در تمامی کشور های دارای قدرت در حوزه علوم امنیت سایبر و مشخصا امنیت استراتژیک، تنظیم گیری و تعریف قوانین حاکمیتی ساری و جاری است و به نوعی مقابله استراتژیک در این حوزه با دستگاه های نظارتی و بعضا جاسوسی انجام شده و همه روزه این موضوع ادامه دارد. در این خصوص کشور ها استراتژی های مختلفی را تعریف کرده اند و نسبت به فضای فرهنگی و موقعیت استراتژیک کشور خود قواعد و چهارچوب های حاکمیتی خود را تنظیم می نمایند.

برای اینکه ما بتوانیم به یک نگاه فنی و علمی دقیقی برسیم اول میبایست نقش بازیگران بعضا پنهان فضای سایبر را شناخته و اهداف آنها را شناسایی کنیم. بزرگترین رکن تعریف قوانین حاکمیتی بر فضای سایبر این است که شما دشمن و تهدیدات آن را را بشناسید، (منظور از دشمن دستگاه جاسوسی اطلاعاتی میتواند باشد که در سطح ملی مامور ضربه زدن به یک ملت بواسطه زیرساخت های فضای سایبر است) این شناخت بعضا بدلیل پیچیده بودن ماهیت فضای سایبر بسیار سخت و نیاز به تخصص فنی دقیق دارد.

بازیگران سطوح حکمرانی سایبری

در حوزه امنیت فضای سایبر، سلاح های متعدد و پیچیده ای وجود دارد که در لایه های مختلف حکمرانی فضای سایبر میتواند مورد بهره‌برداری قرار گیرد، یک نمونه از این سلاح ها که در لایه نرم افزاری است جاسوس افزار پگاسوس بوده که بدست یک شرکت خصوصی در کشور جعلی اسرائیل طراحی و بیش از 600 سیاستمدار، سه رئیس جمهور و ده نخست وزیر و بسیاری از فعالین حقوق بشری را مورد تهاجم قرار داده و اطلاعات شخصی و خصوصی این افراد را به سرقت برده است.

اما در خصوص حملات سایبری که در لایه های زیرساختی اتفاق می افتد چه روش های بکار گرفته میشود؟ اساسا حملات به لایه های زیرساختی در مقیاس جهانی بسیار متفاوت است با حملات مبتنی بر آسیب پذیری یا در پشتی. در حملات سایبری مبتنی بر دکترین های اجتماعی، روش ها و فرایند های بخصوصی پیش گرفته میشود، برای مثال اگر کشوری بخواهد از کشور های دیگر جاسوسی اطلاعاتی کند، علاوه بر اینکه از آسیب پذیری ها و درهای پشتی سعی بر جاسوسی می نماید، میتواند در قالب خدمات اجتماعی و مجانی هم فعالیت جاسوسی داشته باشد، که این مورد بسیار مطلوب تر است چرا که بسته به ماهیت پلتفرم اجتماعی، نوع دریافت اطلاعات هم میتواند تعیین گردد و مخاطبان با رضایت خود در آن فعالیت خواهند نمود.

اما وجود سازمان های جاسوسی به چه منظور است و آن ها چه بهره‌برداری میتوانند از زیرساخت های اجتماعی داشته باشند؟ بهره‌برداری های صورت گرفته مواردی هستند مانند شنود و تحلیل اطلاعات در مقیاس بزرگ که تولید ملیت ها است و اجازه میدهد تا شما سلیقه سیاسی و نظرات عام راجع‌ به یک موضوع را بدانید، همچنین روابط شخصی افراد و جرایمی که امکان دارد مرتکب شوند، ماهیت فعالیت اقتصادی آنها و بسیاری اطلاعات دیگر که توسط خود فرد به اشتراک گذاشته میشود، از این روی مدل های بدست آوردن اطلاعات از ملیت های هدف، از مسیر کنترل فضای سایبر بسیار امری مهم و کلیدی است.

این قبیل طرح های تهاجمی بر پایه قدرت فنی و زیرساختی کشور مهاجم است و غالبا در ظاهر خدمات تعاملی اقتصادی یا مجانی عرضه میشود، در این مدل بدلیل آنکه مردم آگاه به استراتژی های جاسوسی اطلاعات در خصوص فضای سایبر نیستند، نگاه سطحی و مثبتی به خدمات دارند و این نکته دقیقا همان پایگاه اجتماعی ای است که مورد سو استفاده دستگاه های مهاجم قرار میگیرد، برای مثال ماهیت وجودی سازمان GCHQ  انگلستان مبتنی بر جاسوسی، شنود و تهاجم سایبری به کشورهای مورد هدف خود است که این تهاجمات بواسطه  کنترل شرکت های فناورانه مطرح در دنیا صورت میگیرد، اساسا پروتکل عملکردی شرکت های مطرح را سازمان های جاسوسی اطلاعاتی مانند GCHQ تدوین می نمایند، شرکت هایی از قبیل توسعه دهندگان زبان های برنامه نویسی، پروتکل های ارتباطی در لایه شبکه و سیستم عامل های متن باز مانند خانواده لینوکس، مجازی ساز های مجانی و بسیاری دیگر از محصولاتی که همه روزه بسیاری از کاربران جهان از آنها استفاده می نمایند.

برای ترسیم جلوه ای مثبت از این قبیل سازمان ها غالبا شعارهایی با ماهیت مبارزه با تروریسم و گروه های افراطی مطرح میشود که این موضوع توسط عواملی مانند ادوارد اسنودن و خبرنگاران رسانه های جهانی رد شده است، برای مثال شرکت NSO واقع در کشور جعلی اسرائیل دلیل ساخت جاسوس افزار پگاسوس را کمک به مبارزه علیه تروریسم مطرح کرده در حالی که بسیاری از رسانه های دنیا این موضوع را مغایر با ماهیت بهره‌برداری صاحبان این جاسوس افزار دانسته اند.

در تصویر بالا مشاهده میشود که رسانه های مطرح دنیا وجود جاسوس افزار پگاسوس را برای اهداف جاسوسی و اطلاعاتی عنوان کرده اند. با در نظر گرفتن این نکات میتوان تا اینجا این تصور را داشت که سازمان ها و بعضا شرکت هایی که در دنیا وجود دارند، در مقیاس گسترده اقدام به تهاجمات سایبری در سطوح مختلف می نمایند، اما مطلب دیگری که میتواند مورد توجه باشد این است که کشورهای حاکم بر جریان اطلاعات در دنیا مانند آمریکا، همواره اندیشکده هایی در خصوص رصد تحرکات استراتژیک کشور های دیگر انجام داده و آنها را زیر نظر دارند، برای مثال میتوان به مجموعه تحقیقاتی Rand اشاره داشت که همواره در خصوص تحرکات کشور های جهان در حوزه فضای سایبر، تحلیل ها و گزارش‌ها فنی تحقیقاتی ارائه میدهد.

گزارش بالا در خصوص گسترش فعالیت های کشور چین در حوزه زیر ساخت خدمات شبکه های اجتماعی است که در نهایت برای درگیری های احتمالی آمریکا با کشور چین، پروتکل ها و گزارشاتی طراحی و توصیه کرده است. این تنها یک نمونه از فعالیت های سازمانی کشور آمریکا در خصوص نحوه سیاست گذاری در حاکمیت بر فضای سایبر است.

فرماندهان فضای سایبر

تمامی سطوح خدماتی لایه کاربردی مبتنی بر زیرساختی است که در اختیار سازمان های خاص در دنیا قرار دارد، سازمان هایی که به‌صورت واحد مدیریت میشود. سند توافق‌ نامه UKUSA که میان پنج کشور بریتانیا، آمریکا، کانادا، استرالیا و نیوزلند در حوزه امنیت فضای سایبر منعقد گردیده است، قرار است خط زیرساختی را تامین و فرماندهی نماید. به‌طور دقیق میتوان اینگونه بیان کرد که هر محتوایی که در شبکه جهانی اینترنت تولید میشود در مبداُ و مقصد خود یکبار وارد زیرساخت سازمان های اصطلاحا پنج چشم شده و مبتنی بر تحلیل داده های بزرگ میتواند تبدیل به اطلاعات ارزشمند برای رده های فرماندهی شود.

اما سازمان های پنج چشم هر یک ماموریت مختص به خود را دارد و مناطق متفاوتی را مورد پوشش قرار میدهند، این پوشش مبتنی بر شرکت های فعال در لایه های بالاتر است که میبایست طبق پروتکل های تدوین شده ی این سازمان ها فعالیت و ماهیت خود را تعریف نمایند، برای مثال شبکه اجتماعی اینستاگرام و تلگرام و توییتر، دقیقا مطابق با پروتکل های سازمان  آژانس امنیت ملی آمریکا (NSA) پیش میروند و در این سر فرماندهی سازمان NSA به گفته خودشان بیشتر پوشش سایبری و جاسوسی را از کشور ایران داشته و دارند.

طبق سند بالا سازمان NSA آمریکا بیشترین حجم جاسوسی اطلاعاتی از کشور ایران را دارد، اما این جاسوسی به چه شکل و با چه هدفی انجام میشود؟ در علوم امنیت استراتژیک فضای سایبر همانطور که قبلا گفته شد سلاح های مختلفی مبتنی بر سطح لایه نرم‌افزار طراحی شده و استفاده میشود، اما این قبیل حملات سایبری که نمونه ی دولتی آن Stuxnet و نمونه شرکتی آن Pegasus است، پتانسیل بدست آوردن حجم بالای اطلاعات مورد نیاز سازمان های پنج چشم از تمامی مردم ایران را ندارد.

دکترینی که اینجا توانست این مشکل را حل کند آن بود که خدمات شبکه های اجتماعی به مردم دنیا داده شود که ملیت های دشمن تلقی شده ی سازمان های پنج چشم هم وارد بستر و زیرساخت خدماتی آنها شوند. دو مولفه برای روش شناسی تولید شبکه های اجتماعی برای سازمان های پنج چشم مطرح بوده است، اول آنکه نوع داده ای که این سازمان ها نیاز دارند از طرف مردم تولید شود، برای مثال امروزه در شبکه های اجتماعی افراد روابط احتماعی، دوستان و آشنایان خود را به‌صورت عمومی نمایان میسازند. یا سبک تولید محتوا های تصویری و اعلام مواضعی که یک فرد دارد تماما میتواند شخصیت، شغل، روابط و اطلاعات بسیار دیگری را از فرد برای سازمان ها گرد آوری نماید و بدین صورت تمامی مردم یک پروفایل مخصوص به خود در این سازمان ها داشته باشند، این پروفایل در مقاطع حساسی میتواند مورد بهره‌برداری قرار گیرد.

برای مثال در صورتی که برخی از افراد یک جامعه در مسئولیت های حساسی قرار گیرند یا تحرکات سیاسی مخالف با نظام خود را انجام دهند، سازمان های پنج چشم میتوانند از این افراد سوءاستفاده کرده و برای اهداف خود بکار گیرند، برای مثال در خصوص ترور دانشمندان هسته ای کشور ایران افرادی که بعضا مامور عملیات ترور بوده اند در اصل قربانیان فضای سایبر بوده اند که بواسطه اسنادی که سازمان های جاسوسی از آنها در طول زمان های گذشته گرد آوری کرده اند که این اسناد در خصوص تحرکات سیاسی غیر قانونی و مخالفت با نظام حاکم جمهوری اسلامی ایران بود، موجب تهدید سازمان های جاسوسی قرار گرفته و افراد قربانی را مجبور به انجام فرامین آن سازمان ها کرده است، که نهایت عملیات ترور دانشمندان هسته ای ایران را در برداشت.

پس اینطور میتوان نتیجه گرفت که فضای سایبر دارای حاکمانی است که این حاکمان، کشور هایی را در دنیا به عنوان دشمن خود تعریف کرده و بر علیه آنها عملیات جاسوسی سایبری ترتیب میدهد، یکی از این کشور ها که بیشترین حجم تحرکات جاسوسی سایبری بر آن انجام میشود ایران است، از این روی حاکمیت جمهوری اسلامی ایران لازم دانسته تا برای محافظت از اطلاعات مردمان خود وارد عمل شده و طراحی هایی انجام دهد

برای دریافت اطلاعات بیشتر میتوانید به فصلنامه علمی پژوهشی مجلس در سال 1394 صفحه 37 به بعد، مراجعه نماید.

عوامل موفقیت در حکمرانی سایبری

مسئله ای که در این میان مغفول مانده نحوه عملکرد حاکمیت در خصوص حکمرانی بر فضای سایبری خود است، این سیاست که شما با اعمال محدودیت و قطع خدمات شبکه های اجتماعی خارجی بر روی مردم داخل کشور، بتوانید شرکت های چند ملیتی که بعضا متولیانی مانند سازمان های پنج چشم پشت آنهاست را مجاب به همکاری کنید اساسا شکست خورده است، چرا که نه درآمد ترافیکی و نه طرح های اقتصادی مبنای خدمات آنها بوده است، و اصلی ترین هدفی که آنها دنبال میکنند موضوعات جاسوسی و امنیتی است و در مراتب بعدی مسائل اقتصادی و دیگر موضوعات درجه بندی میشود.

نکته ای که مغفول مانده و اساسا مشکل اصلی این طرح میتواند باشد، این است که طراحان طرح صیانت از حقوق کاربران فضای مجازی، بدلیل نادیده گرفتن مردم در خصوص خدماتی که فضای سایبر خارجی برای آنها فراهم ساخته است، موجب شده اند تا عموم مردم در مقابل این طرح قرار گیرند و اساسا این طرح با رویکرد فنی نوشته نشده است و مجلس معادلات زیر ساختی و فنی فضای سایبر را نظر نگرفته است.

به‌طور مثال کشور چین در خصوص شبکه اجتماعی TikTok توانست بسیار موفق عمل کند، به‌طوری که بسیاری از مخاطبان این شبکه اجتماعی از کشور های غربی و آمریکایی بوده است و به همین دلیل کشور آمریکا به بهانه های مختلف سعی در مسدود سازی و پاسخگو کردن شرکت ByteDance کشور چین در خصوص این شبکه اجتماعی و در موضوعاتی که مد نظر آمریکاست دارد.

مرحله اول (زیرساخت تحصیلی)

دلیل این موفقیت به مولفه های زیادی مرتبط است که ما یک به یک به آنها اشاره خواهیم داشت: اساسا برای به‌وجود آوردن محصولات نرم افزاری رقابت پذیر میبایست زیرساخت های علمی و تحصیلی کامل و جامعی را در کشور داشت، امروزه بیشترین آمار بیکاری در کشور ایران در خصوص رشته های فناوری اطلاعات میباشد که برای اطلاعات بیشتر به این مقاله میتوانید رجوع نمایید.

از منظر فنی در فضای سایبر نمیتوان مانند فضای حقیقی حکمرانی کرد، زیرا شما با تعریف متفاوتی از مفاهیمی همچون چهارچوب ها، سلاح ها، تعیین مرز ها، کسب و کارها و بسیاری از موضوعات حاکمیتی روبرو هستید، در نتیجه حاکمیت فضای سایبر دارای قواعد و روندهایی است که مختص همین فضاست به‌طور مثال یک شبکه اجتماعی خارجی زمانی که به کاربران ایرانی خدمات دهی میکند هیچگونه الزامی برای رعایت حقوق ملت ایران طبق خواست حاکمیتشان ندارد، در نتیجه یک قوانین استفاده کلی برای تمامی کاربران دنیا اتخاذ شده است.

مرحله دوم (همایش های علمی)

حال برای گرفتن حق حاکمیت میبایست از قدرت فنی و مدیریتی در خصوص ساز و کارهای علوم امنیت اطلاعات استفاده کرد و باید یک بازنگری زیرساختی اتفاق بی افتد، کشور ایران Syllabus های تحصیلی مختص به حوزه فناوری اطلاعات و امنیت اطلاعات خود را بروز رسانی نکرده که این اولین قدم ضربه به زیرساخت های ارتباطی کشور در همین موضوع است. مرحله دوم این است که علاوه بر تحصیل مطابق با Syllabus های بروز و غنی علمی در رشته های مختلف امنیت اطلاعات، میبایست به مبحث تولید دانش هم به‌صورت جدی پرداخته شود، این امری است که بسیاری از کشور های دنیا در خصوص به جریان انداختن فضای رقابت علمی انجام داده اند که بستری برای معرفی نخبگان جامعه خود در حوزه امنیت اطلاعات بوده است، برای مثال کنفرانس های ملی و حتی در جهانی ای را برپا نموده اند، به طور مثال کنفرانس ZeroNights در روسیه، RSA Conference در آمریکا، OffensiveCon در آلمان و BlackHat که به‌صورت جهانی فعالیت می نماید، مثال های متعدد دیگری هم بود که فاکتور گرفته شد.

اهمیت برگزاری کنفرانس های علمی، فقط در تولید علم نیست، بلکه اثر فرهنگی این موضوع در راستای جهت دهی به دانشجویان فناوری اطلاعات یک امر مؤثر و غیرقابل انکار است، زمانی که در کشور بستر و فضایی برای معرفی محققین حوزه فناوری اطلاعات وجود نداشته باشد، موجب میشود تا بی انگیزگی و احساس پوچی در محققین نمایان شود، چرا که دست‌آورد تحقیقاتی آنها مورد توجه نبوده و اصلا دیده نمیشود.

این امر میتواند بواسطه تنظیم گری حاکمیت برای بستر های دانشگاهی و شرکت های خصوصی محقق شود، بدین معنی که هر ساله شرکت های خصوصی بخشی از بودجه درآمدی خود را صرف پالایش و تولید علم نمایند، این امر موجب رشد علوم شده و در مدت زمان مشخصی جامعه فنی کشور به تکامل لازمه علمی رسیده و آماده ی ورود به مسائل فنی پیشرفته خواهد شد، همچنین موجب ایجاد انگیزه برای پرورش محقق خواهد شد چرا که افراد میتوانند با ارائه مقالات علمی، خود را برای شرکت های تجاری و بخش های مختلف حاکمیت معرفی کرده و موقعیت شغلی خوبی را برای خود فراهم سازند.

مرحله سوم (حمایت حاکمیتی)

بعد از بروز رسانی سرفصل های تحصیلی دانشگاه ها در حوزه های مختلف امنیت اطلاعات، همچنین برگزاری کنفرانس های علمی سالانه معتبر، قدم بعدی تنظیم گری دقیق حاکمیت برای ارائه پروژه های دانش بنیان مورد نیاز حاکمیت در بخش های مختلف است، یعنی حاکمیت به عنوان یک مرجع ناظر میتواند نیازهای زیرساختی یا فناورانه سطوح بالاتر را در مرجعی اعلام نموده و حمایت مشخص خود را از تیم های تحقیقاتی که بخواهند در آن موضوع فعال بشوند را نشان دهد.

این امر موجب میشود که تیم های دانشگاهی مبتنی بر آن نیاز ها اقدام به فعالیت تحقیقاتی کرده و بواسطه حمایت اولیه ای که حاکمیت از آنها کرده است، برای پیشبرد اهداف خود تلاش و کوشش به خرج دهند، البته برای ارائه حمایت های لازمه برای رشد تیم های تحقیقاتی میتوان تضامین حداقلی ای دریافت کرد که تیم متقاضی نسبت به قبول مسئولیت جدی بوده و اقدام مجرمانه ای را ترتیب ندهد.

مرحله چهارم (نظارت کیفی)

تا مرحله قبل ما فرایند فعال سازی ظرفیت های نیروی انسانی رشته های امنیت اطلاعات را ترسیم نموده و محقق ساخته ایم. در مرحله چهارم میبایست یک نهاد خصولتی فعال شود که نظارت فنی و علمی بر کیفیت محصولات شرکت های دانش بنیان داشته و درخصوص ارزیابی کیفی و استاندارد های حداقلی آن نظارت حاصل نماید. در صورت وجود چنین نهادی از به‌وجود آمدن محصولات خدماتی بی کیفیت که با زیرساخت کپی یا ضعیف اقدام به فعالیت میکنند، پیشگیری شود. با وجود همچنین نهادی هم اعتماد جامعه علمی و عمومی حاصل خواهد شد.

در اقدام بعدی مجلس میتواند برای کمک به رشد شرکت های دانش بنیان که خدمات در حوزه فناوری اطلاعات ارائه میدهند، از ورود محصولات معادل خارجی جلوگیری نمایند، یعنی زمانی که یک محصول نرم افزاری ساخته شده و در نهاد توضیح داده شده، نمره کیفی لازمه را دریافت کرده است و میتواند به مردم عرضه شده و فعال شود، نیاز است که معادل خارجی آن محصول وارد کشور نشود (این نکته در خصوص محصولات میان افزار و سخت افزار مفید است). قانون میبایست مانع حضور محصول معادل خارجی شده و حمایت از تولید ملی را در دستور کار خود قرار دهد.

مرحله پنجم (اعتماد عمومی)

در خصوص بهره‌برداری از محصولات داخلی متأسفانه یکی از عوامل عدم استقبال مردم در کنار کیفیت پایین خدمات، بحث نبود اعتماد است، در این خصوص مجلس میتواند قانون گذاری های مناسبی داشته باشد که با استفاده از پروتکل های مناسب برای حفظ حریم اطلاعات انجام شود، همچنین در صورت تخلف شرکتی قانونا با آن شرکت برخورد مناسب صورت گیرد. این موضوع میتواند مبنای مناسبی برای جلب اعتماد عمومی در این حوزه باشد، زمانی که حاکمیت خود نسبت به حقوق مردم جدی و در عمل فعال باشد مردم احساس امنیت نموده و به محصولات داخلی اعتماد هم خواهند نمود. البته در کنار این موضوع قوانین مرتبط با شفافیت فرایندها هم یکی دیگر از عواملی است که میتواند اعتماد عمومی را تقویت کرده و مردم و کارشناسان حوزه فناوری اطلاعات را در جریان تصمیم گیری ها و نحوه اعمال تصمیم ها قرار دهد.

بومی سازی های داخلی

در خصوص بومی سازی داخلی، بحث کیفیت و اصالت خدمات بسیار مهم است چرا که با زیر پا گذاشتن حرفه ای گری در خصوص تولید محصولات نرم افزاری و ارائه خدمات آن به مردم، موجب تضعیف اعتماد عمومی و بدبینی به موضوع بومی سازی خواهد شد، برای مثال موتور جستجوی ایرانی (ذره بین) که به گفته خود مبتنی بر نتایج موتورهای جستجوی خارجی کار کرده و به‌صورت Web Proxy است که مقادیر ارسالی کاربران خود را با واسطه به موتور های Google و Bing و غیره Query زده و نتیجه ی آنها را به کاربر خود نمایش میدهد، اساسا اشکال این نوع پلتفرم ها این است که مبتنی بر زیرساخت و الگوریتم های خود کار نکرده و کماکان وابسته به زیرساخت کشور های دیگر است، و از طرفی آن کشور ها میتوانند برای این پلتفرم ایرانی مشکل ایجاد کرده و آنرا براحتی نا کار آمد سازند.