ناکارآمدی ساختارهای امنیت سایبری در کشور این بار هم منجر به وقوع حمله سایبری به سامانه هوشمند سوخت شد؛ سناریویی که در حال تکرار است و نهاد اصلی پاسخگو در این زمینه هنوز به درستی مشخص نیست.
از ساعت ۱۱ صبح روز سه شنبه ۴ آبان ماه حمله سایبری به سامانه هوشمند سوخت جایگاههای بنزین سراسر کشور را با اختلال وسیع روبهرو کرد و این مشکل همچنان نیز ادامه دارد.
تیرماه امسال هم حمله گسترده سایبری به شرکت راه آهن و ستاد وزارت راه و شهرسازی به دلیل ضعف لایههای امنیتی فعالیتهای جاری این وزارتخانه را چندین روز دچار مشکل کرد؛ پیش تر نیز حمله سایبری به سامانه سازمانهایی مانند گمرک، پلیس راهور، وزارت بهداشت و ثبت احوال گزارش شده بود.
وقوع این قبیل اتفاقات ناشی از بی توجهی سازمانها به هشدارها و بی اهمیت جلوه دادن مسائل مربوط به امنیت سایبری کشور و عدم مسئولیت پذیری و موازی کاری دستگاههای متولی است و به همین دلیل مشخص نیست که مسئولیت این قبیل رخدادها برعهده کدام نهاد و یا سازمان است و در اغلب موارد پیگیری موضوع در جریان پاسکاری میان دستگاهها به فراموشی سپرده میشود.
قانون چه میگوید…
تعدد بروز اتفاقات مشابه در کشور نشان میدهد که پیشگیری و مقابله با تهدیدات سایبری و مدیریت مخاطرات فضای مجازی در داخل کشور دارای ضعف جدی بوده و سند شورای عالی فضای مجازی برای تقسیم وظایف دستگاهها در «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» ناکارآمد است.
مطابق با آنچه که در «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» توسط شورای عالی فضای مجازی به تصویب رسیده، مسئولیت هر دستگاهی در پیشگیری و مقابله با حوادث فضای مجازی مشخص است. طبق این مصوبه، پیشگیری و مقابله با حوادث حوزه عمومی برعهده نیروی انتظامی است؛ حوادثی که در سازمانهای غیر زیرساختی رخ میدهد از طریق وزارت ارتباطات باید رسیدگی شود و مسئولیت پیگیری حوادث در دستگاههای حاکمیتی که دارای زیرساختهای حیاتی و حساس هستند نیز بر عهده مرکز افتای ریاست جمهوری است. در همین حال انجام رزمایش و تست پایداری زیرساختهای حیاتی کشور نیز برعهده سازمان پدافند غیرعامل است.
پیشگیری و مقابله با حوادث حوزه عمومی برعهده نیروی انتظامی است؛ حوادثی که در سازمانهای غیر زیرساختی رخ میدهد از طریق وزارت ارتباطات باید رسیدگی شود و مسئولیت پیگیری حوادث در دستگاههای حاکمیتی که دارای زیرساختهای حیاتی و حساس هستند نیز بر عهده مرکز افتای ریاست جمهوری است. در همین حال انجام رزمایش و تست پایداری زیرساختهای حیاتی کشور نیز برعهده سازمان پدافند غیرعامل استاما با این حال به نظر میرسد
جایگاه نهادهای اصلی و دستگاههای متولی همچون افتا، ماهر، فتا و سازمان پدافند غیرعامل در پذیرفتن مسئولیت شفاف نیست و کشور در تأمین امنیت فضای مجازی دچار ضعفهایی است و در موقع بروز مشکلات دقیقاً معلوم نیست که مقام پاسخگو کیست و در مقابل چه چیزی باید پاسخگو باشد.
حمله سایبری به سامانه هوشمند سوخت از نگاه متولیان امنیت سایبری
در جریان اختلال در سامانه هوشمند سوخت کشور، هر یک از نهادهای مرتبط با موضوع در کشور چند ساعت پس از وقوع رخداد با انتشار اطلاعیه، نسبت به موضوع حمله سایبری واکنش نشان دادند.
مرکز ملی فضای مجازی با تأیید وقوع حمله سایبری به سامانه هوشمند سوخت تاکید کرد: «ساعت ۱۱ صبح روز سه شنبه (۱۴۰۰/۰۸/۰۴) مرکز افتا گزارشی در خصوص حمله سایبری به سامانه هوشمند سوخت کشور اعلام کرده و به تبع آن جایگاهها در ارائه خدمات سوخت رسانی از مدار خارج شدند؛ دستگاههای ذیربط در حال رفع مشکل ایجاد شده هستند و تا ساعاتی دیگر خدمات سوخت رسانی به حالت عادی بر خواهد گشت.»
سازمان پدافند غیرعامل نیز در اطلاعیهای با تاکید بر اینکه آسیبپذیری سایبری شرکت پخش و پالایش به مسئول دستگاه اطلاع داده شده بود و اختلال در خدمترسانی به مردم و خدشه به اعتبار سایبری کشور را پیگیری قانونی میکنیم، اعلام کرد: «اساسا ایمنی، امنیت و دفاع در فضای سایبری امری نسبی است و به میزان سایبریشدن زیرساختها و داراییها، امکان اختلال در کارکرد خدمات به دلیل حوادث سایبری افزایش مییابد. امروزه بروز حوادث سایبری در کشورهای توسعهیافته با دلایل مختلف تبدیل به یک واقعیت اجتنابناپذیر و یک چالش جهانی شده است. در این شرایط سازمان پدافند غیرعامل کشور از سوی مرکز ملی فضای مجازی مکلف به اجرای رزمایشها در زیرساختها در جهت تست پایداری ارائه خدمات شده است.»
این سازمان با اشاره به انجام بیش از ۷۰ رزمایش سایبری و ارائه گزارش آسیب پذیری ها به مرکز ملی فضای مجازی، اعلام کرد: «در حوزه زیرساخت انرژی نیز تاکنون پدافند غیرعامل دو رزمایش در حوزه وزارت نفت و شرکتهای تابعه از جمله شرکت ملی پالایش و پخش فرآوردههای نفتی انجام داده و نتایج، از جمله آسیبپذیریهای عمده را جهت برطرفسازی به مسئولین ابلاغ کرده است و در راستای صیانت از حقوق عامه و تابآوری ملی موضوع رفع آسیبپذیریها را مکرر پیگیری کرده است. از ابتدای بروز حادثه در سامانه هوشمند توزیع سوخت نیز تیمهای عملیاتی قرارگاه پدافند سایبری در تعامل با سایر بخشهای امنیت سایبری کشور به بررسی دلایل بروز اختلال سایبری و کمک به بازگشت کارکرد خدمات جایگاههای توزیع سوخت اقدام کردند که در نتیجه خدمات سامانه هوشمند به تدریج در حال بازگشت به حالت اولیه است.»
وزارت ارتباطات نیز در اطلاعیهای با تاکید بر اینکه تمامی زیرساختهای ارتباطی و مخابراتی کشور بدون هیچ مشکلی در حال خدماترسانی هستند، اعلام کرد که «بر اساس پیگیریهای به عمل آمده و با تلاش کارشناسان وزارت نفت اختلال به وجود آمده در سامانههای جایگاههای سوخت نیز در حال رفع است و در ساعات آینده به تدریج به حالت پایدار باز میگردد.»
پاسخ برخی نهادهای ذیربط…
مسئولان این وزارتخانه تاکید کردند که «مطابق با سند نظام مقابله با حوادث سایبری، مسئولیت امنیت زیرساختهای حیاتی با وزارت ارتباطات نبوده و این موضوع مربوط به مرکز افتای ریاست جمهوری است.»
در همین حال خبرنگار مهر موضوع را از مرکز افتای ریاست جمهوری نیز پیگیری و کسب اطلاع کرد که موضوع در دست بررسی کارشناسان این مرکز قرار دارد و نتیجه گزارش کارشناسی به شورای امنیت ملی اعلام میشود.
پس از آن و با گذشت حدود ۲ روز از این رخداد مرکز مدیریت راهبردی افتای ریاست جمهوری عصر روز گذشته در اطلاعیهای با تاکید بر اینکه بلافاصله پس از رصد این اختلال، گروههای رسیدگی به حادثه، تشکیل شدند و برنامه ریزی برای بازیابی خدمت، شناسایی و رصد علت حمله انجام شد، اعلام کرد: بازگردانی جایگاههای سوخت به چرخه توزیع در سریعترین زمان ممکن، نشان از توانمندیهای سایبری کشور است.
دفاع رئیس مرکز ملی فضای مجازی از عملکرد دستگاههای مسئول
پس از وقوع حمله سایبری به سامانه هوشمند کارت سوخت، ابوالحسن فیروزآبادی دبیر شورای عالی و رئیس مرکز ملی فضای مجازی نیز شب سه شنبه در برنامه تلویزیونی جزئیات وقوع این اختلال را تشریح کرد و توضیح داد: «پس از این اختلال، دستگاههای مربوطه به بررسی مسئله پرداختند و علائم یک حمله سایبری را مشاهده کردند. این حمله سایبری خسارتهای سختافزاری به دنبال نداشت و هدف آن، تنها ایجاد اختلال در ارائه خدمت به شهروندان بود. کارشناسان در مدت کوتاهی توانستند راه حل رفع مشکل را پیدا کنند. حدود ۴۶۰۰ جایگاه سوخترسانی بنزین در کشور داریم که باید اصلاحاتی در برنامه نرمافزاریشان انجام دهند و این کار از ساعت پنج بعدازظهر بهتدریج در حال انجام است.»
به گفته وی، «به سرورها و اطلاعات لطمهای وارد نشده چرا که اصولاً شبکه جایگاه سوخترسانی کشور ما مختص خودمان است؛ پمپبنزینها تمامالکترونیک هستند و از نظام پرداخت و نظام واگذاری سوخت، تا نظامهای الکترونیکی دیگر مانند تلفن مداربسته در جایگاهها تحت نظام واحدی کار میکنند. با تمهیداتی امنیتی که از پیش حمله در نظر گرفته شده بود، به اطلاعات سهمیه مردم لطمهای وارد نشده و فقط در نظام خدمترسانی اختلال ایجاد شده است.»
فیروزآبادی با بیان اینکه به دلیل اینکه این سیستمها به هم متصل هستند، شاید حملهکردن به سیستمی که نسبتاً پیچیدگی بالایی نداشته و تعداد ترمینالهای زیادی دارد، کار سختی نباشد، تاکید کرد: «یعنی حملهای که انجام شده، سطح بالایی نداشته است. البته شاید اگر تدابیر مناسبتری اتخاذ میشد، ما حتی شاهد وقفه در سوخترسانی هم نبودیم. این حمله احتمالاً توسط یک کشور خارجی انجام شده اما اکنون برای اعلام نام آن کشور و روند حمله زود است.»
دبیر شورای عالی فضای مجازی با اشاره به اینکه متأسفانه اخیراً در سیستم راهآهن هم شاهد چنین اختلال گستردهای بودیم که توانستیم با توان سایبری در کشور ظرف ساعات کمی مشکل را رفع عیب کنیم خاطرنشان کرد: «این حادثه هم در مدت کوتاهی رفع عیب شده، اما بهدلیل گستردگی جایگاهها در سرتاسر کشور، بهتدریج باید تیمهایی اعزام شوند و رفع اشکال کنند و امیدواریم تا ظهر روز چهارشنبه رفع اشکال شود.»
دبیر شورای عالی فضای مجازی وظیفه مقابله با حملات سایبری را سازمان و مسئول مربوط به آن و متولی و پشتیبان امنیت را مرکز مدیریت راهبردی افتا معرفی کرد. همچنین تقسیم کار در کارآمدی سیستم امنیتی در زیرساختهای کشور در حوزه وزارت نفت و شرکتهای تابعه آن به سازمان پدافند غیر عامل واگذار شده است.
وی گفت: «این حملات نشان میدهد مدیران دستگاههای کشور حساسیت و توجه لازم را به امنیت ندارند و اهمیتی که باید به بحث فناوری اطلاعات بدهند نمیدهند. کمترین دستاورد اینگونه حملات، جلب توجه مسئولان دستگاههای زیرساخت کشور به امنیت است.»
مهمترین دلایل حملات سایبری اخیر در کشور
دکتر احسان کیانخواه پژوهشگر حوزه امنیت و حکمرانی فضای مجازی به تشریح دلایل بروز چنین رخدادهایی در نشت اطلاعات و هک سامانههای رایانهای کشور میپردازد و معتقد است که «کنترل دقیقی بر مسیری که گیت وی ملی در اختیار کشور قرار گرفته و توسط شرکت ارتباطات زیرساخت توزیع و به ISPهای داخلی میرسد، صورت نمیگیرد. مراکز داده مهم ما بدون هیچ کنترلی مسیر انتقال داده را طی کرده و به سمت IPخاصی میروند. از این رو میتوان گفت که دفاع محکمی برای حفاظت از آنها وجود ندارد.»
وی با اشاره به اینکه شرکتها و سازمانهای مختلف از نظر نیروی فنی و کارشناس متخصص در این حوزه ضعفهایی دارند، گفت: «سوال مهم این است که یک وزارتخانه و سازمان مهم چقدر برای زیرساخت و نیروی فنی امنیتی خود هزینه میکند که این نیرو بدون دغدغه مشغول به کار تخصصی خود باشد؟ کمبود نیروی ماهر و دستمزد مناسب برای آن همواره یکی از مشکلات حوزه امنیت سایبری در کشور ما است.»
عدم تهیه و بروز رسانی تجهیزات حوزه امنیت
کیانخواه گران بودن تجهیزات حوزه امنیت و به روز رسانی این تجهیزات را یکی دیگر از عوامل مهم در ارتقای امنیت سایبری دانست و افزود: «تجهیزات حوزه امنیت برای مدیران سازمانها اهمیت کمی دارد. تنها زمانی امنیت برای یک سازمان مهم میشود که سازمان به چالش بر بخورد. معمولاً سازمانها در حوزه امنیت هزینه کمتری میکنند.»
راه اندازی مراکز داده بدون استاندارد و مجوز مناسب
این پژوهشگر حوزه امنیت فضای مجازی یکی دیگر از مشکلات را نداشتن شناسنامه و مجوزهای لازم مراکز داده حیاتی عنوان کرد و با بیان اینکه مجوزها اغلب صوری هستند، تصریح کرد: «استاندارد بومی مشخصی برای راه اندازی مراکز داده حیاتی در کشور وجود ندارد. اگر بخواهیم صرفاً بر اساس استانداردهای شرکتهای خارجی مانند سیسکو عمل کنیم ممکن است روزی با تهدیدی از جانب خود این شرکتها مواجه شویم. در بسیاری از مواقع خود شرکتها کدها را در اختیار ویروس قرار میدهند. پس بنابراین استاندارهای بومی در حوزه تأیید مراکز داده، ضروری است.»
به گفته وی، مثال حمله سایبری به سامانه هوشمند سوخت نشاندهنده این است که ما اصول اولیه طراحی یک مراکز داده را نیز رعایت نکردهایم. چرا که در صورت انجام برخی اقدامات شاید تنها بخشی از تهران یا کشور دستخوش اختلال در سوخت رسانی میشدند نه اینکه این اختلال سراسری باشد. با این وجود چنین رخدادی برای بانکها و در حوزه برق و گاز نیز ممکن و قابل پیش بینی است.
ضعف جدی دستگاههای اجرایی در حوزه IT
کیانخواه تصریح کرد: «مشکل دیگر به این مساله بر میگردد که دستگاههای دولتی ما به ویژه وزارت نفت در حوزه ITبسیار ضعیف هستند؛ عمدتاً سایتهای وزارتخانهها در اختیار بخش خصوصی است و این بخش کار پشتیبانی را انجام میدهد. این موضوع باعث میشود که سازمان، دانش انباشتهای در حوزه امنیت سایبری زیرمجموعه خود نداشته باشد چرا که نیروها جابجا شده و مدام در حال رفت و آمد هستند. از این رو نظارت مستمری روی کارمندان امنیت سایبری صورت نمیگیرد و آنها تعهد کاری جدی ندارند.»
این کارشناس فضای مجازی چالش دیگر را مراکز غیر پاسخگو در حوزه امنیت سایبری دانست و گفت: «افتا و ماهر متأسفانه کارایی لازم را ندارند و افتا در مورد اخیر پاسخگویی مناسبی نیز نداشته که این خود یک چالش محسوب میشود. معمولاً افرادی که در این مجموعهها هستند به دلایلی خود را ملزم به پاسخگویی نمیدانند مشخص نیست دقیقاً چه اتفاقی افتاده و آیا پیگیریهای لازم توسط این نهادها انجام شده و یا نه. اساساً مسئولیت امن سازی به عهده چه نهادی است؟ به نظر میرسد افتا صرفاً به آموزش و تهیه چک لیست اکتفا کرده است و تنها یک سری بایدها را به سازمانها و دستگاهها دیکته میکند. اما اگر این اقدامات انجام نشد مرحله بعدی چیست؟ آیا به عنوان موارد تخلف در نظر گرفته میشود یا نه؟»
افتا و ماهر متأسفانه کارایی لازم را ندارند و افتا در مورد اخیر پاسخگویی مناسبی نیز نداشته که این خود یک چالش محسوب میشود. معمولاً افرادی که در این مجموعهها هستند به دلایلی خود را ملزم به پاسخگویی نمیدانند مشخص نیست دقیقاً چه اتفاقی افتاده و آیا پیگیریهای لازم توسط این نهادها انجام شده و یا نه. اساساً مسئولیت امن سازی به عهده چه نهادی است؟ به نظر میرسد افتا صرفاً به آموزش و تهیه چک لیست اکتفا کرده است و تنها یک سری بایدها را به سازمانها و دستگاهها دیکته میکند
غیبت بزرگ نهاد پاسخگو
وی تاکید کرد: «باید یک مرجع بالاتری بر بایدهای امنیت سایبری کشور نظارت کند که در صورت عدم اجرا تخلف محسوب شده و با آن برخورد شود. برای مثال هم اکنون با گذشت ۲ روز وضعیت اختلال در دادههای حیاتی کشور آنطور که باید و شاید به حالت سابق برنگشته است. اگر این اتفاق در لایه بانکی رخ دهد و دیتا لو برود و تغییر کند چه کسی میتواند جوابگو باشد؟ نهاد ناظر و پاسخگو به درستی مشخص نیست.»
کیانخواه معتقد است که «اگر در حوادث سایبری قبلی پاسخگویی و مواخذه سازمان متولی به دقت انجام میشد این اتفاقات اخیر رخ نمیداد. اتفاقات زنجیره واری که در یک سال اخیر رخ داده نشان میدهد سازمانها و نهادهای متولی امنیت سایبری، کارایی لازم را ندارند. سازمانهای این چنینی در حال حاضر تنها حضور دارند اما مؤثر و پاسخگو نیستند و شفافیت سازمانی هم در آنها دیده نمیشود. این در حالی است که امنیت سایبری با زندگی روزمره مردم گره خورده و لذا به نظر میرسد ما به یک نهاد جدید و بازآرایی یک سری نهادها در حوزه امنیت سایبری نیاز داریم.»
معماری امنیتی ما مشکل دارد
به گفته این پژوهشگر امنیت سایبری، «مجموعه های فعلی ما کارایی لازم را ندارند. این سازمانها تازه بعد از حادثه کار بررسی را شروع میکنند و برای پیشگیری و جلوگیری، اقدام کافی را انجام نمیدهند. ما ریسکهای سازمانها را به درستی در نظر نمیگیریم. طراحیهای ما مبتنی بر تهدیدات سایبری نیست. تهدید و ضعف را به خوبی شناسایی نمیکنیم و معماری امنیتی مان هم مشکل دارد.»
وی در خصوص راهکارهای شبکه ملی اطلاعات برای پیشگیری از وقوع حملات و تهدیدات سایبری گفت: «این قبیل اتفاقات با شبکه ملی اطلاعات هم حل نمیشود. چراکه هکر میتواند به شبکه ملی اطلاعات وصل شده و هدف خود را دنبال کند. این موضوع نیازمند اقداماتی فراتر از شبکه ملی اطلاعات است. ما یک زیرساخت حیاتی برای کشور لازم داریم. یک شبکه اختصاصی میخواهیم. نیروی منسجم و سازمان منسجم نیاز است تا مراکز داده حیاتی در کشور را به صورت مستمر رصد کند. در حوزه امنیت سایبری چالشهایی با سطوح مختلف از لایه حکمرانی تا لایه نیروی انسانی و متصدی امنیت داریم و باید بر اساس شرایط بومی کشور خودمان، معماری امنیت را بچینیم. چون مدل تهدیدات ما فرق میکند.»
در شرایطی که کشورهای مختلف برای مقابله با قدرت جنگ نرم و تهدیدات سایبری روزبه روز خود را قویتر میکنند، به دلیل عدم پیشرفت مناسب و ضعفهای ساختاری در کشور، امنیت سایبری زیرساختهای حیاتی کشور همچنان با خلأ روبرو است و تبادل داده در این زیرساختها تضمین شده نیست. از این رو تقویت ابعاد زیرساختی شبکه ملی اطلاعات و قانونگذاری نسبت به مسئولیت پذیری دستگاههای مسئول، میتواند راهگشای مناسبی برای مشکلات امنیت فضای سایبری کشور باشد.