امنیت دست چندم زیر سایه نگاه غیر علمی

گنجشک‌های درنده؛نه تأیید نه تکذیب

اختلال گسترده در جایگاه‌های سوخت، در ساعات اولیه روز 27 آذر احتمال حمله سایبری دوباره را قوت بخشید. همزمان جلیل سالاری، معاون وزیر نفت اعلام کرد 60 درصد جایگاه‌ها با چالش کارت‌خوان‌های سوخت مواجه و از خدمت خارج شده‌اند. خیلی زود یک گروه هکری به نام «گنجشک درنده» مسئولیت این اختلال را برعهده گرفت، گروه هکری که گفته می‌شود به اسرائیل مرتبط است و مسئولیت هک پمپ‌بنزین‌ها سال 1400 را هم برعهده گرفته‌بودند. مسئولان ذی‌ربط از جمله مدیر عامل شرکت پالایش و پخش فرآورده‌های نفتی اعلام کردند به دلیل آفلاین بودن سامانه، امکان هک خارج از شبکه وجود ندارد اما زمانی که افراد به جایگاه می‌رفتند امکان پرداخت با درگاه بانک ملت وجود نداشت. به همین دلیل اخباری مبنی بر هک شبکه بانکی ملت نیز منتشر و البته خیلی زود تکذیب شد. مسئولان نفتی این حمله را از سوی «دشمنان» و متوجه درگاه پرداخت توصیف کردند اما سازمان پدافند غیرعامل «حمله سایبری» را ساعاتی بعد از رخداد نه تأیید می‌کرد و نه تکذیب. رویه‌ای که در حوادث مشابه، اغلب اتفاق افتاده‌بود.

سازمان مورد نظر در حال پیگیری است ... 

تقریبا یک هفته پس از این اختلال سردار غلامرضا جلالی، رئیس سازمان پدافند غیرعامل، در جریان یک سخنرانی توضیح داد که پس از حمله سال 1400 «نقشه‌های اجرایی و برنامه امن‌سازی اضطراری و مصون‌سازی در سامانه سوخت» اجرایی شده‌است. او همچنین تاکید کرد: «پس از اجرا با نظارت و کنترل سازمان پدافند غیرعامل در این حوزه شاهد ضعف‌ها و اشکالاتی بودیم که مجدداً برای رفع و تکمیل این ضعف‌ها و نقایص تذکر داده شد.» نقایصی که احتمالا باعث رخداد حمله سال 1402 شده‌است. جلالی همچنین در این سخنرانی که دوم دی انجام شد، توضیح داد: «در یکی از شبکه‌های دریافت و پرداخت آسیب‌پذیری وجود داشت که در حال پیگیری امنیتی هستیم»

 نفوذ چند لایه و پیگیری‌های بی‌نتیجه؟! 

آبان‌ ۱۴۰۰ برای نخستین‌بار سامانهٔ کارت‌های هوشمند سوخت به دلیل حملهٔ سایبری قطع شد. همان زمان رئیس سازمان پدافند غیرعامل عامل اصلی را به دلیل «نفوذ» خواند و توضیح داد: «وقتی عناصر حمله را کنار هم گذاشتیم، دیدیم این عناصر به مدل خاصی کنار هم ترکیب شده‌اند و هدف یکپارچه‌ای را دنبال می‌کنند. وقتی جمع‌بندی کردیم، دیدیم یک لایهٔ این حمله لایهٔ نفوذ است. چه نفوذ فردی، به‌علت بی‌توجهی و کم‌توجهی یا نفوذ شبکه‌ای. ...» علی‌رغم ادعای رئیس سازمان پدافند غیرعامل مبنی بر انجام بررسی‌ها و پیگیری‌ها، دو سال بعد اتفاق باز هم تکرار شده‌است. گرچه در طول این 2 سال فقط جایگاه‌های سوخت هدف حمله نبوده و بارها شاهد حملات سایبری بوده‌ایم.

 فهرست بلند بالای حملات سایبری

 آبان سال 1400، گروه هکری گنجشک درنده برای اولین بار باعث اختلال در جایگاه‌های سوخت‌رسانی شد. اما جایگاه‌های سوخت و این گروه هکری تنها بخشی از فهرست بلند بالای حملات سایبری هستند که اتفاقا در دو سال گذشته شدت گرفته‌است. هک دوربین‌های زندان اوین در مرداد همان سال از سوی گروه هکری «عدالت علی»، پخش تصویر مریم و مسعود رجوی از شبکه یک، دستکاری در برنامه‌های تلوبیون و هک دوربین‌های زندان قزلحصار در بهمن 1400 انجام شد. فهرست حملات سایبری در 1401 طولانی‌تر شد. هک و غیرفعال کردن خبرگزاری فارس، هک ایمیل مدیران و کارکنان شبکه پرس تی‌وی، سازمان انرژی اتمی، هک سایت وزارت ارشاد و امور خارجه، از دسترس خارج شدن سایت‌های دولت و ریاست‌جمهوری، ادعای هک دوربین‌های نظارتی و سامانه شهرداری تهران و ... نیز همگی سال گذشته رخ داده‌است. با توجه به این که اطلاع‌رسانی در این خصوص عمدتا با تحفظ‌های امنیتی و اطلاعاتی همراه است، می‌توان گفت که این حوادث احتمالا بخشی از حملات سایبری بوده‌اند که در مورد آنها اطلاع‌رسانی شده‌است.

جای خالی «مدیریت پیشگیرانه» 

سازمان پدافند غیرعامل سال 1382 و با دستور رهبری تشکیل شد. در متن قانون سازمان پدافند غیرعامل کشور که مرداد امسال تصویب شد، تشکیل این سازمان به منظور ـ« سیاست‌گذاری، افزایش بازدارندگی، کاهش آسیب پذیری، تداوم فعالیت های ضروری، ارتقای آموزش و پایداری ملی، مقاوم سازی زیرساخت های حیاتی، حساس و مهم کشور، تسهیل مدیریت بحران در برابر انواع تهدیدات دشمن و سلاح های نامتعارف نظیر هسته‌ای، الکترونیکی، زیستی، شیمیایی و رایانیکی (سایبری) و مدیریت پیشگیرانه در مقابل تهدیدات جدید» و زیر مجموعه نیروهای مسلح تعریف شده‌است. 

سردار غلامرضا جلالی، سرتیپ سپاه که پیش از این ریاست اداره مهندسی ستاد مشترک سپاه را بر عهده داشته، از ابتدای تأسیس تاکنون مسئولیت ریاست این سازمان را برعهده دارد. افزایش حملات سایبری در مدت اخیر این پرسش را ایجاد کرده که اساسا سازمان پدافندغیرعامل چه می‌کند و چرا به نظر می‌رسد این گونه رخدادها روند صعودی داشته‌است؟ این سازمان مدیریت پیشگیرانه در مقابل تهدیدات جدید که یکی از مهم‌ترین کارویژه‌هایش تعریف می‌شود را چطور اجرایی می‌کند؟

ترکیب تحریم و خودتحریمی

 سعید سوزنگر، کارشناس امنیت شبکه در گفت‌و‌گو با «شبکه شرق» معتقد است «حجم هک و نفوذ چندین برابر شده‌است». او می‌گوید: «البته ما به اخبار رسانه‌های رسمی دسترسی داریم اما جسته و گریخته می‌شنویم که آسیب‌هایی اتفاق می‌افتد اما اطلاع‌رسانی صورت نمی‌گیرد.» سوزنگر در مورد دلیل افزایش این رخدادها توضیح می‌دهد: «وقتی از ابزار به روز جهانی محروم هستیم و از آن استفاده نمی‌کنیم، این اتفاقات زیاد می‌شود. دلیل این موضوع هم به تحریم باز می‌گردد و هم به خودتحریمی. خودتحریمی باعث شده از تمام ابزارهای رایگان و درستی که همه جهان از آن نفع می‌برند، استفاده نکنیم. زمانی که به بهانه فیلترینگ اختلال بر روی پروتکل‌های امنیتی ایجاد می‌کنیم، مثلا کسب و کارها برای این که پایدار بمانند، مجبور هستند که این پروتکل‌ها را از چرخه ارتباطی‌شان حذف کنند تا حداقل بتوانند سرویس بدهند چون باعث (data leakage) یا نشت اطلاعات می‌شود. حتی جدای از ابزارهای به روز جهان، از دانش به روز هم محرومیم. یعنی می‌توانیم از فلان پروتکل جهانی استفاده کنم، دانش و امکان هم داریم ولی به خاطر اختلالاتی که روی آن به وجود آمده نمی‌توانیم از آن استفاده کنیم.»

دانش کم و ابزار ناامن 

این کارشناس امنیت شبکه معتقد است که فیلترینگ علاوه بر این که نوعی سلب حقوق شهروندی است از لحاظ فنی نیز باعث افزایش نفوذ به داده‌های مردم و اختلال در استفاده از ابزارها شده‌است. سوزنگر می‌گوید سازمان‌های دولتی عمدتا دانش فنی کمتری نسبت به بخش‌های خصوصی دارند و بیشتر از ابزارهای ناامن استفاده می‌کنند. به گفته او اغلب مراکز دولتی از ابزارهای داخلی استفاده می‌کنند که سطح پایین‌تری دارد و در کنارش از ابزار کرک‌- Crack-شده نیز استفاده می‌کنند. در واقع این اتفاق به بهانه استفاده و حمایت از ابزار داخلی رخ می‌دهد که قابل قیاس با نمونه خارجی نیست. ابزار خارجی یا گران قیمت هستند که دولتی‌ها نمی‌خرند و ابزار کرک شده استفاده می‌کنند یا Open source –منبع باز- هستند اما اغلب دانش و نیروی متخصص استفاده از آن را در بخش خصوصی هم به ندرت یافت می‌شود چه برسد به بخش دولتی. سوزنگر توضیح می‌دهد: « یک سازمان که نام نمی‌برم دو سال پیش از نرم‌افزار مانیتورینگ کرک شده استفاده کرده و تمام سازمان هک شده است و می‌گوید جلوی ما را برای خرید ابزار خارجی می‌گیرند. این خودتحریمی است.»

 سازمان پدافند غیرعامل یا باتل نک -Bottleneck 

علی‌رغم این که یکی از مهم‌ترین کارویژه‌های سازمان پدافند غیرعامل فراهم آوردن شرایطی برای جلوگیری از حملات سایبری در دوران جنگ‌های جدید است اما سوزنگر شبکه معتقد است که این سازمان نتوانسته در این حوزه عملکرد قابل قبولی داشته‌باشد. او می‌گوید: «اسمش را می‌گذاریم باتل نک. سازمانی که می‌خواهد همه چیز از مجرای خودش رد شود اما نه دانش فنی دارد و نه استانداردها را رعایت می‌کند. همین سازمان‌ها و شورایعالی‌ها و قرارگاه‌ها و ... باعث می‌شوند دست سازمان‌ها و نهادها بسته باشد. من به تنظیم‌گری و قانون‌گذاری در این حوزه‌ها معتقدم اما نباید یک سازمان بدون دانش فنی و تخصص در حوزه امنیت اقدامات دست و پاگیر انجام دهد. این کارشناس امنیت شبکه معتقد است «از ترس یک درصد، 2 درصد هکی که ممکن است به صورت هدفمند و سازمان یافته انجام شود، 99 درصد تهدید‌ها را به جان می‌خریم و مسیر هکرها را راحت می‌کنیم.»

اشک‌آور زدن در هوای صاف 

سوزنگر با بیانی ساده توضیح داده که خودتحریمی که از آن صحبت می‌کند، به چه معناست: « فرض کنید این نگرانی و تهدید احتمالی وجود دارد که یک سازمان یا کشور بخواهد برای هک سازمان‌های داخلی ایران با مثلا آنتی‌ویروس کسپر وارد رایزنی شود و ساختارمند حمله سایبری انجام دهد. هزینه‌ و رایزنی با این شرکت مشکل‌تر است یا استفاده از ابزار کرک شده یا داخلی که امکان نفوذ از طریق آن بسیار ساده‌است؟ نفوذ در کدام راحت‌تر است؟ ما با این نگاه در خندق بلا گرفتار شده‌ایم. در حوزه امنیت وقتی می‌گوییم یک آنتی ویروس مثل اویرا –Avira-نرخ تشخیص 100 درصدی دارد یعنی 100 درصد ویروس‌های شناخته شده را تشخیص می‌دهد اگرچه ویروس‌های تشخیص داده نشده تعدادشان بالاست.