تهدید مدرن؛ حملات سایبری
حملات سایبری در ایران هم مانند همه جای دنیا هست؛ اما به نظر میرسد این ماجرا در یک سال گذشته قوت بیشتری گرفته است. از شهریور سال گذشته اخباری مبنی بر هک چند سایت دولتی مانند بانک مرکزی، درگاه ملی دولت هوشمند و وزارت فرهنگ و ارشاد اسلامی منتشر شد و برخی کاربران اعلام کرده بودند نمیتوانند به این سایتها دسترسی داشته باشند.
هرکدام از این موارد هم با حاشیههایی همراه بود؛ مثلا درباره حمله سایبری به بانک مرکزی سخنگوی این بانک هک سایت بانک را تکذیب کرد و گفت که درگاه اینترنتی بانک مرکزی صرفا دقایقی به دلیل حمله به کانال ارائهدهنده خدمات اینترنتی به بانک مرکزی، از دسترس خارج شده بود و کمی بعد هم رفع اشکال شده و سایت در دسترس مخاطبان قرار گرفته است. همان روز، 30 شهریور 1401 گروه هکری «انانیموس» با انتشار پیامی علیه ایران مدعی شد که هککردن سایت دولت از طرف این گروه انجام شده است.
انانیموس به معنای گمنام است. انانیموس خودش را گروهی نامتمرکز از متخصصان امنیت شبکههای رایانهای معرفی کرده که به صورت ناشناس بهعنوان هکتیویسم فعالیت میکند.
ماجرای هک برخی سایتهای دولتی یا حملات سایبری به آنها گاهی جدیتر از همین اختلال موقتی بود که در بانک مرکزی عنوان شد. پیش از این موارد و در خرداد سایت شهرداری تهران هک شد. ماجرا به قدری جدی بود که تا مدتی بیخ پیدا کرد و سایت «تهران من» چند هفته از دسترس کاربران خارج شد. همان موقع شهرداری تهران در اطلاعیهای گفت که حملات خرابکارانه به برخی سایتهای خدماتی شهر تهران با هدف ایجاد نارضایتی و اختلال در خدمترسانی صورت گرفته است. قابل ذکر است که قبل از هک سامانه شهرداری، سیستم پمپ بنزینها هم هک شده بود. هک پمپ بنزینها نیمه آذر 1401 اتفاق افتاد. سایتهای داخلی نوشتند به دنبال بروز اختلال، جایگاههای سوخت در استانهای مختلف کشور از مدار توزیع سوخت سهمیهای خارج شدند، هماکنون توزیع سوخت به صورت آزاد در حال انجام است. 12 آذر 1401 خبرگزاری مهر به نقل از یک منبع نزدیک به شورای عالی امنیت ملی، حمله سایبری به جایگاههای سوخت را در حالی تأیید کرد که احمد وحیدی، وزیر کشور، ماجرا را تنها «ناشی از یک اشکال فنی و سامانهای در ارائه خدمات در برخی از پمپهای بنزین» عنوان کرد. امسال هم اخبار حملات سایبری گاه به گاه به گوش میرسد. پریروز اعلام شد که سامانه ثبت احوال هک شده و یک گروه هکری مسئولیت این حمله را بر عهده گرفته و اعلام کرده است که اطلاعات ۱۳۰ میلیون نفر را به دست آورده است. گرچه به نظر میرسد موضوع چندان روشن نیست و هنوز علت از دسترس خارجشدن وبسایت این سازمان اعلام نشده است. پیش از آن هم خبر هکشدن پلتفرم تپسی بلوای شدیدی به پا کرده بود. 11 شهریور امسال میلاد منشیپور، مدیرعامل تپسی، از هکشدن این شرکت به دست یک گروه هکری خبر داد و انگیزه آنها از این اقدام را اخاذی عنوان کرد. آن موقع اعلام شد که هکرها به اطلاعات شش میلیون راننده و 127 میلیون مسافر شامل نام و کد ملی و جزئیات دیگری دسترسی پیدا کردهاند و گفتهاند که در ازای دریافت 135 هزار دلار از انتشار این اطلاعات پرهیز میکنند. تپسی هم رک و روشن گفت که با هکرها همکاری نمیکند و البته تا میتوانست هم از سوی برخی متخصصان حوزه فاوا نواخته شد. این موضوع نگرانیهای زیادی ایجاد کرده بود و درحالیکه کارشناسان حوزه فناوری اطلاعات در شبکههای اجتماعی در حال بررسی و تحلیل بودند، سرهنگ رامین پاشایی، معاون اجتماعی پلیس فتا، به مهر گفت که شرکت تپسی از این گروه هکری شکایت کرده و بعد از انجام اقدامات قضائی، منبع آلودگی برطرف شده است و جای هیچگونه نگرانی وجود ندارد. البته نگرانی برای برخی همچنان پابرجاست؛ چون با گذشت بیش از دو هفته از این موضوع هنوز تکلیف اطلاعات سرقتشده از تپسی مشخص نشده است.
کارشناسان چه میگویند؟
«حمله سایبری زمانی اتفاق میافتد که مجرمان سایبری سعی دارند به دادههای الکترونیکی ذخیرهشده در رایانه یا شبکه، دسترسی غیرقانونی پیدا کنند. هدف از این کار ممکن است واردکردن صدمه به شهرت، آسیبرساندن به یک کسبوکار یا یک شخص یا حتی به سرقت بردن دادههای ارزشمند باشد. این در حالی است که حملات سایبری میتواند افراد، گروهها، سازمانها یا دولتها را هدف قرار دهد». این تعریفی است که برخی سایتهای تخصصی ارائه دادهاند. همچنین گفته میشود «حملات سایبری دادههایی را نشانه میگیرند که مهاجمان میتوانند کنترلهای امنیتی شناختهشده مانند احراز هویت دومرحلهای را دور بزنند؛ بنابراین سازمانها و شرکتهای امنیتی باید بیشتر به رویکرد خود درباره امنیت سایبری فکر کنند».
سال گذشته باشگاه خبرنگاران در گزارشی به نقل از techjury خبر داد که در سراسر جهان روزانه ۳۰ هزار وبسایت هک میشوند. ۶۴ درصد از شرکتها در سراسر جهان حداقل یک نوع حمله سایبری را تجربه کردهاند. در ماه مارس سال ۲۰۲۱،
۲۰ میلیون نقض داده اتفاق افتاده است. در سال ۲۰۲۰، موارد باجافزار ۱۵۰ درصد رشد کرد. ایمیلها مسئول حدود ۹۴ درصد از کل بدافزارها هستند. هر ۳۹ ثانیه یک حمله جدید در جایی در وب رخ میدهد. روزانه به طور متوسط حدود ۲۴ هزار برنامه تلفن همراه مخرب در اینترنت مسدود میشود.
بنابراین ماجرا محدود به ایران نیست و در عصر ارتباطات و فناوری اطلاعات این ماجرا گریبانگیر تمام دنیاست. در یکی، دو سال گذشته که حملات سایبری در ایران هم نمود بیشتری پیدا کرد، جلسات بحث و بررسی درباره موضوع امنیت کم نبود. در خلال یکی از همین جلسات، رضا اخلاقی، نایبرئیس کمیسیون افتا (امنیت فضای تبادل داده) سازمان نظام صنفی رایانهای استان تهران عنوان کرد که راهکارهای موجود در مواجهه با حمله هکری جواب نمیدهد و باید بتوانیم در وسط کار که از ابعاد حمله اطلاعات درستی به دست آوردیم، جلوی آن را بگیریم؛ «این مهم بدون داشتن اطلاعات فنی، آموزش و پایش دائمی میسر نیست و تنها با تکیه بر نیروی درونسازمانی نمیتوان به آن دست پیدا کرد، بلکه باید آنچه را که از چشم مغفول مانده، بررسی کرد که این به معنای در اختیار داشتن اطلاعات دقیق است».
او همچنین به اهمیت رتبهبندی پیمانکاران و شرکتهای طرف قرارداد در حوزه امنیت سایبری اشاره کرد: «متأسفانه اجرای مناقصه در حوزه امنیت سایبری سبب شده شرکتهای بزرگ که دارای بدنه کارشناسی فنی و زبدهای هستند، از میدان رقابت خارج شده و شرکتهایکوچک با تأمین حداقلها، پروژههای حوزه امنیت سایبری را انجام دهند؛ درحالیکه روش رتبهبندی باید تغییر کند و اولویتهای جدیدی مدنظر قرار گیرد». رضا واحدیفر هم زمانی که عهدهدار معاونت شبکه و امنیت سازمان فاوای شهرداری بود، پس از ماجرای حمله سایبری به سایت شهرداری، گفته بود که مشکلات موجود در جذب نیروی متخصص در اکوسیستم فناوری اطلاعات موضوع مهمی در مواجهه با حملههای سایبری است و در سطوح مختلف نیاز به پایش داریم تا بدانیم به لحاظ بلوغ امنیتی در چه سطحی قرار داریم.
آیدین عدالت، عضو هیئتمدیره و رئیس رسته سختافزار و ارتباطات سازمان نظام صنفی رایانهای تهران نیز به ایسنا گفته که در سالهای گذشته تمرکز بر امنیت نه به اندازه کافی و شاید کمتر از مقداری که باید باشد، در این حوزه بوده و اشکال هم آنجاست که امنیت در حوزه فناوری اطلاعات بیشتر با فرایندها و روشها اجرا میشود، نه با تجهیزات. به اعتقاد او «بودجههایی که در سازمانها وجود دارد، قدیمی هستند و هر سال حداکثر به اندازه تورم رشد دارند. اما دو موضوع مهم دراینباره وجود دارد؛ اول اینکه قیمت تجهیزات امنیتی در دنیا، جدا از نرخ ارز، به دلیل کمبود چیپست در سه سال اخیر، به دلیل بیماری کرونا بیش از سه برابر افزایش داشته است. مسئله دیگر محدود و معدودشدن تخصص امنیت و متخصصان آن است؛ یعنی سازمانها انتظار دارند یک تکنیسین متخصص شبکه که فقط کارهای ابتدایی را انجام میدهد و حقوق آن به طور مثال ۱۰ میلیون تومان است، بتواند امنیت زیرساخت یک وبسایت دولتی را تأمین کند؛ بنابراین شاید مهمترین موضوع بحث نیروی انسانی باشد که بهعنوان مهره ایجاد امنیت در زیرساخت شبکه به شمار میرود و به عقیده کارشناسان بزرگترین پاشنهآشیل امنیت سایبری در ایران نیروی انسانی است و باید به مشکلات موجود در این بخش توجه شود».
به افزایش آگاهی نیازمندیم
بهناز آریا، رئیس کمیسیون افتای سازمان نظام صنفی رایانهای استان تهران، هم در توضیحاتی به «شرق» میگوید: «اتفاقی که برای شرکت تپسی و برخی دیگر از سازمانها و مجموعهها نیز رخ داده است، منحصر به ایران نیست. اولین بار نیست که اتفاقات اینچنینی رخ میدهد و چالش بزرگی است که تمام دنیا با آن درگیر هستند. طبق آخرین گزارشهایی که وجود دارد، از فوریه سال 2022 میزان حملات سایبری در جهان هشت هزار درصد افزایش پیدا کرده است. این در حالی است که در میانه عصر دیجیتال هستیم و تقریبا همه چیز در آینده نزدیک به هم متصل خواهد بود. با توجه به این مسئله همه چیز قابلیت هک خواهد داشت. درحالحاضر مهمترین دارایی، دارایی اطلاعاتی است و صاحبان آنها باید از این داراییها محافظت کنند. در واقع هم سازمانها و کسبوکارها و هم خود افراد باید از این داراییها مراقبت کنند و مسئول هستند».
او معتقد است در موضوع امنیت مبحث بسیار مهم آگاهیرسانی است: «اهمیت این مسئله به این خاطر است که انسانها ضعیفترین حلقهها در زنجیره امنیت هستند. باید تلاش شود تا با آگاهیرسانی، دانش افراد در این زمینه افزایش پیدا کند. در این مسیر باید دانش عمومی جامعه را افزایش دهیم و توجه افراد را به این حوزه جلب کنیم. وقتی شرکتهایی مثل تپسی که ارائهدهنده خدمات عمومی هستند، از این ناحیه ضربه میخورند، کاربران نسبت به حفظ اطلاعات خود احساس خطر میکنند. در واقع این احساس خطر فرصتی است تا با آگاهیرسانی به کاربران، دانش آنها را در این زمینه افزایش دهیم». آریا تأکید میکند که فرایند آگاهیرسانی در این زمینه باید در جامعه از بالا به پایین باشد و دولت نقش بسیار پررنگی در این زمینه دارد؛ «تمام شرکتها و ارگانها نیز باید او را همراهی کنند. درحالحاضر ریسک شماره یک همه کسبوکارها در ایران و جهان امنیت سایبری است و در واقع این موضوع باید بیشترین اولویت را برای آنها داشته باشد».
امنیت صددرصدی وجود ندارد
او با اشاره به حملات سایبری اخیر از سایت شهرداری گرفته تا صداوسیما و برخی شرکتهای خصوصی توضیح میدهد: «متأسفانه در حملات اخیر شاهد تکرار رخدادها از آسیبپذیریهای رخدادهای پیشین هستیم. در حوزه امنیت سایبری امنیت صددرصدی وجود ندارد؛ اما وقتی یک حمله امنیتی رخ میدهد، اگر اصلاحات و بهروزرسانیهای لازم را انجام ندهیم و دوباره با روش قبلی ضربه بخوریم، یعنی عملکرد مناسبی در حفظ امینت اطلاعات خود نداشتهایم. یکی از مواردی که باعث نگرانی بخش خصوصی شده، همین تکرار آسیبپذیری با روشهای قبلی است.
همچنین یکی دیگر از خواستههای ما در بخش خصوصی این است که در حدی که مسائل محرمانگی رعایت میشود، باید اطلاعات این رخدادها با متخصصان و شرکتهای امنیت سایبری این بخش به اشتراک گذاشته شود. در واقع باید تلاش شود تا بخش خصوصی بهعنوان بازوی اجرائی بخش دولتی در این زمینه دیده شود».
او ادامه میدهد: «یکی از چالشهای جدی دیگر این حوزه ترک فعل مدیران بهویژه در سازمانهای دولت است. وقتی یک سازمان دولتی یا زیرساخت عمومی دچار مشکل امنیتی میشود، هیچکس پاسخگو نیست. تنها کسی که در این زمینه معمولا مقصر شناخته میشود، بخش خصوصی است. این در حالی است که مقصر اصلی بخشی است که خدمت اصلی را ارائه داده است، چه در بخش خصوصی و چه در سازمان دولتی و دستگاه اجرائی و باید پاسخگو باشد. حاصل این وضعیت این بوده است که امنیت به چشم اولویت دیده نمیشود و صنعت مهم افتا بهدرستی رشد نمیکند. متأسفانه حملات اینچنینی اتفاق میافتد، بدون آنکه ما اصلاحی را در این وضعیت ببینیم».
آریا میگوید برای جلوگیری از این اتفاقات، باید در درجه اول صنعت افتا بهعنوان یکی از صنایع اولویتدار، پرکاربرد و دارای نقش اقتصادی بسیار مهم دیده شود؛ «همچنین بخش خصوصی باید نقش اجرائی پررنگتری داشته باشد. درعینحال باید روشها و دستورکارهای فعلی را در سازمانهای مختلف اصلاح کنیم و به امنیت در سمت بهرهبردار هم علاوه بر مبادی ورودی تأکید کنیم. باید نظارت مستمر بر امنیت سازمانها و مجموعهها انجام شود و از تست نفوذهای دورهای، باگ بانتی و آموزش افراد و موارد مشابه غافل نشویم».
او تأکید میکند: «راهی جز تقویت صنعت افتا برای ارتقای سطح امنیت کشور و داراییهای اطلاعاتی وجود نداشته و نقش بخش خصوصی و تشکلهای بخش خصوصی در این صنعت انکارناپذیر است».
منبع: sharghdaily-897709