تحریمها، فیلترینگ و پنهان کردن اطلاعات حملات، دلیل ضعف دانش سایبری در ایران
حملههایی که حرکت قطارها را مختل کردند، سامانهی شهرداری را از دسترس خارج کردند، در پتروشیمیها آتشسوزی به راه انداختند و پایگاههای سوخت را از کار انداختند. حملات سایبری پیچیده و بیشتر شدهاند اما همچنان امنیت سایبری در ایران ضعیف است؛ مسئلهای که یا تکذیب شده یا نادیده گرفته میشود.
رئیس شورای شهر تهران هم پس از حمله به سامانههای شهرداری تهران ضعف امنیت شبکه را تکذیب کرده و گفته بود: «این علم و تکنولوژی است، هم ما جلو میرویم و هم دشمنانمان جلو میآیند.» حمله به سامانههای شهرداری تهران ظهر ۱۲ خرداد ۱۴۰۱ رخ داد و علاوه بر اینکه سامانهها از دسترس خارج شدند، این نگرانی هم ایجاد شده بود که اطلاعات شهروندان به سرقت رفته باشد. بعضی از سامانههای شهرداری تا یک ماه پس از این حمله همچنان از دسترس خارج بودند. مسئولان عمدتاً حمله به سامانههای دولتی را به دشمنان نسبت دادهاند و کمتر پیش آمده که ضعف امنیتی را هم تأیید کنند. موضوعی که به گفتهی کارشناسان امنیت سایبری باعث میشود مشکلات ناشناخته بمانند. مجید دادگر کارشناس امنیت سایبری میگوید در سامانههای دولتی بیشتر احتمال آسیبپذیریهای ساده وجود دارد: «موضوعی مثل باگ بانتیها در شرکتهای خصوصی تا حدودی راه افتاده، یعنی هکر در ازای دریافت جایزه یا مبلغی، آسیبپذیری سیستم را پیدا کند. شرکتهای دولتی کمتر به این موضوع وارد میشوند و کمتر تحت تست افراد مختلف بودهاند و بنابراین آسیبپذیریهای سادهای در آنها وجود دارد که امنیتشان را پایین میآورد.»
مسئلهی مهم دیگر از نظر او پنهانکاری در زمینه اطلاعات حملهها است: «وقتی این اتفاق میافتد ابتدا آن را تکذیب میکنند بعد هم اطلاعاتی از آن منتشر نمیکنند که کسی بتواند آن را بررسی کند و نظری رویش بدهد. من بهعنوان کارشناس نمیتوانم روی اتفاقی که برای شهرداری افتاد نظر قطعی بدهم چون اطلاعات را حتی بعد از اتفاق هم منتشر نمیکنند. در واقع مسئله این است که اگر حملهای که اتفاق افتاده یک روش یا بدافزار خاصی داشته، اگر اطلاعات را منتشر کنند بقیه میتوانند شناسایی کنند و دیگر از آن راه مورد حمله قرار نگیرند و وقتی منتشر نمیکنند و باعث میشود این اتفاق برای سامانهها و شرکتهای دیگر هم بیفتد.»
امسال یک حملهی مهم دیگر هم رخ داد. حملهی سایبری به «سیستمهای فناوری اطلاعات فولاد کشور» را مرکز ملی فضای مجازی تأیید کرد. ساعت ۶ و نیم صبح ششم تیرماه ۱۴۰۱ تولید در بخشهایی از فولاد هرمزگان و خوزستان با مشکل مواجه شد. هکرهای گنجشک درنده که این حمله را انجام دادند، پیشتر هم به سیستم سوخترسانی و راهآهن حمله کرده بودند.
از نظر محمدجعفر نعناکار، وکیل حوزه داده اینکه هر ماه یکی از سامانههای مهم کشور هک میشوند به تولیگری ضعیف شورای عالی فضای مجازی برمیگردد: «نشان میدهد ما نتوانستهایم امنیت داخلی کشورمان را به صورت مطلوب تأمین کنیم. به این دلیل که ما پروتکلهای داخلی را رعایت نمیکنیم و از لحاظ پدافندی نتوانستهایم سامانهها و مراکز داده و خطوط ارتباطی کشور را امن کنیم.»
شبکه ملی اطلاعات هم جلوی حملهی سایبری را نمیگیرد
حملههای سایبری در سال ۱۴۰۰ با حمله به سامانههای شرکت راهآهن و وبسایت رسمی وزارت راه و شهرسازی شروع شد. هکرها صفحات نمایش زمان حرکت را دستکاری کرده بودند و برای همین حرکت قطارها دچار مشکل شد و وبسایت رسمی وزارت راه و شهرسازی هم با پیغامی از هکرها از دسترس خارج شد. مسئولان حوزه امنیت از حمله به دستگاههای دولتی دیگر هم خبر داده بودند.
افتا (امنیت فضای تولید و تبادل اطلاعات) حدود یک هفته بعد از این اتفاق به سهلانگاریهایی که باعث هک شدن این دو سامانه شده بود اشاره کرد و گفته بود نفوذ به این سامانهها و اقدامات مربوط به حملات سایبری از حداقل یک ماه قبل انجام شده: «مهاجمان در هر دو حمله سایبری از هفته دوم تیر، با تغییر یا حذف تنظیمات لودشدن سیستمها و رمزهای عبور کاربران، سیستم قربانی مدنظرشان را قفل و حالت بازیابی برخی سیستمها را غیرفعال کرده بودند.» مهاجمان در همین حمله به ساختار بعضی دادهها هم آسیب رساندند. به گفته افتا رعایتنشدن مسائل امنیتی هنگام دورکاری، سیستمهای ناقص، سهلانگاری کارکنان فاوا در حفظ رمزهای عبور تجهیزات، تعویق بهروزرسانی آنتیویروسها، نبود سرمایه کافی برای افزایش امنیت سایبری و پیکربندی نامناسب بعضی از دلایل این آسیب بودند. افتا قبلاً دربارهی آسیبپذیریهای خطرناک موجود در سیستمعامل ویندوز هشدار داده بود که دستگاههای دولتی به آن کمتوجهی کرده بودند.
اما احتمالاً مهمترین حملهی سال گذشته، حمله به سامانه هوشمند سوخت بود که پایگاههای سوخت را حدود یک هفته از کار انداخت. ۱۱ آبان کسانی که برای خرید بنزین با کارت سوخت به جایگاههای سوخت مراجعه کردند متوجه مشکلی در این دستگاهها شدند. مسوولان امر اعلام کردند که این دستگاهها هنگام بهروزرسانی دچار مشکل شدهاند. تا عصر که شورای عالی فضای مجازی در اطلاعیهای حملهی سایبری به سیستم سوخترسانی کشور را تأیید کند، وزارت نفت آن را یک مشکل فنی میدانست که در دست بررسی است. آن روز مردم فقط با نرخ آزاد میتوانستند سوختگیری کنند. وزارت نفت یک روز بعد اعلام کرد مشکل سوختگیری حل شده اما برخی از پمپهای بنزین تا چند روز بعد قادر به عرضه بنزین یارانهای نبودند.
ابوالحسن فیروزآبادی دبیر شورای عالی فضای مجازی با تأیید این حمله به حملات شدید دو سال اخیر اشاره کرده و گفت حتی راهاندازی شبکه ملی اطلاعات هم نمیتواند جلوی حملات سایبری را بگیرد چون این شبکه جدا از اینترنت نیست و یک شبکه جهانی مرتبط و متصل به دنیا است. این گفته برخلاف گفتهی رئیس پدافند غیرعامل در سال ۱۳۹۸ بود. رئیس سازمان پدافند غیرعامل کشور پس از حمله به ۱۸۰ میلیون IP و اختلال در اینترنت گفته بود شبکهی ملی اطلاعات از الزامات پایداری شبکه است و اگر شبکهی داخلی داشته باشیم بهراحتی میتوانیم دربرابر حملهها دفاع کنیم یا آنها را به جای دیگری هدایت کنیم. او کل شبکهی ملی اطلاعات را یک اقدام پدافند غیرعامل میدانست.
همان ماه گزارشی از معاونت امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات منتشر شد که نشان میداد ۴۴ میلیون و ۲۲۸ هزار و ۴۲۳ حمله توسط شبکه ملی تله بدافزار (حسگرهایی که در شبکه کار گذاشته میشوند تا بدافزارها و حملات را شناسایی کنند) در هفت ماه نخست ۱۴۰۰ شناسایی شده است.
حملهی سایبری به صدا و سیما را هم بسیاری به خاطر دارند. هفتم بهمن ۱۴۰۰ برنامههای برخی شبکههای صدا و سیما قطع شد و تصاویر و صدای دیگری به نمایش درآمد. این در حالی بود که پیمان جبلی رئیس سازمان صدا و سیما گفته بود وضعیت سیستمهای امنیتی این سازمان خوب است و دهها هزار حملهی سایبری در روز علیه این سازمان انجام میشود. یک ماه بعد سامانههای وزارت ارشاد هم به همین شیوه هک و از دسترس خارج شد.
پیش از این حملهها در مرداد ۱۴۰۰ وزیر ارتباطات پیشین از ارتقای جایگاه ایران در حوزه امنیت سایبری گفته بود. به گفتهی او اخباری هم که گهگاه از حملهی سایبری ایران به گوش میرسد به این دلیل است که زیرساختهای اساسی حوزه ارتباطات و فناوری اطلاعات توسعه پیدا کردهاند. البته او به این هم اشاره کرد که دشمنانی هم در این زمینه داریم.
همان ماه انتشار تصاویری از زندان اوین خبر از هک شدن دوربینهای مداربستهی آن داد. این تصاویر برخورد خشن و غیرقانونی مسئولان زندان با زندانیان را نشان میداد. گروهی به نام «عدالت علی» اعلام کرد مسئول این هک است.
ایران یکی از ۱۰کشور آلوده به باجافزار
تا پیش از سال ۱۴۰۰ هم حملات سایبری مهمی نهادها و سازمانهای دولتی را هدف قرار داده بودند. اولین حمله وسیع و پیچیده سایبری به کشور مربوط به پروندهی استاکسنت است. این حمله در سال ۱۳۹۰ توجه رسانهها را به مرحلهی جدیدی از جنگ سایبری جلب کرد چراکه تجهیزات غنیسازی هستهای ایران را هدف قرار داده بود. این حمله که ابعاد جهانی داشت به گفتهی مجید دادگر، کارشناس امنیت شبکه، نگاه به امنیت بهخصوص در حوزه صنعتی را تغییر داد و حملات سایبری را به قبل و بعد خودش تقسیم کرد.
کمتر از یک سال پس از این حمله و در سال ۹۱، سرور اصلی وزارت نفت و چهار شرکت اصلی آن به قصد دزدی و تخریب اطلاعات قطع شد و باعث شد این سیستم تا چهار روز مختل شود. این ماجرا نشان داده بود که تأسیسات انرژی در ایران یکی از مقاصد مهم حملات سایبری است.
از دسترس خارج شدن وبسایت مرکز آمار و سازمان ثبت اسناد کشور در خرداد ۱۳۹۵ هم از حملات مهم آن سال بود. همچنین در همین سال رسانهها از به سرقت رفتن اطلاعات حدود ۲۰ میلیون مشترک ایرانسل خبر دادند. در مورد آتشسوزیهای گسترده در صنایع پتروشیمی در این سال هم در نهایت اعلام شد ویروسها مجتمعهای پتروشیمی را آلوده کرده بودند. این آتشسوزیها باعث زخمی و کشته شدن چند نفر و خسارت به صنایع پتروشیمی شد.
پس از این حملات و در سال ۱۳۹۶ اعلام شد ایران در میان ۱۰ کشور اولی قرار دارد که سامانههای کنترل صنعتی آنها به باجافزارهای رمزگذاری آلوده شدهاند. اما اگر هم این خبر اقدامی را در زمینهی بالا بردن امنیت برانگیخت، از تعداد و شدت حملات کاسته نشد.
سال ۱۳۹۷ با یک حملهی سایبری به کشور شروع شد، وقتی وزیر وقت ارتباطات ۱۸ فروردین در توییتی نوشت بعضی از مراکز دادهی کشور با حملهی سایبری مواجه شدهاند و تعدادی از مسیریابهای کوچک به تنظیمات کارخانهای خود تغییر یافتهاند. پس از آن رئیس مرکز تشخیص سایبری گفت این اختلال اگرچه قطعی و کندی اینترنت را در پی داشته اما هیچ دسترسی غیرمجاز یا نشر اطلاعاتی رخ نداده است.
حمله به زیرساخت شبکه ارتباطی کشور هم آبان ۱۳۹۷ اتفاق افتاد و بیشتر شبکه ارتباطات تلفن همراه را هدف قرار داد. آذری جهرمی پس از این حمله از حملهی استاکسنت یاد کرد: «رژیمی که سابقهی آن در بهکارگیری سلاح سایبری در پروندههایی چون استاکسنت مشخص است، اینبار تلاش داشت به زیرساختهای ارتباطی ایران صدمه وارد کند.»
حملات سایبری در آذرماه سال ۹۸ ادامه پیدا کردند. آذر ۹۸ وزیر ارتباطات از حملهای بسیار سازمانیافته و علیه زیرساختهای دولت الکترونیک خبر داد و در ادامه اعلام کرد سپر امنیتی کشور آن را شناسایی و دفع کرده است. اختلال شدید اینترنت در روز شنبه ۱۹ بهمن ۱۳۹۸ هم یک حملهی هکری بود. به گفتهی معاون وزیر ارتباطات، هکرهای اجارهای گستردهترین حملهی تجربهشده در تاریخ ایران تا آن زمان را علیه زیرساختهای کشور اجرا کرده بودند. این حمله بیش از ۱۸۰ میلیون آدرس IP را هدف قرار داده بود. یک هفته بعد اعلام شد این حمله کاملاً متوقف شده است.
همچنین اگرچه در ابتدا اعلام نشد حملهی سایبری وسیع مهرماه ۱۳۹۹ به کدام دستگاههای دولتی بود اما شنیدهها و بازتابهای مردم مشخص کرد در این زمان به سازمان بنادر و وزارت راه حملهی سایبری شده است. سامانهی گمرک پس از این حمله دو روز از کار افتاد و بسیاری را برای بارگیری و تخلیه بار سرگردان کرد. معاون امنیت سازمان فناوری اطلاعات هم این حملهی باجافزاری گسترده را تأیید کرده بود.
دانش امنیت سایبری در ایران ضعیف است
مجید دادگر میگوید حملات سایبری همیشه زیاد بوده و الان احتمالاً بیشتر شناسایی میشود اما ما در بحث سایبری در ایران ضعف داریم. به گفته این کارشناس امنیت سایبری این ضعف به سیاستگذاریها، قانونگذاریها و حتی تحریمها برمیگردد: «همه اینها در کنار هم باعث میشود آن یکپارچگی لازم وجود نداشته باشد و ضعف داشته باشیم. پتانسیل حملات سایبری در ایران خیلی زیاد است.»
بزرگترین حمله سایبری در ایران از نظر او پس از حملهی استاکسنت حمله سایبری به گمرک و شهرداری بود. او میگوید امنیت سایبری بهطور لحظهای و مصداقی جواب نمیدهد: «بحث امنیت سایبری نیازمند کارهای بلندمدتی مثل تربیت نسل افراد متخصص و همچنین نیازمند توسعه استراتژیها است. این کارهای بلندمدت خیلی انجام نشده چون در ابتدا به مسئله هک و امنیت، نگاه سلبی میشد و شرکتها برخورد درستی با موضوع نداشتند. از ابتدا باید در حوزهی جرائمش قانونگذاری میشد و برای تربیت نیروی متخصص هزینه میشد، در آموزشگاهها و دانشگاهها بهطور تخصصی روی این موضوع کار میشد. این موارد ریشهای یا انجام نشد یا دیر شروع شد و هنوز اثرش را نگذاشته است.»
او از حملات پیچیده و سطح بالایی میگوید که جلوگیری از آنها سخت است و بعضی از حملات سایبری در ایران هم در این دسته قرار دارند. حملاتی که گاهی حکومتها آنها را پشتیبانی میکنند و جلوگیری از آنها علاوه بر نیاز به سطح امنیت سایبری بالا، نیاز به ارتباطات و دیپلماسی دارند: «دفاع دربرابر حملاتی که با پشتیبانی حکومتها انجام میشود سخت است و کشورها این را با ارتباط و دیپلماسی بین خودشان حل میکنند و به توافقی میرسند که چنین حملاتی به هم نکنند. حتی تا جایی پیش رفت که آمریکا گفت هر کسی همچین حملهای بکند ما به صورت نظامی پاسخ میدهیم.»
تحریمها هم با تأثیری که در دسترسی ایران به تجهیزات سختافزاری و نرمافزاری میکنند، شرایط کشور را در امنیت سایبری سخت کردهاند. این تجهیزات یا به ایران نمیرسند یا پشتیبانی ندارند: «تحریمها باعث میشود نتوانیم تجهیزات و نرمافزارهای مورد نیاز را تهیه کنیم و درست از آنها استفاده کنیم. وقتی شما یک تجهیز امنیتی را خریداری میکنید نکته مهم بحث بهروزرسانیهایش است. یعنی وقتی آسیبپذیری جدید میآید آن شرکت راهکار جلوگیری را پیدا میکند و با خدماتی که دارد روی تجهیز شما بهروزرسانی انجام میدهد. تحریمها باعث میشود نتوانیم بهروزرسانی را بگیریم و ارتباط خوبی با شرکتهایی که در این حوزه کار میکنند داشته باشیم.»
در تمام این سالها که حملات گسترده سایبری در کشور رخ داده، دانش تکنولوژی در دنیا در حال توسعه بود اما دانش بومی ما افزایش پیدا نکرد و برخی کارشناسان امنیت شبکه میگویند دلیل آن محدودیتهای اینترنت است. سعید سوزنگر پیش از این به زومیت گفته بود که ما اکنون از دانش بهروز و گسترده در حوزهی تکنولوژی محرومیم و در حوزه امنیت شبکه کار را برای خودمان سختتر میکنیم. او از وضعیتی مثال میزند که به بهانهی فیلترشکن برای پروتکلهایی که میتوانند جلوی ۹۰ درصد از رخدادها را بگیرند، اختلال ایجاد میکنیم و باعث میشویم ۹۵ درصد از تهدیدهایی که در دنیا وجود دارد، برای ما ایجاد شود.
محدودیت و فیلترینگ موضوعی است که دادگر هم به آن اشاره میکند. ایران پنج سال است که رتبه اول آلودگی بدافزاری گوشیهای اندروید را دارد و علت اصلی آن اپلیکیشنهایی است که افراد بهعنوان VPN نصب میکنند. اختلالات و فیلترینگ کاربرها را به این سمت سوق میدهند: «در ایران نمیتوانید به صورت قانونی سرویسدهنده وی پی ان باشید درنتیجه کاربران هر چیزی که به دستشان رسید نصب کنند و این رفتار خطرناک بین آنها رواج پیدا کرده است. خود این موضوع باعث میشود امنیت بهشدت آسیب ببیند.» به گفتهی او همه کاربرها نمیتوانند سرویس VPN درست را پیدا کنند یا به آن دسترسی داشته باشند، اسکمرها هم بدافزارهای خودشان را در این قالب به مردم ارائه میکنند.
تمام حملات این سالها هنوز نتوانستهاند رویهی مسئولان را با موضوع امنیت سایبری تغییر دهند. آنها همچنان ضعف شبکه را انکار میکنند، مردم را با فیلترینگ به آلودگی دستگاههایشان سوق میدهند و با پنهان کردن اخبار و اطلاعات حملهها، دست متخصصان را برای جلوگیری از حملههای بعدی میبندند.