همشهری- عمادالدین قاسمیپناه: روز گذشته بهخاطر نقص فنی سامانه هوشمند سوخت صفهای طولانی پمپبنزینها و عدمامکان سوختگیری با کارت سوخت بسیاری از مردم را ساعتها گرفتار کرد.
سامانه هوشمند سوخت یکی از زیرساختهای حیاتی در حوزه فناوری کشور بهحساب میآید که زندگی میلیونها نفر به آن وابسته است. مقامهای وزارت نفت روز گذشته علت این ماجرا را اختلال فنی نرمافزاری خواندند. هر چند شایعه حمله سایبری به هسته نرمافزاری این سامانه هم به سرعت در شبکههای اجتماعی پخش شد و حتی روی خروجی یکی از خبرگزاریهای رسمی کشور قرار گرفت. خبر حمله سایبری پس از مدت کوتاهی از خروجی از خبرگزاری حذف شد اما نور نیوز بهعنوان پایگاه خبری نزدیک به شورایعالی امنیت ملی ساعتی بعد در خبری اعلام کرد اختلال ایجاد شده در سامانه سوختگیری در پمپ بنزینها ناشی از حمله سایبری بوده است. امیر ناظمی، معاون سابق وزیر ارتباطات هم اعلام کرده زیرساخت شبکه جایگاههای سوخت کشور یک شبکه اختصاصی است و ارتباطی به اینترنت ندارد.
اختلال فنی یا حمله سایبری هر کدام را که حساب کنید در نهایت این ماجرا باعث گرفتاری مردم در میان همه مشکلات دیگرشان شد. اختلال فنی و قطع شدن سیستمها مسئله تازهای در کشور ما نیست؛ روزی در بانکها این اتفاق میافتد، زمانی هزاران نفر در سازمانی با اعلام «سیستم قطع است» گرفتار میشوند و این بار دسترسی به سوخت دچار وقفهای طولانی شد.
خطای آماده نبودن
سیستمهایی که دادههای حساس و مهم را در اختیار دارند، باید طبق قوانین و مقررات ایران آنها را حفظ کنند. زمانی که جرائمی در این حوزه رخ بدهد، نوبت کار «نظام مقابله» میرسد. بهگفته مقامهای وزارت ارتباطات در ایران نظام مقابله به ۳ دسته تقسیم میشوند؛ دسته اول سازمانهای حساس هستند که مسئولیت مقابله با رخداد در این سازمانها به «افتا»ی ریاستجمهوری (امنیت فضای تولید و تبادل اطلاعات کشور) برمیگردد. دسته دوم کسبوکارها هستند که مقابله با جرایمی که درخصوص آنها رخ میدهد، برعهده پلیس فتاست. مقابله با رخدادهای بقیه سازمانهای دولتی نیز بر عهده وزارت ارتباطات و مرکز ماهر است.
یک مشکل قدیمی در ایران نادیده گرفتن نیاز به آمادگی برای مشکلات فنی و حمله احتمالی است.
در بسیاری از سازمانهای دولتی و بزرگ سختافزار بیشتر از نرمافزار مورد توجه است. همین نگاه درباره کارشناس امنیت سایبری و اختصاص بودجه به این بخش نیز وجود دارد. مجتبی مصطفوی، کارشناس امنیت سایبری دراینباره میگوید: «در بسیاری از سازمانها تصور بر این است که با خرید سختافزارهای گرانقیمت و بزرگ میتوان امنیت را حفظ کرد، درصورتی که اپراتوری برای کار کردن با این سیستمها وجود ندارد و گاهی به بروزرسانی نرمافزارهای مرتبط با آنها توجه نمیشود. در نتیجه بسیاری از سیستمها مستعد هک هستند.
همچنین معمولا مراکز فنی سازمانهای دولتی آمادگی لازم برای مواجهه با مشکلات فنی احتمالی را ندارند.»
اما و اگرهای حملههای سایبری
مجتبی مصطفوی، کارشناس امنیت سایبری در گفتوگو با همشهری از جزئیات حمله احتمالی صورت گرفته اظهار بیاطلاعی میکند، اما در عین حال میگوید: «درصورتی که ما با یک حمله سایبری مواجه باشیم، ۲ حالت کلی را شاهد هستیم. در حالت اول خود سرویس آسیبپذیری دارد و در حالت دوم سازمان هک میشود.»
این کارشناس میگوید: «در حالت اول این احتمال وجود دارد که سرویس آسیب پذیر بوده و حمله از طریق سرویس انجام شده باشد.» مصطفوی منظور از سرویس را آن سرویس نرم افزاری میداند که در حال ارائه خدمت بوده است.
مصطفوی با ذکر یک مثال، همچنین از احتمال یک حمله مهندسی اجتماعی سخن میگوید که ممکن است هکر به یک سازمان نفوذ کرده و دسترسی را گسترش داده و از داخل سازمان به سرویسها دسترسی پیدا کرده است.
او میگوید: «در حالت دوم این احتمال وجود دارد که یک سازمان دارای پیمانکار است و ممکن است پیمانکار هک شده باشد. همچنین این احتمال هم وجود دارد که سازمان سوخت هک شده باشد.»
نحوه مواجهه
کارشناس امنیت سایبری در مورد نحوه مواجهه با حملات سایبری و اقداماتی که میتواند مانع چنین حملاتی شود، معتقد است که «بهطور کلی نمیتوان مانع نفوذ شد، اما باید برای ۲وضعیت «پیش از حمله» و «پس از حمله» آماده باشیم.»
مصطفوی درباره وضعیت پیش از حمله میگوید: «لازم است تا جایی که امکان دارد، احتمال نفوذ را کم کنیم که به آن اصطلاحا «پیشگیری» گفته میشود». بهگفته او «برای این مرحله در کشور ما اقدامات خوبی انجام شده است».
با این حال، مصطفوی با اشاره به کارهای زیادی که در دنیا انجام شده و آن را بسیار متداول میداند، میگوید: «نکته مهم بخش شناسایی و شکار تهدید (treat hunting) است. این اصطلاح به این معنی است که پس از این که حمله اتفاق افتاد، ما بتوانیم قبل از اینکه مهاجم گسترش دسترسی بدهد و به هدف نهایی برسد، متوجه بروز حمله شویم.» بهگفته او «ما در مرحله شناسایی(detection) چندان موفق عمل نکردهایم. یعنی اگر مهاجم نفوذ کند، به سرعت نمیتوانیم حمله را شناسایی کنیم. چراکه یک حمله سایبری بهعنوان مثال ممکن است از ۲ ماه پیش آغاز شده و ۲ ماه طول کشیده تا هکر دسترسی خود را گسترش دهد و توانسته سرویس را در داخل زیرساخت بیابد و حمله خود را کامل کند».
این کارشناس امنیت سایبری اطلاعات بیشتر را منوط به مطالعه بیشتر در مورد نوع این حمله میداند و اظهار امیدواری میکند که این حمله بتواند بهعنوان یک مطالعه موردی(case study) بررسی شود تا اطلاعرسانیهای لازم صورت بگیرد.
نیاز به تغییر نگاه دولتیها
تغییر نگاه به مقوله اطلاعات حساس و دسترسی غیرمجاز به آنها نیز طبق گفته کارشناسان سایبری باید تغییر کند. یاشار شاهینزاده، کارشناس امنیت دراینباره به همشهری میگوید: «در بسیاری سازمانها هک شدن زمانی خطرناک محسوب میشود که اطلاعات دزدیده شود. در نتیجه کارشناسان آنها سراغ راهحلهایی مثل تهیه نسخه پشتیبان از اطلاعات میروند. درحالیکه نفس هکشدن یک سایت یا سیستم حتی اگر به اطلاعات کاربران آن باز نشده باشد، مشکل بسیار بزرگی است چون میتوان از نفوذ به یک سیستم به هدفهای نامطلوب دیگری رسید.» او میگوید: «به خاطر همین نگاه اشتباه، برخلاف بیشتر نقاط دنیا امنیت سایبری بودجه معینی ندارد و معمولا بخشی از بودجه «آیتی» سازمان برای آن صرف میشود. در ثانی، مسئولان تصمیمگیرنده فکر میکنند وقتی با یک نسخه پشتیبان میتوان مشکل را حل کرد، چرا باید کارشناس خبره استخدام کنند و چند برابر برای حقوقش خرج کنند.»