معین رضیئی، روزنامهنگار: سهشنبه هفته قبل حمله سایبری به سامانههای هوشمند کارت سوخت در کشور منجر به تعطیلی پمپبنزینها و ایجاد اختلال چندروزه در شبکه عرضه سوخت در سراسر کشور شد. علاوهبر این مورد در ماههای گذشته نیز شاهد حملات سایبری دیگری به نهادها و سازمانهای حاکمیتی در کشور بودهایم مانند هک دوربینهای زندان اوین یا حمله به شرکت راهآهن و ستاد وزارت راهوشهرسازی در تیرماه سال جاری. گستردگی و تنوع مجموعههای هدف این حملات نشان میدهد در حوزه امنیت سایبری در کشورمان دچار ضعف و چالش جدی هستیم که در گزارش امروز «فرهیختگان» قصد داریم به واکاوی آن بپردازیم.
فقدان فرماندهی واحد در مقابله با حملات سایبری
در ماجرای حمله سایبری به سامانههای هوشمند کارت سوخت در کشور یکی از ضعفهای جدی، نبود نهاد متولی و پاسخگو درمورد این حمله صورتگرفته است. این نکته را در واکنش نهادهای مرتبط با حوزه فضای مجازی و امنیت شبکه نسبت به حمله سایبری صورتگرفته میتوان استنباط کرد، این نهادها از همان ساعات ابتدایی روز سهشنبه سعی کردند با صدور اطلاعیههای جداگانه نسبت به واقعه رخداده واکنش نشان دهند. بررسی دقیق این اطلاعیهها نشان میدهد هیچکدام از متولیان حوزه فضای مجازی و امنیت شبکه در ماجرای رخداده خود را مسئول نمیدانند. از طرفی قوانین بالادستی و مصوبات شورای عالی فضای مجازی نیز نشان میدهد که در حوزه امنیت شبکه ما دارای گستردگی نهادهای مسئول با تعریف وظایفی محدود و ناکارآمد هستیم. در همین راستا مطابق مصوبه شورای عالی فضای مجازی در موضوع «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی»، نهادهایی چون نیروی انتظامی، وزارت ارتباطات، مرکز افتای ریاستجمهوری و سازمان پدافند غیرعامل هرکدام وظایفی در حیطه امنیت شبکه دارند، تعدد این نهادهای متولی با مسئولیتهایی بعضا موازی و فاقد ضمانت اجرایی باعث شده است در اتفاقاتی مشابه حمل سایبری روز سهشنبه هرکدام از این نهادها بهجای پاسخگویی نسبت به کاستیها صرفا به بیان آمار کارهای انجامشده توسط خود بسنده کرده و برای توجیه ضعفهای موجود نیز نهادهای دیگر یا ساختارهای بالادستی را متهم کنند. برای اثبات این گزاره کافی است صحبتهای چند روز قبل سردار جلالی رئیس سازمان پدافند غیرعامل را مشاهده کرد؛ جلالی در سخنان خود معتقد بود نهاد تحت امرش سال گذشته اشکالات موجود در زمینه سامانههای سوخت را ارزیابی و بهصورت کتبی به دولت ابلاغ کرده است، اما سهلانگاری جدی دولت در حوزه امنیت سایبری و ناهماهنگیهای اجرایی باعث شده است این اشکالات ارزیابیشده اصلاح نشود. این سخنان درحالی توسط جلالی مطرح میشود که مطابق ماده10 اساسنامه سازمان پدافند غیرعامل این سازمان علاوهبر راهبری، وظیفه هماهنگی و اجراییشدن طرحهای پدافند غیرعامل در دستگاههای اجرایی کشور را برعهده دارد. همچنین مطابق سند «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» در حیطه پیشگیری از حملات سایبری نهاد متولی در حوادث حوزه عمومی نیروی انتظامی است، وزارت ارتباطات مسئولیت پیشگیری و پیگیری از حملات به سازمانهای غیرزیرساختی را دارد و درنهایت مرکز افتای ریاستجمهوری مسئولیت حفاظت و پیشگیری از حملات سایبری به دستگاههای دارای زیرساخت حیاتی و حساس را عهدهدار است و سازمان پدافند غیرعامل نیز مسئول انجام رزمایش و تست پایداری زیرساختهای حیاتی کشور است. سپردن رسیدگی به یک موضوع واحد با عنوان پیشگیری از حملات سایبری به نهادهای محتلف باعث فقدان یک فرماندهی واحد در کشور برای مواجهه با این حملات شده است که خود این تکثر نهادی در مواجهه با حملات سایبری میتواند از عوامل مهم آسیبپذیر شدن شبکههای اینترنتی و فضای مجازی در کشور ما باشد، درحالیکه میشد بهجای تقسیم وظیفه پیشگیری از حملات سایبری میان نهادهای مختلف فرماندهی واحد این موضوع را به سازمان پدافند غیرعامل با دادن ضمانتهای اجرایی مشخص سپرد تا این نهادها نیز تحت هدایت سازمان پدافند غیرعامل همانگونه که در اساسنامه آن آمده است با اجراییکردن دستورالعملی مشخص به ایمنسازی شبکههای درونی خود و پیشگیری از حملات سایبری میپرداختند.
سازمان پدافند غیرعامل، سازمانی که جدی گرفته نمیشود
سازمان پدافند غیرعامل مهمترین نهاد در مقابله با حملات سایبری و حفظ امنیت شبکه در کشور است. این نهاد مطابق ماده 10 اساسنامه خود وظایف مهمی را عهدهدار است. برخی از این وظایف عبارتند از: هدایت و راهبری اجرای طرحهای پدافند غیرعامل، نظارت بر اجرای پدافند غیرعامل دستگاههای اجرایی، تصویب ضوابط، استانداردها و دستورالعملهای(عمومی و تخصصی) موضوع پدافند غیرعامل، تصویب طرحهای پدافند غیرعامل دستگاهها و تایید اعتبار موردنیاز آنها و از همه مهمتر ایجاد هماهنگی لازم بین دستگاههای اجرایی در حوزه پدافند غیرعامل است. اما این سازمان با وجود چنین وظایف گستردهای، آنگونه که باید توسط نهادهای دولتی و بالادستی خود طی این سالها جدی گرفته نشده است. به نحوی که بنابر گفتههای دوشب قبل سردار جلالی، رئیس سازمان پدافند غیرعامل در برنامه نگاه یک بودجه عملیاتی سازمان در دولت گذشته صفر شد. صفر شدن بودجه عملیاتی به عبارت دیگر یعنی نادیده گرفتن و اجرایی نشدن نیمی از وظایف محولشده به سازمان پدافند غیرعامل، زیرا مطابق اساسنامه این سازمان از 24 وظیفه تعریفشده برای این نهاد، 12 مورد آن مربوط به وظایف عملیاتی است. بر همین اساس است که مفیدترین کار سازمان در سالهای گذشته تنها خلاصه شده است به برگزاری رزمایش و تست پایداری زیرساختهای حیاتی کشور. نادیدهانگاری سازمان پدافند غیرعامل بهعنوان یکی از نهادهای مهم و اثرگذار در حوزه جنگ نرم تنها به این مورد خلاصه نمیشود. به نظر می رسد این سازمان برخلاف اساسنامه خود آنگونه که باید نمیتواند دولت و نهادهای مختلف را مجاب به اجرایی شدن برنامهها و نظرات اصلاحیه خود کند. این نکته را میتوان از سخنان دوشنبهشب سردار جلالی نیز برداشت کرد. جلالی در برنامه نگاه یک با اشاره به همکاریهای سازمان پدافند غیرعامل با دولت قبل افزود: «سازمان پدافند غیرعامل در دولت گذشته آسیبها و ضعفها را کشف میکرد و اطلاع میداد اما میگفتند این اطلاعات را به فلان جا اعلام کنید و وقتی پیگیری میکردیم از ما حمایت نمیکردند.» در یک جمعبندی کلی میتوان گفت اگر بخواهیم آسیبپذیری کشور در برابر حملات سایبری و سایر تهدیدهای مربوط به حوزه نرم را کاهش دهیم باید سازمان پدافند غیرعامل را به جایگاه اصلی خود بازگردانیم و برای آن هویتی مستقل و مشخص تعریف کنیم. این سازمان در شرایط فعلی زیرنظر ستادکل نیروهای مسلح است و به لحاظ ساختار تشکیلاتی تا حد زیادی وابسته به این ستاد است. البته پیگیریهای خبرنگار «فرهیختگان» از برخی نمایندگان مجلس حاکی از این امر است که مجلس یازدهم به دنبال تصویب طرحی است تا به سازمان پدافند غیرعامل هویتی مستقل ببخشد.
در همین رابطه مطالب زیر را بخوانید: