نام نویسنده: سونيتا سرابپور
کافی است یک بار کلمه هک را در مرورگر خود تایپ کنید و منتظر نتیجه باشید.
بعد از چند لحظه با حجم عظيمي از لينكهايي روبهرو واهيد شد كه در آن نام سايتهای هك شده در کشور چه از خارج و چه از داخل دیده میشود. آن طور که شواهد و آمارها نشان میدهند، ضریب ایمنی سایتهای ایرانی در مقابل عملیات خرابکارانه بسیار پایین است و همین امر باعث شده است که نام ایران در میان 50 کشور برتر در زمینه هک سایتها قرار بگیرد. همچنین پلیس آگاهی ناجا، بخش جرائم رایانهای نیز خبر از کشف حدود 67 مورد مشکوک جرم رایانهای توسط گشتهای اینترنتی در سال گذشته دادهاند و اعلام کردهاند که سهم دسترسی غیرمجاز به سیستمها و دادههای رایانهای 30درصد پروندهها را به خود اختصاص داده است. با توجه به این شرایط و هشدارهیی که کارشناسان بخش فناوری اطلاعات به مسوولان سازمانها در خصوص چارهاندیشی برای افزایش ایمنی سایتهای ایرانی دادهاند، اما تا کنون به جز چند طرح و پروژه نیمهکاره یا فراموش شده فعالیت زیادی در این زمینه دیده نشده است.
دیتاسنتر ملی کجاست
بیتوجهی سازمانها و نهادهای دولتی و غیردولتی برای افزایش امنیت سایتهای خود باعث شده که این روزها هک کردن سایتها به یک تفریح مفرح برای برخی از دوستداران دنیای کامپیوتر تبدیل شود. براساس بررسيهاي صورت گرفته، بين 50 تا 60درصد سيستمهاي كشور در خطر جاسوسي الكترونيك قرار دارند. از جمله سايتهاي مهميكه در چند سال گذشته هك شده است، ميتوان به سايت مجلس خبرگان، سايت برخي خبرگزاريها، دانشگاهها، بانکها و… اشاره كرد.
شاید افزایش عملیات هک و هجوم تحریمهای اینترنتی جهانی باعث شد تا مسوولان دولتی جهت پاسخگویی به نیاز هاستینگ و ایجاد محیط مناسب برای قرار گرفتن محتوا در کشور آییننامه راهاندازی دیتا سنتر ملی را تصویب کنند. تا با افزایش سرعت و کاهش تاخیر، امنیت سایتهای ایرانی بیش از پیش تامین شود. اما با گذشت تقریبا 9 سال از مطرح شدن این طرح، هنوز خبری از این دیتا سنتر ملی شنیده نشده و آخرین خبر مربوط به آن، در شهریور ماه سال88 و از سوی مدیرعامل اسبق شرکت ارتباطت زیرساخت شنیده شد. براساس این خبر قرار بود که این دیتاسنتر ملی در مهر ماه همان سال راه اندازی شود، اما تاکنون خبری از راهاندازی رسمیآن منتشر نشده است.
طبیعی است که اطلاعات با ارزش كه هم به بخش دولتی و هم غیردولتی مربوط میشود، به دلیل حفظ امنیت و منافع ملی، در داخل كشور میزبانی شوند. شاید مسدود كردن بیش از 500 وب سایت ایرانی و توقیف صدها دامنه اینترنتی متعلق به ایرانیها توسط شركتهای آمریكایی كه با استناد به قوانین تحریم ایالات متحده انجام شده، لزوم توجه كافی به راهاندازی، حمایت و استفاده از مركز داده ایرانی را بیشتر مشخص كند. تصمیم ایجاد مراكز داده در ایران به دیماه 1381 برمیگردد. از آن زمان تاكنون چند مركز داده در كشور ایجاد شده، اما با نكاتی درباره وجود ضعف زیرساخت ارتباطی، سطح پایین امنیت، كیفیت پایین خدمات و غیره روبهرو هستند.
به گفته برخی كارشناسان، مراكز داده ایجاد شده هنوز فاصله زیادی تا استانداردهای مورد قبول جهانی دارند و جز تعدادی انگشت شمار، بقیه به سوی ارتقای سطح كیفی خدمات تحركی ندارند. آمارهای ارائه شده نشان میدهد در حدود 30 درصد از وبسایتهای دولتی مورد بررسی در خارج از كشور میزبانی میشوند. علاوه براین، اكثر وبسایتهای غیردولتی ایران نیز در میزبانهای خارج از كشور قرار دارند. به باور کارشناسان، اگر شرکتها یا سازمانها بخواهند از داخل کشور خدمات مربوط به میزبانی را دریافت کنند با مشکلات زیادی از جمله کمبود پهنای باند، قطعی مدام اینترنت و … مواجه میشوند.
بنابراین در چنین حالتی با پرداخت هزینه كمتر از یك سرویس خارجی استفاده میكنند كه هم مطمئنتر و هم خدمات پشتیبانی خوبی دارد كه البته در این زمینه هم نكات منفی وجود دارد و آن هم این است كه ممكن است این حمایتها به دلیل پارهای از مشكلات قطع شوند، اما در کل یک سازمان یا شرکت برای این كه خودش را با معضلات همیشگی قطعی برق با كیفیت پایین پهنای باند یا حتی عدم ارئه لایسنس سیستمعامل و… درگیر نكند، از یك سرویسدهنده خارجی خدمات میگیرند. اما مهدیون، نايبرييس هياتمديره و مدير عامل سازمان فناوری اطلاعات، در واکنش به این اظهارات بیان میکند که عمده بهانه مطرح شده از سوی سازمانهایی كه در خارج میزبانی میشوند، نبود امكانات كافی در داخل كشور است و این در حالی است كه ارائهكنندگان داخلی خدمات دیتاسنتر میگویند این امكانات در داخل كشور فراهم است.
وی در ادامه میافزاید: «بحث پهنای باند و سرعت پایین اینترنت زمانی مطرح میشود که کاربر میخواهد به محتوایی در خارج از کشور دسترسی پیدا كند، بنابراین کاملا طبیی است که وقتی سایتی در خارج از کشور میزبانی شود و پهنای باند هم کم باشد، کاربر در مشاهده آن سایت با مشکل مواجه شود و این در حالی است که اگر همان سایت در داخل کشور میزبانی شود، کاربر متوجه کمبود پهنای باند نخواهد شد و میتواند با سرعت و کیفیت مطلوب از سایت مورد نظر خود استفاده کند.»
به باور مهدیون بخش خصوصی کشور توان میزبانی این تعداد سایت را در داخل دارد و ظرفیت میزبانی سایتهای خارج از کشور در ایران مهیا است. وی همچنین یادآور میشود بعد از طرحهای سازمان فناوری اطلاعات برای انتقال میزبانی سایتهای دولتی به داخل کشور در حال حاضر اکثر سایتهای دولتی مهم در ایران میزبانی میشوند و هیچ مشکلی هم از نظر میزبانی و امنیت ندارند.
امنیت فراموش شده
جدا از اینکه سایتهای ایرانی در چه شرایط یا در کجا میزبانی میشوند، یکی دیگر از دلایلی که باعث شده این روزها سایتهای کشورمان بیش از حد مورد حملات سایبری قرار بگیرند عدم توجه به مقوله امنیت در این بخش است. در واقع با اینکه برخی از سایتهای مهم کشور در داخل ایران میزبانی میشوند باز هم شاهد این هستیم که این سایتها مورد حمله هکرها قرار میگیرند. برای مثال همین چند هفته پیش بود که سایت ایران داک (بزرگترین سایت پایاننامهها) مورد حمله هکرها قرار گرفت و برای چندین ساعت از کار افتاد. سایت سازمان فضایی کشور، سایت وزارت خارجه و چندین سایت دولتی هم از دیگر نمونهها در این زمینه هستند.
به باور کارشناسان متاسفانه در ايران به مقوله امنيت سايت کمتر اهميت داده ميشود، به خصوص سايتهاي دولتي که با وجود اهميت دادههاي موجود در آن هزينهاي براي امنيت سايت پرداخت نمیشود. پاشا ناصرآبادي، کارشناس حوزه فناوری اطلاعات در خصوص امنیت سایتهای ایرانی میگوید: «بسياري از سايتهاي مهم کشور را که بايد داراي ضريب ايمني بالا باشد، با يک داس اتک (حمله به سرور از طريق داس- dos attack) ساده در عرض چند ثانيه ميتوان از کار انداخت.»
ناصرآبادی به مشخصات سایتهای هک شده اشاره کرده و میافزاید: «همیشه کاربران از هک شدن یک سایت مطلع نمیشوند؛ چراکه گاهی هک برای یک دقیقه است یا مثلا در ساعت 24 اتفاق میافتد که بلافاصله برای رفع آن اقدام میشود. ولی با مراجعه با سایت Zone-h میتوان از هک شدن سایتها در دنیا مطلع شد.» وی در ادامه با اشاره به برخی از اخبار در زمینه هک همزمان 500 سایت، اظهار میکند که معمولا روی یک سرور بیش از 400 سایت قرار دارد و اگر حتی یکی از این سایتها از نظر امنیتی مشکل داشته باشد، به راحتی میتوان همه سایتها را هک کرد.
این کارشناس امنیت اطلاعات با اشاره به اقدام دولت در زمینه اراه خدمات الکترونیکی اضافه میکند که ما هیچ چارهای به جز الکترونیکی کردن خدمات نداریم، از این رو باید قبل از هر چیز زیرساختهای امنیتی سایتها را فراهم کنیم.
ناصرآبادی با یادآوری این نکته که نرمافزارهاي مورد استفاده در سازمانها و شرکتها، مجهز به سيستمهاي ايمني و حفاظتي نيستند، میافزاید: «براي مثال نرمافزارهاي مورد استفاده در اکثر سازمانها قابليت پشتيباني از امضاي ديجيتالي را ندارند. ارگانهاي دولتي وقتي به سمت ارائه خدمات الکترونيک ميروند بايد ملزم به تجهيز پشتيباني از امضاي ديجيتالي شوند و توانمندسازي سازمانها در مقابل اقدامات خرابکارانه داخلي در اولويت کاري آنها قرار گيرد.» بر اساس اظهارات این کارشناس در زمينه آموزش کاربران اينترنت نيز اقدام مناسبي صورت نگرفته است و در دورههاي آموزش کامپيوتر و اينترنت نيز هيچ اشارهاي به روشهاي حفظ امنيت اطلاعات نميشود. براي مثال به کاربران در مورد حفظ امنيت ايميل و اينکه وارد چه سايتهايي نشوند و روي چه لينکي کليک نکنند، آموزشي داده نميشود. به اعتقاد این کارشناس موضوع حفظ امنيت اطلاعات در فضاي سايبر بايد در کتابهاي درسي دانشگاهها و دورههاي آموزشي گنجانده شود.
منبع : دنیای اقتصاد
