بعد از تجربه حمله بیسابقه به یکی از بزرگترین صرافیهای رمزارزی ایران، موجی از همدلی برای کاهش ریسک بحران و انتقاد نسبت به نبود برنامه مشخص از سوی حاکمیت برای مواقع بحرانی در اکوسیستم رمزارز، شکل گرفت. به گزارش پیوست، صالح خواجه دلویی، نائب رئیس کمیسیون رمزارز انجمن فینتک، در مورد مدیریت بحران در سطح […]
بعد از تجربه حمله بیسابقه به یکی از بزرگترین صرافیهای رمزارزی ایران، موجی از همدلی برای کاهش ریسک بحران و انتقاد نسبت به نبود برنامه مشخص از سوی حاکمیت برای مواقع بحرانی در اکوسیستم رمزارز، شکل گرفت. به گزارش پیوست، صالح خواجه دلویی، نائب رئیس کمیسیون رمزارز انجمن فینتک، در مورد مدیریت بحران در سطح کلان کشور، گفت: در کشور سازمانی داریم تحت عنوان پدافند غیرعامل که هیچ خبری از آن ندیدیم. نه قبل از جنگ، نه در ۱۲روز جنگ و نه حتی بعد از آن. همین الان این سازمان مانور برگزار و مشخص کند با ملی کردن اینترنت چه کسبوکارهایی و چگونه به مشکل میخورند و براساس آن دستورالعمل و شیونامه بنویسند. این در حالی است که خواجهدلویی معتقد است؛ اکوسیستم رمزارز از ثانیههای ابتدایی برای مقابله با بحران در سطح کسبوکاری همکاری خود را اعلام کرده بود.
* بعد از حمله سایبری اخیر، آیا در سطح تشکلها یا بین کسبوکارها، بازنگری فنی نرمافزار یا پشتیبانی فنی پلتفرمها انجام شد؟ الزاماتی هم بهصورت رسمی برای کسبوکارها ابلاغ شده است؟
این اتفاق افتاد. بلافاصله یک گروه فنی تخصصی با حضور نمایندههای فنی شرکتهای مختلف تشکیل شد. با این هدف که تجربهها و درسآموختهها به اشتراک گذاشته شود و همه در جریان قرار بگیرند چه پروتکلهایی آسیبپذیری داشته یا چه سناریوهایی ممکن است برای دیگران تکرار شود. قبل این اتفاق هم اطلاعرسانیها و الزماتی وجود داشت که باتوجه به شرایط این موارد تشدید شدهاند. از ثانیههای ابتدایی بعد از حمله به نوبیتکس، دیگر بچههای اکوسیستم حمایت خود را نشان دادند تا هر کمکی میتوانند انجام دهند. همچنین تعاملاتی هم با پلیس فتا و برخی نهادها داشتیم تا هرجا لازم بوده، سریع اطلاعرسانی انجام شد. البته این اقدامت تنها محدود به تعاملها در انجمن فینتک نبود. با انجمن بلاکچین و نصر هم در تماس بودیم تا موازی کاری و هدر رفت منابع صورت نگیرد و اطلاعرسانیها یکپارچه انجام شود. به هرحال این اتفاق میتوانست برای خیلی از کسبوکارها رخ دهد. بانکها را در نظر بگیرید که متأسفانه اطلاعرسانی درستی انجام نمیدهند. این در حالی است که حمله به بانک با خروج دارایی همراه نیست و تنها عدد موجودی افراد تحتتأثیر قرار میگیرد که با بکآپهایی که دارند میتوانند به راحتی شرایط را برگردانند. دیگر اطلاعات هویتی هم که تحت تأثیر قرار گرفته که سالهاست عمومی شدهاند و حتی به صورت دورهای با هکهایی که صورت میگیرد بهروزرسانی میشوند.
* اشاره کردید به پلیس فتا. بعد هک، نهادهای مرتبط پیشتر مطالباتی از صرافیها داشتند، در شرایط بحران چه کمک یا همکاری کردند؟
نهادهایی که همیشه صدای ما را میشنیدن، اینبار هم شنیدند و ورود کردند. البته بودند نهادهایی که گفتن «دیدید گفتیم اینجوری میشود؟» اما از حمایت خبری نبود. داریم درباره کسبوکارهایی صحبت میکنیم که بیشتر آنها دانشبنیان فعالیت میکنند و هزاران نفر در آنها مشغول به کار هستند. البته اگر آنها در کنار ما قرار میگرفتند هم عجیب میشد. چراکه دانش فنی ندارند و در تعامل آنها تنها میخواهیم جلوی تکرار این اتفاقات با استفاده از تجربه آموخته شده در آینده گرفته شود. ما بارها سعی کردیم درسآموختهها را استخراج کنیم که تکرار نشوند. چون این آسیبها فقط برای رمزارز نیست؛ کسبوکارهای دیگر هم ممکن است آسیب ببینند. متأسفانه وقتی اینترنت قطع میشود یا حملهای صورت میگیرد، بعضی نهادها نهتنها کمکی نمیکنند، بلکه با سختگیریهای بعدی، شرایط را بدتر میکنند.
* مواردی مثل انحراف قیمت در بازارها یا اختلال در شبکه بانکی را چطور مدیریت کردید؟
در کشور سازمانی داریم تحت عنوان پدافند غیرعامل که هیچ خبری از آن ندیدیم. نه قبل از جنگ، نه در ۱۲روز جنگ و نه حتی بعد از آن. همین الان این سازمان بیاید مانور برگزار کند و مشخص کند با ملی کردن اینترنت چه کسبوکارهایی و چگونه به مشکل میخورند و براساس آن دستورالعمل و شیونامه بنویسند. نهفقط ما، حتی بانکها هم وقتی مورد حمله قرار گرفتن، معلوم شد چقدر سیستمها آسیبپذیری دارند. در زمان قطعی اینترنت نرخ جهانی رمزارزها را نداشتیم. معاملات بسته شدند و واریز و برداشت متوقف شد. همه درک میکنیم که به دلایل امنیتی و حملات سایبری این تصمیم گرفته شد از روزهای دوم سوم لیست آیپی کسبوکارها تهیه شد تا به وزیر ارتباطات بدهیم. در این مرحله کار، تأییدیهها گرفته شد و مرحله بعدی به زیرساخت رسید. با تعهدنامهای سفت و سخت تعهد دادیم. همچنین گفتیم متوجهیم در صورت باز شدن آیپی احتمال حمله وجود دارد اما امکان قیمت گرفتن وجود ندارد و اختلاف در قیمتها شکل گرفته بود. در نهایت به دیتا ستنرها رسیدیم. جایی که عملاً انگار حکومت خودمختاری بودند. هر کس ساز خودش را میزد. اینجا بود که فهمیدیم مسئله چقدر پیچیدهتر از چیزی است که فکر میکردیم.
* جنگ ۱۲روزه، اولین تجربه جنگی پول دیجتیال بود. آیا باتجربهای که داشتید نمره قبولی میدهید؟
نمره قبولی نمیدهم. اختلالها زیاد شد و سرویسها از پایداری خارج شدند. حتی گفتند به دلیل حساسیت شرایط، نمیتوانیم به شما سرویس بدهیم. در این چند سالی که در این صنعت بودم، هر روز به نوعی تجربه جنگ را داشتیم. اما این یکی تجربه جنگ واقعی بود. اما همواره لیست، بخشنامه یا سختگیری عجیب سر و کلهاش پیدا میشود و ما پناه نداریم. کسبوکارهایی مثل ما در همین کشور رشد میکنند و در همین اقتصاد نفس میکشند. ولی برخوردها نه حمایتی است و نه حتی منطقی.
* خودتان در صحبتتان اشاره کردید که برای دسترسی به قیمتها درخواست اتصال به اینترنت بینالملل را مطرح کردید.
قضیه اینترنت طبقاتی نیست. ما گفتیم بعضی کسبوکارها اساساً بدون اینترنت بینالملل نمیتوانند زنده بمانند. این کسبوکارها باید حداقل به اینترنت پایدار دسترسی داشته باشند، بهخصوص در شرایط بحرانی. صحبت ما این بود که یک کانال کنترلشده و پایدار، برایAPIهایی که لازمه فعالیت آنها قیمت جهانی است داشته باشیم. در شرایط قطعی اینترنت صرافیها قیمت لحظهای ندارند و نمیتوانند معامله کنند. کاربر میگوید چرا نمیتوانم دارایی خود را تبدیل کنم؟ در واقع گفتیم تنها آیپیهایی که لازم است، باز شود.
——
دستگاههای اجرایی از نظر امنیت سایبری ارزیابی و رتبهبندی میشوند
هیئت وزیران با تصویب آییننامهای ضمن الزام دستگاههای اجرایی مبنی بر ارزیابی و رتبهبندی سالانه امنیت رایانیکی (سایبری)، مقرر کرد: نتایج این بررسیها در ارزیابی سالیانه عملکرد دستگاهها لحاظ شود. به گزارش ایرنا، هیئت وزیران ۲۱ خردادماه به پیشنهاد وزارت ارتباطات و فناوری اطلاعات و به استناد بند «پ» تبصره ۶ ماده واحده قانون بودجه سال ۱۴۰۴ کل کشور، آییننامه اجرایی این بند از قانون را به شرح زیر تصویب کرد:
ماده۱- در این آییننامه، اصطلاحات زیر در معانی مشروح به کار میروند:
۱- قانون: بند «پ» تبصره ۶ ماده واحده قانون بودجه سال ۱۴۰۴ کل کشور.
۲- مرکز: مرکز ملی فضای مجازی کشور.
۳- وزارت: وزارت ارتباطات و فناوری اطلاعات.
۴- افتا: مرکز مدیریت راهبردی افتا.
۵ – سازمان برنامه: سازمان برنامه و بودجه کشور.
۶ – دستگاه اجرایی: دستگاههای اجرایی موضوع ماده ۵ قانون مدیریت خدمات کشوری مصوب ۱۳۸۶ که براساس تشریفات مقرر در قانون دارای ضعف در امنیت رایانیکی (سایبری) میباشند.
۷- دستگاه هماهنگکننده: دستگاههای هماهنگکننده موضوع ماده ۳ مصوبه جلسه ۴۴ شورایعالی فضای مجازی مصوب ۱۳۹۶ در حوزه دستگاههای اجرایی و مصوبات تقسیم کار مرکز شامل وزارت، افتا و سازمان پدافند غیرعامل کشور با رعایت مفاد بند «الف» ماده ۱۰۳ قانون برنامه هفتم پیشرفت مصوب ۱۴۰۳.
۸ – چارچوب برنامه عملیاتی: چارچوبی که توسط دستگاه هماهنگکننده برای ارائه برنامه عملیاتی توسط دستگاههای اجرایی، تهیه و ابلاغ میشود.
۹- برنامه عملیاتی: برنامهای که به منظور تضمین و ارتقای سطح امنیت شبکه، امنیت زیرساختها و امنیت سامانههای دستگاه اجرایی و پیشگیری موثر از وقوع حوادث امنیت سایبری براساس چارچوب برنامه عملیاتی و متناسب با اعتبارات مصوب مربوط، توسط هریک از دستگاههای اجرایی تهیه و به دستگاه هماهنگکننده مربوط ارائه میشود.
۱۰- چارچوب رتبهبندی: شاخصهای ارزیابی وضعیت امنیت رایانیکی (سایبری)
و رتبهبندی سالیانه دستگاههای اجرایی که توسط دستگاه هماهنگکننده مربوط براساس بند (الف) ماده (۱۰۳) قانون برنامه پنجساله هفتم پیشرفت مصوب ۱۴۰۳ به دستگاههای اجرایی حوزه مأموریت خود ابلاغ میشود.
۱۱- رتبهبندی: تعیین جایگاه دستگاههای اجرایی از نظر وضعیت امنیت رایانیکی (سایبری) در سطح کشور مبتنی بر چارچوب رتبهبندی توسط دستگاه هماهنگکننده.
ماده۲- دستگاههای هماهنگکننده مربوط موظفند حداکثر ظرف دو هفته پس از ابلاغ این آییننامه نسبت به ابلاغ چارچوبهای برنامه عملیاتی و رتبهبندی برای دستگاههای اجرایی حوزه مأموریت خود اقدام نمایند.
ماده۳- دستگاه اجرایی موظف است حداکثر ظرف دو هفته پس از ابلاغ چارچوب برنامه عملیاتی، برنامه عملیاتی مصوب «کمیته راهبری امنیت اطلاعات» دستگاه مزبور که به ریاست بالاترین مقام دستگاه اجرایی و یا معاون وی، بالاترین مسئول امنیت اطلاعات و امنیت فضای مجازی و بالاترین مقام مسئول حراست تشکیل میشود، به دستگاه هماهنگکننده مربوط ارسال نماید. تخصیص اعتبار قانون توسط سازمان برنامه منوط به ارسال برنامه عملیاتی دستگاه اجرایی به دستگاه هماهنگکننده مربوط با رعایت ماده (۳۰) قانون برنامه و بودجه کشور مصوب ۱۳۵۰ است.
تبصره۱- دستگاه هماهنگکننده موظف است حداکثر ظرف دو هفته پس از وصول برنامه عملیاتی دستگاه اجرایی، نسبت به بررسی و اعلام نتیجه آن اقدام نماید.
تبصره۲- در صورتی که پس از ارائه برنامه عملیاتی، دستگاه هماهنگکننده مربوطه مغایرتی نسبت به آن اعلام نماید، دستگاه اجرایی موظف است نسبت به رفع مغایرت اعلامی اقدام نماید.
تبصره۳- هرگونه تخصیص و هزینه کرد اعتبارات بخش «حداقل یکدرصد از اعتبارات هزینهای (به استثنای فصول ۱، ۵ و ۷) و تملک داراییهای سرمایه ای» موضوع قانون، در غیر از برنامه عملیاتی تائید شده، ممنوع است.
ماده۴- دستگاه هماهنگکننده مربوط موظف است نسبت به ارزیابی امنیت رایانیکی (سایبری) دستگاه اجرایی حوزه مأموریت خود، با بهرهگیری از شرکتهای دارای مجوز ممیزی امنیت و ارزیابی امنیتی با رعایت بند «الف» ماده ۱۰۳ قانون برنامه هفتم پیشرفت از سازمان فناوری اطلاعات ایران، اقدام نموده و نتایج ارزیابی و رتبه دستگاه اجرایی را بر مبنای چارچوب رتبهبندی به وزارت ارسال نماید. وزارت موظف است نتایج ارزیابی و رتبهبندی سالانه امنیت رایانیکی (سایبری) دستگاههای اجرایی را به مرکز اعلام نماید.
تبصره – وزارت موظف است گزارش موضوع این آییننامه را به سازمان اداری و استخدامی کشور اعلام و سازمان مذکور نیز موظف است این نتایج را در ارزیابی سالیانه عملکرد دستگاهها لحاظ نماید.
ماده۵ – دستگاههای اجرایی مجازند در صورت نیاز به استفاده از ظرفیت شرکتهای غیردولتی در اجرای برنامه عملیاتی تأیید شده، صرفاً از شرکتهای دارای پروانه ارائه خدمات امنیتی از سازمان فناوری اطلاعات استفاده نمایند.
ماده۶ – دستگاههای اجرایی موظفند گزارش پیشرفت اجرای برنامه عملیاتی خود را به صورت سه ماهه به دستگاه هماهنگکننده مربوطه ارائه و دستگاههای هماهنگکننده نیز موظفند گزارشهای مورد تأیید را به سازمان برنامه ارسال نمایند.
ماده۷- در صورت اعلام دستگاه هماهنگکننده مبنی بر انحراف در کیفیت اجرای برنامه تأییدشده، ذیحساب دستگاه اجرایی موظف است نسبت به توقف هزینه کرد اعتبار در موارد دارای انحراف اقدام نماید. هزینهکرد اعتبار در این موارد، پس از رفع انحراف خواهد بود.
ماده۸ – سازمان اداری و استخدامی کشور موظف است براساس اولویتهای دستگاههای هماهنگکننده و با همکاری دستگاههای اجرایی نسبت به آموزش، مهارتآموزی و سطحبندی متخصصین مورد نیاز موضوع این آییننامه اقدام نمایند.
ماده۹- به منظور ارتقای توانمندیهای تولیدی و فناورانه کشور در حوزههای مرتبط با اجرای قانون، دستگاههای هماهنگکننده موظفند اقلام راهبردی مورد نیاز کشور برای اجرای برنامههای عملیاتی را به معاونت علمی، فناوری و اقتصاد دانشبنیان رئیسجمهور اعلام نمایند.
تبصره – معاونت علمی، فناوری و اقتصاد دانشبنیان رئیسجمهور موظف است با همکاری دستگاههای اجرایی ذیربط نسبت به حمایت از داخلیسازی و توسعه توانمندی فناورانه موضوع این ماده، با استفاده از ظرفیت بخشهای غیردولتی اقدام نماید.
ماده۱۰- دستگاههای اجرایی متولی ۲۰ پروژه پیشران دولت هوشمند، پس از اخذ تأییدیه برنامه از کارگروه موضوع ماده (۲) آییننامه بند (ج) ماده ۱۰۷ قانون برنامه هفتم پیشرفت و با رعایت چارچوب برنامه عملیاتی، میتوانند از اعتبار منابع نیم درصد موضوع قانون استفاده کنند. تخصیص اعتبار قانون توسط سازمان برنامه، پس از تأیید کارگروه مزبور است.
وزیر راهوشهرسازی، تأکید کرد که در تهیه طرحهای جامع، ملاحظات پدافند غیرعامل رعایت و دقت شود تا مراکز جمعیتی و مسکونی در کنار مراکز پرخطر نباشد. به گزارش مناقصهمزایده به نقل از وزارت راهوشهرسازی، فرزانه صادق؛ در ششمین جلسه شورایعالی شهرسازی و معماری ایران در سالجاری که به بررسی طرح جامع آستارا، طرح شهرسازی گنبدکاووس […]
مدیرعامل شرکت ارتباطات زیرساخت، گفت: پدافند غیرعامل یک انتخاب نیست، بلکه یک ضرورت است و حتی در بعد فعالیتهای اقتصادی زیرساخت نیز، پدافند غیرعامل حائزاهمیت است. به گزارش سیتنا، آیین نکوداشت هفته پدافند غیرعامل در شرکت ارتباطات زیرساخت، ششم آبان ماه با حضور بهزاد اکبری؛ معاون وزیر، رئیس هیئت مدیره و مدیرعامل شرکت ارتباطات زیرساخت، […]
رئیس سازمان پدافند غیرعامل کشور، گفت: برای اطمینان از آمادگی دستگاههای اجرایی و اجرای دستورالعملهای ابلاغ شده، تیمهای عملیاتی بازرسیهای تخصصی از عملکرد دستگاهها انجام میدهند و در صورت لزوم اقدام به برگزاری مانور میکنند. به گزارش ایسنا، سردار غلامرضا جلالی؛ در نشست سراسری استانداران در وزارت کشور، بر نقش استانداران بهعنوان فرماندهان پدافند غیرعامل […]
دیدگاه بسته شده است.