رخدادهای امنیتی نباید مانع اختلال در ارائه خدمات الکترونیکی شود

به گزارش پیوست، این مصوبه شورای اجرایی فناوری اطلاعات پس از حمله سایبری به وزارت راه و شرکت راه‌آهن تصویب و ابلاغ شده است.

۱۸ تیرماه گذشته به دنبال حمله سایبری که به شرکت راه‌آهن و پس از آن وزارت راه‌ و شهرسازی صورت گرفت برای چند ساعت سفر قطارها با تاخیر و اختلال مواجه شد و بسیاری از سفرها لغو شدند. یک روز پس از حمله به شرکت راه‌آهن و اختلال در سیستم‌های کامپیوتری این شرکت که نتیجه‌اش لغو سفرها و معطل ماندن مسافران در ایستگاه‌های راه‌آهن بود سایت ستاد وزارت راه نیز مورد حمله قرار گرفت.

پس از این حمله مرکز مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات  ریاست جمهوری (افتا) اعلام کرد نفوذ به سامانه‌های وزارت راه و شهرسازی و شرکت راه‌آهن، حداقل یک ماه قبل از مشخص شدن حمله سایبری، رخ داده است و مهاجمان از هفته دوم تیرماه برنامه حمله سایبری و ابزارهای خود را کاملا آماده کرده بودند و اطلاعات خارج شده از اعلامیه حمله سایبری، گواه آن است که هکران آن را، حدود ۷ روز قبل از حادثه سایبری آماده کرده‌اند.

همچنین طبق اعلام نظر افتا، رعایت نکردن مسائل امنیتی در دورکاری‌ها، سیستم‌های ناقص، سهل‌انگاری پرسنل فاوا در نگهداری رمزهای عبور تجهیزات، بروز نکردن ضدویروس‌ها، سرمایه‌گذاری ناکافی برای افزایش امنیت سایبری و پیکربندی نامناسب از دیگر دلایل بروز این دو حادثه سایبری بوده است.

همان زمان وزیر ارتباطات و فناوری اطلاعات محمد جواد آذری جهرمی اعلام کرد که این تحرکات جدیدی شباهت زیادی به حملات باج‌افزاری اردیبهشت ۹۷ دارد.

شورای اجرایی فناوری اطلاعات پس از بروز این حادثه در آخرین جلسه خود تمامی دستگاه‌های اجرایی و ارائه دهنده خدمات را موظف کرد تا ضمن رعایت الزامات فنی و امنیتی ابلاغی ارائه خدمات الکترونیکی، پشتیبان گیری از داده‌ها، اطلاعات و سامانه‌های خود را به نحوی انجام دهند که در صورت بروز رخدادهای امنیتی یا رخدادهای منجر به اختلال در ارائه خدمات امکان ارائه خدمات با بازنشانی داده‌ها، اطلاعات و سامانه‌ها بدون داده ازدست‌رفته فراهم شود.

همچنین سازمان فناوری اطلاعات ایران موظف شده است وضعیت پایداری، ایمنی و تداوم ارائه خدمت پورتال‌ها و خدمات الکترونیکی دستگاه‌های اجرایی را به‌صورت مستمر (24*7) پایش و ارزیابی کرده و آسیب‌پذیری‌های احتمالی یا میزان پایداری و تداوم دسترسی کاربران به پورتال‌ها و سامانه‌های ارائه خدمات را به دستگاه‌ها اعلام کند.

دستگاه‌های اجرایی نیز موظف‌اند در کوتاه‌ترین زمان ممکن نسبت به رفع آسیب‌پذیری‌های اعلام شده یا مشکلات پایداری و تداوم ارائه خدمات اقدام کنند.
طی سال‌های گذشته مرکز ماهر و افتا بارها اعلام کرده‌اند که هر چند بروز خطر را به دستگاه‌ها و سازمان‌ها اطلاع می‌دهند یانقاط ضعف سایت‌هایشان را به آنها اعلام می‌کنند اما دستگا‌ه‌های اجرایی و سازمان‌ها اقدامی به رفع مشکلات سایت‌ها انجام نمی‌دهند.

البته پیش‌بینی شده است که وظیفه محول شده به سازمان فناوری اطلاعات برای پایش وضعیت پایداری و ایمنی سایت‌ها و پورتال‌های ارائه خدمات دستگاه‌های مختلف نافی وظیفه و مسئولیت ذاتی هر دستگاه اجرایی نیست بلکه تمامی دستگاه‌ها و سازمان‌ها باید به صورت مستمر پایگاه‌های اطلاع‌رسانی و پورتال‌های خود را از نظر امنیتی پایش کنند و به صورت مستمر اقدام به رفع آسیب‌پذیری‌های خدمات الکترونیکی و درگاه‌های الکترونیکی کنند.

موضوعات و رخدادهای حوزه فضای مجازی نیازمند سرعت در تصمیم‌گیری و اجراست و در این میان به نظر می‌رسد شبکه‌های اجتماعی می‌توانند به عنوان یکی از ابزارهای موثر و مطمئن مورد استفاده دولت و دستگاه‌های مختلف برای نظارت قرار گیرند.

شورای اجرایی فناوری اطلاعات در جلسه ۲۲ و آخرین جلسه خود در دولت دوازدهم اقدام به تصویب دو مصوبه‌ای کرد که طی یک ماه گذشته بازتاب‌های زیادی در شبکه‌‌های اجتماعی ایجاد کرده بود. حمله به وزرات راه و شرکت راه‌آهن و اخذ تعرفه برای ارائه الکترونیکی خدمات در حوزه سلامت. بازتاب این دو موضوع در شبکه‌های اجتماعی منجر به بررسی و تصمیم‌گیری خاص و صدور مصوبه در خصوص هر کدام از آنها شد.

متن کامل مصوبه شورای اجرایی فناوری اطلاعات در خصوص الزام دستگاه‌های اجرایی به پشتیبانی از داده‌ها