«اسنپ‌فود» لقمه چپ هکر‌ها شد!

وب‌گاه الف 1402/10/11 - 15:40 مشاهده در مرجع

دستگاه‌های اجرایی یا شرکت‌های خصوصی می‌توانند برای شناخت آسیب‌های خود از هکر‌های کلاه سفید استفاده کنند، آن‌ها می‌توانند برای پیشگیری از خطرات احتمالی از این دسته افراد استفاده و آسیب‌ها و به‌اصطلاح باگ‌های سامانه‌ها و نرم‌افزار‌ها را شناسایی و اعلام کنند، ولی در قبال آن باید به آن‌ها پاداش داده شود.

چرا امنیت سایبری در کشور ضعیف است؟ شاید این مهم‌ترین سؤال عصر فناوری است که هر چند وقت یک بار با خبری‌شدن هک و حمله سایبری مطرح می‌شود. این حملات گاهی گریبان شرکت‌های خصوصی و گاهی گریبان دستگاه‌های اجرایی را می‌گیرد. در جدیدترین حمله سایبری می‌توان به هک روز گذشته اسنپ‌فود و حمله سایبری به جایگاه سوخت که اخیراً اتفاق افتاد، اشاره کرد. در حمله به اسنپ‌فود اطلاعات بیش از 20میلیون کاربر شامل نام کاربری، پسورد، ایمیل، نام و نام خانوادگی، شماره موبایل، تاریخ تولد، اطلاعات بیش از 51میلیون آدرس کاربر شامل موقعیت GPS، آدرس کامل، شماره تلفن، اطلاعات بیش از 180میلیون دستگاه تلفن همراه شامل نوع و مدل دستگاه، پلتفرم، توکن و فروشگاه نصب برنامه از سکوی «اسنپ‌فود» هک شده است، البته چند ماه پیش هم حمله به «تپسی» و برای چندمین بار حمله به سازمان ثبت و احوال کشور هم خبرساز شد. باید گفت در تمام دنیا از این دست حملات رخ می‌دهد، چون تأمین امنیت نسبی است، ولی آنچه بحث حملات سایبری و هک‌ها را در کشور ما بغرنج می‌کند، نبود لایحه حفاظت از داده‌های کاربران، اطلاع‌رسانی‌نکردن درباره نحوه حمله برای جلوگیری از گستردگی حملات و استفاده از شیوه برای حمله به دیگر کسب‌وکار‌ها و دستگاه‌های اجرایی است. از سوی دیگر کسی در برابر حملات سایبری پاسخگو نیست و به دلیل رعایت‌نکردن حریم خصوصی و درز اطلاعات به پای میز محاکمه کشانده نمی‌شود، اما ریشه مشکلات کجاست؟

با هک و حملات سایبری اطلاعات میلیون‌ها شهروند لو می‌رود، این در حالی است که باید از آن‌ها به درستی حفاظت شود و این در کشور ما به چالش تبدیل شده است. در کشور ما بحث حفاظت از داده‌ها شکل جدی به خود نگرفته است. در این راستا نیاز به قانون «داده و حریم خصوصی» است که البته وزارت ارتباطات و فناوری اطلاعات لایحه‌ای را در این زمینه تنظیم و به مجلس ارسال کرده است و با این اقدام به دنبال حفاظت از داده‌های شخصی مردم در پلتفرم‌های داخلی است. به گفته وزیر ارتباطات و فناوری اطلاعات در حال حاضر سازوکار قانونی وجود دارد و بر اساس بخشنامه رئیس قوه قضائیه، داده‌ها و اطلاعات مردم در سکو‌های داخلی مشمول اصل25 قانون اساسی است که تأکید بر حفظ حریم خصوصی مردم دارد.

در همین راستا لایحه حریم خصوصی به مجلس ارائه شده است تا برای حفاظت از داده‌های مردم در پلتفرم‌های داخلی اقدام قانونی صورت گیرد. به نظر می‌رسد برای حفاظت از داده‌های مردم باید مجلس و دیگر نهاد‌ها کار را به صورت جدی پیگیری کنند.

ضعف در 3 بخش مهم رضا جباری، کارشناس امنیت سایبری به «جوان» می‌گوید: «در امنیت سایبری باید پیشگیری، اقدام و پیگیری در دستور کار بخش‌های امنیت سایبری هر دستگاه اجرایی و شرکت‌های خصوصی و کسب‌وکار‌ها قرار گیرد، اما این کار به معنای واقعی صورت نمی‌گیرد. در بخش پیشگیری باید نهاد‌های امنیت مانند آپا، ماهر و پدافند غیرعامل ورود کنند، اما به دلیل موازی‌کاری این بخش‌ها باهم عملاً در پیشگیری موفق نیستند.» به گفته جباری «اقدام‌های سریع در حوزه پیشگیری، یکسان‌سازی حداکثری تکنولوژی‌های مورد استفاده در دستگاه‌ها و شناسایی هر چه سریع‌تر نقاط آسیب‌پذیر و آنالیز ریسک کاربردی، اقدام برای کاهش ریسک به هر میزان ممکن با امکانات موجود از جمله کار‌های کاربردی است.»

این کارشناس اعتقاد دارد: «دستگاه‌های اجرایی یا شرکت‌های خصوصی می‌توانند برای شناخت آسیب‌های خود از هکر‌های کلاه سفید استفاده کنند، آن‌ها می‌توانند برای پیشگیری از خطرات احتمالی از این دسته افراد استفاده و آسیب‌ها و به‌اصطلاح باگ‌های سامانه‌ها و نرم‌افزار‌ها را شناسایی و اعلام کنند، ولی در قبال آن باید به آن‌ها پاداش داده شود.»

و‌ی می‌افزاید: «در بخش اقدام‌ها هم معمولاً در بخش‌های ساختاری و فنی مشکل وجود دارد، چون دستگاه‌های اجرایی رابطه خوبی با استخدام کارشناس امنیت ندارند. در بخش پیگیری رخداد هم وقتی بین‌المللی است، باید با ارتباطات بین‌المللی صورت بگیرد که به دلیل نبود متخصصان کافی در این زمینه با مشکل مواجه هستیم.»

پاسخگوکردن مدیران هک‌های زیادی در جهان اتفاق می‌افتد و امری اجتناب‌ناپذیر است ولی مدیران باید پاسخگو باشند، از این رو باید مدیرانی را برای دستگاه‌های حساس انتخاب کرد که درباره امنیت سایبری خیلی حساس باشند. به گفته این کارشناسان امنیت سایبری، نبود نهادبالادستی باعث شده است مدیران بعد از حملات سایبری پاسخگو نباشند.

علی کاظمی، دیگر کارشناس نیز به «جوان» می‌گوید: «رعایت اصول امنیتی به شکل دستورالعمل‌هاست و این دستورالعمل‌ها هم از سوی دستگاه‌ها رعایت نمی‌شود و برای رعایت‌نشدن دستورالعمل‌ها هم نهاد‌های مسئول به جز بانک مرکزی هیچ جریمه‌ای در نظر نمی‌گیرند.»

کاظمی می‌گوید: «بار‌ها گفته شده است برای حفاظت از اطلاعات کاربران باید قانون نوشته شود تا به‌صورت ریشه‌ای و قانونی حل و در برابر حملات سایبری و هک‌ها، مدیران دستگا‌ه‌های اجرایی و شرکت‌های خصوصی را ملزم به پاسخگویی کنند.» به گفته این کارشناس «باید رویکرد حاکمیت و دولت‌ها در زمینه انتخاب مدیران ارشد بخش‌های امنیت اطلاعات دستگاه‌ها هم تغییر کند و از افراد متخصص امنیت و فناوری استفاده شود تا بحث امنیت سایبری را جدی بگیرند.» وی می‌افزاید: «برای پاسخگوکردن مسئولان باید ناظر قدرتمند مبتنی بر قانون هم وجود داشته باشد و با اتکا بر قانون به او بگوید که چرا موارد امنیتی را رعایت نکرده است تا اطلاعات کاربران و شهروندان در معرض خطر حملات سایبری و هک قرار نگیرد.» به اعتقاد این کارشناس امنیت سایبری، اگر آسیب‌پذیری تا 48ساعت رفع نشود، مسئول مربوط باید به مقام قضایی معرفی شود و با وجود قانون، مدعی‌العموم می‌تواند ورود کند. به عنوان مثال اتحادیه اروپا با تکیه بر قانون دارای قدرت بالایی است و وقتی اطلاعات کاربران لو می‌رود، مدیران ارشد را به دادگاه می‌کشاند ولی آیا تاکنون در کشورمان شاهد برگزاری حتی یک دادگاه در زمینه لو رفتن اطلاعات شهروندان یا آسیب‌دیدن زیرساخت‌های حیاتی بوده‌ایم؟!»

به گفته کاظمی، امنیت صددرصدی نیست ولی هک از ساده‌ترین راه‌ها بخشودنی نیست و اگر در دیگر کشور‌ها مشخص شود هک‌ها و حملات سایبری از باگ‌های ساده روی داده است، با افراد خاطی برخورد جدی می‌شود.»

این کارشناس نبود نظارت را هم مهم می‌داند و می‌گوید: «مشکل دیگری که وجود دارد این است که وقتی حمله سایبری رخ می‌دهد، باید نهاد‌های مدنی مردم‌نهاد و مدعی‌العموم به این بحث‌ها ورود کنند که این اقدام صورت نمی‌گیرد.» به اعتقاد وی در کشور قوانین کافی هم وجود دارد ولی مطالبه‌گری وجود ندارد و در این زمینه باید نهاد‌های مدنی ورود کنند.

انتشار گزارش تخصصی حملات انتشار گزارش‌های هک بسیار مهم است چراکه مانع گسترش حملات سایبری می‌شود و تاکنون هر هک و حملات سایبری در کشور رخ داده، به گفته کارشناسان امنیت سایبری هیچ گزارش پیشگیرانه‌ای منتشر نشده و اگر هم گزارشی منتشر شده از سوی تیم‌های خارجی بوده است، اما در کشور ما چرا این دسته از گزارش‌ها منتشر نمی‌شود یا فقط به تأیید حمله یا تکذیب خلاصه می‌شود؟ کارشناسان اعتقاد دارند بخش امنیت دستگاه‌ها دانش کافی درباره کسب اطلاعات هک و حمله صورت گرفته ندارند که در این صورت می‌توانند با برون‌سپاری این گزارش را تهیه یا اینکه ارائه و گزارش اطلاعات را محرمانه تلقی کنند.

جباری در این باره می‌گوید: «در کل نباید صفر تا صد گزارش هم منتشر شود، چون همین موضوع خود باعث ناامنی می‌شود، ولی می‌توان گزارش مبتنی بر اصول خاص این رشته را رعایت و اطلاع‌رسانی کرد، چون انتشار گزارش حمله باعث می‌شود نوع بدافزار، نوع حمله، مکان حمله و نوع داده‌هایی که به آن حمله شده است، مشخص شود و همه سریع دست به کار شوند و به عبارتی از یک سوراخ چندبار گزیده نشوند.» وی می‌افزاید: «یک اصل وجود دارد و آن این است که 75درصد حملات در 24ساعت اول به اشتراک گذاشته می‌شود و اگر در این مدت جلوی حملات گرفته نشود، اینکه آن حملات یکسان به میزان 75درصد تکرار شوند، زیاد است.»

«امنیت سایبری» نیازمند یک متولی تکرار حملات سایبری در برخی کسب‌وکار‌های خصوصی و دولتی‌ها دیده می‌شود. سازمان هواپیمایی، راه و شهر‌سازی، ثبت و احوال و جایگاه سوخت حداقل دو بار مورد حملات سایبری قرار گرفته‌اند. تکرار حملات نشان می‌دهد پیگیری وجود ندارد. اگر مشکلات امنیت سایبری زیرساخت‌های حساس و حیاتی کشور یا دستگاه‌ها و سازمان‌ها با مانور یا هر روش دیگری شناسایی می‌شود، نباید تنها به هشدار‌ها بسنده کرد و باید تا آخرین لحظه بر پیگیری رفع ایراد‌های موجود مبنی بر وجود باگ، بدافزار و باج‌افزار تأکید کنند و تا رفع نشود دست از پیگیری برندارند. به نظر می‌رسد باید در اسناد امنیت سایبری بازنگری شود، شاید وجود نهاد‌های موازی کار را برای رسیدگی و نظارت دشوار کرده است، از این رو باید درخواست وزیر ارتباطات و فناوری اطلاعات مبنی بر داشتن یک متولی جدی‌تر گرفته شود. در آبان ماه سال96 شورای عالی فضای مجازی، نظام ملی پیشگیری و مقابله با حوادث فضای مجازی را تصویب کرد و این نظام مشخص‌کننده نهادهای متولی امنیت در حوزه‌های مختلف فضای مجازی از جمله فضای خصوصی و امنیت زیرساخت‌هاست، ولی به نظر می‌رسد سازوکار‌های آن اثربخش نبوده است، از این رو دیده می‌شود مدیران دولتی و حتی خصوصی درباره نشت اطلاعات احساس مسئولیت نمی‌کنند.

جمع‌بندی وجود نهادهای مختلف مانند پدافند غیرعامل، افتای ریاست جمهوری، مرکز ماهر وزارت ارتباطات، پلیس فتا و همچنین تفکیک وظایف عمودی این نهاد‌ها در سند «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» مصوب شورای عالی فضای مجازی گاه خود به ایجاد نوعی فضای رقابتی بین نهاد‌های مسئول و تقسیم ظرفیت آن‌ها منجر شده تا جایی که امکان همکاری و هم‌افزایی در این حوزه را به شدت کاهش داده است. تقسیم‌بندی دستگاه‌ها در سه حوزه حیاتی و حساس (افتای ریاست جمهوری)، سازمانی (مرکز مدیریت امداد و هماهنگی رخداد‌های رایانه‌ای - ماهر) و عمومی (پلیس فتا) از پنج حوزه کلی موجود دارای ضعف‌هایی است که باعث کاهش ضمانت اجرایی و اقدام مؤثر در زمان وقوع رخداد‌های سایبری می‌شود، نمونه بارز آن در حمله اخیر به سامانه سوخت مشاهده شد، از این رو مهم‌ترین مسئله در حال حاضر در حوزه امنیت، تدوین استراتژی ملی امنیت سایبری در کشور است. تکرار حملات سایبری به یک دستگاه نشان می‌دهد حتماً در سند نظام ملی پیشگیری و مقابله با حوادث فضای مجازی نواقصی وجود دارد که نتوانسته‌اند با حملات مقابله کنند.

منبع: روزنامه جوان