ITanalyze

مینو مومنی - بزرگراه فناوری - اعلام نتیجه یک پژوهش توسط مرکز پژوهش‌های مجلس شورای اسلامی در چند روز گذشته باعث شد به نوعی بار دیگر دغدغه قدیمی بسیاری از صاحب‌نظران و کارشناسان حوزه آی‌تی در خصوص نبود امنیت در میزبانی سایت‌های ایرانی مطرح شود. همان دغدغه‌ای که بارها و بارها در رسانه‌ها به چاپ رسیده، اما روی آن نگاه جدی صورت نگرفته است.
در گزارش این پژوهش آمده است، ۵۷ درصد سایت‌های مهم حکومتی ایران ‌از میزبان‌های خارجی‌ استفاده می‌کنند و از این بین، ‌اطلاعات ‪۸۷ سایت حکومتی صرفا در آمریکا و کانادا نگهداری می‌شود. نتایج فوق حاصل بررسی روی ۱۵۰ سایت مهم حکومتی توسط مرکز پژوهش‌های مجلس است. گرچه هشدار مجلسیان به وضعیت بحرانی امنیت سایت‌های دولتی قابل قدردانی است، اما نکته مهم آن است که این هشدار و هشدارهایی از این قبیل از سوی بسیاری در سال‌های گذشته مطرح شده و به نوعی این پژوهش، یک یافته جدید محسوب نمی‌شود و بهتر بود که در کنار این هشدار هرچه سریع‌تر مسؤولان به فکر راهکاری برای خروج از این بحران بودند چراکه یک سرور اینترنتی مثل یک خانه مستحکم می‌تواند محیط امن برای زندگی یک سایت به‌شمار آید.
اطلاعاتی در قلب آمریکا

"مسدود کردن بیش از ‪ ۵۰۰ سایت از سوی ارایه‌کنندگان خدمات میزبانی کانادایی و آمریکایی و هک شدن چندباره وبسایت‌های مهم حکومتی نظیر وب‌سایت مجلس شورای اسلامی و مجلس خبرگان، این سؤال تامل‌برانگیز را در ذهن تداعی می‌کند که آیا دولتمردان نسبت به این مهم واقفند و اقدامی به‌عمل نمی‌آورند یا توسعه فناوری اطلاعات، تحقق دولت الکترونیکی و جامعه اطلاعاتی تنها در حد شعار دنبال می‌شود." این متن بخش دیگری از گزارش مرکز پژوهش‌های مجلس است. گفتنی است این گزارش به درخواست احمد توکلی نماینده تهران و رییس این مرکز با عنوان "مراکز داده، ضرورتی حیاتی" تهیه شده است. گزارش مرکز پژوهش‌های مجلس، وضعیت کنونی وب‌سایت‌های دولتی از نظر امنیتی را یک بحران ملی دانسته و می‌افزاید: بررسی صلاحیت میزبان‌های وب‌سایت‌های دولتی نشان می‌دهد که تاکنون به مقوله امنیت در فضای تبادل اطلاعات به هیچ عنوان بها داده نشده است بنابراین لزوم ایجاد مراکز داده در کشور برای جلوگیری از تعرضات الکترونیکی بیگانگان امری ضروری است.
در ادامه گزارش این مرکز آمده است: مایکل چرتوف، یکی از معاونان وزارت امنیت ملی ایالات متحده که یک صهیونیست اسرائیلی است، نامه محرمانه‌ای از سوی وزارت امنیت ملی با تایید آژانس امنیت ملی و کاخ سفید برای شرکت‌های بزرگ میزبانی مانند ,‪Microsoft,yahoo,The Planet ‪ Interland, Peerlو ‪ Googleارسال و در آن به‌صراحت تاکید کرده که سرورها، داده‌ها، پست‌الکترونیکی و دیگر منابع، همگی اموال ایالات متحده محسوب می‌شوند و در همین راستا مدتی پس از ارسال این نامه، جعبه‌های سیاهی که دارای قفل و دوربین‌های نظارتی بودند، در این مرکز نصب شده و طی اطلاعیه‌ای هشدار داده شده بود که هیچ کس حق ندارد به این جعبه‌ها نزدیک شود و فقط ماموران ویژه مجاز به این کار هستند و در غیر این صورت، متخلفان مطابق قوانین جدید امنیت ملی - آمریکا - به حبس محکوم می‌شوند.

به اعتقاد مرکز پژوهش‌های مجلس منابع صاحب‌نظر عقیده دارند که این جعبه‌ها برای دریافت داده‌ها، ‪ IPو بسیاری اطلاعات مرتبط دیگر به کار گرفته شده‌اند و به استناد قانون میهن‌پرستی آمریکا مصوب نوامبر۲۰۰۱- یعنی یک ماه پس از واقعه یازدهم سپتامبر - که در سال ‪ ۲۰۰۵ نیز دوباره تایید شده است به مجریان قانون در ایالات متحده اجازه داده شده در راستای مبارزه با تروریسم، به حریم اشخاص، به‌ویژه ارتباطات الکترونیکی آن‌ها، تعرض کنند. گفتنی است گزارش پژوهش مجلس با یک سؤال به پایان رسیده است: «چگونه دستگاه‌های حکومتی ایران جرات می‌کنند در قلب این آمریکا و کشورهای هم‌پیمانش اطلاعات خود را نگهداری کنند». پرسشی که بارها مطرح شده اما تاکنون پاسخ شفافی به آن داده نشده است.
زیر تیغ نفس کشیدن

تهدید امنیت فعالیت سایت‌های ایرانی و ضرورت داشتن یک دیتا‌سنتر داخلی برای حفظ اطلاعات و امنیت آن‌ها دغدغه امروز نیست، چراکه قصه این ماجرا به سال‌ها قبل بازمی‌گردد. درست به 25 دی‌ماه سال 1383، وقتی ایمیلی از طرف یک شرکت آمریکایی با نام The planet به خبرگزاری ایسنا ارسال شد. در آن ایمیل آمده بود که به‌دلیل شرایط و قوانین موجود این خبرگزاری باید طی 48 ساعت سرور The planet را ترک کند. در این نامه قید شده بود این ایمیل یک دستور فوری محسوب می‌شود و به نوعی قابل برگشت یا مذاکره نیست.

این خبرگزاری در آن زمان چندین ایمیل به The planet ارسال کرد و خواستار اعلام دلیل این برخورد شد، اما تمامی نامه‌‌ها بی‌جواب ماند و عاقبت با اختلالاتی که در این خبرگزاری پیش آمد ماجرا به این‌جا ختم شد که ایسنا به شرکت Hostway کوچ کرد که دست بر قضا این شرکت هم آمریکایی بود. بعد از آن موج جدید از تحریم‌های اینترنتی علیه سایت‌های ایرانی در سال 84 آغاز شد. حداقل این موج باعث شد که دارندگان سایت‌ها بدانند که به چه دلیلی زیر تیغ قرار گرفته‌اند. بعد از آن بسیاری از این شرکت‌ها قوانینی را به مشتریانشان نشان دادند که اساسا خرید و فروش و هر نوع معامله‌ای را با شهروندان ایرانی منع می‌کرد.

به این ترتیب عملا کار از این مرحله هم فراتر رفت و اساسا فروش هر گونه فضای اینترنتی به ایرانیان ممنوع شد. هرچند در همان زمان و حتی هم‌اکنون نیز سایت‌های ایرانی را می‌توان یافت که روی سرورهای آمریکایی قرار دارند، اما طبیعی است که این کار یا با چشم‌پوشی طرف آمریکایی و یا پنهان از آن‌ها (مثلا با استفاده از کارت‌های اعتباری که نام و آدرس غیرایرانی دارند) به فعالیت مشغولند، اما کسی نمی‌تواند تضمین بدهد که این دسته از سرورها ناگهان اقدام به حذف سرور و یا سایت‌های ایرانی نکنند.

چنین موضوعی وضعیت خطرناکی را برای سایت‌های ایرانی ایجاد می‌کند به‌خصوص از آن جهت که معمولا خریداران ایرانی فضای اینترنتی اطلاعاتی در مورد چنین مواردی ندارند و اساسا بسیاری از آن‌ها حتی از شرکت میزبان وب در مورد محل سرور نیز پرسشی مطرح نمی‌کنند و به این‌گونه ناگهان مانند همان سال‌های نخست ایجاد مشکلات برای سایت‌های ایرانی، صاحبان این سایت‌ها حتی اجازه انتقال و گرفتن فایل پشتیبانی را نیز به مشتریان نمی‌دهند.
آنچنان که عنوان شد موج برخورد با سایت‌های ایرانی از سال 83 آغاز شد و این مسدودسازی‌ها به نوعی هشداری برای ایجاد محل امن برای سایت‌های ایرانی که عمدا سایت‌‌های دولتی و نظامی را دربر می‌گرفت شامل می‌شد که به فکر حفظ اطلاعات خود باشند، اطلاعاتی که به‌راحتی می‌توانست در اختیار بیگانگان قرار بگیرد. وقتی مسدود‌سازی خارجی چندان هشدار جدی به حساب نیامد. هکرهای وطنی دست به کار شدند تا آن‌جا که گروه هکر آشیانه طی اقدامی 250 سایت مهم ایرانی را مورد هدف قرار دادند. این گروه هکر در راستای کار خود اطلاعیه‌ای نیز صادر کردند. در بخشی از این اطلاعیه آمده بود: ما در طی سالیان گذشته بارها به مدیران سرورهای عزیز ایرانی گوشزد کردیم که به مقوله امنیت شبکه اهمیت دهند و حفره‌های امنیتی سرورهای مهم خود را از بین ببرند ولی بعضی از آن‌ها تا به وضوح مشاهده نکنند که سرورشان هک شده، به‌خود نیامده و به امنیت سرور خود اهمیت نمی‌دهند.

ما از دو سال پیش اعلام کردیم که دیگر سایت ایرانی هک نمی‌کنیم ولی متاسفانه بعضی از سرورهای مهم دولتی ایران که سایت‌های بزرگ دولتی - نظامی و سیاسی کشور روی آن‌ها قرار دارند هنوز مشکلات عمده‌ای از لحاظ Security و امنیت سرور دارند که متاسفانه به آن نیز اهمیتی از سوی مسؤولان داده نمی‌شود. ما به‌عنوان گروه کوچکی از دنیای امنیت شبکه بسیار نگران این موضوع بوده و هستیم و روزانه مشاهده می‌کنیم که تعداد زیادی از سایت‌های دولتی و مهم ایرانی توسط هکرهای ایرانی و خارجی دیگر هک میشوند که در بعضی از مواقع هکرهای خارجی با نوشتن شعارهایی علیه مردم ایران، دانش -اعتقادات ایرانیان را مسخره می‌کنند. به همین دلیل در پروژه‌ای تعداد زیادی از سایت‌های مهم و دولتی ایران را هک کردیم که شاید با این تذکر ما مسؤولان کشور به مقوله امنیت سرورهای مهم دولتی ایران بیشتر از گذشته اهمیت دهند.

ما صفحه اول و Index این سایت‌ها را تغییر ندادیم و هیچ خسارتی به اطلاعاتی که در این سرور و سایت‌های مهم بود وارد نکردیم و تنها فایلی با نام ash.htm که حاوی متن تذکر به مقوله امنیت شبکه هست را برای اثبات امنیت پایین سرورهای مهم دولتی ایران روی تمامی این سایت‌ها قرار دادیم. ما تا به‌حال هیچ کلمه عبور سروری را عوض نکردیم و حتی در ایمیلی که به مسؤولان سرورهای مورد نظر زدیم به این موضوع اشاره کردیم که اگر آن‌ها مایل باشند ما می‌توانیم به‌صورت رایگان باگ‌های سرورهای آن‌ها و دیگر سرورهای مهم دولتی ایران را از بین ببریم تا خدای نکرده توسط یک فرد خارجی هک نشود و یا اطلاعات مهم این سرورها توسط کسی از بین نرود که متاسفانه در بیشتر موارد به ایمیل‌های ما جوابی داده نشده است. هدف ما از این تذکر خیرخواهانه بوده و قصد آگاه کردن مسؤولان این سرور که مهم‌ترین سرور دولتی ایران است را از اهمیت مقوله امنیت شبکه داشتیم نه قصد تخریب یا خسارت. با این خبر مطمئن هستیم دیگر مدیرهای سرورهای ایرانی به امنیت سرور خود بیشتر از گذشته توجه می‌کنند.
غربت دیتاسنترهای وطنی

به گفته کارشناسان ایجاد دیتا‌سنتر ملی زیرساخت مهمی در راه‌اندازی دولت الکترونیکی است و تا زمانی که مستندات ملی ما در حافظه‌های بیگانه قرار گیرد بهتر است دولت الکترونیکی نداشته باشیم. اما داستان دیتاسنتر در کشور ما داستان پرفراز و نشیبی است. گفته می‌شود زمزمه‌ها برای داشتن یک دیتاسنتر در کشور از سال‌های 79 با پروژه شارع 2 آغاز شد و در اواخر سال 81 به منظور پاسخ‌گویى به نیاز Hosting در کشور آیین‌نامه IDC (Internet Data Center) در امور ارتباطات دیتاى مخابرات تدوین و مراحل نهایى تصویب خود را مى‌گذراند.

بعد از ماه‌ها سکوت و بی‌خبری در خصوص فعالیت در زمینه ایجاد دیتا‌سنتر در اواخر سال 83 خبری روی تلکس خبرگزاری‌ها در مورد اینکه حوزه علمیه قم نخستین دیتاسنتر ایران را راه‌اندازی کرده است به نوعی تعجب کارشناسان این حوزه را برانگیخت و چند روز بعد معاون فنی شورای عالی اطلاع‌رسانی در اظهارنظری در مورد وضعیت دیتاسنتر وطنی گفت، در حال حاضر ایجاد دیتاسنتر در کشور در حد یک پیشنهاد و طرح بوده و برای اجرای آن برنامه‌ای در نظر گرفته نشده است. اما همین معاون پس از چند روز در اظهارنظری دیگر از حمایت سازمانش از راه‌اندازی دیتاسنتر حوزه علمیه قم خبر داد و اواسط آذر سال 83 مدیرعامل آن زمان شرکت ارتباطات داده‌ها اعلام کرد شارع 2 تا یک ماه دیگر راه‌اندازی شده و به بهره‌برداری خواهد رسید.

هرچند طبق خبرهای موجود در آن زمان ماه‌ها از پایان آن وعده سپری می‌شد، اما خبری از طرح بهره‌برداری از شارع 2 به میان نبود. بالاخره با اما و اگر‌ها بسیار شارع 2 فعالیت خود را آغاز کرد. اما قیمت‌های بسیار بالای آن مانع از فراگیری آن شد ضمن اینکه این دیتاسنتر قرار بود تنها سایت‌‌های دولتی را تحت پوشش خود قرار دهد.
همان زمان در کنار شارع 2 مجوز راه‌اندازی تاسیس دیتاسنتر برای بخش خصوصی به مناقصه گذاشته شد و در این بین سه شرکت داده‌پردازی ایران و کنسرسیوم فن‌آوا- پتسا و پارس‌آنلاین موفق به کسب این مجوز شدند. این سه شرکت هر کدام مبلغ 5/1 میلیارد تومان ضمانت‌نامه اجرای طرح را به‌شکل تضمین در اختیار وزارت ارتباطات قرار داده تا طبق این ضمانت‌نامه موظف باشند طی چهار تا شش ماه مرکز دیتاسنتر را راه‌اندازی کنند.
عبدالمجید ریاضی معاون آی‌تی وزیر با بیان اینکه حضور برخی سایت‌های دولتی در دیتاسنترهای خارج از کشور خطرناک است افزود: یکى از مشکلات اصلى در رابطه با توسعه فناورى اطلاعات در کشور و توسعه کاربرى‌هاى مختلف عدم وجود دیتاسنتر است، به همین علت در این زمینه یک‌سرى آیین‌نامه تدوین و ابلاغ شده است که دیتاسنترهاى رسمى و مهندسى شده باید حداقل از چه استانداردهایى برخوردار باشند و این آیین‌نامه را اعلام کردیم و در همین زمینه در بخش خصوصى تعدادى متقاضى وجود داشته که در مرحله اول به سه شرکت پارس‌آنلاین، داده‌پردازى و کنسرسیوم فن‌آوا- پتسا مجوز ایجاد دیتاسنتر را داده‌ایم که این سه شرکت کار خود را آغاز کرده‌اند و کارشناسان ما از نزدیک فعالیت این شرکت‌ها را دنبال کرده‌اند که خوشبختانه پیشرفت کار بسیار مطلوب بوده تا آن‌جا که بعضى از این شرکت‌ها حتى اقدام به سرویس‌دهى کرده‌اند. اما در مورد شارع 2 باید بگویم این یک دیتاسنترى است که توسط بخش دولتى راه‌اندازى شده است و اولویت آن سرویس‌دهى به بخش دولتى است. ما با این کار سعى داریم بخش خصوصى را ترغیب کنیم که جلب ایجاد دیتاسنتر شوند.
به گفته کارشناسان هرچند این شرکت‌ها به تعهدات خود تا حدودی عمل کردند اما نبود استانداردهای لازم و امکانات مطمئن در دیتاسنترهای این شرکت‌ها سبب شد باز هم دیتاسنترهای وطنی با اقبال خوبی همراه نباشند و همچنان سرورهای آمریکایی به‌خاطر قیمت ارزان حتی در مقایسه با قیمت سرورهای اروپایی و کانادایی و کیفیت مناسب از محبوبیت بالایی برخوردار باشند.
در مورد مشکلات پیش رو در ایجاد دیتاسنتر، رضا باقری مدیرگروه فناوری‌های نوین پژوهشکده مجلس چنین اظهارنظر می‌کند: در اصل 44 اشاره‌ای به پهنای باند نشده است و با توجه به جایگاه شورای عالی فناوری اطلاعات و دبیر آن که معاون وزیر ارتباطات است، ممکن است نگاه انحصاری به مقوله آی‌تی و پهنای باند مطرح شود که ممنوعیت دریافت مستقیم از ماهواره توسط دانشگاه‌ها، ICPها و سایر مراکز ضرورت عدم انحصار در مقوله‌امنیت و کنترل را طبق ماده‌37 برنامه‌ توسعه‌چهارم در فناوری‌های نوین ایجاد می‌کند.
باقری در ادامه چنین می‌افزاید: از دیگر زیرساخت‌های ارتباطی نقطه‌ اتصال بین‌المللی بدون پشتیبان شرکت فناوری اطلاعات است که اگر تنها یک نقطه هم باشد، باید برای بخش خصوصی و دولتی قابلیت اطمینان داشته باشد تا تمام سیستم‌های خود را مبتنی بر اینترنت و روی شبکه‌دیتا قرار دهد. این در حالی است که ما 7/3 گیگابیت بر ثانیه پهنای باند داریم، در این‌جا این سؤال مطرح می‌شود که سرانه کاربران اینترنت چقدر است؟ این عدد با یک حساب سرانگشتی بالای 500 بیت برثانیه است که 50 بیت آن مربوط به سرانه‌مصرف اینترنت در کشور است. وی با طرح این سؤال که آیا با این 50 بیت بر ثانیه می‌توان سرویس ارایه داد، گفت: اگر پهنای باند به 5/12 گیگ و یا حتی اگر بر رقمی که در برنامه‌چهارم ذکر شده برسد، نمی‌توان مدیا و سرویس قابل اطمینانی ارایه داد.
باقری در پایان نبود تجربه، نبود پهنای باند مناسب و زیرساخت ارتباطی به همراه هزینه‌بالای راه‌اندازی اولیه را که طبق آنچه در سازمان تنظیم مقررات ذکر شده 12 تا 16 میلیارد تومان است، نمونه‌ای از چالش‌های موجود بر سر راه ایجاد دیتاسنتر نام برد.
به هرحال برای ایجاد یک دیتاسنتر عوامل مهمی دخیل هستند، از جمله آن‌ها پهنای باند مناسب و زیرساخت لازم و ضروری در کنار هزینه‌های سنگین و در عین حال برآورد کردن امنیت لازم و جلب مشتری است. در عین حال دقت به این نکته نیز ضروری است که گویا در ایجا دیتاسنتر نیز بر سر متولی‌گری آن اما و اگرهایی وجود دارد. تا آن‌جا که طبق تصمیم وزارت آی‌سی‌تی مجوز نصب و راه‌اندازی دیتاسنتر طبق مناقصه این وزارتخانه به سه شرکت واگذار شد، اما در همان زمان‌ها زمزمه‌هایی شنیده می‌شد که نشان می‌داد بخش دیگری از حاکمیت یعنی سازمان تبلیغات اسلامی و سازمان ثبت احوال کشور نیز بدون توجه به تصمیم وزارت آی‌سی‌تی اقدام به برگزاری مناقصه برای راه‌اندازی دیتاسنتر کرده‌اند که این خود خطر جدی برای بخش خصوصی محسوب می‌شود.
به عقیده عده‌ای ارگانی که باید ناظر بر هاست شدن وب‌سایت‌های دولتی در ایران باشد، دیوان محاسبات است که سایت این ناظر نیز در خارج از ایران قرار دارد و حتی هاست شرکت مادر مخابرات ایران هم خارجی است. با این اوضاع باید از مسؤولان پرسید آیا اصلا برای دولت اطلاعات ارزش محسوب می‌شود. رضا باقری در این زمینه می‌گوید: بحث مدیریت اطلاعات در کشور نه در اسناد قدیمی و نه در نظام جامع آی‌تی مرجع تصمیم‌گیری خاصی ندارد و علی‌رغم تاکیدی که قانون برنامه چهارم بر بحث اطلاعات دارد هنوز اطلاعات برای دولت سرمایه تلقی نمی‌شود و تنها قوانین موجود بر نگهداری اطلاعات قانون محاسبات عمومی است که اشاره می‌کند، اطلاعات مالی باید به‌مدت 15 سال نگهداری شود.
***

همواره مسؤولان مخابرات بر این باورند که هاست شدن سایت‌های دولتی در خارج به ضرر منافع کشور است چراکه این مسئله باعث می‌شود که اطلاعات همیشه و در هر لحظه در اختیار بیگانگان باشد. به همین علت پروژه دیتا‌سنتر ملی تبدیل به موضوعی شد که از چند سال قبل در دستور کار قرار گرفت. اما به مرور نشان داده شد که در واقع هنوز ما ظرفیت ایجاد دیتاسنتر با استانداردهای جهانی را نداریم، چراکه ایجاد دیتاسنتر نیاز به سرمایه‌گذاری و فراهم کردن زمینه‌های فعالیت برای یک بازار اقتصادی دارد که چنین کاری تاکنون صورت نگرفته است. قیمت‌های بالای شارع 2 نشان می‌دهد که حتی اگر دولت بخواهد در این زمینه مستقیم وارد عمل شود نمی‌تواند هزینه‌های خود دیتاسنتر را نیز تامین کند و باید شرایط فنی و حمایتی برای حضور بخش خصوصی در این زمینه ایجاد شود. موضوعی که تاکنون بسیار کند پیش رفته است تا آن‌جا که در دولت قبل پس از یک مناقصه تنها چند شرکت خصوصی مجوز ایجاد دیتاسنتر را دریافت کردند که طبق شنیده‌ها هنوز هیچ‌کدام به‌طور کامل افتتاح نشده‌اند و تنها پایلوتی از آن‌ها راه‌اندازی شده است. در چنین فضایی انتخاب میزبان برای صاحبان سایت‌ها گزینه‌ای جز میزبانان خارجی نیست.