دومین سال سرنوشت نامعلوم هک شهرداری
از حمله سایبری به سامانههای شهرداری دو سال گذشت اما هنوز ابعاد هک سامانههای شهرداری مشخص نیست، گزارشی در این رابطه در صحن شورای شهر تهران به شهروندان تهرانی ارائه نشد و تأکید شد به دلیل امنیتیبودن این اتفاق نمیتوان چندان درخصوص آن صحبت کرد.
12 خرداد 1401 در فاوا چه گذشت؟
داستان هک از چه زمانی آغاز شد، ظهر روز 12 خرداد بود که دسترسی به سایت شهرداری تهران و تهران من امکانپذیر نبود. شهرداری تهران در واکنشی دیرهنگام به خبر هک شهرداری اعلام کرد که سایتهای ما هک نشده و دلیل وضعیت پیشآمده اختلال عمدی است اما برخی از رسانههای خارجی خبر دادند که بیش از پنج هزار دوربین نظارتی شهرداری تهران از دسترس خارج شده است. به گفته این رسانهها دوربینهای مرکز فناوری و اطلاعات شهرداری تهران هک شد.
درحالیکه براساس اظهار نظر مدیران شهری به نظر میرسید حمله سایبری چندان جدی نباشد و سامانههای شهرداری دوباره فعال شوند اما این اتفاق نیفتاد و چند هفتهای زمان برد تا سایتهای خدماتی دوباره فعال شوند. تنها تذکر اعضای شورای شهر تهران به این اتفاق را علیاصغر قائمی، عضو شورای شهر پایتخت که زمانی مسئولیت سازمان فاوا را بر عهده داشت به شهرداری تهران داد. او در واکنش به این حمله سایبری به تذکر سال گذشته خود در آبانماه (سال 1400) اشاره میکند و میگوید: آبان سال گذشته بعد از اتفاقی که برای کارت سوخت رخ داد، تذکری به شهرداری تهران مبنی بر اینکه باید برای حفاظت و امنیت اطلاعات شهرداری حساسیت بیشتری داشت، ارائه کردم. این حساسیت با ارتقای تجهیزات فنی و بهکارگیری نیروی انسانی متخصص و رصد مستمر سرویسها امکانپذیر است، چراکه سرویسها باید به طور مداوم کنترل شوند. باید به صورت مداوم سطح امنیت افزایش پیدا کند. هر روز که امنیت خود را ارتقا دهید، کسانی که قصد خرابکاری دارند، روش جدیدی پیدا میکنند و آسیبپذیری افزایش مییابد، بر همین اساس معتقدم ارتقای سطح امنیت و رصد باید بهطور مداوم صورت گیرد. شهرداری پاسخی کاملا اداری در واکنش به آن تذکر داد، هرچند تعهد کرده بود تا پایان سال 1400 اقدامات خوبی انجام دهد، اما در عمل این اتفاق رخ نداده است. به گفته عضو شورای شهر تهران نقاط آسیبپذیر بسیاری وجود داشته که سبب شد چنین اتفاقی بیفتد.
مدتی بعد نشریه داخلی سازمان فاوا روایتی از ناگفتههای این اتفاق را منتشر کرد و نوشت: درست از ساعت 11 و 27 دقیقه همه چیز در بخش دیتاسنتر این سازمان تغییر کرد.
در این گزارش که به بازسازی آن روز پرداخته آمده، پنجشنبه 12 خردادماه است. در بخش دیتاسنتر ساختمان سازمانهای شهرداری تهران مثل همه پنجشنبههای دیگر تعدادی از کارشناسان شیفت مشغول کار هستند. اصولا همه شبکهها در معرض حملات سایبری هستند. معمولا این شکل از نفوذ به هر شبکهای وجود دارد و مهاجم حمله میکند تا یک راه نفوذ پیدا کند و دفع آن برای کارکنان بخش شبکه، برنامهای روشن و همیشگی است. تعداد این حملات زیاد است و هیچ زمان مشخصی هم ندارد و دفع آن برای کارشناسان زبده، کار سختی نیست. ساعت دیواری بزرگ معاونت شبکه 11 و 27 دقیقه را نشان میدهد. در یک لحظه همه چیز تغییر میکند. سرپرست شیفت در حالی که چشمانش روی مانیتور قفل شده، گوشی تلفن را برمیدارد. اعلام شرایط قرمز نفوذ سایبری به شهرداری تهران آغاز شد.
اولین نشانه نفوذ سایبری، تصویری موهن بود که برای دقایقی روی سامانه داخلی شهرداری تهران به نمایش درآمد. دقایقی بعد از وقوع این اتفاق، کارشناسان سازمان فاوای شهرداری تهران ابعاد موضوع را بررسی و در کمترین زمان، اقدامات پیشگیرانه برای حفظ اطلاعات و مقابله با حملات را آغاز کردند. به این ترتیب در فاصله زمانی چند دقیقهای، سامانه توسط کارشناسان سازمان فاوا، از دسترس خارج شد. خنثیکردن نفوذ سایبری با ایزولهکردن شبکه سازمان فناوری اطلاعات و ارتباطات شهرداری تهران شروع و مسیرهای نفوذ احتمالی توسط کارشناسان شناسایی شد.
از لحظات اولیه اعلام شرایط بحران سایت شهرداری تهران از دسترس عموم خارج شد. همچنین بلافاصله عملیات کشف رفتار نفوذگر آغاز شد تا از آسیبرسیدن به اطلاعات که اصلیترین هدف تخریبگران بود، جلوگیری به عمل آید.
پنجشنبه 12 خردادماه، ساعت هفت عصر
در ادامه این گزارش آمده که لحظاتی بعد از وقوع نفوذ سایبری، عملیات گسترده برای راهاندازی سامانههای حیاتی شهرداری تهران شروع شد. اولویت با مهمترین خدمات موردنیاز مردم در مترو بود. اگرچه حمله سایبری در روزهای تعطیل تهران رقم خورد که هم عدهای در خارج از شهر بودند و تعداد مسافر شهری کم بود، اما باز هم ارائه خدمت در مترو و فراهمکردن امکان خرید بلیت برای مسافران از اهمیت زیادی برخوردار بود. البته که در پیش بودن مراسم سالگرد رحلت امام (ره) در خردادماه، باز هم بر اهمیت موضوع افزود. بنابراین سازمان فاوای شهرداری تهران در نخستین گام در ساعت 19 عصر همان روز، ارتباط موقت با سامانه مترو را که موردنیاز شهروندان در سطح شهر تهران بود، راهاندازی کرد و سامانه مترو برای فروش بلیت به صورت آنلاین آماده سرویسدهی به مردم شد.
جمعه 13 خردادماه، ساعت هفت صبح
با اعلام وضعیت ویژه در روز پنجشنبه بسیاری از کارشناسان خود را به ساختمان فاوای شهرداری تهران رساندند تا تیم عملیات با همه توان اجرایی خود ظاهر شود و بتواند کارها را به روال سابق بازگرداند. به این ترتیب در دومین گام از این عملیات، کارشناسان اقدام به ایزولهکردن شبکه اینترنتی بهشت زهرا (س) کردند. ارائه خدمت به خانوادههای متولیان بهعنوان اولویت بعدی در دستورکار قرار گرفت.
شنبه 21 خردادماه، ساعت ۱۱ و ۳۰ دقیقه شب
در فاصله این روزها، اظهارنظرهای زیادی صورت گرفت. از همان ابتدا عدهای فارغ از جستوجوی دقیق و کسب اطلاع، تلاش کردند در این فضای ملتهب، انگشت اتهام را به سوی امنیت سامانههای شهری نشانه بگیرند. این همان هدفی بود که حملهکنندگان به فضای سایبری شهرداری تهران به دنبال آن بودند. اما در سوی دیگر این اتفاق، تلاش بیوقفه و شبانهروزی مدیران و کارشناسان سازمان فناوری اطلاعات و ارتباطات شهرداری تهران بود که زیر بار فشار روانی و کاری بسیار شدید، اختلال بهوجودآمده در شبکه شهرداری را رفع و بعد از حصول اطمینان از امنیت کامل، به مرور آن را فعال کردند.
بیستم خردادماه بود که دومین اطلاعیه رسمی سازمان فاوای شهرداری تهران منتشر شد. در این اطلاعیه اعلام شد که سامانه احراز هویت (SSQ)، سامانه مکاتبات اداری، سامانه جامع منابع انسانی (مدیریت یکپارچه منابع انسانی، حضور و غیاب سازمانها و شرکتها، حضور و غیاب مناطق بیستودوگانه و ستاد حقوق و دستمزد و میز کار الکترونیکی کارکنان) راهاندازی شد.
خبر خوش دیگر آن بود که سامانه جامع شهرسازی شامل ماده صد، بازدید ممیزی، املاک و مستغلات و فضای سبز (ماده 7) و سامانه جامع معاملات در دسترس قرار گرفتهاند و بدنه مدیریت شهری میتوانند با رعایت دستورالعملها، از این سامانهها بهرهبرداری کنند.
در این میان، پرتال «تهران من» مهمترین سامانه موردنیاز شهروندان تهران ساعت 11:30 شب 21 خرداد به صورت کامل و در فضایی امن راهاندازی مجدد شد و برخط قرار گرفت. این سامانه جامع برای خدمترسانی الکترونیک به شهروندان تهرانی بهویژه در بخش رزرو طرح ترافیک، نوبتدهی معاینه فنی، عوارض سالانه خودرو، سامانه حملونقل بار و کالا و پرداخت عوارض شهرسازی در اختیار شهروندان قرار گرفت.
در روزهای بعدی به ترتیب پرتال اینترنتی شهرداری تهران، سامانههای مالی شهرداری تهران و سایر بخشهای سامانههای اینترنتی شهرسازی، سامانه آتشنشانی و خدمات ایمنی و در نهایت معاونت حقوقی شهرداری تهران به طور مجدد راهاندازی شدند و اطلاعات قابل رصد بود.
نامهای که داستان هک را زنده کرد
ماجرای هک شهرداری بدون آنکه جعبه سیاه آن باز شود، در حال فراموشی بود که یکی از رسانهها متن نامهای را منتشر کرده که در آن نوشته شده یک ماه قبل از هک سیستم در شهرداری تهران، مدیران شهرداری از آن مطلع بودند. در این نامه که به تاریخ ۱۱ اردیبهشت ۱۴۰۱ و به امضای محمدرضا زارعلی مدیر کل سابق امور مالی شهرداری تهران رسیده، به حراست شهرداری اطلاع داده شده که برخی از نیروهای شهرداری گفتهاند که سیستم شما توسط فرد دیگری در دسترس است.
زارعلی در این نامه که خطاب به مدیر حراست اداره کل امور مالی و اموال است، نوشته: «دستور فرمایید با توجه به اهمیت موضوع و به حداقل رساندن هرگونه تهدید، سوءاستفاده احتمالی و آسیبپذیری خارجی و داخلی» این موضوع بررسی شود. یک ماه بعد از این نامه یعنی ۱۲ خرداد، شهرداری تهران اعلام کرد که سیستم شهرداری و سامانههای شهری هک شده است. زارعلی نیز در تاریخ ۹ خرداد یعنی سه روز قبل از اعلام خبر هک سیستمهای شهرداری از کار کنار گذاشته شد.
بعد از انتشار این نامه نیز شهرداری تهران ترجیح داد نسبت به آن واکنشی نشان ندهد تا بلکه این ابهام جدید نیز مانند سایر پرسشهایی که درخصوص هک سامانههای شهرداری وجود دارد فراموش شود. اما شهردار تهران همان زمانها درخصوص این نامه به رسانهها پاسخ داد این نامه نشان آگاهی از هک شهرداری نبوده و تنها موضوع دسترسی غیرمجاز به سامانه اداری یکی از مدیران بوده است. او در واکنش به انتشار این نامه که نشان از اطلاع حمله سایبری به زیرساختهای شهرداری دارد گفت که: در موضوع حمله سایبری بررسیهای دقیق فنی نشان داد که از گذشته سرمایهگذاری ویژهای روی این موضوع و برای زمینهچینی حمله به زیرساختهای فنی شهرداری تهران انجام داده بودند.
او با بیان اینکه طبق گزارش تیم فنی شهرداری تهران از ابتدای سال یک کار پیچیده روی حوزه سایبری و زیرساختی شهرداری انجام شده بود، گفته بود: نهایتا این اقدامات منجر به حمله گسترده در آستانه ۱۴ خردادماه با هدف از بین بردن همه زیرساختها و امکانات سختافزاری و نرمافزاری شهر شد. شهردار تهران با تأیید این نامه گفته بود: پس از گزارش رسانهها این نامه را دیدهام و با وجود مشخصبودن موضوع، پیگیری مجددی در این رابطه انجام شد. موضوع این نامه مربوط به دسترسی غیرمجاز به حساب کاربری یکی از مدیران در یکی از سامانههای اداری بود که به صورت طبیعی با تغییر و بازنشانی کلمه عبور توسط پشتیبانی فنی مشکل برطرف شده بود. زاکانی تصریح میکند: موضوع دسترسیهای غیرمجاز، فراموشی کلمه عبور، در اختیار قراردادن کلمه عبور به غیر و از این دست موارد در همه سامانههای فناوری اطلاعات رخ میدهد و در هیچجا این به معنی هک سامانه نیست.
اما دو سال از این اتفاق گذشته، هنوز پسلرزهای هک در سامانههای شهرداری به چشم میآید.
میگویند حمله سایبری در حذف تهران من و جایگزینشدن سامانه شهرزاد بیتأثیر نبوده است و هنوز برخی از سامانهها خدمات گذشته را ارائه نمیکنند.
علیاصغر قائمی، عضو شورای شهر تهران، این موضوع را تأیید میکند و میگوید اینکه نخواستند یا نتوانستند یا اعتبارات لازم را نداشتند مشخص نیست اما هنوز برخی از خدمات شهرداری به روال سابق بازنگشته است.
او ادامه میدهد: شهردار از موضوع هک به سادگی عبور کرد و نه گزارشی در صحن شورای شهر داد و نه اعضای شورا توانستند اطلاعاتی کسب کنند اما از کارکنان شرکت فاوا برای تلاشهایشان در این حوزه تشکر میکنم.
مهدی چمران هم درباره سالگرد هک و سامانههای شهرداری تهران و مشکلات سازمان فاوا به رسانهها گفته است: تلاش زیادی انجام شد که این سامانهها بازگردند و با احتیاطات زیاد اصلاح شود. دستگاههای امنیتی نیز در اجرای این برنامهها حضور دارند؛ اما آنچه نیاز شهرداری تهران است هنوز نتوانستهاند فراهم کنند. انتظار ما بیشتر از این است.
رئیس شورای شهر تهران ادامه میدهد: «شهرزاد» اپلیکیشنی جدید و قوی است که امیدواریم جایگزین سامانههای فعلی شود و نیاز شهرداری تهران را تأمین کند.(منبع:شرق)