هشدار مرکز ماهر درباره احتمال حمله هکرها به تأمین اجتماعی

به گزارش کارگروه بین‌الملل سایبربان؛ امیر ناظمی رئیس سازمان فناوری اطلاعات درباره از دسترس خارج شدن چندساعته سایت تأمین اجتماعی که روز پنجشنبه اتفاق افتاده بود، گفت که قبل از هک شدن سامانه تأمین اجتماعی، مرکز ماهر دو مرتبه و در فواصل مختلف به آن‌ها هشدار داده بود. به گفته ناظمی تأمین امنیت سازمان تأمین اجتماعی و مقابله با حمله‌ هکرها به سایت این سازمان بر عهده «افتا» بوده است اما بااین‌حال مرکز ماهر پس از پایش طرح «دژفا» دو بار در مورد احتمال حمله به صورت دوستانه به تأمین اجتماعی هشدار داده بود.

پس‌ازاینکه سایت سازمان تأمین اجتماعی در روز پنج شنبه نهم خرداد ماه برای چندساعتی از دسترس خارج شد، «محمد حسن زدا» سرپرست سازمان تأمین اجتماعی، اعلام کرد که امنیت کامل تمامی سامانه‌ها، اطلاعات و سوابق بیمه‌شدگان، مستمری‌بگیران و کارفرمایان محرز است و جای هیچ نگرانی نیست. هرچند اطلاعات کاربران دست نخورده باقی ماند اما همین حمله چندساعته، ضعف امنیتی سامانه‌های مهمی مانند تأمین اجتماعی را نشان داد که می‌تواند خسارات بسیاری به دنبال داشته باشد.

بر همین اساس رئیس سازمان فناوری اطلاعات جزئیاتی در مورد این اتفاق و اینکه طرح دژفا چطور سامانه‌های مهم کشور را رصد و پایش می‌کند را بیان کرد. ناظمی در گفتگو با ایرنا گفت طبق قوانین و مقررات ایران، هر دستگاهی مسئولیت جمع‌آوری داده‌های مخصوص به خود و محافظت از آنها را برعهده دارد؛ اما زمانی که رخداد و جرایمی اتفاق می‌افتد، نوبت به «نظام مقابله» با آنها می‌رسد که با بحران‌های این چنینی مقابله کند. ناظمی می‌گوید در نظام مقابله، بانک‌های داده دستگاه‌ها به سه دسته تقسیم می‌شوند:

دسته اول سازمان‌های حساس هستند که مسئولیت مقابله با رخداد در این سازمان‌ها به «افتا» ریاست جمهوری (امنیت فضای تولید و تبادل اطلاعات کشور) بر می‌گردد. سازمان تأمین اجتماعی نیز جزو دستگاه‌هایی است که افتا مسئولیت رسیدگی به رخدادهای احتمالی آن را برعهده دارد. دسته دوم کسب‌وکارها هستند که مقابله با جرایمی که در خصوص آنها رخ می‌دهد، برعهده پلیس فتاست. مقابله با رخدادهای بقیه سازمان‌های دولتی نیز بر عهده وزارت ارتباطات و مرکز ماهر است.

بر اساس گفته‌های ناظمی سازمان فناوری اطلاعات ایران و مرکز ماهر عملاً در این رخدادهای بانکی، تأمین اجتماعی و کسب‌وکارها مسئولیتی ندارد و به همین دلیل سعی شده تا اطلاع‌رسانی در این خصوص انجام ندهند. به گفته او سازمان فناوری معمولاً به این مسائل حتی اگر در حوزه وظایف خود نباشد، دوستانه کمک می‌کند برای مثال اخطارهایی به سازمان تأمین اجتماعی داده بودند:

سازمان فناوری طی دو مرحله، یک‌بار یک ماه قبل و یک بار دو روز قبل از هک شدن سایت، به آنها در نامه‌ای گوشزد کردیم، مشکلاتی وجود دارد که ممکن است منجر به آسیب‌پذیری سایت‌شان شود. سازمان فناوری بر اساس طرح دژفا، پایشی را به صورت مداوم روی سایت‌ها و سامانه‌های دولتی انجام می‌دهد و پس از رصد آن‌ها، نقاط آسیب‌پذیرشان را شناسایی می‌کند. پس از شناسایی آسیب نیز شروع می‌کند به اخطار دادن. هر دو مرتبه به همین شکل به سازمان تأمین اجتماعی اخطار داده دادیم.

رئیس سازمان فناوری اطلاعات تاکید دارد زمانی که به واسطه پایش طرح دژفا، آسیبی شناسایی می‌شود یا تغییراتی در حوزه تنظیمات سایت‌ها رخ می‌دهد، اخطارهای لازم ابلاغ می‌شود. او  به ماجرای هک شدن سایت تپسی در هفته‌های قبل اشاره می‌کند و می‌گوید:

قبل از اینکه دسترسی به اطلاعات برخی از صورت حساب‌های تپسی رخ دهد، با همین روش پایش از طریق ایمیل به آن‌ها هشدار داده بودیم، اما مدیر امنیت ایمیل خود را چک نکرده بود و متأسفانه آن نفوذ اتفاق افتاد.

ناظمی در بخش دیگری از صحبت‌های خود، گفته‌های زدا مبنی بر عدم دسترسی هکرها به بانک داده‌ها و اطلاعات مردم را تائید کرد و در خصوص برنامه‌های آتی سازمان فناوری اطلاعات در این خصوص افزود که پس از تجربیات اخیری که در خصوص هک کسب‌وکارهای اینترنتی و مواردی شبیه سایت تأمین اجتماعی به دست آمده‌ است، این سازمان سعی دارد پیشنهاداتی در مورد بهبود نظام مقابله با چنین رخدادهایی را به شورای عالی فضای مجازی ارائه کنند تا در موقعیت‌های مشابه رفتارهای بهتری نشان دهند.

او درباره اینکه آیا قرار است سازمان فناوری اطلاعات از هکرهای کلاه سفید استفاده کند و بودجه‌ای برای تشویق آن‌ها در حوزه شناسایی آسیب سایت‌ها اختصاص دهد نیز توضیح داد:

اکنون سایت «کلاه سفید» با همین محوریت توسعه داده شده است. بودجه‌ای برای استفاده از توانمندی هکرهای کلاه سفید در نظر گرفته شده و جوایز نیز روی سایت قرار دارند. البته با توجه به محدودیت‌های منابع دولتی، این جوایز مبلغ زیادی را شامل نمی‌شوند اما در نظر داریم سازمان‌ها را نیز به استفاده «باگ بانتی» تشویق کنیم. تا آن‌ها به صورت داوطلبانه بیایند و آسیب‌پذیری‌هایشان را از طریق مشارکتی که هکرهای کلاه سفید انجام می‌دهند، بهبود ببخشند.

با اینکه سازمان فناوری طبق همان دسته‌بندی، مسئولیتی در قبال برخی سازمان‌ها ندارد، اما به گفته ناظمی هم به دلیل وظیفه ملی و هم به این دلیل مهم که آن‌ها سامانه توانمندتری برای شناسایی آسیب‌های این‌چنین دارند، همواره آماده کمک‌رسانی به سازمان‌ها خواهند بود.

آن‌طور که تحقیقات نشان می‌دهد هک سایت سازمان تأمین اجتماعی به دست گروهی موسوم به گروه تپندگان صورت گرفته که چندی پیش شهرداری تهران و فرودگاه‌های برخی از شهرهای کشور را نیز هک کرده بودند.