حمله‌های سایبری به زیرساخت‌های اطلاعاتی؛ از نبود تجهیزات امن تا ناآگاهی متولیان

نویسنده: راه پرداخت در تاریخ 19 اردیبهشت سال 1401 ساعت 15:37 0

ریحانه هاشمی / حمله‌های هکری به زیرساخت‌های اطلاعاتی، در ایران و جهان، نه تازگی دارد و نه قدیمی می‌شود. این حمله‌ها در تمام جهان و در سطوح مختلف اتفاق می‌افتد و کشور ما هم از این قاعده مستثنی نیست، اما نباید با بهانه اینکه هک و لو رفتن اطلاعات در کشورهای مختلف اتفاق می‌افتد، برای مقابله با آنها چاره‌اندیشی نکرد.

حمله اخیر هکرها به سایت وزارت جهاد کشاورزی که موجب دی‌فِیس‌شدن این سایت و لو رفتن اطلاعات برخی سامانه‌های وزارتخانه شد، پرونده همیشه باز حمله‌های سایبری به زیرساخت‌های اطلاعاتی را دوباره ورق زد. بررسی پرونده‌های مشابه حمله که در گذشته، در زیرساخت‌های بخش دولتی و بخش خصوصی مثل ابر آروان، تپسی، ایرانسل و… اتفاق افتاده، این سؤال را دوباره مطرح می‌کند که آمادگی فضای سایبری ایران، برای مقابله با حملات هکری در چه سطحی است و اساساً زیرساخت‌های لازم برای مقابله با حمله‌های مشابه را داریم یا خیر.

احسان مدیری، رئیس کمیسیون مشاوران سازمان نظام صنفی تهران در پاسخ به این سؤال می‌گوید: «ما زیرساخت امنیتی را در سازمان‌ها و کسب‌وکارهای مختلف داریم و برای آماده‌کردن این زیرساخت‌ها زحمت زیادی کشیده شده، اما مشکلی که از چند سال پیش به وجود آمده، این است که به بهانه استفاده از محصولات تولید داخل، جلوی واردات محصولات به‌روز جهانی گرفته شده است.»

به گفته مدیری، محصولات تولیدی شرکت‌های ایرانی، قابل مقایسه با محصولاتی که توسط شرکت‌های بزرگ بین‌المللی ساخته می‌شوند، نیستند و نمی‌توانند جایگزین آنها بشوند و نیاز امنیتی سازمان‌ها و کسب‌وکارهای بزرگ را به‌طور کامل فراهم کنند؛ «باید نسبت به توانمندی‌ها و قابلیت‌های محصولات شرکت‌های ایرانی واقع‌بین بود و آنها را در بخش‌های کوچک‌تر به ‌کار گرفت و به میزان توانمندی‌شان از آنها توقع داشت.»

مونتاژ به ‌جای تولید

رئیس کمیسیون مشاوران سازمان نظام صنفی معتقد است وضعیت شرکت‌های ایرانی به نحوی است که بسیاری از آنها صرفاً مونتاژکار محصولات خارجی هستند و به ‌صرف مونتاژکار بودن، خودشان را دانش‌بنیان و تولیدکننده می‌نامند. او اعتقاد دارد نباید فراموش کنیم که مونتاژ به معنای تولید نیست؛ «تجهیزات قدرتمند و قابل اطمینان و به‌روز در حوزه امنیت، چند سالی است که به‌سختی وارد کشور می‌شود و این مسئله باعث بروز مشکلات امنیتی، مشابه آنچه اخیراً برای بانک کشاورزی اتفاق افتاد، می‌شود.»

به عقیده مدیری، نباید فکر کنیم سایت این وزارتخانه زیرساخت امنیتی لازم را نداشته؛ حتماً زیرساختی وجود داشته، اما این زیرساخت به‌روز نبوده و نتوانسته در برابر حمله هکرها دوام بیاورد.

به‌روزرسانی زیرساخت‌های اطلاعاتی به جدیدترین فناوری‌ها و تازه‌ترین یافته‌های علمی در جهان نیاز دارد. این دانش و فناوری توسط شرکت‌هایی تولید می‌شود که سابقه چندین‌ساله در زمینه تولید سخت‌افزار و نرم‌افزارهای امنیت و زیرساخت اطلاعات دارند، اما به اعتقاد مدیری، در کشور ما روال بر این است که شرکتی که تازه ثبت شده، به صرف ساختن تعداد معدودی محصول و بدون اینکه ظرفیت تولیدش سنجیده شود، مجوز فروش می‌گیرد و به سهم خود، جلوی ورود محصولات خارجی به‌روز را می‌گیرد. در مرحله بعد، بهره‌برداران که همان سازمان‌ها و کسب‌وکارها هستند، به خاطر ممنوعیت واردات مجبورند از این کالاهای «به‌اصطلاح» تولید داخل استفاده کنند که نمی‌توانند امنیت سطح بالایی از امنیت را فراهم کنند.

آگاهی؛ پیش‌شرط آمادگی در مقابل حمله سایبری

پارسا یوسفی، مدیر امنیت ابر آروان نیز درباره آماده‌بودن زیرساخت‌های اطلاعاتی و امنیتی برای مقابله با حملات هکری می‌گوید: «اینکه هر سازمان یا کسب‌وکار یا مجموعه‌ای، در دفع و مقابله با این حملات چقدر موفق عمل کند، به بلوغ خودش برمی‌گردد. به نظر نمی‌آید که وزارت جهاد کشاورزی بودجه زیادی به مسئله امنیت اختصاص داده باشد یا اینکه بحث امنیت سایبری جزء دغدغه‌هایش باشد. همین کم‌توجهی باعث می‌شود یک مجموعه آسیب‌پذیرتر شود.»

یوسفی می‌گوید در گذشته، موارد مهم‌تری از data leakage اتفاق افتاده و اقدام پیشگیرانه‌ای پس از آن صورت نپذیرفته است، مانند آنچه برای همراه اول، ایرانسل و شهرداری تهران رخ داد؛ «اتفاقی که برای سایت وزارت جهاد کشاورزی افتاده هم دنباله اتفاقات مهم‌تر گذشته است که هیچ تصمیم اثرگذاری برای پیشگیری از وقوع دوباره آنها گرفته نشد. به نظرم این اتفاق باید از درون بیفتد، یعنی خود مجموعه‌ها متوجه ارزش اطلاعات باشند تا برای حفظ و جلوگیری از لو رفتن آنها فکری بکنند.»

متولی حوزه امنیت سایبری کیست؟

به گفته احسان مدیری، رئیس کمیسیون مشاوران سازمان نظام صنفی، حوزه امنیت سایبری در کشور ما چندین متولی دارد. علاوه بر این چندگانگی مدیریتی، مشکل به‌روز نبودن که در مورد سخت‌افزار و نرم‌افزار‌های امنیتی مطرح شد، در مورد افراد و متولیان این حوزه هم وجود دارد؛ «سطح دانش این افراد، از سطح کارکرد سخت‌افزارهای مونتاژشده ایرانی بالاتر نمی‌رود و در همان سطح می‌ماند؛ بنابراین متولیان این حوزه عموماً فکر می‌کنند محصولات داخلی، امنیتی برابر با محصولات خارجی را فراهم می‌کنند، در حالی که این محصولات هرگز نمی‌توانند همپای سخت‌افزارها و نرم‌افزارهای به‌روز جهان باشند.»

مدیری ادامه می‌دهد: «مسئولان حوزه امنیت سایبری باید اول نسبت به ضعف تولیدات داخل آگاهی پیدا کنند تا متوجه شوند محدود کردن واردات، چه بلایی بر سر زیرساخت اطلاعاتی کشور می‌آورد.»

از سوی دیگر، سازمان تنظیم مقررات رادیویی کشور، از چند ماه پیش مقرر کرد که وقتی یک محصول خارجی وارد کشور می‌شود، مدت‌زمان زیادی را در مرحله آزمایش امنیت بگذراند. به گفته احسان مدیری وقتی این محصول از مرحله آزمایش امنیت خارج شد و به بازار راه پیدا کرد، دیگر به‌روز نیست و با قیمت پایین‌تر و توانمندی کمتر نسبت به دانش روز دنیا، به مشتریان عرضه می‌شود.

او در مورد واکنش‌های سازمان نظام صنفی رایانه‌ای کشور به این تصمیمات هم می‌گوید: «کمیسیون افتا در سازمان نظام صنفی رایانه‌ای کشور، بارها این موارد را چه به‌صورت حضوری و چه به‌صورت مکتوب، به متولیان حوزه سایبری در بدنه حاکمیت منتقل کرده است. پیگیری‌های نظام صنفی رایانه‌ای هرچند مؤثر است، اما تأثیر کوتاه‌مدت دارد. بارها پیش آمده که یک مسئله برای مدتی حل شده، اما با آمدن مدیر جدید، دوباره همه موارد حل‌شده ملغی می‌شود و به حالت قبل برمی‌گردد.»

آیا در تمام دنیا هک و دی‌فیس اتفاق می‌افتد؟

پارسا یوسفی، مدیر امنیت مجموعه ابر آروان معتقد است هیچ‌وقت نمی‌توانیم با قطعیت صد درصد بگوییم زیرساخت اطلاعاتی یک مجموعه، چه در داخل کشور و چه در خارج از آن از بالاترین سطح امنیت برخوردار است و بنابراین مورد حمله قرار نخواهد گرفت. اما می‌توانیم با بالا بردن امنیت، هزینه و زحمت بیشتری برای کسانی که قصد حمله و دزدیدن اطلاعات دارند، ایجاد کنیم.

یوسفی می‌گوید: «این هزینه در ایران خیلی پایین است و می‌توان با کمترین هزینه، به این اطلاعات رسید. به همین خاطر در کشور ما حمله‌های سایبری، هک و data leakage زیاد اتفاق می‌افتد. آسیب‌پذیری زیرساخت‌های کشور ما بالاست و این حمله‌ها توسط گروه‌های مختلف در زمینه هک انجام می‌شود.»

احسان مدیری معتقد است بخش خصوصی به‌دلیل اینکه آزادی بیشتری برای خرید تجهیزات دارد و برای خرید کالاهای ایرانی، تحت فشار زیادی نیست، دسترسی بهتری به محصولات جدید جهانی دارد؛ بنابراین امنیت بالاتری را نسبت به بخش دولتی برای زیرساخت‌هایش فراهم می‌کند؛ «برای بخش‌هایی که اسکیل بزرگی دارند، به ‌هیچ‌عنوان نباید از محصولات تولید داخل استفاده کرد. تجهیزات ایرانی بهتر است در بخش‌های کوچک‌تر که حساسیت کمتری دارند، مورد استفاده قرار بگیرند؛ چون هم قیمت بهتری نسبت به محصولات خارجی دارند و هم پشتیبانی و خدمات مناسبی برای آنها ارائه می‌شود.»

به اعتقاد مدیری، این بدیهی است که سازمان‌های بزرگ، وزارتخانه‌ها، بانک‌ها و مراکز مشابه مثل سازمان ثبت احوال که انباشت اطلاعاتی زیادی دارند، نباید زیر فشار استفاده از تولیدات داخل باشند و باید بتوانند مانند بخش خصوصی از محصولات به‌روز جهانی استفاده کنند.

چطور به بالاترین سطح امنیت برسیم؟

امنیت یک فرایند کامل است و یک بخش کوچک نیست و حوزه گسترده‌ای را شامل می‌شود که نیازمند یک اشراف کامل و همه‌جانبه است. به گفته احسان مدیری، نمی‌شود توقع داشت در همه سازمان‌ها و وزارتخانه‌ها چنین تیم کاملی حضور داشته باشد و بتواند نیازهای امنیتی آن مجموعه را به‌طور کامل حل کند؛ «من همیشه پیشنهاد می‌کنم مجموعه‌های بزرگ از سازمان نظام صنفی رایانه‌ای کشور، در زمینه امنیت زیرساخت‌شان مشورت بگیرند تا ببینند چه بخش‌هایی از حوزه امنیت‌شان بهتر است برون‌سپاری شود و مسئولیت کدام بخش‌ها بهتر است به عهده خود مجموعه باشد. این مسئله به جنس فعالیت مجموعه، اندازه مجموعه و تعداد مراجعانش بستگی دارد. نمی‌شود یک دستور کلی برای برون‌سپاری یا درون‌سپاری این مسئله صادر کرد.»

از سوی دیگر، پارسا یوسفی معتقد است برون‌سپاری مقوله امنیت، اطمینان بیشتری برای کسب‌وکارها به همراه خواهد داشت: «من طرفدار برون‌سپاری هستم؛ اگر وزارتخانه‌ها یا سازمان‌ها و کسب‌وکارها را بهره‌بردار این امنیت اطلاعاتی بدانیم، قطعاً توان و سطح سواد لازم برای بالابردن سطح امنیت سایبری در بین تمام این بهره‌برداران وجود ندارد و چون منابع لازم و بلوغ لازم را در این زمینه نداریم، باید به سمت برون‌سپاری برویم.»

یوسفی می‌گوید امنیتی که با این روش به دست می‌آید، قطعاً از سطح امنیتی‌ای که بهره‌برداران در حال حاضر دارند و می‌خواهند تمام مسائل مربوط به امنیت را در داخل مجموعه‌های خودشان انجام دهند، بالاتر خواهد بود. او ادامه می‌دهد: «اما در دنیا هر دو نمونه دیده می‌شود. مثلاً یکسری مجموعه‌ها مانند پنتاگون، بحث امنیت زیرساخت اطلاعاتی‌شان را به پیمانکاران مختلف واگذار کرده‌اند. بعضی جاها مانند مایکروسافت و گوگل هم، خودشان این کار را برای خودشان انجام می‌دهند.»

امنیت؛ یک طیف گسترده

مقوله امنیت، مقوله بسیار مهم و گرانی است. امنیت یک طیف است و به‌صورت نسبی در نظر گرفته می‌شود؛ بنابراین نمی‌توان گفت که می‌شود به امنیت صد درصدی برای یک مجموعه سایبری دست یافت. به اعتقاد مدیری، هرچقدر یک مجموعه بزرگ‌تر بوده و فعالیت جدی‌تری داشته باشد و اطلاعات بیشتری در زیرساختش انباشته شده باشد، رسیدن به امنیت صد درصد مهم‌تر می‌شود؛ بنابراین باید هزینه بیشتری برای دستیابی به این مهم پرداخت شود.

مدیری می‌گوید: «شرکت‌های کوچک‌تر هم قطعاً به زیرساخت امن نیاز دارند، اما نیازی نیست که این امنیت، استانداردهای خیلی بالایی داشته باشد و با صرف هزینه‌های هنگفت فراهم شود. می‌شود با هزینه کمتر، به سطح مناسبی از امنیت که نیاز مجموعه‌های کوچک‌تر را فراهم می‌کند، دست پیدا کرد.»

مدیر امنیت ابر آروان هم می‌گوید بحث امنیت شامل موارد مختلف و متعددی است که تمام بخش‌های آن را یک شرکت ارائه نمی‌دهد: «برای مثال وقتی از یک سرویس زیرساخت ابری برای امنیت اطلاعات خود استفاده می‌کنیم، همچنان نمی‌توانیم اطمینان صد درصدی داشته باشیم که هیچ‌وقت مشکل امنیتی برای مجموعه ما به وجود نخواهد آمد، چون امنیت ابعاد گسترده فنی و حتی غیر‌فنی زیادی را دربر می‌گیرد، اما به‌طور خاص در مورد امنیت سایت، می‌توانیم بگوییم اگر وزارت جهاد کشاورزی از مجموعه ابزارهای امنیت ابری شامل Waf/Firewall/DDoS protection استفاده می‌کرد، احتمالاً اتفاق اخیر برای این سایت رخ نمی‌داد.»