گزارش سئو مئو؛ تكرار سناریوی حمله سایبری به دستگاه های اجرائی
سئو مئو: ضعف و ناکارآمدی ساختارهای امنیت سایبری و نبود یک مرکز فرماندهی در این حوزه سبب شده تا هر بار شاهد وقوع رخدادهایی باشیم که مسئولان خودرا پاسخگوی ضرر و زیان ناشی از آن نمی دانند.
به گزارش سئو مئو به نقل از مهر، با وجود تعاریف مشخصی که برای امنیت سایبری در شبکه ملی اطلاعات به وزارت ارتباطات و سایر دستگاه های متولی تکلیف شده اما همچنان وضعیت مقابله با تهدیدات سایبری، حفاظت و صیانت از داده و اطلاعات و مدیریت مخاطرات در داخل کشور قابل دفاع نیست.
به بیان دیگر بااینکه هدف شبکه ملی اطلاعات برقراری ارتباطات امن و حفاظت شده است، اما شواهد نشان میدهد که با عدم پیشرفت درست و بموقع، این شبکه در امنیت سایبری همچنان با خلأ روبرو است و تبادل داده در زیرساخت های حیاتی و حساس کشور تضمین شده نیست.
به دلیل نبود نظام حاکمیت سایبری در کشور هر چند وقت یک دفعه شاهد انتشار اخباری درباب نشت اطلاعات سازمان ها و دستگاه های مختلف و یا سرقت داده و افشای پایگاه اطلاعات هویتی کاربران هستیم. اخباری که سازمان ها و نهادهای در رابطه با موضوع دفاع سایبری در کشور، یا آنرا برعهده نمی گیرند و یا پیگیری موضوع در جریان پاس کاری میان دستگاهها به فراموشی سپرده می شود.
در مورد جدید، رسانه ها از حمله سایبری به شرکت راه آهن و ستاد وزارت راه و شهرسازی به سبب ضعف لایه های امنیتی آگاهی داده اند که کارهای جاری این وزارتخانه را گرفتار مشکل کرده است. گفته شده که در پی وقوع هک سامانه های شرکت راه آهن، این شرکت ناچار شد گراف (مدیریت سیر و حرکت) قطارهای باری و مسافری را از حالت سیستمی به دستی تغییر دهد.
حتی یک روز بعد از انتشار این اخبار نیز گفته شد که سایت رسمی وزارت راه و شهرسازی مبتلا به اختلال و پیامی روی آن درج شد که از هک شدن این سایت حکایت دارد. این سایت ساعاتی پس از دسترس هم خارج شد.
پس از آن وزارت راه و شهرسازی در اطلاعیه ای اعلام نمود که «بروز اختلال سایبری در سیستم های کامپیوتری کارکنان ستاد وزارت راه و شهرسازی ظاهر شد که در پی آن پرتال وزارتخانه و سایت های زیر پرتال آن از دسترس خارج شد. کارشناسان فنی درحال بررسی موضوع هستند و در صورت در دسترس قرار گرفتن پرتال و سامانه های زیرمجموعه آن، اطلاع رسانی خواهند کرد.»
اگرچه هنوز وقوع حمله سایبری از طرف وزارت راه به درستی تأیید نشده است و پیگیری خبرنگار مهر از مرکز افتای ریاست جمهوری نیز نشان میدهد که موضوع در دست بررسی کارشناسان این مرکز قرار دارد اما آنچه مسلم است این که ضعف امنیت شبکه و نیز وجود نگاه بخشی به مباحث و وظایف فاوا در دستگاه های دولتی، ضریب لطمه پذیری سایبری این دستگاهها را روز به روز می افزاید.
مصوبه مقابله با حوادث سایبری پاسخگوی همه نیازها نیست
مطابق با آنچه که در «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی»، در شورای عالی فضای مجازی به تصویب رسیده، مسئولیت هر دستگاهی در مقابله با حوادث فضای مجازی مشخص است. برای مثال طبق این مصوبه، حوادثی که در زمینه عمومی به وقوع می پیوندد، توسط نیروی انتظامی مورد رسیدگی قرار خواهد گرفت و حوادثی که در سازمان های غیر زیرساختی رخ می دهد بوسیله وزارت ارتباطات و فناوری اطلاعات باید رسیدگی شود. مسئولیت پیگیری حوادث در دستگاه های حاکمیتی که دارای زیرساخت های حیاتی هستند نیز بر عهده مرکز افتای ریاست جمهوری است.
در همین حال طبق این مصوبه همه دستگاهها موظفند که با حوادث فضای مجازی دستگاه مربوط به خود مقابله کنند و به صورتی به حفاظت از پایگاه های داده خود ناگزیر هستند. با این وجود اما بنظر می رسد این مصوبه پاسخگوی همه نیازها نیست و به صورتی ضمانت اجرائی ندارد و جای یک مرکز فرماندهی و تصمیم گیری برای امنیت فضای سایبری در کشور خالی است.
به همین دلیل و باتوجه به ضعف ساختارهای امنیتی کشور، تقویت ابعاد زیرساختی شبکه ملی اطلاعات و قانونگذاری در این عرصه می تواند راهگشای مناسبی برای مشکلات امنیت فضای سایبری کشور باشد.
از این رو ضرورت رفع خلاءهای موجود در زمینه امنیت سایبری در طرح جدیدی که بتازگی از طرف نمایندگان مجلس در زمینه پشتیبانی از حقوق کاربران در فضای مجازی مطرح شده آمده است.
در این طرح بر اعمال خط مشی و حاکمیت و حفاظت در گذرگاه های مرزی فضای مجازی کشور تاکید گردیده است. به نحوی که مرزبانی فضای مجازی و دفاع سایبری و جلوگیری از بهره برداری بدون مجوز از داده ها در گذرگاه های مرزی با مسئولیت ستاد کل نیروهای مسلح انجام پذیرد. در همین حال دستگاه هایی مانند مرکز ملی فضای مجازی، وزارت ارتباطات و فناوری اطلاعات، وزارت اطلاعات، وزارت دفاع و پشتیبانی نیروهای مسلح، قوه قضائیه، سازمان صدا و سیما، نیروی انتظامی، سازمان پدافند غیرعامل و سازمان اطلاعات سپاه، شرکت ارتباطات زیرساخت و ارائه دهندگان خدمات اینترنت موظف به انجام دستورات ستاد کل نیروهای مسلح خواهند بود.
مرزبانی سایبری نقطه قوت طرح پشتیبانی از حقوق کاربران در فضای مجازی
مسعود فیاضی معاون مطالعات آموزش و فرهنگ مرکز پژوهش های مجلس در گفتگو با خبرنگار مهر، یکی از محسنات و نقاط قوت طرح «حمایت از حقوق کاربران و خدمات پایه کاربردی فضای مجازی» را پرداختن به بحث مرزبانی سایبری می داند.
وی با اشاره به این که در این طرح با تاکید بر لزوم پیشگیری و مقابله با حملات سایبری از خارج کشور به شبکه داخلی و شبکه ملی اطلاعات، موضوع مرزبانی سایبری مورد توجه قرار گرفته است، اظهار داشت: یکی از چالش هایی که امنیت فضای سایبری کشور را هر چند وقت یک دفعه تهدید می کند، خلأ جدی در تقسیم وظایف بین دستگاهی در موضوع مرزبانی فضای مجازی است.
فیاضی اضافه کرد: ما در تامین امنیت کشور در فضای مجازی با نظامی از وظایف و مسئولیت ها نسبت به دستگاه های مختلف مواجهیم که عدم طراحی و تصویب آن نظام در شوراهای بالادستی مانند شورای عالی فضای مجازی یا شورای عالی امنیت ملی از سویی و عدم تقسیم وظایف و ایجاد هماهنگی لازم بین دستگاه های دارای مسئولیت از طرف یک دستگاه محوری از طرف دیگر، باعث شده تا در موارد گوناگون امنیت کشور در فضای مجازی گرفتار چالش شود.
وی اشاره کرد: همین مسئله سبب شده تا در موقع بروز مشکلات مقام پاسخگو نیز دقیقاً معلوم نباشد که کیست و در مقابل چه چیزی باید پاسخگو باشد. بعنوان مثال وزارت ارتباطات به لحاظ فنی و اجرائی در تامین امنیت هم وظیفه دارد و هم مسئول است و در این حیطه نیز باید پاسخگو باشد. از جانب دیگر دستگاه های امنیتی مختلف مانند نیروی انتظامی، وزارت اطلاعات، سازمان اطلاعات سپاه، ستاد کل نیروهای مسلح و حتی قوه قضائیه نیز هر کدام برای انجام وظایف ذاتی خود مسئولیت داشته و در امتداد عمل به وظایف خود نیاز به دسترسی های لازم دارند که وزارت ارتباطات باید برای آنها فراهم آورد. همه آنها در قالب وظایف خود نیز باید پاسخگو باشند.
ابهام در مسئولیت نهادها و سیاست های امنیت سایبری
معاون مطالعات آموزش و فرهنگ مرکز پژوهش های مجلس اشاره کرد: خلائی که الان وجود دارد این است که اولاً سیاست های امنیتی سایبری و نظام وظایف و مسئولیت های نهادهای ذی ربط و ثانیاً دستگاه محوری هماهنگ کننده در مقام اجرای سیاست های تعیین شده از طرف شوراهای بالادستی در مقام عمل، معلوم نشده و در نتیجه مقام پاسخگوی اصلی نیز در موقع بروز حوادث مشخص نیست که کدام ارگان یا نهاد است.
وی اظهار داشت: علاوه بر این با آنکه حفظ و حراست از گذرگاه های مجازی در همه کشورها حتی به لحاظ فنی و اجرائی امری کاملاً حاکمیتی است و باید توسط خود حاکمیت اجرا و تامین شود ولی ملاحظه می نماییم که در کشور ما در مورد گذرگاه های فضای مجازی قسمتی از امور فنی مربوط به مرزبانی سایبری توسط بخش خصوصی انجام می شود.
معاون مطالعات آموزش و فرهنگ مرکز پژوهش های مجلس با اشاره به کارآمدی طرح پشتیبانی از حقوق کاربران و خدمات پایه کاربردی فضای مجازی درباب تامین امنیت فضای مجازی کشور، افزود: در این طرح پیشنهاد این بوده که نظام مسئولیت ها و وظایف و همچنین سیاست ها و خطوط مشی این عرصه توسط شوراهای بالادستی مانند مرکز ملی فضای مجازی تعیین شود و درباب امنیت نیز تقسیم وظیفه، نظارت و مطالبه گری با محوریت ستاد کل نیروهای مسلح بین نهادهای امنیتی مختلف صورت گیرد.
فیاضی اظهار داشت: طبیعی است که واگذاری این وظیفه به ستاد کل هیچ گاه نافی یا محدودکننده وظایف ذاتی دستگاه هایی مانند وزارت ارتباطات بعنوان مجری و مسئول امور فنی مرزبانی یا وزارت اطلاعات و دیگر مجموعه ها نیست.
وی اشاره کرد: جزئیاتی از این طرح درباب جایگاه ستاد کل نیروهای مسلح در ایجاد هماهنگی های لازم بین دستگاه های امنیتی در اجرای سیاست های مرزبانی سایبری از طرف شوراهای بالادستی و نقش های هر یک از دستگاهها در این خصوص، برای بازبینی مجدد در دستور کار مرکز پژوهش های مجلس قرار دارد. اما آنچه مسلم است این است که در این طرح، موضوع ایجاد امنیت در گذرگاه های مجازی کشور مورد توجه ویژه ای قرار گرفته است.