«اسنپفود» لقمه چپ هکرها شد!
دستگاههای اجرایی یا شرکتهای خصوصی میتوانند برای شناخت آسیبهای خود از هکرهای کلاه سفید استفاده کنند، آنها میتوانند برای پیشگیری از خطرات احتمالی از این دسته افراد استفاده و آسیبها و بهاصطلاح باگهای سامانهها و نرمافزارها را شناسایی و اعلام کنند، ولی در قبال آن باید به آنها پاداش داده شود.
چرا امنیت سایبری در کشور ضعیف است؟ شاید این مهمترین سؤال عصر فناوری است که هر چند وقت یک بار با خبریشدن هک و حمله سایبری مطرح میشود. این حملات گاهی گریبان شرکتهای خصوصی و گاهی گریبان دستگاههای اجرایی را میگیرد. در جدیدترین حمله سایبری میتوان به هک روز گذشته اسنپفود و حمله سایبری به جایگاه سوخت که اخیراً اتفاق افتاد، اشاره کرد. در حمله به اسنپفود اطلاعات بیش از 20میلیون کاربر شامل نام کاربری، پسورد، ایمیل، نام و نام خانوادگی، شماره موبایل، تاریخ تولد، اطلاعات بیش از 51میلیون آدرس کاربر شامل موقعیت GPS، آدرس کامل، شماره تلفن، اطلاعات بیش از 180میلیون دستگاه تلفن همراه شامل نوع و مدل دستگاه، پلتفرم، توکن و فروشگاه نصب برنامه از سکوی «اسنپفود» هک شده است، البته چند ماه پیش هم حمله به «تپسی» و برای چندمین بار حمله به سازمان ثبت و احوال کشور هم خبرساز شد. باید گفت در تمام دنیا از این دست حملات رخ میدهد، چون تأمین امنیت نسبی است، ولی آنچه بحث حملات سایبری و هکها را در کشور ما بغرنج میکند، نبود لایحه حفاظت از دادههای کاربران، اطلاعرسانینکردن درباره نحوه حمله برای جلوگیری از گستردگی حملات و استفاده از شیوه برای حمله به دیگر کسبوکارها و دستگاههای اجرایی است. از سوی دیگر کسی در برابر حملات سایبری پاسخگو نیست و به دلیل رعایتنکردن حریم خصوصی و درز اطلاعات به پای میز محاکمه کشانده نمیشود، اما ریشه مشکلات کجاست؟
با هک و حملات سایبری اطلاعات میلیونها شهروند لو میرود، این در حالی است که باید از آنها به درستی حفاظت شود و این در کشور ما به چالش تبدیل شده است. در کشور ما بحث حفاظت از دادهها شکل جدی به خود نگرفته است. در این راستا نیاز به قانون «داده و حریم خصوصی» است که البته وزارت ارتباطات و فناوری اطلاعات لایحهای را در این زمینه تنظیم و به مجلس ارسال کرده است و با این اقدام به دنبال حفاظت از دادههای شخصی مردم در پلتفرمهای داخلی است. به گفته وزیر ارتباطات و فناوری اطلاعات در حال حاضر سازوکار قانونی وجود دارد و بر اساس بخشنامه رئیس قوه قضائیه، دادهها و اطلاعات مردم در سکوهای داخلی مشمول اصل25 قانون اساسی است که تأکید بر حفظ حریم خصوصی مردم دارد.
در همین راستا لایحه حریم خصوصی به مجلس ارائه شده است تا برای حفاظت از دادههای مردم در پلتفرمهای داخلی اقدام قانونی صورت گیرد. به نظر میرسد برای حفاظت از دادههای مردم باید مجلس و دیگر نهادها کار را به صورت جدی پیگیری کنند.
ضعف در 3 بخش مهم رضا جباری، کارشناس امنیت سایبری به «جوان» میگوید: «در امنیت سایبری باید پیشگیری، اقدام و پیگیری در دستور کار بخشهای امنیت سایبری هر دستگاه اجرایی و شرکتهای خصوصی و کسبوکارها قرار گیرد، اما این کار به معنای واقعی صورت نمیگیرد. در بخش پیشگیری باید نهادهای امنیت مانند آپا، ماهر و پدافند غیرعامل ورود کنند، اما به دلیل موازیکاری این بخشها باهم عملاً در پیشگیری موفق نیستند.» به گفته جباری «اقدامهای سریع در حوزه پیشگیری، یکسانسازی حداکثری تکنولوژیهای مورد استفاده در دستگاهها و شناسایی هر چه سریعتر نقاط آسیبپذیر و آنالیز ریسک کاربردی، اقدام برای کاهش ریسک به هر میزان ممکن با امکانات موجود از جمله کارهای کاربردی است.»
این کارشناس اعتقاد دارد: «دستگاههای اجرایی یا شرکتهای خصوصی میتوانند برای شناخت آسیبهای خود از هکرهای کلاه سفید استفاده کنند، آنها میتوانند برای پیشگیری از خطرات احتمالی از این دسته افراد استفاده و آسیبها و بهاصطلاح باگهای سامانهها و نرمافزارها را شناسایی و اعلام کنند، ولی در قبال آن باید به آنها پاداش داده شود.»
وی میافزاید: «در بخش اقدامها هم معمولاً در بخشهای ساختاری و فنی مشکل وجود دارد، چون دستگاههای اجرایی رابطه خوبی با استخدام کارشناس امنیت ندارند. در بخش پیگیری رخداد هم وقتی بینالمللی است، باید با ارتباطات بینالمللی صورت بگیرد که به دلیل نبود متخصصان کافی در این زمینه با مشکل مواجه هستیم.»
پاسخگوکردن مدیران هکهای زیادی در جهان اتفاق میافتد و امری اجتنابناپذیر است ولی مدیران باید پاسخگو باشند، از این رو باید مدیرانی را برای دستگاههای حساس انتخاب کرد که درباره امنیت سایبری خیلی حساس باشند. به گفته این کارشناسان امنیت سایبری، نبود نهادبالادستی باعث شده است مدیران بعد از حملات سایبری پاسخگو نباشند.
علی کاظمی، دیگر کارشناس نیز به «جوان» میگوید: «رعایت اصول امنیتی به شکل دستورالعملهاست و این دستورالعملها هم از سوی دستگاهها رعایت نمیشود و برای رعایتنشدن دستورالعملها هم نهادهای مسئول به جز بانک مرکزی هیچ جریمهای در نظر نمیگیرند.»
کاظمی میگوید: «بارها گفته شده است برای حفاظت از اطلاعات کاربران باید قانون نوشته شود تا بهصورت ریشهای و قانونی حل و در برابر حملات سایبری و هکها، مدیران دستگاههای اجرایی و شرکتهای خصوصی را ملزم به پاسخگویی کنند.» به گفته این کارشناس «باید رویکرد حاکمیت و دولتها در زمینه انتخاب مدیران ارشد بخشهای امنیت اطلاعات دستگاهها هم تغییر کند و از افراد متخصص امنیت و فناوری استفاده شود تا بحث امنیت سایبری را جدی بگیرند.» وی میافزاید: «برای پاسخگوکردن مسئولان باید ناظر قدرتمند مبتنی بر قانون هم وجود داشته باشد و با اتکا بر قانون به او بگوید که چرا موارد امنیتی را رعایت نکرده است تا اطلاعات کاربران و شهروندان در معرض خطر حملات سایبری و هک قرار نگیرد.» به اعتقاد این کارشناس امنیت سایبری، اگر آسیبپذیری تا 48ساعت رفع نشود، مسئول مربوط باید به مقام قضایی معرفی شود و با وجود قانون، مدعیالعموم میتواند ورود کند. به عنوان مثال اتحادیه اروپا با تکیه بر قانون دارای قدرت بالایی است و وقتی اطلاعات کاربران لو میرود، مدیران ارشد را به دادگاه میکشاند ولی آیا تاکنون در کشورمان شاهد برگزاری حتی یک دادگاه در زمینه لو رفتن اطلاعات شهروندان یا آسیبدیدن زیرساختهای حیاتی بودهایم؟!»
به گفته کاظمی، امنیت صددرصدی نیست ولی هک از سادهترین راهها بخشودنی نیست و اگر در دیگر کشورها مشخص شود هکها و حملات سایبری از باگهای ساده روی داده است، با افراد خاطی برخورد جدی میشود.»
این کارشناس نبود نظارت را هم مهم میداند و میگوید: «مشکل دیگری که وجود دارد این است که وقتی حمله سایبری رخ میدهد، باید نهادهای مدنی مردمنهاد و مدعیالعموم به این بحثها ورود کنند که این اقدام صورت نمیگیرد.» به اعتقاد وی در کشور قوانین کافی هم وجود دارد ولی مطالبهگری وجود ندارد و در این زمینه باید نهادهای مدنی ورود کنند.
انتشار گزارش تخصصی حملات انتشار گزارشهای هک بسیار مهم است چراکه مانع گسترش حملات سایبری میشود و تاکنون هر هک و حملات سایبری در کشور رخ داده، به گفته کارشناسان امنیت سایبری هیچ گزارش پیشگیرانهای منتشر نشده و اگر هم گزارشی منتشر شده از سوی تیمهای خارجی بوده است، اما در کشور ما چرا این دسته از گزارشها منتشر نمیشود یا فقط به تأیید حمله یا تکذیب خلاصه میشود؟ کارشناسان اعتقاد دارند بخش امنیت دستگاهها دانش کافی درباره کسب اطلاعات هک و حمله صورت گرفته ندارند که در این صورت میتوانند با برونسپاری این گزارش را تهیه یا اینکه ارائه و گزارش اطلاعات را محرمانه تلقی کنند.
جباری در این باره میگوید: «در کل نباید صفر تا صد گزارش هم منتشر شود، چون همین موضوع خود باعث ناامنی میشود، ولی میتوان گزارش مبتنی بر اصول خاص این رشته را رعایت و اطلاعرسانی کرد، چون انتشار گزارش حمله باعث میشود نوع بدافزار، نوع حمله، مکان حمله و نوع دادههایی که به آن حمله شده است، مشخص شود و همه سریع دست به کار شوند و به عبارتی از یک سوراخ چندبار گزیده نشوند.» وی میافزاید: «یک اصل وجود دارد و آن این است که 75درصد حملات در 24ساعت اول به اشتراک گذاشته میشود و اگر در این مدت جلوی حملات گرفته نشود، اینکه آن حملات یکسان به میزان 75درصد تکرار شوند، زیاد است.»
«امنیت سایبری» نیازمند یک متولی تکرار حملات سایبری در برخی کسبوکارهای خصوصی و دولتیها دیده میشود. سازمان هواپیمایی، راه و شهرسازی، ثبت و احوال و جایگاه سوخت حداقل دو بار مورد حملات سایبری قرار گرفتهاند. تکرار حملات نشان میدهد پیگیری وجود ندارد. اگر مشکلات امنیت سایبری زیرساختهای حساس و حیاتی کشور یا دستگاهها و سازمانها با مانور یا هر روش دیگری شناسایی میشود، نباید تنها به هشدارها بسنده کرد و باید تا آخرین لحظه بر پیگیری رفع ایرادهای موجود مبنی بر وجود باگ، بدافزار و باجافزار تأکید کنند و تا رفع نشود دست از پیگیری برندارند. به نظر میرسد باید در اسناد امنیت سایبری بازنگری شود، شاید وجود نهادهای موازی کار را برای رسیدگی و نظارت دشوار کرده است، از این رو باید درخواست وزیر ارتباطات و فناوری اطلاعات مبنی بر داشتن یک متولی جدیتر گرفته شود. در آبان ماه سال96 شورای عالی فضای مجازی، نظام ملی پیشگیری و مقابله با حوادث فضای مجازی را تصویب کرد و این نظام مشخصکننده نهادهای متولی امنیت در حوزههای مختلف فضای مجازی از جمله فضای خصوصی و امنیت زیرساختهاست، ولی به نظر میرسد سازوکارهای آن اثربخش نبوده است، از این رو دیده میشود مدیران دولتی و حتی خصوصی درباره نشت اطلاعات احساس مسئولیت نمیکنند.
جمعبندی وجود نهادهای مختلف مانند پدافند غیرعامل، افتای ریاست جمهوری، مرکز ماهر وزارت ارتباطات، پلیس فتا و همچنین تفکیک وظایف عمودی این نهادها در سند «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» مصوب شورای عالی فضای مجازی گاه خود به ایجاد نوعی فضای رقابتی بین نهادهای مسئول و تقسیم ظرفیت آنها منجر شده تا جایی که امکان همکاری و همافزایی در این حوزه را به شدت کاهش داده است. تقسیمبندی دستگاهها در سه حوزه حیاتی و حساس (افتای ریاست جمهوری)، سازمانی (مرکز مدیریت امداد و هماهنگی رخدادهای رایانهای - ماهر) و عمومی (پلیس فتا) از پنج حوزه کلی موجود دارای ضعفهایی است که باعث کاهش ضمانت اجرایی و اقدام مؤثر در زمان وقوع رخدادهای سایبری میشود، نمونه بارز آن در حمله اخیر به سامانه سوخت مشاهده شد، از این رو مهمترین مسئله در حال حاضر در حوزه امنیت، تدوین استراتژی ملی امنیت سایبری در کشور است. تکرار حملات سایبری به یک دستگاه نشان میدهد حتماً در سند نظام ملی پیشگیری و مقابله با حوادث فضای مجازی نواقصی وجود دارد که نتوانستهاند با حملات مقابله کنند.
منبع: روزنامه جوان