هک دو سامانه دولتی در یک هفته؛ کسی از دادههای مردم محافظت نمیکند
خبر هک شدن سامانه ثبت احوال را هکر با انتشار اطلاعاتی از کارمندان این سازمان داد. ۲۸ شهریور سامانه اینترنتی ثبت احوال از دسترس خارج شد، ثبت احوال به سرعت تکذیبیهای در مورد هک شدن منتشر کرد و سایت هم یک روز بعد در دسترس قرار گرفت؛ اما سایتی که عملکرد خاصی نداشت. این خبر هم به سرعت فراموش میشود، بدون اینکه در عملکرد مسئولان و سازمانها و شرکتها تغییری ایجاد شود.
به تازگی هکرها به بخشی از اطلاعات کاربران تپسی هم دست پیدا کردهاند. سال ۹۸ هم سرورهای این تاکسی اینترنتی هک شده بود. اخباری هم در یک ماه گذشته از هک شدن شرکتهای بیمه منتشر شد اما این مورد را بیمه مرکزی تکذیب کرد و آن را شبههافکنی برخی کانالهای خبری و رسانهها دانست.
نشت اطلاعات سازمانها و شرکتها و درواقع اطلاعات کاربران آنها پیش از این هم سابقه داشته اما هیچکدام از حملات سایبری قبلی باعث نشدند که تغییری در عملکرد مسئولان در زمینه امنیت سایبری و حفاظت از دادهها ایجاد شود. همچنان فیلترینگ و تکذیب و پنهان کردن اطلاعات حملات ادامه دارد و تحریمها هم وضعیت نامناسب امنیت سایبری را تشدید میکنند. همچنان حفاظت از دادهها و حریم خصوصی در برنامهها نادیده گرفته میشود. این بیتوجهی در واکنشها به حملات سایبری بزرگی که منجر به نشت اطلاعات شده، مشخص است.
۱۴ فروردین ۱۳۹۹ خبر لو رفتن اطلاعات ۸۰ میلیون ایرانی منتشر شد. یک ربات تلگرامی مدعی شد به سرورهای ثبت احوال دسترسی مستقیم دارد و اطلاعات کاربران را در اختیار هر درخواستکنندهای قرار میدهد. در نهایت اعلام شد که دلیل نشت این اطلاعات اشتباهی از سوی وزارت بهداشت بوده. ثبت احوال در اطلاعیهای اعلام کرد: «هیچ گونه هک و نفوذ به زیرساختها و پایگاه اطلاعات جمعیت کشور صورت نگرفته و خدمات الکترونیکی سازمان همانند سابق در حال ارائه است. ضمناً یادآوری میشود زیرساختها و سامانههای هویتی این سازمان بر بستر اینترنت نمیباشد.» سخنگوی سازمان ثبت احوال در توضیح ماجرا گفته بود اطلاعات ما در صحت کامل است، آن را برای تکمیل پرونده سلامت الکترونیک در اختیار وزارت بهداشت قرار دادیم و اتفاقی که رخ داده مربوط به ما نیست.
آذر ماه ۱۴۰۰ هم که خبرهایی از نشت اطلاعات ۱۱ هزار وکیل منتشر شد، بلافاصله مرکز رسانه قوه قضائیه اعلام کرد که ارتباط نشت بانک اطلاعاتی وکلا با سامانههای مرکز آمار و فناوری اطلاعات قوه قضائیه صحت ندارد.
نشت بانک اطلاعاتی دانشجویان دانشگاه صنعتی امیرکبیر در همان سال هم ناشی از حمله سایبری به سایت این دانشگاه بود. در اطلاعیه مرکز فناوری اطلاعات این دانشگاه آمده بود: «این موضوع ریسک امنیتی خاصی برای کاربران ایجاد نمیکند و جای نگرانی نیست.»
پس از اینکه اعلام شد اطلاعات ۵.۵ میلیون کاربر رایتل درز کرد، این شرکت اعلام کرد عامل این نشت اطلاعاتی انسانی بوده و در بیانیهای گفت اخبار منتشرشده در مورد درخواست فرد باجگیر از رایتل کذب بوده و تعداد افرادی که اطلاعاتشان لو رفته بسیار کمتر از ۵.۵ میلیون کاربر است.
در سالهای قبل حمله هکری به سرورهای علیبابا باعث سرقت اطلاعات کاربران آن شد و پیکربندی اشتباه فایروال روی یکی از ابزارهای سرچ مورد استفاده کاربران سیباپ به گفته این اپلیکیشن عامل لو رفتن اطلاعات پنج میلیون کاربر آن شد.
واکنش به حملات سایبری بهخصوص به سامانههای دولتی، عموماً تکذیب، دستکم گرفتن یا بیتوجهی به تبعات آن بود. عواملی که خودشان حملات بیشتری را باعث شدند. پیش از این کارشناسی در گفتوگو با زومیت درباره حملات سایبری گفته بود پنهانکاری در زمینهی انتشار اطلاعات حملههای سایبری باعث میشود کارشناسان نتوانند از حملههای مشابه جلوگیری کنند. به گفته مجید دادگر: «مسئله این است که اگر حملهای که اتفاق افتاده یک روش یا بدافزار خاصی داشته، اگر اطلاعات را منتشر کنند بقیه میتوانند شناسایی کنند و دیگر از آن راه مورد حمله قرار نگیرند و وقتی منتشر نمیکنند و باعث میشود این اتفاق برای سامانهها و شرکتهای دیگر هم بیفتد.»
فیلترینگ مسیر درز اطلاعات را هموار کرد
در یک سال گذشته خبرهای بیشتری از هک سامانهها و درز اطلاعات کاربران منتشر شده، دقیقا زمانی که فیلترینگ هم شدت گرفت. بسیاری از مردم در این یک سال مجبور به استفاده از راههایی برای دور زدن فیلترینگ شدند. انبوه بدافزارها به سیستمهای ارتباطی راه پیدا کردند و چیزی که فراموش شد، حفاظت از دادهها بود.
نمونهای از تأثیر مستقیم فیلترینگ بر نشت اطلاعات در سال ۱۳۹۹ اتفاق افتاد که اطلاعات ۴۲ میلیون ایرانی از نسخههای غیررسمی تلگرام نشت پیدا کرد. این خبر را سایت Comparitech اعلام کرد و گفت هیچگونه احراز هویتی برای دسترسی به اطلاعات این کاربران نیاز نیست. تلگرام در واکنش به این نشت اطلاعات گفت اطلاعات فاششده مربوط به یکی از نسخههای غیررسمی تلگرام است. استفاده کاربران از نسخههای غیررسمی این اپلیکیشن به دلیل فیلتر شدن نسخه اصلی در کشور شروع شد. سخنگوی تلگرام گفته بود: «متأسفانه با وجود هشدارهای ما، مردم ایران هنوز هم از نسخههای غیررسمی تلگرام استفاده میکنند.» گفته میشد که این اطلاعات از هات گرام و طلاگرام فاش شده اند. مرکز ماهر در دی ماه ۹۶ در مورد عدم امنیت پوستههای تلگرام هشدار داده بود که کسی به آن توجهی نکرد.
در سال گذشته گوگلپلی هم فیلتر شد که دسترسی کاربران داخل کشور را به نسخههای رسمی برنامهها مختل کرد و احتمال استفاده از نسخههای جعلی اپلیکیشنها بالا رفت. بنابر گزارش افتانا به نقل از shadowserver، ایران در پاییز ۱۴۰۱ هفتمین کشور با بیشترین آلودگی به بدافزار بود که این سایت شدت فیلترینگ را در این رتبه مؤثر میداند. کسپرسکی هم گزارش داده بود که در فصل اول ۲۰۲۲ ایران در زمینهی وضعیت بدافزارهای موبایل با سهم ۳۵ درصدی بالاتر از کشورهای دیگر قرار داشته است.
تحریمها هم سوی دیگر محدودیتهای اینترنت بود که به طور مستقیم امنیت سایبری را ضعیف کرد. تحریمها دسترسی کشور را به تجهیزات سختافزاری و نرمافزاری محدود کردهاند و عموماً در بهروزرسانیهای این تجهیزات امنیتی مشکل وجود دارد. علاوه بر آن در مواردی مثل حذف اپلیکیشنهای ایرانی در گوگلپلی هم باعث رواج نسخههای غیررسمی شد که اطلاعات کاربران را سرقت میکنند. هرچند در این مورد هم اگر گوگلپلی فیلتر نشده بود، کاربران میتوانستند هشدارهای این پلتفرم را هنگام دریافت نسخههای آلوده برنامهها ببینند و از نصب این نسخهها خودداری کنند.
در کنار اینها، کارشناسان بارها از دانش پایین امنیت شبکه در کشور گفتهاند. کوروش قربانی کارشناس امنیت فضای مجازی پیش از این در گفتوگویی درباره عوامل و خطرات نشت اطلاعات کاربران در ایران گفته بود که پایین بودن دانش متخصصان امنیت شبکه شرکتها یا ارگانها مهم است و ما در مجموعههای بزرگ رسته شغلی SOC نداریم و متخصص شبکه یا حتی برنامهنویس ساده کار امنیت را در مجموعه انجام میدهد. همچنین سطح دسترسیهای مشخص و طبقهبندی شده در ارگانها وجود ندارد و کارکنان هم آموزش ندیدهاند.
ابوالقاسم صادقی معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات هم در همین گفتوگو علت نشت اطلاعات در سازمان ها را ناآگاهی، ضعف بنیه مالی و نیروی انسانی دانسته بود. از نگاه او نشت اطلاعات در اپلیکیشنهای بومی به دلیل بیتوجهی به مسائل امنیتی و بیمبالاتی است. اگرچه حملاتی که منجر به افشای اطلاعات کاربران میشود در کشورهای دیگر هم اتفاق میافتد اما این حملات در ایران تفاوتهایی با کشورهای دیگر دارند. صادقی در این باره گفته بود که کسبوکارهای ما از نقاط ساده و بدیهی نشت اطلاعات را تجربه میکنند و گاهی حتی خودشان دیتا را به خطا لو میدهند. علاوه بر این ما عبرت نمیگیریم و مشکل را رفع نمیکنیم. نمونهای از این ماجرا، لو رفتن اطلاعات ثبت احوال در سال ۱۳۹۹ بود که در نهایت گفته شد بهدلیل اشتباه وزارت بهداشت این اطلاعات لو رفتهاند.
پس از لو رفتن اطلاعات ثبت احوال در چند روز گذشته، وزیر سابق ارتباطات در کانال خود به ارتباط فیلترینگ و عامل انسانی در افشای اطلاعات نگاه دیگری داشت. او نوشت اگرچه زیرساختهای سایبری و امنیت اطلاعات آنچنان که باید جدی گرفته نشدهاند و یا سیاستگذاری در این حوزه قربانی موازیکاریهای نادرست شده، اما نکتهی مهم و مغفول در همهی این حملات سایبری، نقش عامل انسانی است. آذری جهرمی نوشت که «بدون همکاری عامل انسانی عملاً این درزهای اطلاعاتی امکانپذیر نیست.» و میزان اثر متقابل نارضایتی عمومی و کاهش سرمایه اجتماعی در کاهش سطح امنیت سایبری را نمیتوان نادیده گرفت: «نمیتوان این رخدادها را بدون نگاه جامعهشناسی و حکمرانی و صرفاً با نگاه مهندسی بررسی و اسیبشناسی کرد. راستی به نظر ما فیلترینگهای گسترده که با عنوان حفاظت از مردم اجرا میشود چقدر به امنیت سایبری کشور کمک کرده و چقدر در راستای کاهش سرمایهی اجتماعی گام برداشته؟»
شرکتها و سازمانها بازخواست نمیشوند
بر اساس آخرین گزارش وب سایت سرف شارک از شاخصهای کیفیت زندگی دیجیتال در سال ۲۰۲۲، رتبه ایران در امنیت الکترونیک از بین ۱۱۷ کشور، ۱۱۳ بود. معیارهای این بخش امنیت سایبری و قوانین حفاظت از داده است که قوانین حفاظت از داده برای ایران صفر عنوان شده است.
جدی نبودن برای حفاظت از دادههای مردم در جرایم رایانهای هم مشخص است. نبود قوانین کیفری و جرمانگاری در این زمینه باعث سهلانگاریهایی در سازمانها شده؛ زیرا در این قانون، بند مشخص و محکمی برای جریمه کردن شرکتها و سازمانهایی که در حفاظت از دادههای مردم اهمال کردهاند وجود ندارد. به گفته قربانی در ایران اگر اطلاعات نشت پیدا کند، فقط هکر مجرم است و کسی شرکت یا سازمان را جریمه یا بازخواست نمیکند که چرا اطلاعات مردم رمزگذاری یا حداقل محافظت نشده است. جریمه درصدی از درآمد شرکت در صورت نشت اطلاعات مردم، ضمانتی بهحساب میآید که در بسیاری از کشورها باعث میشود سازمانها امنیت شبکه را جدی بگیرند.
در نبود چنین ضمانتی در کشور، شرکتها و سازمانها هم دلیلی نمیبینند که برای حفاظت و رمزگذاری دادههای مردم هزینه کنند. مسئولان هم نیازی نمیبینند محدودیتها را برای حفاظت از دادههای مردم بردارند و در این موارد پاسخگو باشند.