاخصه‌های اختصاصی هر دستگاه اجرایی، خدمات خود را متناسب با همان سازمان ارائه دهند و اصل محرمانگی را به‌طور کامل رعایت کنند.»
با وجود این تأکید، واگذاری دسترسی‌های عمیق امنیتی به شرکت‌های خصوصی به‌طور طبیعی ملاحظاتی را در حوزه حفاظت از داده‌های حساس، اسرار سازمانی و اطلاعات حاکمیتی به همراه دارد؛ ملاحظاتی که ضرورت تبیین دقیق‌تر سازوکارهای حقوقی و فنی مکمل SLAها برای اطمینان از حفظ محرمانگی اطلاعات را پررنگ‌تر می‌کند.

زمان ورود اولین اپراتور به بازار

به گفته مومنی، آغاز فعالیت رسمی اپراتورهای امنیت منوط به تصویب نهایی دستورالعمل‌ها با همکاری دستگاه هماهنگ‌کننده و انتشار فراخوان عمومی است. او ابراز امیدواری می‌کند که در صورت تسریع روند تصویب، تا پایان سال شاهد ورود نخستین اپراتور امنیت به بازار خدمات امنیت اطلاعات کشور باشیم.

هرچند ایجاد اپراتورهای امنیت می‌تواند به سامان‌دهی خدمات امنیت اطلاعات کمک کند، اما موفقیت این طرح بیش از هر چیز به شفافیت مقررات، استقلال نظارت، و پاسخ‌گویی اپراتورها وابسته است؛ مؤلفه‌هایی که هنوز جزئیات اجرایی آنها به‌طور کامل روشن نشده است.

سازمان فناوری اطلاعات

https://pvst.ir/n7v

مهرک محمودیسردبیر

مهرک محمودی روزنامه‌نگاری را از حوزه سینما شروع کرد و در مدت کوتاهی پس از آن، با این سودا که روزنامه‌نگار باید در تمامی بخش‌ها فعالیت کند براساس یک اتفاق خیلی ساده وارد حوزه اقتصادی شد و در روزنامه‌های صدای عدالت، آزاد، ابرار اقتصادی، فرهنگ آشتی، همشهری اقتصادی و غیره به عنوان خبرنگار فعالیت کرد. همانطور که زندگی همیشه براساس اتفاق‌های ساده جلو می‌رود، فعالیت خود را به صورت نیمه وقت در در هفته‌نامه عصرارتباط در حوزه تجارت و بانکداری الکترونیکی آغاز کرد و پس از مدتی این فعالیت نیمه وقت به یک فعالیت تمام وقت تبدیل و ۹ سال به طول انجامید اما باز هم براساس یک اتفاق آنجا را ترک کرد. حال سال‌هاست که پیوست خانه مهرک محمودی است؛ اما تجارت و بانکداری و دولت الکترونیکی تبدیل به حوزه‌های مورد علاقه او شده‌اند.

تمام مقالات

0 نظر

ارسال دیدگاه لغو پاسخ