بهانه تراشی معاون امنیت سازمان IT: ماهر همه اختیارات را ندارد!

 
 
این روزها حملات اینترنتی به سازمان‌ها، نهادهای مختلف دولتی و خصوصی و نشت اطلاعات داخلی آنها به سرتیتر اخبار تبدیل شده است. حالا این رخدادهای امنیتی پایشان به شرکت‌های نوپا یا استارت‌آپی نیز باز شده و حداقل در یک سال اخیر خبرهای مختلفی در مورد نشت اطلاعات در این شرکت‌ها شنیده شده است.
 
ma34-1.jpg
 
 
این حملات در خیلی از نکات اگر به هم شبیه نباشند در یک نکته به هم شباهت قابل توجه‌ای دارند: بی‌توجهی به هشدارهای مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای) نسبت به همان حمله اینترنتی که حالا آن شرکت یا سازمان را در بحران امنیتی قرار داده است. برای نمونه در جدیدترین اتفاق هفته گذشته، سایت سازمان تامین اجتماعی هک و از دسترس خارج شد و حالا مشخص شده که مرکز ماهر پیش از این هک به سازمان تامین اجتماعی هشدارهای لازم در مورد آسیب‌پذیری امنیتی این سایت را داده بود. این اولین بار نیست که یک سازمان نسبت به گزارش این مرکز بی‌توجه است. سال گذشته نیز وقتی سایت زرین‌پال؛ شرکت فعال در حوزه پرداخت الکترونیکی هک شد آنها در اطلاعیه‌ای اعلام کردند که پیش از این اتفاق نیز مرکز ماهر نسبت به باگ امنیتی روی تجهیزات شبکه این شرکت هشدار داده بود. اما چرا نهادهای دولتی یا شرکت‌های خصوصی به هشدارهای امنیتی مرکز ماهر توجه نمی‌کنند؟
 
ماهر همه اختیارات را ندارد
اما ابوالقاسم صادقی، معاون امنیت سازمان فناوری اطلاعات در مقابل این انتقاد‌ها اعلام می‌کند که ماهر مسئولیت مقابله با حوادث، رخدادها و شناسایی آسیب‌پذیرها را برعهده دارد؛ اما همه مسئولیت‌ها برای جلوگیری از بحران امنیتی در اختیار این مجموعه نیست. صادقی در گفت‌وگو با پیوست در مورد سطح اختیارات مرکز ماهر می‌گوید:‌ «مرکز ماهر مسئولیت مقابله با حوادث، رخدادها و شناسایی آسیب‌پذیرها را برعهده دارد. سطح اختیارات کسی که بحران را شناسایی و اعلام کرده، برای رفع ریشه‌ها و عوامل بروز آن بحران مهم است. ممکن است شما بحرانی را شناسایی و اعلام کنید؛ اما لزوماً همه ابزار برطرف کردن آن در اختیارتان نباشد.» او با ذکر مثالی می‌افزاید:‌ «مثالش همین آسیب‌پذیری‌ای است که روی دستگاه‌های میکروتیک (MikroTik) اعلام کرده بودیم. آن زمان که ما اعلام کردیم، حدود ۱۷ هزار دستگاه آسیب‌پذیر در کشور داشتیم. چندین بار هم اخطار و تذکر دادیم اما در بازه چندماهه (شاید بالای شش ماه) حدود ۱۰، ۱۵ درصد آنها اقدام به رفع آسیب‌پذیری کردند. این روترهای آسیب‌پذیر هنوز در کشور هستند. موضوع این است که کسی که این رصدها را انجام می‌دهد همان کسی نیست که همه اختیارات را دارد.» او تاکید می‌کند که ماهر خواستار تمامی اختیارات هم نیست چرا که چارچوب‌های قانونی فعالیت در حوزه سایبری تعریف شده؛ اما باید پروتکل‌های ارتباطی نهادهای درگیر در این حوزه تعریف و با یکدیگر هماهنگ شود. به باور صادقی ماهر می‌تواند نخ تسبیح این هماهنگی‌ها بین دستگاه‌هایی که فرایندهای امنیتی را  در اختیار دارند باشد.
 
سیاست ماهر صیانت از حقوق شهروندان و شرکت‌هاست
بررسی گزارش‌ها و خبرهای منتشر شده از سمت مرکز ماهر نشان می‌دهد که تا زمانی که یک اتفاق عمومی در مورد یک بحران امنیتی رخ ندهد، گزارشی از سمت این مرکز منتشر نمی‌شود. از طرفی گزارش‌های این مرکز در مورد برخی رخدادهای امنیتی با وجود وعده‌های این سازمان برای انتشار جزییات آن رخداد منتشر نمی‌شود. برای مثال اواخر فروردین و همزمان این مرکز وعده داد که بعد از بررسی‌های لازم گزارشی از جزییات این اتفاق را منتشر خواهد کرد، وعده‌ای که تاکنون هم محقق نشده است. صادقی در این زمینه می‌گوید:‌‌ «ما به عنوان دولت باید به صورت همزمان هم از حقوق شهروندان صیانت کنیم و هم از کسب‌وکارها حمایت کنیم. اینها همزمان باید اتفاق بیفتد. زمانی که نشت اطلاعات تپ‌سی رخ داد مقام محترم وزارت بدون اینکه اسمی از مجموعه‌ای بیاورند، اصل موضوع را در قالب یک توییت، با هشتگ گزارش به مردم، اطلاع‌رسانی کردند. فلسفه آن توییت این بود که اگر جایی خطری متوجه مردم است، این موضوع اطلاع‌رسانی شود. قرار نبود که اسامی شرکت‌ها رسانه‌ای شود.» براساس اظهارات صادقی به خاطر اینکه کسب‌وکار شرکت‌ها آسیب نبیند، تذکرات به صورت محرمانه داده ‌می‌شود. او با انتقاد از برخی خبرهایی که در مورد تپ‌سی رسانه‌ای شد اعلام کرد:‌ «منظور من این نیست که چنین اتفاقاتی رسانه‌ای نشود اما نباید چیزی رسانه‌ای شود که به کسب‌وکار شرکت آسیب بزند. هدف ما این است که بهبود شرایط کسب‌وکار و افزایش اعتماد عمومی رخ دهد. هدف ما نابود کردن کسب‌وکارها نیست.»
 
او در پاسخ به این سوال که در مورد سیاست انتشار گزارش‌های ماهر می‌گوید:‌ «قاعده ما این است که دو نوع گزارش عمومی داریم. نوع اول در حیطه آسیب‌پذیری‌هاست. احساس می‌کنیم یکسری از این آسیب‌پذیری‌ها خطرناک است؛ مثلاً آن نرم‌افزار یا وسیله‌ای که در معرض آسیب است، ضریب نفوذ بالایی در کشور دارد. یا نوع آسیب‌پذیری طوری خطرناک است که اگرچه تعداد دستگاه‌های زیادی را درگیر نمی‌کند اما تبعات زیادی دارد. بر حسب بررسی‌هایی که انجام می‌پذیرد تصمیم‌گیری می‌شود که گزارش منتشر شود یا نه.» صادقی در توضیح گزار‌ش‌های دیگر این مرکز می‌‌افزاید:‌ «گزارش نوع دوم ماهر درباره رخدادها و حملات است. سیاستی که در گذشته وجود داشته این بوده که چنین گزارش‌هایی اساساً منتشر نشود. سیاست ما این است که آن بخش‌هایی که به صورت تجاری برای سازمان‌ها و شرکت‌ها محرمانگی پیدا می‌کند از گزارش حذف و جنبه عمومی‌اش برای بقیه با هدف آگاه‌سازی و تجربه منتشر شود.»
 
کنترل ضعیف اپ‌استورها روی اپلیکیشن‌ها
از دیگر گزارش‌هایی که مرکز ماهر به صورت ماهانه یا فصلی هم منتشر می‌کند گزارش در مورد اپلیکیشن‌های ناامنی است که توسط اپ‌استورهای مختلف منتشر می‌شود. این گزارش‌ها در حالی از سمت این مرکز منتشر می‌شود که برخی اپ‌استورهای ایرانی اعلام می‌کنند که تا زمانی که صحت گزارش‌های ماهر در این زمینه توسط خودشان بررسی نشود اقدام به حذف آن نخواهند کرد. صادقی در واکنش به این نوع سیاست‌ اپ‌استورهای ایرانی می‌گوید:‌ «از دید ما، خیلی شفاف و صریح، اپ‌استور نسبت به آلوده نبودن محصولی که در اختیار مردم قرار می‌دهد مسئول است. اپل و گوگل این کار را می‌کنند و اپ‌استورهای داخلی هم موظف‌اند این سرویس را برای کاربر برقرار کنند. کل کنترل من اگر قرار باشد با استفاده از یک آنتی‌ویروس نه‌چندان قوی که در ۳۰ آنتی‌ویروس اول دنیا جایی ندارد اعمال شود، اصلاً فایده ندارد.» او می‌افزاید:‌ «بحثی که امروز در نهادهای تصمیم‌ساز درباره اپلیکیشن‌ها در جریان است این است که برخی می‌گویند هر اپلیکیشنی باید مجوز امنیتی بگیرد؛ اما ما به عنوان وزارت ارتباطات مدام تاکید می‌کنیم که فشار به اپ‌ها نیاید. مجوزهای امنیتی گران هستند و خیلی از نویسندگان اپ‌ها اصلاً بضاعت مالی ورود به چنین فرایندهایی را ندارند. در تمام دنیا این کنترل‌ها را اپ‌استورها انجام می‌دهند. در کشور ما هم اپ‌استورها باید آماده این کار باشند. اکنون هم چنین نقشی را ایفا می‌کنند ولی به شکل خیلی ضعیف و مینیاتوری.»
 
اما صادقی در پاسخ به این سوال که چرا با وجود ناامن بودن پوسته‌های تلگرامی و تاکید تلگرام روی این موضوع مرکز ماهر اپ‌استورهای ایرانی را مجاب به حذف این پوسته‌ها نکرده اعلام می‌کند:‌ «قانون حکم کرد تلگرام فیلتر شود و وزارت ارتباطات هم به عنوان مجری قانون آن را مسدود کرد، حجم قابل توجهی از ارتباطات در گذشته روی تلگرام بود و نمونه‌های داخلی هم که به دلیل ضعف‌هایی که داشتند (به رغم همه تلاش‌ها و آمادگی خوبی که در افکار عمومی ایجاد شد) نتوانستند پاسخ بدهند و ظرفیت لازم را نداشتند. در نتیجه مردم برگشتند. شرکت‌هایی بودند که توافقاتی انجام دادند و دسترسی‌ها را ایجاد کردند. تاکنون کسی به ما ارجاع نداده است که اینها امن هستند یا نه تا بررسی کنیم.» او در واکنش به اینکه اما تلگرام این پوسته‌ها را نا امن اعلام کرده است می‌گوید:‌ «حرف تلگرام برای ما حجت نیست؛ مثلاً اگر یک کاربر از وی‌پی‌ان آلوده به بدافزار استفاده کند و به تلگرام وصل شود، آیا تلگرام راجع به آن اظهارنظری می‌کند؟ تلگرام دقیقاً می‌داند کدام کاربران با استفاده از وی‌پی‌ان وصل می‌شوند. این را با آگاهی دقیق می‌گویم. » براساس اظهارات او مرکز ماهر تا کنون هیچ درخواستی از سوی هیچ مرکز دولتی و خصوصی نداشته‌ که این پوسته‌ها را بررسی امنیتی کند.