نخستین نشست تخصصی اشتراک تجربیات و بررسی چالش‌های امنیت سایبری با محوریت درس‌آموخته‌های «جنگ ۱۲ روزه»، روز یکشنبه ۲ آذر ۱۴۰۴ به همت خانه هم‌افزایی انرژی و آب خراسان رضوی و با همکاری مرکز مدیریت راهبردی افتای ریاست‌جمهوری برگزار شد.

در این نشست نمایندگان شرکت‌های تابعه وزارتخانه‌های نفت و نیرو در استان به طرح دیدگاه‌ها، بیان چالش‌ها و مرور اقدامات مرتبط با حوزه امنیت اطلاعات، IT و OT پرداختند.

غریب‌حسنی، نماینده شرکت آب و فاضلاب خراسان رضوی، با اشاره به مشکلات فنی در دریافت خدمات امنیت سایبری گفت: «برخی شرکت‌های دارای مجوز افتا در استان توان فنی لازم برای ارائه خدمات را ندارند و همین مسئله ما را ناچار می‌کند از شرکت‌های توانمند خارج از استان کمک بگیریم.»

علیرضا صدقیان، نماینده شرکت آب و فاضلاب مشهد، نیز نبود مرکز فرماندهی واحد و ناهماهنگی ساختاری در شرایط بحران را از مشکلات اصلی عنوان کرد و افزود: «برخی دستورالعمل‌های ستادی بر پایه اطلاعات نادرست تدوین شده بود و نبود سازوکار یکپارچه باعث اختلال در تصمیم‌گیری‌های میدانی شد.»

محمدرضا حشمت‌مهاجر، سرپرست پدافند غیرعامل پالایشگاه شهید هاشمی‌نژاد، با تأکید بر اهمیت نیروی انسانی متخصص اظهار کرد: «حملات سایبری در حوزه IT و OT رو به افزایش است اما کمبود نیروی تراز و کارآمد محسوس است. بارها این موضوع را مطرح کرده‌ایم و انتظار داریم مرکز افتا در دو حوزه آموزش تخصصی و ساماندهی نیروی انسانی ورود جدی‌تری داشته باشد.»

امنیان‌مدرس، مسئول امنیت سایبری سیستم‌های OT پالایشگاه سرخس، نیز در این نشست گفت: «کمبود نیروی انسانی در حوزه امنیت سایبری به مرحله خلأ کامل رسیده است. اگر در دوره جنگ حادثه‌ای رخ می‌داد، این کمبود می‌توانست برای کشور مشکل‌ساز شود. فشار کاری کارکنان به رسمیت شناخته نمی‌شود و در حوزه حقوق و مزایا توجه لازم صورت نگرفته است.»

آزادی‌نیا، از واحد ICT منطقه چهار عملیات انتقال گاز، با اشاره به گستره عملیاتی این مجموعه در چهار استان افزود: «در جنگ ۱۲ روزه، فقدان مرکز فرماندهی واحد به‌شدت محسوس بود. از طرفی نیروهای ICT به دلیل سختی مضاعف کار در حال خروج از این حوزه هستند و نیاز به آموزش تخصصی جدی است.»

در ادامه نشست، دادخواه، نماینده پارک علم و فناوری خراسان، با اشاره به مشکلات شرکت‌های دانش‌بنیان در دریافت گواهی افتا گفت: «نبود کارگزار استانی باعث شده شرکت‌ها برای اخذ گواهی مجبور به مراجعه به استان‌های دیگر شوند. هزینه‌های بالا و ناآشنایی با روند نیز چالش جدی شرکت‌های نوآور است. تعیین کارگزار معتبر می‌تواند بسیاری از این مشکلات را حل کند.»

سندگل، نماینده شرکت پالایش گاز شهید هاشمی‌نژاد، نیز تعدد متولیان صدور دستورالعمل‌های امنیت سایبری را از مشکلات اصلی عنوان کرد و افزود: «گاهی دستورالعمل‌های امنیتی دستگاه‌ها متناقض است و همین مسئله موجب بروز تداخل عملکردی می‌شود. فعالیت ۲۴ساعته نیروهای IT فشار زیادی ایجاد کرده و لازم است در نظام حقوق و مزایا بازنگری شود.»

در بخش دیگری از نشست، صافدل، معاون حوزه زیرساختی مرکز افتای خراسان رضوی، با اشاره به اهمیت بخش انرژی و آب در دوره اخیر حملات سایبری اظهار کرد: «در جنگ ۱۲ روزه بیشترین حملات متوجه حوزه انرژی و آب بود. بودجه امنیت سایبری نسبت به اهمیت موضوع پایین است اما تلاش داریم فرایندها را شفاف و روان کنیم. از ابتدای آبان صدور مجوزهای افتا مستقیم توسط مرکز انجام می‌شود و با تکمیل سامانه‌های جدید این فرایند تسهیل خواهد شد.»

او با بیان اینکه «هیچ کارگزاری رسمی برای اخذ گواهی افتا وجود ندارد» افزود: «برخی ادعاهای مربوط به کارگزاری اخذ گواهی فاقد اعتبار است. روند صدور مجوز شفاف است و عمده تأخیرها مربوط به استعلام‌های امنیتی دیگر دستگاه‌هاست، نه مرکز افتا.»

در ادامه، نماینده تام‌الاختیار مرکز افتا در خانه هم‌افزایی انرژی و آب نیز با انتقاد از عدم حضور برخی شرکت‌های صنعت برق گفت: «برای اثربخشی جلسات، حضور مدیران ارشد و میانی نیز ضروری است. شبکه مسائل افتا از دل این نشست‌ها به‌روز می‌شود و مبنای پیگیری‌های بعدی قرار می‌گیرد.»

وی همچنین افزود: «تعدد متولیان در حوزه دستورالعمل‌ها باید با هماهنگی‌های جدید اصلاح شود. دستگاه‌ها لازم است اولویت اجرای دستورالعمل‌ها را به افتا اختصاص دهند. امنیت و فناوری باید همراه با یکدیگر پیش بروند و مرکز افتا وظیفه دارد بستر مناسب توسعه امن فناوری را فراهم کند.»

به گفته او، ماندگاری نیروی انسانی IT در کشور پایین است و بخشی از راهکارها نیازمند اصلاحات ساختاری در سطح ملی است؛ با این حال نشست‌های تخصصی با مدیریت خانه هم‌افزایی می‌تواند برای ایجاد پست‌های سازمانی امنیت اطلاعات، آموزش کارکنان و افزایش توجه مدیران به این حوزه نقش‌آفرین باشد.

در پایان نشست چهار مصوبه اصلی تصویب شد که شامل جمع‌آوری شبکه مسائل IT و OT شرکت‌ها، برگزاری نشست ویژه بخش خصوصی، هماهنگی جلسات مشترک شرکت‌ها و مرکز افتا و همچنین تجمیع نیازهای آموزشی شرکت‌ها برای برنامه‌ریزی دوره‌های تخصصی است.