معین شاکری: هک سامانههای مختلف، از مراکز خصوصی گرفته تا دولتی به یکی از مهمترین چالشهای حوزه افتا تبدیل شده است؛ چالشی که در چند سال گذشته با وجود خساراتی که داشته، راهکار مؤثری برای جلوگیری از آن اجرا نشده است. در یک سال گذشته حملات هکری به سامانههای دولتی شدت بیشتری گرفته است و در ماههای گذشته هم برخی از گروههای هکری مختلف ادعا کردهاند توانستهاند به سامانههای مختلف ورود کرده و اطلاعات آنها را به سرقت ببرند؛ مانند اتفاقی که برای شرکت تپسی افتاد و مدیرعامل این شرکت اعلام کرد که اطلاعات 27 میلیون کاربر این پلتفرم از سوی هکرها به سرقت رفته است.
حملههای سایبری به سامانههای دولتی، نگرانیها از به سرقت رفتن اطلاعات شخصی کاربران را افزایش داده است؛ اطلاعاتی که به سرقت رفتن آنها میتواند باعث سوءاستفاده از کاربران شود. با وجود این نگرانیها، به نظر میرسد هنوز ارادهای جدی برای ایمنسازی و جلوگیری از حملههای سایبری وجود ندارد.
در جدیدترین مورد حمله سایبری به سامانههای دولتی، اول مهر امسال سایت وزارت علوم، تحقیقات و فناوری از سوی یکی از گروههای هکری مورد حمله قرار گرفت. این گروه پیش از این ادعا کرده بود توانسته چندین سامانه دولتی را هک کند و اطلاعات آنها را به سرقت ببرد. این گروه ادعا کرده است در حمله به سایت وزارت علوم توانسته 500 سرور، رایانه، سایت و سامانه این وزارتخانه را هک کند و بیش از 20 هزار سند را به سرقت ببرد. این در حالی است که روابطعمومی وزارت علوم در همان روز بیانیهای صادر کرد و ضمن تأیید این حمله، سرقت اطلاعات از سایت و سامانههای خود را تکذیب و اعلام کرد که «با هوشیاری کارشناسان فنی این حملات دفع شده است».
پیش از حمله هکرها به سایت وزارت علوم، خبر حمله سایبری به سایت سازمان ثبت احوال کشور هم منتشر شده بود. 28 شهریور سایت این سازمان از دسترس خارج شد و پس از مدتی دوباره به حالت قبل بازگشت. یک هکر ادعا کرد با هککردن این سایت، به اطلاعات 130 میلیون نفر ایرانی دست پیدا کرده است. او برای اثبات ادعای خود، سورسکد بخشهایی از سایت را نیز منتشر کرد. هکر اعلام کرد قصد فروش این اطلاعات را ندارد. سازمان ثبت احوال با وجود این ادعا، در بیانیهای حمله به سایت خود را تکذیب کرد. البته این سازمان دلیل مشخصی برای از دسترس خارجشدن سایت خود ارائه نداد. پیشتر نیز این سایت با نشت اطلاعاتی مواجه شده بود و بخشی از اطلاعات موجود در آن به سرقت رفته بود.
در تیرماه سال جاری نیز سایت بنیاد شهید و امور ایثارگران مورد حمله گروه هکری «بختک» قرار گرفت. این گروه با انتشار پیامی در کانال تلگرام خود، اعلام کرد با انگیزههای سیاسی به این سایت حمله کرده است. این گروه همچنین ادعا کرد توانسته علاوه بر نفوذ به سیستمهای این نهاد، نسخههای پشتیبانی سامانه را نیز از بین ببرد. بنیاد شهید و امور ایثارگران نیز در بیانیهای حمله به سایت این نهاد را تأیید کرد. حمله هکری به این سایت مشکلاتی را برای جانبازان و ایثارگران ایجاد کرد. گروه بختک مهرماه سال گذشته نیز به سایت و سرورهای مجموعه آستان قدس رضوی حمله کرده بود. این گروه در این حمله به بخشی از اطلاعات اتوماسیون اداری آستان قدس دست پیدا کرده بود.
یکی دیگر از گروههای هکری که به صورت پیدرپی سعی در هک و اخلال در روند کار سامانههای دولتی داشته است، گروه آنانیموس (ناشناس) بوده است. آنانیموس که بهعنوان یک گروه هکری بینالمللی شناخته میشود، پس از شروع اعتراضات سال گذشته حملاتی را به سامانههای مختلف دولتی انجام داد. سایت بانک مرکزی و سایت دولت ازجمله سایتهای دولتی هستند که این گروه ادعای هک آنها را کرد. این گروه برای نشاندادن صحت ادعای خود، برخی از اطلاعات هکشده را منتشر کرد. باوجوداین سازمان مرکز ملی فضای مجازی در اطلاعیهای ادعاهای این گروه را رد کرد و هک سامانههای دولتی را کذب خواند.
یکی از معروفترین حملات سایبری به سامانههای دولتی نیز مربوط به هک سامانه «تهران من» است. این سایت که متعلق به شهرداری تهران است، در حوزه خدمات شهری فعالیت میکند. در خرداد سال 1401 این سایت هک شد و برای مدتی از دسترس کاربران تهرانی خارج شد. شهرداری تهران نیز این حمله را تأیید کرد. حملههای سایبری تنها به سامانههای دولتی محدود نشده است. برخی از شرکتهای خصوصی و پلتفرمهای آنلاین نیز مورد حمله قرار گرفتهاند و در روند کار آنها اخلال ایجاد
شده است.
هک پلتفرم تاکسی اینترنتی تپسی که با هدف اخاذی مالی صورت گرفت، منجر به بهسرقترفتن اطلاعات شش میلیون راننده و 127 میلیون مسافر شد. هکرها به دنبال دریافت 135 هزار دلار بودند که تپسی موافقت نکرد. اپلیکیشن هفهشتاد نیز که در زمینه پرداخت قبوض، خرید بسته اینترنتی و... فعالیت دارد، از طریق گروه هکری «بلکریوارد» هک شد. هکرها با استفاده از سیستم اطلاعرسانی هفهشتاد توانستند پیامهایی را با انگیزه سیاسی به کاربران این اپلیکیشن ارسال کنند.
پاسخگو نبودن، ویژگی دستگاههای دولتی
دستگاههای دولتی مختلفی با کارکردهای متفاوت مورد حمله قرار گرفتهاند و گاهی بخشی از اطلاعات کاربران آنها به سرقت رفته است. با وجود تعدد این حملات و آشکارشدن ضعف امنیتی سامانههای دولتی در مقابل حمله سایبری، ضعف امنیتی همچنان در دستگاههای دولتی وجود دارد. با وجود تمام تفاوتهای موجود میان این حملهها، واکنش دستگاههای دولتی به همه آنها یکسان بوده است. پس از وقوع هر حمله و هک سامانهها، دستگاه مسئول بدون توجه به وظیفه خود در قبال محافظت از اطلاعات شخصی کاربران صرفا اصل خبر را تأیید یا تکذیب کرده است. در واقع این دستگاهها اصلا نیازی به عذرخواهی ندیدهاند. همچنین هیچ خبری مبنی بر برخورد با مقصران ضعف امنیتی در این دستگاهها منتشر
نشده است.
بهناز آریا، فعال حوزه افتا، درباره ضعف دستگاههای دولتی در زمینه امنیت سایبری میگوید: «سازمانهای دولتی کاربران نهایی حوزه امنیت شناخته میشوند. چالشهای فراوانی در سازمانهای دولتی وجود دارد. بلوغ و آگاهی امنیتی کم، تجهیزات غیرکاربردی و برنامهریزی نادرست و مسئولیتناپذیری، ازجمله مشکلات این سازمانها در حوزه امنیت هستند. رخدادهای امنیتی نشان از بالابودن سطح آسیبپذیری سازمانهای دولتی دارد. ما از پایش امنیت در نقطه نهایی و کاربر غافل بودهایم و در این بخش فعالیت چندانی نشده است».
او معتقد است پاسخگو بودن در هنگام وقوع حمله و شفافسازی درباره ابعاد آن بسیار مهم است. او در همین زمینه میگوید: «برای بهبود تأمین امنیت در این سازمانها نیاز به یک دید کلنگر داریم. برای حل این چالشها نیاز است تا پایش نظارتی از ابتدا تا زمان استفاده کاربر نهایی وجود داشته باشد. همچنین همه کسانی که در این حوزه نقش دارند، باید وظیفه خود را بهدرستی انجام دهند؛ چه در بخش خصوصی و چه دولتی. فرهنگسازی و آموزش نیز برای سازمانهای مختلف باید در نظر گرفته شود. حمایت از تجهیزات و تولیدات داخلی برای کسب بلوغ لازم نیز بسیار مهم است و جزء مواردی است که میتواند به بالابردن امنیت کمک کند. پاسخگو بودن سازمانها نیز در زمان بحران بسیار مهم است و باید به آن توجه
لازم شود».
از دنیا دور افتادهایم
حامد بیدی، از کنشگران قدیمی حوزه فناوری اطلاعات، باور دارد بخشی از ضعف موجود در بخش افتای کشور، حاصل بحران نیروی انسانی است. او درباره این چالش و پیامدهای آن برای امنیت سایبری کشور میگوید: «در سالهای اخیر بسیاری از افراد متخصص و باتجربه حوزه امنیت به دلایل مختلف از کشور مهاجرت کردهاند. با مهاجرت افراد باتجربه در حوزههای مختلف، ما در حال ازدستدادن بخشهایی از دانش اکوسیستم نوآوری کشور هستیم. در مجموع یکی از مهمترین بخشهای تأثیرگذار در زمینه چالشهای امنیتی، معضل نیروی انسانی است».
او همچنین معتقد است ایران به دلیل تحریمهای بینالمللی از فضای جهانی حوزه فناوری اطلاعات کنار گذاشته شده است. او در همین زمینه میگوید: «در کنار معضل نیروی انسانی، تحریمها هم تأثیرات بسیار زیادی بر فضای امنیت سامانهای کشور داشته است. بسیاری از شرکتهای کوچک و خصوصی به دلیل تحریمها نمیتوانند به نرمافزارها و سختافزاهای مورد نیاز خود برای بهبود مسئله امنیت سامانه دسترسی داشته باشند. همچنین به دلیل فاصلهگرفتن اکوسیستم فناوری اطلاعات ایران از فضای جهانی، نتوانستهایم از دانش و دستاوردهای بینالمللی حوزه افتا بهرهمند شویم. این چالش در کنار شرکتهای خصوصی، تأثیرات مخربی بر دیگر مجموعهها ازجمله مجموعههای دولتی و حاکمیتی دارد. هیچ تعامل و ارتباط فراگیر و مؤثری با شرکتها و متخصصان بینالمللی حوزه افتا در قالب رویدادها، کنفرانسها و ورکشاپها در کشور وجود ندارد».
بیدی یکی دیگر از دلایل ضعف بخش دولتی در مقابله با حملات سایبری را نبود شایستهسالاری در جذب مدیران حوزه میداند. او میگوید: «در بخش دولتی تعداد دفعات و گستردگی هک بیشتر از دیگر بخشها است. در کنار دلایلی که پیشتر اشاره شد، باید توجه داشته باشیم که اساسا فرایند کار در این بخش بهینه نیست. متأسفانه ملاک جذب نیروی متخصص در این بخش بر اساس شایستهسالاری نیست. خیلی از مدیران دولتی بخش فناوری اطلاعات و ارتباطات با الفبای این حوزه هم آشنا نیستند. در واقع این افراد با معیارهایی غیر از تخصص و تجربه در این حوزه توانستهاند در یک پست قرار بگیرند. در کنار ضعف مدیران، پیمانکارانی که با مجموعههای دولتی کار میکنند نیز دارای ضعفهایی هستند. گاهی روند انتخاب پیمانکاران نیز غیرشفاف و بر اساس ارتباط است. این باعث میشود بسیاری از شرکتها و افرادی که توانمند هستند، از این حوزه کنار گذاشته شوند و عدهای محدود پروژههای دولتی را کسب کنند».
او درباره برخورد با متخلفان در دستگاههای دولتی نیز ادامه داد: «همچنین در بخش دولتی سازوکاری برای برخورد با این چالشها و مقصران آن وجود ندارد. هیچ قانون مشخصی برای جلوگیری از کمکاری و قصور مدیران و پیمانکاران در کشور نیست. بزرگترین فاجعههای امنیتی در حال رخدادن است، اما شاهد تغییر هیچکس در ساختارهای مربوطه نیستیم؛ چون تبعاتی برای مدیران و پیمانکاران وجود ندارد و توجه زیادی هم به آن نمیشود».
منبع: sharghdaily-903057
