هکرها؛ و دیوار سست امنیت سایبری

مریم رضایی: هک شرکت Equifax در سال ۲۰۱۷ یکی‌دیگر از فاجعه‌های امنیتی بود که داده‌های شخصی و مالی بیش از ۱۴۷ میلیون‌نفر را در آمریکا، کانادا و بریتانیا افشا کرد. اطلاعاتی مانند شماره تأمین اجتماعی، تاریخ تولد و شماره‌کارت اعتباری در دست هکرها قرار گرفت و این نفوذ باعث ایجاد بحران‌های حقوقی و نگرانی‌های عمیق درباره امنیت داده‌های شخصی شد. همچنین در سال ۲۰۱۸، هک گسترده هتل‌های Marriott، با سرقت اطلاعات نیم‌میلیارد مشتری، زنگ خطری را برای صنعت گردشگری و هتلداری به‌صدا درآورد. این هک نشان داد که حتی سازمان‌هایی که به حفظ اطلاعات مشتریان متعهدند، می‌توانند هدف حملات پیچیده سایبری قرار گیرند و اطلاعات حساس مانند شماره گذرنامه و تاریخچه سفر درمعرض‌خطر قرار گیرد. خسارات ناشی از این حملات نه‌تنها شامل افشای داده‌های محرمانه بلکه لطمه به اعتماد عمومی، کاهش ارزش برند و ایجاد بار مالی سنگین برای شرکت‌ها بوده است. این وقایع مهم‌ترین درس‌ها را درباره ضرورت سرمایه‌گذاری در امنیت سایبری و به‌روزرسانی مستمر سیستم‌ها به ما می‌دهند. در ایران نیز حملات سایبری گسترده‌ای گزارش شده است که به‌واسطه ضعف‌های امنیتی در برخی سامانه‌ها و سایت‌های دولتی و خصوصی خسارات قابل‌توجهی به‌بار آورده‌اند. از جمله مهم‌ترین این حملات می‌توان به نفوذ به سامانه‌های بانکی، مراکز دولتی و حتی سایت‌های خبری اشاره کرد که موجب لورفتن اطلاعات محرمانه و اختلال در خدمات شده‌اند. نمونه‌های برجسته هک در ایران را می‌توان این‌گونه لیست کرد: 1. هک سامانه ثبت‌نام خودرو در سال ۱۳۹۷: دراین‌حمله سایبری، هکرها توانستند به سامانه ثبت‌نام خودرو دسترسی پیدا کنند و اطلاعات میلیون‌ها متقاضی را استخراج کنند. این نفوذ باعث شد اطلاعات شخصی افراد، ازجمله کدملی، شماره‌تماس و آدرس‌ها درمعرض‌خطر قرار گیرد و نگرانی‌های امنیتی زیادی ایجاد شود. 2. نفوذ به سامانه‌های بانکی و مالی: در سال‌های گذشته، برخی بانک‌ها و مؤسسات مالی ایرانی هدف حملات گسترده سایبری قرار گرفته‌اند که منجر به اختلال در خدمات آنلاین و افشای اطلاعات مالی مشتریان شده است. هرچند اغلب این حملات با تلاش تیم‌های امنیتی کنترل و محدود شده‌اند، اما نشان‌دهنده ضعف‌های امنیتی قابل‌توجهی دراین‌حوزه است. 3. هک سایت‌های خبری و رسانه‌ای: برخی سایت‌های خبری معتبر در ایران هدف هکرها قرار گرفته و صفحات آن‌ها به‌طورموقت تغییر داده شده یا محتوای جعلی جایگزین شده است. این حملات معمولاً با هدف ایجاد اختلال در اطلاع‌رسانی و پخش اخبار نادرست انجام می‌شوند. 4. نفوذ به سامانه‌های دانشگاهی و آموزشی: بنابه‌گزارش‌ها، سامانه‌های برخی دانشگاه‌ها و مراکز آموزشی کشور نیز در سال‌های اخیر موردحمله قرار گرفته و داده‌های دانشجویان و اعضای هیئت‌علمی درمعرض افشا قرار گرفته است. 5. هک بانک سپه در سال ۱۳۹۷: در سال ۱۳۹۷، بانک سپه یکی از بزرگ‌ترین بانک‌های دولتی ایران، هدف حمله سایبری گسترده‌ای قرار گرفت که طی آن هکرها موفق شدند به سیستم‌های این بانک نفوذ کنند. این حمله باعث اختلال در خدمات آنلاین و دسترسی غیرمجاز به اطلاعات بخشی از کاربران شد. هرچند بانک سپه سریعاً واکنش نشان داد و تیم‌های امنیتی اقدام به کنترل و رفع آسیب‌پذیری‌ها کردند، اما این حادثه نگرانی‌های جدی درباره امنیت زیرساخت‌های مالی کشور ایجاد کرد. در ۲۷ خرداد سال‌جاری نیز این بانک دوباره هدف حمله سایبری قرار گرفت. گروه هکری گنجشک درنده (Predatory Sparrow) مسؤولیت این حمله را برعهده گرفت. این‌گروه به‌طور گسترده به اسرائیل نسبت داده می‌شود. در پی این حمله، خدمات بانک سپه ازجمله بانکداری آنلاین، دستگاه‌های خودپرداز (ATM) و سایر خدمات دیجیتال به‌شدت مختل شد. این حمله سایبری بخشی از یک سری عملیات گسترده‌تر است که در آن گروه گنجشک درنده مسؤولیت حمله به صرافی رمزارز نوبیتکس را نیز برعهده گرفته است. دراین‌حمله، بیش از ۹۰ میلیون‌دلار از دارایی‌های رمزارزی به آدرس‌های غیرقابل‌بازیابی منتقل شد که به‌طور مؤثر از دسترس خارج شدند. این‌اقدام به‌عنوان یک عملیات سیاسی با هدف تضعیف منابع مالی ایران و مقابله با تأمین مالی تروریسم توجیه شده است. نوبیتکس (Nobitex) یکی از بزرگ‌ترین و قدیمی‌ترین صرافی‌های رمزارز (ارز دیجیتال) در ایران است که بستری امن برای خرید، فروش و تبادل ارزهای دیجیتال مثل بیت‌کوین، اتریوم و سایر کوین‌ها فراهم می‌کند. در سال‌جاری، نوبیتکس نیز هدف حمله سایبری گسترده‌ای قرار گرفت که منجر به‌سرقت بیش از ۹۰ میلیون‌دلار رمزارز از حساب‌های کاربران شد. این حمله توسط گروه هکری «گنجشک درنده» انجام شد و دارایی‌های به‌سرقت‌رفته به آدرس‌هایی منتقل شدند که بازیابی آن‌ها بسیاردشوار یا غیرممکن است. بزرگ‌ترین هک‌های تاریخ، هشداری است برای همه سازمان‌ها و کاربران که امنیت اطلاعات باید در اولویت اصلی قرار گیرد و هیچ‌گاه نباید دست‌کم گرفته شود. به‌گفته فعالان این‌عرصه در حوزه امنیت سایبری مسئله اصلی تنها تجهیزات نیست، بلکه اغلب پرسنل، مدیران و حتی مدیران ارشد، آگاهی کافی نسبت به انواع حملات سایبری ندارند. درواقع هر فرد ناآگاه می‌تواند مسیر ورود مهاجم به سازمان باشد. مجتبی مصطفوی؛ محقق حوزه امنیت سایبری و بنیان‌گذار پلتفرم و استارت‌آپی در حوزه امنیت سایبری که میانجی میان تخصص هکرهای کلاه‌سفید و متخصصان امنیت است، باانتقاداز وضعیت فعلی زیرساخت‌های دفاع سایبری کشور، اظهار کرد: یکی از ایرادات مهم در بسیاری از سازمان‌ها، نبود نگهداری مناسب از لاگ‌ها و اطلاعات در فضای درست است؛ به‌گونه‌ای‌که محل ورود و دلیل بروز حملات مشخص نمی‌شود. این بنیان‌گذار پلتفرم و استارت‌آپی در حوزه امنیت سایبری باتأکیدبر نقش انسان در نفوذهای سایبری، گفت: متأسفانه مسئله اصلی فقط تجهیزات نیست، بلکه اغلب پرسنل، مدیران و حتی مدیران ارشد، آگاهی کافی نسبت به انواع حملات سایبری ندارند. درواقع هر فرد ناآگاه می‌تواند مسیر ورود مهاجم به سازمان باشد. وی ادامه داد: در کشور ما، آگاهی‌رسانی متمرکزی دراین‌زمینه انجام نشده و حتی اگر سازمانی هم به‌صورت شخصی اقدام کرده باشد، رویکرد ملی نسبت به آموزش و آمادگی سایبری وجود ندارد. مصطفوی بااشاره‌به‌اینکه در برخی بخش‌ها ازجمله بانک‌ها، هزاران‌نفر پرسنل مشغول‌به‌کار هستند، افزود: اگر آموزش و مقاوم‌سازی سایبری به‌درستی انجام نشده باشد، همین تعداد بالا خود یک تهدید است. وی گفت: متأسفانه در حوزه امنیت سایبری دچار شوآف شده‌ایم. فعالیت‌ها بیشتر نمایشی است و رویکرد نتیجه‌گرا در آن‌ها دیده نمی‌شود. وقتی درباره تولید سامانه‌های امنیتی داخلی صحبت می‌شود، هیچ‌گاه از نتیجه آن‌ها چیزی نمی‌شنویم. اینکه چه مشکلی را حل کرده‌اند؟ چه تهدیدی را رفع کرده‌اند؟ معمولاً شفاف نمی‌شود. این فعال حوزه امنیت سایبری باانتقاداز نبود رویکرد کارشناسی در حمایت‌های دولتی از تولید محصولات سایبری، تأکید کرد: قبل از تزریق منابع مالی باید دقیق مشخص شود که فناوری موردحمایت قرار است کدام چالش کشور را حل کند، چه ویژگی‌هایی باید داشته باشد و طی مراحل تولید تحت‌نظارت دقیق فنی قرار بگیرد تا از کیفیت آن اطمینان حاصل شود. مصطفوی افزود: ما دچار شیفتگی فناوری شده‌ایم. هر واژه‌ای که در فضای فناوری می‌شنویم، بدون بررسی دقیق به آن ورود می‌کنیم، درحالی‌که بسیاری از اصول پایه‌ای امنیت سازمانی را هنوز رعایت نمی‌کنیم. وی ادامه داد: کمتر سازمانی را می‌توان یافت که به‌طورمستمر درحال‌ارزیابی آسیب‌پذیری‌های خود باشد یا سامانه‌ای نیمه‌خودکار برای شناسایی و رفع آن‌ها داشته باشد. وقتی سازمان نمی‌داند دقیقاً چه دارایی اطلاعاتی دارد، نمی‌تواند از آن محافظت کند. این محقق حوزه امنیت سایبری باانتقاداز شتاب‌زدگی در ورود به فناوری‌های جدید مانند بلاکچین یا هوش مصنوعی، گفت: ما بدون آمادگی لازم وارد این‌حوزه‌ها می‌شویم، درحالی‌که ساختارهای پایه‌ای را جدی نگرفته‌ایم. امنیت سایبری در کشور ما هنوز امنیتی (و نه فناورانه) دیده می‌شود، درصورتی‌که باید به‌عنوان بخشی از امنیت ملی تلقی شود. وی بااشاره‌به نبود حمایت از نیروی انسانی متخصص، گفت: درحالی‌که نیروی انسانی یکی از ارکان اصلی قدرت سایبری یک کشور است، هیچ حمایت بلاعوض، تسهیلات یا برنامه‌ای برای تربیت نیروی انسانی وجود ندارد. اغلب حمایت‌ها معطوف به تولید فناوری بوده است، نه توانمندسازی نیروی متخصص. در بسیاری از حوزه‌های حیاتی  باوجوداینکه محصولات مطرح جهانی وجود دارد، کشور ما هنوز هیچ محصول قابل‌رقابتی ارائه نکرده است.