به گزارش
گرداب، از روز چهارم خرداد سال جاری تاکنون حدود ۸ سایت اطلاعرسانی و پایگاههای داده مربوط به برخی از دستگاههای دولتی، موردحمله سایبری قرار گرفتند که این موضوع نگرانیهایی را برای افشای اطلاعات این پایگاهها که بیشتر خدمات به مردم ارائه میدهند؛ به همراه داشت. اگرچه در ابتدا مسئولان واکنش جدی به این مسئله نشان ندادند و آن را بهنوعی بزرگنمایی رسانهای عنوان کردند، اما افزایش شمار سایتهای موردحمله قرارگرفته ظرف مدت کمتر از یک هفته، سبب شد تحلیلهای متفاوتی از سوی دستگاههای مسئول مطرح شود.
تحلیلهای متفاوت مقامات مسئول در مورد هک دستگاههای دولتیمحمود واعظی وزیر ارتباطات و فناوری اطلاعات در خصوص حملات اخیر به سایتهای دستگاههای دولتی گفته است: «از گذشته برنامههای مختلفی برای صیانت داشتیم. البته این موضوع که اتفاق میافتد صرفاً مربوط به کشور ما نیست. با بررسیهایی که انجام دادیم مشخص شد آی پی یکی از هکرها مربوط به اروپا بوده است.»
وی البته پیشازاین نیز در مورد آمادگی ایران در قبال حملات سایبری گفته بود: «روزانه تعداد زیادی حمله سایبری به کشور داریم که اغلب اینها در دروازه زیرساخت اصلی کشور گیت وی بینالمللی خنثی میشود. ما میدانیم که تمامی این حملات از چه کشوری است و از چه شهری و با چه آی پی طراحی میشود. یک همکاری کوچک میان وزارت ارتباطات دو کشور، امکان شناسایی کامل این حملات ممکن میشود. برای مثال در مرکز ماهر بهعنوان مرکز امداد و عملیات رخدادهای رایانهای، روزانه آمار مشخصی از حملات سایبری شناسایی میشود که بسیاری از این حملات خنثی میشود و کارهای موفقی در این زمینه تاکنون انجامشده است. بااینوجود بیشترین حملات سایبری به ایران مربوط به رژیم صهیونیستی است و برخی کشورهای عربی و کشورهای غربی نیز در ردههای بعدی این اقدامات هدفمند قرار دارند.»
در خصوص حملات اخیر سایبری به سایتهای دولتی، هادی سجادی معاون امنیت اطلاعات سازمان فناوری اطلاعات ایران نیز از اعلام آمادگی مرکز ماهر، برای پیگیری فنی و بینالمللی حملات اخیر خبر داد و گفت: «مرکز ماهر در زمان بروز رخدادهایی همچون حملات سایبری و هک سایتها، آمادگی خود را برای همکاری فنی و پیگیریهای بینالمللی به سازمانهای مربوطه اعلام میکند. براین اساس چنانچه سازمانها تمایل داشته باشند نسبت به حل مشکلشان، اقدام خواهد شد. در مورد حملات اخیر به سایتهایی چون مرکز آمار و سازمان ثبتاسناد نیز این مرکز، آمادگی خود را برای کمک به این سازمانها در جهت حل مشکل و پیگیریهای فنی و بینالمللی اعلام کرده است اما این سازمانها، ابراز داشتند که مشکلی نداشته و خودشان موضوع را پیگیری و حل میکنند.»
وی با تأکید بر اینکه توصیههای امنیتی و اطلاعات جلوگیری از آسیبپذیریها را برای این سازمانها ارسال کردهایم، خاطرنشان کرد: «بروز رخدادی مانند هک سایتها و پرتالهای سازمانی، جریانی دائم و متداول در دنیا است و تنها مختص به ایران نبوده و نیست. تا زمانی که بررسی علمی در مورد این حملات و آسیبپذیریها صورت نگیرد، نمیتوان تحلیل درستی ارائه داد. براین اساس مرکز ماهر به دنبال بررسی منشأ حملات و تحلیل رخداد، براساس مستندات است.»
هیچ اطلاعاتی سرقت نشددر همین حال سردار هادیان فر رئیس پلیس فتا نیز در مورد حملات سایبری اخیر اینطور توضیح داد: «از تاریخ ۴ تا ۸ خردادماه جاری، ۸ سایت موردحمله قرار گرفت که ۲ مورد از آنها منشأ داخلی داشت و سایت سازمان اسناد و املاک از آن جمله بود که هکرهای آنها نیز شناساییشدهاند و در جریان حمله به ۶ سایت دیگر نیز اقدام دی فیس (تغییر چهره سایت) صورت گرفت؛ اما در هیچکدام از این حملهها هیچ اطلاعاتی مورد سرقت قرار نگرفته و در حال حاضر سایتها به شرایط عادی برگشتهاند. ما IP ها را به اینترپل و پلیس سایبری عربستان ارسال کردیم و در حال پیگیری موضوع هستیم.»
وی در موردحمله به سایت مرکز آمار نیز گفته است: «در تاریخ ۴ خردادماه یک حمله سایبری را رصد کردیم که از سه کشور مختلف انجامشده بود. این تمرکز با هدایت از هکری در کشور عربستان انجام شد و سایت مورد هدف نیز مرکز آمار ایران بود که به شکل حمله دی فیس انجام شد که البته این شکل حمله، چندان ازلحاظ فنی ارزشی ندارد. عنوان این هکر داعس بوده که برخی از شبکهها آن را داعش عنوان کرده بودند که ارتباطی با داعش ندارد؛ این هکر دارای سابقه هک بوده و فرد از طریق پلیس فتا شناساییشده است.»
تحریم سایبری در راه استسردار غلامرضا جلالی رئیس سازمان پدافند غیرعامل کشور نیز از احتمال تحریم سایبری علیه کشورمان خبر داد و گفت: «ممکن است حوزه جدیدی از تحریم سایبری علیه کشور شکل گیرد و این نیازمند پایش فضا و شرایط دشمن است و هوشیاری بسیاری میطلبد. زمانی به دولت سابق هشدار دادیم که ما در آستانه تحریمهای نفتی هستیم، اما آنها گفتند دنیا نمیتواند خودش را از نفت ایران محروم کند، اما دیدیم که تحریم شدیم؛ امروز هم هشدار به تحریم سایبری میدهیم و باید وابستگی به آن در کشور به حداقل برسد و هوشیاری به خرج دهیم و اولین قدم نیز توسعه شبکه ملی اطلاعات و حذف بهانهجویی در این زمینه است. همچنین سامانههای خارجی را بدون ارزیابی و کنترل مورداستفاده قرار ندهیم.»
وی تأکید کرد: «در زیرساختهای حیاتی و اساسی کشور از سامانههای خارجی استفاده میشود که باید مورد پایش قرار گیرند و هرکس در این زمینه کوتاهی میکند باید مورد بازخواست قرار بگیرد.»
دستگاههای اجرایی در سند راهبردی امنیت موفق نبودنددستیابی به شبکهای امن و تأمین پدافند سایبری در زیرساختهای کشور در چارچوب سیاستهای کلی نظام دیدهشده و علاوه بر تأکیدات برنامه پنجم توسعه که در سند راهبردی امنیت فضای تبادل اطلاعات (افتا) گنجاندهشده است، در برنامه ششم توسعه نیز به موارد مهمی برای آمادگی امنیت سایبری اشارهشده تا ایران به یکی از قدرتهای سایبری منطقه در حوزه امنیت تبدیل شود.
سند راهبردی افتا مهمترین سند بالادستی نظام در حوزه امنیت سایبر محسوب میشود که طبق قانون برنامه پنجم توسعه تمامی ارکان کشور موظف به اجرای آن شدهاند؛ در این سند الزاماتی در حوزه امنیت فضای تبادل اطلاعات برای دولت متصور شده است. استقرار نظام مدیریت امنیت اطلاعات ISMS در دستگاههای حکومتی، استانداردسازی محصولات امنیتی در حوزه سایبر، راهاندازی مراکزی چون مرکز عملیات امنیت SOC و مرکز ماهر CERT ازجمله این الزامات است اما آنچه در آمار مطرحشده از سوی درگاه پایش شاخصهای فناوری اطلاعات کشور به چشم میخورد، با این اهداف فاصله دارد.
برای مثال براساس آمار درگاه پایش شاخصهای فناوری اطلاعات کشور در سند راهبردی افتا، انتظار استقرار ۵۳ درصدی نظام مدیریت امنیت اطلاعات ISMS میرود اما تنها ۳۹ درصد این هدف محقق شده است؛ در مورد راهاندازی مرکز عملیات امنیت SOC نیز از ۱۰۰ درصد انتظار ۲۰ درصد پروژه محقق شده و پروژه گوهر گروه واکنش هماهنگ رخدادهای امنیتی از ۱۰۰ درصد تنها ۳۵ درصد به مرحله عملیاتی رسیده است. در حوزه استانداردسازی و ارزیابی محصولات امنیتی نیز باوجودی که انتظار میرفت ۲۹ آزمایشگاه ارزیابی محصولات امنیتی در این بخش ایجاد شود، راهاندازی تنها ۸ آزمایشگاه در این زمینه محقق شده است.
از سوی دیگر براساس قانونی که از سوی دولت به تمام دستگاههای اجرایی ابلاغشده است، خرید نرمافزارهای داخلی حوزه امنیت الزامی و خرید نرمافزارهای خارجی درصورتیکه مشابه آن در داخل کشور وجود داشته باشد، ممنوع است که در این زمینه نیز بسیاری از دستگاههای اجرایی، این مهم را رعایت نمیکنند.
رتبه ایران در آمادگی امنیت سایبری قابلقبول نیستدر اینکه ایران بیشتر از بسیاری از کشورهای دنیا در مرکز هدف حملات سایبری قرار دارد شکی نیست و بررسیها نیز نشان میدهد که بسیاری از موارد تهاجم سایبری باهدف حمله به کشورهایی مانند ایران طراحیشده است. بهنحویکه وزارت ارتباطات و فناوری اطلاعات پیشازاین اعلام کرده بود که روزانه بالغبر ۱۰ میلیون سانحه امنیتی سایبری در کشور شناسایی میشود که اغلب این حملات نیز بهسرعت خنثی میشود. این در حالی است که در آمار مقایسهای که براساس گزارش شاخصهای بینالمللی فناوری اطلاعات و ارتباطات توسط اتحادیه جهانی مخابرات ITU اعلامشده است، کشورمان رتبه ۱۹ را ازنظر شاخص آمادگی امنیت سایبری در میان کشورهای جهان به خود اختصاص داده است.
طبق این گزارش که از سوی درگاه پایش جامعه اطلاعاتی ایران و نظام پایش شاخصهای ICT منتشرشده تا پایان سال ۲۰۱۴، کشور آمریکا رتبه نخست دنیا و کانادا رتبه دوم را در حوزه امنیت سایبری از آن خودکرده است؛ در این ردهبندی کشور استرالیا، رتبه نخست آسیا و کشور عمان کشور برتر منطقه خاورمیانه است؛ این دو کشور رتبه سوم را در جدول جهانی امنیت سایبری نیز در اختیاردارند.
در اروپا نیز نروژ رتبه اول را از آن خودکرده است و کشورهای آلمان، بریتانیا، استونی، در ردههای پایینتری از نروژ قرار دارند. در ردهبندی اعلامشده در بین کشورهای منطقه، کشورهای عمان، ترکیه، قطر، مصر و آذربایجان رتبههای بهتری را نسبت به ایران در اختیاردارند؛ همچنین در جدول ردهبندی کشورهای آسیایی نیز استرالیا، عمان، کره جنوبی، ژاپن، هند، سنگاپور، قطر، اندونزی و چین، جایگاه بالاتری از ایران را ازنظر شاخص امنیت سایبری به خود اختصاص دادهاند.
راه جلوگیری از آسیبپذیری سایتهامحمدرضا فرجی پور، معاون فناوری اطلاعات سازمان پدافند غیرعامل، در مورد ضریب امنیت سایبری دستگاههای دولتی و لزوم هشدارهایی که باید موردتوجه قرار دهند، اظهار داشت: در اینکه هر صاحب وبسایتی که مسائل امنیتی را بیشتر رعایت کرده باشد، قاعدتاً در برابر حملات سایبری مصونیت بیشتری خواهد داشت شکی نیست همچنین هر یک از دستگاهها که به مقوله امنیت کمتوجهی کرده و حفرههای اطلاعاتی را باز گذاشته دچار آسیبپذیری بیشتری میشود و در معرض خطر قرار دارد.
وی با اشاره به اهداف رصد اطلاعات توسط هکرها، گفت: آسیبپذیری وبسایتها ممکن است بهوسیله هکرهای معمولی هم رصد شود و به هر دلیل قابلنفوذ است که یکی از نفوذها میتواند به تغییر چهره سایت بیانجامد. در این میان هنر دستگاهای دولتی این است که بتوانند بخشهای اصلی و حیاتی سیستم شان را که پایگاههای داده خواهد بود، از آسیب نفوذ مصون بدارند و در معرض دسترس قرار ندهند.
فرجی پور به حملات اخیر امنیتی به سایتهای دستگاههای اجرایی ازجمله مرکز آمار و سازمان ثبتاسناد اشاره کرد و ادامه داد: اگر این حملات در حد تغییر صفحه یک سایت باشد، ظرف مدت چند ساعت قابل بازگشت است اما اگر بیاحتیاطی صورت گرفته باشد و راه را برای نفوذ به پایگاه داده و دیتا بیسشان باز گذاشته باشند، موضوع جدیتر خواهد بود. چراکه این قبیل سامانهها به جهت ارائه خدمات به مردم، دارای اطلاعات مالی و شناسایی مردم هستند و نباید این اطلاعات دستخوش ورود، استفاده، تغییر و یا حذف نفوذگران شود.
معاون سازمان پدافند غیرعامل، راهکار جلوگیری از این آسیبپذیری را استفاده از نرمافزارهای دیتابیسی عنوان کرد که امنیت لازم را داشته باشند و گفت: یک سری از این بستههای نرمافزاری آسیبپذیر هستند و نباید از آنها استفاده کرد. نکته اصلی این است که اکثر امکانات نرمافزاری که هماکنون در سایتهای دولتی مورداستفاده قرار میگیرد داخلی نیست و بستههای نرمافزاری یا از خارج خریداری میشود و یا برخی دیگر خریدارینشده و به شکل دیگری به دست میآیند که اینها در ذات خود آسیبپذیری دارند.
وی با تأکید بر اینکه قطعاً نمیتوان مدعی شد که نرمافزارها هیچگونه آسیبپذیری ندارند، ادامه داد: هر نرمافزار بهاندازه خود دارای یک سری باگ و منفذ است و لذا زمانی که از نرمافزار خارجی استفاده میشود قاعدتاً باید این مدل ریسکها را پذیرفت.
بیتوجهی دستگاههای اجرایی به توصیههای امنیتیفرجی پور خاطرنشان کرد: باوجود راهحلهایی میتوان امنیت شبکههای اطلاعاتی را تاحدی تضمین کرد و در این زمینه دستگاهها باید آموزش ببینند و به هشدارها توجه نشان دهند؛ اما متأسفانه شاهد آن هستیم که برخی به این هشدار توجه نمیکنند و معتقدند که اطلاعاتی ندارند که بخواهد سرقت شود و یا از دست برود.
معاون سازمان پدافند غیرعامل گفت: اتفاقات چند روز اخیر در مورد هک سایتهای دستگاههای دولتی نشان داد که خیلیها به این هشدارها توجه نداشتهاند و به همین دلیل هکرها توانستند در این سایتها نفوذ کنند.
وی در پاسخ به این سؤال که آیا تمامی نرمافزارهای خارجی ناامن هستند، تصریح کرد: من نمیگویم همه نرمافزارهای خارجی ناامن هستند اما مظنون و مشکوک هستند. بهویژه زمانی که فروشنده نرمافزار بداند مقصد این نرمافزار کجا خواهد بود و قرار است در چه زمینهای به کار گرفته شود. در این صورت میتواند از آسیبپذیریهای نرمافزار سوءاستفاده کند.
فرجی پور اضافه کرد: این مورد برای بخش سختافزار هم در کشور اتفاق افتاده است. بهنحویکه فروشنده سختافزار، از مقصد نهایی آن مطلع شده و با معیوب کردن سیستم سختافزاری، خرابکاری صنعتی به وجود آورده است. در مورد نرمافزار هم همین است، اینکه نرمافزاری دانلود و یا خریداری میشود، قابل بهرهبرداری برای فروشنده است. بهویژهاینکه مقصد نرمافزار، استفاده در سازمانهای حساس و مهم در کشور باشد.
معاون فناوری اطلاعات سازمان پدافند غیرعامل با اشاره به اینکه عدهای با نصب یک سری عوامل مانند تروجانهای نرمافزاری و سختافزاری قصد در سرقت اطلاعات دارند، تأکید کرد: اخیراً نیز شاهد یک ادبیات در تهدیدات سایبری به نام APT هستیم که تهدیدات پیشرفته پایدار و ماندگار را شامل میشود. در این مورد، تهدید با خرید سختافزار و نرمافزار به هر شکل وارد مجموعه میشود و پایدار و ماندگار است تا در مقاطعی از زمان فعالشده و اطلاعات را منتقل کند. با بروز این مشکل، ممکن است در بخشی از نرمافزار سیستم، اختلال به وجود بیاید و یا در مقطعی از زمان، سیستم کامپیوتر با مشکل مواجه شده و مختل میشود. حتی ممکن است در زمان بهروزرسانی سیستم، حمله سایبری اتفاق بیافتد.
عدد حمله روزانه سایبری به دستگاههای کشور وحشتناک استفرجی پور در مورد میزان نفوذ سایبری به سایتهای دستگاههای دولتی در کشور گفت: از مرکز ماهر باید پرسید که روزانه چقدر به دستگاههای کشور، حمله سایبری میشود اما این عدد بسیار وحشتناک است. البته حملات سایبری همه از نوع حملات سایبری و پیشرفته نیست. هرروز این حملات صورت میگیرد و اگر به هر دستگاه مراجعه کنید و بپرسید که سیستم مرکز عملیات امنیتی (SOC) شما در روز چه تعداد حمله را کشف میکند، ممکن است ارقامی بین ۵۰ هزارتا ۱۰۰ هزار حمله را بدهند. این نشان میدهد که تعداد زیادی حمله سایبری به کشور انجام میشود اما همه اینها حمله اساسی محسوب نمیشوند.
وی بابیان اینکه حملات اساسی سایبری آنهایی هستند که یک سامانه را بهطور کل از سرویس خارج کند و درروند خدمات آن سامانه اختلال به وجود آید، اضافه کرد: برای مثال اگر سیستم برق کشور به دلیل حملات سایبری مختل شود، مجموعه متولی برق کشور از ارائه خدمت به مردم ناتوان شده و بحران ایجاد شود. یا اینکه اگر سیستم ارتباطات کشور به دلیل حمله سایبری مختل شود، شاهد یک بحران خواهیم بود که این قبیل حملات، حملات اساسی تلقی میشوند.
مرکز عملیات امنیتی باید بومی باشدمعاون سازمان پدافند غیرعامل با اشاره به لزوم استفاده دستگاهها از مراکز عملیات امنیتی بهعنوان یکی از تمهیدات امنیتی که میتواند کارآمد باشد، گفت: داشتن SOC یک منفعت برای دستگاهها به شمار میرود و باوجودآن حداقل خواهند دانست ازلحاظ امنیتی در مجموعههایشان چه میگذرد و منتظر نمیمانند اتفاقی بیافتد و بهصورت انفعالی با آن برخورد کنند؛ اما اگر بخواهیم مراکز SOC را هم بهصورت غیربومی داشته باشیم راهکار مناسبی نیست و آسیبزا خواهد بود.
وی با اشاره به بومیسازی این محصول در کشور گفت: هماکنون شرکتهای بسیاری محصول SOC را تولید کردهاند که واقعاً هم بهخوبی کار میکند؛ اما متأسفانه رویکرد استفاده از محصولات بومی در کشور قوی و مدبرانه نیست. باید دستگاهها به استفاده از محصولات بومی تشویق شوند. باید توجه داشت که قیمت تولیدات بومی، بهمراتب از محصول خارجی پایینتر است و حالا ممکن است یک سری نقصها داشته باشد که بهتدریج مرتفع میشود. نرمافزار خارجی نیز ۱۰۰ درصد بدون مشکل نیست.
فرجی پور گفت: قانون مشخصی از سوی دولت به همه دستگاهها ابلاغشده با این مضمون که تا زمانی که یک محصول نرمافزاری و یا سختافزاری داخلی وجود داشته باشد، خرید آن از خارج، ممنوع است؛ اما این موضوع بهدقت رعایت نمیشود. حتی شاهد هستیم که چندی پیش، بخشی از کشور، برای خرید محصول نرمافزاری با کشوری وارد مذاکره و قرارداد شده است که ما با آن کشور مشکلداریم. این را میتوان به کمتوجهی تعبیر کرد.
نرمافزارهای قفلشکسته منابع تهدیداین مقام مسئول در سازمان پدافند غیرعامل بابیان اینکه استفاده از نرمافزارهای قفلشکسته در سامانههای دستگاههای دولتی، ازجمله منابع تهدید به شمار میرود، ادامه داد: باید توجه داشت که فروشندگان خارجی نرمافزار بدشان نمیآید که در کشور ما از نرمافزار قفلشکسته استفاده شود. اگرچه در ظاهر از این موضوع ابراز ناراحتی میکنند و میگویند شما کپیرایت را رعایت نکردهاید اما در باطن امر خوشحال میشوند که این نرمافزارهای قفلشکسته، ابزاری برای نفوذ و استخراج اطلاعات است.
وی گفت: تنها راهکار این است که ما بپذیریم دشمنی وجود دارد که دوست دارد به ما حمله کند و اطلاعات ما را مخدوش کند. این را باید باور کنیم. اگر این باور نباشد بیمحابا از سختافزار و نرمافزار خارجی استفاده میکنیم. متأسفانه ما این مشکل را با خیلی از مدیران داریم که به ما میگویند شما بدبین هستید و این امکانات در همه جای دنیا در حال استفاده است و ما نیز در کشور اگر از این امکانات استفاده کنیم اتفاقی نمیافتد.
فرجی پور تصریح کرد: اما باید به این نکته توجه داشت که کشور ما شرایط ویژهای دارد و نباید با کشورهایی مانند سوئیس و یا پاکستان آن را مقایسه کرد. عدهای در دنیا روی کشور ما نفوذ کردهاند و میخواهند به شکل نرم، نسبت به جمعآوری اطلاعات اقدام کرده و به کشور ضربه بزنند. حتی اخیراً نیویورکتایمز مقالهای منتشر کرده که مقامات آمریکایی اذعان داشتند که اگر برجام به نتیجه نمیرسید ما قصد داشتیم با کاشتن یک سری ابزارهای الکترونیکی در شبکههای ایرانی، آنها را از کار بیاندازیم.
وی با تأکید بر اینکه باید بپذیریم که ما موردتوجه هستیم اضافه کرد: برخی خوشبین هستند و میگویند کسی به ما کاری ندارد و این موارد عادی است. بااینوجود این سؤال مطرح میشود که آیا عادی است که به بیش از ۱۰ تا ۱۲ وبسایت حمله شود و چهره سایتشان عوضشده و خدماتشان متوقف شود؟ این عادی نیست این موضوع حیثیت سایت را زیر سؤال میبرد. در اینکه بخشهای زیادی از کشور تعداد زیادی حمله را کشف و خنثی میکنند شکی نیست اما اگر حمله به نتیجه برسد و صفحه یک وبسایت تغییر چهره داده و خدمات و سرویسدهی آن متوقف شود، دیگر موضوع عادی نیست.
ازآنجاییکه شتاب توسعه در بخش امنیت اطلاعات چندین برابر سرعت تکنولوژی است تا زمانی که تنها مصرفکننده صرف ابزارهای این حوزه باشیم به آنچه میخواهیم در حوزه امنیت فضای تبادل اطلاعات دست نخواهیم یافت. بلکه باید اقدامات در حوزه امنیت به نحوی باشد که خودمان تولیدکننده دانش امنیتی باشیم و به سمت تولید محصول بومی حرکت کنیم؛ با این هدف که محصولات خارجی بهعنوان بهترین تجارب بررسی شوند اما درنهایت در کلاس جهانی، بتوانیم محصول امنیتی تولید کنیم.