در ماجرای هک دوربینهای زندان اوین به عنوان تازهترین رخداد هکری در دستگاههای کشور، این سوال مهم مطرح میشود که متولی تامین امنیت این بخش کدام نهاد است؟ چه کسی باید در قبال عدم تامین امنیت آن پاسخگو باشد؟ این سوالات را از یک مقام مسوول جویا شدهایم.
به گزارش پایداری ملی به نقل از خبرگزاری فارس، در روزهای اخیر، گروهی که خود را «عدالت علی» نامگذاری کرده اند، مدعی هستند با نفوذ به سیستم امنیتی زندان اوین توانسته اند به تصاویری از داخل این زندان دست پیدا کنند.
تصاویری از زندان اوین در شبکههای اجتماعی منتشر شده که از برخوردهای نامناسب کارکنان و مسئولان زندان با زندانیان حکایت دارد.
در این باره محمد مهدی حاج محمدی رئیس سازمان زندانها در واکنش به این تصاویر، مسئولیت رفتارهای غیرقابل قبول در زندان اوین را پذیرفت و از این بابت عذرخواهی کرد.
اما در ماجرای هکری نفوذ به بخشی از سیستم امنیتی کشور باز چند سوال اساسی خودنمایی می کند، مهم ترین سوال این است که متولی امنیت این بخش کدام نهاد است؟ چه کسی باید در قبال آن پاسخگو باشد؟ و سوالی که هنوز سر به مهر مانده این است این هک چطور اتفاق افتاده است؟
در این باره با ابوالقاسم صادقی، معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات در زیرمجموعه وزارت ارتباطات و فناوری اطلاعات گفت وگو کرده ایم و سوال هایی که ذهن مخاطبان را درگیر کرده است با این مقام مسوول مطرح کرده ایم.
این بار و در قضیه هک دوربین های اوین متولی امنیت چه کسی بود؟
هر بار در ماجراهای نفوذ و حملات هکری در کشور، سوال اول درباره متولی تامین امنیت در آن مورد خاص است؛ در این مورد متولی امنیت اطلاعات سازمان زندان ها چه نهادی بوده است؟
صادقی: تقسیم کار ملی در حوزه امنیت در کشور انجام شده است و وظیفه هر یک از نهادها در این باره روشن است. مجموعه قضایی کشور متشکل از تمامی سازمان های تحت مدیریت این مجموعه، جزء دستگاه های زیرساختی کشور هستند و براساس تقسیم کار ملی در حوزه امنیت، این سازمان ها باید تحت پوشش چتر امنیتی افتای ریاست جمهوری باشند.
در تقسیم کار ملی در حوزه امنیت در کشور این موضوع قید شده است و نام قوه قضاییه و زیر مجموعه های آن به عنوان دستگاه زیرساختی تحت پوشش مرکز راهبردی افتای ریاست جمهوری آمده است.
چه زمانی وزارت ارتباطات مسوول می شود؟
اگر اتفاق در کدام دستگاه های اجرایی رخ دهد، مرکز ماهر وزارت ارتباطات و فناوری اطلاعات مسوول خواهد بود؟
صادقی: در تقسیم کار ملی که در حوزه امنیت اطلاعات در کشور انجام شده است، نام دستگاه هایی که پوشش مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای) وزارت ارتباطات قرار میگیرند مشخص شده و همچنین دستگاه هایی که تحت پوشش چتر امنیتی مرکز مدیریت راهبردی افتای ریاست جمهوری قرار میگیرند هم نام برده شده اند.
از دستگاه های دولتی که تحت پوشش مرکز ماهر وزارت ارتباطات هستند، میتوان برای نمونه به وزارت آموزش و پرورش، وزارت علوم، تحقیقات و فناوری، دانشگاه های کشور، وزارت جهاد کشاورزی، وزارت کار (به جز حوزه شستا و تامین اجتماعی که برچسب زیرساختی دارند و در حوزه مسوولیت مرکز افتای ریاستجمهوری دستهبندی شده اند) و وزارت فرهنگ و ارشاد اسلامی اشاره کرد.
برای مثال چند روز پیش مشکلی برای برخی از زیردامنه های دانشگاه تهران پیش آمده بود که همکاران ما در مرکز ماهر این مشکل را به سرعت رصد کردند و در کوتاه ترین زمان هشدارهای لازم را به دستگاه مربوط اعلام کردند.
دستگاه هایی که جنبه حیاتی و زیرساختی دارند که البته عمده ای از دستگاه های کشور را تشکیل می دهند، مانند وزارت نیرو، وزارت نفت، وزارت کشور، وزارت امور خارجه حوزه بانکی و ...تحت پوشش مرکز مدیریت راهبردی افتای ریاست جمهوری قرار گرفته اند.
البته اگرچه از سمت مرکز ملی فضای مجازی در این زمینه هشدارهایی را دریافت کرده ایم که موانعی را در کار ما ایجاد کرده است، اما تلاش کرده ایم که اقدامات مربوط به خدمات رسانی امنیتی را ادامه دهیم و سرویس دهی های امنیتی را متوقف نکنیم. در این اقدامات هم با مرکز مدیریت راهبردی افتای ریاست جمهوری و پلیس فتا (پلیس فضای تولید و تبادل اطلاعات) همکاری داریم.
مسوول دستگاهی که مورد نفوذ قرار گرفته وظیفه پاسخ گویی ندارد؟
یکی از سوالاتی که در رخدادهای امنیتی که برای دستگاه های اجرایی کشور پیش می آید مطرح میشود این است که در این نفوذها، علاوه بر نهادهای بالادستی و مسئول در حوزه امنیت در کشور، از نظر حقوقی چه مسئولیتی متوجه مسئولان رده بالای یا بخش امنیت آن دستگاه است؟ آیا اساسا مسوولیتی متوجه آنها می شود یا خیر؟
صادقی: در این زمینه دو قانون وجود دارد؛ یکی مصوبه مربوط به مقابله با رخدادهای رایانه ای مصوب شورای عالی فضای مجازی است که تحت عنوان «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» شناخته می شود و مسوول مقابله و رسیدگی به حوادث فضای مجازی که در حوزه عمومی به وقوع می پیوندد را مشخص کرده است و قانون دیگر، قانون جرایم رایانه ای است.
طبق قوانین موجود، امن نگه داشتن داده ها و نگهداری ایمن از داده ها از مسئولیتهای هر دستگاه است؛ یعنی هر کس داده هایی را نگهداری می کند مسئول نگهداری امن و صحیح از آن داده ها است.
اما پس از اینکه این قانون ها نوشته شد در عمل مشاهده شد که چالش هایی در اجرای این قانون ها وجود دارد؛ برای مثال یکی از چالش ها این بود که شاید دستگاه ها به تنهایی نتوانند اقدامات مربوط به تامین امنیت داده های خود را انجام دهند؛ زیرا ملاحظات مختلفی در اجرا وجود داشت که کار را برای دستگاه ها با توان های فنی و اجرایی مختلف سخت کرده است، برای مثال محدودیت تکنولوژی، محدودیت نیروی انسانی، محدودیت مالی و محدودیت دانش فنی که به طور مداوم در حال تغییر است، باعث شد که این نتیجه به دست آید که باید چند دستگاه مادر و ریشه برای تامین امنیت در سطح ملی ایجاد شوند. به همین دلیل مرکز افتای ریاست جمهوری یا مرکز ماهر وزارت ارتباطات ایجاد شده اند. اما متاسفانه در این بخش از کار، هم در بعد اطلاع رسانی و جاانداختن موضوع و هم از بعد هماهنگ سازی و یکپارچگی کارها کم کاری وجود دارد و خدماتی که باید به دستگاه ها داده می شد که در زمینه تامین امنیت تنها نمانند و دست آنها خالی نباشد، ارائه نشده است.
اما به طور کلی می توان گفت که براساس قانون و در چارچوب فعلی کشور، مسئولیت تامین امنیت بر عهده خود دستگاه ها و همچنین دستگاه های مسوول در تقسیم کار ملی است. زیرا وقتی دستگاه هایی که در تقسیم کار ملی مسوولیت رصد، هشدار و اطلاع رسانی را برعهده دارند به وظایف خود به درستی عمل نمی کنند، طبیعی است که دستگاه های اجرایی در زمینه امنیت دچار آسیب می شوند و خسارت می بینند.
چرا ماجراهای نفوذ به سامانه امنیتی در کشور تمامی ندارند؟
همان طور که توضیح دادید در تمامی موارد نفوذ به سامانه ها که پیش می آیند بالاخره یک متولی در آن بخش وجود دارد؛ چرا با اینکه متولی امنیت داریم اما مسیرهای نفوذ مسدود نمی شود و شاهد تکرار آسیب های امنیتی در دستگاه های مختلف کشور هستیم؟
صادقی: اصل موضوع این است که مجموعه های اصلی در تقسیم کار ملی در حوزه امنیت در کشور که برای مثال مرکز ماهر و مرکز افتای ریاست جمهوری هستند، باید کامل تر از آنچه که اکنون عمل می کنند دستگاه ها را راهنمایی کنند و به آنها سرویس دهی کنند و از آنها پشتیبانی به عمل آورند؛ متاسفانه این سرویس دهی و پشتیبانی ها در حال حاضر ضعیف است و در عمل بیشتر در حد چند دستورالعمل باقی مانده است. ما در مرکز ماهر علیرغم زیرساخت ها و امکانات گسترده ای که طی سه سال اخیر ایجاد کرده ایم با مانع تراشی ها و محدودیت های متعدد مواجه شده ایم و بنابراین نتوانسته ایم دستگاه ها را به صورت حداکثری از امکانات و داشته های خود بهره مند سازیم. طبیعی است که با این شرایط نمی توان سطح امنیت مناسبی را متصور بود.
در نتیجه این وضعیت در کشور در عمل می بینیم که دستگاه ها در حفظ امنیت تنها گذاشته شده اند. تنها ماندن در این موضوعات باعث شده است که دستگاه ها ندانند که در حوزه تامین امنیت دقیقا باید چه بکنند.
از سوی دیگر دستگاه ها با مشکلات بودجه ای هم در حوزه امنیت مواجه هستند و کسی به آنها نگفته که در شرایط کمبود بودجه چگونه باید برای خود تامین خود اقدام کنند. در این زمینه دستگاه های مسوول در نظام ملی پیشگیری و مقابله با حوادث فضای مجازی باید اقدام کنند. در این حوزه مشخص (نفوذ در سیستم های مداربسته زندان اوین) طبق تقسیم کار ملی در نظام ملی پیشگیری و مقابله با حوادث فضای مجازی، به طور مشخص مرکز افتای ریاست جمهوری به عنوان دستگاه متولی مسوول است.
پس چرا تقسیم کار ملی در حوزه امنیت جواب نمی دهد؟
تقسیم کار ملی در حوزه امنیت انجام شده و متولی هر بخش و دستگاه های تحت پوشش آن هم مشخص است، اما نتیجه مطلوب نیست؛ نحوه تقسیم کار هم ایراد دارد؟
صادقی: این تقسیم کار ملی چندان صحیح نیست و خود ما هم که در این سیستم هستیم از این وضع چندان راضی نیستیم. این تقسیم کار ملی که توسط مرکز ملی فضای مجازی انجام شده است، چندان قابل فهم نیست و با منطق کارشناسی و اجرایی کار انطباق لازم را ندارد. همین پیچیدگی ها کار را در اجرا با مشکلاتی مواجه کرده است.
وقتی مسوولیت امنیتی فقط در وقت آرامش جذاب است
در زمینه امنیت شاهد هستیم که در شرایط عادی و بدون خطر، برخی مراکز به واسطه قدرت و منابع مالی بهتر، برای گرفتن مسوولیت بیشتر و افزایش دامنه اختیارات خود تلاش می کنند اما وقت پاسخ گویی که می رسد حتی مصاحبه هم نمی کنند.
صادقی: بله؛ متاسفانه با این پدیده مواجه هستیم که برخی علاقه دارند که همه حوزه ها تحت اختیار آنها باشد اما به وقت ضرورت پاسخ گو نیستند. این موضوع کار تامین امنیت را هم در کشور سخت تر می کند.
جزئیات نفوذ هنوز سر به مهر است
از اینکه این هک چطور اتفاق افتاده، اطلاعی دارید؟
صادقی: خیر، متاسفانه به دلیل همان تقسیمات پیش گفته، کارشناسان مرکز ماهر، علیرغم داشتن آمادگی لازم اجازه دسترسی به شواهد و تحلیل داده ها برای ریشه یابی حمله را پیدا نکرده اند.