خلاصه مدیریتی
انرژی الکتریکی پیشنیاز مهمی در پیشرفت حوزههای اقتصادی، اجتماعی و رفاهی در کلیه جوامع و کشورها محسوب میشود. بهویژه در کشورهای درحالتوسعه یا کمتر توسعهیافته، در دسترس بودن برق با قابلیت اطمینان بالا همراه با قیمتهای مناسب، نقش مهمی در توسعه اقتصادی و اجتماعی دارد. در صورت اختلال در کارکرد شبکه برق به دلیل وابستگی دیگر زیرساختهای حیاتی به آن (ازجمله: شبکه آبرسانی، شبکه گاز، بانکداری، ترافیک و حملونقل، زیرساخت ارتباطات)، پیامدهای سیاسی، اجتماعی و اقتصادی را در پی خواهد داشت.
از مهمترین مسائل و چالشهای مربوط به «مقاومسازی شبکه برق در مقابل حملات سایبری»، چالش حکمرانی و نامتوازن بودن چینش نهادی است. تعدد و موازی کاریهای سازمانهای مقررات گذار این حوزه و برخی دیگر از بازیگران در این بخش، شرکتهای برق را دچار سردرگمی کرده است. همچنین در ساختار سازمانیِ متولیان این حوزه، مسئولیت اختصاصی برای این موضوع بهصورت دقیق مشخص نشده است. در خصوص شبکه IT اخیرا با مصوبه سازمان استخدامی و اداری مدیران IT به مدیران IT و امنیت سایبری تغییر یافتهاند (بدون تغییر چارت زیرمجموعه). در خصوص شبکه صنعتی (OT) در ساختار سازمانی، تعیین مسئولیت و وظایف همچنان به صورت دقیق تعریف نشده است. لذا بررسی ساختار حمکرانی سایر کشورهای پیشرو در این زمینه میتواند راهگشا باشد. از این رو ابتدا تجربه دو کشور ایالات متحده امریکا و کشور هند بررسی شده و سپس در تطبیق با ساختار نظام حمکرانی امنیت سایبری صنعتی در داخل کشور پیشنهادهایی برای تکمیل ساختار سازمانی مسئولیت امنیت سایبری شبکهی اداری (IT) و صنعتی (OT) در صنعت برق ارائه شده است.
توجه جدی کشور آمریکا به امنیت زیرساختهای حیاتی[۱] آن کشور از سال ۲۰۰۱ و در پی حمله یازده سپتامبر جلب شد. قانون Patriot Act در سال ۲۰۰۱ در واکنش به حمله یازده سپتامبر و برای محافظت زیرساختهای این کشور در مقابل حملات تروریستی وضع گردید و به دنبال آن وزارت امنیت داخلی (DHS[۲]) در سال ۲۰۰۲ با هدف حفاظت از زیرساختهای حیاتی داخلی[۳] تاسیس شد. در دههی ابتدایی فعالیت این وزارتخانه و همچنین پیدایش حملات سایبری به زیر ساختهای حیاتی در امریکا مسئولیت حفاظت از زیرساختهای اساسی بر عهده وزارت امنیت داخلی گذاشته شد. پس از تجربه چندساله و عدم تحقق اهداف و برنامهریزیها، در حوزههایی از جمله حوزه انرژی وزارت خانه مربوطه به عنوان دستیار وزارت امنیت داخلی به امنسازی حوزههای زیرمجموعه خود پرداختند. وزارت انرژی برای انجام وظیفه محوله خود دفتری را تحت عنوان “دفتر امنیت سایبری، امنیت انرژی و واکنش سریع[۴]” ایجاد کرد. علاوه بر تغییرات وزارت انرژی؛ دفتر امنیت سایبری در وزارت امنیت داخلی در سال ۲۰۱۸ به ” سازمان امنیت سایبری و امنیت زیرساخت[۵] ” ارتقا یافت که در ذیل آن اداره امنیت زیرساخت از اداره امنیت سایبری تفکیک شده است. در حال حاضر، سطوح نظام حکمرانی امنیت سایبری زیرساختهای اساسی در کشور امریکا را به بخشهای زیر می توان تقسیم نمود:
- سیاست گذاری و برنامه ریزی
- مقررات گذاری و تنظیمگری و استاندارد
- نظام اشتراک گذاری تهدیدهای سایبری
- شرکت های عملیاتی
در کشور هند برخلاف کشور امریکا مساله امنیت سایبری زیرساختهای حیاتی سبقهی طولانی ندارد. مرتبطترین فعالیتها در این خصوص به قانون فناوری اطلاعات[۶] مصوب سال ۲۰۰۰ بر میگردد و طبق آن از سال ۲۰۱۱ سازمانها موظف به اجرای استاندارد ایزو ۲۷۰۰۱ در شبکهی اداری سازمان خود میشوند. در سال ۲۰۱۳ سیاست ملی امنیت سایبری[۷] توسط وزارت الکترونیک و فناوری ارتباطات منتشر میشود. طبق بخش ۷۰ قانون فناوری اطلاعات مرکز ملی حفاظت از زیرساختهای حیاتی[۸] در ذیل سازمان ملی تحقیقات فنی (ذیل نخست وزیر هند) و تیم امداد اضطراری هند[۹] در وزارت الکترونیک و فناوری اطلاعات تشکیل میشوند. در سال ۲۰۲۱ مقررات امنیت سایبری در شبکه برق توسط سازمان مرکزی برق هند[۱۰] به عنوان نهاد مقرراتگذار فنی بخش برق ابلاغ میشود که به موجب آن سازمانها موظف به ایجاد اداره امنیت سایبری میشوند و این اداره نقطه تماس با سازمانهای مقرراتگذار حوزه امنیت سایبری اداری و صنعتی میشود.
با توجه به بررسی تجربه نظام حکمرانی امنیت سایبری زیرساخت صنعتی برق در کشور امریکا و هند و همچنین وضعیت کنونی کشور در این خصوص جهت رفع نقایص ساختار موجود در کشور پیشنهادهای زیر قابل طرح است:
- در خصوص اصلاح چارت سازمانی پیشنهاد میشود که مسئولیتها در حوزه IT و حوزهی OT از یکدیگر مجزا گردند. حوزه شبکه اداری به دفاتر فناوری اطلاعات و حوزه صنعتی به دفاتر فنی مرتبط به هر بخش اختصاص یابد.
- پیشنهاد میشود نظام اشتراکگذاری تهدیدهای امنیت سایبری صنعتی با الگو از کشور امریکا ایجاد شود، این اتفاق سطح آمادگی زیرساختها در مقابل آسیب پذیریهای سایبری را بالا میبرد.
- آموزشهای مرتبط با امنیت سایبری صنعتی با کمک دانشگاهها و موسسات آموزشی و همچنین مراکز معتبر بین المللی برای برگزاری دورههای تخصصی این حوزه و تربیت نیروی متخصص یکی دیگر از نیازمندیهای کشور است.
- زیرساختهای آزمایشگاهی برای ارزیابی آسیب پذیریهای نرم افزاری و سخت افزاری تجهیزات صنعتی در کشور بایستی ایجاد گردد.
- زیست بوم توسعه فناوریهای امنیت سایبری صنعتی با ایجاد محیطهای آزمون (Test Beds) برای کمک به تنظیمگران این حوزه در زمینه مقرراتگذاری و استانداردگذاری و همچنین ارزیابی عملکرد فناوریهای مرتبط با این بخش که در محیط صنعتی واقعی بکاربرده خواهند شد، تکمیل گردد.
- پیشنهاد میشود موضوع توسعه فناوریهای امنیت سایبری صنعتی با توجه به اهمیت زیرساختهای حیاتی صنعتی در اولویت توسعه فناوریهای کشور قرار گیرد.
[۱] There are 16 critical infrastructure sectors whose assets, systems, and networks, whether physical or virtual, are considered so vital to the United States that their incapacitation or destruction would have a debilitating effect on security, national economic security, national public health or safety, or any combination thereof.
[۲] Department of Homeland Security
[۳] زیرساختهای حیاتی در کشور امریکا طبق فرمان اجرایی رئیس جمهور (Presidential directive PDD-63) در سال ۱۹۹۸ تعیین شده اند. در سال ۲۰۰۳ پس از تشکیل وزارت امنیت داخلی لیست زیرساختهای حیاتی تکمیل گردید.
[۴] Office of Cybersecurity and Energy security and emergency response
[۵] Cybersecurity and Infrastructure Security Agency
[۶] Information Technology Act
[۷] National Cybersecurity policy
[۸] National Critical Information Infrastructure Protection centre (NCIIPC)
[۹] Computer Emergency response Teams (CERT-In)
[۱۰] Central Electricity Authority