"واناکرای" و محک جدی به دفاع سایبری ایران
کاوه درفشانی - روز سهشنبه دو هفته قبل بود که گزارش "دفاع سایبری نیازمند اقدامات عاجل" به تیتر نخست هفتهنامه تبدیل شد و از قضا در زمانیکه این گزارش در حال طی فرآیند چاپ بود، انتشار یک باجافزار خطرناک به سرعت دنیا را درنوردیده و اهمیت مضاعف توجه به امنیت سایبر کشور را روشنتر از قبل کرد.
حالا به تعبیری میتوان گفت "آفتاب آمد دلیل آفتاب". در همان ساعات ابتدایی انتشار باج افزار موسوم به "میخواهی گریهکنی" (واناکرای) خبر رسید که بسیاری از کشورهای آسیایی و اروپایی به این باجافزار آلوده شدهاند و اختلالات فراوانی در رایانههای گوشه و کنار جهان و از جمله ایران پیش آمده است.
باجافزار واناکرای که این روزها به دلیل سرقت اطلاعات بیماران برخی بیمارستانها به "باجافزار آدمکش" نیز مشهور شده تا لحظه تنظیم این گزارش رایانههای مختلفی از بیش از صد کشور جهان را آلوده کرده است و خبر نفوذ آن به برخی رایانههای در کشور ما نیز به گوش رسید.
اما همانطور که در گزارش "دفاع سایبری نیازمند اقدامات عاجل" نیز اشاراتی به این مهم شد، نبود نهاد راهبر حوزه دفاع سایبری کشور و اقدامات جزیرهای و بعضا موازی در خصوص حمله اخیر نیز تا حدودی مشهود بود از جمله اینکه در برخورد با هر نوع حمله و خطر امنیتی سایبری میبایست وظایف و حوزه عمل و اختیار هر ارگانی از ابتدا روشن باشد تا در هنگام نفوذ بدافزارهایی همچون واناکرای در دسترس و پاسخگو باشد.
واناکرای چیست؟
طی دو هفته گذشته حملات سایبری بیسابقهای در کل دنیا به وقوع پیوست که طی آن یک باجافزار پیچیده پس از رمزنگاری اطلاعات از قربانیان خود درخواست باج میکند.
ماجرا از آنجا آغاز شد که چند ماه قبل یک گروه هکری روشهای مورد استفاده آژانس امنیت ملی آمریکا برای نفوذ به رایانهها و سرقت اطلاعات از آنها را افشا کرد. این امر منجر به آن شد که برخی آسیب پذیریهای سیستم عامل ویندوز که توسط آژانس امنیت ملی آمریکا به منظور جاسوسی سایبری و حمله به شبکههای رایانهای مورد سوءاستفاده قرار میگیرد هم افشا شود.
ظاهرا طراحان واناکرای با سوءاستفاده از همین اطلاعات دادههای کاربران را قفل کرده و برای دسترسی مجدد به آنها درخواست پول میکنند. طراحان این بدافزار برای باز کردن قفل رایانهها حداقل ۳۰۰ دلار درخواست میکنند.
در همین حال مایکروسافت برای رفع حفرههای امنیتی افشا شده توسط هکرها وصلههایی را عرضه کرده، اما کاربرانی که این وصلهها را نصب نکردهاند، به طور جدی در معرض خطر آلودگی قرار دارند.
از جمله سازمانهای مهمی که به دنبال این حملات آسیب دیدهاند میتوان به سازمان ملی بهداشت آمریکا، شرکت مخابراتی دولتی تله فونیکای اسپانیا و شرکت پستی مشهور فدکس اشاره کرد. حملات یاد شده در انگلیس تا بدان حد پیش رفت که به تعطیلی بیمارستانها انجامید و برخی عملهای جراحی را نیز لغو کرده است. همچنین پزشکان و پرستاران در این بیمارستانها مجبور شدند به استفاده از قلم و کاغذ روی آورند.
این درحالیست که شرکت مایکروسافت در اطلاعیهای، کمکاری دولتها در زمینه امنیت اطلاعات را عامل موفقیت هکرها در هک کردن سیستمها با استفاده از باجافزار واناکرای دانسته است. در بخشی از اعلامیه برد اسمیت مدیرعامل فعلی مایکروسافت آمده است: دولتها باید به این حمله به عنوان یک هشدار و بیدارباش بنگرند و بدانند این حملات میتوانند آسیبهای بسیار زیادی برای غیرنظامیان و شهروندان داشته باشند و به همین دلیل به هیچ عنوان نباید از کنار این موضوع به سادگی گذشت.
واناکرای با ما چه کرد؟
نخستین هشدار در خصوص نفوذ واناکرای به ایران توسط پلیس فتا در 24 اردیبهشت مطرح شد. البته در گزارش پلیس فتا که بیشتر شبیه ترجمه خبر برخی سایتهای خارجی حوزه امنیت سایبری بود اعلام شده بود، سازمانها میبایست مطمن شوند که آخرین بهروز رسانی امنیتی ویندوز و به خصوص MS17010 را به منظور جلوگیری از انتشار آن نصب کردهاند.
کمی بعد از انتشار این خبر اما این بار ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای) وابسته به سازمان فناوری اطلاعات ایران از تنظیم دستورالعمل پیشگیری از باجافزار واناکرای و ابلاغ آن به نهادها و سازمانهای کشور خبر داد.
بر اساس جدیدترین آمار ارایه شده از سوی مرکز ماهر، تا لحظه تنظیم این گزارش بیش از دو هزار کاربر در کشور به باجافزار واناکرای آلوده شدهاند که از این تعداد حدود هزار و 500 قربانی از سوی مرکز ماهر و مابقی از طریق گزارش سازمانها و نهادهای مختلف شناسایی شده است.
بیشترین آلودگی از طریق این باج افزار به ترتیب متعلق به اپراتورهای ارتباطی، سلامت و پزشکی و دانشگاهی بوده و بیشترین استانهای آلوده، تهران و اصفهان هستند.
دو روز پس از حمله بی سابقه باج افزار واناکرای و پرداخت هزاران دلار باج در سراسر دنیا، رییس سازمان پدافند غیر عامل نیز به موضوع ورود کرد و گفت: راه بازگرداندن اطلاعات را در اختیار دارد.
رییس سازمان پدافند غیرعامل کشور هفته گذشته در باره حمله این باج افزار گفت: با توجه به مشخص نبودن میزان رایانههایی که در داخل کشور آلوده به این باج افزار شدهاند، سایتهای بینالمللی که این موضوع را دنبال میکنند، ایران را در رده 15 قرار دادهاند.
رییس سازمان پدافند غیرعامل نیز به سازمانها و ارگانهای کشور در خصوص این باجافزار هشدار داده گفته: سازمانها و ارگانها رایانههای آلودهای را که به شبکه متصل هستند، از شبکه جدا کنند و موضوع را به قرارگاه پدافند سایبری و پلیس فتا گزارش دهند.
وی همچنین مدعی شده چنانچه اطلاعاتی از دستگاهها یا نهادها دچارآسیب شده باشد، قرارگاه پدافند سایبری کشور آمادگی دارد با در اختیار گذاشتن ابزارهایی درباره بازگردانی اطلاعات اقدام کند.
در آخرین خبرها نیز مرکز ماهر اعلام کرد: با توجه به اتفاقات اخیر و انتشار باجافزار WannaCrypt، نرمافزار ضدباجافزار بومی با مشارکت و سرمایه گذاری وزارت ارتباطات و فناوری اطلاعات توسعه یافته و در دسترس عموم قرارگرفته است.
سرگردانی یا هماهنگی در اقدام
از ابتدای هفته گذشته که موضوع حمله این باجافزار رسانهای شد تا اواخر هفته شاهد اطلاعات و آمار متفاوتی در رسانهها و به ویژه رسانه ملی بودیم. نکته جالب آنکه بخشهای خبری کانالهای صداوسیما هر کدام سراغ یک مسوول برای کسب خبر و اطلاعات رفته بودند. در یک شبکه مسوولی از مرکز ماهر پاسخگو بود، در شبکه دیگر پلیس فتا، در شبکهای رییس سازمان پدافند غیرعامل و در برخی بخشها نیز با حضور کارشناسان امنیتی موضوع مورد بحث و بررسی قرار میگرفت.
همچنین در حالیکه آخرین آمار مرکز ماهر همان 2 هزار IP آلوده به این باجافزار بود، پلیس فتا روز سهشنبه هفته گذشته در رسانه ملی خبر از افزایش 10 برابری میزان آلودگی به واناکرای داد و اعلام کرد: "در ابتدا نزدیک به دو هزار آیپی آلوده این باجافزار در کشور شده بودند ولی هم اکنون بیش از 20 هزار آیپی آلوده در کشور داریم."
به هر تقدیر در نگاه نخست حتی در ارایه گزارش از وضعیت یک حمله سایبری به کشور، شاهد پراکندگی در نهاد متولی اطلاعرسانی، پاسخگویی و آماردهی هستیم. این در حالیست که در خصوص فاجعه اخیر یعنی پلاسکو و برای جلوگیری از تنشهای غیرضرور، تنها یک مرجع متولی پاسخگویی شد. اما مورد واناکرای نشان داد، خبری از این اقدام هماهنگ نیست.
به هر ترتیب در مورد حمله فعلی که به منزله محکی برای هماهنگی در امداد و عملیات رخدادهای رایانهای است، چیزی که از بیرون به نظر میآمد این بود که سه سازمان و ارگان مرتبط با امنیت سایبر کشور یعنی پلیس فتا، سازمان پدافند غیرعامل و مرکز ماهر سازمان فناوری اطلاعات هر یک به صورت جداگانه اقدامات و توصیههایی را برای مبارزه با این باجافزار ارایه دادهاند. با این وجود اما شرح وظایف، چارچوب اختیارات و مسوولیتهای هر یک از این نهادها در برخورد با بدافزارها و تهدیدات سایبری به روشنی مشخص نیست و علاوه بر سازمانها، نهادها و مردم، رسانهها نیز نمیدانند که هریک از این نهادها چه وظایفی را در شرایط بحرانی سایبری به عهده دارند.
ذکر مثالی اما به لزوم و چگونگی ایجاد شفافیت در لایههای مختلف دفاع سایبری کشور میتواند کمک کند. در حال حاضر ما قوای مختلفی همچون سپاه، ارتش، پلیس، نیروهای امنیتی، بسیج و ستاد کل نیروهای مسلح داریم که در بخشهای مختلفی در حال فعالیت هستند اما حدود اختیارات، وظایف و چارچوب فعالیت هر یک کاملا روشن و مشخص است. بدیهی است که در حوزه سایبری نیز میبایست این حدود وظایف و چارچوب فعالیت هر یک از ارگانها و نهادها به روشنی مشخص و مطرح شود تا هم در هنگام بروز شرایط بحرانی و حملات سایبری توان مقابله وجود داشته باشد و هم مردم و رسانهها بدانند که وظایف هریک از ارگانهای مرتبط با امنیت سایبری مشخصا چه مواردی است و بتوانند از آنها در مواقع لزوم درخواست رسیدگی کنند.
از این رو بجاست برای جلوگیری از تشدید موازیکاریهای احتمالی از هماکنون تکلیف نهاد راهبر "دفاع ملی سایبری " روشن شده و از توان هر دستگاه ذیربط در حوزه دفاع و امنیت سایبری در بخش مشخصی استفاده شود تا علاوه بر جلوگیری از اتلاف منابع، شاهد پوشش همه جانبه به رویدادها و حملات سایبری آینده به کشور باشیم.