در این صفحه

راهبرد جامع و سازمانی امنیت

راهنمایی جامع برای یکپارچه‌سازی امنیت دیجیتال، فیزیکی و روانی-اجتماعی برای افراد و سازمان‌هایی که در محیط‌های پرخطر مانند ایران فعالیت می‌کنند.

Time20 minutes

استراتژی امنیت جامع و سازمانی

امنیت اغلب از دریچه‌ی تنگ ابزارهای فنی نگریسته می‌شود: وی‌پی‌ان‌ها (VPN)، رمزنگاری و گوشی‌های امن. اگرچه این اقدامات دیجیتال حیاتی هستند، اما تنها یکی از ستون‌های حفاظتی به شمار می‌روند. دستگاه امنیتی جمهوری اسلامی از استراتژی‌ای استفاده می‌کند که نه تنها دستگاه‌ها، بلکه امنیت فیزیکی و تاب‌آوری روانی افراد و گروه‌ها را هدف قرار می‌دهد.

امنیت جامع (Holistic Security) رویکردی یکپارچه است که ارتباط عمیق میان امنیت دیجیتال، امنیت فیزیکی و سلامت روانی-اجتماعی را به رسمیت می‌شناسد. نفوذ یا شکست در یک حوزه، اغلب منجر به آسیب‌پذیری در سایر حوزه‌ها می‌شود. برای مثال، استرس شدید (روانی-اجتماعی) می‌تواند منجر به مدیریت بی‌دقت رمزهای عبور (دیجیتال) شود که در نهایت ممکن است به دستگیری (فیزیکی) ختم گردد.

این راهنما چارچوبی را برای افراد و سازمان‌ها فراهم می‌کند تا در برابر نظارت گسترده و سرکوب دولتی، تاب‌آوری و مقاومت ایجاد کنند.

۱. چارچوب جامع (Holistic Framework)

برای بقا و پیشرفت در محیطی با تهدیدات بالا، استراتژی‌های امنیتی باید سه حوزه‌ی متصل به هم را پوشش دهند:

۱. امنیت فیزیکی: محافظت از بدن، خانه، دفتر کار و دارایی‌های فیزیکی در برابر یورش، بازداشت و خشونت. ۲. امنیت دیجیتال: محافظت از داده‌ها، ارتباطات و هویت آنلاین در برابر شنود، هک و نظارت. ۳. سلامت روانی-اجتماعی: حفظ سلامت روان، تاب‌آوری عاطفی و پویایی سالم گروهی برای جلوگیری از فرسودگی و دستکاری روانی.

چرخه‌ی آسیب‌پذیری

عوامل حکومتی اغلب از استرس و تروما سوءاستفاده می‌کنند. بازجویان از فشار روانی برای استخراج رمزهای عبور دیجیتال بهره می‌برند. در مقابل، آزار و اذیت دیجیتال (مانند افشای اطلاعات خصوصی یا Doxxing) باعث اضطراب واقعی و خطرات فیزیکی می‌شود. استراتژی شما باید با تقویت ظرفیت‌ها در هر سه حوزه به طور همزمان، این چرخه را بشکند.

۲. پایش و تحلیل موقعیت

امنیت یک وضعیت ثابت نیست؛ بلکه پاسخی به محیطی دائماً در حال تغییر است. شما باید به طور منظم زمینه‌ای که در آن فعالیت می‌کنید را تحلیل کنید تا پیش از وقوع تهدیدات، آن‌ها را پیش‌بینی کنید.

تحلیل PESTLE برای ایران

یک روش ساختارمند برای پایش تغییرات، چارچوب PESTLE است. به طور منظم بپرسید که تحولات در این حوزه‌ها چگونه بر امنیت شما تأثیر می‌گذارد:

سیاسی (Political): آیا انتصابات جدیدی در بین تندروها صورت گرفته است؟ آیا لفاظی‌ها علیه "عوامل خارجی" تشدید شده است؟
اقتصادی (Economic): آیا تورم منجر به ناآرامی‌های اجتماعی شده است؟ آیا تحریم‌ها بر دسترسی به سخت‌افزارهای امن تأثیر گذاشته‌اند؟
اجتماعی (Social): آیا ماهیت اعتراضات عمومی در حال تغییر است؟ آیا دوقطبی‌سازی یا همبستگی افزایش یافته است؟
تکنولوژیکی (Technological): آیا "شبکه ملی اطلاعات" (اینترنت ملی/حلال) در حال گسترش است؟ آیا پروتکل‌های مسدودسازی جدیدی در حال آزمایش هستند؟
قانونی (Legal): آیا لوایح جدیدی برای جرم‌انگاری آزادی بیان آنلاین یا رمزنگاری تصویب شده است؟
محیط‌زیستی (Environmental): آیا سیل یا زلزله آسیب‌پذیری‌های فیزیکی ایجاد کرده یا پوششی برای سرکوب دولتی فراهم کرده است؟

شاخص‌های امنیتی

یک شاخص امنیتی هرگونه ناهنجاری است که نشان‌دهنده تغییر در چشم‌انداز تهدیدات شماست. به شهود خود اعتماد کنید، اما آن را با متحدان خود راستی‌آزمایی کنید.

دیجیتال: تغییر ناگهانی رمزهای عبور، صداهای عجیب در تماس‌ها، دریافت کدهای تایید دو مرحله‌ای (2FA) بدون درخواست شما، خالی شدن سریع باتری.
فیزیکی: خودروهای ناآشنا پارک شده در نزدیکی خانه، افزایش حضور پلیس، تعقیب شدن.
روانی-اجتماعی: شروع ناگهانی بی‌خوابی، بیش‌هوشیاری (Hyper-vigilance)، بحث و جدل‌های تیمی، یا احساس ترس توجیه‌ناپذیر.

اقدام: یک گزارش امن (Log) از این شاخص‌ها تهیه کنید. آن‌ها را با شرکای مورد اعتماد به اشتراک بگذارید تا مشخص شود آیا این موارد حوادثی ایزوله هستند یا بخشی از یک کمپین هماهنگ علیه شبکه شما.

۳. استراتژی امنیت سازمانی

گروه‌ها و سازمان‌ها با چالش‌های پیچیده‌ای روبرو هستند. شما باید بین باز بودن (برای رشد جنبش) و مخفی‌کاری (برای محافظت از اعضا) تعادل برقرار کنید.

ارزیابی ظرفیت‌ها و آسیب‌پذیری‌ها

قبل از ایجاد قوانین جدید، آنچه را که دارید ارزیابی کنید:

ظرفیت‌ها: نقاط قوتی که ریسک را کاهش می‌دهند (مانند داشتن وکیل، تخصص فنی، پیوندهای اعتماد قوی).
آسیب‌پذیری‌ها: نقاط ضعفی که ریسک را افزایش می‌دهند (مانند سرور اداری رمزنگاری نشده، عضوی که مستعد وحشت‌زدگی است، وابستگی به کانال‌های مالی ناامن).

فرهنگ‌سازی امنیتی

سیاست‌ها اگر نادیده گرفته شوند، بی فایده‌اند. برای ایجاد فرهنگ امنیت:

۱. طراحی مشارکتی: همه اعضا را در ایجاد پروتکل‌های امنیتی مشارکت دهید. قوانینی که از بالا تحمیل می‌شوند، اغلب توسط کارکنان میدانی که آن‌ها را غیرعملی می‌دانند، نادیده گرفته می‌شوند. ۲. فضاهای امن: محیط‌هایی ایجاد کنید که کارکنان بتوانند اشتباهات خود (مانند کلیک روی لینک فیشینگ) را بدون ترس از مجازات اعتراف کنند. گزارش‌دهی سریع جان انسان‌ها را نجات می‌دهد. ۳. بازبینی منظم: طرح‌های امنیتی اسناد زنده هستند. بعد از هر حادثه مهم یا تغییر سیاسی، آن‌ها را بازبینی کنید.

مدیریت نفوذ و بی‌اعتمادی

ترس از مخبران سلاحی قدرتمند است که توسط نهادهای اطلاعاتی برای فلج کردن گروه‌ها استفاده می‌شود.

پرهیز از پارانویا: بدگمانی مداوم انسجام گروه را از بین می‌برد. فرض کنید نظارت وجود دارد، اما بر کاهش ریسک تمرکز کنید نه شکار جادوگر.
محدودسازی دسترسی (Compartmentalization): همه افراد نیاز به دسترسی به همه چیز ندارند. از اصل "نیاز به دانستن" (Need to Know) استفاده کنید.
پرچم‌های قرمز رفتاری: نسبت به افرادی که برای اقدامات خشونت‌آمیز یا غیرقانونی که گروه را به خطر می‌اندازد اصرار می‌کنند (عوامل نفوذی/تحریک‌کننده)، یا کسانی که دائماً پروتکل‌های امنیتی را نادیده می‌گیرند، محتاط باشید.

۴. تاب‌آوری روانی-اجتماعی و مدیریت استرس

کنشگری در ایران ذاتاً پر استرس است. قرار گرفتن طولانی‌مدت در معرض تهدیدات، بازجویی، یا ترومای ناشی از مشاهده خشونت می‌تواند عملکرد شناختی را کاهش دهد و شما را در برابر اشتباهات آسیب‌پذیر کند.

تأثیر استرس بر امنیت

بیش‌هوشیاری (Hyper-vigilance): دیدن تهدید در جایی که وجود ندارد، که منجر به فرسودگی و انزوا می‌شود.
کرختی/انکار: نادیده گرفتن هشدارهای واقعی زیرا مغز توان پردازش ترس بیشتر را ندارد.
جمود: امتناع از تطبیق تاکتیک‌ها علیرغم تغییر شرایط.

تمرین جدول استرس

شاخص‌های استرس شخصی خود را ترسیم کنید تا متوجه شوید چه زمانی وارد "منطقه قرمز" می‌شوید.

سطح	علائم (مثال)	اقدامات متقابل
سبز (سالم)	متمرکز، پرانرژی، خواب خوب.	حفظ روتین‌ها، ورزش منظم.
زرد (هشدار)	تحریک‌پذیر، حذف وعده‌های غذایی، عدم تمرکز.	استراحت کنید، از اخبار فاصله بگیرید، با یک همکار صحبت کنید.
قرمز (بحرانی)	حملات پانیک، ناامیدی، درد جسمانی، سوءمصرف مواد.	توقف فوری. جستجوی کمک حرفه‌ای، فعال‌سازی شبکه حمایتی، کناره‌گیری از وظایف پرخطر.

پویایی گروه تحت تهدید

وقتی گروهی تهدید می‌شود، اغلب استبدادی‌تر و خشک‌تر می‌شود. تصمیم‌گیری متمرکز شده و صدای مخالفان خاموش می‌شود.

اقدام متقابل: پروتکل‌های تصمیم‌گیری شفاف را قبل از وقوع بحران ایجاد کنید.
اقدام متقابل: "ارتباط بدون خشونت" (NVC) را برای حل تعارضات داخلی که مانع بحث‌های امنیتی می‌شود، تمرین کنید.

۵. ایجاد طرح‌ها و توافق‌نامه‌های امنیتی

یک طرح امنیتی تحلیل را به عمل تبدیل می‌کند. این طرح باید شامل پیشگیری، واکنش و بازیابی باشد.

پیشگیری

بهداشت دیجیتال: الزام استفاده از تایید دو مرحله‌ای (2FA)، رمزنگاری و کانال‌های ارتباطی امن (مانند سیگنال).
سخت‌سازی فیزیکی: ایمن‌سازی دسترسی به دفتر، سیاست میز تمیز (Clean desk policies) و تمرینات ضد تعقیب و مراقبت.
گزینش (Vetting): پروتکل‌هایی برای جذب اعضای جدید و داوطلبان.

واکنش اضطراری (مدیریت بحران)

وقتی پیشگیری شکست می‌خورد (مثلاً دستگیری یا یورش)، به یک برنامه فوری و از پیش تمرین شده نیاز دارید.

دکمه وحشت (Panic Button): آیا مکانیزمی برای اطلاع‌رسانی فوری به تیم در صورت آغاز یورش وجود دارد؟
امحای داده‌ها: چه کسی مسئول پاک‌سازی دستگاه‌هاست؟ (به بخش Data_Encryption_Storage_and_Destruction.md مراجعه کنید).
حمایت حقوقی: آیا شماره وکیلی را حفظ کرده‌اید یا روی بدن خود نوشته‌اید؟
درخت ارتباطی: چه کسی با چه کسی تماس می‌گیرد؟ اطمینان حاصل کنید که اعضای خانواده می‌دانند بدون افشای اطلاعات حساس چه کاری انجام دهند.

طبقه‌بندی اطلاعات

همه داده‌ها برابر نیستند. دارایی‌های اطلاعاتی خود را دسته‌بندی کنید:

۱. عمومی: در صورت انتشار آسیبی ندارد (مانند مقالات منتشر شده). ۲. داخلی: در صورت نشت مضر است (مانند پیش‌نویس استراتژی‌ها، سوابق مالی). ۳. محرمانه/سری: در صورت نشت خطر جدی دارد (مانند هویت منابع، شهادت قربانیان، کلیدهای خصوصی).

کنترل‌های دسترسی سخت‌گیرانه‌ای را برای داده‌های محرمانه اعمال کنید.

۶. چک‌لیست عملیاتی برای فعالان ایرانی

۱. اکوسیستم خود را ترسیم کنید: شناسایی کنید که آسیب‌پذیری‌های فیزیکی، دیجیتالی و عاطفی شما کجا قرار دارند. ۲. حلقه‌ی خود را ایمن کنید: برای اعتراضات و کارهای پرخطر، "گروه‌های هم‌بسته" (تیم‌های کوچک و قابل اعتماد) تشکیل دهید. مراقب یکدیگر باشید. ۳. پروتکل‌ها را رسمی کنید: توافقات امنیتی خود را مکتوب کنید. به تفاهم‌های ناگفته اکتفا نکنید. ۴. طرح خود را تمرین کنید: طرحی که آزمایش نشده باشد، شکست خواهد خورد. سناریوی یورش یا توقیف دستگاه را نقش بازی (Roleplay) کنید. ۵. سلامت را در اولویت قرار دهید: با استراحت و حمایت سلامت روان به عنوان وظایف حیاتی عملیاتی رفتار کنید، نه تجملات. ۶. چابک بمانید: تاکتیک‌های سرکوبگرانه حکومت تکامل می‌یابند؛ استراتژی امنیتی شما باید سریع‌تر تکامل یابد.

مطالعه بیشتر و منابع

راهنمای امنیت جامع تاکتیکال تک – متن بنیادین برای این رویکرد.
کتاب کار امنیت فرانت لاین دیفندرز – گام‌های عملی برای ارزیابی ریسک.
جعبه کمک‌های اولیه دیجیتال (Digital First Aid Kit) – برای عیب‌یابی فوری در شرایط اضطراری دیجیتال.

منبع:

Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.