دانشجو دکتری مهندسی برق - سیستم های مخابراتی
شهرهای هوشمند آینده: امنیت سایبری - بخش دوم
در بخش اول به اهمیت امنیت سایبری و آگاهی از مسئله حریم خصوصی در شهرهای هوشمند پرداخته شد و در این بخش موضوعات مربوط به پیادهسازی و ذکر نمونههای جهانی را پیش رو داریم.
پیادهسازی موفق
یک اکوسیستم امن و قابل اعتماد بر اساس مجموعهای از اصول پایهگذاری ساخته شده است که شامل مدل اعتماد صفر، شفافیت و حریم خصوصی، مقررات و انطباق، تقسیمبندی خرد، هویت مبتنی بر ریسک و انعطافپذیری است. در نزدیک شدن به امنیت سایبری، شهرها باید سه هدف عمده را در نظر داشته باشند.
1) مدیریت ملی
شهرهای هوشمند زیرساختهای پیشرفته را با اتصال متراکم و پرسرعت ترکیب میکنند. آنها فرصتهای اقتصادی جدید و امکانات جدیدی را برای زندگی شهری ارائه میدهند. خطرات بالقوه اختلال نیز قابل توجه است و کاهش این خطرات مستلزم یک رویکرد حرفهای، روشمند و بلندمدت برای امنیت است. به عبارت دیگر، رویکردی که یک دولت برای محافظت از زیرساختهای حیاتی میتواند اتخاذ کند باید با توسعه منظم خط مشیها، دستورالعملها و ابزارهای امنیت سایبری همراه باشد.
2) شهرهای هوشمند به عنوان زیستبوم دفاعی
ایجاد اختلال در شهرهای هوشمند برای متخصصانی که وظیفه ایمنسازی این محیطها را بر عهده دارند، بسیار نگران کننده است. اما «هوشمندی» یک خیابان دوطرفه است که خطراتی را به همراه دارد، اما همچنین حاوی خواص دفاعی و خود درمانی است. اتصال متراکم میتواند به عوامل مخرب اجازه دهد تا به سرعت حرکت کنند، اما اقدامات متقابل دفاعی میتوانند به همان سرعت حرکت کنند و میتوانند از بینش و دید ارائه شده توسط افراد و دستگاههای بیشماری که متصل هستند استفاده کنند. شهر هوشمند یک ارگانیسم زنده است و باید برای تشویق سازماندهی امنیتی و توانمندسازی ساکنان ارگانیک و دیجیتال آن، ساخته شود.
3) راهاندازی مجدد با پایداری
شهرهای هوشمند باید با در نظر گرفتن تابآوری سایبری طراحی شوند. پایداری مفهومی است که در حفاظت از زیرساختهای حیاتی به خوبی درک شده است، اما قیمتی دارد. زیرساختهای پایدار و فنآوری میبایست دارای قابلیتهای اضافی (یعنی پشتیبان یا همان back-up) باشند و اینها به ندرت رایگان هستند. وسوسه حذف این هزینههای اولیه بسیار زیاد است، به استثنای کسانی که قبلاً شاهد اختلال در محیطهای بسیار متصل و هزینههای اقتصادی، اجتماعی و سیاسی ناشی از آن بودهاند. از نظر آنها، پایداری یک معامله به نظر میرسد. راهاندازی مجدد همراه پایداری بسیار سادهتر از جایگزینی است.
برای رسیدن به این سه هدف باید موارد زیر را در نظر داشت:
- همگامسازی شهر با استراتژی سایبری و امکان ایجاد انعطافپذیری
شهرها باید استراتژی امنیت سایبری دقیقی را تعریف کنند که با استراتژی گستردهتر شهر هوشمند آنها مطابقت داشته باشد و بتواند خطرات ناشی از همگرایی مداوم، قابلیت همکاری و یکپارپگی سیستمها و فرآیندهای شهر را کاهش دهد. شهرها باید به منظور شناسایی، ارزیابی و کاهش خطرات در فرآیندهای فناوری، سیاستها و راهحلها، ارزیابیهای منظم و گسترده دادهها، سیستمها و داراییهای سایبری خود را انجام دهند. شهرها باید فضایی را برای تعدیلها و بهبودها بگذارند، زیرا راهحلها، رویکردها و ارتباطات جدید ممکن است پدیدار شوند که بر استراتژی موجود تأثیر می گذارد و نیاز به تغییرات دارد. شهرها باید از اصول «امنیت سایبری با طراحی» پیروی کنند.
- داشتن یک حکمروایی سایبری و دادهای شفاف، همراه با مسئولیتپذیری
شهرها باید یک رویکرد حاکمیتی در مورد دادهها، داراییها، زیرساختها و سایر اجزای فناوری را رسمی کنند. یک مدل حکمرانی جامع باید مسئولیتها و نقشها را برای هر جزء حیاتی در اکوسیستم شهر هوشمند مشخص کند. مدیریت دادهها، از جمله اشتراکگذاری دادهها و خط مشیهای حفظ حریم خصوصی، مهارتهای تجزیه و تحلیل دادهها و مدلهای کسب درآمد که منبعیابی و استفاده از «دادههای شهر» را تسهیل میکند، یک جنبه حیاتی از حاکمیت است.
به گفته Jeff Merritt مدیر بخش IoT و تحول شهری از World Economic Forum: « هنگامی که اتحاد جهانی شهرهای هوشمند G20 شروع به بررسی مسائل امنیت سایبری کرد، ما با یک سیاست بسیار اساسی در درک مسئولیتپذیری شروع کردیم: نهایتا، اینکه چه کسی در داخل مدیریت شهر مسئول است مهم است. اگر به این سوال پاسخ ندهید و اگر وضوح مطلق در آن وجود نداشته باشد، پس با مشکل مواجه خواهید شد.»
- استفاده از زیستبوم و ایجاد مشارکتهای استراتژیک برای رشد قابلیتهای سایبری
شکاف مهارتهای سایبری به این زودیها از بین نمیرود، بنابراین شهرها باید در رفع شکافهای مهارتهای سایبری در مدیریت و تیمهای خود مبتکر و فعال باشند. این رویکرد ممکن است به مدیریت شهری نیاز داشته باشد که روشهای غیر سنتی استفاده از استعدادهای سایبری مانند جمعسپاری، جوایز و مسابقات را برای حل مسائل مربوط به سایبری کشف کند. یک شهر هوشمند به مهارتها و شایستگیهای جدید در لایههای مختلف اکوسیستم خود نیاز دارد. شهرها همچنین میتوانند قابلیتهای موجود را از طریق مشارکتهای استراتژیک و قراردادهای برون سپاری با ارائهدهندگان خدمات افزایش دهند.
- همسوسازی قوانین تنظیم شده
خطمشیها، قانونگذاری و فناوری باید بهطور مداوم همسو شوند تا تعادل مناسب بین حفاظت، حریم خصوصی، شفافیت و سودمندی حفظ شود. حکمرانی، سیاستها و فرآیندها باید همراه با استراتژی کلی سایبری شهر رشد کنند.
- اتخاذ ابزاری خاص برای مدیریت امنیت سایبری شهر هوشمند
اکوسیستمهای متصل دنیا، مانند شهرهای هوشمند و سیستمهای حملونقل هوشمند، ابزارهای جدیدی را برای مدیریت عملیاتهای مخاطره سایبری عظیم خود میطلبند. طیف گسترده قوانین انطباق برای یک شهر نیاز به خودکارسازی فرآیند جمعآوری و همچنین انطباق با این چارچوب بسیار پیچیده مقررات را تعیین میکند. این تنها با یک ابزار توسعه یافته خاص قابل دستیابی است که قادر به ارائه پشتیبانی روزانه از تیم مدیر ارشد امنیت اطلاعات شهر هوشمند (CISO) است. چنین ابزاری که دارایی ایمن است باید پلتفرمی باشد که یک برنامه مدیریت ریسک سایبری یکپارچه را در سراسر چرخه حیات اکوسیستم هوشمند بخشهای دولتی، فروشندگان و اشخاص ثالث، قانونگذاران، سازمانهای امنیتی و البته شهروندان سازماندهی کند. این پلتفرم باید بتواند:
- زمینهساز تجمیع سیستمهای هوشمند ناهمگون در یک دید جامع از امنیت کل اکوسیستم باشد،
- طی فرآیند ارزیابی شکافهای انطباق بر اساس الزامات و چارچوبهای نظارتی را تعیین کند،
- نظارت و ردیابی و پاسخگویی به فعالیتهای سایبری و تهدیدات برای اکوسیستم را انجام دهد،
- حفظ امنیت اکوسیستم برای انعطاف پذیری جامع و مداوم.
هر اکوسیستم شهر هوشمند متفاوت است، بنابراین این پلتفرم باید با محیط متصل خاص، مانند یک شهر هوشمند، با تکمیل و تقویت امنیت فعلی شهر با رویکردی متناسب و مقیاسپذیر، به روز شود.
- سرمایهگذاری در رویدادهای عمومی آگاهی بخشی با موضوع حریم خصوصی
ذینفعان حیاتی یک شهر امن سایبری ساکنان آن هستند. داشتن شهروندان آگاه برای ایجاد اعتماد در ابتکارات موجود و ترویج رفتارهای بهتر در زمینه اشتراکگذاری دادهها و مدیریت ریسکهای داده مهم است.
آقای Kent Larrson مدیر گروه علوم شهری در آزمایشگاه MIT Media چنین میگوید: «در نهایت همه چیز به اعتماد برمیگردد و در حال حاضر سطح پایینی از اعتماد در مورد استفاده از دادههای شخصی وجود دارد، زیرا صنایع از آن برای منافع تجاری محدود استفاده میکنند و نه به نفع عموم.»
بررسی نمونههای جهانی
- توکیو
با توجه به اینکه بازیهای المپیک از سال 2012 لندن به عنوان یک هدف ترجیحی برای مجرمان سایبری انتخاب شده است، ژاپن پس از دریافت برگزاری بازیهای 2020 (که البته به دلیل همه گیر شدن ویروس کرونا به سال 2021 به تعویق افتاد) کار روی حفاظت سایبری را آغاز کرده است. هدف این است که آمادگی برای بازیهای المپیک به اقداماتی برای بهبود قابلیتهای امنیت سایبری ملی ژاپن کمک کند.
استراتژی امنیت سایبری ژاپن در سال 2015 شامل ابتکاراتی برای افزایش امنیت مانند مشارکتهای امنیت سایبری عمومی-خصوصی، توسعه نیروی کار (با استفاده از اکوسیستم شریکان، "فروم بین بخشی") و تمرینها یا همان مانورهای سایبری بود. همچنین از رهبران کسبوکار میخواهد که امنیت سایبری را در استراتژی کسبوکار خود بگنجانند و برای نوآوری و رشد در امنیت سایبری سرمایهگذاری کنند.
علاوه بر این، پروژههایی مانند Cyber Colosseo توسط مرکز ملی آموزش سایبری برای پاسخ به حملات سایبری که انتظار میرفت بازیهای المپیک/پارالمپیک توکیو را هدف قرار دهند، ایجاد شد. Colosseo که در سال 2017 شروع به کار کرد، در حال آموزش متخصصان با استانداردهای لازم برای محافظت از رویداد است، اما با انجام این کار، نیروی کار جدیدی از متخصصان را برای بازار امنیت سایبری ژاپن پس از پایان بازیها ایجاد میکند. در سال 2018، دولت متروپولیتن توکیو دستورالعملی برای اقدامات متقابل امنیت سایبری برای بازیهای المپیک/پارالمپیک ارائه کرد.
با پیشبرد مفهوم Society 5.0، امنیت سایبری در مرکز ژاپن قرار دارد و توکیو از این سرمایه گذاری سود میبرد. این شهر فضای مجازی و اینترنت را محرکهای نوآوری و رشد اقتصادی میداند و یکی از شهرهای برتر جهان است که از هر دو جنبه (دسترسی و امنیت) قدرت دارد. از سال 2019، 91 درصد از ساکنان توکیو به اینترنت دسترسی داشتند و این شهر در رتبه اول امنیت دیجیتال در شاخص شهر ایمن در سال های 2015، 2017 و 2019 که توسط The Economist Intelligence Unit منتشر شده بود، قرار گرفت.
توکیو به سرمایهگذاری در امنیت دیجیتال مانند سیاست حفظ حریم خصوصی، آگاهی از حریم خصوصی شهروندان، مشارکت عمومی-خصوصی و فناوری به کار گرفته شده اولویت بالایی داده است و تیم های امنیت سایبری اختصاصی برای ایمنسازی اکوسیستم دیجیتال خود ایجاد کرده است. به عنوان مثال، در سال 2020، دولت ژاپن اصلاحیه جدیدی را در قانون حفاظت از اطلاعات شخصی (APPI) تصویب کرد تا سیاست را با مقررات حفاظت از دادههای عمومی اتحادیه اروپا (GDPR) مطابقت دهد. دستورالعملهای جدید حفاظت اطلاعات شخصی بیشتری را برای افراد فراهم میکند و شامل مقرراتی میشود که حقوق افراد برای الزام حذف یا افشای اطلاعات شخصی را افزایش میدهد.
با افزایش اتکا به زیرساختهای دیجیتال، خطرات سایبری به ویژه در رابطه با خدمات تراکنش افزایش مییابد. به عنوان مثال در سال 2020 یک سیستم پرداخت دیجیتال، که ستون اصلی زیرساخت شهر هوشمند است متحمل یک حمله سایبری بزرگ شد که منجر به برداشتهای غیرقانونی متعدد در بانکهای منطقه شد. این امر آسیب پذیریهای تجارت الکترونیک را در بحبوحه دیجیتالی شدن فزاینده برجسته کرد.
در نتیجه، در سپتامبر 2020، دولت ژاپن تمرکز خود را بر تقویت استراتژیهای دفاع سایبری افزایش داد و برنامههای خود را برای راهاندازی یک نهاد دولتی، با نام آژانس ملی دیجیتال، برای رهبری تحول دیجیتال در ژاپن اعلام کرد.
- تورنتو
پس از توصیه Auditoreneral، تورنتو روی توسعه امنیت سایبری خود در پاسخ به تهدیدات و حملات کار کرده است. در حال حاضر از فناوری حفاظت از شبکه و شیوههای امنیت سایبری برای ایمن کردن یکپارچگی زیرساخت و محافظت از داراییهای خود استفاده میکند.
این شهر یک برنامه امنیت سایبری را در سال 2017 ایجاد کرد که در سال 2019 بازنگری و گسترش یافت. این شهر یک مدیر ارشد امنیت اطلاعات را با مسئولیت ایجاد یک استراتژی امنیت سایبری برای مدیریت ریسک سایبری و تقویت دفاع سایبری موجود منصوب کرده است. برای افزایش قابلیتهای امنیتی خود از طریق مشارکت با دفتر حسابرسی کل، آموزش امنیت سایبری را به کارکنان شهر ارائه میدهد و از فعالیتهای امنیت سایبری پشتیبانی میکند.
کانادا در حال حاضر با کمبود استعدادهای سایبری مواجه است و دانشگاه تورنتو (U of T) با پنج دانشگاه دیگر کانادایی متحد شده است تا امکان سنجی یک مرکز عملیات امنیت سایبری برای آموزش عالی در کانادا را بررسی کند. این شهر همچنین میزبان ابتکارات دیگری مانند Catalyst Cyber Accelerator برای استفاده از اکوسیستم امنیت سایبری و توسعه تخصص بوده است. تورنتو دارای موسسات دانشی، شرایط بازار و منابع مالی است تا خود را به عنوان یک رهبر جهانی در امنیت سایبری، هم به تنهایی و هم به عنوان بخشی از مرکز امنیت جهانی انتاریو قرار دهد.
در سال 2019، شهر تورنتو در رتبه ششم در فهرست شهرهای ایمن اکونومیستقرار گرفت. نتایج عملکرد بالا در مقولههای امنیت دیجیتال، امنیت سلامت، امنیت زیرساخت و امنیت شخصی، شهر را در رتبه ششم از 100 شهر امتیازدهی شده در این مطالعه قرار داد.
همانطور که دنیای ما به هم پیوستهتر شده است، اهمیت حریم خصوصی افزایش یافته است. اشتیاق اولیه برای مفهوم شهر هوشمند بیش از حد به هم پیوسته، با واکنش شدید شهروندان به دلیل نگرانیهای حفظ حریم خصوصی همراه شد و پروژه توسعه آزمایشگاه پیادهروی آلفابت و تغییر شکل آبنمای تورنتو در سال 2020 کنار گذاشته شد. علیرغم ایدههای جذاب برای ساختمانها، وسایل نقلیه خودران، و برجهای چوبی پیشرفته برای مقرونبهصرفهتر کردن مسکن، این پروژه نتوانست مردم را در مورد مزایای حسگرها و نظارت متقاعد کند و در عوض باعث ایجاد ترس و سوء ظن در مورد حریم خصوصی (و نظارت) شد.
اگرچه هدف ارائه مزایا به مردم بوده است، ناتوانی در جلب اعتماد و عدم شفافیت به عنوان دلایلی برای کنار گذاشتن این پروژه تلقی میشود که البته نشان دهنده تعادلی است که مقامات محلی باید با اجرای پروژههای شهر هوشمند در آینده به دست آورند. تورنتو اکنون چشم انداز جدیدی را برای این منطقه ارائه کرده است، تا پروژه Sidewalk Lab را با تمرکز شهروند محور و جامعه جایگزین کند.
بدین ترتیبب سومین قسمت از بررسی اجزای شهرهای هوشمند آینده نیز به پایان میرسد.
اگر بخش اول از موضوع امنیت سایبری در شهرهای هوشمند آینده را مطالعه نکردید میتوانید در ادامه آن را بخوانید.
سایر مطالب مرتبط که ممکن است خوشتان بیاید.
مطلبی دیگر از این انتشارات
مبانی حقوقی شهر هوشمند چیست؟
مطلبی دیگر از این انتشارات
مقایسه خودروهای برقی و دوچرخه سواری!!
مطلبی دیگر از این انتشارات
ریسکهای امنیتی که شهرهای هوشمند را تهدید میکند