بحران در امنیت سایت‌‌های دولتی؛تنها یک انتخاب

۵۷ درصد سایت‌های مهم حكومتی ایران ‌از میزبان‌های خارجی‌ استفاده می‌كنند و از این بین، ‌اطلاعات ‪ سایت حكومتی صرفا در آمریكا و كانادا نگهداری می‌شود. نتایج فوق حاصل بررسی ۸۷ روی ۱۵۰ سایت مهم حكومتی توسط مركز پژوهش‌های مجلس است. گرچه هشدار مجلسیان به وضعیت بحرانی امنیت سایت‌های دولتی قابل قدردانی است، اما نكته مهم آن است كه این هشدار و هشدارهایی از این قبیل از سوی بسیاری در سال‌های گذشته مطرح شده و به نوعی این پژوهش، یك یافته جدید محسوب نمی‌شود و بهتر بود كه در كنار این هشدار هرچه سریع‌تر مسؤولان به فكر راهكاری برای خروج از این بحران بودند چراكه یك سرور اینترنتی مثل یك خانه مستحكم می‌تواند محیط امن برای زندگی یك سایت به‌شمار آید.
● اطلاعاتی در قلب آمریكا
"مسدود كردن بیش از ‪ ۵۰۰ سایت از سوی ارایه‌كنندگان خدمات میزبانی كانادایی و آمریكایی و هك شدن چندباره وبسایت‌های مهم حكومتی نظیر وب‌سایت مجلس شورای اسلامی و مجلس خبرگان، این سؤال تامل‌برانگیز را در ذهن تداعی می‌كند كه آیا دولتمردان نسبت به این مهم واقفند و اقدامی به‌عمل نمی‌آورند یا توسعه فناوری اطلاعات، تحقق دولت الكترونیكی و جامعه اطلاعاتی تنها در حد شعار دنبال می‌شود.
گزارش مركز پژوهش‌های مجلس، وضعیت كنونی وب‌سایت‌های دولتی از نظر امنیتی را یك بحران ملی دانسته و می‌افزاید: بررسی صلاحیت میزبان‌های وب‌سایت‌های دولتی نشان می‌دهد كه تاكنون به مقوله امنیت در فضای تبادل اطلاعات به هیچ عنوان بها داده نشده است بنابراین لزوم ایجاد مراكز داده در كشور برای جلوگیری از تعرضات الكترونیكی بیگانگان امری ضروری است.
مایكل چرتوف، یكی از معاونان وزارت امنیت ملی ایالات متحده كه یك صهیونیست اسرائیلی است، نامه محرمانه‌ای از سوی وزارت امنیت ملی با تایید آژانس امنیت ملی و كاخ سفید برای شركت‌های بزرگ میزبانی مانند ,‪Microsoft,yahoo,The Planet ‪ Interland, Peerlو ‪ Googleارسال و در آن به‌صراحت تاكید كرده كه سرورها، داده‌ها، پست‌الكترونیكی و دیگر منابع، همگی اموال ایالات متحده محسوب می‌شوند و در همین راستا مدتی پس از ارسال این نامه، جعبه‌های سیاهی كه دارای قفل و دوربین‌های نظارتی بودند، در این مركز نصب شده و طی اطلاعیه‌ای هشدار داده شده بود كه هیچ كس حق ندارد به این جعبه‌ها نزدیك شود و فقط ماموران ویژه مجاز به این كار هستند و در غیر این صورت، متخلفان مطابق قوانین جدید امنیت ملی - آمریكا - به حبس محكوم می‌شوند. به اعتقاد مركز پژوهش‌های مجلس منابع صاحب‌نظر عقیده دارند كه این جعبه‌ها برای دریافت داده‌ها، ‪ IPو بسیاری اطلاعات مرتبط دیگر به كار گرفته شده‌اند و به استناد قانون میهن‌پرستی آمریكا مصوب نوامبر۲۰۰۱- یعنی یك ماه پس از واقعه یازدهم سپتامبر - كه در سال ‪ ۲۰۰۵ نیز دوباره تایید شده است به مجریان قانون در ایالات متحده اجازه داده شده در راستای مبارزه با تروریسم، به حریم اشخاص، به‌ویژه ارتباطات الكترونیكی آن‌ها، تعرض كنند. گفتنی است گزارش پژوهش مجلس با یك سؤال به پایان رسیده است: «چگونه دستگاه‌های حكومتی ایران جرات می‌كنند در قلب این آمریكا و كشورهای هم‌پیمانش اطلاعات خود را نگهداری كنند». پرسشی كه بارها مطرح شده اما تاكنون پاسخ شفافی به آن داده نشده است.
● زیر تیغ نفس كشیدن
تهدید امنیت فعالیت سایت‌های ایرانی و ضرورت داشتن یك دیتا‌سنتر داخلی برای حفظ اطلاعات و امنیت آن‌ها دغدغه امروز نیست، چراكه قصه این ماجرا به سال‌ها قبل بازمی‌گردد. درست به ۲۵ دی‌ماه سال ۱۳۸۳، وقتی ایمیلی از طرف یك شركت آمریكایی با نام The planet به خبرگزاری ایسنا ارسال شد. در آن ایمیل آمده بود كه به‌دلیل شرایط و قوانین موجود این خبرگزاری باید طی ۴۸ ساعت سرور The planet را ترك كند. در این نامه قید شده بود این ایمیل یك دستور فوری محسوب می‌شود و به نوعی قابل برگشت یا مذاكره نیست. این خبرگزاری در آن زمان چندین ایمیل به The planet ارسال كرد و خواستار اعلام دلیل این برخورد شد، اما تمامی نامه‌‌ها بی‌جواب ماند و عاقبت با اختلالاتی كه در این خبرگزاری پیش آمد ماجرا به این‌جا ختم شد كه ایسنا به شركت Hostway كوچ كرد كه دست بر قضا این شركت هم آمریكایی بود. بعد از آن موج جدید از تحریم‌های اینترنتی علیه سایت‌های ایرانی در سال ۸۴ آغاز شد.
حداقل این موج باعث شد كه دارندگان سایت‌ها بدانند كه به چه دلیلی زیر تیغ قرار گرفته‌اند. بعد از آن بسیاری از این شرکت‌ها قوانینی را به مشتریانشان نشان دادند که اساسا خرید و فروش و هر نوع معامله‌ای را با شهروندان ایرانی منع می‌کرد. به این ترتیب عملا کار از این مرحله هم فراتر رفت و اساسا فروش هر گونه فضای اینترنتی به ایرانیان ممنوع شد. هرچند در همان زمان و حتی هم‌اکنون نیز سایت‌های ایرانی را می‌توان یافت که روی سرورهای آمریکایی قرار دارند، اما طبیعی است که این کار یا با چشم‌پوشی طرف آمریکایی و یا پنهان از آن‌ها (مثلا با استفاده از کارت‌های اعتباری که نام و آدرس غیرایرانی دارند) به فعالیت مشغولند، اما کسی نمی‌تواند تضمین بدهد که این دسته از سرورها ناگهان اقدام به حذف سرور و یا سایت‌های ایرانی نکنند. چنین موضوعی وضعیت خطرناکی را برای سایت‌های ایرانی ایجاد می‌کند به‌خصوص از آن جهت که معمولا خریداران ایرانی فضای اینترنتی اطلاعاتی در مورد چنین مواردی ندارند و اساسا بسیاری از آن‌ها حتی از شرکت میزبان وب در مورد محل سرور نیز پرسشی مطرح نمی‌کنند و به این‌گونه ناگهان مانند همان سال‌های نخست ایجاد مشكلات برای سایت‌های ایرانی، صاحبان این سایت‌ها حتی اجازه انتقال و گرفتن فایل پشتیبانی را نیز به مشتریان نمی‌دهند.
آنچنان كه عنوان شد موج برخورد با سایت‌های ایرانی از سال ۸۳ آغاز شد و این مسدودسازی‌ها به نوعی هشداری برای ایجاد محل امن برای سایت‌های ایرانی كه عمدا سایت‌‌های دولتی و نظامی را دربر می‌گرفت شامل می‌شد كه به فكر حفظ اطلاعات خود باشند، اطلاعاتی كه به‌راحتی می‌توانست در اختیار بیگانگان قرار بگیرد. وقتی مسدود‌سازی خارجی چندان هشدار جدی به حساب نیامد. هكرهای وطنی دست به كار شدند تا آن‌جا كه گروه هكر آشیانه طی اقدامی ۲۵۰ سایت مهم ایرانی را مورد هدف قرار دادند. این گروه هكر در راستای كار خود اطلاعیه‌ای نیز صادر كردند. در بخشی از این اطلاعیه آمده بود: ما در طی سالیان گذشته بارها به مدیران سرورهای عزیز ایرانی گوشزد کردیم که به مقوله امنیت شبکه اهمیت دهند و حفره‌های امنیتی سرورهای مهم خود را از بین ببرند ولی بعضی از آن‌ها تا به وضوح مشاهده نکنند که سرورشان هک شده، به‌خود نیامده و به امنیت سرور خود اهمیت نمی‌دهند. ما از دو سال پیش اعلام کردیم که دیگر سایت ایرانی هک نمی‌کنیم ولی متاسفانه بعضی از سرورهای مهم دولتی ایران که سایت‌های بزرگ دولتی - نظامی و سیاسی کشور روی آن‌ها قرار دارند هنوز مشکلات عمده‌ای از لحاظ Security و امنیت سرور دارند که متاسفانه به آن نیز اهمیتی از سوی مسؤولان داده نمی‌شود.
ما به‌عنوان گروه کوچکی از دنیای امنیت شبکه بسیار نگران این موضوع بوده و هستیم و روزانه مشاهده می‌کنیم که تعداد زیادی از سایت‌های دولتی و مهم ایرانی توسط هکرهای ایرانی و خارجی دیگر هک میشوند که در بعضی از مواقع هکرهای خارجی با نوشتن شعارهایی علیه مردم ایران، دانش -اعتقادات ایرانیان را مسخره می‌کنند. به همین دلیل در پروژه‌ای تعداد زیادی از سایت‌های مهم و دولتی ایران را هک کردیم که شاید با این تذکر ما مسؤولان کشور به مقوله امنیت سرورهای مهم دولتی ایران بیشتر از گذشته اهمیت دهند. ما صفحه اول و Index این سایت‌ها را تغییر ندادیم و هیچ خسارتی به اطلاعاتی که در این سرور و سایت‌های مهم بود وارد نکردیم و تنها فایلی با نام ash.htm که حاوی متن تذکر به مقوله امنیت شبکه هست را برای اثبات امنیت پایین سرورهای مهم دولتی ایران روی تمامی این سایت‌ها قرار دادیم. ما تا به‌حال هیچ کلمه عبور سروری را عوض نکردیم و حتی در ایمیلی که به مسؤولان سرورهای مورد نظر زدیم به این موضوع اشاره کردیم که اگر آن‌ها مایل باشند ما می‌توانیم به‌صورت رایگان باگ‌های سرورهای آن‌ها و دیگر سرورهای مهم دولتی ایران را از بین ببریم تا خدای نکرده توسط یک فرد خارجی هک نشود و یا اطلاعات مهم این سرورها توسط کسی از بین نرود که متاسفانه در بیشتر موارد به ایمیل‌های ما جوابی داده نشده است. هدف ما از این تذکر خیرخواهانه بوده و قصد آگاه کردن مسؤولان این سرور که مهم‌ترین سرور دولتی ایران است را از اهمیت مقوله امنیت شبکه داشتیم نه قصد تخریب یا خسارت. با این خبر مطمئن هستیم دیگر مدیرهای سرورهای ایرانی به امنیت سرور خود بیشتر از گذشته توجه می‌کنند.● غربت دیتاسنترهای وطنی
به گفته كارشناسان ایجاد دیتا‌سنتر ملی زیرساخت مهمی در راه‌اندازی دولت الكترونیكی است و تا زمانی كه مستندات ملی ما در حافظه‌های بیگانه قرار گیرد بهتر است دولت الكترونیكی نداشته باشیم. اما داستان دیتاسنتر در كشور ما داستان پرفراز و نشیبی است. گفته می‌شود زمزمه‌ها برای داشتن یك دیتاسنتر در كشور از سال‌های ۷۹ با پروژه شارع ۲ آغاز شد و در اواخر سال ۸۱ به منظور پاسخ‌گویی به نیاز Hosting در کشور آیین‌نامه IDC (Internet Data Center) در امور ارتباطات دیتای مخابرات تدوین و مراحل نهایی تصویب خود را می‌گذراند. بعد از ماه‌ها سكوت و بی‌خبری در خصوص فعالیت در زمینه ایجاد دیتا‌سنتر در اواخر سال ۸۳ خبری روی تلكس خبرگزاری‌ها در مورد اینكه حوزه علمیه قم نخستین دیتاسنتر ایران را راه‌اندازی كرده است به نوعی تعجب كارشناسان این حوزه را برانگیخت و چند روز بعد معاون فنی شورای عالی اطلاع‌رسانی در اظهارنظری در مورد وضعیت دیتاسنتر وطنی گفت، در حال حاضر ایجاد دیتاسنتر در كشور در حد یك پیشنهاد و طرح بوده و برای اجرای آن برنامه‌ای در نظر گرفته نشده است. اما همین معاون پس از چند روز در اظهارنظری دیگر از حمایت سازمانش از راه‌اندازی دیتاسنتر حوزه علمیه قم خبر داد و اواسط آذر سال ۸۳ مدیرعامل آن زمان شركت ارتباطات داده‌ها اعلام كرد شارع ۲ تا یك ماه دیگر راه‌اندازی شده و به بهره‌برداری خواهد رسید. هرچند طبق خبرهای موجود در آن زمان ماه‌ها از پایان آن وعده سپری می‌شد، اما خبری از طرح بهره‌برداری از شارع ۲ به میان نبود. بالاخره با اما و اگر‌ها بسیار شارع ۲ فعالیت خود را آغاز كرد. اما قیمت‌های بسیار بالای آن مانع از فراگیری آن شد ضمن اینکه این دیتاسنتر قرار بود تنها سایت‌‌های دولتی را تحت پوشش خود قرار دهد.
همان زمان در كنار شارع ۲ مجوز راه‌اندازی تاسیس دیتاسنتر برای بخش خصوصی به مناقصه گذاشته شد و در این بین سه شركت داده‌پردازی ایران و كنسرسیوم فن‌آوا- پتسا و پارس‌آنلاین موفق به كسب این مجوز شدند. این سه شركت هر كدام مبلغ ۵/۱ میلیارد تومان ضمانت‌نامه اجرای طرح را به‌شكل تضمین در اختیار وزارت ارتباطات قرار داده تا طبق این ضمانت‌نامه موظف باشند طی چهار تا شش ماه مركز دیتاسنتر را راه‌اندازی كنند.
عبدالمجید ریاضی معاون آی‌تی وزیر با بیان اینكه حضور برخی سایت‌های دولتی در دیتاسنترهای خارج از كشور خطرناك است افزود: یكی از مشكلات اصلی در رابطه با توسعه فناوری اطلاعات در كشور و توسعه كاربری‌های مختلف عدم وجود دیتاسنتر است، به همین علت در این زمینه یك‌سری آیین‌نامه تدوین و ابلاغ شده است كه دیتاسنترهای رسمی و مهندسی شده باید حداقل از چه استانداردهایی برخوردار باشند و این آیین‌نامه را اعلام كردیم و در همین زمینه در بخش خصوصی تعدادی متقاضی وجود داشته كه در مرحله اول به سه شركت پارس‌آنلاین، داده‌پردازی و كنسرسیوم فن‌آوا- پتسا مجوز ایجاد دیتاسنتر را داده‌ایم كه این سه شركت كار خود را آغاز كرده‌اند و كارشناسان ما از نزدیك فعالیت این شركت‌ها را دنبال كرده‌اند كه خوشبختانه پیشرفت كار بسیار مطلوب بوده تا آن‌جا كه بعضی از این شركت‌ها حتی اقدام به سرویس‌دهی كرده‌اند. اما در مورد شارع ۲ باید بگویم این یك دیتاسنتری است كه توسط بخش دولتی راه‌اندازی شده است و اولویت آن سرویس‌دهی به بخش دولتی است. ما با این كار سعی داریم بخش خصوصی را ترغیب كنیم كه جلب ایجاد دیتاسنتر شوند.
به گفته كارشناسان هرچند این شركت‌ها به تعهدات خود تا حدودی عمل كردند اما نبود استانداردهای لازم و امكانات مطمئن در دیتاسنترهای این شركت‌ها سبب شد باز هم دیتاسنترهای وطنی با اقبال خوبی همراه نباشند و همچنان سرورهای آمریكایی به‌خاطر قیمت ارزان حتی در مقایسه با قیمت سرورهای اروپایی و كانادایی و كیفیت مناسب از محبوبیت بالایی برخوردار باشند.
در مورد مشكلات پیش رو در ایجاد دیتاسنتر، رضا باقری مدیرگروه فناوری‌های نوین پژوهشكده مجلس چنین اظهارنظر می‌كند: در اصل ۴۴ اشاره‌ای به پهنای باند نشده است و با توجه به جایگاه شورای عالی فناوری اطلاعات و دبیر آن كه معاون وزیر ارتباطات است، ممكن است نگاه انحصاری به مقوله آی‌تی و پهنای باند مطرح شود كه ممنوعیت دریافت مستقیم از ماهواره توسط دانشگاه‌ها، ICPها و سایر مراكز ضرورت عدم انحصار در مقوله‌امنیت و كنترل را طبق ماده‌۳۷ برنامه‌ توسعه‌چهارم در فناوری‌های نوین ایجاد می‌كند.
از دیگر زیرساخت‌های ارتباطی نقطه‌ اتصال بین‌المللی بدون پشتیبان شركت فناوری اطلاعات است كه اگر تنها یك نقطه هم باشد، باید برای بخش خصوصی و دولتی قابلیت اطمینان داشته باشد تا تمام سیستم‌های خود را مبتنی بر اینترنت و روی شبكه‌دیتا قرار دهد. این در حالی است كه ما ۷/۳ گیگابیت بر ثانیه پهنای باند داریم، در این‌جا این سؤال مطرح می‌شود كه سرانه كاربران اینترنت چقدر است؟ این عدد با یك حساب سرانگشتی بالای ۵۰۰ بیت برثانیه است كه ۵۰ بیت آن مربوط به سرانه‌مصرف اینترنت در كشور است. وی با طرح این سؤال كه آیا با این ۵۰ بیت بر ثانیه می‌توان سرویس ارایه داد، گفت: اگر پهنای باند به ۵/۱۲ گیگ و یا حتی اگر بر رقمی كه در برنامه‌چهارم ذكر شده برسد، نمی‌توان مدیا و سرویس قابل اطمینانی ارایه داد.
باقری در پایان نبود تجربه، نبود پهنای باند مناسب و زیرساخت ارتباطی به همراه هزینه‌بالای راه‌اندازی اولیه را كه طبق آنچه در سازمان تنظیم مقررات ذكر شده ۱۲ تا ۱۶ میلیارد تومان است، نمونه‌ای از چالش‌های موجود بر سر راه ایجاد دیتاسنتر نام برد.
به هرحال برای ایجاد یك دیتاسنتر عوامل مهمی دخیل هستند، از جمله آن‌ها پهنای باند مناسب و زیرساخت لازم و ضروری در كنار هزینه‌های سنگین و در عین حال برآورد كردن امنیت لازم و جلب مشتری است. در عین حال دقت به این نكته نیز ضروری است كه گویا در ایجا دیتاسنتر نیز بر سر متولی‌گری آن اما و اگرهایی وجود دارد. تا آن‌جا كه طبق تصمیم وزارت آی‌سی‌تی مجوز نصب و راه‌اندازی دیتاسنتر طبق مناقصه این وزارتخانه به سه شركت واگذار شد، اما در همان زمان‌ها زمزمه‌هایی شنیده می‌شد كه نشان می‌داد بخش دیگری از حاكمیت یعنی سازمان تبلیغات اسلامی و سازمان ثبت احوال كشور نیز بدون توجه به تصمیم وزارت آی‌سی‌تی اقدام به برگزاری مناقصه برای راه‌اندازی دیتاسنتر كرده‌اند كه این خود خطر جدی برای بخش خصوصی محسوب می‌شود.
به عقیده عده‌ای ارگانی كه باید ناظر بر هاست شدن وب‌سایت‌های دولتی در ایران باشد، دیوان محاسبات است كه سایت این ناظر نیز در خارج از ایران قرار دارد و حتی هاست شركت مادر مخابرات ایران هم خارجی است. با این اوضاع باید از مسؤولان پرسید آیا اصلا برای دولت اطلاعات ارزش محسوب می‌شود. رضا باقری در این زمینه می‌گوید: بحث مدیریت اطلاعات در كشور نه در اسناد قدیمی و نه در نظام جامع آی‌تی مرجع تصمیم‌گیری خاصی ندارد و علی‌رغم تاكیدی كه قانون برنامه چهارم بر بحث اطلاعات دارد هنوز اطلاعات برای دولت سرمایه تلقی نمی‌شود و تنها قوانین موجود بر نگهداری اطلاعات قانون محاسبات عمومی است كه اشاره می‌كند، اطلاعات مالی باید به‌مدت ۱۵ سال نگهداری شود.
همواره مسؤولان مخابرات بر این باورند که هاست شدن سایت‌های دولتی در خارج به ضرر منافع کشور است چراكه این مسئله باعث می‌شود كه اطلاعات همیشه و در هر لحظه در اختیار بیگانگان باشد. به همین علت پروژه دیتا‌سنتر ملی تبدیل به موضوعی شد كه از چند سال قبل در دستور كار قرار گرفت. اما به مرور نشان داده شد كه در واقع هنوز ما ظرفیت ایجاد دیتاسنتر با استانداردهای جهانی را نداریم، چراكه ایجاد دیتاسنتر نیاز به سرمایه‌گذاری و فراهم کردن زمینه‌های فعالیت برای یک بازار اقتصادی دارد که چنین کاری تاكنون صورت نگرفته است. قیمت‌های بالای شارع ۲ نشان می‌دهد که حتی اگر دولت بخواهد در این زمینه مستقیم وارد عمل شود نمی‌تواند هزینه‌های خود دیتاسنتر را نیز تامین کند و باید شرایط فنی و حمایتی برای حضور بخش خصوصی در این زمینه ایجاد شود. موضوعی که تاكنون بسیار کند پیش رفته است تا آن‌جا كه در دولت قبل پس از یک مناقصه تنها چند شركت خصوصی مجوز ایجاد دیتاسنتر را دریافت كردند كه طبق شنیده‌ها هنوز هیچ‌كدام به‌طور كامل افتتاح نشده‌اند و تنها پایلوتی از آن‌ها راه‌اندازی شده است. در چنین فضایی انتخاب میزبان برای صاحبان سایت‌ها گزینه‌ای جز میزبانان خارجی نیست.