هیچ‌کس پاسخ‌گوی فجایع امنیت سایبری نیست

معین شاکری: هک سامانه‌های مختلف، از مراکز خصوصی گرفته تا دولتی به یکی از مهم‌ترین چالش‌های حوزه افتا تبدیل شده است؛ چالشی که در چند سال گذشته با وجود خساراتی که داشته‌، راهکار مؤثری برای جلوگیری از آن اجرا نشده است. در یک سال گذشته حملات هکری به سامانه‌های دولتی شدت بیشتری گرفته است و در ماه‌های گذشته هم برخی از گروه‌های هکری مختلف ادعا کرده‌اند توانسته‌اند به سامانه‌های مختلف ورود کرده و اطلاعات آنها را به سرقت ببرند؛ مانند اتفاقی که برای شرکت تپسی افتاد و مدیرعامل این شرکت اعلام کرد که اطلاعات 27 میلیون کاربر این پلتفرم از سوی هکرها به سرقت رفته است.

حمله‌های سایبری به سامانه‌های دولتی، نگرانی‌ها از به سرقت رفتن اطلاعات شخصی کاربران را افزایش داده است؛ اطلاعاتی که به سرقت رفتن آنها می‌تواند باعث سوءاستفاده از کاربران شود. با وجود‌ این نگرانی‌ها، به نظر می‌رسد هنوز اراده‌ای جدی برای ایمن‌سازی و جلوگیری از حمله‌های سایبری وجود ندارد.

در جدیدترین مورد حمله سایبری به سامانه‌های دولتی، اول مهر امسال سایت وزارت علوم، تحقیقات و فناوری از سوی یکی از گروه‌های هکری مورد حمله قرار گرفت. این گروه پیش ‌از ‌این ادعا کرده بود توانسته چندین سامانه دولتی را هک کند و اطلاعات آنها را به سرقت ببرد. این گروه ادعا کرده است در حمله به سایت وزارت علوم توانسته 500 سرور، رایانه، سایت و سامانه این وزارتخانه را هک کند و بیش از 20 هزار سند را به سرقت ببرد. این در حالی است که روابط‌عمومی وزارت علوم در همان روز بیانیه‌ای صادر کرد و ضمن تأیید این حمله، سرقت اطلاعات از سایت و سامانه‌های خود را تکذیب و اعلام کرد که «با هوشیاری کارشناسان فنی این حملات دفع شده است».

پیش از حمله هکرها به سایت وزارت‌ علوم، خبر حمله سایبری به سایت سازمان ثبت احوال کشور هم منتشر شده بود. 28 شهریور سایت این سازمان از دسترس خارج شد و پس از مدتی دوباره به حالت قبل بازگشت. یک هکر ادعا کرد با هک‌کردن این سایت، به اطلاعات 130 میلیون نفر ایرانی دست پیدا کرده است. او برای اثبات ادعای خود، سورس‌کد بخش‌هایی از سایت را نیز منتشر کرد. هکر اعلام کرد قصد فروش این اطلاعات را ندارد. سازمان ثبت احوال با وجود این ادعا، در بیانیه‌ای حمله به سایت خود را تکذیب کرد. البته این سازمان دلیل مشخصی برای از دسترس خارج‌شدن سایت خود ارائه نداد. پیش‌تر نیز این سایت با نشت اطلاعاتی مواجه شده بود و بخشی از اطلاعات موجود در آن به سرقت رفته بود.

در تیرماه سال جاری نیز سایت بنیاد شهید و امور ایثارگران مورد حمله گروه هکری «بختک» قرار گرفت. این گروه با انتشار پیامی در کانال تلگرام خود، اعلام کرد با انگیزه‌‎های سیاسی به این سایت حمله کرده است. این گروه همچنین ادعا کرد توانسته علاوه بر نفوذ به سیستم‌های این نهاد، نسخه‌های پشتیبانی سامانه را نیز از بین ببرد. بنیاد شهید و امور ایثارگران نیز در بیانیه‌ای حمله به سایت این نهاد را تأیید کرد. حمله هکری به این سایت مشکلاتی را برای جانبازان و ایثارگران ایجاد کرد. گروه بختک مهرماه سال گذشته نیز به سایت و سرورهای مجموعه آستان قدس رضوی حمله کرده بود. این گروه در این حمله به بخشی از اطلاعات اتوماسیون اداری آستان قدس دست‌ پیدا کرده بود.

یکی دیگر از گروه‌های هکری که به صورت پی‌درپی سعی در هک و اخلال در روند کار سامانه‌های دولتی داشته است، گروه آنانیموس (ناشناس) بوده است. آنانیموس که به‌عنوان یک گروه هکری بین‌المللی شناخته می‌شود، پس از شروع اعتراضات سال گذشته حملاتی را به سامانه‌های مختلف دولتی انجام داد. سایت بانک مرکزی و سایت دولت ازجمله سایت‌های دولتی هستند که این گروه ادعای هک آنها را کرد. این گروه برای نشان‌دادن صحت ادعای خود، برخی از اطلاعات هک‌شده را منتشر کرد. باوجود‌این سازمان مرکز ملی فضای مجازی در اطلاعیه‌ای ادعاهای این گروه را رد کرد و هک سامانه‌های دولتی را کذب خواند.

یکی از معروف‌ترین حملات سایبری به سامانه‌های دولتی نیز مربوط به هک سامانه «تهران من» است. این سایت که متعلق به شهرداری تهران است، در حوزه خدمات شهری فعالیت می‌کند. در خرداد سال 1401 این سایت هک شد و برای مدتی از دسترس کاربران تهرانی خارج شد. شهرداری تهران نیز این حمله را تأیید کرد. حمله‌های سایبری تنها به سامانه‌های دولتی محدود نشده است. برخی از شرکت‌های خصوصی و پلتفرم‌های آنلاین نیز مورد حمله قرار گرفته‌اند و در روند کار آنها اخلال ایجاد 

شده است.

هک پلتفرم تاکسی اینترنتی تپسی که با هدف اخاذی مالی صورت گرفت، منجر به به‌سرقت‌‌رفتن اطلاعات شش میلیون راننده و 127 میلیون مسافر شد. هکرها به دنبال دریافت 135 هزار دلار بودند که تپسی موافقت نکرد. اپلیکیشن هف‌هشتاد نیز که در زمینه پرداخت قبوض، خرید بسته اینترنتی و... فعالیت دارد، از طریق گروه هکری «بلک‌ریوارد» هک شد. هکرها با استفاده از سیستم اطلاع‌رسانی هف‌هشتاد توانستند پیام‌هایی را با انگیزه سیاسی به کاربران این اپلیکیشن ارسال کنند.

پاسخ‌گو نبودن، ویژگی دستگاه‌های دولتی

دستگاه‌های دولتی مختلفی با کارکردهای متفاوت مورد حمله قرار گرفته‌اند و گاهی بخشی از اطلاعات کاربران آنها به سرقت رفته است. با وجود تعدد این حملات و آشکار‌شدن ضعف امنیتی سامانه‌های دولتی در مقابل حمله سایبری، ضعف امنیتی همچنان در دستگاه‌های دولتی وجود دارد. با وجود تمام تفاوت‌های موجود میان این حمله‌‎ها، واکنش دستگاه‌های دولتی به همه آنها یکسان بوده است. پس از وقوع هر حمله و هک سامانه‌ها، دستگاه مسئول بدون توجه به وظیفه خود در قبال محافظت از اطلاعات شخصی کاربران صرفا اصل خبر را تأیید یا تکذیب کرده است. در واقع این دستگاه‌ها اصلا نیازی به عذرخواهی ندیده‌اند. همچنین هیچ خبری مبنی بر برخورد با مقصران ضعف امنیتی در این دستگاه‌ها منتشر 

نشده است.

بهناز آریا، فعال حوزه افتا، درباره‌ ضعف دستگاه‌های دولتی در زمینه امنیت سایبری می‌گوید: «سازمان‌های دولتی کاربران نهایی حوزه امنیت شناخته می‌شوند. چالش‌های فراوانی در سازمان‌های دولتی وجود دارد. بلوغ و آگاهی امنیتی کم، تجهیزات غیرکاربردی و برنامه‌ریزی نادرست و مسئولیت‌‌ناپذیری، ازجمله مشکلات این سازمان‌ها در حوزه امنیت هستند. رخدادهای امنیتی نشان از بالابودن سطح آسیب‌پذیری سازمان‌های دولتی دارد. ما از پایش امنیت در نقطه نهایی و کاربر غافل بوده‌ایم و در این بخش فعالیت چندانی نشده است».

او معتقد است پاسخ‌گو بودن در هنگام وقوع حمله و شفاف‌سازی درباره ابعاد آن بسیار مهم است. او در همین زمینه می‌گوید: «برای بهبود تأمین امنیت در این سازمان‌ها نیاز به یک دید کل‌نگر داریم. برای حل این چالش‌ها نیاز است تا پایش نظارتی از ابتدا تا زمان استفاده کاربر نهایی وجود داشته باشد. همچنین همه کسانی که در این حوزه نقش دارند، باید وظیفه خود را به‌درستی انجام دهند؛ چه در بخش خصوصی و چه دولتی. فرهنگ‌سازی و آموزش نیز برای سازمان‌های مختلف باید در نظر گرفته شود. حمایت از تجهیزات و تولیدات داخلی برای کسب بلوغ لازم نیز بسیار مهم است و جزء مواردی است که می‌تواند به بالابردن امنیت کمک کند. پاسخ‌گو بودن سازمان‌ها نیز در زمان بحران بسیار مهم است و باید به آن توجه 

لازم شود».

از دنیا دور افتاده‌ایم

حامد بیدی، از کنشگران قدیمی حوزه فناوری اطلاعات، باور دارد بخشی از ضعف موجود در بخش افتای کشور، حاصل بحران نیروی انسانی است. او درباره این چالش و پیامدهای آن برای امنیت سایبری کشور می‌گوید: «در سال‌های اخیر بسیاری از افراد متخصص و با‌تجربه حوزه امنیت به دلایل مختلف از کشور مهاجرت کرده‌اند. با مهاجرت افراد با‌‌تجربه در حوزه‌های مختلف، ما در حال از‌دست‌دادن بخش‌هایی از دانش اکوسیستم نوآوری کشور هستیم. در مجموع یکی از مهم‌ترین بخش‌های تأثیرگذار در زمینه چالش‌های امنیتی، معضل نیروی انسانی است».

او همچنین معتقد است ایران به دلیل تحریم‌های بین‌المللی از فضای جهانی حوزه فناوری اطلاعات کنار گذاشته شده است. او در همین زمینه می‌گوید: «در کنار معضل نیروی انسانی، تحریم‌ها هم تأثیرات بسیار زیادی بر فضای امنیت سامانه‌ای کشور داشته است. بسیاری از شرکت‌های کوچک و خصوصی به دلیل تحریم‌ها نمی‌توانند به نرم‌افزارها و سخت‌افزاهای مورد نیاز خود برای بهبود مسئله امنیت سامانه دسترسی داشته باشند. همچنین به دلیل فاصله‌‌گرفتن اکوسیستم فناوری اطلاعات ایران از فضای جهانی، نتوانسته‌ایم از دانش و دستاوردهای بین‌المللی حوزه افتا بهره‌مند شویم. این چالش در کنار شرکت‌های خصوصی، تأثیرات مخربی بر دیگر مجموعه‌ها از‌جمله مجموعه‌های دولتی و حاکمیتی دارد. هیچ تعامل و ارتباط فراگیر و مؤثری با شرکت‌ها و متخصصان بین‌المللی حوزه افتا در قالب رویدادها، کنفرانس‌ها و ورک‌شاپ‌ها در کشور وجود ندارد».

بیدی یکی دیگر از دلایل ضعف بخش دولتی در مقابله با حملات سایبری را نبود شایسته‌سالاری در جذب مدیران حوزه می‌داند. او می‌گوید: «در بخش دولتی تعداد دفعات و گستردگی هک بیشتر از دیگر بخش‌ها است. در کنار دلایلی که پیش‌تر اشاره شد، باید توجه داشته باشیم که اساسا فرایند کار در این بخش بهینه نیست. متأسفانه ملاک جذب نیروی متخصص در این بخش بر اساس شایسته‌سالاری نیست. خیلی از مدیران دولتی بخش فناوری اطلاعات و ارتباطات با الفبای این حوزه هم آشنا نیستند. در واقع این افراد با معیارهایی غیر از تخصص و تجربه در این حوزه توانسته‌اند در یک پست قرار بگیرند. در کنار ضعف مدیران، پیمانکارانی که با مجموعه‌های دولتی کار می‌کنند نیز دارای ضعف‌هایی هستند. گاهی روند انتخاب پیمانکاران نیز غیرشفاف و بر اساس ارتباط است. این باعث می‌شود بسیاری از شرکت‌ها و افرادی که توانمند هستند، از این حوزه کنار گذاشته شوند و عده‌ای محدود پروژه‌های دولتی را کسب کنند».

او درباره برخورد با متخلفان در دستگاه‌های دولتی نیز ادامه داد: «همچنین در بخش دولتی سازوکاری برای برخورد با این چالش‌ها و مقصران آن وجود ندارد. هیچ قانون مشخصی برای جلوگیری از کم‌کاری و قصور مدیران و پیمانکاران در کشور نیست. بزرگ‌ترین فاجعه‌های امنیتی در حال رخ‌دادن است، اما شاهد تغییر هیچ‌کس در ساختارهای مربوطه نیستیم؛ چون تبعاتی برای مدیران و پیمانکاران وجود ندارد و توجه زیادی هم به آن نمی‌شود».