رصد آموزش امنیت سایبری به یک کارگروه دائمی نیاز دارد/ اگر حوزه سایبر متخصص باشد، امنیت سایبری فوق تخصص است!

خبرگزاری علم و فناوری آنا؛ با پیشرفت تکنولوژی، روی کارآمدن فناوری‌های نوین و توسعه فضای مجازی ۵ میلیارد گوشی هوشمند در دنیا مورد استفاده قرار می‌گیرد، مسئله‌ای که لزوم توجه به امنیت سایبری را به‌خوبی مشخص می‌کند. به‌طوری‌که سرمایه‌گذاری در کسب‌و‌کارهای دیجیتال از سرمایه‌گذاری در امنیت سایبری پیشی گرفته و این یک چالش بزرگ و مهم تلقی می‌شود. کمبود نیروی کار در حوزه امنیت سایبری هم مشکل دیگری است که روزبه‌روز بیشتر خود را نشان می‌دهد، به طوری که در ۲۰۲۲ در مقایسه با سال قبل این شکاف ۲۶.۲ درصد افزایش داشته است.

بنابراین با توجه به اهمیت بحث امنیت سایبری باید با ظرفيت‌‌سازی و تربیت نیروی انسانی این کمبود را رفع کنیم و در مسیر نیل به اهداف و رفع نیازها، محصولات این حوزه را به مرحله بومی‌سازی برسانیم. در این راستا با «محمدحسام تدین»، عضو هیئت علمی و معاون پژوهشکده امنیت ارتباطات و فناوری اطلاعات به گفت‌وگو پرداخته‌ایم که در ادامه از نظر می‌گذرانید.

آنا: در تدوین نقشه راه ملی امنیت سایبری کجای کار قرار داریم؟

تدین: ما سندهای متعددی را در حوزه امنیت سایبری تدوین کرده‌ایم. در ۱۳۸۹ سند افتا به‌عنوان نخستین سند در زمینه امنیت فناوری اطلاعات و تبادل ارتباطات شکل گرفت و ذی‌نفعان مختلفی را برای امن‌سازی فضای سایبری کشور مشخص کرد و برای هرکدام شرح وظایفی را در نظر گرفته است.

بعد از آن هم با توجه به صحبت‌هایی که راجع به شبکه ملی اطلاعات و سایر موضوعات شد، سندهای مختلفی در زمینه امن‌سازی شبکه ملی اطلاعات یا پدافند سایبری کشور توسط سازمان پدافند غیرعامل و سایر متولیان در بحث امنیت کشور، مطرح شده و اخیرا هم سند راهبردی جمهوری اسلامی در فضای مجازی منتشر شده است که بحث سایبر و امنیت سایبری را به صورت توام مدنظر قرار داده است.

ظرفیت‌سازی و تربیت نیروی انسانی در دستورکار وزارتخانه‌ها

آنا: پس در حوزه امنیت سایبری سند زیاد داریم اما در بحث اجرای این سند‌ها چطور پیش می‌رویم؟

تدین: در برخی سندها وزارت ارتباطات و فناوری اطلاعات متولی ظرفیت‌سازی است و وقتی این سندها به وزارت ارتباطات ابلاغ می‌شود در اختیار وزارتخانه قرار می‌گیرد و کارگروه‌هایی تشکیل می‌شود تا اقدامات لازم در راستای تحقق اقدامات مورد درخواست انجام شود.

در بحث امنیت نیز به طور جدی کارگروه‌هایی تشکیل شده و نزدیک به ۱۰عنوان پروژه هم تعریف شده است و روی این حوزه به دلیل اهمیتی که دارد توانسته‌ایم به خوبی ورود کنیم و اهدافی که برنامه ریزی شده را محقق کنیم. البته تعداد اسناد کشور زیاد نیست ولی از متولیان مختلف ابلاغ می‌شود و برای انجام بهتر کار نیاز به هماهنگی دارند که از دوباره کاری و هدر رفت سرمایه‌ها جلوگیری شود.

عموما نکته مهم مغفول مانده در اسناد این است که باید درخت ارتباطی سندهای تهیه شده با سایر سندهای ملی مشخص شود. شجره نامه سندهای ما تا حد زیادی مشخص نیست. در ابتدای سندهایی که می‌نویسیم باید اشاره شود که چه سندهای مرتبط دیگری در کشور در این زمینه وجود دارد.

همچنین مشخص شود چه کسانی سند را تدوین کرده‌اند و از یک پیشگفتار خوب برای روشن سازی اهداف تدوین سند بهره‌مند باشند. ما وقتی سند راهبردی می‌نویسیم بخشی از آن مطالعه اسنادی است که در قبل داشته‌ایم ولی در سندی که منتشر ‌می‌شود این مطالعات ذکر نمی‌شود و یا دسترسی آسانی به مطالعات پیش زمینه‌ای آن‌ها وجود ندارد. زیرا این‌ موارد سرنخ‌هایی می‌شوند برای اینکه ما چه اقداماتی را در دستور کار داریم و مشخص می‌کند چرا ما به دنبال انتشار سند جدید بوده‌ایم.

متخصصان امنیت سایبری برطرف کننده نیاز بخش خصوصی نیستند

آنا: وجود این اسناد چه ضرورتی دارد؟

تدین: در اسناد بالادستی که از طرف شورای عالی فضای مجازی ارائه شده است، بحث ظرفیت‌سازی و تربیت نیروی انسانی در دستورکار وزارت ارتباطات، وزارت علوم، کار و تعاون و ... قرار گرفته است که باید برنامه‌ای در حوزه سایبر داشته باشند. این موضوع ما را در وزارت ارتباطات به این سمت برد که پروژه‌ای تعریف کنیم و یک برنامه راهبردی داشته باشیم تا شرح وظایف متولیان مشخص شود.

ما متولیان زیادی را در بحث آموزش کشور داریم، ولی وقتی وارد میدان عمل می‌شویم نیروهای تربیت شده از نظر کیفیت و کمیت نیازهای بخش خصوصی و حتی دولتی را به صورت کامل مرتفع نمی‌کنند، در ریشه یابی که انجام دادیم، متوجه شدیم که ارتباط میان نهادهای متولی آموزش جزیره‌ای است، یعنی از نیاز هم مطلع نیستند و تصمیم گیری‌ها برای تربیت نیروی انسانی و رشته‌های مختلف عموما مبتنی بر نیاز بازار و رشد سریع فناوری نیست‌. همچنین در امر آموزش یک حلقه مفقوده به نام نیروی انسانی ماهر وجود دارد که راه حل جامعی برای آن نداریم.

دانشگاه‌های ما بیشتر دانش محور هستند و این فقدان مهارت، موجب شده نیروی فارغ‌التحصیل وقتی وارد بازار کار می‌شود نتواند خود را نشان دهد و انتظارات بخش کار را برآورده کند، بنابراین سرخورده می‌شود. البته این موضوعی نیست که فقط در کشور ما باشد.

متولیان زیادی در بحث آموزش کشور داریم ولی بخش خصوصی خروجی‌ها را برطرف کننده نیاز خود نمی‌داند

در آمریکا هم در سال ۲۰۰۸ بخش خصوصی، حاکمیتی و بخش دانشگاهی و همچنین افرادی که می‌خواستند وارد بازار کار شوند، دچار این مشکل بودند که نیاز همدیگر را درک نمی‌کردند.

آمریکایی‌ها یک برنامه‌ای را آماده کردند با عنوان «ان‌آی‌سی‌ای» (NICE) و با یک طرح ملی سعی کردند پاسخگوی این موضوع باشند. یک برنامه راهبردی بلندمدت که ذی‌نفعان متعدد را دور خود جمع کرده و بخش آموزش و دانشگاهی موظف شدند که منطبق بر استانداردهایی شروع به آموزش کنند که در آن ۵۲ عنوان شغل امنیت سایبری تعریف شده است.

این ۵۲ عنوان شغل هر کدام مشخص است که چه نوع دانش، مهارت و توانایی را لازم دارند. این استاندارد و چارچوب به زیست بوم آموزشی کمک کرد که بداند چه آموزشی ارائه شود، آموزش گیرنده چه آموزشی باید ببنید و بخش متقاضی بداند به چه تخصص‌هایی نیازمند است. ضمن اینکه سه ضلع دانش‌آموز، معلم و والدین را در یک برنامه راهبردی ملی تحت برنامه‌های آموزش سایبری و امنیت سایبری و آشنایی با این نوع مشاغل قرار دادند.

ایجاد یک کارگروه دائمی برای رصد آموزش امنیت سایبری

آنا: در ایران برای بومی سازی امنیت سایبری چه اقداماتی لازم است؟

تدین: در پژوهشگاه ارتباطات و فناوری اطلاعات سندی تببین کردیم و انتظار داریم از طرف نهادهای بالادستی تایید شود. در این سند بر اساس تجربیات جهانی، همه ذی‌نفعان کلیدی را شناسایی کردیم. ما نزدیک به ۶۰ ذی‌نفع آموزشی در کشور شناسایی کردیم و با تهیه پرسشنامه‌ها و جلسات خبرگی خودمان را به ۲۱ ذی‌نفع آموزشی اصلی رساندیم که نقش کلیدی از نظر قدرت و منفعت در آموزش سایبری و امنیت سایبری دارند.

این ذی‌نفعان شامل آموزش و پرورش، وزارت علوم، وزارت بهداشت، جهاد کشاورزی، پدافند غیرعامل، وزارت ارتباطات و ... هستند. در این راستا برنامه‌ای در نظر گرفته‌ایم تا بتوانیم کارگروه دائمی ملی برای رصد آموزش امنیت سایبری و سایبری در کشور داشته باشیم.

بعد از اینکه آمریکایی‌ها در حوزه آموزش امنیت سایبر یک سند ملی ارائه کردند و موفقیت‌های شایانی به دست آوردند،  در سال ۲۰۲۳ سند راهبری را ارائه کرده‌اند که باید آموزش سایبری را مطابق الگوی موفق آموزش امنیت سایبری اجرایی کنیم. از این رو در جلسه با خبرگان و برای کاهش هزینه‌ها به این نتیجه رسیدیم که ما هم بحث آموزش امنیت سایبری و سایبری را توام باهم در نظر بگیریم.

آموزش سایبری باید مادام العمر باشد

آنا: از جهاد کشاورزی نام بردید، این حوزه چه ارتباطی به امنیت سایبری دارد؟

تدین: وقتی کشاورزی نوین شده و مهندس کشاورزی گلخانه‌ای مکانیزه ایجاد می‌کند که مشتمل بر اینترنت اشیا است از دماسنج، حرارت و سیستم‌های مکانیزه آبیاری و... وصل می‌شود. اگر هک شود و مورد حمله قرار گیرد یا یکی از تنظیمات دمایی تغییر کند ضرر زیادی متحمل می‌شود و محصولاتش مورد خطر قرار می‌گیرد و شاید سرمایه‌اش از بین برود.

در جهان امروز هر فردی که با اینترنت کار می‌کند باید آموزش امنیت سایبری را ببیند. وزارت علوم باید در این باره فکری بکند. جهاد کشاورزی بخشی به نام ترویج کشاورزی دارد. وقتی کشاورز زمین را به صورت مکانیزه وهوشمند  آبیاری می‌کند، پهپاد زمین را سمپاشی یا کودپاشی می‌کند و با اینترنت به تجهیزات هواشناسی وصل می‌شود و برای محصولات خود بازاریابی اینترنتی انجام می‌دهد. پس کشاورز ما هم نیاز به آموزش دارد و باید کار با اینترنت را بلد باشد. وارد هر مقوله کسب و کاری هم که بشویم می‌بینیم دنیای آینده نیاز به آموزش امنیت سایبری و سایبری دارد.

دنیا به سمت سه سواد بنیادی در حرکت است؛ سواد دیجیتالی، سواد محاسباتی و پایداری دیجیتالی. سواد دیجیتالی می‌گوید هر فرد باید بتواند از مجاری مختلفی همچون اینترنت، شبکه‌های اجتماعی، تصویری، صوتی، پادکست و... اطلاعات دریافت کند. سواد محاسباتی یعنی اطلاعاتی که دریافت می‌کند را تجزیه و تحلیل کند و به نفع خودش بهره برداری کند و نیاز خود را برطرف کند. پایداری دیجیتالی باید خودش را با فناوری نوینی که می‌آید هماهنگ کند و از آن استفاده کند.

فناوری سرعت شتابانی گرفته است. خودروهای خودران آمده‌اند و افراد کهنسال باید از آن‌ها استفاده کنند ولی نمی‌توانند خودشان را با این فناوری‌های نوین منطبق کنند و می‌ترسند. آموزش بسیار مهم است. اساتید آموزش معتقد هستند که آموزش سایبری باید مادام العمر باشد، هرلحظه که دیر ورود کنیم بازی را باخته‌ایم و دچار مشکل می‌شویم.

آنا: برخی معتقد هستند که اینترنت اشیا حریم خصوصی را از بین می‌برد، نظر شما چیست؟

در این سند علاقه‌مند هستیم، به‌طور جدی در امر آموزش ورود کنیم و آموزش و پرورش برای این کار بهترین است چرا که هم والدین درگیر موضوع هستند، هم دانش آموز و  هم معلم. با آموزش مناسب جلوی خیلی از تهدیدات گرفته می‌‌شود. اینترنت اشیا فارغ از فضای سایبر نیست و باید در فضای سایبر به آن نگاه کرد، چون در حال فراگیری است باید زودتر به آن رسیدگی کنیم.

اگر حوزه سایبر تخصص باشد، امنیت سایبری فوق تخصص است!

آنا: سند«ظرفیت‌سازی نیروی انسانی مورد نیاز تحول و پیشرفت فضای مجازی و سایبری کشور»  در چه مرحله‌ای قرار دارد؟

تدین: سند «ظرفیت‌سازی نیروی انسانی مورد نیاز تحول و پیشرفت فضای مجازی و سایبری کشور» آماده شده و برای وزارت ارتباطات و فناوری اطلاعات ارسال شده است. این وزارت اقدامات اولیه را انجام می‌دهد و برای شورای عالی فضای مجازی و مرکز عالی فضای مجازی ارسال می‌کند تا بررسی‌های لازم صورت گیرد.

اکنون در امر آموزش ارتباطات بین ذی‌نفعان هماهنگ و کامل نیست، باید نهادها همانند نخ تسبیح به هم وصل شوند تا هم‌گرایی برای رفع نیازهای کشور ایجاد شود. چون سایبر بحثی جهانی است، دانش هم باید جهانی و به‌روز باشد. اگر حوزه سایبر تخصص باشد، حوزه امنیت باید فوق تخصص است. در فوق تخصص شما باید دائما به روز باشید و بدانید آخرین تهدیدات و حملات چیست؟ تا بتوانید جلوی آن را بگیرید. پس یک حوزه دانشی است که بسیار با بحث‌های دانش جهانی ارتباط دارد و در داخل کشور باید مجموعه‌ها خودشان را با فضای پر تحول کنونی منطبق کنند.

لزوم ایجاد یک سامانه برای متولیان آموزش امنیت سایبری

آنا: برای تحقق این سند باید چه اقداماتی را انجام دهید؟‌

تدین: همه متولیان آموزش باید یک سامانه برای خودشان داشته باشند که نیازسنجی‌ها را انجام بدهند و همچنین تمام مسائل مرتبط با بحث آموزش سایبری و امنیت سایبری را در حوزه قلمرو خودشان جمع‌آوری کنند و بعد با نهاد بالادستی و کارگروه ملی به اشتراک بگذارند تا نهاد حاکمیتی بالا تصمیم‌گیری درستی داشته باشد.

این ارتباط هم اکنون وجود ندارد و برای ما مشکل ایجاد کرده است. ما باید بدانیم وزارت علوم چند متخصص سایبری و امنیت سایبری تربیت می‌کند. از طرفی باید بدانیم در وزارت کار چقدر نیرو به‌کارگیری شده، چقدر در داخل کشور مانده و چقدر خارج شده است و نیازهای کنونی کشور چه هستند. نظام صنفی رایانه ای ما باید ارتباط تنگاتنگی با متولیان آموزش داشته باشد تا همه بتوانند برای رفع نیاز مردم و بخش خصوصی در تأمین نیرو همکاری کنند.

همه متولیان آموزش باید یک سامانه داشته باشند و مسائل مرتبط با آموزش امنیت سایبری را جمع‌آوری کنند تا نهادهای حاکمیتی تصمیم‌گیری درستی داشته باشد

موضوع دیگری که در این سند مدنظر بوده است، بحث آموزش‌های مهارتی، گواهی‌نامه‌ها و کیفیت است. کیفیت‌ها پایین است و اشکالی که وجود  دارد این است که مدرس وقتی وارد بخش دولتی برای آموزش سایبری و امنیت سایبری می‌شود با بی علاقگی مخاطب مواجه می‌شود و این جدیت و کیفیت آموزش را از بین می‌برد.

از طرفی دیگر کارکنان با یک آزمون جدی مواجه نمی‌شوند که تست و ارزیابی شوند. به نظر می‌رسد سازمان سنجش می‌تواند انتخاب مناسبی برای این امر باشد. امیدوارم این سند بتواند به مقصود خود برسد و برای کشور سبب خیر شود.

سند ظرفیت‌سازی و تربیت نیروی انسانی با کارگروه مستمری پیش برود

آنا: فکر می‌کنید این سند اجرایی می‌شود؟

تدین: از نظر ضمانت اجرایی ما یک کارگروه تعیین کردیم که در مرکز ملی فضای مجازی مستقر است. ذی‌نفعان به صورت دائمی و متوالی کرسی دارند و داشبوردی هم باید در مرکز ملی فضای مجازی برای آموزش آن‌ها باشد.

مرکز ملی  فضای مجازی باید مطلع باشد که چه نیرویی تربیت شده و در داخل کشور وجود دارد. توزیع به چه صورت است و نیازهای کشور چه هستند و در چه زمینه‌هایی سرمایه گذاری شده است.

اگر موضوع آموزش و ظرفیت سازی را به صورت مداوم رصد نکنیم، اهداف این سند به مقصود نمی‌‍رسند. حتما باید موضوع دنباله دار باشد و توسط کارگروه مستمری پیش برود. این ۲۰ ذی‌نفع باید سامانه‌ای داشته باشند و در مرکز ملی اطلاعات به اشتراک بگذارند و اشراف روی بحث آموزش امنیت سایبری و سایبر باشد.