این روزها حملات اینترنتی به سازمانها، نهادهای مختلف دولتی و خصوصی و نشت اطلاعات داخلی آنها به سرتیتر اخبار تبدیل شده است. حالا این رخدادهای امنیتی پایشان به شرکتهای نوپا یا استارتآپی نیز باز شده و حداقل در یک سال اخیر خبرهای مختلفی در مورد نشت اطلاعات در این شرکتها شنیده شده است.
این حملات در خیلی از نکات اگر به هم شبیه نباشند در یک نکته به هم شباهت قابل توجهای دارند: بیتوجهی به هشدارهای مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای) نسبت به همان حمله اینترنتی که حالا آن شرکت یا سازمان را در بحران امنیتی قرار داده است. برای نمونه در جدیدترین اتفاق هفته گذشته، سایت سازمان تامین اجتماعی هک و از دسترس خارج شد و حالا مشخص شده که مرکز ماهر پیش از این هک به سازمان تامین اجتماعی هشدارهای لازم در مورد آسیبپذیری امنیتی این سایت را داده بود. این اولین بار نیست که یک سازمان نسبت به گزارش این مرکز بیتوجه است. سال گذشته نیز وقتی سایت زرینپال؛ شرکت فعال در حوزه پرداخت الکترونیکی هک شد آنها در اطلاعیهای اعلام کردند که پیش از این اتفاق نیز مرکز ماهر نسبت به باگ امنیتی روی تجهیزات شبکه این شرکت هشدار داده بود. اما چرا نهادهای دولتی یا شرکتهای خصوصی به هشدارهای امنیتی مرکز ماهر توجه نمیکنند؟
ماهر همه اختیارات را ندارد
اما ابوالقاسم صادقی، معاون امنیت سازمان فناوری اطلاعات در مقابل این انتقادها اعلام میکند که ماهر مسئولیت مقابله با حوادث، رخدادها و شناسایی آسیبپذیرها را برعهده دارد؛ اما همه مسئولیتها برای جلوگیری از بحران امنیتی در اختیار این مجموعه نیست. صادقی در مورد سطح اختیارات مرکز ماهر میگوید: «مرکز ماهر مسئولیت مقابله با حوادث، رخدادها و شناسایی آسیبپذیرها را برعهده دارد. سطح اختیارات کسی که بحران را شناسایی و اعلام کرده، برای رفع ریشهها و عوامل بروز آن بحران مهم است. ممکن است شما بحرانی را شناسایی و اعلام کنید؛ اما لزوماً همه ابزار برطرف کردن آن در اختیارتان نباشد.» او با ذکر مثالی میافزاید: «مثالش همین آسیبپذیریای است که روی دستگاههای میکروتیک (MikroTik) اعلام کرده بودیم. آن زمان که ما اعلام کردیم، حدود ۱۷ هزار دستگاه آسیبپذیر در کشور داشتیم. چندین بار هم اخطار و تذکر دادیم اما در بازه چندماهه (شاید بالای شش ماه) حدود ۱۰، ۱۵ درصد آنها اقدام به رفع آسیبپذیری کردند. این روترهای آسیبپذیر هنوز در کشور هستند. موضوع این است که کسی که این رصدها را انجام میدهد همان کسی نیست که همه اختیارات را دارد.» او تاکید میکند که ماهر خواستار تمامی اختیارات هم نیست چرا که چارچوبهای قانونی فعالیت در حوزه سایبری تعریف شده؛ اما باید پروتکلهای ارتباطی نهادهای درگیر در این حوزه تعریف و با یکدیگر هماهنگ شود. به باور صادقی ماهر میتواند نخ تسبیح این هماهنگیها بین دستگاههایی که فرایندهای امنیتی را در اختیار دارند باشد.
سیاست ماهر صیانت از حقوق شهروندان و شرکتهاست
بررسی گزارشها و خبرهای منتشر شده از سمت مرکز ماهر نشان میدهد که تا زمانی که یک اتفاق عمومی در مورد یک بحران امنیتی رخ ندهد، گزارشی از سمت این مرکز منتشر نمیشود. از طرفی گزارشهای این مرکز در مورد برخی رخدادهای امنیتی با وجود وعدههای این سازمان برای انتشار جزییات آن رخداد منتشر نمیشود. برای مثال اواخر فروردین و همزمان این مرکز وعده داد که بعد از بررسیهای لازم گزارشی از جزییات این اتفاق را منتشر خواهد کرد، وعدهای که تاکنون هم محقق نشده است. صادقی در این زمینه میگوید: «ما به عنوان دولت باید به صورت همزمان هم از حقوق شهروندان صیانت کنیم و هم از کسبوکارها حمایت کنیم. اینها همزمان باید اتفاق بیفتد. زمانی که نشت اطلاعات تپسی رخ داد مقام محترم وزارت بدون اینکه اسمی از مجموعهای بیاورند، اصل موضوع را در قالب یک توییت، با هشتگ گزارش به مردم، اطلاعرسانی کردند. فلسفه آن توییت این بود که اگر جایی خطری متوجه مردم است، این موضوع اطلاعرسانی شود. قرار نبود که اسامی شرکتها رسانهای شود.» براساس اظهارات صادقی به خاطر اینکه کسبوکار شرکتها آسیب نبیند، تذکرات به صورت محرمانه داده میشود. او با انتقاد از برخی خبرهایی که در مورد تپسی رسانهای شد اعلام کرد: «منظور من این نیست که چنین اتفاقاتی رسانهای نشود اما نباید چیزی رسانهای شود که به کسبوکار شرکت آسیب بزند. هدف ما این است که بهبود شرایط کسبوکار و افزایش اعتماد عمومی رخ دهد. هدف ما نابود کردن کسبوکارها نیست.»
او در پاسخ به سوالی در مورد سیاست انتشار گزارشهای ماهر میگوید: «قاعده ما این است که دو نوع گزارش عمومی داریم. نوع اول در حیطه آسیبپذیریهاست. احساس میکنیم یکسری از این آسیبپذیریها خطرناک است؛ مثلاً آن نرمافزار یا وسیلهای که در معرض آسیب است، ضریب نفوذ بالایی در کشور دارد. یا نوع آسیبپذیری طوری خطرناک است که اگرچه تعداد دستگاههای زیادی را درگیر نمیکند اما تبعات زیادی دارد. بر حسب بررسیهایی که انجام میپذیرد تصمیمگیری میشود که گزارش منتشر شود یا نه.» صادقی در توضیح گزارشهای دیگر این مرکز میافزاید: «گزارش نوع دوم ماهر درباره رخدادها و حملات است. سیاستی که در گذشته وجود داشته این بوده که چنین گزارشهایی اساساً منتشر نشود. سیاست ما این است که آن بخشهایی که به صورت تجاری برای سازمانها و شرکتها محرمانگی پیدا میکند از گزارش حذف و جنبه عمومیاش برای بقیه با هدف آگاهسازی و تجربه منتشر شود.»
کنترل ضعیف اپاستورها روی اپلیکیشنها
از دیگر گزارشهایی که مرکز ماهر به صورت ماهانه یا فصلی هم منتشر میکند گزارش در مورد اپلیکیشنهای ناامنی است که توسط اپاستورهای مختلف منتشر میشود. این گزارشها در حالی از سمت این مرکز منتشر میشود که برخی اپاستورهای ایرانی اعلام میکنند که تا زمانی که صحت گزارشهای ماهر در این زمینه توسط خودشان بررسی نشود اقدام به حذف آن نخواهند کرد. صادقی در واکنش به این نوع سیاست اپاستورهای ایرانی میگوید: «از دید ما، خیلی شفاف و صریح، اپاستور نسبت به آلوده نبودن محصولی که در اختیار مردم قرار میدهد مسئول است. اپل و گوگل این کار را میکنند و اپاستورهای داخلی هم موظفاند این سرویس را برای کاربر برقرار کنند. کل کنترل من اگر قرار باشد با استفاده از یک آنتیویروس نهچندان قوی که در ۳۰ آنتیویروس اول دنیا جایی ندارد اعمال شود، اصلاً فایده ندارد.» او میافزاید: «بحثی که امروز در نهادهای تصمیمساز درباره اپلیکیشنها در جریان است این است که برخی میگویند هر اپلیکیشنی باید مجوز امنیتی بگیرد؛ اما ما به عنوان وزارت ارتباطات مدام تاکید میکنیم که فشار به اپها نیاید. مجوزهای امنیتی گران هستند و خیلی از نویسندگان اپها اصلاً بضاعت مالی ورود به چنین فرایندهایی را ندارند. در تمام دنیا این کنترلها را اپاستورها انجام میدهند. در کشور ما هم اپاستورها باید آماده این کار باشند. اکنون هم چنین نقشی را ایفا میکنند ولی به شکل خیلی ضعیف و مینیاتوری.»
اما صادقی در پاسخ به این سوال پیوست که چرا با وجود ناامن بودن پوستههای تلگرامی و تاکید تلگرام روی این موضوع مرکز ماهر اپاستورهای ایرانی را مجاب به حذف این پوستهها نکرده اعلام میکند: «قانون حکم کرد تلگرام فیلتر شود و وزارت ارتباطات هم به عنوان مجری قانون آن را مسدود کرد، حجم قابل توجهی از ارتباطات در گذشته روی تلگرام بود و نمونههای داخلی هم که به دلیل ضعفهایی که داشتند (به رغم همه تلاشها و آمادگی خوبی که در افکار عمومی ایجاد شد) نتوانستند پاسخ بدهند و ظرفیت لازم را نداشتند. در نتیجه مردم برگشتند. شرکتهایی بودند که توافقاتی انجام دادند و دسترسیها را ایجاد کردند. تاکنون کسی به ما ارجاع نداده است که اینها امن هستند یا نه تا بررسی کنیم.» او در واکنش به اینکه اما تلگرام این پوستهها را نا امن اعلام کرده است میگوید: «حرف تلگرام برای ما حجت نیست؛ مثلاً اگر یک کاربر از ویپیان آلوده به بدافزار استفاده کند و به تلگرام وصل شود، آیا تلگرام راجع به آن اظهارنظری میکند؟ تلگرام دقیقاً میداند کدام کاربران با استفاده از ویپیان وصل میشوند. این را با آگاهی دقیق میگویم. » براساس اظهارات او مرکز ماهر تا کنون هیچ درخواستی از سوی هیچ مرکز دولتی و خصوصی نداشته که این پوستهها را بررسی امنیتی کند.