وقتی حمله سایبری به کشور برای مسوولان عادی می‌شود/ اشکال کار کشور در مقابله با حملات فضای مجازی کجاست؟

به گزارش گروه علم و پیشرفت خبرگزاری فارس، رویداد تازه ای در فضای مجازی ایران که آن حملات سایبری به برخی دستگاه های اجرایی شد، بار دیگر زخم کهنه نبود حاکمیت مجازی در کشور را تازه کرد.

وقتی وزیر ارتباطات و فناوری نسبت به تحرکات جدید مهاجمان سایبری هشدار داد کار از کار گذشته بود.

محمد جواد آذری جهرمی، وزیر ارتباطات و فناوری در کانال تلگرامی خود نوشت: مجدداً هشدار اردیبهشت سال ۹۷ در مورد حملات باج‌افزاری با سو استفاده از درگاه مدیریتی iLo سرورهای HP را یادآوری می‌کنیم. تحرکات جدیدی توسط مهاجمان سایبری برای طراحی حملات سایبری با استفاده از این نقیصه، رصد و گزارش‌شده است.

سرویس iLo یک درگاه مستقل فیزیکی است که جهت مدیریت و نظارت سرورهای شرکت HP از سوی مدیران شبکه استفاده می‌شود. این سرویس حتی در صورت خاموش بودن سرورها به مهاجم قابلیت راه‌اندازی مجدد و دسترسی غیرمجاز را می‌دهد. 

ماجرای حمله سایبری اخیر چه بود؟

خیلی زود تلاش برای حملات سایبری به برخی سامانه‌های کشور از جمله سامانه‌های شرکت راه آهن و ستاد وزارت راه و شهرسازی مشخص شد.

شرکت راه آهن ناگزیر شد که عملیات مدیریت سیر و حرکت قطارها را از حالت سیستمی به دستی تغییر دهد. وب سایت رسمی وزارت راه و شهرسازی هم دچار اختلال شد و ساعاتی بعد از دسترس خارج شد. البته مسوولان وزارت راه، این اتفاقات را اختلال سایبری عنوان کردند.

این روزها وزارت راه در صدر اخبار مربوط به حمله سایبری بود

برخی منابع خبری از حمله سایبری به وب سایت برخی دستگاه‌های دولتی هم خبر دادند.

وزارت ارتباطات چه کرد؟

آن طور که وزارت ارتباطات اعلام کرد، با اعلام حمله ‫باج افزاری از سوی یکی از قربانیان، این وزارتخانه از وقوع نوع جدیدی از حمله باج‌افزاری بر روی درگاه‌های iLO مطمئن شد.

در ادامه این وزراتخانه، بررسی‌های بیشتر برای شناسایی قربانیان حمله انجام شده را آغاز کرد. فضای آدرس IP کشور را روی درگاه‌های iLO رصد کرد و سرورهای آسیب‌پذیر را شناسایی کرد.

در ادامه با شماری از صاحبان این سرویس‌ روی بستر اینترنت که در معرض تهدید بودند تماس گرفته شد و هشدارهای لازم ارائه شد. 

توصیه‌های امنیتی به صاحبان سرویس‌ های در خطر این بود که درگاه‌های iLo از طریق شبکه‌ اینترنت روی سرورهای HP مسدود شود و در صورت نیاز به استفاده از iLO، با استفاده از راهکارهای امن نظیر ارتباط VPN اتصال مدیران شبکه به این‌گونه سرویس‌دهنده‌ها برقرار شود. همچنین در صورت مشاهده هرگونه موردی نظیر پیام باج‌خواهی در iLo Security Login Banner، تغییر در Boot Order، به‌هم‌ریختگی یا پاک شدن بی‌دلیل پیکربندی و اطلاعات یا هر مورد مرتبط و مشکوک دیگر با مرکز ماهر تماس بگیرند.

این بار دیگر از کجا ضربه خوردیم؟

مرکز ماهر (مرکز مدیریت امداد و هماهنگی رخدادهای رایانه ای) در زیر مجموعه وزارت ارتباطات و فناوری اطلاعات قرار دارد و در سطح ملی برای پیشگیری و مقابله با حوادث فضای تبادل اطلاعات فعالیت می کند. مرکز ماهر به عنوان مقابله با رخدادهای رایانه ای ملی ایران از سال ۸۷ ایجاد شده است. تنها مشکل این مرکز این است که باوجود حساسیت به زمان در رویدادهای سایبری، این مرکز بسیار کند و با تاخیر عمل می کند و از این رو همواره در توجیه هدر رفت نیروی انسانی کارکنان، امکانات دولتی و بودجه عمومی مناسبی که در اختیار دارد با مشکل مواجه است. البته این مرکز در زمینه انتشار مطالب فصل نامه ای تخصصی در حوزه امنیت فعالیت خوبی دارد.

مرکز ماهر این بار هم ۳ روز بعد از اینکه همه از حملات مطلع شدند، بررسی خود را از حمله اعلام کرد.

بررسی سه آسیب‌پذیری out HP-Integerated lights با شناسه‌های CVE-2017-12542، CVE-2018-7105 ،CVE-2018-7078 در سطح کشور نشان می‌دهد، برخی از شبکه‌های کشور در برابر این ضعف‌ها به درستی محافظت نشده‌اند. پیکربندی نادرست، عدم به‌روزرسانی به موقع و عدم اعمال سیاست‌های صحیح امنیتی در هنگام استفاده ازHP Integrated Lights-Out از دلایل اصلی این ضعف در شبکه‌های کشور عنوان شد. جدول زیر مشخصات این سه آسیب‌پذیری را نمایش می‌دهد.

در این باره این مطلب را بخوانید: بررسی سه آسیب‌پذیری اخیر در کشور

پارسال وضع مان در حملات سایبری چه طور بود؟

با وقوع این حمله اخیر، شاید این سوال مطرح شود که کلا وضع کشور در زمین حملات این چنینی چگونه است؟ برای پاسخ به این سوال برای نمونه وضعیت سال گذشته کشور در حملات سایبری را بررسی کرده ایم. نتیجه بررسی نشان می دهد پارسال هم وضع بهتری نبوده است و حتی شاید بتوان گفت اینکه تا ماه چهارم سال ۱۴۰۰ هنوز رخداد خاصی نداشتیم عملکرد خوبی بوده و جای قدردانی از مسئولان فضای مجازی کشور و سوء استفاده کنندگان و هکرها دارد.

در اولین روزهای فروردین ۹۹، خبر نشت اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام منتشر شد. در ادامه هم اتفاقات دیگری امنیت سایبری در فضای مجازی ایرانی ها رخ داد.

حمله سایبری ناموفق به بندر شهید رجایی ۲۹ اردیبهشت سال ۹۹ رخ داد. بندر شهید رجایی دروازه طلایی اقتصاد ایران نامیده می شود که سهم ۵۰ درصدی از تجارت ایران را به خود اختصاص داده است.

روزنامه واشنگتن پست در گزارشی به نقل از یک مقام دولت آمریکا و مقامات رسمی یک دولت خارجی مدعی شد که رژیم صهیونیستی علیه تأسیسات بندر شهید رجایی ایران حمله سایبری داشته است.

سال گذشته بندر شهید رجایی هم مورد حمله سایبری قرار گرفت که حمله ناموفق بود

در این خبر نوشته شده که سیستم های کامپیوتری که جریان شناورها، کامیون ها و کالاها را تنظیم می کنند همه یک باره از کار افتاده اند. این روزنامه همچنین ادعا کرد بود که این حمله در واکنش به عملیات سایبری ای رخ داد است که به تاسیسات آبی روستایی اسرائیل انجام شده است. در پنج و ششم اردیبهشت، زیرساخت های شبکه اسکادای شرکت های تصفیه فاضلاب در اسرائیل مورد حملات سایبری قرار گرفت. یک ماه پس از این حمله، ادعایی فاکس نیوزی مطرح شد که این حمله را به هکرهای ایران مرتبط می دانست. ادعایی که از جانب مقامات ایرانی تکذیب شده است.

این روزنامه همچنین تلاش کرد تا در متن گزارش خود ابعاد این اختلال را وسیع جلوه دهد. اما برخلاف ادعاهای انجام شده مبنی بر گستردگی اختلال در بندر شهید رجایی، این حمله سایبری چندان موفق نبود. مسئولان ذیربط در بندر شهید رجایی تاکید کردند که با توجه به آمادگی کامل واحدهای پدافند غیرعامل در تأسیسات بندر شهید رجایی و مقابله به موقع و مؤثر با اشکالات به وجود آمده، این حمله نتوانست هیچ اخلالی در روند فعالیت های جاری ایجاد کند و موجب توقف هیچ یک از عملیات پهلوگیری، تخلیه و بارگیری کشتی ها نشده است.

حمله سایبری وسیع به سازمان بنادر در ۲۲ ام مهر سال ۹۹ در فضای مجازی، رخ داد. در آن زمان زمزمه هایی در مورد حمله سایبری به چند سازمان دولتی منتشر شد. در این روز، کارشناسان فناوری اطلاعات سازمان های دولتی، هشدارها و توصیه های امنیتی مبنی بر متوقف کردن سریع فرآیندهای به روزرسانی سیستمی، آنتی ویروس ها و فایروال ها دریافت کردند. فردای آن روز مرکز ماهر در اطلاعیه ای از حمله مهم سایبری به دو سازمان دولتی خبر داد و اعلام کرد این حملات در حال پیگیری و رفع هستند.

در همان روز ابوالقاسم صادقی، معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات ایران در باره این حمله اشاره کرد که رخدادی مبتنی بر یک آسیب پذیری مهم و حیاتی از مراجع بین المللی بوده است و در وب سایت مرکز ماهر در رابطه با آن هشدارهایی داده شده بوده است. منظور صادقی، آسیب پذیری مهم معروف به زیرولوگان با شناسه ۱۴۷۲ - CVE-۲۰۲۰ است که دو ماه پیش از تاریخ حمله، یعنی در ۲۱ مرداد سال ۹۹ توسط مایکروسافت اطلاع رسانی عمومی شده بود. این آسیب پذیری با بالاترین سطح خطر ( ۱۰ از ۱۰ ) مربوط به فرآیند ویندوزی سروری Netlogon است. وب سایت مرکز ماهر هم هشدارهایی در مورد این آسیب پذیری در تاریخ های ۲۶ شهریورماه و سوم مهرماه منتشر کرد.

بنابراین با وجود اطلاع رسانی های عمومی چه در خارج و چه در داخل کشور و آن هم از طریق مراجع رسمی، متاسفانه این آسیب پذیری در سازمان های دولتی مهمی همچون سازمان بنادر وصله نشده بود. پس از وقوع این حمله مرکز ماهر بیانیه ای صادر کرد و در آن توضیح داد که اگرچه هشدارهای پیشگیرانه برای مسئولین و کارشناسان دولتی در سطح ملی صادر شده است اما حمله صرفاً مربوط به دو سازمان دولتی بوده است.

حمله سایبری گسترده به زیرساخت های ابر آروان در اواخر اسفندماه ۹۹ رخ داد. زیرساخت رایانش ابری آروان در دیتاسنتر IR-THR-AT۱ تحت حملات سایبری قرار گرفت که هدف از آن ها تخریب و حذف اطلاعات مشتریان گزارش شد.

به گزارش وب سایت رسمی این شرکت، این حمله در حدود ۱۶ درصد از مشتریان غیررایگان ابر آروان را متاثر کرد. در این حمله، آن گروهی از مشتریان دچار مشکل اساسی شدند که از داده های خود نسخه پشتیبان نداشتند، یا معماری آن ها به شکل ابری ( Cloud Native ) نبود و به شکل Multi Availability Zone طراحی نشده بودند.

با مقررات فعلی، مسئول سایبری در کشور چه کسی است؟

حوزه امنیت اطلاعات از جهات زیادی مانند حوزه فرهنگ است؛ زیرا در همه بخش ها حضور دارد و بنابراین هر جا یک متولی دارد اما روز پاسخ گویی متولی مشخصی در دسترس نیست. اما فعلا مقررات فعلی کشور روی کاغذ برای این سردرگمی درمانی دارد و تکلیف را روشن کرده است.

مصوبه شورای عالی فضای مجازی درباره نظام ملی پیشگیری و مقابله با حوادث فضای مجازی لازم الاجرا است

در آبان ۹۷، شورای عالی فضای مجازی در چهل و چهارمین جلسه خود با تصویب «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی»، مسئولیت دستگاه های اجرایی را در مقابله با حوادث فضای مجازی تبیین کرد.در این جلسه که به ریاست حسن روحانی رئیس جمهور برگزار شد، وضعیت سایبری کشور در مقایسه با کشورهای دیگر و راه‌های توسعه و افزایش قدرت سایبری کشور نیز مورد بحث و تبادل نظر قرار گرفت و نتیجه این شد که: نیروی انتظامی جمهوری اسلامی مسئول رسیدگی به حوادث فضای مجازی که در حوزه عمومی به وقوع می‌پیوندد، باشد.

مسئولیت جمع‌آوری ادله دیجیتال در جرایم عمومی فضای مجازی هم بر عهده نیروی انتظامی جمهوری اسلامی گذاشته شد.

سازمان حراست کل کشور، مسئولیت جمع آوری ادله دیجیتال تخلفات اداری در سازمان‌ها را به عهده گرفت.

وزارت ارتباطات و فناوری اطلاعات مسئوول رسیدگی به حوادث فضای مجازی که در سازمان‌ها رخ می‌دهد، شد.

به آن دسته از حوادثی که در حوزه دستگاه های دارای زیرساخت حیاتی به وقوع می پیوندد، توسط مرکز مدیریت راهبردی افتای ریاست جمهوری رسیدگی خواهد شد.

طبق این مصوبه، همه دستگاه‌های حکومتی موظف شدند که با حوادث فضای مجازی مربوط به دستگاه خود مقابله کنند و در این رابطه از امکانات بخش خصوصی هم استفاده کنند.

چرا مصوبه شورای عالی فضای مجازی درباره تقسیم کار سایبری کار نمی کند؟

یکی از چالش‌هایی که در حوزه امنیت فضای سایبری کشور، مانند زخم کهنه ای هر چند وقت یکبار سر باز می کند، نبود مرکز فرماندهی برای تصمیم گیری عملیات است.

در مصوبه شورا، اگرچه تقسیم کار در حوزه سایبری انجام شده اما مرکز فرماندهی برای تصمیم گیری دیده نشده است.

یعنی باوجود اینکه مشخص شده چه کسی مسوول هر نوع حادثه‌ای در سطح ملی است و برای برای هر حادثه، مسئول، نحوه هماهنگی، محوریت اجرا و مراحل همکاری تعیین شده؛ اما روشن نیست که چه نهادی هماهنگ کننده این دستگاه های مسئول در کار مقابله با حملات سایبری است؟

همچنین در حوزه فضای مجازی، به فراخور زمان و موقعیت، با مصوبات و دستوراتی از شوراهای بالادستی از جمله شورای عالی فضای مجازی یا شورای عالی امنیت ملی یا نهادهایی مانند اطلاعات سپاه مواجه هستیم که نهادی برای تقسیم مسئولیت و هماهنگی مناسب این دستورات نیست.

این وضعیت تقسیم کار که هم تکالیف را روشن کرده و هم مسئولیت را به طور مستقیم بر دوش سازمانی نگذاشته است، شرایط مطلوبی را برای مسوولان و دستگاه ها برای فرار از پاسخ گویی ایجاد کرده است. 

برای مثال اگر حادثه ای در سازمانی رخ دهد براساس معیارهای تفکیک نوع حادثه اعم از زیرساختی یا غیرزیرساختی، مردم و رسانه ها باید پاسخ را از کدام دستگاه مطالبه کنند؟ یا در حادثه، خود هر سازمان برای مقابله با حوادث فضای مجازی خود مسئولیت دارد؛ در صورت کم کاری سازمان در این امر، چه کسی پاسخ گو خواهد بود؟ 

برای مثال در حمله سایبری وسیع به سازمان بنادر که در روز ۲۲ ام مهرماه سال ۹۹ در فضای مجازی، رخ داد، وقتی با وجود اطلاع رسانی های عمومی چه در خارج و چه در داخل کشور و آن هم از طریق مراجع رسمی، آسیب پذیری در سازمان های دولتی مهمی همچون سازمان بنادر وصله نشده بود، مسئول این کم کاری کیست؟ چگونه معرفی می شود؟ چه کسی درباره آن پاسخ می دهد؟

این موضوع هم مانند برخی از موضوعات دیگر بار دیگر نشان می دهد که مصوبات این شورا ضمانت اجرایی ندارند. 

پیشنهاد وضع قانون برای فرماندهی سایبری کشور

وقتی چند سال از مصوبه شورای عالی فضای مجازی درباره جزئیات طرح پیشگیری و مقابله با حوادث فضای مجازی در سال ۹۷، گذشت و مشکل مرزبانی سایبری کشور حل شد و خلاء فرماندهی واحد برای در رخدادهای سایبری همچنان احساس می شد، پیشنهادی درباره واگذاری مسئولیت فرماندهی مرزبانی سایبری کشور به ستاد کل نیروهای مسلح در مجلس مطرح شد.

مرزبان فضای مجازی یعنی چه؟

این پیشنهاد خیلی زود واکنش های منفی به همراه داشت و از آن به عنوان طرحی برای افزایش محدودیت ها و شدید شدن نظارت ها یاد شد.

در این طرح، برای ستاد کل نیروهای مسلح جایگاه هماهنگ کننده دستگاه‌ها در اجرای سیاست‌های مرزبانی سایبری دیده شده بود. یعنی طبق خط‌مشی و حاکمیت در گذرگاه‌های مرزی فضای مجازی کشور، عملیات مرزبانی فضای مجازی و دفاع سایبری در گذرگاه‌های مرزی با مسئولیت ستاد کل نیروهای مسلح انجام شود.

در همین حال همه دستگاه‌های حکومتی دخیل در این رابطه و بخش خصوصی موظف به انجام دستورات ستاد کل نیروهای مسلح باشند.

طبیعی است که در این روش اختیار عمل برخی نهادهای دارای اختیار محدودتر و اعمال سلیقه در مدیریت و عملکرد جزیره ای کمترخواهد شد که احتمالا با مقاومت هایی رو به رو خواهد شد.

چه وظایفی برای مرزبان فضای مجازی و دفاع سایبری قابل تصور است؟

همیشه پای شبکه ملی اطلاعات در میان است

اساسا یکی از ایده های راه اندازی شبکه ملی اطلاعات، تقویت ساختارهای امنیتی کشور بود.

پروژه شبکه ملی اطلاعات از سال ۱۳۸۴ در کشور مطرح شد و چون هنوز بلاتکلیف بود، در شهریور ماه سال ۹۹ ، شورای عالی فضای مجازی، مصوبه ای با موضوع «طرح کلان و معماری شبکه ملی اطلاعات» را به تصویب رساند.

در مقدمه این مصوبه در باب اهمیت این پروژه نوشته است که: تحقق استقلال کشور، کاهش وابستگی و جلوگیری از دست اندازی بیگانگان در فضای مجازی، تأمین نیازهای عمومی مردم و ایجاد زیست بوم متناسب با فرهنگ اسلامی  ایرانی، منوط به تحقق شبکه ملی اطلاعات و مستلزم فعالیت نظام مند و فراگیر در تقویت، ساماندهی و توسعه محتوا و خدمات کاربردی فضای مجازی است. در این سند ذکر شده است که تأمین نیازهای ملی فضای مجازی، تحقق استقلال و کاهش وابستگی و مداخله بیگانگان در فضای مجازی کشور، مستلزم شکل گیری و پیشرفت تمامی لایه ها، به صورت همگن و هماهنگ است.

پروژه شبکه ملی اطلاعات، همچون بسیاری از پروژه های کلان کشوری موافقین و مخالفین خود را دارد. از موارد بسیاری مهمی که موافقین این طرح بر آن تاکید می کنند، موضوع امنیت اطلاعات کاربران است.

انتظاری که شورای عالی فضای مجازی از شبکه ملی اطلاعات این است که شبکه ملی اطلاعات باید به عنوان سپر محافظتی محتوا و خدمات فضای مجازی کشور عمل کند و فرقی هم نمی کند که تهدیدات و حملات از مبدأ خارجی باشد یا داخلی.

معتقدیم رکن اصلی برقراری امنیت فضای مجازی توسط شبکه ملی اطلاعات تأمین می شود و تا آن نقطه مسیر طولانی در پیش داریم.

انتهای پیام/