تمرکززدایی دیجیتال؛ مسیر تازه‌ای برای امنیت ملی و توسعه پایدار فناوری
مقالات فنی
By ngadmin1 |
تمرکززدایی دیجیتال؛ مسیر تازه‌ای برای امنیت ملی و توسعه پایدار فناوری

با گسترش زیرساخت‌های دیجیتال در دنیا، مدل‌های سنتی طراحی سامانه‌های نرم‌افزاری که مبتنی بر تمرکزگرایی هستند، به‌شدت مورد انتقاد قرار گرفته‌اند. تمرکز بیش از حد بر گره‌های مرکزی نه‌تنها باعث آسیب‌پذیری شدید در برابر حملات سایبری می‌شود، بلکه در درازمدت منجر به حذف نوآوری، از بین رفتن رقابت سالم و رشد انحصار در بازار فناوری می‌گردد. در این میان، تمرکززدایی به‌عنوان یک رویکرد راهبردی برای آینده امنیت دیجیتال و حکمرانی داده مطرح است.

تمرکزگرایی؛ نقطه ضعف ساختاری در امنیت سایبری

در معماری‌های متمرکز، کنترل، داده‌ها و تصمیم‌گیری در یک نقطه متمرکز می‌شود. این رویکرد آسیب‌پذیری شدیدی در برابر حملات ایجاد می‌کند. به‌عنوان مثال:

در سال ۲۰۱۷، نفوذ به Equifax آمریکا منجر به نشت اطلاعات بیش از ۱۴۰ میلیون نفر شد، چراکه اطلاعات حساس در یک هسته متمرکز نگهداری می‌شد.

سیستم Aadhaar در هند با بیش از یک میلیارد رکورد بیومتریک، به‌دلیل طراحی متمرکز، بارها با حمله و نشت اطلاعات مواجه شد.

تمرکزگرایی در برابر تهدیداتی نظیر حملات DDoS، تزریق بدافزار، آسیب‌پذیری‌های زنجیره تأمین و دسترسی غیرمجاز بسیار شکننده است.

وضعیت تمرکزگرایی نرم‌افزاری در ایران

در ایران نیز مدل مشابهی پیاده می‌شود. معمولاً یک وزارتخانه یا سازمان بزرگ، برای تمام شعبات، دفاتر استانی و شهرستانی خود یک نرم‌افزار واحد و متمرکز طراحی می‌کند. این رویکرد چند آسیب عمده دارد:

افزایش خطر آسیب‌پذیری ملی:
نفوذ به سیستم مرکزی می‌تواند تمام ساختار سازمانی را فلج کند. حمله به یک دیتابیس یا کنترل‌پنل مرکزی مساوی با سقوط کل سامانه خواهد بود.

حذف استقلال استانی و منطقه‌ای:
در حالی که نهاد مرکزی باید صرفاً وظیفه تعیین پروتکل‌ها، استانداردهای امنیتی و چارچوب‌های عملکردی را داشته باشد، عملاً نقش «تأمین‌کننده نرم‌افزار» را هم ایفا می‌کند و استان‌ها و شهرداری‌ها را از انتخاب ابزار مناسب بازمی‌دارد.

مرگ شرکت‌های کوچک و متوسط (SME):
تمرکزگرایی بازار نرم‌افزار را در انحصار شرکت‌های بزرگ رانتی قرار می‌دهد. SMEها، که خلاقیت و چابکی بیشتری دارند، عملاً حذف می‌شوند و چرخه نوآوری متوقف می‌گردد.

یکپارچگی کاذب:
برخی خدمات اصلاً نیاز به سامانه واحد ندارند. مثلاً:

– وب‌سایت‌های ادارات کل استانی
– سامانه‌های پشتیبانی، مانیتورینگ، آنتی‌ویروس و فایروال
– سامانه‌های مدیریت منابع انسانی یا دارایی در دستگاه‌های کوچک‌تر
اینها می‌توانند کاملاً مستقل، ولی بر اساس استانداردهای کلان پیاده شوند. الزام به تمرکزگرایی، باعث پیچیدگی، کندی، عدم سفارشی‌سازی و افزایش هزینه‌ها می‌شود.

افتا باید خط‌قرمز مشخص کند، نه انتخاب محصول

در کشورهای پیشرفته، نهادهای امنیتی مثل ENISA (اروپا)، NIST (آمریکا) یا BSI (آلمان)، معمولاً از بلک‌لیست (لیست ممنوعه) استفاده می‌کنند؛ به این معنا که فقط محصولات ناامن یا دارای نقص امنیتی را ممنوع می‌کنند و انتخاب محصول را به بازار می‌سپارند.

در ایران، رویکرد برعکس است: برخی نهادها، تنها چند محصول خاص را در یک «وایت‌لیست» معرفی می‌کنند. این سیاست موجب ایجاد انحصار، حذف رقابت و در مواردی، باز ماندن دست شرکت‌های غیرتخصصی در بازار امنیت می‌شود. نهادهایی مانند افتا باید نقش ناظر و سیاست‌گذار داشته باشند، نه اجراکننده مستقیم انتخاب نرم‌افزار.

اپراتورهای بزرگ امنیت سایبری؛ انحصار خطرناک

در سال‌های اخیر، موجی در سطح جهان برای مهار اَبَر اپراتورهای امنیتی شکل گرفته است. شرکت‌هایی که هم داده‌های حساس کشورها را می‌بینند، هم زیرساخت امنیتی را تأمین می‌کنند و هم در لایه‌های تصمیم‌گیری نفوذ دارند، تهدیدی بالقوه برای استقلال دیجیتال هستند.

نمونه جهانی:

در آمریکا، شرکت FireEye/Mandiant که سابقاً ارائه‌دهنده سرویس‌های امنیتی به نهادهای دولتی بود، پس از افشای نقش آن در عملیات‌های نظارتی و احتمال همکاری با آژانس‌های اطلاعاتی، تحت فشار شدید قرار گرفت. این شرکت در سال ۲۰۲۱ به مالکیت Google درآمد، اما دولت آمریکا همچنان برای استفاده از خدمات آن، محدودیت‌هایی در نهادهای حیاتی قائل شده است.

نتیجه‌گیری جهانی: شکل‌گیری انحصار در بازار امنیت اطلاعات، حتی در کشورهای غربی، به‌عنوان تهدیدی برای حاکمیت سایبری تلقی می‌شود.

برخی کشورها نظیر هند، علیرغم داشتن کی از بزرگ‌ترین پایگاه‌های داده جهان، با استفاده از راهکارهایی مانند معماری‌های توزیع‌شده و پلتفرم‌هایی از جمله Seqrite توانسته‌اند بخشی از آسیب‌پذیری‌های ذاتی خود را کاهش دهند؛ تجربه‌ای که می‌تواند برای ایران درس‌آموز باشد.

در ایران نیز، سپردن کامل امنیت سایبری به یک یا دو بازیگر خاص (چه دولتی، چه شبه‌دولتی) بسیار پرریسک است. هم استقلال زیرساخت تهدید می‌شود، هم امکان فساد و ناکارآمدی بالا می‌رود.

راهکار پیشنهادی برای حکمرانی دیجیتال غیرمتمرکز

– استانداردسازی فنی، امنیتی و عملیاتی توسط نهاد مرکزی انجام شود، نه تهیه نرم‌افزار.
– سامانه‌ها باید بر اساس نیاز سازمان یا منطقه، از بین گزینه‌های معتبر انتخاب شوند.
– تمرکز بر استفاده از فناوری‌های باز، توزیع‌شده و تاب‌آور مانند بلاک‌چین، IPFS، هویت غیرمتمرکز (DID)، و Zero Trust.
– بازار امنیت باید رقابتی، باز، شفاف و متکی بر ارزیابی تخصصی باشد، نه لیست‌های از پیش تعیین‌شده.

جمع‌بندی

تمرکززدایی نه‌تنها یک راهکار فنی، بلکه یک اصل راهبردی در حکمرانی نوین دیجیتال است. اگر امنیت سایبری را امری ملی، حیاتی و پیشران توسعه بدانیم، باید با نگاه فراتر از ساختارهای سنتی، به‌دنبال معماری‌های توزیع‌شده، باز و رقابتی باشیم. تجربه جهانی نشان می‌دهد که انحصار، تمرکز، و حذف شرکت‌های کوچک، منجر به کندی، فساد و آسیب‌پذیری می‌شود. ایران نیز با فاصله گرفتن از تمرکزگرایی و انحصار در حوزه نرم‌افزارهای سازمانی، می‌تواند به امنیتی هوشمند، پایدار و بومی‌شده دست یابد.

*عضو کمیسیون افتای نظام صنفی رایانه‌ای کشور، رئیس هیات‌مدیره شرکت ماداکو