رصد آموزش امنیت سایبری به یک کارگروه دائمی نیاز دارد/ اگر حوزه سایبر متخصص باشد، امنیت سایبری فوق تخصص است!
خبرگزاری علم و فناوری آنا؛ با پیشرفت تکنولوژی، روی کارآمدن فناوریهای نوین و توسعه فضای مجازی ۵ میلیارد گوشی هوشمند در دنیا مورد استفاده قرار میگیرد، مسئلهای که لزوم توجه به امنیت سایبری را بهخوبی مشخص میکند. بهطوریکه سرمایهگذاری در کسبوکارهای دیجیتال از سرمایهگذاری در امنیت سایبری پیشی گرفته و این یک چالش بزرگ و مهم تلقی میشود. کمبود نیروی کار در حوزه امنیت سایبری هم مشکل دیگری است که روزبهروز بیشتر خود را نشان میدهد، به طوری که سال ۲۰۲۲ در مقایسه با سال قبل این شکاف ۲۶.۲ درصد افزایش داشته است.
بنابراین با توجه به اهمیت بحث امنیت سایبری باید با ظرفيتسازی و تربیت نیروی انسانی این کمبود را رفع کنیم و در مسیر نیل به اهداف و رفع نیازها، محصولات این حوزه را به مرحله بومیسازی برسانیم. در این راستا با «محمدحسام تدین»، عضو هیئت علمی و معاون پژوهشکده امنیت ارتباطات و فناوری اطلاعات به گفتوگو پرداختهایم که در ادامه از نظر میگذرانید.
آنا: در تدوین نقشه راه ملی امنیت سایبری کجای کار قرار داریم؟
تدین: ما سندهای متعددی را در حوزه امنیت سایبری تدوین کردهایم. سال ۱۳۸۹ سند افتا به عنوان نخستین سند در زمینه امنیت فناوری اطلاعات و تبادل ارتباطات شکل گرفت و ذینفعان مختلفی را برای امنسازی فضای سایبری کشور مشخص کرد و برای هرکدام شرح وظایفی را در نظر گرفته است.
بعد از آن هم با توجه به صحبتهایی که راجع به شبکه ملی اطلاعات و سایر موضوعات شد، سندهای مختلفی در زمینه امنسازی شبکه ملی اطلاعات یا پدافند سایبری کشور توسط سازمان پدافند غیرعامل و سایر متولیان در بحث امنیت کشور، مطرح شده و اخیرا هم سند راهبردی جمهوری اسلامی در فضای مجازی منتشر شده است که بحث سایبر و امنیت سایبری را به صورت توام مدنظر قرار داده است.
ظرفیتسازی و تربیت نیروی انسانی در دستورکار وزارتخانهها
آنا: پس در حوزه امنیت سایبری سند زیاد داریم اما در بحث اجرای این سندها چطور پیش میرویم؟
تدین: در برخی سندها وزارت ارتباطات و فناوری اطلاعات متولی ظرفیتسازی است و وقتی این سندها به وزارت ارتباطات ابلاغ میشود در اختیار وزارتخانه قرار میگیرد و کارگروههایی تشکیل میشود تا اقدامات لازم در راستای تحقق اقدامات مورد درخواست انجام شود.
در بحث امنیت نیز به طور جدی کارگروههایی تشکیل شده و نزدیک به ۱۰عنوان پروژه هم تعریف شده است و روی این حوزه به دلیل اهمیتی که دارد توانستهایم به خوبی ورود کنیم و اهدافی که برنامه ریزی شده را محقق کنیم. البته تعداد اسناد کشور زیاد نیست ولی از متولیان مختلف ابلاغ میشود و برای انجام بهتر کار نیاز به هماهنگی دارند که از دوباره کاری و هدر رفت سرمایهها جلوگیری شود.
عموما نکته مهم مغفول مانده در اسناد این است که باید درخت ارتباطی سندهای تهیه شده با سایر سندهای ملی مشخص شود. شجره نامه سندهای ما تا حد زیادی مشخص نیست. در ابتدای سندهایی که مینویسیم باید اشاره شود که چه سندهای مرتبط دیگری در کشور در این زمینه وجود دارد.
همچنین مشخص شود چه کسانی سند را تدوین کردهاند و از یک پیشگفتار خوب برای روشن سازی اهداف تدوین سند بهرهمند باشند. ما وقتی سند راهبردی مینویسیم بخشی از آن مطالعه اسنادی است که در قبل داشتهایم ولی در سندی که منتشر میشود این مطالعات ذکر نمیشود و یا دسترسی آسانی به مطالعات پیش زمینهای آنها وجود ندارد. زیرا این موارد سرنخهایی میشوند برای اینکه ما چه اقداماتی را در دستور کار داریم و مشخص میکند چرا ما به دنبال انتشار سند جدید بودهایم.
متخصصان امنیت سایبری برطرف کننده نیاز بخش خصوصی نیستند
آنا: وجود این اسناد چه ضرورتی دارد؟
تدین: در اسناد بالادستی که از طرف شورای عالی فضای مجازی ارائه شده است، بحث ظرفیتسازی و تربیت نیروی انسانی در دستورکار وزارت ارتباطات، وزارت علوم، کار و تعاون و … قرار گرفته است که باید برنامهای در حوزه سایبر داشته باشند. این موضوع ما را در وزارت ارتباطات به این سمت برد که پروژهای تعریف کنیم و یک برنامه راهبردی داشته باشیم تا شرح وظایف متولیان مشخص شود.
ما متولیان زیادی را در بحث آموزش کشور داریم، ولی وقتی وارد میدان عمل میشویم نیروهای تربیت شده از نظر کیفیت و کمیت نیازهای بخش خصوصی و حتی دولتی را به صورت کامل مرتفع نمیکنند، در ریشه یابی که انجام دادیم، متوجه شدیم که ارتباط میان نهادهای متولی آموزش جزیرهای است، یعنی از نیاز هم مطلع نیستند و تصمیم گیریها برای تربیت نیروی انسانی و رشتههای مختلف عموما مبتنی بر نیاز بازار و رشد سریع فناوری نیست. همچنین در امر آموزش یک حلقه مفقوده به نام نیروی انسانی ماهر وجود دارد که راه حل جامعی برای آن نداریم.
دانشگاههای ما بیشتر دانش محور هستند و این فقدان مهارت، موجب شده نیروی فارغالتحصیل وقتی وارد بازار کار میشود نتواند خود را نشان دهد و انتظارات بخش کار را برآورده کند، بنابراین سرخورده میشود. البته این موضوعی نیست که فقط در کشور ما باشد.
متولیان زیادی در بحث آموزش کشور داریم ولی بخش خصوصی خروجیها را برطرف کننده نیاز خود نمیداند
در آمریکا هم در سال ۲۰۰۸ بخش خصوصی، حاکمیتی و بخش دانشگاهی و همچنین افرادی که میخواستند وارد بازار کار شوند، دچار این مشکل بودند که نیاز همدیگر را درک نمیکردند.
آمریکاییها یک برنامهای را آماده کردند با عنوان «انآیسیای» (NICE) و با یک طرح ملی سعی کردند پاسخگوی این موضوع باشند. یک برنامه راهبردی بلندمدت که ذینفعان متعدد را دور خود جمع کرده و بخش آموزش و دانشگاهی موظف شدند که منطبق بر استانداردهایی شروع به آموزش کنند که در آن ۵۲ عنوان شغل امنیت سایبری تعریف شده است.
این ۵۲ عنوان شغل هر کدام مشخص است که چه نوع دانش، مهارت و توانایی را لازم دارند. این استاندارد و چارچوب به زیست بوم آموزشی کمک کرد که بداند چه آموزشی ارائه شود، آموزش گیرنده چه آموزشی باید ببنید و بخش متقاضی بداند به چه تخصصهایی نیازمند است. ضمن اینکه سه ضلع دانشآموز، معلم و والدین را در یک برنامه راهبردی ملی تحت برنامههای آموزش سایبری و امنیت سایبری و آشنایی با این نوع مشاغل قرار دادند.
ایجاد یک کارگروه دائمی برای رصد آموزش امنیت سایبری
آنا: در ایران برای بومی سازی امنیت سایبری چه اقداماتی لازم است؟
تدین: در پژوهشگاه ارتباطات و فناوری اطلاعات سندی تببین کردیم و انتظار داریم از طرف نهادهای بالادستی تایید شود. در این سند بر اساس تجربیات جهانی، همه ذینفعان کلیدی را شناسایی کردیم. ما نزدیک به ۶۰ ذینفع آموزشی در کشور شناسایی کردیم و با تهیه پرسشنامهها و جلسات خبرگی خودمان را به ۲۱ ذینفع آموزشی اصلی رساندیم که نقش کلیدی از نظر قدرت و منفعت در آموزش سایبری و امنیت سایبری دارند.
این ذینفعان شامل آموزش و پرورش، وزارت علوم، وزارت بهداشت، جهاد کشاورزی، پدافند غیرعامل، وزارت ارتباطات و … هستند. در این راستا برنامهای در نظر گرفتهایم تا بتوانیم کارگروه دائمی ملی برای رصد آموزش امنیت سایبری و سایبری در کشور داشته باشیم.
بعد از اینکه آمریکاییها در حوزه آموزش امنیت سایبر یک سند ملی ارائه کردند و موفقیتهای شایانی به دست آوردند، در سال ۲۰۲۳ سند راهبری را ارائه کردهاند که باید آموزش سایبری را مطابق الگوی موفق آموزش امنیت سایبری اجرایی کنیم. از این رو در جلسه با خبرگان و برای کاهش هزینهها به این نتیجه رسیدیم که ما هم بحث آموزش امنیت سایبری و سایبری را توام باهم در نظر بگیریم.
آموزش سایبری باید مادام العمر باشد
آنا: از جهاد کشاورزی نام بردید، این حوزه چه ارتباطی به امنیت سایبری دارد؟
تدین: وقتی کشاورزی نوین شده و مهندس کشاورزی گلخانهای مکانیزه ایجاد میکند که مشتمل بر اینترنت اشیا است از دماسنج، حرارت و سیستمهای مکانیزه آبیاری و… وصل میشود. اگر هک شود و مورد حمله قرار گیرد یا یکی از تنظیمات دمایی تغییر کند ضرر زیادی متحمل میشود و محصولاتش مورد خطر قرار میگیرد و شاید سرمایهاش از بین برود.
در جهان امروز هر فردی که با اینترنت کار میکند باید آموزش امنیت سایبری را ببیند. وزارت علوم باید در این باره فکری بکند. جهاد کشاورزی بخشی به نام ترویج کشاورزی دارد. وقتی کشاورز زمین را به صورت مکانیزه وهوشمند آبیاری میکند، پهپاد زمین را سمپاشی یا کودپاشی میکند و با اینترنت به تجهیزات هواشناسی وصل میشود و برای محصولات خود بازاریابی اینترنتی انجام میدهد. پس کشاورز ما هم نیاز به آموزش دارد و باید کار با اینترنت را بلد باشد. وارد هر مقوله کسب و کاری هم که بشویم میبینیم دنیای آینده نیاز به آموزش امنیت سایبری و سایبری دارد.
دنیا به سمت سه سواد بنیادی در حرکت است؛ سواد دیجیتالی، سواد محاسباتی و پایداری دیجیتالی. سواد دیجیتالی میگوید هر فرد باید بتواند از مجاری مختلفی همچون اینترنت، شبکههای اجتماعی، تصویری، صوتی، پادکست و… اطلاعات دریافت کند. سواد محاسباتی یعنی اطلاعاتی که دریافت میکند را تجزیه و تحلیل کند و به نفع خودش بهره برداری کند و نیاز خود را برطرف کند. پایداری دیجیتالی باید خودش را با فناوری نوینی که میآید هماهنگ کند و از آن استفاده کند.
فناوری سرعت شتابانی گرفته است. خودروهای خودران آمدهاند و افراد کهنسال باید از آنها استفاده کنند ولی نمیتوانند خودشان را با این فناوریهای نوین منطبق کنند و میترسند. آموزش بسیار مهم است. اساتید آموزش معتقد هستند که آموزش سایبری باید مادام العمر باشد، هرلحظه که دیر ورود کنیم بازی را باختهایم و دچار مشکل میشویم.
آنا: برخی معتقد هستند که اینترنت اشیا حریم خصوصی را از بین میبرد، نظر شما چیست؟
در این سند علاقهمند هستیم، بهطور جدی در امر آموزش ورود کنیم و آموزش و پرورش برای این کار بهترین است چرا که هم والدین درگیر موضوع هستند، هم دانش آموز و هم معلم. با آموزش مناسب جلوی خیلی از تهدیدات گرفته میشود. اینترنت اشیا فارغ از فضای سایبر نیست و باید در فضای سایبر به آن نگاه کرد، چون در حال فراگیری است باید زودتر به آن رسیدگی کنیم.
اگر حوزه سایبر تخصص باشد، امنیت سایبری فوق تخصص است!
آنا: سند«ظرفیتسازی نیروی انسانی مورد نیاز تحول و پیشرفت فضای مجازی و سایبری کشور» در چه مرحلهای قرار دارد؟
تدین: سند «ظرفیتسازی نیروی انسانی مورد نیاز تحول و پیشرفت فضای مجازی و سایبری کشور» آماده شده و برای وزارت ارتباطات و فناوری اطلاعات ارسال شده است. این وزارت اقدامات اولیه را انجام میدهد و برای شورای عالی فضای مجازی و مرکز عالی فضای مجازی ارسال میکند تا بررسیهای لازم صورت گیرد.
اکنون در امر آموزش ارتباطات بین ذینفعان هماهنگ و کامل نیست، باید نهادها همانند نخ تسبیح به هم وصل شوند تا همگرایی برای رفع نیازهای کشور ایجاد شود. چون سایبر بحثی جهانی است، دانش هم باید جهانی و بهروز باشد. اگر حوزه سایبر تخصص باشد، حوزه امنیت باید فوق تخصص است. در فوق تخصص شما باید دائما به روز باشید و بدانید آخرین تهدیدات و حملات چیست؟ تا بتوانید جلوی آن را بگیرید. پس یک حوزه دانشی است که بسیار با بحثهای دانش جهانی ارتباط دارد و در داخل کشور باید مجموعهها خودشان را با فضای پر تحول کنونی منطبق کنند.
لزوم ایجاد یک سامانه برای متولیان آموزش امنیت سایبری
آنا: برای تحقق این سند باید چه اقداماتی را انجام دهید؟
تدین: همه متولیان آموزش باید یک سامانه برای خودشان داشته باشند که نیازسنجیها را انجام بدهند و همچنین تمام مسائل مرتبط با بحث آموزش سایبری و امنیت سایبری را در حوزه قلمرو خودشان جمعآوری کنند و بعد با نهاد بالادستی و کارگروه ملی به اشتراک بگذارند تا نهاد حاکمیتی بالا تصمیمگیری درستی داشته باشد.
این ارتباط هم اکنون وجود ندارد و برای ما مشکل ایجاد کرده است. ما باید بدانیم وزارت علوم چند متخصص سایبری و امنیت سایبری تربیت میکند. از طرفی باید بدانیم در وزارت کار چقدر نیرو بهکارگیری شده، چقدر در داخل کشور مانده و چقدر خارج شده است و نیازهای کنونی کشور چه هستند. نظام صنفی رایانه ای ما باید ارتباط تنگاتنگی با متولیان آموزش داشته باشد تا همه بتوانند برای رفع نیاز مردم و بخش خصوصی در تأمین نیرو همکاری کنند.
همه متولیان آموزش باید یک سامانه داشته باشند و مسائل مرتبط با آموزش امنیت سایبری را جمعآوری کنند تا نهادهای حاکمیتی تصمیمگیری درستی داشته باشد
موضوع دیگری که در این سند مدنظر بوده است، بحث آموزشهای مهارتی، گواهینامهها و کیفیت است. کیفیتها پایین است و اشکالی که وجود دارد این است که مدرس وقتی وارد بخش دولتی برای آموزش سایبری و امنیت سایبری میشود با بی علاقگی مخاطب مواجه میشود و این جدیت و کیفیت آموزش را از بین میبرد.
از طرفی دیگر کارکنان با یک آزمون جدی مواجه نمیشوند که تست و ارزیابی شوند. به نظر میرسد سازمان سنجش میتواند انتخاب مناسبی برای این امر باشد. امیدوارم این سند بتواند به مقصود خود برسد و برای کشور سبب خیر شود.
سند ظرفیتسازی و تربیت نیروی انسانی با کارگروه مستمری پیش برود
آنا: فکر میکنید این سند اجرایی میشود؟
تدین: از نظر ضمانت اجرایی ما یک کارگروه تعیین کردیم که در مرکز ملی فضای مجازی مستقر است. ذینفعان به صورت دائمی و متوالی کرسی دارند و داشبوردی هم باید در مرکز ملی فضای مجازی برای آموزش آنها باشد.
مرکز ملی فضای مجازی باید مطلع باشد که چه نیرویی تربیت شده و در داخل کشور وجود دارد. توزیع به چه صورت است و نیازهای کشور چه هستند و در چه زمینههایی سرمایه گذاری شده است.
اگر موضوع آموزش و ظرفیت سازی را به صورت مداوم رصد نکنیم، اهداف این سند به مقصود نمیرسند. حتما باید موضوع دنباله دار باشد و توسط کارگروه مستمری پیش برود. این ۲۰ ذینفع باید سامانهای داشته باشند و در مرکز ملی اطلاعات به اشتراک بگذارند و اشراف روی بحث آموزش امنیت سایبری و سایبر باشد.