میزان تحقق بازدارندگی سایبری(بر اساس مواد ۱۰۷ و ۱۰۹ قانون برنامه ششم توسعه)

به گزارش سرویس پژوهش خبرگزاری صدا وسیما: عموماً زمانی که به سراغ اصطلاحات فضای مجازی (virtual space)، فضای سایبری (cyber space)، شبکه یا اینترنت می رویم با آشفتگی ترجمه ها در ادبیات فارسی مواجه می شویم.

آنچه امروز در فضای نخبگانی کشور ما به عنوان فضای مجازی شناخته می شود همان چیزی است که در غرب به عنوان فضای سایبری معرفی شده است و آنچه در فضای عرفی کشور ما به عنوان فضای مجازی شناخته می شود مفهوم محدودی از شبکه های اجتماعی عمدتاً هم برداشتی صرفاً با کارکرد‌های رسانه ای از امثال تلگرام، توئیتر و اینستاگرام است.

برخی اندیشمندان غربی فضای سایبری در غرب را معادل همان چیزی می دانند که ما در ایران فضای مجازی می دانیم و آن عبارت است از نظام-های اجتماعی برآمده از تعامل کاربران بر بستر شبکه و نهایتاً آنچه که در غرب به معنای فضای مجازی شناخته می شود اعم از واقعیت مجازی و فضای سایبری است. بدین ترتیب می توان ا ز دو دسته تهدیدات سایبری سخن گفت حملات و تهدیداتی که با نفوذ سخت افزاری در شبکه ها و سامانه های کشور با هدف اختلال و از کا ر انداختن سامانه ها انجام می شود و دوم تولید انبوه محتوا با هدف ارسال و باز نشر انبوه در فضای مجازی است. به نوعی می توان اولی را حمله سخت افزاری سایبری و دومی را حمله نرم افزاری سایبری تلقی کرد و بدین ترتیب بازدارندگی هم ناظر بر هر دو بعد و وجه حملات سایبری است؛ که البته قانونگذار به هر دو وجه تهدیدات و حملات سایبری توجه نشان داده است.

عملی شدن برخی حملات سایبری به مراکز حساس کشور مانند حمله به سامانه سوخت و پمپ بنزین ها به دنبال حملات سایبری به مراکز هسته ای و هک شدن سایت های اینترنتیِ مراکزی مانند هواپیمایی ماهان و دانشگاه امام صادق گویای آن است که در ماه های اخیر کشور ما با اشکال تازه و جدیدی از حملات سایبری مواجه شده و بیم آن می رود که این حملات به برخی مراکز حساس دیگر کشور نیز تداوم پیدا کند. اینجاست که اهمیت بازدارندگی سایبری رخ نشان می دهد. جلوگیری از آسیب در فضای سایبر، سازوکار‌های پیچیده‌ای مانند تهدید به تلافی، انکار، گرفتار کردن و هنجار‌ها را می‌طلبد. جرویس از سه مرحله نظریه پردازی بازدارندگی در دوران هسته‌ای صحبت کرده بود. نظریه‌پردازی در خصوص بازدارندگی در فضای سایبر، در اولین موج خود قرار دارد. فرمول‌بندی یک استراتژی مؤثر در عصر سایبر، نیازمند فهمی گسترده‌تر و چندبُعدی از مفهوم بازدارندگی است و نیاز نیست که پاسخ یک حمله سایبری را تنها با ابزار سایبری بدهیم.

جلوگیری از آسیب در فضای سایبری شامل فرآیند‌های پیچیده‌ای از قبیل تهدید، مجازات، عدم پذیرش، گرفتاری و هنجار‌ها است. فرمول‌بندی راهبرد کارآمدی در عرصه سایبر، نیاز به شناخت عمیق‌تر ابعاد مختلف بازدارندگی و جلوگیری در دامنه سایبر دارد. تدوین نظریه پایه بازدارندگی در برابر تهدیدات سایبری دشمن در فضای سایبری کشور مستلزم شناخت دقیق حوزه آفندی و پدافندی و تدوین راهبرد‌هایی بر اساس نظریه پایه بازدارندگی در فضای سایبری است که متأسفانه مورد غفلت واقع شده است. فقدان نظریه مدون برای ایجاد بازدارندگی در فضای سایبری کشور، در رویارویی با تهدیدات سایبری و به تبع آن شناخت الزامات بازدارندگی در فضای مجازی کشور بر اساس اسناد بالادستی و رویکرد‌های موجود مسئله ای با اهمیت است؛ تدوین چنین نظریه ای باید بتواند به شکلی که در برابر تهدیدات دشمن مقاوم، مستحکم و باقابلیت تداوم کارکرد‌ها به تهدیدات دشمن پاسخ پشیمان کننده بدهد.

ایجاد و استفاده از همه ظرفیت‌های سایبری (انسانی و فنی) به‌منظور آمادگی برای تطابق و تاب‌آوری- (انعطاف‌پذیری) در شرایط متغیر و پویای سایبری یک ضرورت غیرقابل‌انکار است که ضمن پایداری و تسلط حاکمیتی موجب حفظ و افزایش منافع و اهداف ملی خواهد شد. این موضوع بایستی به‌عنوان یک ارزش اساسی و ملی در نظریه بازدارندگی مورد توجه باشد. در شرایط عدم قطعیت و همچنین پویایی فضای سایبری و تهدیدات آن، به منظور جلوگیری از شکست بازدارندگی با توجه به چالش شناخت منبع تهدید، به نظر می‌رسد که نظریه تکاملی برای به‌دست آوردن راهبرد‌های مطلوب، ارجح و پایدار، به روز رسانی و ترمیم مداوم آن است.

قوانین بالادستی سند
-ماده ۱۰۷ و ۱۰۹ قانون برنامه ششم توسعه
از جمله بند‌های خوب و مدبرانه برنامه ششم توسعه توجه به بازدارندگی سایبری است امری که به نظر می رسد اگر به قدر کافی و جدی مورد اهتمام قرار گرفته بود شاید دامنه آثار حملات سایبری به برخی مراکز حساس کشور مهار شدنی بود. مواد ۱۰۷ و ۱۰۹ قانون برنامه ششم توسعه که ماه های پایانی این برنامه را شاهد هستیم مقرر داشته است :
ماده۱۰۷ـ به منظور افزایش ظرفیت های قدرت نرم و دفاع رایانیکی (سایبری) و تأمین پدافند و امنیت رایاتکی برای زیرساخت های کشور، طرح جامع دربرگیرنده توسعه قدرت نرم دفاعی و رایانیکی و مقابله با جنگ نرم با مشارکت ستاد کل نیرو‌های مسلح و وزارت اطلاعات جمهوری اسلامی ایران در سال اول اجرای قانون برنامه تهیه می شود و پس از تصویب شورای عالی فضای مجازی از سال دوم اجرای این قانون به اجراء در می آید.
ماده ۱۰۹ـ دولت مکلف است مطابق مصوبات شورای عالی فضای مجازی و هماهنگی سازمان پدافند غیرعامل اقدامات ذیل را به عمل آورد:
الف ـ ایجاد سامانه پدافند رایانیکی (سایبری) در سطح ملی و ارتقای قدرت رصد، پایش، تشخیص و هشداردهی، مصون سازی و افزایش توان مقابله با پیامد‌های ناشی از وقوع احتمالی تهدید با بهره گیری از ظرفیت دستگاه های استانی و نیرو‌های مسلح با هدف مصون سازی و یا بی اثرسازی اینگونه تهدیدات بر سرمایه های ملی

ب ـ افزایش سطح آموزش رایانیکی (سایبری) مدیران و کارکنان دستگاه های اجرائی
به منظور جلوگیری از نفوذ و مختل نمودن سامانه (سیستم)‌های نرم افزاری دستگاه ذیربط و توسعه آمادگی ها
تداوم حملات سایبری در طول سال های برنامه ششم نشان دهنده توجه ناکافی به تکالیف این برنامه در بٌعد بازدارندگی سایبری است.

تاکیدات رهبر معظم انقلاب در خصوص حملات در فضای مجازی و سایبری
- اهمیت فضای سایبر در نظر رهبر انقلاب به حدی است که می فرمایند: «اگر من امروز رهبر انقلاب نبودم حتماً رئیس فضای مجازی کشور می‌شدم» که این بیانات اهمیت فضای مجازی را به عنوان بخش مهمی از فضای سایبر را نشان می‌دهد. مقام معظم رهبری در ابتدای سال ۹۹ و در سخنرانی نوروزی نیز خطاب به ملت ایران فرمودند: «امروز قوت در فضای مجازی حیاتی است؛ امروز فضای مجازی حاکم بر زندگی انسان‌ها است در همه دنیا؛ و یک عده‌ای همه کارهایشان را از طریق فضای مجازی پیش می‌برند؛ قوت در این زمینه حیاتی است. یا مثلاً قوت در زمینه بهداشت و درمان حیاتی است؛ که بحمدالله در این زمینه محققان و پزشکانمان و کسانی که در این راه خبره هستند کار زیادی انجام داده‌اند.»

چرایی و اهمیت موضوع
فضای سایبری نقش مهمی در توانایی یک کشور در حفظ امنیت ملی و قابلیت نظامی‌اش ایفا می کند. اگرچه اعمال تهدید علیه رقبای بالقوه، آن‌ها را از جاسوسی یا حمله سایبری منصرف نخواهد کرد، اما کنش ها و بیانیه ها در مورد فضای سایبری باید از تعهد یک کشور به انجام اقدامات سخت برای تامین منافع سایبری حکایت کند. بیانیه ملی باید حاکی از موضع دفاع سایبری قدرتمند باشد و مسیر‌ها و کنشگران اصلی تهدیدآمیز را شناسایی کند. این امر باعث حفظ اعتبار سیاست کلی بازدارندگی و موضع کشور خواهد شد. در زیر به برخی از پیشنهاد‌ها در این زمینه اشاره می شود:

باید از اعلام تهدید‌های بازدارندگی سایبری اجتناب شود؛ این تهدید‌ها بیهوده است، با خطر خسارت‌های ناخواسته همراه است و به خاطر پارادوکس اعتبار- ثبات، بی‌ثبات کننده هستند.
باید روی تجهیزاتی سرمایه گذاری شود که دفاع شبکه ای را تقویت می‌کند و ارزش درک شده تجاوز سایبری را کاهش می دهد. تاثیر بازدارندگی، رویکردی قوی، چابک و چند لایه امنیت سایبری به تهدید به مجازات بیشتر است. شکست های پیاپی یا کاهش رسوخ در شبکه، کیفیت بازدارندگی راهبردی بازدارنده را اثبات می‌کند و به متخاصم عملا پیام می دهد که این شبکه هدفی سخت است و جسارت یک دشمن در طرح ریزی استفاده از ابزار دستکاری یا مخرب سایبری برای حمایت از اهداف نظامی یا ملی را از بین می برد.

باید در زیرساخت ها و شبکه های مقاوم سرمایه گذاری شود، زیرا در صورتی که متخاصمان از اقدامات خرابکارانه منصرف نشدند، سیستم ها به سرعت احیا می شوند و خسارت ناچیز خواهد بود. بر همین منوال، راهبرد بازدارنده برای سازمان های بخش خصوصی نیز موثر است. سرمایه گذاری در قابلیت های امنیت سایبری باید بر اساس ارزیابی میزان حساسیت داده های نگهداری شده یا انتقال آن و نمایه ریسک سازمان، درجه بندی شود.

ارزش فراگیری و پرداخت سند
به دلیل گستردگی حملات سایبری و آثار آن، دربرگیری آن دو حالت است: حملات به مراکز محدود که ارز ش امنیتی دارد و حملاتی که گستردگی بالا دارد و هدف اختلال در زندگی روزمره مردم است. حمله سایبری به تاسیسات نطنز از نوع اول و حمله به سامانه سوخت و پمپ بنزین از نوع دوم است که هر دو ارزش دربرگیری و فراگیری دارد.

سابقه موضوع:
شاید بتوان نخستین حمله سایبری به مراکز مهم کشور را نفوذ ویروس استاکس نت به تاسیسات نطنز دانست. تاسیسات هسته‌ای نطنز از امنیت بالایی برخوردار بود و به اینترنت متصل نبود. ویروس "استاکس‌نت" از طریق یک فلش‌درایو یو‌اس‌بی به سامانه نرم‌افزاری تاسیسات اتمی نطنز منتقل شده است استاکس‌نت Stuxnet بدافزار ساخت دولت‌های آمریکا و اسرائیل در سال ۱۳۸۹ تاسیسات هسته‌ای ایران از جمله نیروگاه بوشهر را هدف قرار داد.

در سال ۹۱ غلامرضا جلالی، رئیس سازمان پدافند غیر عامل ایران گفته بود که از ابتدای دهه نود شمسی، حوزه انرژی ایران هدف بیشترین حملات بوده است. روزنامه واشنگتن پست بعدتر در گزارشی اعلام کرد ویروس flame به معنای شعله با همکاری آمریکا و اسرائیل ایجاد شده است. به عقیده کارشناسان ساختار و نحوه عملکرد "فلیم" به حدی پیشرفته بود که ساختش نمی‌تواند کار هکر‌های مستقل باشد و احتمالا با حمایت دولتی ساخته شده است. حملات پراکنده با هک کردن سامانه ها ی مراکز مهمی، چون مرکز آمار یا مراکز پتروشیمی و یا هک شدن دوربین زندان اوین از جمله حملات سایبری به مراکز مهم کشور تا قبل ا ز حمله به سامانه پمپ بنزین ها محسوب می شود. د ر هر حال چنین حملاتی اهمیت و ضرورت اهتمام و توجه خاص برای اجرایی شدن بند‌های ۱۰۷ و ۱۰۸ قانون برنامه ششم را گوشزد می کند؛ موضوعی که به نظر می رسد به قد ر کافی جدی گرفته نشد.

مسئله بر زمین مانده
به نظر می رسد با وجود تصویب سند جامع علم و فناوری در حوزه دفاعی و امنیتی جمهوری اسلامی ایران بخشی از تکلیف ماده ۱۰۷ قانون برنامه ششم آن هم در روز‌های پایانی سال ۱۳۹۹ عملی شد. اما آنچه هدف این قانون در بعد دفاعی آنگونه که باید عملی نشده است. سند دومی که از سوی شورا ی عالی فضای مجازی تصویب شد سند راهبردی جمهوری اسلامی ایران در فضای مجازی است که آنهم بر بعد نرم افزاری و فضای مجازی تاکید داشته و ابعاد نظامی و امنیتی و بازدارندگی آن کمتر مورد توجه بوده است. بر اساس ماده ۱۰۷ قانون برنامه ششم د ر جهت افزایش ظرفیت های قدرت نرم و دفاع رایانیکی (سایبری) و تأمین پدافند و امنیت رایانیکی برای زیرساخت های کشور، طرح جامع دربرگیرنده توسعه قدرت نرم دفاعی و رایانیکی و مقابله با جنگ نرم با مشارکت ستاد کل نیرو‌های مسلح و وزارت اطلاعات جمهوری اسلامی ایران در سال اول اجرای قانون برنامه تهیه می شود و پس از تصویب شورای عالی فضای مجازی از سال دوم اجرای این قانون به اجرا در می آید.

با رجوع به سایت سازمان پدافند غیر عامل سندی دال بر تحقق این تکلیف برنامه ششم توسعه مشاهده نشد.
همچنین بر اساس ماده ۱۰۹- قانون برنامه ششم توسعه، دولت مکلف است مطابق مصوبات شورای عالی فضای مجازی و هماهنگی سازمان پدافند غیرعامل اقدامات ذیل را به عمل آورد:
الف ـ ایجاد سامانه پدافند رایانیکی (سایبری)
ب ـ افزایش سطح آموزش رایانیکی (سایبری) مدیران و کارکنان دستگاه های اجرائی
به منظور جلوگیری از نفوذ و مختل نمودن سامانه (سیستم)‌های نرم افزاری دستگاه ذیربط و توسعه آمادگی ها میزان تحقق این تکالیف نیز در هاله ای از ابهام است.

پژوهشگر: دکتر حسن مجیدی

­