skip to Main Content
دیجی‌ پی
کانال بله پیوست
محتوای اختصاصی کاربران ویژهورود به سایت

فراموشی رمز عبور

با شبکه های اجتماعی وارد شوید

عضو نیستید؟ عضو شوید

ثبت نام سایت

با شبکه های اجتماعی وارد شوید

عضو نیستید؟ وارد شوید

فراموشی رمز عبور

وارد شوید یا عضو شوید

چرا امنیت سایبری فقط بعد از حمله جدی می‌شود؟

۲۰ تیر ۱۴۰۵

زمان مطالعه : ۱۳ دقیقه

حداقل ۶ بحران بزرگ در پنج سال و در پایان هرکدام یک جمله تکراری: «باید امنیت سایبری را جدی گرفت.» این جمله را می‌شد آبان ۱۴۰۰ پس از حمله به سامانه هوشمند سوخت شنید؛ بار دیگر بعد از حمله به سامانه‌های شهرداری تهران در سال ۱۴۰۱، پس از افشای نفوذ به توسن در سال ۱۴۰۳، خرداد ۱۴۰۴ بعد از حمله به بانک سپه، فروردین ۱۴۰۵ پس از حمله به بانک‌های ملی و سپه و سرانجام در تابستان ۱۴۰۵، هم‌زمان با اختلال در خدمات چند بانک بزرگ کشور.
نام سازمان‌ها و زیرساخت‌های هدف تغییر کرده، اما جمله‌ها تقریباً همان جمله‌های قبلی بوده‌اند: ضرورت افزایش تاب‌آوری، تقویت پدافند سایبری، حفظ نیروهای متخصص، مشارکت بخش خصوصی و آمادگی برای مقابله با حملات پیچیده‌تر.
با این حال، یک سؤال در تمام این سال‌ها بی‌پاسخ مانده است: از میان همه مصوبات، طرح‌ها و وعده‌هایی که پس از این حملات اعلام شد، کدام‌یک واقعاً اجرا شده و نتیجه اجرای آنها چه بوده است؟

پرسش این گزارش آن نیست که آیا زیرساخت‌های حیاتی ایران آسیب‌پذیرند. تکرار حملات و اختلال‌های سال‌های اخیر پاسخ این سؤال را روشن کرده است. پرسش اصلی این است که چرا این آسیب‌پذیری‌ها هر چند ماه یک‌بار به بحرانی عمومی تبدیل می‌شوند، چرا گفت‌وگو درباره امنیت سایبری عمدتاً به روزها و هفته‌های پس از حمله محدود می‌ماند و چرا زمانی که نوبت به انتشار نتیجه اقدامات اصلاحی می‌رسد، اطلاعات چندانی در اختیار افکار عمومی قرار نمی‌گیرد.

پنج سال و بحرانی که هر بار زودتر بازمی‌گردد

آبان ۱۴۰۰ یکی از نخستین نقاط عطف این مسیر بود. حمله به سامانه هوشمند سوخت، فعالیت جایگاه‌های سوخت را در سراسر کشور مختل کرد و برای نخستین بار امنیت زیرساخت‌های حیاتی را از یک موضوع تخصصی و محدود به کارشناسان، به مسئله‌ای عمومی تبدیل کرد.

واکنش رسمی در آن مقطع بیش از آنکه بر تشریح ابعاد فنی حادثه، علت نفوذ و اقدامات اصلاحی متمرکز باشد، حول بازگرداندن خدمات و مدیریت پیامدهای عمومی حمله شکل گرفت. خدمات به‌تدریج بازگشت، وعده‌هایی برای تقویت زیرساخت‌ها مطرح شد، اما گزارش جامعی که نشان دهد حمله از چه مسیری انجام شده و چه تغییراتی برای جلوگیری از تکرار آن صورت گرفته، منتشر نشد.

در سال ۱۴۰۱ دامنه حملات گسترده‌تر شد. شهرداری تهران، سرورهای ایمیل کارگروه تعیین مصادیق محتوای مجرمانه، پایگاه اطلاع‌رسانی دولت و بانک مرکزی از جمله اهداف حملات یا اختلال‌های سایبری بودند. هرکدام از این رخدادها برای مدتی موضوع امنیت سایبری و تاب‌آوری دیجیتال را به صدر خبرها آوردند؛ اما با بازگشت سامانه‌ها، بحث عمومی درباره علت حمله و سرنوشت اقدامات اصلاحی نیز به‌تدریج فروکش کرد.

سال ۱۴۰۲ نشان داد چرخه حمله و فراموشی نه محدود به یک سازمان است و نه فقط زیرساخت‌های دولتی را در بر می‌گیرد. اول مهر آن سال، وب‌سایت وزارت علوم از دسترس خارج شد و وزارتخانه پس از مدتی وقوع حمله سایبری را تأیید کرد. در گزارش‌های بعدی اعلام شد سامانه برای بررسی بیشتر به‌طور موقت از دسترس خارج شده و وزارت علوم نیز تاکید کرد داده‌ای از سرورها خارج نشده است.

چند ماه بعد، نوبت اسنپ‌فود بود. گروهی هکری مدعی دسترسی به اطلاعات میلیون‌ها کاربر و داده‌های مربوط به سفارش‌های این پلتفرم شد. این‌بار برخلاف حملاتی که هدف اصلی‌شان از کار انداختن خدمات بود، مسئله نشت داده و دسترسی غیرمجاز به اطلاعات کاربران در مرکز توجه قرار گرفت.

اما شاید مهم‌ترین نشانه تداوم آسیب‌پذیری‌ها در همان سال، حمله دوباره به سامانه هوشمند سوخت بود. اواخر آذر ۱۴۰۲، حدود سه هزار و ۸۰۰ جایگاه سوخت در کشور با اختلال مواجه شدند.

سامانه‌ای که دو سال قبل هدف حمله قرار گرفته بود، بار دیگر با اختلالی گسترده روبه‌رو شد. این تکرار، پرسشی را جدی‌تر کرد: آیا پس از حمله نخست، زیرساخت به‌شکل پایدار مقاوم‌سازی شده بود یا صرفاً خدمات آن به وضعیت عادی بازگشته بود؟

تابستان ۱۴۰۳، حمله به شرکت توسن، امنیت سایبری را بار دیگر به شبکه بانکی پیوند زد و حمله به یک شرکت زیرساختی نشان داد که امنیت شبکه بانکی فقط به دیواره‌های امنیتی خود بانک‌ها محدود نیست. زنجیره‌ای از شرکت‌های نرم‌افزاری، پیمانکاران، مراکز داده و ارائه‌دهندگان خدمات فنی نیز بخشی از سطح حمله را تشکیل می‌دهند؛ حلقه‌هایی که ضعف در هرکدام از آنها می‌تواند مجموعه بزرگی از سازمان‌ها را در معرض خطر قرار دهد.

وقتی جنگ، حملات سایبری را به شبکه بانکی رساند

خرداد ۱۴۰۴ و هم‌زمان با جنگ ۱۲روزه، بانک سپه هدف حمله سایبری قرار گرفت و بخشی از خدمات آن برای چند روز از دسترس خارج شد. اختلال ایجادشده فقط به اپلیکیشن یا درگاه اینترنتی بانک محدود نماند و شماری از مشتریان، کسب‌وکارها و دارندگان چک نیز با مشکل روبه‌رو شدند.

در ادامه، بانک پاسارگاد نیز با اختلال مواجه شد و در همان دوره صرافی رمزارزی نوبیتکس هدف حمله قرار گرفت.

این حملات، برای نخستین بار در چنین ابعادی نشان دادند که درگیری نظامی و حمله سایبری دیگر دو حوزه جدا از یکدیگر نیستند. زیرساخت‌های مالی، بانکی و رمزارزی می‌توانند هم‌زمان با حملات فیزیکی هدف قرار گیرند و پیامدهای جنگ را مستقیماً به زندگی روزمره مردم و فعالیت کسب‌وکارها منتقل کنند.

کمتر از یک سال بعد، این تجربه دوباره تکرار شد. در جریان جنگی که از ۹ اسفند ۱۴۰۴ با حملات نظامی آمریکا و اسرائیل به ایران آغاز شد، بانک‌های ملی و سپه بار دیگر هدف قرار گرفتند.

مسعود پشم‌چی، معاون نظام‌های پرداخت و فناوری‌های نوین بانک مرکزی، ۳۱ فروردین ۱۴۰۵ رسماً اعلام کرد این دو بانک در جریان جنگ با «حملات سایبری و فیزیکی» مواجه شده‌اند و خدمات آنها برای چند روز از دسترس خارج شده است. او تاکید کرد مشکلات در کوتاه‌ترین زمان ممکن برطرف شده‌اند؛ هرچند گزارش‌های میدانی از وضعیت خدمات بانکی در همان روزها، از تداوم برخی اختلال‌ها حکایت داشتند.

هنوز فاصله زیادی از آن بحران نگذشته بود که موج تازه‌ای از اختلال‌های بانکی آغاز شد. از ۲۳ خرداد ۱۴۰۵، خدمات بانک‌های ملی، صادرات، تجارت و توسعه صادرات با اختلال روبه‌رو شدند. کارت‌های برخی بانک‌ها از کار افتادند، دسترسی به اپلیکیشن‌ها محدود شد و خدمات کارت‌محور برای ساعاتی یا در برخی موارد مدت بیشتری در دسترس نبودند.

تنها حدود ۱۰ روز بعد، بار دیگر خدمات بانک‌های ملی و صادرات از دسترس خارج شد. هم‌زمان گزارش‌هایی از درگیر شدن بانک‌های دیگر نیز منتشر شد؛ هرچند ابعاد موج دوم هیچ‌گاه به‌صورت کامل و رسمی اعلام نشد.

فاصله میان بحران‌ها کوتاه‌تر شده بود. حمله‌ای که زمانی هر دو یا سه سال یک‌بار افکار عمومی را درگیر می‌کرد، حالا در فاصله چند ماه یا حتی چند هفته تکرار می‌شد.

آناتومی یک واکنش تکراری

نوع حملات متفاوت بوده است. گاهی هدف، از کار انداختن یک خدمت عمومی مانند سامانه سوخت بوده؛ گاهی نفوذ به اطلاعات یک شرکت فناوری یا پلتفرم خصوصی؛ و گاهی اختلال در شبکه بانکی. با این حال، الگوی واکنش نهادهای مسئول در اغلب این بحران‌ها شباهت قابل‌توجهی دارد.

مرحله نخست، معمولاً با استفاده از عباراتی مانند «اختلال فنی»، «مشکل موقت» یا «به‌روزرسانی سامانه» آغاز می‌شود. در بسیاری از موارد، اصل وقوع حمله تنها پس از انتشار گزارش‌های غیررسمی، ادعای گروه‌های هکری یا طولانی شدن اختلال تأیید می‌شود.

مرحله دوم، اطمینان‌بخشی به افکار عمومی است. نهاد مسئول اعلام می‌کند اطلاعات مشتریان محفوظ مانده، داده‌ای از بین نرفته و بازیابی خدمات در حال انجام است. اما معمولاً توضیح مشخصی درباره مسیر نفوذ، دامنه دسترسی مهاجمان، میزان خسارت یا علت از کار افتادن خدمات ارائه نمی‌شود.

در مرحله سوم، واژه‌هایی مانند «تاب‌آوری»، «پدافند»، «امنیت سایبری» و «زیرساخت حیاتی» وارد ادبیات رسمی می‌شوند. نشست‌ها برگزار می‌شوند، مقام‌های ارشد بر لزوم سرمایه‌گذاری در امنیت سایبری تاکید می‌کنند و گاهی نیز از تدوین طرح‌ها یا مصوبات جدید خبر می‌رسد.

اما مرحله چهارم، بخشی است که معمولاً هیچ‌گاه کامل نمی‌شود: انتشار گزارش مستقل و جامعی که مشخص کند دقیقاً چه اتفاقی افتاده، کدام ضعف امنیتی مورد سواستفاده قرار گرفته، چه میزان خسارت وارد شده، مسئولیت هر بخش بر عهده چه نهادی بوده و برای جلوگیری از تکرار حادثه چه اقداماتی انجام شده است.

در نتیجه، افکار عمومی معمولاً فقط آغاز و پایان ظاهری بحران را می‌بیند، سامانه‌ای از دسترس خارج می‌شود و پس از چند ساعت یا چند روز دوباره به مدار بازمی‌گردد. آنچه میان این دو نقطه رخ داده، اغلب در فضای محرمانه باقی می‌ماند.

امنیت سایبری فقط در پنجره بحران

مرور موضع‌گیری‌های مقام‌های ارشد در سال‌های اخیر نشان می‌دهد اظهارنظر درباره امنیت سایبری تقریباً با پنجره‌های بحران هم‌پوشانی دارد.

محمدرضا عارف، معاون اول رئیس‌جمهوری، در نشست ستاد توسعه علوم و فناوری افتا با اشاره به تجربه جنگ اخیر، بر قرار گرفتن امنیت سایبری در اولویت کشور تاکید کرد. این ستاد نیز خود محصول تلاش دولت برای توسعه فناوری‌ها و ظرفیت‌های مرتبط با امنیت فضای تولید و تبادل اطلاعات است.

سیدستار هاشمی، وزیر ارتباطات، در همان دوره بارها از ضرورت افزایش تاب‌آوری زیرساخت‌های ارتباطی و اطلاعاتی گفت. محمدامین آقامیری، دبیر شورای عالی فضای مجازی، نیز در جمع‌بندی وضعیت کشور پس از جنگ اعلام کرد ایران در دوره درگیری‌ها روزانه با بیش از ۱۰۰ حمله حرفه‌ای سایبری روبه‌رو بوده است.

برخی دیگر نیز حملات سایبری را به گردن اینترنت و مسئول بازگشایی اینترنت می‌اندازند.

با این حال، مسئله فقط محتوای این اظهارنظرها نیست، بلکه زمان بیان آنهاست. سخنان مربوط به امنیت سایبری عمدتاً در فاصله چند روز یا چند هفته پس از حمله مطرح می‌شوند. در ماه‌های میان دو بحران، گزارش عمومی منظم و قابل سنجشی از میزان پیشرفت برنامه‌های اصلاحی، نتیجه ارزیابی‌های امنیتی یا تحقق وعده‌های قبلی منتشر نمی‌شود.

برای مثال، مشخص نیست پس از حمله نخست به سامانه سوخت چه آسیب‌پذیری‌هایی اصلاح شد و چگونه همان سامانه دو سال بعد دوباره هدف حمله قرار گرفت. درباره نفوذ به توسن نیز گزارشی عمومی از نتیجه بررسی‌ها، دامنه دسترسی مهاجمان و تغییرات اعمال‌شده در زنجیره تامین نرم‌افزاری بانک‌ها منتشر نشد.

در پرونده بانک سپه و نوبیتکس نیز با وجود گستردگی اختلال و حساسیت داده‌های مالی، گزارش عمومی و جامعی درباره علت ریشه‌ای حمله، میزان خسارت و اقداماتی که برای جلوگیری از تکرار آن انجام شده باشد، در دسترس قرار نگرفت.

در اصل در هر دور از حمله مشخص نشد نقطه نفوذ کجاست و سطح درگیری چقدر است و این داده‌ها با کارشناسان این حوزه برای جلوگیری از وقوع بیشتر آن اتفاق به اشتراک گذاشته نشد.

به این ترتیب، سخن گفتن درباره امنیت سایبری خود به بخشی از چرخه بحران تبدیل شده است؛ موضوعی که با حمله آغاز می‌شود، برای چند هفته در مرکز توجه می‌ماند و پس از بازگشت خدمات به حاشیه می‌رود.

مصوبه‌هایی که سرنوشت‌شان روشن نیست

مرور تصمیم‌های سیاستی نیز الگویی مشابه را نشان می‌دهد. بحران رخ می‌دهد، کمبودها آشکار می‌شوند و پس از آن مصوبه‌ای برای جبران بخشی از مشکلات تصویب می‌شود. اما در بسیاری از موارد، گزارشی از چگونگی اجرا و اثرگذاری این تصمیم‌ها منتشر نمی‌شود.

یکی از مهم‌ترین نمونه‌ها، مصوبه افزایش فوق‌العاده حقوق متخصصان فناوری اطلاعات و امنیت سایبری در دستگاه‌های دولتی بود که اواخر سال ۱۴۰۴ به تصویب رسید. براساس این مصوبه، امکان افزایش حقوق مدیران فناوری اطلاعات، مدیران شبکه و متخصصان امنیت سایبری تا سقف ۱۲۰ درصد فراهم شد.

این تصمیم پاسخی به یکی از مشکلات قدیمی دولت بود: فاصله چشمگیر میان دستمزد متخصصان فناوری و امنیت در بخش دولتی و خصوصی. دستگاه‌های دولتی سال‌هاست با دشواری جذب و نگهداشت نیروهای متخصص روبه‌رو هستند و مهاجرت یا خروج نیروهای باتجربه، تیم‌های فنی آنها را ضعیف‌تر کرده است.

در کنار این مصوبه، شورای عالی فضای مجازی نیز با تصویب مقررات جدید، مشارکت گسترده‌تر بخش خصوصی در تامین امنیت سایبری و استفاده از بیمه دارایی‌های سایبری را به رسمیت شناخت.

اما بحران بعدی تنها چند هفته بعد از راه رسید. در فروردین ۱۴۰۵ بانک‌های ملی و سپه هدف قرار گرفتند و در خرداد و تیر نیز چند بانک بزرگ کشور با اختلال مواجه شدند.

فاصله میان تصویب مصوبه و وقوع بحران بعدی آن‌قدر کوتاه بود که نمی‌توان انتظار داشت سیاست‌های جدید در این مدت به‌طور کامل اجرا و ارزیابی شده باشند. با این حال، در روایت رسمی بحران بعدی نیز توضیحی درباره سرنوشت مصوبات قبلی ارائه نشد.

مشخص نیست فوق‌العاده حقوق فناوری اطلاعات در چند دستگاه اجرایی شده، چه تعداد متخصص را در بخش دولتی حفظ کرده و آیا بانک‌ها و زیرساخت‌های حیاتی نیز از سازوکاری مشابه برخوردار شده‌اند یا خیر. همچنین هنوز تکلیف بیمه دارایی‌های سایبری مشخص نیست.

چرا این چرخه شکسته نمی‌شود؟

نبود سازوکاری الزام‌آور برای انتشار گزارش‌های پساحادثه شاید یکی از دلایلی باشد که موجب شده این چرخه شکسته نشود. در بسیاری از کشورها، نهادهای مسئول زیرساخت‌های مالی و حیاتی موظف‌اند پس از مهار بحران، گزارشی درباره علت ریشه‌ای حمله، دامنه نفوذ، خسارت ایجادشده و اقدامات اصلاحی منتشر کنند.

طبیعی است که همه جزئیات امنیتی یک حمله قابل انتشار عمومی نیست. افشای برخی اطلاعات می‌تواند خود زمینه حملات بعدی را فراهم کند. اما میان انتشار همه جزئیات فنی و سکوت کامل، فاصله زیادی وجود دارد. می‌توان بدون افشای اطلاعات حساس، درباره علت کلی حادثه، ضعف‌های مدیریتی، مدت زمان بازیابی و اقداماتی که برای جلوگیری از تکرار آن انجام شده توضیح داد. حتی می‌توان این اطلاعات را فقط در جلسات بسته و محدود به کارشناسان خبره و فعالان اکوسیستم منتقل کرد.

در ایران، تقریباً هیچ‌کدام از پرونده‌های مهم سال‌های اخیر، از حمله به سامانه سوخت تا توسن، بانک سپه، پاسارگاد نوبیتکس و بحران‌های بانکی سال ۱۴۰۵، به انتشار چنین گزارشی منتهی نشده‌اند.

عامل دوم، پراکندگی مسئولیت است. به‌صورت کلی، مسئولیت امنیت هر دستگاه بر عهده بالاترین مقام همان دستگاه است، اما زمانی که حمله‌ای شبکه بانکی یا چند زیرساخت به‌هم‌پیوسته را درگیر می‌کند، مرز مسئولیت‌ها مبهم می‌شود.

بانک مرکزی، وزارت ارتباطات، مرکز ملی فضای مجازی، مرکز مدیریت راهبردی افتا، سازمان پدافند غیرعامل، شرکت‌های زیرساختی و خود بانک‌ها هرکدام بخشی از مسئولیت را بر عهده دارند. با این حال، پس از بحران کمتر مشخص می‌شود کدام نهاد مسئول جمع‌بندی نهایی، پیگیری اصلاحات و اطلاع‌رسانی عمومی است.

همین پراکندگی باعث می‌شود پاسخ‌گویی نیز میان چند نهاد تقسیم شود. هر سازمان فقط درباره بخش محدودی از ماجرا توضیح می‌دهد و در نهایت تصویر کاملی از حادثه شکل نمی‌گیرد.

عامل سوم، هم‌زمانی گفتار سیاست‌گذار با پنجره بحران است. تا زمانی که امنیت سایبری فقط در فاصله چند هفته پس از حمله به موضوعی جدی تبدیل شود و در دوره‌های آرام گزارشی از اجرای مصوبات و اصلاح ضعف‌ها منتشر نشود، خود این مصوبات نیز به سرنوشت خبرهای بحران دچار می‌شوند: مدتی در مرکز توجه قرار می‌گیرند و سپس فراموش می‌شوند.

 حمله، اختلال، وعده و سکوت

در پنج سال گذشته نام بحران‌ها تغییر کرده است: سامانه هوشمند سوخت، شهرداری تهران، اسنپ‌فود، توسن، بانک سپه، نوبیتکس، بانک ملی و در نهایت چند بانک بزرگ کشور.

اما روایت بیشتر آنها تفاوت چندانی با یکدیگر ندارد. حمله آغاز می‌شود، سامانه از دسترس خارج می‌شود، نهاد مسئول ابتدا از اختلال موقت سخن می‌گوید، خدمات به‌تدریج بازمی‌گردند و مقام‌های مختلف وعده می‌دهند امنیت سایبری و تاب‌آوری زیرساخت‌ها تقویت شود.

پس از آن سکوت آغاز می‌شود؛ تا حمله‌ای دیگر، به زیرساختی دیگر.

آنچه این چرخه را نگران‌کننده‌تر می‌کند کوتاه‌تر شدن فاصله میان آنهاست. زیرساخت‌ها هنوز فرصت نکرده‌اند نتیجه سیاست‌های قبلی را نشان دهند که بحران تازه‌ای از راه می‌رسد و دوباره همان وعده‌ها تکرار می‌شوند.

شاید مسئله امنیت سایبری در ایران بیش از آنکه کمبود مصوبه یا اظهارنظر باشد، کمبود حافظه نهادی و پاسخ‌گویی است. تا زمانی که پس از هر حمله مشخص نشود چه اتفاقی افتاده، چه کسی مسئول بوده و چه اقدامی برای جلوگیری از تکرار آن انجام شده، بازگشت خدمات را نمی‌توان به‌معنای پایان بحران دانست.

بحران زمانی پایان می‌یابد که نتیجه بررسی آن منتشر، مسئولیت‌ها مشخص و اصلاحات وعده‌داده‌شده قابل سنجش شوند. در غیر این صورت، بازگشت سامانه‌ها فقط آغاز دوره سکوتی است که تا حمله بعدی ادامه خواهد داشت؛ سکوتی که در سال‌های اخیر هر بار کوتاه‌تر از قبل شده است.

https://pvst.ir/od5

مهرک محمودی روزنامه‌نگاری را از حوزه سینما شروع کرد و در مدت کوتاهی پس از آن، با این سودا که روزنامه‌نگار باید در تمامی بخش‌ها فعالیت کند براساس یک اتفاق خیلی ساده وارد حوزه اقتصادی شد و در روزنامه‌های صدای عدالت، آزاد، ابرار اقتصادی، فرهنگ آشتی، همشهری اقتصادی و غیره به عنوان خبرنگار فعالیت کرد. همانطور که زندگی همیشه براساس اتفاق‌های ساده جلو می‌رود، فعالیت خود را به صورت نیمه وقت در در هفته‌نامه عصرارتباط در حوزه تجارت و بانکداری الکترونیکی آغاز کرد و پس از مدتی این فعالیت نیمه وقت به یک فعالیت تمام وقت تبدیل و ۹ سال به طول انجامید اما باز هم براساس یک اتفاق آنجا را ترک کرد. حال سال‌هاست که پیوست خانه مهرک محمودی است؛ اما تجارت و بانکداری و دولت الکترونیکی تبدیل به حوزه‌های مورد علاقه او شده‌اند.

تمام مقالات

0 نظر

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

برای بوکمارک این نوشته
Back To Top
جستجو