تکرار سناریوی حمله سایبری به دستگاه‌های اجرایی/هیچ‌کس مسئول نیست!

به گزارش خبرنگار مهر، با وجود تعاریف مشخصی که برای امنیت سایبری در شبکه ملی اطلاعات به وزارت ارتباطات و سایر دستگاه‌های متولی تکلیف شده اما همچنان وضعیت مقابله با تهدیدات سایبری، حفاظت و صیانت از داده و اطلاعات و مدیریت مخاطرات در داخل کشور قابل دفاع نیست.

به بیان دیگر اگرچه هدف شبکه ملی اطلاعات برقراری ارتباطات امن و حفاظت شده است، اما شواهد نشان می‌دهد که با عدم پیشرفت درست و به موقع، این شبکه در امنیت سایبری همچنان با خلأ روبرو است و تبادل داده در زیرساخت‌های حیاتی و حساس کشور تضمین شده نیست.

به دلیل نبود نظام حاکمیت سایبری در کشور هر چند وقت یک بار شاهد انتشار اخباری در خصوص نشت اطلاعات سازمان‌ها و دستگاه‌های مختلف و یا سرقت داده و افشای پایگاه اطلاعات هویتی کاربران هستیم. اخباری که سازمان‌ها و نهادهای مرتبط با موضوع دفاع سایبری در کشور، یا آن را برعهده نمی‌گیرند و یا پیگیری موضوع در جریان پاس‌کاری میان دستگاه‌ها به فراموشی سپرده می‌شود.

در مورد جدید، رسانه‌ها از حمله سایبری به شرکت راه آهن و ستاد وزارت راه و شهرسازی به دلیل ضعف لایه‌های امنیتی خبر داده‌اند که فعالیت‌های جاری این وزارتخانه را دچار مشکل کرده است. گفته شده که در پی وقوع هک سامانه‌های شرکت راه آهن، این شرکت ناچار شد گراف (مدیریت سیر و حرکت) قطارهای باری و مسافری را از حالت سیستمی به دستی تغییر دهد.

حتی یک روز پس از انتشار این اخبار نیز گفته شد که وبسایت رسمی وزارت راه و شهرسازی دچار اختلال و پیامی روی آن درج شد که از هک شدن این وبسایت حکایت دارد. این وبسایت ساعاتی بعد از دسترس هم خارج شد.

پس از آن وزارت راه و شهرسازی در اطلاعیه‌ای اعلام کرد که «بروز اختلال سایبری در سیستم‌های کامپیوتری کارکنان ستاد وزارت راه و شهرسازی ظاهر شد که در پی آن پورتال وزارتخانه و سایت‌های زیر پورتال آن از دسترس خارج شد. کارشناسان فنی در حال بررسی موضوع هستند و در صورت در دسترس قرار گرفتن پورتال و سامانه‌های زیرمجموعه آن، اطلاع رسانی خواهند کرد.»

اگرچه هنوز وقوع حمله سایبری از سوی وزارت راه به درستی تأیید نشده است و پیگیری خبرنگار مهر از مرکز افتای ریاست جمهوری نیز نشان می‌دهد که موضوع در دست بررسی کارشناسان این مرکز قرار دارد اما آنچه مسلم است اینکه ضعف امنیت شبکه و نیز وجود نگاه بخشی به مباحث و وظایف فاوا در دستگاه‌های دولتی، ضریب آسیب پذیری سایبری این دستگاه‌ها را روز به روز افزایش می‌دهد.

مصوبه مقابله با حوادث سایبری پاسخگوی همه نیازها نیست

مطابق با آنچه که در «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی»، در شورای عالی فضای مجازی به تصویب رسیده، مسئولیت هر دستگاهی در مقابله با حوادث فضای مجازی مشخص است. برای مثال طبق این مصوبه، حوادثی که در حوزه عمومی به وقوع می‌پیوندد، توسط نیروی انتظامی مورد رسیدگی قرار خواهد گرفت و حوادثی که در سازمان‌های غیر زیرساختی رخ می‌دهد از طریق وزارت ارتباطات و فناوری اطلاعات باید رسیدگی شود. مسئولیت پیگیری حوادث در دستگاه‌های حاکمیتی که دارای زیرساخت‌های حیاتی هستند نیز بر عهده مرکز افتای ریاست جمهوری است.

در همین حال طبق این مصوبه همه دستگاه‌ها موظفند که با حوادث فضای مجازی دستگاه مربوط به خود مقابله کنند و به نوعی به حفاظت از پایگاه‌های داده خود ناگزیر هستند. با این وجود اما به نظر می‌رسد این مصوبه پاسخگوی همه نیازها نیست و به نوعی ضمانت اجرایی ندارد و جای یک مرکز فرماندهی و تصمیم گیری برای امنیت فضای سایبری در کشور خالی است.

به همین دلیل و با توجه به ضعف ساختارهای امنیتی کشور، تقویت ابعاد زیرساختی شبکه ملی اطلاعات و قانونگذاری در این حوزه می‌تواند راهگشای مناسبی برای مشکلات امنیت فضای سایبری کشور باشد.

از این رو ضرورت رفع خلاءهای موجود در حوزه امنیت سایبری در طرح جدیدی که به تازگی از سوی نمایندگان مجلس در حوزه حمایت از حقوق کاربران در فضای مجازی مطرح شده آمده است.

در این طرح بر اعمال خط‌مشی و حاکمیت و حفاظت در گذرگاه‌های مرزی فضای مجازی کشور تاکید شده است. به نحوی که مرزبانی فضای مجازی و دفاع سایبری و جلوگیری از بهره‌برداری غیرمجاز از داده‌ها در گذرگاه‌های مرزی با مسئولیت ستاد کل نیروهای مسلح انجام پذیرد. در همین حال دستگاه‌هایی مانند مرکز ملی فضای مجازی، وزارت ارتباطات و فناوری اطلاعات، وزارت اطلاعات، وزارت دفاع و پشتیبانی نیروهای مسلح، قوه قضائیه، سازمان صدا و سیما، نیروی انتظامی، سازمان پدافند غیرعامل و سازمان اطلاعات سپاه، شرکت ارتباطات زیرساخت و ارائه‌دهندگان خدمات اینترنت موظف به انجام دستورات ستاد کل نیروهای مسلح خواهند بود.

مرزبانی سایبری نقطه قوت طرح حمایت از حقوق کاربران در فضای مجازی

مسعود فیاضی معاون مطالعات آموزش و فرهنگ مرکز پژوهش‌های مجلس در گفتگو با خبرنگار مهر، یکی از محسنات و نقاط قوت طرح «حمایت از حقوق کاربران و خدمات پایه کاربردی فضای مجازی» را پرداختن به بحث مرزبانی سایبری می‌داند.

وی با اشاره به اینکه در این طرح با تاکید بر لزوم پیشگیری و مقابله با حملات سایبری از خارج کشور به شبکه داخلی و شبکه ملی اطلاعات، موضوع مرزبانی سایبری مورد توجه قرار گرفته است، گفت: یکی از چالش‌هایی که امنیت فضای سایبری کشور را هر چند وقت یک بار تهدید می‌کند، خلأ جدی در تقسیم وظایف بین دستگاهی در موضوع مرزبانی فضای مجازی است.

فیاضی افزود: ما در تأمین امنیت کشور در فضای مجازی با نظامی از وظایف و مسئولیت‌ها نسبت به دستگاه‌های مختلف مواجهیم که عدم طراحی و تصویب آن نظام در شوراهای بالادستی مانند شورای عالی فضای مجازی یا شورای عالی امنیت ملی از سویی و عدم تقسیم وظایف و ایجاد هماهنگی لازم بین دستگاه‌های دارای مسئولیت از سوی یک دستگاه محوری از سوی دیگر، موجب شده تا در موارد متعدد امنیت کشور در فضای مجازی دچار چالش شود.

وی تاکید کرد: همین مسئله سبب شده تا در موقع بروز مشکلات مقام پاسخگو نیز دقیقاً معلوم نباشد که کیست و در مقابل چه چیزی باید پاسخگو باشد. به عنوان مثال وزارت ارتباطات به لحاظ فنی و اجرایی در تأمین امنیت هم وظیفه دارد و هم مسئول است و در این حیطه نیز باید پاسخگو باشد. از طرف دیگر دستگاه‌های امنیتی مختلف مانند نیروی انتظامی، وزارت اطلاعات، سازمان اطلاعات سپاه، ستاد کل نیروهای مسلح و حتی قوه قضائیه نیز هر کدام برای انجام وظایف ذاتی خود مسئولیت داشته و در راستای عمل به وظایف خود نیاز به دسترسی‌های لازم دارند که وزارت ارتباطات باید برای آنها فراهم کند. همه آنها در چارچوب وظایف خود نیز باید پاسخگو باشند.

ابهام در مسئولیت نهادها و سیاست‌های امنیت سایبری

معاون مطالعات آموزش و فرهنگ مرکز پژوهش‌های مجلس خاطرنشان کرد: خلائی که الان وجود دارد این است که اولاً سیاست‌های امنیتی سایبری و نظام وظایف و مسئولیت‌های نهادهای ذی ربط و ثانیاً دستگاه محوری هماهنگ کننده در مقام اجرای سیاست‌های تعیین شده از سوی شوراهای بالادستی در مقام عمل، معلوم نشده و در نتیجه مقام پاسخگوی اصلی نیز در موقع بروز حوادث معلوم نیست که کدام ارگان یا نهاد است.

وی گفت: علاوه بر این با اینکه حفظ و حراست از گذرگاه‌های مجازی در همه کشورها حتی به لحاظ فنی و اجرایی امری کاملاً حاکمیتی است و باید توسط خود حاکمیت اجرا و تأمین شود ولی ملاحظه می‌کنیم که در کشور ما در مورد گذرگاه‌های فضای مجازی بخشی از امور فنی مربوط به مرزبانی سایبری توسط بخش خصوصی انجام می‌شود.

معاون مطالعات آموزش و فرهنگ مرکز پژوهش‌های مجلس با اشاره به کارآمدی طرح حمایت از حقوق کاربران و خدمات پایه کاربردی فضای مجازی در خصوص تأمین امنیت فضای مجازی کشور، اضافه کرد: در این طرح پیشنهاد این بوده که نظام مسئولیت‌ها و وظایف و همین طور سیاست‌ها و خطوط مشی این عرصه توسط شوراهای بالادستی مانند مرکز ملی فضای مجازی تعیین شود و در خصوص امنیت نیز تقسیم وظیفه، نظارت و مطالبه گری با محوریت ستاد کل نیروهای مسلح بین نهادهای امنیتی مختلف صورت گیرد.

فیاضی گفت: طبیعی است که واگذاری این وظیفه به ستاد کل هرگز نافی یا محدودکننده وظایف ذاتی دستگاه‌هایی مانند وزارت ارتباطات به عنوان مجری و مسئول امور فنی مرزبانی یا وزارت اطلاعات و دیگر مجموعه‌ها نیست.

وی تاکید کرد: جزئیاتی از این طرح در خصوص جایگاه ستاد کل نیروهای مسلح در ایجاد هماهنگی‌های لازم بین دستگاه‌های امنیتی در اجرای سیاست‌های مرزبانی سایبری از سوی شوراهای بالادستی و نقش‌های هر یک از دستگاه‌ها در این خصوص، برای بازنگری مجدد در دستور کار مرکز پژوهش‌های مجلس قرار دارد. اما آنچه مسلم است این است که در این طرح، موضوع ایجاد امنیت در گذرگاه‌های مجازی کشور مورد توجه ویژه‌ای قرار گرفته است.