هک امنیت

هفته گذشته، گروه هکری «‌IRLeaks»، با انتشار پستی، به تمام بانک‌های کشور هشدار داد ایمیل‌هایشان را چک کنند. این هکرها که قبلاً «اسنپ‌فود»، «تپسی»، «اتاقک»، «سازمان حج» و چند شرکت بیمه را هک کرده بودند؛ به بانک‌ها یک مهلت 24ساعته دادند تا وارد مذاکره شوند. این گروه در پست خود نوشته بود: «پس از پایان موعد مقرر و در صورت عدم پاسخ یا نرسیدن به توافق، ابتدا نام بانک به همراه سمپل از دیتای هک‌شده را پست خواهیم کرد و در ادامه اطلاعات هک‌شده را که شامل مشخصات کامل چندین میلیون مشتری، مشخصات کارت‌ها، اطلاعات دقیق بانکداری اینترنتی، تراکنش‌ها و وام‌ها می‌شود، به فروش خواهیم گذاشت.» تهدیدی که چند دقیقه بعد از کانال تلگرام «‌IRLeaks» پاک شد، اما بسیاری آن را دیده بودند. ایران اینترنشنال، بلافاصله با تیتر «سامانه اصلی بانک مرکزی ایران و چند بانک دیگر هک شدند»، مدعی شد؛ «بانک مرکزی ایران مورد حمله سایبری گسترده قرار گرفته است و این هک می‌تواند یکی از بزرگ‌ترین حملات سایبری به زیرساخت‌های دولتی ایران تا به امروز باشد». ادعایی که رسانه مرجع بانک مرکزی، آن را با توئیتی تکذیب کرد. ایبنا، این خبر را شایعه‌سازی رسانه‌های معاند برای جلوگیری از ریزش دلار و برهم‌زدن آرامش ذهنی جامعه دانست. تکذیبی که البته با واکنش کاربران مواجه شد، چراکه خرابی گسترده دستگاه‌های خودپرداز و دادن پیام‌های خطا به هنگام برداشت وجه نقد در همان روز چهارشنبه 24 مردادماه، نگرانی‌های عمومی را در مورد دامنه حمله احتمالی بالا برد و البته این سوال را بازخوانی مجدد کرد که چرا ما با نشت گسترده اطلاعات شخصی از منابع دولتی مواجه هستیم؟‌ آیا دولت قادر به تامین امنیت اطلاعات جامعه نیست؟   

مجرمان امنیت جهان

بی‌شک، مجرمان سایبری همه جای دنیا هستند و همیشه راه‌های تازه‌ای برای نفوذ به سیستم‌ها، دسترسی به داده‌ها و کاشت بدافزارها در کشورهای مختلف دارند؛ اما ریخت‌شناسی امنیت سایبری جهانی و نفوذ به حفره‌های امنیتی داده‌های دیجیتال، مدام و به‌سرعت در حال تغییر است. بر همین مبنا، دولت‌ها برای حفاظت بیشتر از داده‌ها و زیرساخت‌های خود سعی می‌کنند قوانین و سیاست‌های جدیدی وضع کنند. آنها سازوکارهایی را پیش‌بینی می‌کنند که با آن بتوان تخلفات سایبری را گزارش و کارگروه‌هایی را در سطح ملی-بین‌المللی برای مقابله با این جرائم شکل داد تا امنیت به عنوان یک کالای عمومی، مفهوم خود را از دست ندهد. امنیتی که می‌توان آن را ذهنیت و جهت‌گیری روانی مثبت عمومی نسبت به عدم تاثیرگذاری وقایع امنیتی (تهدیدها)، فقدان هراس از عدم تجاوز به حقوق و آزادی‌های مشروع و اعتماد به سیستم‌های انتزاعیِ نظامی، سیاسی، اجتماعی و اقتصادی (تئوری امنیت لوهمان جامعه‌شناس معاصر آلمانی)، نامید که باعث افزایش اعتماد سیاسی می‌شود. طبق مطالعه «اثرات مخرب نقض امنیت سایبری» که سال قبل در مجله هاروارد بیزینس منتشر شد، آمریکا (با تلاش برای پیشگامی)، دانمارک (با امتیاز 6 /92 در شاخص جهانی امنیت سایبری اتحادیه بین‌المللی مخابراتITU‌)، بریتانیا (با داشتن رتبه پنجم در شاخص جهانی امنیت سایبری)، لهستان (با حفظ رتبه اول در حوزه امنیت سایبری) و عربستان سعودی (با کسب رتبه دومITU و سرمایه‌گذاری 2 /1میلیارددلاری سالانه برای آموزش)، با وجود رشد 20درصدی نقض داده‌ها در سال 2023، پیشتاز امنیت سایبری بوده‌ و توانسته‌اند از شهروندان و زیرساخت‌های ملی خود حفاظت کنند. پتانسیلی که در مقابل، نامیبیا، تاجیکستان، بنگلادش و ایران، فاقد آن بوده‌اند؛ چرا؟ چون شاخص جهانی امنیت سایبری (GCI) آنها افت داشته است و پیش‌بینی می‌شود سهامدار بزرگ خسارت 5 /9 تریلیون‌دلاری حملات سایبری امسال و هزینه 5 /10تریلیون‌دلاری 2025 باشند یا طبق برآورد مجله «‌Security‌» آسیب زیادی از حدود 2220 حمله سایبری روزانه جهان -برابر با بیش از 800 هزار حمله در سال- از کانون‌های جرائم سایبری ببینند. آسیبی که مبدأ ایجاد آن بر اساس تحقیقات فشرده سه‌ساله تیم بین‌المللی دانشگاه‌های آکسفورد و نیوساوت‌ولز -متشکل از ۱۰۰ کارشناس جرائم سایبری- می‌تواند از بزرگ‌ترین کشورهای تهدیدکننده امنیت سایبری یعنی روسیه؛ کانون جرائم سایبری دنیا (‌39 /58)، اوکراین (‌44 /36)، (چین86 /27)، ایالات‌متحده (01 /25‌)، نیجریه (28 /21)، رومانی (83 /14‌)، کره شمالی (61 /10)، بریتانیا (01 /9)، 

برزیل (93 /8) و هند (13 /6) باشد. حتی آن‌گونه که پژوهش «نقشه‌برداری از جغرافیای جهانی جرائم سایبری بر اساس WCI» اثبات می‌کند، در پنج دسته اصلی از جرائم سایبری، متحمل بالاترین سطح خسارت بشوند. طبق این پژوهش که در دهم آوریل 2024 در مجله علمی پلاس وان، منتشر شد، این چهار کشور می‌توانند از حیث «جرائم سایبری سودمحور» در بخش‌های محصولات /خدمات فنی (مثلاً کدگذاری بدافزار، شبکه‌های زامبی‌ و دسترسی به سیستم‌های در معرض خطر)، اخاذی (حملات DdoS، باج‌افزار)، سرقت اطلاعات /هویت (هک، فیشینگ، به خطرافتادن حساب‌های بانکی)، کلاهبرداری (تقلب در هزینه‌های پیش‌پرداخت، ایمیل تجاری یا حراج آنلاین) و نقدینگی /پولشویی (کلاهبرداری از کارت اعتباری یا پلت‌فرم‌های غیرقانونی ارز مجازی)، متحمل خسارت‌های کلان شوند. کمااینکه طبق گزارش مرکز مطالعات استراتژیک و بین‌المللی «CSIS»، از ژانویه تا جولای امسال، هکرهای چین و روسیه، به چندین حمله سایبری بزرگ متهم شده‌اند. اقدامات مجرمانه‌ای که جسیکا بارکر در کتاب «هک شد: رازهای پشت حملات سایبری» آنها را نمونه‌هایی عینی برای کشف راهکارهای مقابله‌ای می‌داند و می‌گوید، اگرچه همه مردم جهان اعجوبه‌های خیالی سریال اسکورپیون را ندارند تا در عرض چند ثانیه، جهان را از شر هکرها و حملات مخرب جرائم سایبری آنلاین /آفلاین نجات دهند، ولی نگاهی به تاریخچه حملات سایبری تایید و تکذیب‌شده آنها، می‌تواند چشم‌انداز امنیت سایبری‌شان را ترسیم و به بهبود آن کمک کند. یک دیدگاه پازلی که تحقق آن حول دو دیدگاه کلیدی می‌چرخد: اجزای جدایی‌ناپذیر استراتژی امنیت ملی و درک قابلیت‌های سایبری و دانش-تاکتیک سایبری به‌عنوان ابزارهای ضروری حفاظت از منافع ملی؛ و قابلیت عملی‌شدن آن در پذیرش اجماعی بزرگ ندارد.

ناوبر امنیت سایبری

بسیاری از تحلیلگران معتقدند، در مثال، برای کشوری مانند ایران، راهبرد امنیت ملی و ناوبری امنیت سایبری، یک راهبرد رو به جلو بوده است و در چهارچوب دکترین دفاعی تهران، استراتژی‌های مقابله با حملات سایبری گذشته، تحریم‌ها و قدرت در دیپلماسی اقتصادی، محرک‌های توانمندی آن در مقابله با حملات سایبری شده‌اند. مضاف بر این، مقامات ایرانی با آگاهی از شدت محدودیت‌های تحمیلی، به اهمیت ابزارهای دفاع سایبری و هوش مصنوعی واقف هستند و سال‌هاست برای افزایش قابلیت‌های سایبری با سرمایه‌گذاری بر آموزش و زیرساخت‌ها تلاش می‌کنند. علاوه بر آن، چون ایران در کنار عربستان یکی از تاثیرگذارترین کشورها در خاورمیانه است، در یک دهه گذشته با وجود تحریم‌های اقتصادی و انزوای دیپلماتیک، گام‌های چشمگیری در توسعه قابلیت‌های سایبری خود برداشته است و در حملات هکری گذشته، از الگوهای منطقی پیروی می‌کند که با دیدگاه این کشور در مورد منافع ملی آن سازگار و گاه منطبق با توسعه پیش‌بینی‌های صحیح با استفاده از قاعده تصمیم‌گیری غیرجبرانی است. به استدلال این افراد، در سال 1389 وقتی تاسیسات هسته‌ای ایران در نطنز با بدافزار استاکس‌نت مورد حمله قرار گرفت، دولت شروع به آزمایش راهکارهای مناسب مبارزه با این حمله‌ها کرد و حتی به راه‌حل‌هایی برای مقابله با این ویروس رسید که وضعیت دفاع سایبری ایران را بهبود بخشید. در سال ۱۳۹۱ نیز که اعلام شد دو بدافزار Flame و Wiper سیستم‌های نفتی و هسته‌ای را هدف قرار داده و موجب قطع سرور اصلی وزارت نفت و چهار شرکت اصلی آن شده‌اند؛ همان‌گونه که علی نیکزادرهبر، سخنگوی وقت وزارت نفت گفته بود: «با آنکه ویروس، هرچند مادربورد کامپیوترها را سوزاند و قصدش پاک‌کردن و تخریب اطلاعات بود» اما اطلاعات اساسی این وزارتخانه صدمه ندید و فعال ماند. درعین‌حال، حوزه انرژی ایران که از ابتدای دهه 90 شمسی هدف بیشترین حملات سایبری بوده است، در میانه تکذیب حمله به زیرساخت‌های حوزه نفت و انرژی در سال 1398، فعالیت خود را طبق روال عادی ادامه داد. یا در مهرماه سال 1395 که خبرگزاری آسوشیتدپرس گزارش داد تداوم آتش‌سوزی‌ها در پتروشیمی‌های ایران احتمال سوءظن به هک‌شدن سیستم‌های پتروشیمی و خرابکاری‌های نرم‌افزاری را افزایش داده است و ۲۵ دی‌ماه سال 1397 اعلام شد موشک حامل ماهواره «پیام» به فضا پرتاب شد اما به‌سرعت کافی نرسید و در نهایت نتوانست در مدار زمین قرار بگیرد و در اقیانوس هند سقوط کرد، اگرچه تصورات به ایجاد نقص فنی در این سیستم‌ها، متمایل و پررنگ بود اما کمی بعد وقتی محمدجواد ظریف، وزیر وقت امور خارجه در مصاحبه‌ای گفت: «امکان خرابکاری آمریکا در پرتاب این دو ماهواره کاملاً امکان دارد اما ما هنوز نمی‌دانیم و باید آن را به‌دقت بررسی کنیم»، ایران وقوع / خطر حمله‌های سایبری را پشت سر گذاشته بود و حداقل در مورد ماهواره ساخت دانشگاه صنعتی امیرکبیر با آنکه متحمل خسارت شد، اما به اصلاح قابلیت‌های سایبری خود ادامه داد. به‌گونه‌ای که مرکز مطالعات استراتژیک و بین‌المللی (‌CSIS)، در تحلیل سال 1398 خود «ایران و قدرت سایبری» نوشت؛ «ایران هنوز در رتبه اول قدرت‌های سایبری نیست، اما خط سیر استراتژی و سازماندهی سایبری آن نشان می‌دهد که چگونه یک حریف متوسط می‌تواند به یک قدرت سایبری بزرگ تبدیل شود». تحلیلی که البته برخی آن را به نشانه افزایش امنیت سایبری نپذیرفتند. به استدلال مخالفان این تحلیل، حداقل 10 حمله تایید یا تکذیب‌شده (طبق گزارش هفدهم آبان 1400 دیجیاتو)، نشانگر عملکرد ضعیف زیرساخت‌های سیستم‌های نرم‌افزاری نهادهای دولتی و کم‌توجهی به هشدارها درباره حملات باج‌افزاری با سوءاستفاده از درگاه مدیریتی iLo سرورهایHP بود. حملات و هک‌های تایید یا تکذیب‌شده‌ای چون «حمله سایبری منسوب به عربستان و از دسترس خارج‌کردن وب‌سایت مرکز آمار در خردادماه سال ۱۳۹۵»، «حمله هکری ناشناس سایت سازمان ثبت اسناد در خردادماه سال ۱۳۹۵»، «حملات پراکنده به برخی زیرساخت‌های ارتباطی با استفاده از نسل جدید ویروس استاکس‌نت در سال ۱۳۹۷»، «حمله سایبری به فرودگاه مشهد در سوم خردادماه سال 1397 از سوی گروه هکری (تپندگان)»، «هک مانیتورهای فرودگاه تبریز در سال 1397»، «هک توئیتر، اینستاگرام و ایمیل شهرداری تهران در سال 1397»، «حمله سایبری به سیستم سامانه هوشمند سوخت‌رسانی کشور و چند روز اخلال در روند سوخت‌رسانی»، «تکرار حمله سایبری به تاسیسات هسته‌ای در مهرماه سال ۱۳۹۹‌»، «هک دوربین‌های زندان اوین و انتشار تصاویر بندهای مختلف آن در سال ۱۳۹۹‌» و «حمله سایبری به شرکت راه‌آهن در تیرماه 1400»، که باید بدان‌ها توجه می‌شد. یک الزام اساسی که با وجود دفع هشت هزار حمله سایبری در سال 1401، عدم توجه کافی به آن، گسترش تاکتیک‌های ایران به خاطر حملات دنباله‌دار دیگر را با کمی ابهام مواجه کرد.

بازبینی در ساختار

یافته‌های بنیاد «‌Shadowserver‌» که داده‌های مربوط به فعالیت‌های مخرب اینترنتی را جمع‌آوری و تجزیه‌وتحلیل می‌کند، نشان داد ایران در پاییز سال ۱۴۰۱ جزو کشورهایی با بیشترین آلودگی به بدافزارهای شناخته‌شده بوده است. گزارش شرکت امنیتی کسپرسکی نیز سهم 35درصدی ایران از بدافزارهای موبایل را موید وضعیت نامناسب ایران دانست و تحلیلگران، دفاع سایبری کشور را نامناسب تعبیر کردند. استدلال آنها برای این تعبیر استناد به بزرگ‌ترین حمله‌های سایبری این سال بود. برای مثال، «حمله سایبری به شرکت مبین‌نت در 26 اردیبهشت‌ماه»، «هک سامانه ‌(تهران من) در 12خردادماه»، «حمله سایبری (گنجشک درنده) به شرکت فولاد خوزستان در 6 تیرماه»، «شایعه حمله گروه هکری بلک‌ریوارد به سرور ایمیل شرکت تولید و توسعه انرژی اتمی در اول آبان‌ماه»، «هک خبرگزاری فارس گروه هکری بلک‌ریوارد پس از برد ایران مقابل ولز در بازی‌های جام جهانی ۲۰۲۲ قطر»، «حمله سایبری به صداوسیما، مجلس شورای اسلامی، وزارت امور اقتصاد و دارایی، وزارت نفت، اپراتور همراه اول و چند خبرگزاری از سوی گروه هکری انانیموس و تکذیب مرکز ملی فضای مجازی» و «هک سرویس پوش نوتیفیکیشن نجوا، وب‌سایت دانشگاه صنعتی شریف و سایت شهر فرودگاهی امام خمینی طی بازه زمانی 9 مهرماه تا 21 آذرماه توسط انانیموس» -بنا بر گزارش یکم فروردین 1402 AFTANA- تعین‌گر آسیب‌پذیری در برابر حملاتِ سایبری بودند که می‌توانست اثرات جدی‌تری داشته باشد. کمااینکه، شایعه / وقوع هک وزارت خارجه، ریاست‌جمهوری، بنیاد شهید، ثبت احوال، وزارت علوم، بانک تجارت، 18 شرکت بیمه‌ای، پمپ بنزین‌ها، اپلیکیشن هف‌هشتاد، تپسی و اسنپ‌فود، 

منسوب / یا تایید شده به / از گروه‌های هکری «بختک، بلک‌ریوارد، گنجشک درنده و ‌IRLeaks»، در ماه‌های خرداد، مرداد، شهریور، آبان، آذر و دی 1402، وضعیت ایران را از نظر امنیت سایبری نامناسب نشان داد.  پیشنهاد کارشناسان این بود که دولت با سامان‌دهی زیرساخت‌ها، معکوس‌سازی مهاجرت نخبگان IT، بهبود وضعیت اینترنت و رفع فیلترینگ، اعمال نظارت‌های سختگیرانه‌تر در اجرای قوانین، شناسایی و مسدودسازی حفره‌های امنیتی، آموزش حفاظت از داده‌های شخصی، استفاده از ابزارهای رمزنگاری داده، در مبحث امنیت به عنوان یک کالای عمومی، بازبینی جدی داشته باشد.

پارادوکس قدرت

تیرماه امسال وقتی وزیر ارتباطات و فناوری اطلاعات دولت سیزدهم، از دفع 100 هزار حمله سایبری ماهانه امسال که در فروردین و اردیبهشت به بیش از ۲۳۵ هزار رسیده بود، خبر داد و بلافاصله پس‌ازآن، شرکت ارتباطات زیرساخت تایید کرد: بزرگ‌ترین حمله DDoS ثبت‌شده در ایران با ۱۳۶ میلیون بسته در ثانیه حدود 2 /49 درصد بزرگ‌تر از بزرگ‌ترین حمله ثبت‌شده در جهان بوده است؛ همچنین، طی ۲۱ ماه گذشته، بیش از ۴۳۰ هزار حمله DDoS به ۷۹ هزار مقصد سایبری در ایران انجام و ۷۹ درصد آنها دفع شده و شرکت‌های ارائه‌دهنده خدمات اینترنتی (23 /24 درصد)، مخابراتی (49 /15 درصد)، صنایع ملی، بانکی و بیمه‌ای (18 /11 درصد)، صنایع انرژی (39 /10 درصد) و درگاه‌های خدمات عمومی (27 /9 درصد) بیشترین سهم را در حملات دریافتی داشته‌اند؛ نگرانی‌های عمومی دوباره افزایش یافت و شایعه هک سامانه اصلی بانک مرکزی، بر این نگرانی‌ها افزود. به‌ویژه آنکه بسیاری تصویب لایحه «صیانت و حفاظت از داده‌های شخصی» را پس از پنج سال و 9 ماه، با نظر به اشکالات وارده به آن، لایحه‌ای با اثرگذاری کم دانستند. مجموعه نگرانی‌هایی که در مقابل برخی از اظهارنظرهای خارجی در بحبوحه افزایش تنش‌های منطقه‌ای با اسرائیل مانند ادعای برد اسمیت، رئیس مایکروسافت مبنی بر جایگاه ایران در میان چهار قدرت هکری برتر دنیا، اعتراف آژانس امنیت سایبری و زیرساخت آمریکا به قابلیت‌های دفاعی و سایبری به‌شدت رو به رشد ایران، تاکید کراوداسترایک بر توانمندی بالای هک‌تیویست‌های ایرانی و ترس مقامات آمریکایی و رسانه‌های غربی از تلاش هکرهای ایران برای نفوذ و دخالت در انتخابات آتی ایالات‌متحده (که هیچ مدرکی برای آن وجود ندارد)، پارادوکسی شد و انتظارها از دولت را تغییر داد. با استناد به تحلیل‌های «مدعیان پیشرانی در امنیت سایبری»، از قدرت و توانمندی ایران، اکنون مردم انتظار دارند که سطح تکانه‌ای و برخوردی ایران با سارقان اطلاعات مهم مالی و شخصی، گسترده‌تر و اثرگذارتر باشد و با تقویت زیرساخت‌ها، اجازه ندهند نشت گسترده اطلاعات از منابع دولتی تکرار شود.