هک دو سامانه دولتی در یک هفته؛ کسی از داده‌های مردم محافظت نمی‌کند

به گزارش پایگاه خبری بانکداری الکترونیک به نقل از دیجیاتو بر هک شدن سامانه ثبت احوال را هکر با انتشار اطلاعاتی از کارمندان این سازمان داد. ۲۸ شهریور سامانه اینترنتی ثبت احوال از دسترس خارج شد، ثبت احوال به سرعت تکذیبیه‌ای در مورد هک شدن منتشر کرد و سایت هم یک روز بعد در دسترس قرار گرفت؛ اما سایتی که عملکرد خاصی نداشت. این خبر هم به سرعت فراموش می‌شود، بدون اینکه در عملکرد مسئولان و سازمان‌ها و شرکت‌ها تغییری ایجاد شود.

به تازگی هکرها به بخشی از اطلاعات کاربران تپسی هم دست پیدا کرده‌اند. سال ۹۸ هم سرورهای این تاکسی اینترنتی هک شده بود. اخباری هم در یک ماه گذشته از هک شدن شرکت‌های بیمه منتشر شد اما این مورد را بیمه مرکزی تکذیب کرد و آن را شبهه‌افکنی برخی کانال‌های خبری و رسانه‌ها دانست.

نشت اطلاعات سازمان‌ها و شرکت‌ها و درواقع اطلاعات کاربران آن‌ها پیش از این هم سابقه داشته اما هیچ‌کدام از حملات سایبری قبلی باعث نشدند که تغییری در عملکرد مسئولان در زمینه امنیت سایبری و حفاظت از داده‌ها ایجاد شود. همچنان فیلترینگ و تکذیب و پنهان کردن اطلاعات حملات ادامه دارد و تحریم‌ها هم وضعیت نامناسب امنیت سایبری را تشدید می‌کنند. همچنان حفاظت از داده‌ها و حریم خصوصی در برنامه‌ها نادیده گرفته می‌شود. این بی‌توجهی در واکنش‌ها به حملات سایبری بزرگی که منجر به نشت اطلاعات شده، مشخص است.

۱۴ فروردین ۱۳۹۹ خبر لو رفتن اطلاعات ۸۰ میلیون ایرانی منتشر شد. یک ربات تلگرامی مدعی شد به سرورهای ثبت احوال دسترسی مستقیم دارد و اطلاعات کاربران را در اختیار هر درخواست‌کننده‌ای قرار می‌دهد. در نهایت اعلام شد که دلیل نشت این اطلاعات اشتباهی از سوی وزارت بهداشت بوده. ثبت احوال در اطلاعیه‌ای اعلام کرد: «هیچ گونه هک و نفوذ به زیرساخت‌ها و پایگاه اطلاعات جمعیت کشور صورت نگرفته و خدمات الکترونیکی سازمان همانند سابق در حال ارائه است. ضمناً یادآوری می‌شود زیرساخت‌ها و سامانه‌های هویتی این سازمان بر بستر اینترنت نمی‌باشد.» سخنگوی سازمان ثبت احوال در توضیح ماجرا گفته بود اطلاعات ما در صحت کامل است، آن را برای تکمیل پرونده سلامت الکترونیک در اختیار وزارت بهداشت قرار دادیم و اتفاقی که رخ داده مربوط به ما نیست.

آذر ماه ۱۴۰۰ هم که خبرهایی از نشت اطلاعات ۱۱ هزار وکیل منتشر شد، بلافاصله مرکز رسانه قوه قضائیه اعلام کرد که ارتباط نشت بانک اطلاعاتی وکلا با سامانه‌های مرکز آمار و فناوری اطلاعات قوه قضائیه صحت ندارد.

نشت بانک اطلاعاتی دانشجویان دانشگاه صنعتی امیرکبیر در همان سال هم ناشی از حمله سایبری به سایت این دانشگاه بود. در اطلاعیه مرکز فناوری اطلاعات این دانشگاه آمده بود: «این موضوع ریسک امنیتی خاصی برای کاربران ایجاد نمی‌کند و جای نگرانی نیست.»

پس از اینکه اعلام شد اطلاعات ۵.۵ میلیون کاربر رایتل درز کرد، این شرکت اعلام کرد عامل این نشت اطلاعاتی انسانی بوده و در بیانیه‌ای گفت اخبار منتشرشده در مورد درخواست فرد باجگیر از رایتل کذب بوده و تعداد افرادی که اطلاعاتشان لو رفته بسیار کمتر از ۵.۵ میلیون کاربر است.

در سال‌های قبل حمله هکری به سرورهای علی‌بابا باعث سرقت اطلاعات کاربران آن شد و پیکربندی اشتباه فایروال روی یکی از ابزارهای سرچ مورد استفاده کاربران سیب‌اپ به گفته این اپلیکیشن عامل لو رفتن اطلاعات پنج میلیون کاربر آن شد.

واکنش به حملات سایبری به‌خصوص به سامانه‌های دولتی، عموماً تکذیب، دست‌کم گرفتن یا بی‌توجهی به تبعات آن بود. عواملی که خودشان حملات بیشتری را باعث شدند. پیش از این کارشناسی در گفت‌وگو با زومیت درباره حملات سایبری گفته بود پنهان‌کاری در زمینه‌ی انتشار اطلاعات حمله‌های سایبری باعث می‌شود کارشناسان نتوانند از حمله‌های مشابه جلوگیری کنند. به گفته مجید دادگر: «مسئله این است که اگر حمله‌ای که اتفاق افتاده یک روش یا بدافزار خاصی داشته، اگر اطلاعات را منتشر کنند بقیه می‌توانند شناسایی کنند و دیگر از آن راه مورد حمله قرار نگیرند و وقتی منتشر نمی‌کنند و باعث می‌شود این اتفاق برای سامانه‌ها و شرکت‌های دیگر هم بیفتد.»

در یک سال گذشته خبرهای بیشتری از هک سامانه‌ها و درز اطلاعات کاربران منتشر شده، دقیقا زمانی که فیلترینگ هم شدت گرفت. بسیاری از مردم در این یک سال مجبور به استفاده از راه‌هایی برای دور زدن فیلترینگ شدند. انبوه بدافزارها به سیستم‌های ارتباطی راه پیدا کردند و چیزی که فراموش شد، حفاظت از داده‌ها بود.

نمونه‌ای از تأثیر مستقیم فیلترینگ بر نشت اطلاعات در سال ۱۳۹۹ اتفاق افتاد که اطلاعات ۴۲ میلیون ایرانی از نسخه‌‌های غیررسمی تلگرام نشت پیدا کرد. این خبر را سایت Comparitech اعلام کرد و گفت هیچ‌گونه احراز هویتی برای دسترسی به اطلاعات این کاربران نیاز نیست. تلگرام در واکنش به این نشت اطلاعات گفت اطلاعات فاش‌شده مربوط به یکی از نسخه‌های غیررسمی تلگرام است. استفاده کاربران از نسخه‌های غیررسمی این اپلیکیشن به دلیل فیلتر شدن نسخه اصلی در کشور شروع شد. سخنگوی تلگرام گفته بود: «متأسفانه با وجود هشدارهای ما، مردم ایران هنوز هم از نسخه‌های غیررسمی تلگرام استفاده می‌کنند.» گفته می‌شد که این اطلاعات از هات گرام و طلاگرام فاش شده اند. مرکز ماهر در دی ماه ۹۶ در مورد عدم امنیت پوسته‌های تلگرام هشدار داده بود که کسی به آن توجهی نکرد.

در سال گذشته گوگل‌پلی هم فیلتر شد که دسترسی کاربران داخل کشور را به نسخه‌های رسمی برنامه‌ها مختل کرد و احتمال استفاده از نسخه‌های جعلی اپلیکیشن‌ها بالا رفت. بنابر گزارش افتانا به نقل از shadowserver، ایران در پاییز ۱۴۰۱ هفتمین کشور با بیشترین آلودگی به بدافزار بود که این سایت شدت فیلترینگ را در این رتبه مؤثر می‌داند. کسپرسکی هم گزارش داده بود که در فصل اول ۲۰۲۲ ایران در زمینه‌ی وضعیت بدافزارهای موبایل با سهم ۳۵ درصدی بالاتر از کشورهای دیگر قرار داشته است.

تحریم‌ها هم سوی دیگر محدودیت‌های اینترنت بود که به طور مستقیم امنیت سایبری را ضعیف کرد. تحریم‌ها دسترسی کشور را به تجهیزات سخت‌افزاری و نرم‌افزاری محدود کرده‌اند و عموماً در به‌روزرسانی‌های این تجهیزات امنیتی مشکل وجود دارد. علاوه بر آن در مواردی مثل حذف اپلیکیشن‌های ایرانی در گوگل‌پلی هم باعث رواج نسخه‌های غیررسمی شد که اطلاعات کاربران را سرقت می‌کنند. هرچند در این مورد هم اگر گوگل‌پلی فیلتر نشده بود، کاربران می‌توانستند هشدارهای این پلتفرم را هنگام دریافت نسخه‌های آلوده برنامه‌ها ببینند و از نصب این نسخه‌ها خودداری کنند.

در کنار این‌ها، کارشناسان بارها از دانش پایین امنیت شبکه در کشور گفته‌اند. کوروش قربانی کارشناس امنیت فضای مجازی پیش از این در گفت‌وگویی درباره عوامل و خطرات نشت اطلاعات کاربران در ایران گفته بود که پایین بودن دانش متخصصان امنیت شبکه شرکت‌ها یا ارگان‌ها مهم است و ما در مجموعه‌های بزرگ رسته شغلی SOC نداریم و متخصص شبکه یا حتی برنامه‌نویس ساده کار امنیت را در مجموعه انجام می‌دهد. همچنین سطح دسترسی‌های مشخص و طبقه‌بندی شده در ارگان‌ها وجود ندارد و کارکنان هم آموزش ندیده‌اند.

ابوالقاسم صادقی معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات هم در همین گفت‌وگو علت نشت اطلاعات در سازمان ها را ناآگاهی، ضعف بنیه مالی و نیروی انسانی دانسته بود. از نگاه او نشت اطلاعات در اپلیکیشن‌های بومی به دلیل بی‌توجهی به مسائل امنیتی و بی‌مبالاتی است. اگرچه حملاتی که منجر به افشای اطلاعات کاربران می‌شود در کشورهای دیگر هم اتفاق می‌افتد اما این حملات در ایران تفاوت‌هایی با کشورهای دیگر دارند. صادقی در این باره گفته بود که کسب‌وکارهای ما از نقاط ساده و بدیهی نشت اطلاعات را تجربه می‌کنند و گاهی حتی خودشان دیتا را به خطا لو می‌دهند. علاوه بر این ما عبرت نمی‌گیریم و مشکل را رفع نمی‌کنیم. نمونه‌ای از این ماجرا، لو رفتن اطلاعات ثبت احوال در سال ۱۳۹۹ بود که در نهایت گفته شد به‌دلیل اشتباه وزارت بهداشت این اطلاعات لو رفته‌اند.

پس از لو رفتن اطلاعات ثبت احوال در چند روز گذشته، وزیر سابق ارتباطات در کانال خود به ارتباط فیلترینگ و عامل انسانی در افشای اطلاعات نگاه دیگری داشت. او نوشت اگرچه زیرساخت‌های سایبری و امنیت اطلاعات آنچنان که باید جدی گرفته نشده‌اند و یا سیاست‌گذاری در این حوزه قربانی موازی‌کاری‌های نادرست شده، اما نکته‌ی مهم و مغفول در همه‌ی این حملات سایبری، نقش عامل انسانی است. آذری جهرمی نوشت که «بدون همکاری عامل انسانی عملاً این درزهای اطلاعاتی امکان‌پذیر نیست.» و میزان اثر متقابل نارضایتی عمومی و کاهش سرمایه اجتماعی در کاهش سطح امنیت سایبری را نمی‌توان نادیده گرفت: «نمی‌توان این رخدادها را بدون نگاه جامعه‌شناسی و حکمرانی و صرفاً با نگاه مهندسی بررسی و اسیب‌شناسی کرد. راستی به نظر ما فیلترینگ‌های گسترده که با عنوان حفاظت از مردم اجرا می‌شود چقدر به امنیت سایبری کشور کمک کرده و چقدر در راستای کاهش سرمایه‌ی اجتماعی گام برداشته؟»

بر اساس آخرین گزارش وب سایت سرف شارک از شاخص‌های کیفیت زندگی دیجیتال در سال ۲۰۲۲، رتبه ایران در امنیت الکترونیک از بین ۱۱۷ کشور، ۱۱۳ بود. معیارهای این بخش امنیت سایبری و قوانین حفاظت از داده است که قوانین حفاظت از داده برای ایران صفر عنوان شده است.

جدی نبودن برای حفاظت از داده‌های مردم در جرایم رایانه‌ای هم مشخص است. نبود قوانین کیفری و جرم‌انگاری در این زمینه باعث سهل‌انگاری‌هایی در سازمان‌ها شده؛ زیرا در این قانون، بند مشخص و محکمی برای جریمه کردن شرکت‌ها و سازمان‌هایی که در حفاظت از داده‌های مردم اهمال کرده‌اند وجود ندارد. به گفته قربانی در ایران اگر اطلاعات نشت پیدا کند، فقط هکر مجرم است و کسی شرکت یا سازمان را جریمه یا بازخواست نمی‌کند که چرا اطلاعات مردم رمزگذاری یا حداقل محافظت نشده است. جریمه درصدی از درآمد شرکت در صورت نشت اطلاعات مردم، ضمانتی به‌حساب می‌آید که در بسیاری از کشورها باعث می‌شود سازمان‌ها امنیت شبکه را جدی بگیرند.

در نبود چنین ضمانتی در کشور، شرکت‌ها و سازمان‌ها هم دلیلی نمی‌بینند که برای حفاظت و رمزگذاری داده‌های مردم هزینه کنند. مسئولان هم نیازی نمی‌بینند محدودیت‌ها را برای حفاظت از داده‌های مردم بردارند و در این موارد پاسخگو باشند.