دستگاههای دولتی و خصوصی مختلفی طی یک سال اخیر مورد حملات سایبری قرار گرفتهاند و هیچکس در برابر این حملات بهطور شفاف پاسخگو نیست؛ چرا؟
خبر هکشدن یک نهاد دولتی یا یک سازمان خصوصی دیگر خبر جدیدی نیست؛ لااقل با نگاهی به یکیدو سال گذشته میتوان ادعا کرد که دیگر این خبرها تازگی ندارد. با سلسله حملات سایبری که طی این سالها رخ داده است، احتمالاً بهجز افراد خردسال که هنوز فعالیت خاصی در سامانههای دولتی و غیردولتی ندارند، اطلاعات چندده میلیون ایرانی دیگر در «کف اینترنت» قرار دارد. این اصطلاحی است که خود هکرها و فعالان حوزه امنیت از آن یاد میکنند و تأکید دارند که هکرها میتوانند با چسباندن اطلاعات پراکندهای که طی هر حمله سایبری بهدست آمده است، به یک آرشیو جامع از جزئیترین دادههای زندگی شهروندان دست پیدا کنند. نکته عجیب اما اینجاست که هیچکس در برابر این حملات سایبری پاسخگو نیست. مقامات دولتی توپ را به زمین یکدیگر میاندازند و بخش خصوصی هم در بهترین حالت یک عذرخواهی ساده میکند. نه جزئیاتی از حملات هکرها مشخص میشود، نه اطلاعرسانی دقیقی صورت میگیرد و هیچ شرح واقعهای برای آموزش عموم جهت محافظت بیشتر از اطلاعاتشان نیز انجام نمیشود.
واکنش مسئولین در برابر حملات سایبری به سه دسته تقسیم میشود: تکذیبکردن، طبیعیبودن حملات هکری و درنهایت توپ را به زمین نهاد دیگر پاسدادن. در بسیاری از مواقع، موضوع حمله سایبری تکذیب میشود اما درنهایت دادهها بازهم نشت پیدا میکند و مشخص نیست تکذیبیه بر چه اساسی صورت گرفته است. درواقع هیچکس نمیخواهد یک توضیح شفاف و واضح درباره این حملات ارائه دهد و از نظر برخی مسئولین، مانند اعضای کمیسیون امنیت ملی، وجود این حملات در دنیای امروز هم یک امر عادی است. آنها همچنین معتقد هستند: «این طبیعی است که گاهی هکرها موفق به هک شدهاند؛ چرا که کشورها هرچقدر هم امنیت را تأمین کنند، بااینحال هک اتفاق میافتد.»
یک سال از فیلترینگ و بروز اختلالها در شبکه اینترنت کشور میگذرد. آنطور که در خبرها آمده است و مقامات رسمی اعلام کردهاند، ایران در این مدت بیشترین حملات سایبری در طول تاریخ را تجربه کرده است. به عنوان مثال، سازمان پدافند غیرعامل اعلام کرده بود تنها در دو هفته انتهایی مهرماه سال گذشته، ۱۲۰ بار زیرساختهای کشور دچار حمله سایبری شدند. همچنین طبق گفته رئیس شرکت ارتباطات زیرساخت، در سال ۱۴۰۱ بیش از هشت هزار حمله سایبری به شبکه زیرساختی کشور دفع شده و درنهایت تعداد کل حملات به تمام نهادهای خصوصی و غیرخصوصی که حتماً عددی بیشتر از این آمار است نیز اعلام نشده.
بررسیهای سایتهای جهانی رصد حملههای سایبری هم از جایگاه ضعیف ایران در امنیت سایبری حکایت دارند. بنابر گزارش افتانا و به نقل از shadowserver، ایران در پاییز ۱۴۰۱ هفتمین کشور با بیشترین آلودگی به بدافزار بود که این سایت شدت فیلترینگ را در این رتبه مؤثر میداند. کسپرسکی هم گزارش داده بود که در فصل اول ۲۰۲۲، ایران درزمینه وضعیت بدافزارهای موبایل با سهم ۳۵ درصدی، بالاتر از کشورهای دیگر قرار داشته است. فیلترینگ و استفاده از ویپیانهای رایگان یکی از عوامل اصلی گسترش بدافزارهاست.
شفافیت موضوعی است که چندین سال تبدیل به شعار دستگاههای دولتی متخلف شده، اما بهنظر میرسد لااقل در بحث امنیت شبکه در حد و اندازه «شعار» باقی مانده است. کافیست به چند ماه گذشته نگاهی بیندازیم و پاسخگویی نهادهای دولتی در برابر حملات سایبری اخیر را ارزیابی کنیم؛ هرچند واقعیت اینجاست که نمیتوان «هیچی» را ارزیابی کرد و برای آن معیار درنظر گرفت. پاسخگویی در برابر این حملات گاه بهمعنای واقعی «هیچی» است و در برخی موارد نیز پیگیری رسانهها و موج شبکههای اجتماعی بوده که یک دستگاه را وادار به یک پاسخگویی حداقلی کرده است.
زمانی که مدیرعامل تپسی برای دومینبار طی چند سال اخیر، از کاربران برای نشت اطلاعاتشان عذرخواهی کرد (و البته تا امروز هم اطلاعات بیشتری را به سهامداران و کاربران خود پیرامون این حمله ارائه نداده است)، مشخص شد که این شرکت مدتهای مدیدی را با هکر درحال مناظره بوده و درنهایت هم هکر که از نتیجه این مذاکرات راضی نبوده، اطلاعات را برای فروش گذاشته است. همان زمان مشخص شد که بیش از یک هفته است که همین گروه هکری اطلاعات چندین شرکت فعال در حوزه بیمه را نیز به فروش گذاشته و بیمه مرکزی اصلاً درباره این موضوع اطلاعرسانی نکرده است. درنهایت پس از برملاشدن این موضوع و فشار مردم در شبکههای اجتماعی و گزارشهای رسانهای بود که بیمه مرکزی یک بیانیه درباره این موضوع داد. بیانیه بیمه مرکزی سیاست یک بام و دو هوا را در پیش گرفته بود و هیچ اطلاعات شفافی درباره این حمله سایبری در آن وجود نداشت. درواقع به قولی، میتوان گفت انتشار این بیانیه صرفاً برای رفع کوتی بوده، وگرنه هیچ ابهامی توسط آن برطرف نشده است. مشخص نیست اگر شبکههای اجتماعی به این وسعت نبود، چه مقدار از حملات سایبری همچنان مسکوت باقی مانده بود.
پیش از آن نیز سایت ریاستجمهوری مورد حمله سایبری قرار گرفته بود و تا امروز هم دقیقاً مشخص نشده است که این اقدام به چه صورت انجام شد و کار چه گروهی بود. چندی پیش نیز سایت قاصدک ۲۴ نیز مورد حمله سایبری قرار گرفت و اطلاعات کاربرانش در اینترنت نشت پیدا کرد، اما هیچکس در این شرکت خصوصی در خود این وظیفه را ندید که در این مورد شفافسازی کند و تنها اعلام شد که با همکاری پلیس فتا پیگیر این موضوع هستند که چرا این اطلاعات لو رفته است. برخی سایتهای فعال حوزه رمزارز نیز با نشت اطلاعات کاربرانشان مواجه شدند و شفافیت درستی دراینباره ایجاد نکردند. در همین چند روز اخیر نیز خبرهایی مبنی بر هکشدن سازمان ثبت احوال به گوش رسید که صرفاً با جمله «تکذیب میکنیم» از سوی این نهاد روبهرو شد؛ حال آنکه این سازمان در سالهای گذشته هم دچار این حمله شده بود و درحالحاضر نیز هکر روزبهروز اطلاعات بیشتری از دیتاهای زیرساختی ثبت احوال را منتشر میکند تا بتواند این تکذیبیه را تکذیب کند و هیچکس در برابر این موضوع پاسخگو نیست. شایعه هکشدن وزارت علوم هم امروز به گوش رسید که تا زمان نگارش این مقاله، هیچ واکنش شفافی از سوی مسئولین صور نگرفته است.
مسئولیت این حملات هکری نیز به نهادهای مختلفی پاسکاری میشود. یکی پلیس فتا را مسئول میداند و دیگری سازمان افتای ریاستجمهوری را. برخی از وزارت ارتباطات و مرکز ماهر انتظار دارند و عدهای از دولتمردان نیز تأکید دارند که مسئول این اتفاق بالاترین مقام مدیریت شرکتی که مورد حمله قرار گرفته، است. سازمان پدافند غیرعامل نیز در این میان وجود دارد که مشخص نیست تا چه حد وظیفه حفظ این امنیت را بر عهده دارد و درنهایت یک خلأ قانونی در این بین وجود دارد که باعث میشود «توپ هک و حمله سایبری» در زمین هیچ دستگاه دولتی باقی نماند و دائماً به اینوروآنور پاس داده شود.
موضوع ناراحتکننده دیگری که در این میان وجود دارد، عدم شفافسازی درباره نحوه حملات سایبری است. بهنظر میرسد سازمانها و نهادهای مختلف بنا به دلایل گوناگون، علاقهای به تبادل اطلاعات درباره نحوه حملات سایبری ندارند؛ درصورتیکه این موضوع در دنیا پذیرفته شده است. در طول چند سال اخیر فقط شرکت ابر آروان بود که گزارش فنی کاملی از شرح حمله سایبری به زیرساختهای خود را منتشر کرد تا بلکه بتواند کمک و راهنمایی برای سایر شرکتها باشد.
امروزه سازمانها با حجم عظیمی از اطلاعات پیچیده امنیت سایبری سروکار دارند و راهکارهایی نظیر هوشیاری پیرامون تهدیدات (هوش تهدید سایبری) و یا با بهاشتراکگذاری اطلاعات تهدیدات میتوانند نحوه استفاده از آنها را متمرکز و اولویتبندی کنند. درواقع باید گفت هوشمندی از تهدیدات سایبری به سازمانها نشان داده است که هیچ سازمانی بهتنهایی نمیتواند اطلاعات کافی برای آگاهی از تمام تهدیدات ممکن در اختیار داشته باشد. راه غلبه بر این محدودیت این است که اطلاعات تهدیدات سایبری مرتبط بین انجمنها، همکاران، صنایع و حتی دستگاههای دولتی به اشتراک گذاشته شود. میتوان ادعا کرد از طریق بهاشتراکگذاری اطلاعات و دادهها، هر سازمانی که اطلاعاتی را به اشتراک میگذارد، میتواند درک و فهم بیشتری از محدوده انتزاعی و صنعتی (منطقی و فیزیکی) تهدید داشته باشد و در پی یافتن نفوذگران، اقداماتی را انجام دهد.
باید عدم وجود کیفرخواست و جرمانگاری پس از نشت اطلاعات کاربران در سازمانهای دولتی را نشانه رفت که موجب سهلانگاری بیشتر در حفظ دادهها میشود. بسیاری کشورها درصورت نشت اطلاعات کاربران، تا پنج درصد درآمد شرکت را بابت جریمه دریافت میکنند، اما در ایران چنین قانونی وجود ندارد. هرچند در لایحهای موسوم به «صیانت از دادههای شخصی» برخی جرمانگاریها درباره این موضوع مطرح شده، اما این لایحه تا امروز پس از گذشت نزدیک به ۲۰ سال، هنوز راه به جایی نبرده است.
این لایحه در اواخر دولت دوازدهم بار دیگر بهطور جدی پیگیری شد و درحالحاضر نیز وزیر ارتباطات دولت سیزدهم اعلام کرده است که برای صیانت از دادههای کاربران در پیامرسانهای بومی، بهدنبال تحقق آن هستند، اما از اعلام این خبر نیز یک سال میگذرد و اتفاقی در این زمینه نیفتاده است.
واقعیت این است که نمیتوان منکر شد که خلأهای قانونی زیادی در حوزه امنیت ما وجود دارد و باید گفت قوانین فعلی کارآمدی لازم را ندارد. درحالیکه در ایران فعالیتهای گستردهای درزمینه سایبری صورت میگیرد اما قوانین درستی در این زمینه وضع نشده است. در نبود این قوانین، هیچکس هم زحمت شفافسازی به خود نمیدهد و کاربران باقی میمانند و یک علامت تعجب بزرگ که هیچکس قصد ندارد آن را با توضیحاتی دقیق، پاک کند.
پاسخ ها