በዓለም አቀፍ ደረጃ የሳይበር ደህንነት ስጋት ከጊዜ ወደ ጊዜ እየጨመረ መምጣቱን ተከትሎ የሳይበር ጥቃቶች እየተበራከቱ አሳሳቢ ሁኔታዎች እየተፈጠሩ ይገኛሉ። ከሚሰነዘሩት የሳይበር ጥቃቶች ከፍተኛውን ቁጥር የሚይዙት ደግሞ በቁልፍ መሠረተ ልማቶች ላይ የሚደረጉት መሆናቸውንም መረጃዎች ይጠቁማሉ።
መረጃዎቹ እንደሚያመላክቱት፤ በቁልፍ መሰረተ ልማቶች ላይ የተቃጡ ጥቃቶች ብዙ ችግሮችን ያስከትላሉ። ለአብነት እ.ኤ.አ.በ2021 በአሜሪካ የኮሎኒያል የነዳጅ ማስተላለፊያ መስመር ላይ የተፈፀመው የሳይበር ጥቃት ከፍተኛ የነዳጅ እጥረት ከማስከተሉ ባሻገር የሳይበር ጥቃት መሰረታዊ አገልግሎቶችን እንዴት ማስተጓጎል እንደሚችሉ ያሳየ ክስተት ሆኗል።
በኢትዮጵያም የሳይበር ጥቃት ሙከራው እየጨመረ መምጣቱን መረጃዎች ያመላክታሉ። ባለፈው ዓመት ከተከሰቱ 8ሺ854 የሳይበር ጥቃት ሙከራዎች መካከል ከፍተኛው ድርሻ የሚይዘው በቁልፍ መሰረተ ልማቶች ላይ የተሞከሩት ናቸው። ይህም አብዛኛዎቹ የሳይበር ጥቃቶች የሚያነጣጥሩት ቁልፍ መሠረተ ልማቶች ላይ መሆኑን ያሳያል።
እነዚህ መረጃዎች እንደ ሀገር የሳይበር ጥቃት ለመመከት የሚያስችል ዝግጅት መደረግ ያለበት ስለመሆኑና ለእዚህ የሚያስፈልጉ ቴክኖሎጂዎችን በመታጠቅ ለቁልፍ መሰረተ ልማቶች ልዩ ጥበቃ ሊደረግ እንደሚገባ ያስገነዝባሉ።
የጥቅምት ወር ‹‹የሳይበር ደህንነት›› የሚከበርበት እንደመሆኑ የዘንድሮውም የጥቅምት ወር ይህንኑ ታሳቢ ባደረገ መልኩ ‹‹የቁልፍ መሰረተ-ልማት ደህንነት ለዲጂታል ሉዓላዊነት›› በመሪ ሀሳብ እየተከበረ ይገኛል። ይህንኑ ምክንያት በማድረግም የኢትዮጵያን ቁልፍ መሠረተ ልማቶች የሳይበር ደህንነት የሚያስቃኝ የዳሰሳ ጥናት ተሰርቶ ቀርቧል። በጥናቱ ዓለም አቀፍ ተሞክሮ፣ በአገሪቱ ከ2014 እስከ 2016 ዓ.ም በቁልፍ መሠረተ ልማቶች ላይ የተቃጡ ጥቃቶች፣ የተፈጠሩ ክፍተቶች፣ የተወሰዱ እርምጃዎችና የመፍትሔ ሀሳቦች በዝርዝር ተመላክተዋል።
ጥናቱ አቅራቢ የኢንፎርሜሽን መረብ ደህንነት አስተዳደር ምክትል ዳይሬክተር አቶ ዳንኤል ጉታ እንዳሉት፤ ቁልፍ መሰረተ ልማቶች ከሀገር ሀገር እንደ ዕድገትና ፍላጎት ደረጃቸው የተለያየ ሊሆን ይችላል። ውስን መሰረተ ልማቶች በሁሉም ሀገራት ቁልፍ ተደርገው ይወሰዳሉ። ሀገራት ያላቸውን የፋይናንስ፣ ቴክኖሎጂና የሰው ኃይል አቅም እንዲሁም የደህንነት ስጋታቸውን ታሳቢ በማድረግ ለተለያዩ ቁልፍ መሰረተ ልማቶች ቅድሚያ ሊሰጡ ይችላሉ።
በዚህ መሠረት አሜሪካና ማላዊን ጨምሮ የ97 ሀገራት ቁልፍ የመሠረተ ልማቶችን ለይተዋል። ቁልፍ ተብለው ከተለዩት መሰረተ ልማቶች ዋና ዋናዎቹ በጤና፣ በኢንፎርሜሽን ኮሙኒኬሽንና ቴክኖሎጂ፣ በኃይል፣ በጸጥታና ደህንነት፣ በውሃና ፍሳሽ፣ በኢንዱስትሪ፣ በምግብ፣ በትራንስፖርት፣ በፋይናንስ እና በመንግሥት አገልግሎቶች ዘርፎች ናቸው።
የበርካታ ሀገራትን ተሞክሮች የጠቀሱት አቶ ዳንኤል፤ እነዚህን ተሞክሮዎች እንደ ሀገር በመቀመር የጠንካራ ቁልፍ መሰረተ ልማቶችን የሳይበር ደህንነት ማስጠበቅ የሚያስችል ሁሉን አቀፍ አካሄዶች መከተል እንደሚገባ አስገንዝበዋል። በአገሪቱ አሁን እየታየ ካለው ከፍተኛ የሳይበር ስጋት አንፃር ወቅቱን ታሳቢ ያደረገ የሳይበር ደህንነትን የማስጠበቅ ስራ መስራት ወሳኝ መሆኑን አመላክተዋል።
በጥናቱ ቁልፍ መሰረተ ልማቶችን ለመለየት የሚያስችሉ አራት መሰረታዊ መስፈርቶችን ያቀረቡት አቶ ዳንኤል፤ ቁልፍ መሰረተ ልማቶች ለሀገር ኢኮኖሚያዊ፣ ማህበራዊና ፖለቲካዊ ዕድገት የማይተካ ሚና እንዳላቸውም አመላክተዋል። መሰረተ ልማቶቹ ከአንድ ዘርፍ በላይ የሚያገለግሉ፣ ለሀገር ግንባታ ከፍተኛ ሚና የሚጫወቱና ከፍተኛ መዋለ ነዋይ የሚጠይቁ መሆናቸውን ይገልጻሉ። እነዚህ ተቋማት ላይ ጉዳት ቢደርስ በብሔራዊ ጥቅምና ደህንነት፣ እንዲሁም በዜጎች ሕይወት ላይ ከፍተኛ ቀውስ ሊፈጠር እንደሚችል አመላክተዋል።
ለቁልፍ የኢንፎርሜሽን መሠረተ ልማቶች ልዩ ጥበቃ ማድረግ እንደሚያስፈልግ አቶ ዳንኤል አስታውቀው፤ ቁልፍ መሰረተ ልማቶች ለአገርና ለማህበረሰብ ቀጣይነትና መልካም መስተጋብር ያላቸው ሚና ተኪ እንደሌለው ተናግረዋል። ከሚፈጠሩ አሉታዊ ተጽዕኖዎች አንጻር የባላንጣ ሀገራትና የውስጥና ውጭ ጥፋት ኃይሎች ኢላማ መሆን፣ በመሰረተ ልማቶቹ ጥቃቶችና በሀገር ጥቅምና ደህንነት ላይ ከፍተኛ ተጽዕኖ የሚፈጥሩና በአንድ ዘርፍ ብቻ ተወስነው የማይቆሙ የመዛመት አቅማቸው ከፍተኛ የሚፈጥሩ መሆናቸውን ገልጸዋል።
አቶ ዳንኤል እንዳሉት፤ ጥናት ማካሄድ ያስፈለገበት ዋንኛ ምክንያት እንደ ሀገር በቁልፍ መሰረተ ልማቶች ላይ የሳይበር ደህነነት ስጋቶች ከምን ጊዜውም በላይ እየጨመሩ በመምጣታቸው ነው። የቁልፍ መሰረተ ልማቶችን ደህንነት የማስጠበቅ ኃላፊነት በውስን አካላት ላይ ብቻ መጣሉ፣ የዲጂታል ትራንስፎርሜሽን ኢንሼቲቮች ቀጣይነት ማረጋገጥ የሚያስችል አስገዳጅ የጥበቃ ስርዓት በመዘርጋት ሀገራዊ ዝግጁነት መፍጠር፣ የሳይበር ደህንነት ክስተቶችን በአግባቡ ለማስተናገድና ጉዳታቸውን ለመቀነስ የሚያስችል አስገዳጅ ስርዓት መዘርጋት፣ ሀገራዊ ማሕቀፎችን ከማስፈፀም እና የአቅም ፍተሻና ግምገማ ለማድረግ የሚያስችል አስገዳጅ የቁጥጥር ስርዓት መፍጠር በማስፈለጉ ነው ጥናቱ የተካሄደው።
እሳቸው እንደሚሉት፤ ሳይበር ደህንነት ጥቃት ሙከራዎች የቴክኖሎጂ ላይ ጥገኝነት በመጨመሩና ተደራሽነት በመስፋፋቱ ምክንያት እየጨመሩ መጥተዋል። ቁልፍ መሰረተ ልማቶችና አገልግሎቶች ላይ መስተጓጎል ሲፈጠር በሀገሪቱ ማህበራዊና ኢኮኖሚያዊ እድገት ብሎም ሰላምና መረጋጋት ላይ አሉታዊ ተፅዕኖ ይፈጠራል። ጥቃት ፈፃሚዎቹ ሀገራት፣ የሽብር ቡድኖች፣ ፅንፈኞች፣ የወንጀል ብድኖች ሊሆኑ ይችላሉ።
ቁልፍ መሰረተ ልማቶችን ከማስጠበቅ አንፃር እንደ ሀገር ከፖሊሲና ከሕግ አንጻር የተወሰዱ ርምጃዎች እንዳሉም አቶ ዳንኤል ይገልጻሉ በዳሰሳ ጥናቱም ክፍተቶችን መለየት ተችሏል ሲሉም ይገልጻሉ።
ከክፍተቶቹ መካካልም በሀገር አቀፍ ደረጃ ሕግን መሰረት ያደረጉ ቁልፍ መሰረተ ልማቶችን ለመለየት የሚያስችሉ መስፈርቶች አለመውጣታቸው፣ ብሔራዊ የሳይበር ደህንነት አመራር ቁልፍ መሰረተ ልማቶችን ቢለይም የሰነዱ አስገዳጅነት አናሳ መሆኑ እና መንግሥት ቅድሚያ በመስጠት ጥበቃ ሊያደርግላቸው የሚገቡ መሰረተ ልማቶችን በግልፅ አለመለየታቸው ይጠቀሳሉ።
ከፖሊሲና ስታንዳርድ አንፃርም እንዲሁ የተለዩ ክፍተቶች መኖራቸውን ገልጸው፣ ከፋይናንስ ተቋማት ውጪ የቁልፍ መሰረተ ልማት ተቋማት የራሳቸውን የሳይበር ደህንነት ፖሊሲና ስታንዳርድ ማውጣትና መተግበር ላይ ክፍተት እንዳለባቸውም ያመለክታሉ። ፖሊሲ ያላቸው ተቋማት ቢሆኑም በየወቅቱ የመከለስና ተግባራዊ በማድረግ ሂደት ላይ ክፍተቶች እንዳለባቸውም ተናግረዋል። ውስን ዘርፎች (የፋይናንስ ዘርፍ – በብሔራዊ ባንክ በኩል) የራሳቸውን ዘርፍ ተኮር የሳይበር ደህንነት ስርዓቶች በማውጣት ቢቆጣጠሩም፤ በአብዛኞቹ ዘርፎች ላይ ግን ክፍተቶች እንደሚስተዋሉ አመልክተዋል።
የመረጃ ልውውጥ ቁልፍ መሰረተ ልማት ተቋማት የሳይበር ስጋት፣ አደጋ ወይም ክስተት ሲያጋጥማቸው ሪፖርት የሚያደርጉበት አስገዳጅ ስርዓት አለመኖር፣ ተቋማት ከሀገራዊ የኮምፒውተር አደጋ ምላሽ መስጫ ማዕከል (ከኢትዮ-ሰርት) ጋር በቅንጅት መረጃ የሚለዋወጡበት ጠንካራና ሕግን መሠረት ያደረገ ስርዓት አለመኖሩ እና ክስተቶችን አስመልክቶ ከኢትዮ ሰርት የሚሰጡ መረጃዎችንና ማስተካከያዎችን ተቀብሎ ከመተግበር አንፃር ክፍተቶች እንዳሉም አቶ ዳንኤል አስታውቀዋል።
አቶ ዳንኤል እንዳብራሩት፤ ከቅንጅታዊ አሰራር ጋር ተያይዞም ክፍተቶች ይስተዋላሉ። ከእነዚህ መካካል ቁልፍ መሰረተ ልማቶችን የሚመሩ ዘርፎችን በማዕከል ደረጃ የሚያገለግሉ ዘርፍ ተኮር የኮምፒውተር አደጋ ምላሽ መስጫዎች (Sectorial CERT) የሉም። ከሳይበር ደህንነት ጋር የተያያዙ መረጃዎችን፣ እውቀቶችንና ልምዶችን ከተፈቀደላቸው አካላት ጋር መለዋወጥ የሚያስችለው አግባብ አነስተኛ ነው።
በብሔራዊ እና የተቋማት የሴክዩሪቲ ኦፕሬሽን ሴንተር አደጋ ምላሽ መስጫዎች ጋር ያለው ቅንጅትም እንዲሁ አነስተኛ መሆኑን ጠቅሰው፣ ከቁልፍ ተቋማት ጋር የሳይበር ደህንነት ስጋትን ለመቀነስ የሚደረግ የእውቀት ሽግግር ልምድ ልውውጥ ተግባራት አነስተኛ መሆናቸውም ገልጸዋል።
የሳይበር ደህንነትን ዋና ስራቸው አድርገው የሚሰሩ አደረጃጀቶችን ከመፍጠር አንፃር የተስተዋሉ ክፍተቶች እንዳሉ አቶ ዳንኤል ይጠቁማሉ። የደህንነት ኦፕሬሽን ማዕከሎችን (SOC) ከማደራጀት አንፃር በበርካታ ቁልፍ መሰረተ ልማት ተቋማት ዘንድ ውስንነት እንደሚታይም ነው ያመለከቱት። ዘርፍ ተኮር የኮምፒውተር አደጋ ምላሽ መስጫ ማዕከሎችን (Sectorial CERT) በማቋቋም ረገድም ክፍተቶች እንዳሉ ጠቅሰው፤ በዚህም የኢንፎርሜሽን መረብ ደህንነት አስተዳደር የሀገራዊውን እንዲሁም የዘርፍ ክስተት አስተዳደሮችን እንዲሰራ መገደዱን አመላክተዋል።
ጥናቱ በአስገዳጅ ሕጎች ላይም ክፍተት እንዳለ ያመላክታል ያሉት አቶ ዳንኤል፤ ከብሔራዊ የኮምፒውተር አደጋ ምላሽ መስጫ ማዕከል የሚሰጡ ማስተካከያዎች አስገዳጅነት የሌላቸው መሆናቸውንም አንስተዋል። ከቁልፍ መሰረተ ልማቶች የሳይበር ደህንነት ጋር ተያይዘው የሚወጡ ስታንዳርዶችንና ስርዓቶችን ተግባራዊ በማድረግ በኩልም ክፍተት መፍጠሩን ገልጸዋል።
እሳቸው እንዳሉት፤ የሳይበር ደህንነት ፍተሻና ግምገማ አስገዳጅነት የሌለው በመሆኑ ይህ ስራ ከዓለም አቀፍ ልምድ በተቃረነ መልኩ በተቋማት መልካም ፈቃድ ላይ መመስረቱ፤ በፍተሻና ግምገማ የሚሰጡ ማስተካከያዎችን ለማስተግባር አልተቻለም። በእነዚህም ምክንያቶች አስተዳደሩ በአዋጅ በተጣለበት ኃላፊነት መሰረት ክትትልና ድጋፍ የማድረግ፣ መረጃ የመለዋወጥ እንዲሁም ሌሎች የቁጥጥር ስራዎችን በመስራት በኩል እክሎች እየተፈጠሩበት ናቸው። በቸልተኝነት ጉዳት እንዲደርስ የሚያደርጉ አካላትን ተጠያቂ ማድረግም አልተቻለም።
በአስተዳደሩ በኩል የሳይበር ደህንነትን ከማስጠበቅ አንጻር በርካታ ሥራዎች መሰራታቸውንና የተወሰዱ እርምጃዎች እንዳሉም አመልክተው፣ ከፖሊሲ አንጻር ሀገራዊ የሳይበር ደህንነት ፖሊሲ እንዲፀድቅ ተደርጓል ይላሉ። በፖሊሲውም የቁልፍ መሰረተ ልማት ጥበቃ አንድ የትኩረት አቅጣጫ እንዲሆን ሁሉን አቀፍ የቁልፍ መሰረተ ልማቶች ደህንነት ረቂቅ አዋጅ በማዘጋጀትና ረቂቅ የሕግ ማዕቀፉን በሁለት ሀገራዊ መድረኮች በመፍጠር እና በፍትሕ ሚኒስቴር ማስተቸት የቁልፍ መሰረተ ልማቶችን የቴክኖሎጂ የአቅርቦት ሰንሰለትን ደህንነት ለማረጋገጥ የሚያስችል የቴክኖሎጂ ቁጥጥር አዋጅ ማፀደቅ ተችሏል።
በሬጉላቶሪ በቁልፍ መሠረተ ልማት ዘርፍ ሊወሰዱ የሚገባቸውን እርምጃዎች የሀገራዊ ሕጎችን መነሻ በማድረግ ዘርፉን ልዩ ባሕሪ ታሳቢ ያደረጉ ፖሊሲ፣ ስትራቴጂና አስገዳጅ ማሕቀፎችን ማልማት ያስፈልጋል ሲሉም ጠቁመዋል። የዘርፉን የሳይበር ደህንነት ክስተቶች ሪፖርት የሚቀበልና ምላሽ የሚሰጥ አደረጃጀት መፍጠር ይጠበቃል ሲሉም ገልጸዋል።
ለዚህም የአመራር ቁርጠኝነት እንደሚያስፈልግ፣ በቂ ፋይናንስ በመመደብና ዘርፉን በቴክኖሎጂና በሰው ኃይል አቅም መግራት እንደሚገባም አስታውቀዋል። የዘርፉን ክፍተቶች በመለየት ለፋይናንስ ተቋማት ብሎም ለራሱ አባላት አቅም ግንባታና ግንዛቤ ማስጨበጫ ፕሮግራም መተግበር እና የዘርፉ ተዋናዮች ስራ ላይ የሚገኙ የደህንነት ማዕቀፎችን መሰረት አድርገው መስራታቸውን መቆጣጠርና እርምጃ መውሰድ ወይም ሪፖርት ማድረግ ይጠበቅባቸዋል ሲሉ አስገንዘበዋል።
ጥናቱ በመፍትሔነት ካስቀመጣቸው መካከልም በቁልፍ መሰረተ ልማት ተቋማት በሳይበር ደህንነት ፕሮግራም፣ በሰው ኃይል አቅም ግንባታ፣ በአደረጃጀትና በቂ ሀብት በመመደብ ላይ ሊወሰዱ የሚገባቸው የመፍትሔ እርምጃዎች እንዳሉም አቶ ዳንኤል ጠቁመው፣ ከሳይበር ደህንነት አንጻር አደጋ ትንተና ላይ የተመሰረተ ስትራቴጂክ፣ ታክቲካልና ኦፕሬሽናል እርምጃዎችን መውሰድ እንደሚስፈልግ ይገልጻሉ።
የሰው ኃይል አቅም ግንባታ ስራው የምስክር ወረቅት /ሰርቲፋይድ የሆኑ/ እና ደህንነት ማረጋገጫ ያላቸው ባለሙያዎች መቅጠርን፣ ቀጣይነት ያለው የአቅም ግንባታና ግንዛቤ ማስጨበጫ መስጠትን እንደሚጠይቅ አንስተዋል። ከአደረጃጀት ጋር ተያይዞም እንዲሁ እንደሚያስተዳድሩት ሃብት ተመጣጣኝ የሳይበር ደህንነት እና ክስተት አስተዳደር መፍጠር እንደሚገባ ጠቅሰው፤ በቂ ፋይናንስ ወይም ሀብት በመመደብ አቅምን ማጠናከር እንደሚያስፈልግ አስገንዝበዋል።
በዓለም አቀፍ ደረጃ የሳይበር ጥቃት ከቴክኖሎጂው እድገት ጋር እየተወሳሰበ እና እየተራቀቀ መምጣቱን ጠቅሰው፣ እያደረሰ የሚገኘውም ጉዳት እጅግ ከፍተኛ መሆኑን አቶ ዳንኤል፤ የሳይበር ደህንነት ጉዳይ የተቋማት ብቻ እንዳልሆነም አስታውቀው፣ የብሔራዊ ደህንነት የሀገር ሉዐላዊነት ጉዳይ መሆኑን ገልጸዋል። የሳይበር ምህዳር ተግዳሮቶችን ለመፍታት ሁሉም በጋራ ሊረባረብ እንደሚያስፈልግ አመላክተዋል።
ወርቅነሽ ደምሰው
አዲስ ዘመን ጥቅምት 26/2017 ዓ.ም