چاله امنیت داده‌های اینترنتی

سامان موحدی‌راد: در ابتدای اسفند ۱۴۰۲ یک گروه هکری با نام «عدالت علی» مدعی شد با نفوذ به پایگاه‌های داده دستگاه قضا در ایران، به اطلاعات میلیون‌ها پرونده قضائی دسترسی پیدا کرده‌ است. بخشی از این اطلاعات در حال حاضر در وب‌سایت این گروه هکری در دسترس قرار گرفته و به راحتی می‌شود به کد ملی، شمار موبایل و جزئیات پرونده‌های شهروندان ایرانی دسترسی پیدا کرد. این یکی از چندین و چند مورد هک گسترده‌ای است که تنها در یک سال اخیر صورت می‌گیرد. چند ماه پیش یک گروه هکری اطلاعات اسنپ‌فود را هک کرده بود و قبل از آن هم سامانه سوخت، پایگاه داده یکی از بانک‌ها، سازمان ثبت احوال و همچنین پلتفرم تپسی به چنین سرنوشتی دچار شده بودند. این به‌جز اتفاقاتی است که هر چند ماه رخ می‌دهد و مثلا پایگاه داده خبرگزاری فارس یا خانه ملت هک می‌شود. صورت‌مسئله رویدادهای کنونی ساده است: به دلیل خلأهای امنیت سایبری، دسترسی به اطلاعات شهروندان امکان پذیر است.

انگیزه هکرها و واکنش نهادهای مورد حمله

گروه عدالت علی که مدعی است اسناد قضائی را هک کرده، یک گروه هکتیویست با انگیزه‌های سیاسی و اجتماعی است. نام این گروه اولین‌بار با ماجرای هک دوربین‌های زندان اوین و پخش تصاویری از داخل این زندان بر سر زبان‌ها افتاد. ماجرایی که چنان سروصدایی به پا کرد که منجر به عذرخواهی محمدمهدی حاج‌محمدی، رئیس وقت سازمان زندان‌ها شد. اگرچه او کمی بعد از این عذرخواهی صندلی ریاستش را از دست داد اما می‌توان این واکنش را گواهی بر شکل‌گیری چالشی دانست که بعد از این اتفاق ایجاد شد. گروه عدالت علی از سال ۱۴۰۰ و بعد از انتشار تصاویر دوربین‌های مداربسته زندان اوین تاکنون در چندین و چند پرونده اسناد مختلفی را منتشر کرده است. اما شاید مهم‌ترین موضوعی که این گروه هکری در یک سال اخیر به نام خود ثبت کرده، ادعای دسترسی به میلیون‌ها پرونده قضائی است که بخش‌هایی از آن را در وب‌سایتش در معرض دید عموم قرار داده است. پیش از هک قوه قضائیه اما یک هک گسترده در بخش خصوصی و با انگیزه‌های کاملا مالی صورت گرفته بود. یک گروه هکری مدعی شده بود به اطلاعات ۲۰ میلیون کاربر اسنپ‌فود دسترسی پیدا کرده است و در نهایت با مذاکره با مدیران اسنپ‌فود و دریافت پول از افشای اطلاعات خودداری کرده بود. مقایسه اتفاقاتی که در این دو ماه برای اسنپ‌فود و قوه قضائیه رخ داده، ‌نشان می‌دهد واکنش بخش خصوصی مطابق انتظار از بخش‌های حاکمیتی به چنین اتفاقاتی واضح‌تر و روشن‌تر است. نخست اینکه در همان ساعات اولیه انتشار خبر هک اسنپ‌فود، پلیس فتا اعلام کرد ‌کارشناسانش در دفتر این استارت‌آپ حاضر شده‌اند و در حال بررسی امور هستند. دیگر اینکه روابط‌عمومی اسنپ‌فود در بیانیه‌ای ضمن تأیید اتفاق رخ‌داده از تلاش‌ها برای حل مشکل خبر داد. چنین رفتاری را در چند سال گذشته وقتی یک نهاد رسمی مورد حمله قرار می‌گیرد، شاهد نیستیم و اغلب تنها تکذیب اطلاعات را شاهد هستیم در حالی که به راحتی با بررسی اطلاعات منتشرشده می‌توان فهمید که این اتفاق رخ داده یا خیر. در این میان شاید انگیزه هکرها هم در واکنش سازمان‌ها مؤثر باشد. شاید اسنپ‌فود با هکری که انگیزه‌های مالی داشت راحت‌تر کنار آمده تا خبرگزاری فارس و قوه قضائیه با هکری که انگیزه‌های سیاسی دارد و به همین دلیل در اکثر موارد حمله‌های رخ‌داده را تکذیب می‌کنند.

واکنش قوه قضائیه به هک اسناد قضائی

اگرچه در شبکه‌های اجتماعی کاربران جست‌وجوگری در حال بررسی اطلاعات منتشرشده از سوی گروه هکری عدالت علی هستند و جزئیات اسناد را بررسی می‌کنند، در روایت رسمی واکنش چندانی به این اتفاق نشان داده نشده است. تنها خبرگزاری میزان، وابسته به قوه قضائی در واکنش به انتشار این اسناد نوشت: «در روزهای اخیر یک گروه هکری ادعا کرده است که موفق به هک سامانه‌های مربوط به قوه قضائیه و انتشار اسناد و مدارک شده است. نگاهی به فایل‌های منتشرشده نشان می‌دهد بسیاری از این اسناد، نامه‌های اداری مجعول و ساختگی و حتی قدیمی هستند که پیش‌تر در فضای مجازی منتشر شده بود و مجددا بازنشر شده‌اند. شاهد این ادعا انتشار نامه‌ای جعلی منتسب به پرونده نیکا شاکرمی از سوی رئیس پزشکی قانونی کشور است. این نامه جعلی پیش‌تر از سوی گروه هکری که این روزها ادعا کرده است به اسناد قوه قضائیه دسترسی پیدا کرده، در شهریور‌ماه سال جاری نیز منتشر شده بود. بنا بر اعلام روابط‌عمومی سازمان پزشکی قانونی کشور «اساسا چنین نامه‌ای وجود خارجی نداشته است‌». چنانچه از محتوای این متن جعلی کاملا هویداست، فایل منتشرشده فاقد الزامات اولیه نامه‌های صادره اداری بوده و صرفا یک متن تایپ‌شده با شماره جعلی و غیرمنطبق با قالب شماره‌نامه‌های سازمان پزشکی قانونی کشور است و بدون رعایت برخی چارچوب‌های محتوایی و حتی ظاهری که در مکاتبات رؤسای دستگاه‌ها مورد توجه قرار می‌گیرد، تنظیم شده است. به موارد ذکرشده این نکته را نیز باید افزود که جاعل یا جاعلین زحمت مراجعه به تقویم را هم به خود نداده و روز تعطیل رسمی را برای صدور نامه برگزیده‌اند!». روابط‌عمومی پزشکی قانونی اضافه کرده است: «نامه‌هایی با طبقه‌بندی مورد ادعا (خیلی محرمانه) در فایل منتشرشده، اساسا به صورت خارج از شبکه اتوماسیون مکاتبات اداری و به صورت دستی تهیه و ارسال می‌شود و ادعای دستیابی به فایل‌های مذکور از طریق هک‌نمودن شبکه یا طرق مشابه نیز با توجه به رویه جاری قطعا دروغ و غیرواقعی است».

دولت الکترونیک و سامانه‌های گسترده با امنیت پایین

بیش از یک دهه است که در ایران از دولت الکترونیک صحبت می‌شود و رونمایی هفتگی و ماهانه از سامانه‌های جدید هم نشان می‌دهد که دولت به دولت، دولتمردان ایرانی علاقه بیشتری به «راه‌اندازی سامانه» داشته و دارند. اما چیزی که در این سال‌ها به‌ویژه از شروع هک‌های گسترده در سال ۱۴۰۰ خودش را نشان داده، مسئله ضعف امنیت این سامانه‌ها و پایگاه‌های داده است. دولت‌ها همان‌طور که شهروندان را مجبور به استفاده از سامانه‌های برخط می‌کنند، باید وظیفه حفاظت از داده‌های آنها را هم بر عهده بگیرند. اما اکنون و با شروع‌ هک‌های گسترده مشخص شده که چندان تلاشی در این زمینه صورت نگرفته و یک بی‌تفاوتی نسبت به امنیت پایگاه‌های داده در ایران وجود دارد. مرضیه ادهم، پژوهشگر سیاست‌گذاری اینترنت، در این زمینه به «شرق» می‌گوید: یکی از وظایف حکمرانی، موضوع امنیت اطلاعات و حفاظت از داده‌های شهروندان است. جالب است در زمانی که طرح صیانت در جریان بود و درباره آن بحث می‌شد موافقانش بارها و بارها اعلام می‌کردند که به دلیل حفاظت از داده‌های شهروندان باید این طرح اجرا شود و قرارگرفتن اطلاعات کاربران ایرانی از طریق پلتفرم‌های خارجی در دست کشورهای دیگر می‌تواند آسیب‌زا باشد. جالب است که حالا می‌بینیم همین افراد در سامانه‌های داخلی که بعضا هم دولتی هستند، نمی‌توانند از داده‌های شهروندان ایرانی محافظت کنند و هر چند ماه یک بار شاهد هک گسترده اطلاعات یک سامانه و پایگاه داده هستیم. خانم ادهم در بخش دیگری از صحبت‌هایش می‌گوید: از زمانی که موج هک‌های گسترده در یکی، دو سال اخیر در ایران آغاز شد، بسیاری از فعالان عرصه اینترنت و کارشناسان امنیت آی‌تی این پرسش را مطرح می‌کردند که چرا تا به این حد امنیت پایگاه‌های داده در ایران پایین است. وضعیت ضعیف زیرساخت‌های امنیتی پایگاه‌های داده در ایران و ضعف‌های فنی و امنیتی در این سال‌ها چنان مشهود بود که بارها از سوی این کنشگران گوشزد می‌شد اما کسی توجه نمی‌کرد. برای نمونه برخی پروتکل‌های لازم در این زمینه می‌بایست از سوی سازمان پدافند غیرعامل تدوین می‌شد که چنین نشده و حتی بدیهی‌ترین قوانین حفاظت از داده‌ها هم مورد توجه قرار نمی‌گیرد. مقایسه این ضعف‌ها و بهانه‌هایی که طرفداران طرحی همچون صیانت که آن را تلاشی برای حفاظت از داده‌های کاربران می‌دانند می‌آورند، نشان می‌دهد که این ادعاها تنها توجیه‌هایی برای مواجهه با عرصه اینترنت بود و اگر نه می‌بینیم که از نظر زیرساختی هیچ اقدامی در این زمینه صورت نگرفته است؛ چراکه پرونده هک آخر که در قوه قضائیه صورت گرفته هم نشان می‌دهد که ابتدایی‌ترین الفبای رعایت حفاظت از داده‌های شهروندان رعایت نشده است. این پژوهشگر عرصه اینترنت درباره وضعیت دولت الکترونیک در ایران نیز می‌گوید: اگر یک حکمرانی چشم‌اندازش راه‌اندازی دولت الکترونیک است، باید یک‌سری اصول ابتدای را رعایت کند که حفاظت از داده‌های شهروندان اولین و مهم‌ترین آنهاست. در این سه سال، این موج از هک‌های گسترده اصلا طبیعی نیست و می‌توانیم بگوییم که هیچ برنامه و ساختاری برای بحث امنیت داده‌ها وجود نداشته است. خدمات دولتی باید یک‌سری استانداردها را از نظر امنیتی رعایت کنند. در مباحثی که در این مدت از سوی کارشناسان مسائل امنیتی بیان شده، می‌بینیم که بسیاری از راه‌های پشتیبانی و پیشگیری از سوی بسیاری از این سامانه‌ها و پایگاه‌‌های داده رعایت نشده است. مثلا در همه جای دنیا آن بخش از خدمات اینترنتی که مرتبط است با خدمات دولت الکترونیک، با مواردی همچون احراز هویت، درج اطلاعات شهروندی و مسائلی از این دست همراه است. در همه جای دنیا این بخش از خدمات سامانه‌های دولتی با پروتکل‌های ویژه‌ای در دسترس است و اغلب هم از اینترنت داخلی و ملی برای آن بهره می‌برند. اما این سطح از امنیت چیزی نیست که ما در ایران و در ادارات خود ببینیم. مورد دیگر این است که هک‌های زیادی در ایران رخ داد که حالا مهم‌ترین آن هک قوه قضائیه است.‌ دیدیم که در این سه سال هک‌های بزرگ و کوچک زیادی رخ داده اما متأسفانه با توجه به افزایش تعداد این حمله‌ها ما شاهد این نبودیم که تغییر خاصی در امنیت سایبری سامانه‌ها در ایران رخ بدهد.

مرضیه ادهم در بخش دیگری از صحبت‌هایش به «شرق» می‌گوید: در حال حاضر بخش‌نامه‌ها، مصوبات و لوایحی که مرتبط با فیلترینگ و محدودکردن دسترسی شهروندان به اینترنت هستند، خیلی بیشتر از بخش‌نامه و مصوبه برای بالابردن امنیت شبکه و حفاظت از داده‌هاست. حتی اگر به دستورالعمل‌های پدافند غیرعامل هم مراجعه کنید، می‌بینید که هیچ پروتکل مشخصی وجود ندارد و خیلی کلی به آن پرداخته‌اند، در حالی که چنین مواردی بحران‌های درجه بالا محسوب می‌شوند ولی ما پروتکل مشخصی برای آن نداریم. اگر از سال ۱۴۰۰ که آغاز این هک‌ها بود به این مسئله توجه می‌شد، شاید اکنون شاهد این اتفاقات نبودیم.

فیلترشکن‌ها و بدافزارها و فرصت هک‌های بیشتر

از سال ۱۴۰۰ که موج هک‌های گسترده شروع شد، می‌بینیم که هکرها پله به پله پیش آمده‌اند و پروژه به پروژه بزرگ‌تر شده‌اند. از مرضیه ادهم در‌این‌باره پرسیدیم که افزایش تعداد هک‌ها در ایران به چه دلیلی است؟ آیا ما در ایران دانش فنی لازم را نداریم یا اساسا برای نهادهای اجرائی این مسئله اهمیتی ندارد که برای آن فکری نکردند؟ این پژوهشگر اینترنت در این زمینه به «شرق» می‌گوید: به این مسئله باید از چند زاویه نگاه کرد. نخست اینکه در ایران وجود بدافزار و فیلترشکن خیلی رایج است و سطح امنیت و حفاظت از داده بسیار پایین آمده است. برای همین اساسا افراد  به عنوان استفاده‌کننده معمولی اینترنت هیچ‌گونه حساسیتی نسبت به حفاظت از داده‌هایشان ندارند. نمونه‌اش همین هک‌های اخیر که اگر شما به مردم بگویید که مثلا هک گسترده قضائی می‌تواند به چه حجم بزرگی از فیشینگ و کلاهبرداری منجر شود برای بیشتر مردم چندان ملموس، قابل درک یا مهم نیست چون چندان این مسئله به آنها آموزش داده نشده و از سوی دیگر گوشی‌ها و ابزارهای الکترونیک شهروندان هم سرشار از بدافزار و آلودگی است. این یک وجه ماجراست که به رفتار مردم در این زمینه مربوط است. در سمت مقابل که دولت است، می‌بینیم بحث بزرگی مطرح می‌شود که می‌خواهیم به دلیل امنیت داده شهروندان دیوار بزرگی روی اینترنت بکشیم، اما در عمل می‌بینیم که بدیهیات رعایت امنیت شهروندان را هم رعایت نکردند و گواه آن هم همین هک‌های گسترده است. از سوی دیگر مهاجرت کارشناسان و نخبگان هم بی‌تأثیر نیست. به هر حال ما می‌بینیم که ایرانی‌های زیادی مسئول امنیت شبکه شرکت‌های معتبر دنیا هستند که نشان می‌دهد ما دانش فنی این مسئله را داریم اما به دلیل مهاجرت‌ها این نیروهای توانمند را از دست داده‌ایم.