شبکه مجد؛ صدای تازه بخش خصوصی یا یک شورای دیگر؟
دولت برای کاهش فاصله میان تصمیمهای سیاستی و واقعیتهای دانشگاه و بخش خصوصی، بار دیگر…
۱۷ تیر ۱۴۰۵
۲۰ تیر ۱۴۰۵
زمان مطالعه : ۱۳ دقیقه

حداقل ۶ بحران بزرگ در پنج سال و در پایان هرکدام یک جمله تکراری: «باید امنیت سایبری را جدی گرفت.» این جمله را میشد آبان ۱۴۰۰ پس از حمله به سامانه هوشمند سوخت شنید؛ بار دیگر بعد از حمله به سامانههای شهرداری تهران در سال ۱۴۰۱، پس از افشای نفوذ به توسن در سال ۱۴۰۳، خرداد ۱۴۰۴ بعد از حمله به بانک سپه، فروردین ۱۴۰۵ پس از حمله به بانکهای ملی و سپه و سرانجام در تابستان ۱۴۰۵، همزمان با اختلال در خدمات چند بانک بزرگ کشور.
نام سازمانها و زیرساختهای هدف تغییر کرده، اما جملهها تقریباً همان جملههای قبلی بودهاند: ضرورت افزایش تابآوری، تقویت پدافند سایبری، حفظ نیروهای متخصص، مشارکت بخش خصوصی و آمادگی برای مقابله با حملات پیچیدهتر.
با این حال، یک سؤال در تمام این سالها بیپاسخ مانده است: از میان همه مصوبات، طرحها و وعدههایی که پس از این حملات اعلام شد، کدامیک واقعاً اجرا شده و نتیجه اجرای آنها چه بوده است؟
پرسش این گزارش آن نیست که آیا زیرساختهای حیاتی ایران آسیبپذیرند. تکرار حملات و اختلالهای سالهای اخیر پاسخ این سؤال را روشن کرده است. پرسش اصلی این است که چرا این آسیبپذیریها هر چند ماه یکبار به بحرانی عمومی تبدیل میشوند، چرا گفتوگو درباره امنیت سایبری عمدتاً به روزها و هفتههای پس از حمله محدود میماند و چرا زمانی که نوبت به انتشار نتیجه اقدامات اصلاحی میرسد، اطلاعات چندانی در اختیار افکار عمومی قرار نمیگیرد.
آبان ۱۴۰۰ یکی از نخستین نقاط عطف این مسیر بود. حمله به سامانه هوشمند سوخت، فعالیت جایگاههای سوخت را در سراسر کشور مختل کرد و برای نخستین بار امنیت زیرساختهای حیاتی را از یک موضوع تخصصی و محدود به کارشناسان، به مسئلهای عمومی تبدیل کرد.
واکنش رسمی در آن مقطع بیش از آنکه بر تشریح ابعاد فنی حادثه، علت نفوذ و اقدامات اصلاحی متمرکز باشد، حول بازگرداندن خدمات و مدیریت پیامدهای عمومی حمله شکل گرفت. خدمات بهتدریج بازگشت، وعدههایی برای تقویت زیرساختها مطرح شد، اما گزارش جامعی که نشان دهد حمله از چه مسیری انجام شده و چه تغییراتی برای جلوگیری از تکرار آن صورت گرفته، منتشر نشد.
در سال ۱۴۰۱ دامنه حملات گستردهتر شد. شهرداری تهران، سرورهای ایمیل کارگروه تعیین مصادیق محتوای مجرمانه، پایگاه اطلاعرسانی دولت و بانک مرکزی از جمله اهداف حملات یا اختلالهای سایبری بودند. هرکدام از این رخدادها برای مدتی موضوع امنیت سایبری و تابآوری دیجیتال را به صدر خبرها آوردند؛ اما با بازگشت سامانهها، بحث عمومی درباره علت حمله و سرنوشت اقدامات اصلاحی نیز بهتدریج فروکش کرد.
سال ۱۴۰۲ نشان داد چرخه حمله و فراموشی نه محدود به یک سازمان است و نه فقط زیرساختهای دولتی را در بر میگیرد. اول مهر آن سال، وبسایت وزارت علوم از دسترس خارج شد و وزارتخانه پس از مدتی وقوع حمله سایبری را تأیید کرد. در گزارشهای بعدی اعلام شد سامانه برای بررسی بیشتر بهطور موقت از دسترس خارج شده و وزارت علوم نیز تاکید کرد دادهای از سرورها خارج نشده است.
چند ماه بعد، نوبت اسنپفود بود. گروهی هکری مدعی دسترسی به اطلاعات میلیونها کاربر و دادههای مربوط به سفارشهای این پلتفرم شد. اینبار برخلاف حملاتی که هدف اصلیشان از کار انداختن خدمات بود، مسئله نشت داده و دسترسی غیرمجاز به اطلاعات کاربران در مرکز توجه قرار گرفت.
اما شاید مهمترین نشانه تداوم آسیبپذیریها در همان سال، حمله دوباره به سامانه هوشمند سوخت بود. اواخر آذر ۱۴۰۲، حدود سه هزار و ۸۰۰ جایگاه سوخت در کشور با اختلال مواجه شدند.
سامانهای که دو سال قبل هدف حمله قرار گرفته بود، بار دیگر با اختلالی گسترده روبهرو شد. این تکرار، پرسشی را جدیتر کرد: آیا پس از حمله نخست، زیرساخت بهشکل پایدار مقاومسازی شده بود یا صرفاً خدمات آن به وضعیت عادی بازگشته بود؟
تابستان ۱۴۰۳، حمله به شرکت توسن، امنیت سایبری را بار دیگر به شبکه بانکی پیوند زد و حمله به یک شرکت زیرساختی نشان داد که امنیت شبکه بانکی فقط به دیوارههای امنیتی خود بانکها محدود نیست. زنجیرهای از شرکتهای نرمافزاری، پیمانکاران، مراکز داده و ارائهدهندگان خدمات فنی نیز بخشی از سطح حمله را تشکیل میدهند؛ حلقههایی که ضعف در هرکدام از آنها میتواند مجموعه بزرگی از سازمانها را در معرض خطر قرار دهد.
خرداد ۱۴۰۴ و همزمان با جنگ ۱۲روزه، بانک سپه هدف حمله سایبری قرار گرفت و بخشی از خدمات آن برای چند روز از دسترس خارج شد. اختلال ایجادشده فقط به اپلیکیشن یا درگاه اینترنتی بانک محدود نماند و شماری از مشتریان، کسبوکارها و دارندگان چک نیز با مشکل روبهرو شدند.
در ادامه، بانک پاسارگاد نیز با اختلال مواجه شد و در همان دوره صرافی رمزارزی نوبیتکس هدف حمله قرار گرفت.
این حملات، برای نخستین بار در چنین ابعادی نشان دادند که درگیری نظامی و حمله سایبری دیگر دو حوزه جدا از یکدیگر نیستند. زیرساختهای مالی، بانکی و رمزارزی میتوانند همزمان با حملات فیزیکی هدف قرار گیرند و پیامدهای جنگ را مستقیماً به زندگی روزمره مردم و فعالیت کسبوکارها منتقل کنند.
کمتر از یک سال بعد، این تجربه دوباره تکرار شد. در جریان جنگی که از ۹ اسفند ۱۴۰۴ با حملات نظامی آمریکا و اسرائیل به ایران آغاز شد، بانکهای ملی و سپه بار دیگر هدف قرار گرفتند.
مسعود پشمچی، معاون نظامهای پرداخت و فناوریهای نوین بانک مرکزی، ۳۱ فروردین ۱۴۰۵ رسماً اعلام کرد این دو بانک در جریان جنگ با «حملات سایبری و فیزیکی» مواجه شدهاند و خدمات آنها برای چند روز از دسترس خارج شده است. او تاکید کرد مشکلات در کوتاهترین زمان ممکن برطرف شدهاند؛ هرچند گزارشهای میدانی از وضعیت خدمات بانکی در همان روزها، از تداوم برخی اختلالها حکایت داشتند.
هنوز فاصله زیادی از آن بحران نگذشته بود که موج تازهای از اختلالهای بانکی آغاز شد. از ۲۳ خرداد ۱۴۰۵، خدمات بانکهای ملی، صادرات، تجارت و توسعه صادرات با اختلال روبهرو شدند. کارتهای برخی بانکها از کار افتادند، دسترسی به اپلیکیشنها محدود شد و خدمات کارتمحور برای ساعاتی یا در برخی موارد مدت بیشتری در دسترس نبودند.
تنها حدود ۱۰ روز بعد، بار دیگر خدمات بانکهای ملی و صادرات از دسترس خارج شد. همزمان گزارشهایی از درگیر شدن بانکهای دیگر نیز منتشر شد؛ هرچند ابعاد موج دوم هیچگاه بهصورت کامل و رسمی اعلام نشد.
فاصله میان بحرانها کوتاهتر شده بود. حملهای که زمانی هر دو یا سه سال یکبار افکار عمومی را درگیر میکرد، حالا در فاصله چند ماه یا حتی چند هفته تکرار میشد.
نوع حملات متفاوت بوده است. گاهی هدف، از کار انداختن یک خدمت عمومی مانند سامانه سوخت بوده؛ گاهی نفوذ به اطلاعات یک شرکت فناوری یا پلتفرم خصوصی؛ و گاهی اختلال در شبکه بانکی. با این حال، الگوی واکنش نهادهای مسئول در اغلب این بحرانها شباهت قابلتوجهی دارد.
مرحله نخست، معمولاً با استفاده از عباراتی مانند «اختلال فنی»، «مشکل موقت» یا «بهروزرسانی سامانه» آغاز میشود. در بسیاری از موارد، اصل وقوع حمله تنها پس از انتشار گزارشهای غیررسمی، ادعای گروههای هکری یا طولانی شدن اختلال تأیید میشود.
مرحله دوم، اطمینانبخشی به افکار عمومی است. نهاد مسئول اعلام میکند اطلاعات مشتریان محفوظ مانده، دادهای از بین نرفته و بازیابی خدمات در حال انجام است. اما معمولاً توضیح مشخصی درباره مسیر نفوذ، دامنه دسترسی مهاجمان، میزان خسارت یا علت از کار افتادن خدمات ارائه نمیشود.
در مرحله سوم، واژههایی مانند «تابآوری»، «پدافند»، «امنیت سایبری» و «زیرساخت حیاتی» وارد ادبیات رسمی میشوند. نشستها برگزار میشوند، مقامهای ارشد بر لزوم سرمایهگذاری در امنیت سایبری تاکید میکنند و گاهی نیز از تدوین طرحها یا مصوبات جدید خبر میرسد.
اما مرحله چهارم، بخشی است که معمولاً هیچگاه کامل نمیشود: انتشار گزارش مستقل و جامعی که مشخص کند دقیقاً چه اتفاقی افتاده، کدام ضعف امنیتی مورد سواستفاده قرار گرفته، چه میزان خسارت وارد شده، مسئولیت هر بخش بر عهده چه نهادی بوده و برای جلوگیری از تکرار حادثه چه اقداماتی انجام شده است.
در نتیجه، افکار عمومی معمولاً فقط آغاز و پایان ظاهری بحران را میبیند، سامانهای از دسترس خارج میشود و پس از چند ساعت یا چند روز دوباره به مدار بازمیگردد. آنچه میان این دو نقطه رخ داده، اغلب در فضای محرمانه باقی میماند.
مرور موضعگیریهای مقامهای ارشد در سالهای اخیر نشان میدهد اظهارنظر درباره امنیت سایبری تقریباً با پنجرههای بحران همپوشانی دارد.
محمدرضا عارف، معاون اول رئیسجمهوری، در نشست ستاد توسعه علوم و فناوری افتا با اشاره به تجربه جنگ اخیر، بر قرار گرفتن امنیت سایبری در اولویت کشور تاکید کرد. این ستاد نیز خود محصول تلاش دولت برای توسعه فناوریها و ظرفیتهای مرتبط با امنیت فضای تولید و تبادل اطلاعات است.
سیدستار هاشمی، وزیر ارتباطات، در همان دوره بارها از ضرورت افزایش تابآوری زیرساختهای ارتباطی و اطلاعاتی گفت. محمدامین آقامیری، دبیر شورای عالی فضای مجازی، نیز در جمعبندی وضعیت کشور پس از جنگ اعلام کرد ایران در دوره درگیریها روزانه با بیش از ۱۰۰ حمله حرفهای سایبری روبهرو بوده است.
برخی دیگر نیز حملات سایبری را به گردن اینترنت و مسئول بازگشایی اینترنت میاندازند.
با این حال، مسئله فقط محتوای این اظهارنظرها نیست، بلکه زمان بیان آنهاست. سخنان مربوط به امنیت سایبری عمدتاً در فاصله چند روز یا چند هفته پس از حمله مطرح میشوند. در ماههای میان دو بحران، گزارش عمومی منظم و قابل سنجشی از میزان پیشرفت برنامههای اصلاحی، نتیجه ارزیابیهای امنیتی یا تحقق وعدههای قبلی منتشر نمیشود.
برای مثال، مشخص نیست پس از حمله نخست به سامانه سوخت چه آسیبپذیریهایی اصلاح شد و چگونه همان سامانه دو سال بعد دوباره هدف حمله قرار گرفت. درباره نفوذ به توسن نیز گزارشی عمومی از نتیجه بررسیها، دامنه دسترسی مهاجمان و تغییرات اعمالشده در زنجیره تامین نرمافزاری بانکها منتشر نشد.
در پرونده بانک سپه و نوبیتکس نیز با وجود گستردگی اختلال و حساسیت دادههای مالی، گزارش عمومی و جامعی درباره علت ریشهای حمله، میزان خسارت و اقداماتی که برای جلوگیری از تکرار آن انجام شده باشد، در دسترس قرار نگرفت.
در اصل در هر دور از حمله مشخص نشد نقطه نفوذ کجاست و سطح درگیری چقدر است و این دادهها با کارشناسان این حوزه برای جلوگیری از وقوع بیشتر آن اتفاق به اشتراک گذاشته نشد.
به این ترتیب، سخن گفتن درباره امنیت سایبری خود به بخشی از چرخه بحران تبدیل شده است؛ موضوعی که با حمله آغاز میشود، برای چند هفته در مرکز توجه میماند و پس از بازگشت خدمات به حاشیه میرود.
مرور تصمیمهای سیاستی نیز الگویی مشابه را نشان میدهد. بحران رخ میدهد، کمبودها آشکار میشوند و پس از آن مصوبهای برای جبران بخشی از مشکلات تصویب میشود. اما در بسیاری از موارد، گزارشی از چگونگی اجرا و اثرگذاری این تصمیمها منتشر نمیشود.
یکی از مهمترین نمونهها، مصوبه افزایش فوقالعاده حقوق متخصصان فناوری اطلاعات و امنیت سایبری در دستگاههای دولتی بود که اواخر سال ۱۴۰۴ به تصویب رسید. براساس این مصوبه، امکان افزایش حقوق مدیران فناوری اطلاعات، مدیران شبکه و متخصصان امنیت سایبری تا سقف ۱۲۰ درصد فراهم شد.
این تصمیم پاسخی به یکی از مشکلات قدیمی دولت بود: فاصله چشمگیر میان دستمزد متخصصان فناوری و امنیت در بخش دولتی و خصوصی. دستگاههای دولتی سالهاست با دشواری جذب و نگهداشت نیروهای متخصص روبهرو هستند و مهاجرت یا خروج نیروهای باتجربه، تیمهای فنی آنها را ضعیفتر کرده است.
در کنار این مصوبه، شورای عالی فضای مجازی نیز با تصویب مقررات جدید، مشارکت گستردهتر بخش خصوصی در تامین امنیت سایبری و استفاده از بیمه داراییهای سایبری را به رسمیت شناخت.
اما بحران بعدی تنها چند هفته بعد از راه رسید. در فروردین ۱۴۰۵ بانکهای ملی و سپه هدف قرار گرفتند و در خرداد و تیر نیز چند بانک بزرگ کشور با اختلال مواجه شدند.
فاصله میان تصویب مصوبه و وقوع بحران بعدی آنقدر کوتاه بود که نمیتوان انتظار داشت سیاستهای جدید در این مدت بهطور کامل اجرا و ارزیابی شده باشند. با این حال، در روایت رسمی بحران بعدی نیز توضیحی درباره سرنوشت مصوبات قبلی ارائه نشد.
مشخص نیست فوقالعاده حقوق فناوری اطلاعات در چند دستگاه اجرایی شده، چه تعداد متخصص را در بخش دولتی حفظ کرده و آیا بانکها و زیرساختهای حیاتی نیز از سازوکاری مشابه برخوردار شدهاند یا خیر. همچنین هنوز تکلیف بیمه داراییهای سایبری مشخص نیست.
نبود سازوکاری الزامآور برای انتشار گزارشهای پساحادثه شاید یکی از دلایلی باشد که موجب شده این چرخه شکسته نشود. در بسیاری از کشورها، نهادهای مسئول زیرساختهای مالی و حیاتی موظفاند پس از مهار بحران، گزارشی درباره علت ریشهای حمله، دامنه نفوذ، خسارت ایجادشده و اقدامات اصلاحی منتشر کنند.
طبیعی است که همه جزئیات امنیتی یک حمله قابل انتشار عمومی نیست. افشای برخی اطلاعات میتواند خود زمینه حملات بعدی را فراهم کند. اما میان انتشار همه جزئیات فنی و سکوت کامل، فاصله زیادی وجود دارد. میتوان بدون افشای اطلاعات حساس، درباره علت کلی حادثه، ضعفهای مدیریتی، مدت زمان بازیابی و اقداماتی که برای جلوگیری از تکرار آن انجام شده توضیح داد. حتی میتوان این اطلاعات را فقط در جلسات بسته و محدود به کارشناسان خبره و فعالان اکوسیستم منتقل کرد.
در ایران، تقریباً هیچکدام از پروندههای مهم سالهای اخیر، از حمله به سامانه سوخت تا توسن، بانک سپه، پاسارگاد نوبیتکس و بحرانهای بانکی سال ۱۴۰۵، به انتشار چنین گزارشی منتهی نشدهاند.
عامل دوم، پراکندگی مسئولیت است. بهصورت کلی، مسئولیت امنیت هر دستگاه بر عهده بالاترین مقام همان دستگاه است، اما زمانی که حملهای شبکه بانکی یا چند زیرساخت بههمپیوسته را درگیر میکند، مرز مسئولیتها مبهم میشود.
بانک مرکزی، وزارت ارتباطات، مرکز ملی فضای مجازی، مرکز مدیریت راهبردی افتا، سازمان پدافند غیرعامل، شرکتهای زیرساختی و خود بانکها هرکدام بخشی از مسئولیت را بر عهده دارند. با این حال، پس از بحران کمتر مشخص میشود کدام نهاد مسئول جمعبندی نهایی، پیگیری اصلاحات و اطلاعرسانی عمومی است.
همین پراکندگی باعث میشود پاسخگویی نیز میان چند نهاد تقسیم شود. هر سازمان فقط درباره بخش محدودی از ماجرا توضیح میدهد و در نهایت تصویر کاملی از حادثه شکل نمیگیرد.
عامل سوم، همزمانی گفتار سیاستگذار با پنجره بحران است. تا زمانی که امنیت سایبری فقط در فاصله چند هفته پس از حمله به موضوعی جدی تبدیل شود و در دورههای آرام گزارشی از اجرای مصوبات و اصلاح ضعفها منتشر نشود، خود این مصوبات نیز به سرنوشت خبرهای بحران دچار میشوند: مدتی در مرکز توجه قرار میگیرند و سپس فراموش میشوند.
در پنج سال گذشته نام بحرانها تغییر کرده است: سامانه هوشمند سوخت، شهرداری تهران، اسنپفود، توسن، بانک سپه، نوبیتکس، بانک ملی و در نهایت چند بانک بزرگ کشور.
اما روایت بیشتر آنها تفاوت چندانی با یکدیگر ندارد. حمله آغاز میشود، سامانه از دسترس خارج میشود، نهاد مسئول ابتدا از اختلال موقت سخن میگوید، خدمات بهتدریج بازمیگردند و مقامهای مختلف وعده میدهند امنیت سایبری و تابآوری زیرساختها تقویت شود.
پس از آن سکوت آغاز میشود؛ تا حملهای دیگر، به زیرساختی دیگر.
آنچه این چرخه را نگرانکنندهتر میکند کوتاهتر شدن فاصله میان آنهاست. زیرساختها هنوز فرصت نکردهاند نتیجه سیاستهای قبلی را نشان دهند که بحران تازهای از راه میرسد و دوباره همان وعدهها تکرار میشوند.
شاید مسئله امنیت سایبری در ایران بیش از آنکه کمبود مصوبه یا اظهارنظر باشد، کمبود حافظه نهادی و پاسخگویی است. تا زمانی که پس از هر حمله مشخص نشود چه اتفاقی افتاده، چه کسی مسئول بوده و چه اقدامی برای جلوگیری از تکرار آن انجام شده، بازگشت خدمات را نمیتوان بهمعنای پایان بحران دانست.
بحران زمانی پایان مییابد که نتیجه بررسی آن منتشر، مسئولیتها مشخص و اصلاحات وعدهدادهشده قابل سنجش شوند. در غیر این صورت، بازگشت سامانهها فقط آغاز دوره سکوتی است که تا حمله بعدی ادامه خواهد داشت؛ سکوتی که در سالهای اخیر هر بار کوتاهتر از قبل شده است.