شاخص جهانی امنیت سایبری (Global Cybersecurity Index) یک ارزیابی جامع است که توسط اتحادیه بینالمللی مخابرات (ITU) منتشر میشه. این شاخص، وضعیت امنیت سایبری کشورها رو بر اساس مجموعهای از شاخصها و معیارها سنجیده و رتبهبندی میکنه. هدف اصلی این شاخص، کمک به کشورها در ارزیابی سطح آمادگی خود در برابر تهدیدات سایبری و بهبود اقدامات امنیتی است.
نسخه ی نهایی این شاخص در سال 2021 منتشر شده بود که براساس داده های سال 2020 بود. نسخه ی پنجم اون امسال منتشر شده که براساس داده های سال 2023 و 2024 هستش.
آشنایی با اتحادیه بین المللی مخابرات:
اتحادیه بینالمللی مخابرات یا ITU (International Telecommunication Union) یکی از آژانسهای تخصصی سازمان ملل متحد است که در زمینه فناوری اطلاعات و ارتباطات فعالیت میکنه. این سازمان نقش بسیار مهمی در هماهنگی و توسعه ارتباطات در سطح جهانی ایفا میکنه.
ITU در سال ۱۸۶۵ تأسیس شد و یکی از قدیمیترین سازمانهای بینالمللی است. در ابتدا، این سازمان بر روی هماهنگی ارتباطات تلگراف تمرکز داشت، اما با گذشت زمان، دامنه فعالیتهاش گسترش یافت و امروزه به یک سازمان جامع در زمینه فناوری اطلاعات و ارتباطات تبدیل شده.
بصورت کلی وظایفی که این آژانس انجام میده :
- تدوین استانداردها: ITU استانداردهای بینالمللی برای فناوریهای ارتباطی رو تعیین میکنه. این استانداردها تضمین میکنن که تجهیزات و شبکه های مختلف بتونن با هم ارتباط برقرار کنن.
- تخصیص طیف فرکانسی: یکی از وظایف مهم ITU، تخصیص طیف فرکانسی برای خدمات رادیویی مختلف مانند تلفن همراه، رادیو و تلویزیون است. این کار از تداخل بین سیستمهای مختلف جلوگیری میکنه.
- توسعه زیرساختهای ارتباطی: ITU به کشورها کمک میکنه تا زیرساختهای ارتباطی خودشون رو توسعه بدن و به اینترنت دسترسی پیدا کنن. این سازمان برنامه های مختلفی برای کاهش شکاف دیجیتالی و اتصال افراد در مناطق دورافتاده اجرا میکنه.
- همکاری بینالمللی: ITU یک فروم برای همکاری بینالمللی در زمینه فناوری اطلاعات و ارتباطات است. دولتها، شرکتها و سازمانهای بینالمللی در این سازمان گرد هم میان تا در مورد مسائل مهم این حوزه بحث و تبادل نظر کنن.
معیارهای جامع در شاخص جهانی امنیت سایبری:
همونطور که بالا اشاره کردیم، این آژانس هر ساله گزارشی تحت عنوان “شاخص جهانی امنیت سایبری” منتشر میکنه که به وضعیت امنیت سایبری در کشورها میپردازه و اونارو براساس شاخص های مختلف رتبه بندی میکنه.
گزارش طیف مختلفی از اطلاعات شامل میشه، اما در این مقاله بیشتر میخواییم وضعیت ایران رو در این گزارش بررسی کنیم. برای این منظور اول باید ببینیم این گزارش بر چه اصولی و معیارهایی، شاخص رو بدست میاره.
شاخص جهانی امنیت سایبری، برای سنجش سطح آمادگی کشورها در برابر تهدیدات سایبری، از مجموعهای از معیارهای جامع استفاده میکنه. این معیارها به پنج دسته اصلی زیر تقسیم میشن:
1- اقدامات قانونی (Legal):
اقدامات قانونی بر اساس وجود چارچوبهای قانونی مرتبط با امنیت سایبری و جرایم سایبری تعریف میشه.
این اقدامات به یک کشور اجازه میدن تا با جرم انگاری اعمال خاص، تحقیق و پیگرد قانونی جرایم، اعمال مجازات برای تخلفات، عدم رعایت یا نقض قوانین و همچنین ایجاد چارچوبهای نهادی برای مدیریت یا حکمرانی امنیت سایبری، مکانیسمهای پاسخگویی اولیه رو ایجاد کنه.
یک چارچوب قانونی، حداقل مبنای رفتاری رو برای توسعه قابلیتهای بیشتر امنیت سایبری فراهم میکنه. اساساً، هدف اینه که قوانین کافی برای همگام سازی رویهها در سطح منطقهای/بینالمللی، تقویت سیستمهای امنیت سایبری و سادهسازی چارچوبهای بینالمللی برای مبارزه با جرایم سایبری وجود داشته باشه.
2- اقدامات فنی (Technical):
اقدامات فنی بر اساس وجود نهادها، استانداردها و چارچوبهای فنی مرتبط با امنیت سایبری و جرایم سایبری تعریف میشه.
توسعه و استفاده کارآمد از فناوری اطلاعات و ارتباطات، تنها در محیطی مبتنی بر اعتماد و امنیت میتونه شکوفا بشه. بنابراین، کشورها باید دارای قابلیتها و ظرفیتهای فنی لازم برای شناسایی، تشخیص، محافظت و پاسخگویی موثر به خطرات و تهدیدات سایبری، و همچنین بهبود و بازیابی پس از حملات سایبری باشن. همچنین، ترویج اشتراک گذاری اطلاعات و ارزیابی و اجرای استانداردها، شیوههای خوب امنیت سایبری و طرحهای امنیتی برای فناوری اطلاعات و ارتباطات ضروری است.
3- سازمانی (Organizational):
اقدامات سازمانی بر اساس وجود نهادهای هماهنگی، سیاستها و استراتژیهای مدیریت جرایم سایبری و توسعه امنیت سایبری در سطح ملی تعریف میشن.
اقدامات سازمانی شامل شناسایی اهداف امنیت سایبری و برنامه های استراتژیک، و همچنین تعریف رسمی نقشها، مسئولیتها و پاسخگویی نهادی برای اطمینان از اجرا و دستیابی به اهداف هستش. این اقدامات برای تأیید تدوین و اجرای یک رویکرد موثر امنیت سایبری ضروری هستن. اهداف و مقاصد استراتژیک گسترده باید توسط دولت تعیین بشه، همراه با یک برنامه جامع برای اجرا، تحویل و اندازهگیری. سازمانهای ملی باید برای اجرای استراتژی و ارزیابی نتایج حضور داشته باشن. بدون وجود یک استراتژی ملی، مدل حکمرانی یا نهاد نظارتی، تلاشهای انجامشده در بخشهای مختلف با هم در تضاد قرار میگیرن و تلاشها برای دستیابی به هماهنگی موثر در توسعه امنیت سایبری رو تضعیف میکنن.
4- ظرفیت سازی (Capacity development):
اقدامات ظرفیت سازی بر اساس وجود برنامه های تحقیق و توسعه، افزایش آگاهی، آموزش و تربیت، متخصصان دارای گواهینامه و سازمانهای بخش عمومی که ظرفیت سازی رو ترویج میکنن، تعریف میشه.
ظرفیت سازی شامل کمپین های افزایش آگاهی عمومی، چارچوبهای صدور گواهینامه و اعتباربخشی به متخصصان امنیت سایبری، دوره های آموزشی حرفهای در امنیت سایبری، برنامه های آموزشی یا برنامه های درسی دانشگاهی و غیره است. این رکن ذاتی سه رکن اول (قانونی، فنی و سازمانی) است.
امنیت سایبری اغلب از منظر فناوری مورد بررسی قرار میگیره، اگرچه پیامدهای اجتماعی، اقتصادی و سیاسی متعددی وجود داره. توسعه ظرفیت انسانی و نهادی برای افزایش آگاهی، دانش و مهارت در بخشهای مختلف برای راهحلهای سیستماتیک و مناسب و ترویج توسعه متخصصان واجد شرایط ضروری است.
5- همکاری (Cooperation):
اقدامات همکاری بر اساس وجود مشارکتها، چارچوبهای همکاری و شبکه های اشتراکگذاری اطلاعات در سطوح ملی، منطقهای و جهانی تعریف میشن.
به دلیل سطح بیسابقهای از اتصال بین کشورها، امنیت سایبری یک مسئولیت مشترک و یک چالش فرامرزی است. همکاری بیشتر میتونه توسعه قابلیتهای قویتر امنیت سایبری رو امکانپذیر کنه و به کاهش خطرات سایبری و تسهیل تحقیق، دستگیری و پیگرد قانونی عوامل مخرب کمک کنه.
روش محاسبه شاخص جهانی امنیت سایبری:
شاخص جهانی امنیت سایبری بر اساس اقداماتی در حوزه امنیت سایبری طراحی شده که کشورها میتونن برای تقویت تعهد خودشون به این حوزه انجام بدن. روش محاسبه به این صورت هستش :
- پرسشنامه:
- پرسشنامه GCI شامل 83 سوال است که منجر به ارزیابی 20 شاخص مختلف میشه. یک سوال از این پرسشنامه نمره نداره.
- کشورها میتونن برای هر سوال، یکی از سه پاسخ “بله”، “بخشی/در حال انجام” یا “خیر” رو انتخاب کنن.
- برای اطمینان از صحت پاسخها، از کشورها خواسته میشه تا شواهدی مانند لینک سایت فعال، فایل pdf، عکس یا سایر اسناد مرتبط رو برای پشتیبانی از پاسخ خودشون ارائه بدن. همچنین، کشورها میتونن برای توضیح بیشتر شواهد خودشون، نظراتی رو به پرسشنامه اضافه کنن.
- وزندهی:
- امتیاز نهایی هر کشور در GCI بر اساس یک مقیاس 0 تا 100 محاسبه میشه. (برای سال 2024)
- در این روش، به هر یک از پنج ستون اصلی شاخص (اقدامات قانونی، فنی، ظرفیت سازی، سازمانی و همکاری) وزنی معادل 20 امتیاز اختصاص داده میشه.
- امتیاز نهایی هر ستون و در نهایت کل شاخص، تنها به انتخابهای “بله”، “بخشی/در حال انجام” یا “خیر” کشورها بستگی نداره. بلکه برای هر شاخص، زیرشاخص و زیر-زیرشاخص، وزنی خاص در نظر گرفته میشه که نشون دهنده اهمیت نسبی اون در گروه شاخص است.
- وزن دهی تأثیر قابل توجهی روی امتیاز نهایی کشورها داره و روشهای مختلف وزن دهی میتونن نتایج کلی متفاوتی رو به همراه داشته باشن.
- برای وزن دهی از 23 کارشناس امنیت سایبری خواسته شده تا برای ستونهایی که در اونا تخصص دارن، وزن دهی پیشنهادی خودشون رو ارائه بدن.
در نهایت شاخص و رتبه هر کشور از طریف فرمول زیر بدست میاد:
طبقه بندی کشورها:
پس تا اینجای کار اینطوری شد که کشورها به یک پرسشنامه جواب میدن، سوالهای این پرسشنامه دارای یک وزنی هستن. این وزنها که بدست اومد با استفاده از فرمول بالا، یک عددی بین 0 تا 100 برای هر کشور در میاد.
در نسخه ی پنجم، بجای اینکه بیان هر کشور رو رتبه بندی کنن، اومدن طبقه بندی کردن. طبقه بندی نسبت به رتبهبندی مزایای متعددی داره، چون تفاوت بین امتیازات کشورها میتونه بسیار کم باشه و شامل محدوده خطایی بر اساس دقت پاسخهای پرسشنامه، توضیحات ارائه شده یا تعامل کشورها باشه. هر طبقه، کشورهایی با امتیاز مشابه رو در کنار هم قرار میده و بدین ترتیب گروهی از همتایان با عملکرد مشابه رو ارائه میده.
بنابراین علاوه بر اینکه کشورها، میتونن کشورهای هم تراز خودشون رو بشناسن و با هم تعامل داشته باشن، میتونن از کشورهایی که در طبقه بندی بالاتری قرار دارن، مشاوره بگیرن و برای کشورهایی که در طبقه بندی پایین تری هستن، از طریق مشاوره و ارائه ابزار و سرویس و … کمک کنن تا رشد کنن.
مدل مبتنی بر طبقهبندی، براساس امتیاز کلی تعیین شده. از آنجایی که امتیاز کلی میانگین وزنی فعالیتهای امنیت سایبری یک کشور در تمام پنج ستون پرسشنامه هستش، کشورهایی با امتیاز مشابه ممکنِ همچنان تفاوتهای قابلتوجهی در سطح ستون، شاخص، زیرشاخص یا زیر-زیرشاخص داشته باشن.
براساس امتیاز نهایی، 5 طبقه بندی زیر رو داریم:
- T1: 95 ≤ x ≤ 100
- T2: 85 ≤ x < 95
- T3: 55 ≤ x < 85
- T4: 20 ≤ x < 55
- T5: 0 ≤ x < 20
در ادامه هر یک از طبقه بندی ها رو توضیح دادیم:
- طبقه بندی Tier 1 (T1) – Role-modelling ( طبقه بندی الگو) : این طبقه شامل کشورهایی است که امتیاز کلی GCI حداقل ۹۵ از ۱۰۰ رو کسب کردن و تعهد قوی به امنیت سایبری رو با اقدامات هماهنگ و دولت محور که شامل ارزیابی، ایجاد و اجرای برخی از اقدامات پذیرفته شده عمومی امنیت سایبری در تمام پنج ستون یا تا تمام شاخصها میشه رو نشون دادن.
- طبقه بندی Tier 2 (T2) – Advancing (طبقه بندی پیشرو) : این طبقه شامل کشورهایی است که امتیاز کلی حداقل ۸۵ از ۱۰۰ رو کسب کردن و تعهد قوی به امنیت سایبری رو با اقدامات هماهنگ و دولتمحور که شامل ارزیابی، ایجاد یا اجرای برخی از اقدامات پذیرفته شده عمومی امنیت سایبری در حداکثر چهار ستون یا تعداد قابلتوجهی از شاخصها میشه رو نشون دادن.
- طبقه بندی Tier 3 (T3) – Establishing ( طبقه بندی در حال ایجاد) : این طبقه شامل کشورهایی است که امتیاز کلی حداقل ۵۵ از ۱۰۰ رو کسب کردن و تعهد اولیه به امنیت سایبری رو با اقدامات دولتمحور که شامل ارزیابی، ایجاد یا اجرای برخی از اقدامات پذیرفته شده عمومی امنیت سایبری در تعداد متوسطی (سه مورد) از ستونها یا شاخصها میشه رو نشون دادن.
- طبقه بندی Tier 4 (T4) – Evolving (در حال تکامل) : این طبقه شامل کشورهایی است که امتیاز کلی حداقل ۲۰ از ۱۰۰ رو کسب کردن و تعهد اولیه به امنیت سایبری رو با اقدامات دولتمحور که شامل ارزیابی، ایجاد یا اجرای برخی از اقدامات پذیرفتهشده عمومی امنیت سایبری در حداقل یک ستون یا چندین شاخص و/یا زیرشاخص میشه رو نشون دادن.
- طبقه بندی Tier 5 (T5) – Building (در حال ساخت) : این طبقه شامل کشورهایی است که امتیاز کلی کمتر از ۲۰ از ۱۰۰ رو کسب کردن و تعهد اولیه به امنیت سایبری رو با اقدامات دولتمحور که شامل ارزیابی، ایجاد یا اجرای برخی از اقدامات پذیرفتهشده عمومی امنیت سایبری در حداقل یک شاخص و/یا زیرشاخص میشه رو نشون دادن.
وضعیت طبقه بندی و شاخص های ایران:
طبق جدول زیر، ایران در طبقه بندی T3 قرار گرفته که نشون میده کشور در مرحله “ایجاد” زیرساختهای امنیت سایبری است. این بدین معناست که ایران اقدامات اولیهای رو برای ایجاد و اجرای برخی از اقدامات پذیرفتهشده عمومی امنیت سایبری انجام داده، اما هنوز به سطح بلوغ کامل نرسیده.
طبقه بندی | کشورها |
T1 | استرالیا، غنا، مراکش، سنگاپور، بحرین، یونان، هلند، اسلوونی، بنگلادش، ایسلند، اسپانیا، بلژیک، هند، نروژ، سوئد، برزیل، اندونزی، عمان، تانزانیا، قبرس، ایتالیا، پاکستان، تایلند، دانمارک، ژاپن، پرتغال، تورکیه، مصر، اردن، قطر، امارات، استونی، کنیا، کره، بریتانیا، فنلاند، لوگزامبرگ، رواندا، آمریکا، فرانسه، مالزی، عربستان، ویتنام، آلمان، موریس، صربستان |
T2 | آلبانی، اکوادور، مکزیک، سوئیس، اتریش، گرجستان، فیلیپین، توگو، آذربایجان، مجارستان، لهستان، اروگوئه، بنین، ایرلند، رومانی، ازبکستان، کانادا، اسرائیل، روسیه، زامبیا، چین، قزاقستان، اسلواکی، کروواسی، لیتوانی، آفریقای جنوبی، چک، مالتا، سریلانکا |
T3 | الجزیره، کوبا، لیبی، پاپوآ گینه نو، آندورا، کنگو، مالاوی، پاراگوئه، بلاروس، کنگو، دومینیکن، مولداوی، پرو، بوتان، اسواتینی، موناکو، سنگال، بوتسوانا، اتیوپی، مغولستان، سیرالئون، برونئی، گامبیا، منتنگنو، ترینیداد و توباگو، بلغارستان، گینه، موزامبیک، تونس، بورکینافاسو، ایران، مینمار، اگاندا، کامرون، جامائیکا، نپال، اکراین، شیلی، کیربیاتی، نیوزلند، وانواتو، کلمبیا، کویت، نیجریه، کاستاریکا، قرقیزستان، مقدونیه شمالی، ساحل عاج، لتونی، پاناما |
T4 | آنگولا، دومینیکا، لیختن اشتاین، سیشل، آرژانتین، السالوادور، ماداگاسکار، سومالی، ارمنستان، گینه استوایی، مالی، سودان جنوبی، باهاما، فیجی، موریتانی، فلسطین، باربادوس، گابن، نامیبیا، سودان، بلیز، گراندا، نائورو، سورینام، بولیوی، گواتمالا، نیکاراگوئه، سوریه، گویان، نیجر، تاجیکستان، بوسنی و هرزیگوین، هائیتی، سنت کیتس و نویس، تونگا، کیپ ورد، هندوراس، سنت لوسیا، ترکمنستان، کامبوج، عراق، سنت وینسنت و گرنادین، تووالو، چاد، لائوس، ونزوئلا، کومور، لبنان، ساموآ ، زیمباوه، کنگو، لسوتو، سن مارینو، جیبوتی، لیبریا، سائوتومه و پرنسیپ |
T5 | افغانستان، کره شمالی، مالدیو، تیمور شرقی، آنتیگوا و باربودا، جزایر مارشال، واتیکان، بوروندی، اریتره، میکرونزی، یمن، جمهوری آفریقای مرکزی، گینه بیسائو، جزایر سلیمان |
همچنین معیارهای پنجگانه برای ایران، بصورت زیر هستش :
همونطور که در شکل قابل مشاهده هستش، نمراتی که ایران از شاخص های پنجگانه گرفته: (هر شاخص از 20)
- اقدامات قانونی: 17.79
- اقدامات فنی: 14.49
- اقدامات سازمانی: 16.72
- اقدامات ظرفیت سازی: 10.27
- اقدامات همکاری: 6.25
براساس این نمرات:
- نقاط قوت: ایران در حوزه های “اقدامات قانونی” و “اقدامات سازمانی” عملکرد نسبتا خوبی داشته. این نشون میده که کشور در تدوین قوانین و مقررات مرتبط با امنیت سایبری و ایجاد ساختارهای سازمانی برای مدیریت این حوزه تلاشهایی انجام داده.
- نقاط ضعف: ایران در حوزههای “اقدامات فنی”، “توسعه ظرفیت” و “همکاری” نیاز به بهبود بیشتری داره. این نشون میده که کشور در زمینه بروزرسانی فناوریهای امنیتی، توسعه مهارتهای نیروی انسانی و همکاری با سایر کشورها و سازمانهای بینالمللی در حوزه امنیت سایبری، با چالشهایی مواجه است.
اگه نسخه ی چهارم این ارزیابی رو که در سال 2021 منتشر شده بود رو، برای ایران بررسی کنیم :
ایران در مجموع امتیاز 81.06 رو گرفته بود که رنک 54 دنیا و 12 آسیا رو داشته. در جهان بین بنگلادش و گرجستان و در آسیا بین بنگلادش و فیلیپین بودیم. سال 2021 براساس رتبه بندی بوده، اما اگه باز طبقه بندی کنیم، دوباره در T3 قرار میگرفتیم.
جدول زیر نمرات مربوط به شاخص ها برای سال 2021 و 2024 رو نشون میده:
شاخص ها | سال 2021 | سال 2024 |
اقدامات قانونی | 16.48 | 17.79 |
اقدامات فنی | 14.63 | 14.49 |
اقدامات سازمانی | 16.82 | 16.72 |
اقدامات ظرفیت سازی | 17.80 | 10.27 |
اقدامات همکاری | 15.33 | 6.25 |
- نقاط قوت: در این سال هم اقدامات قانونی و سازمانی عملکرد خوبی داشتیم. برای ظرفیت سازی هم پیشرفت جزئی داشتیم.
- نقاط ضعف: برای اقدامات فنی و همکاری پیشرفت قابل مشاهده ای نداشتیم.
منبع (داخل کانال تلگرامی هم PDF آپلود شده.)