نگاهی به هکهای گسترده سامانههای دولتی و خصوصی در ایران
چاله امنیت دادههای اینترنتی
در ابتدای اسفند ۱۴۰۲ یک گروه هکری با نام «عدالت علی» مدعی شد با نفوذ به پایگاههای داده دستگاه قضا در ایران، به اطلاعات میلیونها پرونده قضائی دسترسی پیدا کرده است. بخشی از این اطلاعات در حال حاضر در وبسایت این گروه هکری در دسترس قرار گرفته و به راحتی میشود به کد ملی، شمار موبایل و جزئیات پروندههای شهروندان ایرانی دسترسی پیدا کرد.
سامان موحدیراد: در ابتدای اسفند ۱۴۰۲ یک گروه هکری با نام «عدالت علی» مدعی شد با نفوذ به پایگاههای داده دستگاه قضا در ایران، به اطلاعات میلیونها پرونده قضائی دسترسی پیدا کرده است. بخشی از این اطلاعات در حال حاضر در وبسایت این گروه هکری در دسترس قرار گرفته و به راحتی میشود به کد ملی، شمار موبایل و جزئیات پروندههای شهروندان ایرانی دسترسی پیدا کرد. این یکی از چندین و چند مورد هک گستردهای است که تنها در یک سال اخیر صورت میگیرد. چند ماه پیش یک گروه هکری اطلاعات اسنپفود را هک کرده بود و قبل از آن هم سامانه سوخت، پایگاه داده یکی از بانکها، سازمان ثبت احوال و همچنین پلتفرم تپسی به چنین سرنوشتی دچار شده بودند. این بهجز اتفاقاتی است که هر چند ماه رخ میدهد و مثلا پایگاه داده خبرگزاری فارس یا خانه ملت هک میشود. صورتمسئله رویدادهای کنونی ساده است: به دلیل خلأهای امنیت سایبری، دسترسی به اطلاعات شهروندان امکان پذیر است.
انگیزه هکرها و واکنش نهادهای مورد حمله
گروه عدالت علی که مدعی است اسناد قضائی را هک کرده، یک گروه هکتیویست با انگیزههای سیاسی و اجتماعی است. نام این گروه اولینبار با ماجرای هک دوربینهای زندان اوین و پخش تصاویری از داخل این زندان بر سر زبانها افتاد. ماجرایی که چنان سروصدایی به پا کرد که منجر به عذرخواهی محمدمهدی حاجمحمدی، رئیس وقت سازمان زندانها شد. اگرچه او کمی بعد از این عذرخواهی صندلی ریاستش را از دست داد اما میتوان این واکنش را گواهی بر شکلگیری چالشی دانست که بعد از این اتفاق ایجاد شد. گروه عدالت علی از سال ۱۴۰۰ و بعد از انتشار تصاویر دوربینهای مداربسته زندان اوین تاکنون در چندین و چند پرونده اسناد مختلفی را منتشر کرده است. اما شاید مهمترین موضوعی که این گروه هکری در یک سال اخیر به نام خود ثبت کرده، ادعای دسترسی به میلیونها پرونده قضائی است که بخشهایی از آن را در وبسایتش در معرض دید عموم قرار داده است. پیش از هک قوه قضائیه اما یک هک گسترده در بخش خصوصی و با انگیزههای کاملا مالی صورت گرفته بود. یک گروه هکری مدعی شده بود به اطلاعات ۲۰ میلیون کاربر اسنپفود دسترسی پیدا کرده است و در نهایت با مذاکره با مدیران اسنپفود و دریافت پول از افشای اطلاعات خودداری کرده بود. مقایسه اتفاقاتی که در این دو ماه برای اسنپفود و قوه قضائیه رخ داده، نشان میدهد واکنش بخش خصوصی مطابق انتظار از بخشهای حاکمیتی به چنین اتفاقاتی واضحتر و روشنتر است. نخست اینکه در همان ساعات اولیه انتشار خبر هک اسنپفود، پلیس فتا اعلام کرد کارشناسانش در دفتر این استارتآپ حاضر شدهاند و در حال بررسی امور هستند. دیگر اینکه روابطعمومی اسنپفود در بیانیهای ضمن تأیید اتفاق رخداده از تلاشها برای حل مشکل خبر داد. چنین رفتاری را در چند سال گذشته وقتی یک نهاد رسمی مورد حمله قرار میگیرد، شاهد نیستیم و اغلب تنها تکذیب اطلاعات را شاهد هستیم در حالی که به راحتی با بررسی اطلاعات منتشرشده میتوان فهمید که این اتفاق رخ داده یا خیر. در این میان شاید انگیزه هکرها هم در واکنش سازمانها مؤثر باشد. شاید اسنپفود با هکری که انگیزههای مالی داشت راحتتر کنار آمده تا خبرگزاری فارس و قوه قضائیه با هکری که انگیزههای سیاسی دارد و به همین دلیل در اکثر موارد حملههای رخداده را تکذیب میکنند.
واکنش قوه قضائیه به هک اسناد قضائی
اگرچه در شبکههای اجتماعی کاربران جستوجوگری در حال بررسی اطلاعات منتشرشده از سوی گروه هکری عدالت علی هستند و جزئیات اسناد را بررسی میکنند، در روایت رسمی واکنش چندانی به این اتفاق نشان داده نشده است. تنها خبرگزاری میزان، وابسته به قوه قضائی در واکنش به انتشار این اسناد نوشت: «در روزهای اخیر یک گروه هکری ادعا کرده است که موفق به هک سامانههای مربوط به قوه قضائیه و انتشار اسناد و مدارک شده است. نگاهی به فایلهای منتشرشده نشان میدهد بسیاری از این اسناد، نامههای اداری مجعول و ساختگی و حتی قدیمی هستند که پیشتر در فضای مجازی منتشر شده بود و مجددا بازنشر شدهاند. شاهد این ادعا انتشار نامهای جعلی منتسب به پرونده نیکا شاکرمی از سوی رئیس پزشکی قانونی کشور است. این نامه جعلی پیشتر از سوی گروه هکری که این روزها ادعا کرده است به اسناد قوه قضائیه دسترسی پیدا کرده، در شهریورماه سال جاری نیز منتشر شده بود. بنا بر اعلام روابطعمومی سازمان پزشکی قانونی کشور «اساسا چنین نامهای وجود خارجی نداشته است». چنانچه از محتوای این متن جعلی کاملا هویداست، فایل منتشرشده فاقد الزامات اولیه نامههای صادره اداری بوده و صرفا یک متن تایپشده با شماره جعلی و غیرمنطبق با قالب شمارهنامههای سازمان پزشکی قانونی کشور است و بدون رعایت برخی چارچوبهای محتوایی و حتی ظاهری که در مکاتبات رؤسای دستگاهها مورد توجه قرار میگیرد، تنظیم شده است. به موارد ذکرشده این نکته را نیز باید افزود که جاعل یا جاعلین زحمت مراجعه به تقویم را هم به خود نداده و روز تعطیل رسمی را برای صدور نامه برگزیدهاند!». روابطعمومی پزشکی قانونی اضافه کرده است: «نامههایی با طبقهبندی مورد ادعا (خیلی محرمانه) در فایل منتشرشده، اساسا به صورت خارج از شبکه اتوماسیون مکاتبات اداری و به صورت دستی تهیه و ارسال میشود و ادعای دستیابی به فایلهای مذکور از طریق هکنمودن شبکه یا طرق مشابه نیز با توجه به رویه جاری قطعا دروغ و غیرواقعی است».
دولت الکترونیک و سامانههای گسترده با امنیت پایین
بیش از یک دهه است که در ایران از دولت الکترونیک صحبت میشود و رونمایی هفتگی و ماهانه از سامانههای جدید هم نشان میدهد که دولت به دولت، دولتمردان ایرانی علاقه بیشتری به «راهاندازی سامانه» داشته و دارند. اما چیزی که در این سالها بهویژه از شروع هکهای گسترده در سال ۱۴۰۰ خودش را نشان داده، مسئله ضعف امنیت این سامانهها و پایگاههای داده است. دولتها همانطور که شهروندان را مجبور به استفاده از سامانههای برخط میکنند، باید وظیفه حفاظت از دادههای آنها را هم بر عهده بگیرند. اما اکنون و با شروع هکهای گسترده مشخص شده که چندان تلاشی در این زمینه صورت نگرفته و یک بیتفاوتی نسبت به امنیت پایگاههای داده در ایران وجود دارد. مرضیه ادهم، پژوهشگر سیاستگذاری اینترنت، در این زمینه به «شرق» میگوید: یکی از وظایف حکمرانی، موضوع امنیت اطلاعات و حفاظت از دادههای شهروندان است. جالب است در زمانی که طرح صیانت در جریان بود و درباره آن بحث میشد موافقانش بارها و بارها اعلام میکردند که به دلیل حفاظت از دادههای شهروندان باید این طرح اجرا شود و قرارگرفتن اطلاعات کاربران ایرانی از طریق پلتفرمهای خارجی در دست کشورهای دیگر میتواند آسیبزا باشد. جالب است که حالا میبینیم همین افراد در سامانههای داخلی که بعضا هم دولتی هستند، نمیتوانند از دادههای شهروندان ایرانی محافظت کنند و هر چند ماه یک بار شاهد هک گسترده اطلاعات یک سامانه و پایگاه داده هستیم. خانم ادهم در بخش دیگری از صحبتهایش میگوید: از زمانی که موج هکهای گسترده در یکی، دو سال اخیر در ایران آغاز شد، بسیاری از فعالان عرصه اینترنت و کارشناسان امنیت آیتی این پرسش را مطرح میکردند که چرا تا به این حد امنیت پایگاههای داده در ایران پایین است. وضعیت ضعیف زیرساختهای امنیتی پایگاههای داده در ایران و ضعفهای فنی و امنیتی در این سالها چنان مشهود بود که بارها از سوی این کنشگران گوشزد میشد اما کسی توجه نمیکرد. برای نمونه برخی پروتکلهای لازم در این زمینه میبایست از سوی سازمان پدافند غیرعامل تدوین میشد که چنین نشده و حتی بدیهیترین قوانین حفاظت از دادهها هم مورد توجه قرار نمیگیرد. مقایسه این ضعفها و بهانههایی که طرفداران طرحی همچون صیانت که آن را تلاشی برای حفاظت از دادههای کاربران میدانند میآورند، نشان میدهد که این ادعاها تنها توجیههایی برای مواجهه با عرصه اینترنت بود و اگر نه میبینیم که از نظر زیرساختی هیچ اقدامی در این زمینه صورت نگرفته است؛ چراکه پرونده هک آخر که در قوه قضائیه صورت گرفته هم نشان میدهد که ابتداییترین الفبای رعایت حفاظت از دادههای شهروندان رعایت نشده است. این پژوهشگر عرصه اینترنت درباره وضعیت دولت الکترونیک در ایران نیز میگوید: اگر یک حکمرانی چشماندازش راهاندازی دولت الکترونیک است، باید یکسری اصول ابتدای را رعایت کند که حفاظت از دادههای شهروندان اولین و مهمترین آنهاست. در این سه سال، این موج از هکهای گسترده اصلا طبیعی نیست و میتوانیم بگوییم که هیچ برنامه و ساختاری برای بحث امنیت دادهها وجود نداشته است. خدمات دولتی باید یکسری استانداردها را از نظر امنیتی رعایت کنند. در مباحثی که در این مدت از سوی کارشناسان مسائل امنیتی بیان شده، میبینیم که بسیاری از راههای پشتیبانی و پیشگیری از سوی بسیاری از این سامانهها و پایگاههای داده رعایت نشده است. مثلا در همه جای دنیا آن بخش از خدمات اینترنتی که مرتبط است با خدمات دولت الکترونیک، با مواردی همچون احراز هویت، درج اطلاعات شهروندی و مسائلی از این دست همراه است. در همه جای دنیا این بخش از خدمات سامانههای دولتی با پروتکلهای ویژهای در دسترس است و اغلب هم از اینترنت داخلی و ملی برای آن بهره میبرند. اما این سطح از امنیت چیزی نیست که ما در ایران و در ادارات خود ببینیم. مورد دیگر این است که هکهای زیادی در ایران رخ داد که حالا مهمترین آن هک قوه قضائیه است. دیدیم که در این سه سال هکهای بزرگ و کوچک زیادی رخ داده اما متأسفانه با توجه به افزایش تعداد این حملهها ما شاهد این نبودیم که تغییر خاصی در امنیت سایبری سامانهها در ایران رخ بدهد.
مرضیه ادهم در بخش دیگری از صحبتهایش به «شرق» میگوید: در حال حاضر بخشنامهها، مصوبات و لوایحی که مرتبط با فیلترینگ و محدودکردن دسترسی شهروندان به اینترنت هستند، خیلی بیشتر از بخشنامه و مصوبه برای بالابردن امنیت شبکه و حفاظت از دادههاست. حتی اگر به دستورالعملهای پدافند غیرعامل هم مراجعه کنید، میبینید که هیچ پروتکل مشخصی وجود ندارد و خیلی کلی به آن پرداختهاند، در حالی که چنین مواردی بحرانهای درجه بالا محسوب میشوند ولی ما پروتکل مشخصی برای آن نداریم. اگر از سال ۱۴۰۰ که آغاز این هکها بود به این مسئله توجه میشد، شاید اکنون شاهد این اتفاقات نبودیم.
فیلترشکنها و بدافزارها و فرصت هکهای بیشتر
از سال ۱۴۰۰ که موج هکهای گسترده شروع شد، میبینیم که هکرها پله به پله پیش آمدهاند و پروژه به پروژه بزرگتر شدهاند. از مرضیه ادهم دراینباره پرسیدیم که افزایش تعداد هکها در ایران به چه دلیلی است؟ آیا ما در ایران دانش فنی لازم را نداریم یا اساسا برای نهادهای اجرائی این مسئله اهمیتی ندارد که برای آن فکری نکردند؟ این پژوهشگر اینترنت در این زمینه به «شرق» میگوید: به این مسئله باید از چند زاویه نگاه کرد. نخست اینکه در ایران وجود بدافزار و فیلترشکن خیلی رایج است و سطح امنیت و حفاظت از داده بسیار پایین آمده است. برای همین اساسا افراد به عنوان استفادهکننده معمولی اینترنت هیچگونه حساسیتی نسبت به حفاظت از دادههایشان ندارند. نمونهاش همین هکهای اخیر که اگر شما به مردم بگویید که مثلا هک گسترده قضائی میتواند به چه حجم بزرگی از فیشینگ و کلاهبرداری منجر شود برای بیشتر مردم چندان ملموس، قابل درک یا مهم نیست چون چندان این مسئله به آنها آموزش داده نشده و از سوی دیگر گوشیها و ابزارهای الکترونیک شهروندان هم سرشار از بدافزار و آلودگی است. این یک وجه ماجراست که به رفتار مردم در این زمینه مربوط است. در سمت مقابل که دولت است، میبینیم بحث بزرگی مطرح میشود که میخواهیم به دلیل امنیت داده شهروندان دیوار بزرگی روی اینترنت بکشیم، اما در عمل میبینیم که بدیهیات رعایت امنیت شهروندان را هم رعایت نکردند و گواه آن هم همین هکهای گسترده است. از سوی دیگر مهاجرت کارشناسان و نخبگان هم بیتأثیر نیست. به هر حال ما میبینیم که ایرانیهای زیادی مسئول امنیت شبکه شرکتهای معتبر دنیا هستند که نشان میدهد ما دانش فنی این مسئله را داریم اما به دلیل مهاجرتها این نیروهای توانمند را از دست دادهایم.