بحران در امنیت سایت‌‌های دولتی؛تنها يك انتخاب

نام نویسنده: مینو مومنی

بزرگراه فناوری – اعلام نتيجه يك پژوهش توسط مركز پژوهش‌هاي مجلس شوراي اسلامي در چند روز گذشته باعث شد به نوعي بار ديگر دغدغه قدیمی بسياري از صاحب‌نظران و كارشناسان حوزه آي‌تي در خصوص نبود امنيت در ميزباني سايت‌هاي ايراني مطرح شو. همان دغدغه‌اي كه بارها و بارها در رسانه‌ها به چاپ رسيده، اما روي آن نگاه جدي صورت نگرفته است.

در گزارش اين پژوهش آمده است، ۵۷ درصد سايت‌هاي مهم حكومتي ايران ‌از ميزبان‌هاي خارجي‌ استفاده مي‌كنند و از اين بين، ‌اطلاعات ‪۸۷ سايت حكومتي صرفا در آمريكا و كانادا نگهداري مي‌شود. نتايج فوق حاصل بررسي روي ۱۵۰ سايت مهم حكومتي توسط مركز پژوهش‌هاي مجلس است. گرچه هشدار مجلسيان به وضعيت بحراني امنيت سايت‌هاي دولتي قابل قدرداني است، اما نكته مهم آن است كه اين هشدار و هشدارهایی از اين قبيل از سوي بسياري در سال‌هاي گذشته مطرح شده و به نوعي اين پژوهش، يك يافته جديد محسوب نمي‌شود و بهتر بود كه در كنار اين هشدار هرچه سريع‌تر مسؤولان به فكر راهكاري براي خروج از اين بحران بودند چراكه يك سرور اينترنتي مثل يك خانه مستحكم مي‌تواند محيط امن براي زندگي يك سايت به‌شمار آيد.

اطلاعاتي در قلب آمريكا

“مسدود كردن بيش از ‪ ۵۰۰ سايت از سوي ارايه‌كنندگان خدمات ميزباني كانادايي و آمريكايي و هك شدن چندباره وبسايت‌هاي مهم حكومتي نظير وب‌سايت مجلس شوراي اسلامي و مجلس خبرگان، اين سؤال تامل‌برانگيز را در ذهن تداعي مي‌كند كه آيا دولتمردان نسبت به اين مهم واقفند و اقدامي به‌عمل نمي‌آورند يا توسعه فناوري اطلاعات، تحقق دولت الكترنيكي و جامعه اطلاعاتي تنها در حد شعار دنبال مي‌شود.” اين متن بخش ديگري از گزارش مركز پژوهش‌هاي مجلس است. گفتني است اين گزارش به درخواست احمد توكلي نماينده تهران و رييس اين مركز با عنوان “مراكز داده، ضرورتي حياتي” تهيه شده است. گزارش مركز پژوهش‌هاي مجلس، وضعيت كنوني وب‌سايت‌هاي دولتي از نظر امنيتي را يك بحران ملي دانسته و مي‌افزايد: بررسي صلاحيت ميزبان‌هاي وب‌سايت‌هاي دولتي نشان مي‌دهد كه تاكنون به مقوله امنيت در فضاي تبادل اطلاعات به هيچ عنوان بها داده نشده است بنابراين لزوم ايجاد مراكز داده در كشور براي جلوگيري از تعرضات الكترونيكي بيگانگان امري ضرور است.

در ادامه گزارش اين مركز آمده است: مايكل چرتوف، يكي از معاونان وزارت امنيت ملي ايالات متحده كه يك صهيونيست اسرائيلي است، نامه محرمانه‌اي از سوي وزارت امنيت ملي با تاييد آژانس امنيت ملي و كاخ سفيد براي شركت‌هاي بزرگ ميزباني مانند ,‪Microsoft,yahoo,The Planet ‪ Interland, Peerlو ‪ Googleارسال و در آن به‌صراحت تاكيد كرده كه سرورها، داده‌ها، پست‌الكترونيكي و ديگر منابع، همگي اموال ايالات متحده محسوب مي‌شوند و در همين راستا مدتي پس از ارسال اين نامه، جعبه‌هاي سياهي كه داراي قفل و دوربين‌هاي نظارتي بودند، در اين مركز نصب شده و طي اطلاعيه‌اي هشدار داده شده بود كه هيچ كس حق دارد به اين جعبه‌ها نزديك شود و فقط ماموران ويژه مجاز به اين كار هستند و در غير اين صورت، متخلفان مطابق قوانين جديد امنيت ملي – آمريكا – به حبس محكوم مي‌شوند. به اعتقاد مركز پژوهش‌هاي مجلس منابع صاحب‌نظر عقيده دارند كه اين جعبه‌ها براي دريافت داده‌ها، ‪ IPو بسياري اطلاعات مرتبط ديگر به كار گرفته شده‌اند و به استناد قانون ميهن‌پرستي آمريكا مصوب نوامبر۲۰۰۱- يعني يك ماه پس از واقعه يازدهم سپتامبر – كه در سال ‪ ۲۰۰۵ نيز دوباره تاييد شده است به مجريان قانون در ايالات متحده اجازه داده شده در راستاي مبارزه با تروريسم، به حريم اشخاص، به‌ويژه ارتباطات الكترونيكي آن‌ها، تعرض كنند. گفتني است گزارش پژوهش مجلس با يك سؤال به پايان رسيده است: «چگونه دستگاه‌هاي حكومتي ايران جرات مي‌كنند در قلب اين آمريكا و كشورهاي هم‌پيمانش اطلاعات خود را نگهداري كنند». پرسشي كه بارها مطرح شده اما تاكنون پاسخ شفافی به آن داده نشده است.

زير تيغ نفس كشيدن

تهديد امنيت فعاليت سايت‌هاي ايراني و ضرورت داشتن يك ديتا‌سنتر داخلي براي حفظ اطلاعات و امنيت آن‌ها دغدغه امروز نيست، چراكه قصه اين ماجرا به سال‌ها قبل بازمي‌گردد. درست به 25 دي‌ماه سال 1383، وقتي ايميلي از طرف يك شركت آمريكايي با نام The planet به خبرگزاري ايسنا ارسال شد. در آن ايميل آمده بود كه به‌دليل شرايط و قوانين موجود اين خبرگزاري بايد طي 48 ساعت سرور The planet را ترك كند. در اين نامه قيد شده بود اين ايميل يك دستور فوري محسوب مي‌شود و به نوعي قابل برگشت يا مذاكره نيست. اين خبرگزاري در آن زمان چندين ايميل به The planet ارسال كرد و خواستار اعلام دليل اين برخورد شد، اما تمامي نامه‌‌ها بي‌جواب ماند و عاقبت با اختلالاتي كه در اين خبرگزاري پيش آمد ماجرا به اين‌جا ختم شد كه ايسنا به شركت Hostway كوچ كرد كه دست بر قضا اين شركت هم آمريكايي بود. بعد از آن موج جديد از تحريم‌هاي اينترنتي عليه سايت‌هاي ايراني در سال 84 آغاز شد. حداقل اين موج باعث شد كه دارندگان سايت‌ها بدانند كه به چه دليلي زير تيغ قرار گرفته‌اند. بعد از آن بسیاری از این شرکت‌ها قوانینی را به مشتریانشان نشان دادند که اساسا خرید و فروش و هر نوع معامله‌ای را با شهروندان ایرانی منع می‌کرد. به این ترتیب عملا کار از این مرحله هم فراتر رفت و اساسا فروش هر گونه فضای اینترنتی به ایرانیان ممنوع شد. هرچند در همان زمان و حتی هم‌اکنون نیز سایت‌های ایرانی را می‌توان یافت که روی سرورهای آمریکایی قرار دارند، اما طبیعی است که این کار یا با چشم‌پوشی طرف آمریکایی و یا پنهان از آن‌ها (مثلا با استفاده از کارت‌های اعتباری که نام و آدرس غیرایرانی دارند) به فعالیت مشغولند، اما کسی نمی‌تواند تضمین بدهد که این دسته از سرورها ناگهان اقدام به حذف سرور و یا سایت‌های ایرانی نکنند. چنین موضوعی وضعیت خطرناکی را برای سایت‌های ایرانی ایجاد می‌کند به‌خصوص از آن جهت که معمولا خریداران ایرانی فضای اینترنتی اطلاعاتی در مورد چنین مواردی ندارند و اساسا بسیاری از آن‌ها حتی از شرکت میزبان وب در مورد محل سرور نیز پرسشی مطرح نمی‌کنند و به این‌گونه ناگهان مانند همان سال‌هاي نخست ايجاد مشكلات براي سايت‌هاي ايراني، صاحبان اين سايت‌ها حتی اجازه انتقال و گرفتن فایل پشتیبانی را نیز به مشتریان نمی‌دهند.

آنچنان كه عنوان شد موج برخورد با سايت‌هاي ايراني از سال 83 آغاز شد و اين مسدودسازي‌ها به نوعي هشداري براي ايجاد محل امن براي سايت‌هاي ايراني كه عمدا سايت‌‌هاي دولتي و نظامي را دربر مي‌گرفت شامل مي‌شد كه به فكر حفظ اطلاعات خود باشند، اطلاعاتي كه به‌راحتي مي‌توانست در اختيار بيگانگان قرار بگيرد. وقتي مسدود‌سازي خارجي چندان هشدار جدي به حساب نيامد. هكرهاي وطني دست به كار شدند تا آن‌جا كه گروه هكر آشيانه طي اقدامي 250 سايت مهم ايراني را مورد هدف قرار دادند. اين گروه هكر در راستاي كار خود اطلاعيه‌اي نيز صادر كردند. در بخشي از اين اطلاعيه آمده بود: ما در طی سالیان گذشته بارها به مدیران سرورهای عزیز ایرانی گوشزد کردیم که به مقوله امنیت شبکه اهمیت دهند و حفره‌های امنیتی سرورهای مهم خود را از بین ببرند ولی بعضی از آن‌ها تا به وضوح مشاهده نکنند که سرورشان هک شده، به‌خود نیامده و به امنیت سرور خود اهمیت نمی‌دهند. ما از دو سال پیش اعلام کردیم که دیگر سایت ایرانی هک نمی‌کنیم ولی متاسفانه بعضی از سرورهای مهم دولتی ایران که سایت‌های بزرگ دولتی – نظامی و سیاسی کشور روی آن‌ها قرار دارند هنوز مشکلات عمده‌ای از لحاظ Security و امنیت سرور دارند که متاسفانه به آن نیز اهمیتی از سوی مسؤولان داده نمی‌شود. ما به‌عنوان گروه کوچکی از دنیای امنیت شبکه بسیار نگران این موضوع بوده و هستم و روزانه مشاهده می‌کنیم که تعداد زیادی از سایت‌های دولتی و مهم ایرانی توسط هکرهای ایرانی و خارجی دیگر هک میشوند که در بعضی از مواقع هکرهای خارجی با نوشتن شعارهایی علیه مردم ایران، دانش -اعتقادات ایرانیان را مسخره می‌کنند. به همین دلیل در پروژه‌ای تعداد زیادی از سایت‌های مهم و دولتی ایران را هک کردیم که شاید با این تذکر ما مسؤولان کشور به مقوله امنیت سرورهای مهم دولتی ایران بیشتر از گذشته اهمیت دهند. ما صفحه اول و Index این سایت‌ها را تغییر ندادیم و هیچ خسارتی به اطلاعاتی که در این سرور و سایت‌های مهم بود وارد نکردیم و تنها فایلی با نام ash.htm که حاوی متن تذکر به مقوله امنیت شبکه هست را برای اثبات امنیت پایین سرورهای مهم دولتی ایران روی تمامی این سایت‌ها قرار دادیم. ما تا به‌حال هیچ کلمه عبور سروری را عوض نکردیم و حتی در ایمیلی که به مسؤولان سرورهای مورد نظر زدیم به این موضوع اشاره کردیم که اگر آن‌ها مایل باشند ما می‌توانیم به‌صورت رایگان باگ‌های سرورهای آن‌ها و دیگر سرورهای مهم دولتی ایران را از بین ببریم تا خدای نکرده توسط یک فرد خارجی هک نشود و یا اطلاعات مهم این سرورها توسط کسی از بین نرود که متاسفانه در بیشتر موارد به ایمیل‌های ما جوابی داده نشده است. هدف ما از این تذکر خیرخواهانه بوده و قصد آگاه کردن مسؤولان ای سرور که مهم‌ترین سرور دولتی ایران است را از اهمیت مقوله امنیت شبکه داشتیم نه قصد تخریب یا خسارت. با این خبر مطمئن هستیم دیگر مدیرهای سرورهای ایرانی به امنیت سرور خود بیشتر از گذشته توجه می‌کنند.

غربت ديتاسنترهاي وطني

به گفته كارشناسان ايجاد ديتا‌سنتر ملي زيرساخت مهمي در راه‌اندازي دولت الكترونيكي است و تا زماني كه مستندات ملي ما در حافظه‌هاي بيگانه قرار گيرد بهتر است دولت الكترونيكي نداشته باشيم. اما داستان ديتاسنتر در كشور ما داستان پرفراز و نشيبي است. گفته مي‌شود زمزمه‌ها براي داشتن يك ديتاسنتر در كشور از سال‌هاي 79 با پروژه شارع 2 آغاز شد و در واخر سال 81 به منظور پاسخ‌گويى به نياز Hosting در کشور آيين‌نامه IDC (Internet Data Center) در امور ارتباطات ديتاى مخابرات تدوين و مراحل نهايى تصويب خود را مى‌گذراند. بعد از ماه‌ها سكوت و بي‌خبري در خصوص فعاليت در زمينه ايجاد ديتا‌سنتر در اواخر سال 83 خبري روي تلكس خبرگزاري‌ها در مورد اينكه حوزه علميه قم نخستين ديتاسنتر ايران را راه‌اندازي كرده است به نوعي تعجب كارشناسان اين حوزه را برانگيخت و چند روز بعد معاون فني شوراي عالي اطلاع‌رساني در اظهارنظري در مورد وضعيت ديتاسنتر وطني گفت، در حال حاضر ايجاد ديتاسنتر در كشور در حد يك پيشنهاد و طرح بوده و براي اجراي آن برنامه‌اي ر نظر گرفته نشده است. اما همين معاون پس از چند روز در اظهارنظري ديگر از حمايت سازمانش از راه‌اندازي ديتاسنتر حوزه علميه قم خبر داد و اواسط آذر سال 83 مديرعامل آن زمان شركت ارتباطات داده‌ها اعلام كرد شارع 2 تا يك ماه ديگر راه‌اندازي شده و به بهره‌برداري خواهد رسيد. هرچند طبق خبرهاي موجود در آن زمان ماه‌ها از پايان آن وعده سپري مي‌شد، اما خبري از طرح بهره‌برداري از شارع 2 به ميان نبود. بالاخره با اما و اگر‌ها بسيار شارع 2 فعاليت خود را آغاز كرد. اما قيمت‌هاي بسيار بالاي آن مانع از فراگيري آن شد ضمن اینکه اين ديتاسنتر قرار بود تنها سايت‌‌هاي دولتي را تحت پوشش خود قرار دهد.

همان زمان در كنار شارع 2 مجوز راه‌اندازي تاسيس ديتاسنتر براي بخش خصوصي به مناقصه گذاشته شد و در اين بين سه شركت داده‌پردازي ايران و كنسرسيوم فن‌آوا- پتسا و پارس‌آنلاين موفق به كسب اين مجوز شدند. اين سه شركت هر كدام مبلغ 5/1 ميليارد تومان ضمانت‌نامه اجراي طرح را به‌شكل تضمين در اختيار وزارت ارتباطات قرار داده تا طبق اين ضمانت‌نامه موظف باشند طي چهار تا شش ماه مركز ديتاسنتر را راه‌اندازي كنند.

عبدالمجيد رياضي معاون آي‌تي وزير با بيان اينكه حضور برخي سايت‌هاي دولتي در ديتاسنترهاي خارج از كشور خطرناك است افزود: يكى از مشكلات اصلى در رابطه با توسعه فناورى اطلاعات در كشور و توسعه كاربرى‌هاى مختلف عدم وجود ديتاسنتر است، به همين علت در اين زمينه يك‌سرى آیين‌نامه تدوين و ابلاغ شده است كه ديتاسنترهاى رسمى و مهندسى شده بايد حداقل از چه استانداردهايى برخوردار باشند و اين آیین‌نامه را اعلام كرديم و در همين زمينه در بخش خصوصى تعدادى متقاضى وجود داشته كه در مرحله اول به سه شركت پارس‌آنلاين، داده‌پردازى و كنسرسيوم فن‌آوا- پتسا مجوز ايجاد ديتاسنتر را داده‌ايم كه اين سه شركت كار خود را آغاز كرده‌اند و كارشناسان ما از نزديك فعاليت اين شركت‌ها را دنبال كرده‌اند كه خوشبختانه پيشرفت كار بسيار مطلوب بوده تا آن‌جا كه بعضى از اين شركت‌ها حتى اقدام به سرويس‌دهى كرده‌اند. اما در مورد شارع 2 بايد بگويم اين يك ديتاسنترى است كه توسط بخش دولتى راه‌اندازى شده است و اولويت آن سرويس‌دهى به بخش دولتى است. ما با اين كار سعى داريم بخش خصوصى را ترغيب كنيم كه جلب ايجاد ديتاسنتر شوند.

به گفته كارشناسان هرچند اين شركت‌ها به تعهدات خود تا حدودي عمل كردند اما نبود استانداردهاي لازم و امكانات مطمئن در ديتاسنترهاي اين شركت‌ها سبب شد باز هم ديتاسنترهای وطني با اقبال خوبي همراه نباشند و همچنان سرورهاي آمريكايي به‌خاطر قيمت ارزان حتي در مقايسه با قيمت سرورهاي اروپايي و كانادايي و كيفيت مناسب از محبوبيت بالايي برخوردار باشند.

در مورد مشكلات پيش رو در ايجاد ديتاسنتر، رضا باقري مديرگروه فناوري‌هاي نوين پژوهشكده مجلس چنين اظهارنظر مي‌كند: در اصل 44 اشاره‌اي به پهناي باند نشده است و با توجه به جايگاه شوراي عالي فناوري اطلاعات و دبير آن كه معاون وزير ارتباطات است، ممكن است نگاه انحصاري به مقوله آي‌تي و پهناي باند مطرح شود كه ممنوعيت دريافت مستقيم از ماهواره توسط دانشگاه‌ها، ICPها و ساير مراكز ضرورت عدم انحصار در مقوله‌امنيت و كنترل را طبق ماده‌37 برنامه‌ توسعه‌چهارم در فناوري‌هاي نوين ايجاد مي‌كند.

باقري در ادامه چنين مي‌افزايد: از ديگر زيرساخت‌هاي ارتباطي نقطه‌ اتصال بين‌المللي بدون پشتيبان شركت فناوري اطلاعات است كه اگر تنها يك نقطه هم باشد، بايد براي بخش خصوصي و دولتي قابليت اطمينان داشته باشد تا تمام سيستم‌هاي خود را مبتني بر اينترنت و روي شبكه‌ديتا قرار دهد. اين در حالي است كه ما 7/3 گيگابيت بر ثانيه پهناي باند داريم، در اين‌جا اين سؤال مطرح مي‌شود كه سرانه كاربران اينترنت چقدر است؟ اين عدد با يك حساب سرانگشتي بالاي 500 بيت برثانيه است كه 50 بيت آن مربوط به سرانه‌مصرف اينترنت در كشور است. وي با طرح اين سؤال كه آيا با اين 50 بيت بر ثانيه مي‌توان سرويس ارايه داد، گفت: اگر پهناي باند به 5/12 گيگ و يا حتي اگر بر رقمي كه در برنامه‌چهارم ذكر شده برسد، نمي‌توان مديا و سرويس قابل اطميناني ارايه داد.

باقري در پايان نبود تجربه، نبود پهناي باند مناسب و زيرساخت ارتباطي به همراه هزينه‌بالاي راه‌اندازي اوليه را كه طبق آنچه در سازمان تنظيم مقررات ذكر شده 12 تا 16 ميليارد تومان است، نمونه‌اي از چالش‌هاي موجود بر سر راه ايجاد ديتاسنتر نام برد.

به هرحال براي ايجاد يك ديتاسنتر عوامل مهمي دخيل هستند، از جمله آن‌ها پهناي باند مناسب و زيرساخت لازم و ضروري در كنار هزينه‌هاي سنگين و در عين حال برآورد كردن امنيت لازم و جلب مشتري است. در عين حال دقت به اي نكته نيز ضروري است كه گويا در ايجا ديتاسنتر نيز بر سر متولي‌گري آن اما و اگرهایي وجود دارد. تا آن‌جا كه طبق تصميم وزارت آي‌سي‌تي مجوز نصب و راه‌اندازي ديتاسنتر طبق مناقصه اين وزارتخانه به سه شركت واگذار شد، اما در همان زمان‌ها زمزمه‌هایی شنيده مي‌شد كه نشان مي‌داد بخش ديگري از حاكميت یعني سازمان تبليغات اسلامي و سازمان ثبت احوال كشور نيز بدون توجه به تصميم وزارت آي‌سي‌تي اقدام به برگزاري مناقصه براي راه‌اندازي ديتاسنتر كرده‌اند كه اين خود خطر جدي براي بخش خصوصي محسوب مي‌شود.

به عقيده عده‌اي ارگاني كه بايد ناظر بر هاست شدن وب‌سايت‌هاي دولتي در ايران باشد، ديوان محاسبات است كه سايت اين ناظر نيز در خارج از ايران قرار دارد و حتي هاست شركت مادر مخابرات ايران هم خارجي است. با اين اوضاع بايد از مسؤولان پرسيد آيا اصلا براي دولت اطلاعات ارزش محسوب مي‌شود. رضا باقري در اين زمينه مي‌گويد: بحث مديريت اطلاعات در كشور نه در اسناد قديمي و نه در نظام جامع آي‌تي مرجع تصميم‌گيري خاصي ندارد و علي‌رغم تاكيدي كه قانون برنامه چهارم بر بحث اطلاعات دارد هنوز اطلاعات براي دولت سرمايه تلقي نمي‌شود و تنها قوانين موجود بر نگهداري اطلاعات قانون محاسبات عمومي است كه اشاره مي‌كند، اطلاعات مالي بايد به‌مدت 15 سال نگهداري شود.

***

همواره مسؤولان مخابرات بر اين باورند که هاست شدن سایت‌های دولتی در خارج به ضرر منافع کشور است چراكه اين مسئله باعث مي‌شود كه اطلاعات هميشه و در هر لحظه در اختيار بيگانگان باشد. به همين علت پروژه ديتا‌سنتر ملي تبديل به موضوعي شد كه از چند سال قبل در دستور كار قرار گرفت. اما به مرور نشان داده شد كه در واقع هنوز ما ظرفيت ايجاد ديتاسنتر با استانداردهاي جهاني را نداريم، چراكه ایجاد دیتاسنتر نیاز به سرمایه‌گذاری و فراهم کردن زمینه‌های فعالیت برای یک بازار اقتصادی دارد که چنین کاری تاكنون صورت نگرفته است. قیمت‌های بالای شارع 2 نشان می‌دهد که حتی اگر دولت بواهد در این زمینه مستقیم وارد عمل شود نمی‌تواند هزینه‌های خود دیتاسنتر را نیز تامین کند و باید شرایط فنی و حمایتی برای حضور بخش خصوصی در این زمینه ایجاد شود. موضوعی که تاكنون بسیار کند پيش رفته است تا آن‌جا كه در دولت قبل پس از یک مناقصه تنها چند شركت خصوصي مجوز ايجاد ديتاسنتر را دريافت كردند كه طبق شنيده‌ها هنوز هيچ‌كدام به‌طور كامل افتتاح نشده‌اند و تنها پايلوتي از آن‌ها راه‌اندازي شده است. در چنين فضايي انتخاب ميزبان براي صاحبان سايت‌ها گزينه‌اي جز ميزبانان خارجي نيست.