مصطفی خدابخشی‌: هفته گذشته حمله سایبری به 4300 جایگاه سوخت باعث قطعی خدمات‌رسانی به مردم در حوزه انتقال انرژی شد. هر چند این حمله خسارت‌های سخت‌افزاری با خود به همراه نداشت اما ارائه خدمت به شهروندان را با اختلال رو‌به‌رو کرد. این حادثه هر چند در مدت زمان کوتاهی مدیریت شد و تعداد زیادی از جایگاه‌های سوخت به مدار بازگشت اما ضرورت توجه به امنیت سایبری بویژه در بخش‌های خدماتی بیش از پیش احساس شد تا یک بار دیگر شوک ناشی از یک حمله سایبری زمینه‌ساز توقف در جریان زندگی مردم نشود. در همین زمینه، علی‌اصغر قائمی، عضو شورای اسلامی شهر تهران در آخرین جلسه این شورا حمله سایبری به شبکه سوخت‌رسانی را هشدار به همه دستگاه‌های کشور دانست و بر لزوم اقدامات پیشگیرانه برای مقابله با نفوذ و خرابکاری در شبکه اطلاعاتی شهرداری تاکید کرد. به منظور بررسی بیشتر این موضوع گفت‌وگویی با عضو شورای شهر تهران داشتیم. 

***

* جناب قائمی! شهرداری به عنوان یک نهاد خدماتی به حساب می‌آید و روزانه تعداد زیادی از شهروندان از این نهاد خدمات دریافت می‌کنند، لذا حفاظت از داده‌های اطلاعاتی این نهاد بسیار مهم است. هم‌اکنون وضعیت امنیت سایبری در شهرداری تهران را چگونه ارزیابی می‌کنید؟

در ابتدا باید گفت که شهرداری باید مجموعه فعالیت‌های خود را با توجه به سازوکارها، استانداردها و ابلاغیه‌هایی که سازمان پدافند غیرعامل ارائه می‌دهد به انجام برساند. هم‌اکنون این ارتباط ساختاری و سازمانی بین ۲ سازمان برقرار است، لذا امنیت سایبری به عنوان یک مقوله مهم در مدیریت شهری شناخته می‌شود. ما در مقوله امنیت سایبری باید به این نکته توجه داشته باشیم که حفاظت از داده‌ها یک وظیفه ذاتی است. هم‌اکنون در شهرداری تهران حجم بالایی از اطلاعات ارزشمند که در واقع به عنوان دارایی نامشهود و معنوی به حساب می‌آید طی 20 سال گذشته در مخازن اطلاعات و دیتا سنترها تجمیع شده است. ما باید به این نکته توجه داشته باشیم که شهرداری به عنوان یک نهاد بزرگ‌مقیاس یا به عبارت بهتر اینترپرایز، دارای گستردگی و توسعه جغرافیایی زیاد است و این نهاد تقریبا در همه نقاط شهر تهران حضور دارد به طوری که نواحی و سازمان‌های مختلف آن به منظور خدمات‌دهی به مردم لاجرم باید در نقطه‌نقطه شهر فعالیت داشته باشند. این حضور فیزیکی نیازمند دسترسی به سیستم اطلاعاتی است تا یک کارمند شهرداری در هر نقطه‌ای بتواند بر حسب نیاز وارد شبکه شود. این مهم نیازمند یک نت‌ورک بسیار گسترده است، لذا شهرداری دارای یک شبکه گسترده است و در صورتی که برای امنیت آن تمهیدات لازم اندیشیده نشود می‌تواند به عنوان نقطه آسیب‌پذیر تلقی شود. 

 

* پس شما تقویت سیستم امنیت سایبری در شهرداری را ضروری می‌دانید. 

بله! اما طبیعتا حوزه امنیت و مجموعه فاوای شهرداری نیاز به حمایت از سمت شورا و شهردار و لایه‌های مدیریتی بعد از شهردار دارد تا این مجموعه بتواند به‌درستی بر موضوع سوار شود. ما در این زمینه نیاز به حرکت جدی داریم تا خدای نکرده آسیبی را که ما در حوزه انرژی در مقیاس ملی شاهدش بودیم در سیستم‌های شهرداری مشاهده نکنیم. در پمپ‌بنزین‌ها دیدیم که تعطیلی چه کرد و اگر این موضوع در مقیاس شهری اتفاق بیفتد یقینا حوزه شهرسازی، سیستم مالی، حمل‌و‌نقل و ترافیک، چراغ‌های راهنمایی و رانندگی و ده‌ها مورد دیگر می‌تواند آسیب‌ ببیند. یکی از علت‌های اصلی تذکر بنده در این زمینه در صحن شورای شهر تهران همین موضوع بود تا دوستان نسبت به این موضوع حساس شوند. امیدوارم این تذکر موثر واقع شود و دوستان اقدامات لازم را انجام دهند. 

 

* شما به عنوان یک کارشناس آی‌تی نقاط مغفول مانده در حوزه امنیت سایبری در شهرداری را چه موضوعاتی می‌دانید که مدیریت شهری جدید باید روی آنها متمرکز شود و نقاط ضعف را از بین ببرد. 

در حوزه امنیت سایبری استانداردهای فنی متعددی وجود دارد که یکی از این استاندارها به نام 27001 است، به تعبیری این استاندارد با عنوان استقرار نظام مدیریت امنیت اطلاعات شناخته می‌شود که از آن در دنیای فنی تحت عنوان isms نام می‌برند. در این استاندارد چنین تعریف شده که در زمان بروز بحران که نمودی از آن در بستر حوزه ‌آی‌تی نشان داده می‌شود، سرویس نباید قطع شود، لذا باید سندی در شهرداری مشخص باشد که طبق آن اگر سروری در حال سرویس‌دهی به مردم به هر دلیلی از جمله قطعی برق، آسیب دیدن قطعات و مورد حمله قرار گرفتن قطع شود از نقطه‌ای دیگر سرویس‌دهی به مردم ادامه پیدا کند و این موضوع باعث اخلال در خدمات‌دهی به مردم نشود و شهرداری در بازیابی اطلاعات در مواقع بحران از آمادگی لازم برخوردار باشد. در این حوزه در دوره مدیریت شهری قبل اقداماتی صورت گرفت اما ما در این بخش نیازمند آن هستیم که اقدامات‌مان به بلوغ برسد و مسیر ادامه یابد. در این حوزه نباید متوقف شویم. 

 

* آقای قائمی! هر بار که صحبت از امنیت اطلاعات می‌شود، موضوع محدود کردن دسترسی‌ها در دستور کار قرار می‌گیرد. آیا در امنیت سایبری شهرداری این موضوع می‌تواند کارگشا باشد؟

به هیچ عنوان. موضوع امنیت اطلاعات صرف توجه به محدود کردن دسترسی‌ها به اطلاعات اطلاق نمی‌شود بلکه امنیت جنبه‌های گسترده‌ای دارد. امنیت شبکه یک بحث است، امنیت حوزه زیرساخت‌ها بحثی دیگر، امنیت دسترسی به تجهیزات یک بحث است، امنیت داده و اطلاعات یک بحث و هنر تولید نرم‌افزارهایی هوشمند نسبت به مسائل امنیتی نیز یک بحثی دیگر. موضوع امنیت سایبری یک بسته و پکیج کامل است که مجموعه فاوا باید نسبت به آن حساس باشد و با استفاده از آن چارچوب امنیت اطلاعات را تضمین کند. 

 

* در دوره قبل به کارکرد مدیریت شهری پنجم اشاره کردید. ما در بخش‌های مختلف متاسفانه در آن دوره کم‌کاری‌هایی را شاهد بودیم، در حوزه فاوا نیز این کم‌کاری‌ها دیده می‌شود؟ 

کم و بیش کم‌کاری‌هایی در حوزه فناوری اطلاعات مشاهده می‌شود. در برنامه 5 ساله سوم توسعه شهر تهران تصمیماتی گرفته شده که باید در زمان مقرر انجام می‌شد اما بعضا ما می‌بینیم اینها محقق نشده است. برای مثال در توسعه زیرساخت‌های مدیریت شهری دستاورد چشمگیری را شاهد نیستیم، همچنین در بخش ساده‌سازی فرآیندهای مختلف که در بخش‌های مختلف شهرداری به تسهیل کسب‌و‌کار در حوزه مدیریت شهری کمک می‌کند، نیز دستاوردی نداشتیم اما آن چیز که مهم است مساله امنیت اطلاعات است. 

* پس با این اوصاف ما در دوره ششم جهشی قابل لمس در حوزه امنیت اطلاعات را در شهرداری مشاهده خواهیم کرد. 

بله حتما! ما در این زمینه جدی هستیم. 

 

* یکی از موضوعاتی که مردم در حوزه سایبر و خدمات مربوط به این حوزه به صورت ملموس ضعف را حس می‌کنند چراغ‌های راهنمایی و رانندگی و دوربین‌های کنترل شهری است. 

بله! این موضوع کاملا ماموریت شهرداری است و نواقص موجود در آن باعث شد تا در جلسه یکشنبه گذشته، معاون حمل‌و‌نقل شهرداری مورد تذکر قرار گیرد. بسیاری از تجهیزات کنترل هوشمند ترافیک در سطح شهر تهران به دلیل ضعف نگهداشت آسیب دیده‌اند. باید توجه داشت که عمر تجهیزات تمام می‌شود و حوادث مختلف می‌تواند بر کارایی آنها تاثیر بگذارد، لذا سیستم باید حواسش به اینها باشد. برای مثال، شمارنده‌های معکوس در چهارراه‌ها اکثرا ناقص کار می‌کنند یا سوخته‌اند؛ یا چراغ‌های راهنمایی و رانندگی و برخی دوربین‌های کنترل سرعت از گردونه خارج شده‌اند. همچنین دوربین‌های نظارت تصویری که کمک شایانی بر روان‌تر شدن ترافیک در پایتخت دارند، توسعه نیافته‌اند. همه این تجهیزات به روان‌تر شدن ترافیک در پایتخت کمک می‌کنند و هر چه این زیرساخت‌ها آسیب ببیند و از دسترس خارج شود عملا منجر به افزایش ترافیک و بیشتر شدن دردسر در حوزه عبور و مرور خواهد شد. متاسفانه در این چند سال این موضوعات را دیدم و باید در این دوره از مدیریت شهری هم جبران مافات کنیم و هم ساختارها را توسعه دهیم تا به نقاط هدف ترسیم‌شده برسیم. 

 

* یکی از ماموریت‌های شهرداری در حوزه سایبری، تحقق عملیات شفاف‌سازی و در دسترس قرار دادن اطلاعات با توجه به ظرافت‌های امنیتی است؛ تحقق این موضوع در حوزه سایبر را چگونه ارزیابی می‌کنید؟

برای شفاف‌سازی در کشور قانون داریم و در این زمینه ما پیرو قوانین بین‌المللی حرکت می‌کنیم. مجلس شورای اسلامی قانون انتشار و دسترسی آزاد به اطلاعات را تصویب کرده و همه دستگاه‌ها موظف هستند این قانون را اجرایی کنند، لذا طبیعتا انتظار بر این است که به صورت زنده دسترسی به اطلاعات وجود داشته باشد. صرفا نباید به این حوزه اکتفا شود که لیست حقوق مدیران منتشر شود یا برخی از قراردادها به صورت گزینشی انتخاب شود و در دسترس مردم قرار گیرد. به نظر من این مدل عمل کردن محقق کردن شفافیت نیست. دسترسی به اطلاعات که براساس قانون، چارچوب‌هایش مشخص شده باید محقق شود و مردم به اطلاعات دسترسی داشته باشند، هر چند که در این زمینه ضروری است تا اطلاعات طبقه‌بندی‌شده و درون سازمانی محافظت شود. باید به این نکته توجه داشت که مهم‌تر از شفافیت، شفافیت فرآیند است، یعنی اگر شما می‌خواهید در بخشی از شهرداری درخواستی داشته باشید این موضوع پیچیده نباشد که چه باید کنید. این معضلی است که متاسفانه در بسیاری از دستگاه‌های بروکراتیک کشور دیده می‌شود و در شهرداری نیز مشاهده می‌شود. طبیعتا ساده‌سازی فرآیندها و سبک کردن آنها و در معرض دید مردم قرار دادن، بخشی از شفافیت است. برای مثال شما می‌خواهید پروانه بگیرید، یکی بیاید بگوید گرفتن پروانه چند گام دارد و باید چگونه انجام شود تا فرد در آن دچار بلاتکلیفی نشود. این موضوعی است که در مقوله شفافیت می‌گنجد و باید روی آن حساسیت ایجاد کرد. ما برای شفاف‌سازی در شهرداری باید مجموعه‌ای از موضوعات را در نظر بگیریم.