اولویت؛ صیانت از امنیت اینترنت داخلی

با توجه به پیشرفتی که تکنولوژی دارد در این حوزه باید تعامل را برقرار کنیم و بتوانیم از بهترین تجهیزات استفاده کنیم. عمدتاً تجهیزات فرسوده ممکن است باگ‌هایی ایجاد کنند که اختلالات را از این قبیل ببینیم یعنی فکر نکنیم اگر تجهیزاتی فرسوده است فقط باعث کندی یا قطعی اتفاقی می‌شود، اتفاقاً چون به‌روز نمی‌شود و باگ‌های آن گرفته نمی‌شود ممکن است خطراتی از این دست ایجاد کند.

ابوالقاسم رحمانی، دبیرگروه جامعه: دوباره آبان، دوباره بنزین، دوباره شلوغی و این‌بار در صف‌های طولانی جلوی پمپ‌بنزین‌ها و دوباره احتمالا خبرهای ناخوش. طی دو سه روز اخیر، یکی از پرتکرارترین و مهم‌ترین اخبار و مشاهدات، صف‌های طولانی جلوی پمپ‌بنزین‌ها و از دسترس خارج شدن و اختلال در جایگاه‌های سوخت‌رسانی بوده است. طی دیروز و امروز اخباری مبنی‌بر بازگشت شبکه فروش و سوخت‌گیری سوخت سهمیه‌ای در استان‌ها و شهرهای مختلف اشاره می‌شود و مثل جدول خاموشی‌ها، جداولی هم از جایگاه‌های دارای سوخت سهمیه‌ای منتشر می‌شود؛ اما خب ماجرا ابعاد و اثرات گسترده و زیادی داشته و دارد که نمی‌توان به‌سادگی از کنار آنها گذشت و یکی از مهم‌ترین این ابعاد و زوایا، بعد فنی و امکان نفوذ به شبکه هوشمند سوخت‌رسانی کشور که بر پایه اینترانت یا همان اینترنت داخلی است. مساله‌ای که هنوز خیلی به آن پرداخته نشده، حتی برخی از این مساله اطلاع ندارند که این شبکه از اینترنت داخلی استفاده می‌کرده و از آن مهم‌تر اینکه سهم و مسئولیت دستگاه‌های متولی هم هنوز مشخص نشده است. ضمنا از گوشه و کنار هم زمزمه‌هایی به گوش می‌رسد که برخی سعی در ماهیگیری از آب گل‌آلود جایگاه‌های سوخت، به نفع طرح صیانت هستند! بررسی این مجموعه شبهات موضوع گزارش امروز ماست و با مرور اتفاقات رخ‌داده در این دو سه روز، در گفت‌وگو با کارشناس به این سوالات و شبهات پاسخ خواهیم داد.

از اختلال ناگهانی جایگاه‌ها، تا حضور ناگهانی رئیس‌جمهور در جایگاه‌های سوخت

ابتدا در صفحات مجازی خبری به‌سرعت درحال انتشار بود، شهروندخبرنگارها و تقریبا همه آنهایی که گوشی داشتند، در شبکه‌های اجتماعی عضو بودند و از همه مهم‌تر در صف پمپ‌بنزین بودند، فیلم و عکس‌هایی از اختلال در سوخت‌رسانی جایگاه‌های سوخت منتشر کردند. بعد از آن، در اقدامی جالب و کم‌سابقه، صداوسیما، گزارش میدانی کاملی از ماجرا منتشر کرد و موضوع وجود اختلال در شبکه سوخت‌رسانی در کشور را ضمن تایید تا حد ممکن تشریح کرد. بعد از آن بازار گمانه‌زنی‌ها داغ بود که بالاخره منابع رسمی و آگاه، خبر از حمله سایبری دادند. موضوعی که نگرانی‌هایی را ایجاد کرد ولی خب اصل نگرانی‌ها خیلی معطوف به این موضوع نبود، مردم چشم و دل‌شان از جا و مساله دیگری ترسیده بود. از آبان 98 و ماجرای گرانی بنزین و ترس از تکرار آن، اتفاقی که برای آنها و برای کل کشور گران تمام شد. این نگرانی هم البته خیلی زود مرتفع شد و شرکت پخش فرآورده‌های نفتی و سایر مسئولان به مردم این اطمینان‌خاطر را دادند که خبری از افزایش قیمت نیست و مشکل هم به‌زودی مرتفع خواهد شد. با این اوصاف تا الان که حتما چند ساعت قبل از خواندن این روزنامه توسط شماست، هنوز تعداد بالایی از جایگاه‌های کشور خصوصا در تهران با مشکل مواجهند و فقط بنزین آزاد در دسترس عموم قرار دارد. البته به قول یک کاربر مجازی، بهتر بود دولت به جای بنزین 3 هزارتومانی، این بنزین را هزار و 500 یا حتی رایگان در اختیار مردم قرار می‌داد که این مشکلی که پیش‌پای مردم قرار گرفت و برای خیلی‌ها مساله‌ساز شد، به نوعی ساده‌تر پذیرفته می‌شد. اما خب نهایت همراهی و دلجویی، رایگان شدن مترو تهران تا ساعت 9 صبح دیروز بود. نکته مهم دیگر در کنار این دلجویی و آن گزارش صداوسیما، حضور میدانی روز گذشته رئیس‌جمهور در جایگاه‌های سوخت پایتخت و بین جایگاه‌داران و مردم بود. اتفاقی که با هر برچسبی از سوی دوستان و دشمنان، تسکین‌دهنده و امیدوارکننده بود و حداقل کابوس «من هم شنبه فهمیدم» را تا حدی از خاطرمان برد.

تجهیزات قدیمی و فرسوده یکی از دلایل نفوذپذیری

با این اوصاف و سوای شرح واقعه، همان‌طور که در ابتدای گزارش هم اشاره کردیم، یکی از ابعاد مهم ماجرا که از سوی مردم و رسانه‌ها خیلی به آن توجهی نشد، بعد فنی و کاستی‌های موجود در زیرساخت‌های اینترنت داخلی و بروز چنین معضلات جدی در کشور است. کیوان نقره‌کار، کارشناس حوزه فناوری در گفت‌وگو با «فرهیختگان» با اشاره به اینکه ماجرای حمله سایبری به شبکه هوشمند سوخت‌رسانی دو محور اصلی دارد، گفت: «وقتی از حمله سایبری صحبت می‌کنیم آن را در دو محور اصلی می‌توان تقسیم‌بندی کرد. یک اینکه این در دنیا روال طبیعی است یعنی جنگ سخت جای خود را به جنگ نرم داده و بخشی از جنگ نرم تبدیل به حملات مستقیم سایبری می‌شود اما بخش دوم این اتفاقاتی است که در کشور ما می‌افتد که باید بررسی شود. برای بررسی این پدیده باید به زیرساخت‌ها نگاه کنیم. وقتی از زیرساخت صحبت می‌کنیم صرفاً سخت‌افزار نیست بلکه ما از منابع انسانی، از سرمایه‌گذاری، از دانش فنی، از تجهیزات تا ... را باید صحبت کنیم و به آن توجه داشته باشیم نه اینکه تک‌بعدی خصوصا در غیاب ابعاد فنی به مساله بپردازیم. کشوری که به هر حال با دنیا تعامل لازم را ندارد و این باعث می‌شود در دریافت تجهیزات سخت‌افزاری از کشورهای دسته دوم خریداری کنیم، کمااینکه در پروژه‌هایی خاص از بزرگ‌ترین برندهای دنیا هم خریداری کردیم و به مشکلاتی هم خوردیم اما با توجه به پیشرفتی که تکنولوژی دارد در این حوزه باید تعامل را برقرار کنیم و بتوانیم از بهترین تجهیزات استفاده کنیم. عمدتاً تجهیزات فرسوده ممکن است باگ‌هایی ایجاد کنند که اختلالات را از این قبیل ببینیم یعنی فکر نکنیم اگر تجهیزاتی فرسوده است فقط باعث کندی یا قطعی اتفاقی می‌شود، اتفاقاً چون به‌روز نمی‌شود و باگ‌های آن گرفته نمی‌شود ممکن است خطراتی از این دست ایجاد کند.»

نه نیروی خوب تربیت می‌کنیم و نه شایسته‌سالاری داریم

نقره‌کار در ادامه سراغ نیرو و منابع انسانی رفت و تخصص آنها را به چالش کشید و گفت: «نکته دیگر منابع انسانی است. به دانش دسترسی داریم و شاید بتوان گفت همه دنیا الان به دانش دسترسی دارند، نه در سطح بالا ولی در سطح موردنیاز این دسترسی وجود دارد اما دانشگاه درست در این زمینه نداریم، تربیت انسان در این زمینه نداریم، سرفصل‌های درست در حوزه امنیت نداریم، دانشگاه‌های ما به‌روز نیست. درنتیجه افرادی که تربیت می‌شوند، کارآمد و به‌روز نیستند. حتی اگر خود را به‌روز کنند ما دچار مشکل سوم یعنی بعد از تجهیزات و زیرساخت می‌شویم، بعد از نبود نیروی انسانی و دانشگاهی یا جریان دانش دانشگاهی نکته سوم یعنی شایسته‌سالاری است. متاسفانه در سازمان‌ها شاهد هستیم فردی سکان امنیتی آن سازمان را برعهده دارد که کمترین آشنایی و اشراف را دارد. نه به حوزه فنی، نه به حوزه مدیریتی، نه با ضررهای ناشی از آن و... اشرافی ندارد. این را به جایی تعمیم می‌دهیم که مثلاً جایگاه سوخت است. این به پیمانکار سپرده شده است؟ این پیمانکار از دانش فنی برخوردار بود؟ پیرو چه روابط و ضوابطی این پروژه را جلو برده است؟ ما در این لایه درست کار نکردیم. این هم سمت زیرساخت می‌شود که منابع انسانی، دانش فنی، جایگاه درست افراد، زیرساخت‌ها و تجهیزات است.»

این ماجرا، پیش‌فرض‌های طرح صیانت را هم به چالش می‌کشد

این کارشناس حوزه فناوری در ادامه گریزی هم به اخبار و زمزمه‌های این روزها در ارتباط با طرح صیانت زد و با به چالش کشیدن استدلال آنهایی که با این اتفاقی که برای جایگاه‌های سوخت افتاد درحال تعریف و تمجید از طرح صیانت هستند، گفت: «در لایه دیگری که الان خیلی بحث است، موضوعاتی از این دست به طرح صیانت می‌چسبد. اگر طرح صیانت را اجرایی کنیم درنتیجه کمترین آسیب‌ها را از این دست می‌بینیم. اتفاقاً من به این دوستان می‌گویم اگر الان جلوی آسیب‌هایی از این دست را نگیرید فردا هم نمی‌توانید طرح صیانت را با توجه به آنچه میل شماست، انجام دهید، چون با رخنه کوچک تمام آنچه بافته شده و هزینه‌های چند هزار میلیاردی از بین می‌رود. بنابراین لازم است اگر هرکسی با هر رویکردی می‌خواهد به طرح صیانت فکر کند، ابتدا بتواند این زیرساخت‌های امنیتی را مهیا و فراهم کند. الان 4 جایگاه سوخت است و دو روز دیگر راه می‌افتد ولی می‌گوییم زیرساخت فناوری، وقتی از شبکه ملی اطلاعات حرف می‌زنیم، وقتی می‌گوییم صیانت این را درست می‌کند بحث ما دولت الکترونیک است و از آن مهم‌تر سلامت الکترونیک است. اگر در حوزه سلامت یک اختلالی ایجاد شود بحث مالی و بحث هزارتومان و دو هزارتومان بنزین نیست، بلکه آن زمان بحث جان انسان‌هاست. بنابراین امنیت در فضای مجازی بسیار اهمیت دارد. فقط نگاه نکنیم که یک جایگاه سوخت است، یک چشم‌انداز بزرگ داشته باشیم که صیانت ما صیانت از این موضوع است. اگر با این رویکرد نگاه کنیم می‌بینیم امنیت بسیار مهم است ولی گویا با توجه به مواردی که بیان کردم، کمترین توجه را داریم. پس بدانیم که تجربه جایگاه‌های سوخت می‌تواند پیش‌فرض‌های طرح صیانت را هم با چالش مواجه کند. اولاً اگر خیلی از خدمات را در قالب یک شبکه داخلی یا اینترنت ارائه دهیم کسی نسبت به این موضوع هیچ موضعی ندارد، چه‌بسا مورد حمایت کاربران و هم تمام ذی‌نفعان باشد ولی وقتی صحبت از این می‌شود که دسترسی‌های بین‌الملل را قطع کنیم و طرح صیانت آن‌طور که بین عموم مردم عنوان می‌شود، شاید دست‌اندرکاران این موضوع را به این شکل ارائه نکردند، به نظر می‌رسد هنوز زیرساخت‌های لازم را نداریم. برای اینکه اگر به این راحتی یکی از شبکه‌های بزرگ کشور را که با امنیت کشور در ارتباط است، هنوز نمی‌توانیم آن امنیت لازم را ایجاد کنیم به نظرم خیلی زود است درباره طرح‌هایی همچون صیانت صحبت کنیم؛ چراکه آن زمان شاید مجموعه‌های قدرتمند داخلی یا خارجی به این طرح آسیب بزنند و اگر آن زمان آسیب بخورد به این راحتی قابل جبران نباشد و هزینه‌های بسیاری در بردارد، چون شبکه در هم گره می‌خورد و اگر آن زمان یک جایگاه سوخت خراب شود ممکن است به شبکه بانکی یا نهادهای دیگر بزند و این نگرانی را برای ما ایجاد کند. بنابراین به نظر می‌رسد بهتر است ابتدا مسائل زیرساختی و مهم به‌خصوص امنیت را تمرین کنند. هنوز 4-3 سال فرصت هست تا این کار را انجام دهند.»

این اتفاق نشان داد بدیهیات امنیتی هم در برخی سازمان‌ها رعایت نمی‌شود

یکی از جدی‌ترین سوالات و شبهات بعد از ماجرای جایگاه‌های سوخت این بود که شبکه هوشمند سوخت‌رسانی و جایگاه‌ها، سوار بر اینترنت داخلی یا همان اینترانت است. چطور می‌شود به این شبکه نفوذ کرد جز اینکه سناریوی نفوذ را درنظر داشت؟ نقره‌کار در پاسخ گفت: «برای دسترسی به یک شبکه داخلی چند نکته مهم است. یک اینکه افراد به پروتکل‌های آن شبکه از لحاظ نرم‌افزاری و سخت‌افزاری آشنا باشند یعنی اطلاعات در اختیار آنها قرار گرفته باشد و نکته دوم این است که افراد باید لایه‌های دسترسی تعریف‌شده داشته باشند. یکی از مواردی که ما در حوزه امنیت رعایت نمی‌کنیم این است که مقاطعی افراد را در بخش‌های مختلف به‌کار می‌گیریم و آنها به همه اطلاعات دسترسی دارند، درصورتی‌که صلاحیت لازم را از لحاظ علمی یا از لحاظ عنوان جایگاه امنیتی در آن سازمان ندارند. نکته سوم پیمانکارانی است که در اختیار می‌گیریم. بدون اینکه بررسی کنیم و در قراردادها عنوان شود و این موارد مدنظر باشد، بعضاً برون‌سپاری‌هایی انجام می‌شود که ممکن است بعداً تبدیل به این مشکلات شود ولی آنچه در یک شبکه داخلی مهم است وقتی ارتباطی با شبکه بیرونی یا اینترنت بین‌الملل ندارد، این است که این باگ به احتمال زیاد از منابع انسانی که دارای اطلاعات لازم هستند و شاید بخشی از بدنه کار بودند، می‌توان این تحلیل را انجام داد که بیشترین اشکال اینجاست اما نباید منکر همان موضوعاتی همچون اشکالات سخت‌افزاری و مواردی از این‌دست حتی در این نوع شبکه‌های داخلی شویم.»

قبلا هشدار داده بودیم!

بعد از اتفاق جایگاه‌های سوخت و اختلال در آنها، پیکان انتقادات بحق به سمت یکی از نهادهای مهم کشور یعنی سازمان پدافند غیرعامل رفت. این انتقادات و این اتفاق الزام واکنش دادن نسبت به مساله را هم برای پدافند غیرعامل به وجود آورد و این‌طور هم شد. غلامرضا جلالی، فرمانده پدافند غیرعامل درخصوص اختلال ایجادشده در جایگاه‌های سوخت تاکید کرد: «با تقسیم کار، سامانه سوخت را در سال گذشته و امسال ارزیابی کردیم و اشکالات را به‌صورت کتبی ابلاغ و پیگیری کردیم، اما دولت گذشته یک سهل‌انگاری جدی در حوزه امنیت سایبری و ناهماهنگی اجرایی در زمینه‌های مختلف داشت و نکاتی که در این زمینه تذکر داده می‌شد، اجرا نکردند. متاسفانه در حادثه اخیر از محلی آسیب خوردیم که قبلا آن را اعلام کرده بودیم و نامه کتبی ارسال شد که اشکالات موجود را مشخص کرده بود. بعد از اتمام بررسی‌ها، نتایج گزارش نهایی را برای معرفی کسانی که ترک فعل کرده‌اند یا اقدامات لازم را انجام نداده‌اند به مراجع قضایی ارسال خواهیم کرد.»

سخنان مسئولان پدافند غیرعامل نشان از عدم به‌روز بودن آنها دارد

همان‌طور که خواندیم، پدافند غیرعامل با بیان این جمله همیشگی که قبلا در ارتباط با ایرادات هشدار داده شده بود، از ماجرا شانه خالی کرد اما خب این به معنی برداشته شدن سایه سنگین اختلال در جایگاه‌های سوخت از سر این سازمان نیست. نقره‌کار در ارتباط با نقش سازمان‌ها و نهادهای مختلف برای جلوگیری از وقوع و بعد هم تکرار چنین مسائلی گفت: «وقتی بحث تقسیم منافع و پاره کردن روبان‌ها و همایش‌ها و سخنرانی‌ها پیش می‌آید، همه این عزیزان در حوزه فناوری که متولیان آن زیاد است، ردیف اول و دوم می‌نشینند ولی زمانی که مشکلی ایجاد می‌شود، اعلام می‌کنند ما گفته بودیم. مشکل همین است که آنقدر دستگاه‌های ما موازی هستند و شاید در سیاست‌هایی مثل امنیت یکنواخت نیستند و تقسیم وظایف درستی انجام نشده و بروکراسی‌های خاصی می‌طلبد، گاهی اوقات پدافند غیرعامل هم از یک‌سری برنامه‌های خود عقب می‌افتد. من به پدافند غیرعامل این نقد را وارد می‌کنم که گاهی مواقع از لحاظ دانش به‌روز نیستند. وقتی در رسانه‌ها خود را بیان می‌کنند احساس می‌شود درباره تکنولوژی‌های ده سال پیش صحبت می‌شود. این نکته‌ای است که باید انتقاد به این مجموعه کنیم که به نظر می‌رسد از دانش فنی لازم برخوردار نیستند یا از توان لازم برای برخورد و پیشگیری از این موضوع برخوردار نیستند که باید حل شود، کمااینکه این دستگاه‌ها فرادولتی محسوب می‌شوند و باید قدرت لازم را داشته باشند اما این مشکلی است که همواره در حوزه فناوری داشتیم و آسیب‌های آن را می‌بینیم. باید آسیب‌شناسی انجام شود، بررسی و تحلیل شود مشکلاتی که ممکن است در اولین فرصت ایجاد شود، چیست. این بحث تخصصی است. اگر بخواهیم راهکاری بیان کنیم بحث‌های فنی مطرح است ولی هر سازمان در حوزه امنیت با نهادهایی همچون پدافند غیرعامل- اگر به دانش لازم مسلط هستند- همکاری داشته باشند، این اتفاق رقم نمی‌خورد و زیرساخت‌های خود را از لحاظ منابع انسانی و تجهیزات و نشت اطلاعات و... باید آسیب‌شناسی کنند. نکته دیگر اینکه قوانین باید در این رابطه به‌گونه‌ای باشد که آن حق را به سازمان پدافند غیرعامل یا مرکز ملی فضای مجازی یا هر نهاد دیگر بدهد، بتواند حرف آخر را بیان کند. در این حوزه لااقل این قدرت را داشته باشند. نکته دیگر این است اگر کارشناسانی داریم که مورد اعتماد و وثوق هستند و دانش لازم را دارند، آنها را هرچه سریع‌تر به‌کار گیریم. طبق توافقنامه‌هایی می‌طلبد برای این افراد حقوق‌ خوب درنظر گرفت و کامل زمان بگذارند و بررسی کنند. خیلی از عزیزان را داریم که دانش لازم را دارند اما کنار نشسته‌اند و چه‌بسا به کشورهای دیگر مهاجرت می‌کنند. من فکر می‌کنم باید سریع روی این موضوعات کار کنیم ولی ابتدا از سازمان و کارشناسان همان سازمان شروع می‌شود که بدانند نقص کجا بود و روی همان پیگیری انجام دهند.»

در همین رابطه مطالب زیر را بخوانید:

«فرهیختگان» گزارش می‌دهد/جنگ ۶۰ میلیارد دلاری برای امنیت سایبر (لینک)