«احتمال سرقت اطلاعات از سامانه شهرداری را رد نمیکنیم»
ماجرا از جایی آغاز شد که پخش تصاویری از سرور مرکزی سازمان فاوا حکایت از هک گسترده سیستم شهرداری داشت کمااینکه خارج شدن سایت تهران من و تمامی سایتهای این نهاد غیر دولتی از مدار فعالیت نیز حکایت از همین امر داشت.
ساعت 12 و 38 دقیقه ظهر روز پنجشنبه 12 خرداد را شاید زاکانی تا پایان عمر فراموش نکند. روزی که به وی خبر دادند تمامی سایتها و بخش اعظمی از دوربینهای ترافیکی و نظارتی شهرداری هک شدهاند.
به گزارش اعتماد، ماجرا از جایی آغاز شد که پخش تصاویری از سرور مرکزی سازمان فاوا حکایت از هک گسترده سیستم شهرداری داشت کمااینکه خارج شدن سایت تهران من و تمامی سایتهای این نهاد غیر دولتی از مدار فعالیت نیز حکایت از همین امر داشت.
با این حال روابط عمومی شهرداری تهران و مدیریت آنکه اتفاقا سخنگوی مدیریت شهری نیز محسوب میشود ابتدا در واکنشی عجیب موضوع را انکار و آن را «اختلالی» فنی عنوان کردند گرچه چند روز بعد مجبور به اعتراف شدند و اعلام کردند که بیش از 138 سایت شهرداری و 5 هزار دوربین آن در سطح شهر هک شدهاند.
اتفاقی که باعث شد تا برخی از سایتهای خدماتی شهرداری یک هفته تا یک ماه از دسترس خارج شوند و با غیرفعال شدن دوربینهای نظارتی و طرح ترافیک شهروندان برای مدتی، با خیال راحت در درون طرح ترافیک تردد کنند و جریمه هم نشوند و در عوض درآمد روزانه شهرداری از این محل کاملا قطع شود.
علیرضا زاکانی درتشریح آنچه اتفاق افتاده بود در آن زمان گفت: آن روز هجمهای به سامانههای شهرداری تهران انجام شد و در ابتدا یک کار تبلیغاتی به ظن خودشان آغاز کردند. طراحی شده بود که در بعدازظهر همان روز به دوربینها دسترسی پیدا کنند و اقدام خود را به سیستمهای نرمافزاری و دسترسی به دادهها و اطلاعات توسعه دهند که به حمدالله از همان ابتدا همکاران ما وارد عمل شدند که به این ترتیب سایر اقدامات آنها ناکام ماند!
اما گذشت زمان نشان داد که گویا هکر یا هکرهای حملهکننده به شهرداری چندان هم «ناکام» نبودند! شهرداری تهران در آن زمان که از هر ابزاری برای توجیه و البته کوچک جلوه دادن این حمله سایبری گسترده سخن میگفت، بلافاصه اعلام کرد که حمله رخ داده «سطحی و کوچک» بوده و طی یکی، دو روز آینده تمامی سایتها و دوربینهای شهرداری به مدار فعالیت طبیعی خود باز خواهند گشت.
روابط عمومی شهرداری در اطلاعیه دیرهنگام خود آورده بود: اختلال عمدی در صفحه داخلی سامانه اینترنتی (داخلی) شهرداری تهران، برای دقایقی این سامانه را با انتشار تصویری موهن از دسترس همکاران خارج کرد. فرآیند رفع این اختلال محدود، به سرعت به انجام رسید و در حالحاضر سامانههای خدمترسانی شهرداری تهران برای بررسیهای بیشتر فنی توسط سازمان فاوا، موقتا از دسترس خارج شده است.
با این وجود برخلاف ادعاهای مدیران شهری تعطیلات تمام هم شد و سایتهای شهرداری همچنان در دسترس نبود. پس از پایان تعطیلات سایت تهران من باید در دسترس شهروندان قرار میگرفت تا دستکم ورود به محدوده طرح ترافیک در آن ثبت شود. اما از آنجایی که این سایت همچنان مسدود بود، شهرداری در اطلاعیه به شهروندان تهرانی گفت که از روز دوشنبه 16 خرداد تا چهارشنبه 18 خرداد برای ورود به طرح ترافیک نیازی به رزرو روزانه ندارند.
همچنین تا حدود یک هفته سیستمهای متروی تهران دچار مشکل بوده است. شهروندی در آن زمان در گلایه از اختلال در سیستم متروی تهران در فضای مجازی نوشت: هفته جاری و بعد از تعطیلات، متروی صادقیه تهران که جزو ایستگاههای مادر و پرتردد محسوب میشود، نه سیستم خرید بلیت آن فعال بود و نه گیتهای ورود. در پیک شلوغی یعنی ساعت 5 عصر، کارکنان مترو تمامی مسافران را بدون بلیت و بدون ردشدن از گیت، به سمت قطار راهنمایی میکردند. همین اتفاق در دیگر ایستگاههای مترو و همچنین در روزهای بعدی تا به این لحظه گزارش شده است.
گرچه در عمل، از مدار خارج بودن حدودا یکماهه سایتها نشان داد که نه تنها حمله صورت گرفته شدید و کاری بوده که کارشناسان شهرداری نیز توانایی لازم برای رفع نقیصه رخ داده و خنثی کردن رخنه هکرها را ندارند.
کمااینکه چند هفته بعد و پس از اینکه فردی به عنوان عامل اصلی هک دستگیر شد اخبار تاییدنشدهای منتشر شد که حکایت از آن داشت که خود این فرد به نیروهای شهرداری کمک کرده تا سایتهای آن به مدار فعالیت بازگردند وگرنه متخصصان آنها نتوانسته بودند تا آن زمان از پس این مهم برآیند.
این حادثه، اما همانگونه که پیشبینی میشد گرچه انعکاس وسیعی در جامعه و حتی رسانههای بینالمللی داشت، اما از سوی شهرداری و شورای شهر با سیاست «دامن نزدن» به ماجرا دنبال شد.
به این معنا که مروری بر اخبار منتشرشده در این زمینه از سوی شورا و شهرداری نشان میدهد که آنها تلاش کردهاند تا بدون پرداختن به جزییات و نتایج این حمله، با کلیگویی، آنهم به اختصار، از کنار موضوع گذر کنند تا آبها از آسیاب بیفتاد.
اظهارنظر عجیب فاوا
اظهارنظر مسوولان مختلف در این حادثه، اما در برخی از موارد آنچنان عجیب است که واقعا هر شهروندی را به تعجب وا میدارد. هادی محضرنیا، رییس سازمان فناوری اطلاعات و ارتباطات شهرداری تهران، آن زمان بدون توجه به گستردگی ابعاد این حمله اعلام کرد که اتفاقی که روی داد، از نوع سادهترین حملاتی بود که در فضای امنیتی سایبری صورت میگیرد.
وی گفته بود با توجه به گستردگی خدماتی که شهرداری ارایه میدهد، این مجموعه روزانه با حجم زیادی از حملات مواجه است و مرکز امنیت سایبری سازمان فناوری اطلاعات شهرداری تهران روزانه در حال رصد و مقابله با این حملات است. برعکس آن چیزی که در فضای مجازی منتشر شده، هیچ اتفاق مهمی در سطح خدماترسانی به شهروندان صورت نگرفته و دوربینهایی که ادعا شده بود از کار افتادهاند، در حال نظارت و کنترل ترافیک شهر هستند و خدمات مختلف از جمله در مترو و اتوبوس به شهروندان داده میشود.
این ادعاهای سادهانگارانه و عجیب در حالی اعلام میشدند که دوربینهای شهرداری 2 تا 3 روز از مدار فعالیت خارج شده بودند و سایتهای این مجموعه نیز حدود یک ماه قبال دسترس نبودند! شواهدی که نشان میدادند برخلاف ادعای محضرنیا، حمله، حملهای کاری بوده و اتفاقا ضرباتی کاری را به شهرداری وارد کرده است!
شاید به همین دلیل بود که این اظهارات ضد و نقیض که همگی تلاش میکردند تا حقیقت ماجرا را لاپوشانی کنند بالاخره داد بسیاری از مسوولان و حتی نمایندگان مجلس را نیز درآورد.
مصطفی میرسلیم، نماینده مجلس یازدهم در این زمینه گفت: اگر شایستهسالاری و پاسخگویی را که شهردار محترم مدافع و مبلغ آن است، سرلوحه قرار دهیم با اینگونه معضلات روبرو نخواهیم شد. وقتی 9 نفر از مدیران کاربلد و کلیدی فناوری شهرداری از مدیریت کنار گذاشته شدهاند؛ آیا در این شرایط باید چیزی بیش از این اتفاقات انتظار داشته باشیم؟
این نماینده مجلس آن زمان مدعی شد، در حال حاضر مرکز اسناد (آرشیو) شهرداری کاملا به حالت قبلی برنگشته و تا بهکارگیری و بارگذاری نسخههای پشتیبانی (بکآپ) دادهها، مناطق، سازمانها و شرکتها مجبورند خارج از روال تصمیمگیری کنند.
او افزود: مدیران شهرداری باید مراقب باشند مبادا برای درآمدزایی از عدم بازگشت سامانهها به حالت اولیه برای صدور مجوز اضافه بنا و تخلفات ساختوساز از جمله اضافه بنا و تراکمفروشی، استفاده شود.
این سخنان، اما به مذاق برخی از اعضای شورای شهر ششم خوش نیامد و در صحن شورا به آن واکنش نشان دادند. جعفر شریبانی با اشاره به هک سامانههای شهرداری تهران اظهار کرد: لازم است شهرداری تهران در خصوص اظهارات این نماینده مجلس پاسخ قانعکننده دهد!
هشدارهای بایگانی شده
با بالا گرفتن پرونده حمله سایبری به شهرداری، ابعاد تازهتری از ماجرا علنی شد از جمله اینکه پیش از رخ دادن این حادثه، نهادها و مسوولان مختلف بارها نسبت به ناایمن بودن مجموعه فناوری شهرداری و وجود حفرههای امنیتی در آن هشدار داده بودند.
علیاصغر قائمی، عضو شورای شهر پایتخت که زمانی مسوولیت سازمان فاوا را بر عهده داشت در واکنش به این حمله سایبری به تذکر سال گذشته خود در آبانماه اشاره کرده و گفت: آبان سال گذشته بعد از اتفاقی که برای کارت سوخت رخ داد، تذکری به شهرداری تهران مبنی بر اینکه باید برای حفاظت و امنیت اطلاعات شهرداری حساسیت بیشتری داشت، ارایه کردم. این حساسیت با ارتقای تجهیزات فنی و بهکارگیری نیروی انسانی متخصص و رصد مستمر سرویسها امکانپذیر است، چراکه سرویسها باید بهطور مداوم کنترل شوند. باید به صورت مداوم سطح امنیت افزایش پیدا کند.
وی اعلام کرد: آن زمان شهرداری پاسخی کاملا اداری در واکنش به تذکر من داد، هرچند تعهد کرده بود تا پایان سال 1400 اقدامات خوبی انجام دهد، اما در عمل این اتفاق هم رخ نداد!
سردار جلالی، رییس سازمان پدافند غیرعامل کشور، در واکنش به این حمله گفت: در سالهای 95 و 97 دو مانور روی شبکههای شهرداری تهران انجام شد و با مشخص شدن ضعفهای این سامانه، شهرداری در جریان قرار گرفت. حالا هم با توجه به وقوع این حمله هنوز فرصت نشده است بررسی کنیم که تا چه میزان اشکالات قبلی برطرف شده بود. به نظر میرسد بخش عمدهای از این مشکلات همچون گذشته به قوت خود باقی و برطرف نشده است.
این اظهارنظرها وقتی معنای بهتری پیدا میکند که متوجه شویم یکی از مدیران شهرداری مدتی قبل از این رخداد، نسبت به نفوذ به سیستم نرمافزاری شهرداری هشدار داده بوده است. نامهای که توسط برخی از رسانههای داخلی منتشر شده حکایت از آن دارد که مدیران شهرداری، یک ماه قبل از هک سیستمها از آن مطلع بودهاند.
در این نامه که به تاریخ 11 اردیبهشت 1401 و به امضای محمدرضا زارعلی، مدیرکل سابق امور مالی شهرداری تهران رسیده، به حراست شهرداری اطلاع داده شده که افرادی خارج از مجموعه، به شبکه اطلاعاتی شهرداری دسترسی پیدا کردهاند.
رد پای اجنبیها
دو هفته بعد از هک سایت شهرداری، چند خبرگزاری داخلی خبر از دستگیری یکی از عوامل خرابکار دخیل در این هک دادند. فردی که این سایتها مدعی شدند با سرویسهای خارجی در ارتباط بوده است.
ادعایی که رییس شورای شهر تهران نیز در سخنان خود آن را تایید کرده و گفت: هک شدن سیستمها و همچنین حمله سایبری با برنامه موساد و منافقین و تمام ضد انقلابها صورت گرفته شده است. به گفته مهدی چمران، مسوولان باید مواظب باشند و نقشه دشمن را برهم بزنند.
خسارت مالی حمله سایبری به شهرداری تهران
خسارت مالی قطعی و از مدار خارج شدن سایتهای شهرداری تهران، اما موضوع مهم دیگری است که هنوز ابعاد کاملی از آن ارایه نشده است، اما مسلم این است که بخشی از بودجه و درآمد شهرداری تهران به درآمدهای روزانهای وابسته است که محل دریافتی آن سامانههای این نهاد است.
با این حال نگاهی به اخباری که پیش از این در مورد درآمدهای شهرداری از محل فعالیت این سایتها داشته میتواند تا حدودی ابعاد مساله را بیشتر نمایان کند. معاون حملونقل و ترافیک شهرداری تهران سال گذشته گفته بود: «شهرداری از محل فروش طرح ترافیک روزانه یک تا 2 میلیارد درآمدزایی میکند.».
در اظهارنظر دیگری مدیر واحد ساماندهی محدودهها و طرحهای ترافیکی شهرداری تهران سال گذشته، میزان درآمد روزانه فروش طرح ترافیک را 3 میلیاردتومان اعلام کرده بود.
اگر همین مبالغ را ملاک بگیریم و آن را در کنار افزایش 25 درصدی هزینه خرید طرح ترافیک امسال قرار دهیم، به عدد میانگین 4 میلیاردتومان میرسیم که معادل درآمد روزانه شهرداری تهران از سامانه طرح ترافیک است. یعنی با احتساب سه روز تعطیل، از بعد از حمله سایبری تاکنون 16 میلیاردتومان خسارت از اختلال در سامانه طرح ترافیک به شهرداری تهران وارد شده است.
مجید فراهانی، عضو شورای شهر تهران نیز در سال 99 میزان درآمد روزانه شهرداری تهران از محل منابع مرتبط با سایتها را حدود 16 میلیاردتومان معرفی کرده و پیشبینی کرده بود به 25 میلیاردتومان خواهد رسید. رقمی که گفته میشود امسال به چیزی حدود 30 تا 40 میلیارد در روز رسیده باشد.
بدینترتیب میتوان گفت حمله سایبری و زمانبر شدن احیای سامانهها و شبکه شهرداری تهران فقط از این محل خسارتی حداقل 500 میلیارد تومانی را در کمتر از دو هفته به شهرداری پایتخت وارد کرده است. گرچه اگر خسارت دیگر همچون خسارت نیروی انسانی و سامانههای داخلی را نیز اضافه کنیم قطعا این ارقام بسیار بالاتر از اینها خواهد بود.
لو رفته یا نرفته؟
اما مهمترین نکتهای که در هک سیستمهای شهرداری مطرح است، موضوع سرقت یا پاک شدن اطلاعات شهروندان از بخشهای مختلف سایتهای تهران من، کنترل ترافیک، سایت و مرکز اطلاعات دفاتر خدمات الکترونیک و شهرسازی و... است.
به عنوان مثال، فقط در سایت اطلاعات قابل دسترس کارکنان معاونت شهرسازی و همچنین کارکنان دفاتر خدمات الکترونیک بیش از 3-2 میلیارد برگه از اسناد املاک و مستغلات شهروندان و سازمانها و ادارات به همراه مدارک هویتی مالکان آنها، به صورت اسکنشده نگهداری میشود.
پروندههایی که گفته میشود بعد از اسکن آنها، بخشهای زیادی از اسناد فیزیکی آنها به مرور از بین رفته و دیگر وجود خارجی ندارد. این مساله، یعنی چه سرقت اطلاعات و چه پاک شدن آنها میتواند به کابوسی برای شهرداری و به خصوص شهروندان بدل شود. کافی است تصور کنید که اگر سرقتی رخ داده باشد، چه حجمی از اطلاعات شخصی و خصوصی شهروندان هم اینک در اختیار هککنندگان است! گرچه در مورد پاک شدن اطلاعات این دغدغه بسیار کمتر است چرا که اصولا اطلاعات کاربردی شهروندان در چند سرور جداگانه نگهداری میشود. بنابراین حتی اگر این اطلاعات تماما هم پاک شود؛ میتوان دوباره آنها را بارگذاری کرد.
با این حال، اعضای شورای شهر و مدیران شهری مدعیاند که نه تنها حمله، حمله سادهای بوده است که در آن هیچ اطلاعاتی نیز سرقت نشده است. اما روایت احمد صادقی، عضو شورای شهر تهران و مسوول کمیته شفافسازی در این باره کمی محتاطانهتر است.
وی با ذکر اینکه بالاخره هر «حمله»ای با هدفی انجام میشود گفت: طبیعی است که این حمله یا با هدف آسیب زدن به زیر ساختهای شهرداری صورت گرفته یا برای خدشه دارکردن اعتبار آن یا با هدف سرقت اطلاعات شهروندان. (که البته آنهم به نوعی در جهت بیاعتبار کردن شهرداری است.)
این عضو شورا که اتفاقا اولین مدیری بود که بعد از حمله سایبری برای بازدید به سازمان فناوری رفته بود، در مورد حال و هوای آن روز کارکنان شهرداری در این مرکز گفت: مسلما شرایط، شرایط خوبی نبود. با این حال همه در تلاش بودند تا موضوع را به نوعی مدیریت کنند.
صادقی در خصوص ادعای برخی رسانهها که گفتهاند قبلا یکی از مدیران شهرداری موضوع نفوذ به سیستم شهرداری را گزارش کرده بوده که کسی به آن توجهی نکرده و در عوض بعد از هک شدن سایتها، وی را برکنار کردهاند نیز گفت: اصلا چنین چیزی صحت ندارد. اولا خود من هم وقتی در شهرداری مدیر بودم زمانی که به مورد مشکوکی برمیخوردم فوری آن را گزارش میکردم و برای مسوولان مربوطه میفرستادم. تا اولا بخشهای مربوطه را حساس کنم و اعلام کنم که خود من هم حواسم هست و ثانیا اگر ایرادی وجود دارد آن را برطرف کنند. بنابراین این یک رویه طبیعی در شهرداری و تمامی ارگانهای بزرگ دولتی و غیردولتی است.
وی افزود: اینکه میگویند فرد گزارشدهنده نیز به همین دلیل برکنار شده است اصلا درست نیست. اتفاقا فرد مذکور از همکاران خوب و توانمند و قدیمی ما در شهرداری است و هنوز هم در شهرداری خدمت میکند. منتهی بهطور طبیعی و بنابر صلاحدید مدیریتی، جابهجا شده است. ولی این به معنای اخراج یا تنبیه وی نیست.
مسوول کمیته شفافسازی شورای شهر در بخش دیگری از سخنان خود در پاسخ به این سوال که چرا فعال شدن سایتهای شهرداری حدود یکماه زمان برد؟ گفت: اولا حمله، حمله بزرگ و سنگینی بود و ثانیا، تعداد سایتهای شهرداری بسیار زیاد بود. این دو عامل باعث شده بود تا برطرف کردن مشکل همه سایتها و فعال کردن مجدد آنها حدود یک ماه زمان ببرد. گرچه از همان ابتدا و براساس اولویت چند سایت اصلی شهرداری دوباره به مدار برگشت و دوربینهای سطح شهر هم بعد از دو، سه روز مجددا فعال شد و بعد از آنهم به تدریج سایر سایتها کمکم فعال شدند.
این عضو شورای شهر همچنین به گزارشی که زاکانی در یکی از جلسات هماندیشی خود با اعضای شورا داشته خبر داده و گفت: شهردار تهران گزارشی از حادثه در آن جلسه ارایه کردند که تقریبا همان چیزهایی بود که شما هم شنیدهاید. وی در این گزارش اظهار کرد که برخی از عوامل این اقدام دستگیر شدهاند که براساس تحقیقات صورتگرفته گویا با سرویسهای جاسوسی خارجی در ارتباط بودهاند و همچنان هم بررسی این پرونده و بازجویی از این فرد ادامه دارد؛ و بالاخره اینکه آیا واقعا در این حمله سایبری اطلاعات شهروندان به سرقت رفته است؟
سوالی که صادقی در پاسخ به آن گفت: راستش هنوز مشخص نیست. دوستان در شهرداری میگویند اطلاعاتی سرقت نشده است. ولی برخی از کارشناسان هم معتقدند که هنوز نمیتوان با قاطعیت این مساله را رد کرد. چون به هر حال یکی از اهداف هر هکی میتواند سرقت اطلاعات باشد. بنابراین نمیتوان این احتمال را به کلی انکار کرد!
از میان اخبار