سایت‌های دولتی نیاز به امنیت دارند

تقریباً هفته ای نیست كه یك سایت دولتی مورد حمله قرار نگیرد. این اظهار نظر یكی از كارشناسان امنیت شبكه است. وی كه طی سال های اخیر موضوع حمله و امنیت سایت های ایرانی را روی اینترنت دنبال كرده تاكید می كند كه افزایش سایت های ایرانی و به خصوص توجه دولتی ها به ایجاد سایت اینترنتی طی سال های اخیر تاثیر عمده ای در بالا رفتن آمار حمله به این دسته از سایت ها داشته است. با این حال به گفته او و بسیاری دیگر حمله به سایت های دولتی ایران با هر هدفی كه صورت گیرد هنوز حساسیت چندانی را در مسئولان و افكار عمومی اینترنتی برنمی انگیزد. طی سه، چهار سال اخیر بسیاری از مراكز دولتی، وزارتخانه ها، سازمان های خدمات رسانی و... به اجبار یا به دلخواه به ایجاد یك سایت اینترنتی روی آورده اند. بسیاری از این سایت ها صرفاً از چند صفحه اطلاعات مختصر درباره گستره فعالیت آن اداره تشكیل شده اما برخی از سایت های دولتی هم وجود دارند كه در كنار ارائه اطلاعات بخشی از خدمات خود را نیز از این طریق به مراجعان و علاقه مندان ارائه می كنند. شاید در واقع یكی از مزیت های اصلی سایت های دولتی ایرانی در هنگام مورد حمله قرار گرفتن و هك شدن را در این بدانیم كه این سایت ها هنوز اطلاعات حیاتی و بسیار مهم را از این طریق ارائه نمی كنند و یا قطع خدمات رسانی آن لاین آنها چندان مشكلی برای مخاطبان و مراجعانشان ایجاد نمی كند. از این رو معمولاً بروز اتفاق برای این دسته از سایت ها چندان بازتاب خبری ندارد و حتی مواردی هم وجود داشته كه یك سایت دولتی برای مدت زمان طولانی مورد حمله قرار گرفته بی آنكه حتی كسی از مسئولان آن متوجه شود و نسبت به اصلاح آن اقدامی انجام دهد.
• یك برنامه در حد طرح
یكی از مهمترین مشكلاتی كه سایت های دولتی از آن رنج می برند نداشتن برنامه مدون و افراد متخصص برای توسعه ارا ئه خدمات آن لاین است. همین موضوع باعث می شود كه در بسیاری از اوقات تلاش آنان برای ارائه اطلاعات و یا خدمات از طریق سایت های اینترنتی با مشكل روبه رو شود.
یك متخصص امنیت شبكه در این زمینه می گوید: هم اكنون در سازمان های دولتی جایگاه شغلی برای كسانی كه بحث امنیت شبكه را انجام می دهند نداریم. علاوه بر آن متاسفانه در بحث امنیت سایت ها دانشی وجود ندارد. همه كسانی كه اطلاعاتی دارند اطلاعات و دانشی است كه خودشان به مرور به دست آورده اند، دوستان زحمت خودشان را می كشند اما جایی وجود ندارد كه این دانش و اطلاعات كنار هم قرار بگیرد تا معلوم شود این دانشی كه آموخته ایم بهتر از آن نیز وجود دارد یا نه، شاید دانشی وجود داشته باشد كه فراتر از آموخته های ما باشد. به نظر من باید برای این كار متولی مشخص شود یعنی به این معنا كه یك سازمان روی ساختار فیزیكی و مقطعی این مسئله كار كند. به هر حال طی سال های اخیر برنامه های معدودی در زمینه افزایش ارتقای امنیت شبكه های دولتی صورت گرفته اما با توجه به آمار نسبتاً بالای نفوذ به سایت های دولتی به نظر می رسد بسیاری از این برنامه ها هنوز به طور كامل پیاده نشده و یا اساساً در حد طرح باقی مانده است.
به گفته كارشناسان امنیت این گروه از سایت ها كه برخی نیز با شبكه های داخلی دستگاه های دولتی ارتباط دارد در سطح پایین انجام نمی گیرد. به طور مثال اغلب كاربران برای استفاده از دستگاه های متصل به شبكه های دولتی آموزش های دقیقی درباره حفظ و ارتقای امنیت شبكه نمی بینند و عمدتاً همین كاربران هستند كه زمینه را برای نفوذ و رخنه در سایت ایجاد می كنند. بی توجهی به اصول ابتدایی امنیت، استفاده از ای میل و دیگر نرم افزارهای ارتباطی مواردی از این دست است.
مسئول یك سایت دولتی در این زمینه اعتقاد دارد: بحث امنیت در تمامی سطوح لازم و ضروری است. یك كاربر معمولی كه روی شبكه كار می كند باید به طور كامل توجیه شود و آموزش ببیند و بعضی از مسائل برای او آنالیز شود. مثلاً بداند بر اثر سهل انگاری یك نفر در یك سازمان و هنگام چك كردن ای میل ممكن است یك فایل اسكریپت آمده و كل شبكه آنها را آلوده كند. این كاربر باید در این سطح آموزش ببیند. به نظر من وقتی كسی می خواهد در بستر اینترنت قدم بزند نه اینكه حتی با یك ماشین به سرعت حركت كند، برای همین قدم زدن نیز باید با اصول اولیه آشنا باشد وگرنه بعدها دچار مشكل می شود.
• سرورهای ناامن
علاوه بر موارد ذكر شده انتخاب سرور (server) نه چندان مطمئن برای میزبانی سایت های دولتی نیز اشكال دیگری است كه بسیاری از مسئولان سایت های دولتی به آن بی اعتنا هستند. با توجه به نرخ نسبتاً بالای سرورهای اختصاصی و فقدان كارشناس آشنا به كار با این سرورها اغلب سایت های دولتی روی سرورهایی میزبانی می شوند كه تعداد زیادی سایت را یك جا روی آن نگهداری می كنند. از آنجا كه چنین كاری صرفاً برای كاهش هزینه ها صورت می گیرد اغلب مشكلات امنیتی فراوانی را برای صاحب سرور و همچنین مشتریان كه سایت های دولتی را نیز دربر می گیرند سبب می شود.
بسیاری از حملات اخیر صورت گرفته علیه سایت های دولتی عمدتاً با نفوذ به سروری صورت گرفته كه تعداد زیادی سایت را به طور یك جا روی یك میزبان نگهداری می كرد. در بسیاری از این موارد نیز مشكلات امنیتی نه از سایت ها بلكه از میزبان بوده و به این ترتیب بزرگترین مشكلات از این زاویه ایجاد شده است. مشكلی كه طی سال های اخیر گریبان سایت های دولتی ایران را نیز گرفته عدم همكاری شركت های آمریكایی میزبانی وب با مشتریان ایرانی و به خصوص دولتی بوده است. بهانه تحریم عملاً باعث شده كمتر شركتی حاضر به فروش فضای اینترنتی به سایت های ایرانی باشد و در موارد متعددی نیز به ناگاه سایت های ایرانی را از روی سرور میزبان خارج كرده اند كه منجر به خسارات متعددی شده است. چنین موضوعی باعث شد كه از یكی، دو سال قبل مسئولان ایرانی به فكر ایجاد سرورهای میزبانی وب در داخل كشور بیفتند و زمینه را برای ایجاد این میزبان ها كه دیتاسنتر یا IDC نامیده می شوند نیز فراهم كنند.
در نخستین اقدام شركت فناوری اطلاعات (دیتای سابق) از راه اندازی شارع ۲ به عنوان نخستین دیتاسنتر داخلی نام برد. هر چند این دیتاسنتر كه در مقاطعی از آن به عنوان دیتاسنتر ملی نیز نام برده شد تبلیغات فراوانی را اطراف خود دید اما خیلی زود مشخص شد ظرفیت این میزبان ملی برای میزبانی كردن حتی یك بخش كوچك از كشور نیز كافی نیست. از این رو بلافاصله مجوزهایی در اختیار شركت های خصوصی قرار داده شد تا اقدام به ایجاد دیتاسنتر كنند. به رغم گذشت چند ماه هنوز از راه اندازی این دیتاسنترها و یا میزبان های سایت های اینترنتی خبری نیست هرچند كم و بیش گفته می شود آنها از مرحله پایلوت فراتر نرفته اند. در این میان شارع ۲ فعالیت خود را به خدمات دهی به سایت های دولتی محدود كرده است. اما تعداد سایت های دولتی حداقل طی یكی، دو سال اخیر با چنان افزایشی روبه رو شده كه این میزبان ملی نمی تواند به تمامی تقاضاها در این عرصه پاسخ دهد. نكته دیگر در این زمینه این است كه مشخص نیست حتی میزبان های ایرانی در مقایسه با رقبای خارجی خود از امنیت بهتری برخوردار باشند. هر چند هنوز این میزبانان داخلی به طور جدی مورد ارزیابی قرار نگرفته اند و به اصطلاح زیر بار نرفته اند اما با توجه به امكانات محدودی كه در این عرصه وجود دارد هنوز اطمینان به آنها برای میزبانی سایت های ایرانی كافی نیست. این موضوع خصوصاً از آنجا اهمیت می یابد كه بسیاری از بخش های دولتی ایرانی درصدد افزایش فعالیت های آن لاین خود هستند و به مرور قصد دارند كه اطلاعات حساس تر و مهمتری را از این طریق مبادله كنند. به عنوان مثال با فعالیت پول الكترونیكی و گسترش تجارت الكترونیكی تبادلات مالی از طریق سایت های ایرانی افزایش قابل ملاحظه ای خواهد یافت اما در این میان موضوع حفظ امنیت مشتریان نیز به همان نسبت اهمیت می یابد.
• خرابكاری بدون مزاحمت
چندی پیش برخی از سایت های حساس دولتی و حكومتی توسط یك گروه شناخته شده مورد حمله قرار گرفت. در میان سایت های مورد حمله قرار گرفته سایت های اختصاصی برخی از نهادهای حساس نظام نیز دیده می شد اما جالب آنكه گروهی كه اقدام به این كار كرده بود به روشنی و بدون هیچ هراسی از برخورد با آن، خبر آن را به شكل یك عمل موفقیت آمیز برای تمامی رسانه ها ارسال كرد. نكته جالب تر آنكه به نوشته برخی سایت های اینترنتی این گروه حتی به طور نیمه رسمی و آشكار كلاس های آموزشی نیز برای آموزش خرابكاری اینترنتی برپا كرده اند. این جرات و اعتماد به نفس در چنین فضایی قطعاً به دلیل عدم برخورد با چنین گروه ها و وقایعی به وجود آمده و دلیل اصلی آن فقدان نهاد و ارگانی برای مقابله با چنین مواردی است. هم اكنون كمیته جرایم رایانه ای قوه قضائیه و كمیته جرایم رایانه ای نیروی انتظامی تنها مراكز مربوط به این گونه جرایم در كشور هستند اما عملاً این دو نهاد فعالیت چشمگیری را در این عرصه انجام نداده و یا فعالیت آنان چندان به اطلاع عموم نرسیده است. معطل ماندن قانون جرایم رایانه ای در مجلس نیز بر افزایش این جرایم در جامعه افزوده است. گفته می شود این قانون كه حدود یك سال قبل به مجلس ارائه شده تا پایان سال نیز به صحن علنی ارائه نخواهد شد. این شاید بهترین خبر به گروه های خرابكار و هكری باشد كه در این فضا آزادانه و بی مزاحمت مشغول فعالیت هستند.
نكته دیگر در موضوع حملاتی است كه از سوی خرابكاران خارجی علیه سایت های دولتی سازماندهی می شوند. بسیاری از سایت های ایرانی با انگیزه های سیاسی و یا... طی سال‌های اخیر مورد حمله قرار گرفته اند اما در بسیاری از موارد به دلیل ناشناخته بودن سایت ها و نداشتن بازدیدكننده عملاً كسی متوجه این حملات نشده و یا خیلی زود فراموش شده است، اما با توجه به رشد سایت های ایرانی و افزایش بازدیدكننده ها چنین حملاتی در آینده می تواند امنیت اطلاعات آن لاین ما را به خطر بیندازد.• بر باد رفتن اطلاعات سایت
به نظر می رسد دولت می تواند از یك بعد و آن نظارت پورت های ورودی و خروجی و دستیابی به اینترنت سیاستی را پیاده كرده و بحث امنیت را از بالا نظارت كند. اما در ابعاد دیگر نیز دولت می تواند از مجموعه و كسانی كه درگیر این مسائل هستند حمایت كند.
یك متخصص امنیت شبكه در این باره می گوید: دولت می تواند برای شكل گیری ساختار فیزیكی كمك كند یعنی در اصل هم می تواند حمایت لجستیكی و هم حمایت فنی و ساختاری داشته باشد. هم اكنون از سوی دولت طرحی مثل تكفا یا طرح های دیگر ارائه شده اما اگر ما قصد مسافرت داریم باید قبل از اینكه به این فكر باشیم كه در راه چه چیزی بخوریم بهتر است اول به فكر اتومبیل و جاده باشیم و ایمنی آن را در نظر بگیریم. در مورد اینترنت كه بستر آن بزرگراه نام دارد بهتر است قبل از حركت روی مسئله امنیت آن توجه كنیم و دولت می تواند روی این مسئله نقش جدی داشته باشد و هم روی مسئله اصلی كه ورودی و خروجی اینترنت است و هم در سطوح دیگر. به عنوان نمونه در مورد حمایت از بخش خصوصی كه اگر دولت این كارها را انجام ندهد در آینده حتماً ضرر می كنیم چرا كه شاید الان ما اطلاعات باارزشی نداشته باشیم كه نگران و ناراحت از دست دادن آن باشیم ولی اگر زمانی اطلاعات باارزشی داشته باشیم كه بخواهیم به صورت آن لاین در اختیار متقاضیان قرار بگیرد مطمئن باشید اگر آن سیستم تنها یك ساعت به دلیلی از كار بیفتد كل مسیر طی شده برمی گردد به نقطه شروع، یعنی تمام مسیری كه با زحمت به جلو سوق داده ایم در یك لحظه از دست می دهیم.
• امنیت دامنه های ایرانی
دامنه اینترنتی از جمله بخش های مهم یك سایت اینترنتی به حساب می آید و نگهداری و حفظ امنیت آن به اندازه حفظ امنیت خود محتوای سایت ها و چه بسا بیشتر اهمیت دارد. شاید بتوان گفت در صورت بروز هرگونه اتفاق برای محتوای یك سایت می توان به بازگشت آن محتوا و یا بازآوری اطلاعات از دست رفته اقدام كرد در حالی كه در صورتی كه یك دامنه اینترنتی از دست برود به دست آوردن مجدد آن محتاج طی كردن فرآیندهای قضایی بین المللی دشوار و طولانی است. به همین جهت نگهداری از یك دامنه اینترنتی خصوصاً برای بخش های دولتی بسیار مهم و حساس است. طی سال های اخیر بسیاری از سایت های دولتی ایرانی با دامنه های ایرانی ir. فعالیت می كنند كه همین موضوع امنیت آن را تا حد زیادی بالا می برد. به رغم این حتی در مورد دامنه های فارسی نیز نمی توان به نحو كامل اطمینان خاطر داشت چرا كه امكان بروز كوچكترین اشتباه می تواند منجر به اتفاقات بسیار ناگواری شود.
چندی قبل دسترسی یك فرد به اطلاعات دامنه یك سازمان دولتی باعث شد تا سایت این سازمان با مشكل شدید مواجه شود. این موضوع باعث شد تا موضوع امنیت پایین دامنه های فارسی مورد بحث قرار گیرد. دكتر سیاوش شهشهانی مدیر دامنه های فارسی در این باره می گوید: امنیت دامنه های ir. در حد مطلوبی است و تاكنون گزارشی مبنی بر نفوذ یا تهاجم نداشته ایم. در چند ماه اخیر تنها به یك مورد در یكی از سازمان ها كه تصور می شد، نفوذی به داخل سایت آن سازمان شده است برخوردیم، اما پس از بررسی، مشخص شد فردی خارج از سازمان به پسورد مسئول فنی آن دسترسی پیدا كرده بود و این مسئله ربطی به دامنه ir. نداشت. به گفته وی دامنه های .ir در مقایسه با دامنه هایی مانند com، net و org از امنیت بالایی برخوردارند، حتی گاهی دیده شده كه برخی از این دامنه ها مورد تهاجم قرار گرفته اند اما درباره دامنه های ir. در چند سال اخیر تاكنون هیچ مورد نفوذ یا تهاجمی گزارش نشده است.
موضوع دیگر در زمینه دامنه سایت های دولتی این است كه با بی تجربگی مدیر فنی یك سازمان و یا سایت دولتی این دامنه ها از سوی شركت هایی خریداری می شوند كه به بهانه ارائه دامنه ارزان تر كیفیت نامناسبی را ارائه می دهند. چند سال قبل ده ها دامنه اینترنتی سایت های دولتی ایران در جریان یك حمله اینترنتی به كنترل یك گروه خرابكار افتاد. در جریان بررسی ها مشخص شد كه این دامنه ها به دلیل ارزان بودن از یك شركت چینی، فروش دامنه خریداری شده اند. هر چند این شركت هر دامنه را به نسبت شركت های دیگر بسیار ارزان تر در اختیار مشتریان خود می گذارد اما ضعف امنیتی آن كاملاً جبران كننده قیمت پایین آن است و ممكن است ضررهای هنگفتی را به بخش های دولتی وارد سازد.
یك كارشناس دامنه های اینترنتی در این باره می گوید: موضوع دامنه های اینترنتی از اهمیت بسیار بالایی در امنیت یك سایت برخوردار است و این متاسفانه چیزی است كه بسیاری از مدیران سایت های دولتی به آن توجهی نمی كنند. در این زمینه بروز مشكل متاسفانه در اغلب اوقات ضربات جبران ناپذیر و یا بسیار سنگینی را به مجموعه خصوصاً دولتی وارد می كند و از این رو توجه به امنیت یك دامنه بسیار مهم است. در این زمینه اغلب توصیه می شود كه سایت های دولتی به یك دامنه قانع نباشند و چندین دامنه را برای مواقع خاص و بحرانی به صورت رزرو در اختیار داشته باشند.
• ارزیابی امنیتی میزبان های خارجی
در حالی كه همچنان استقبال از میزبان های وب خارجی در میان بخش های دولتی و خصوصی ما رواج دارد آنچه در این میان به عنوان مشكل گریبانگیر بسیاری از سایت ها و مسئولان آنها است، عدم شناخت نسبت به میزبان های وب خارجی از نظر امنیت است. عرضه بسیاری از سرورهای خارجی به مشتریان ایرانی اغلب بدون هیچ اطمینان و یا گارانتی خاصی صورت می گیرد. در بسیاری از اوقات شركت های میزبان وب ایرانی كه هاست (HOST) را به صورت عمده از شركت های خارجی خریده و آن را به صورت قطعه قطعه در اختیار مشتریان ایرانی خود قرار می دهند برای كاهش هزینه های خود از بسیاری امكانات امنیتی و كاربردی چشم پوشی می كنند و همین باعث می شود كه ضریب امنیت سایت تا حد زیادی كاهش پیدا كند. در بررسی كه چند ماه قبل توسط یك گروه امنیتی از سایت های دولتی صورت گرفته بود مشخص شد قریب به ۷۰ درصد از سایت های دولتی ایران مشكل امنیتی دارند. با توجه به اینكه در بسیاری اوقات این ضعف های امنیتی به اطلاع مدیران سازمان ها و نهادهای دولتی نمی رسند اغلب در مواقعی بروز می یابند كه یك حمله اینترنتی صورت گرفته باشد. بر این اساس مشكل اصلی آنجا است كه مسئولان سایت ها و نهادهای دولتی حتی اگر از این ضعف اطلاعی داشته باشند نحوه رفع آن را نمی دانند و یا اساساً در هنگام خرید فضای اینترنتی نحوه تست امنیتی آن را نمی دانند.
اوایل امسال در نخستین جلسه كمیسیون امنیت فضای تبادل اطلاعات (افتا) استان تهران، موضوع ارزیابی امنیتی هاست های خارجی در دستور كار قرار گرفت. این كمیسیون به منظور حمایت از كاربران و سایت های داخلی كه در خارج از كشور و روی سرورهای خارجی میزبان می شوند طی طرحی ارزیابی امنیتی آنها را در دستور كار خود قرار داد و بر این اساس قرار است نسبت به آگاه سازی شركت ها، كاربران و سایت های داخلی در انتخاب سرورهای مناسب اقدام كنند. هر چند هنوز از نوع این آگاه سازی و شیوه اجرای این تست امنیتی اطلاعاتی در دسترس نیست اما به نظر می رسد حداقل این موضوع باعث می شود كه انتخاب آگاهانه ای نسبت به تعیین سرور یك سایت در اختیار مدیران سایت ها باشد و صرفاً از روی تبلیغات اقدام به خرید نكنند.
شاید چنین ارزیابی را از جهتی دیگر بتوان برای همه سایت های ایرانی نیز انجام داد و به نوعی متوجه شد كدام سایت های دولتی و حتی غیردولتی از امنیت كافی برخوردارند و كدام یك دارای ضعف هستند. نكته ای كه در این زمینه مطرح است استفاده از نرم افزارهای غیراصل در سرورهای خارجی است. با توجه به اینكه بسیاری از شركت های ایرانی به هیچ روی اقدام به خرید نسخه های اصل نرم افزارهای اینترنتی نمی كنند و در سرورهای خارجی نیز امكان استفاده از نسخه های كپی و غیراصل وجود ندارد در بسیاری از اوقات نرم افزارهای استفاده شده در سرورهای خارجی در حد نسخه های ابتدایی و آسیب پذیر باقی می مانند و این موضوع باعث می شود كه ضریب نفوذ آنها در مقابل حملات اینترنتی افزایش یابد.
مدیر یكی از شركت های میزبان وب ایرانی می گوید: سرورهای خارجی در بسیاری اوقات اجازه نصب نرم افزارهای مهم امنیتی را كه ما به صورت قفل شكسته از بازار تهیه می كنیم نمی دهد البته در اغلب مواقع چنین موضوعی از سوی كاربران و مدیران سایت ها حس نمی شود و تنها با یك تست دقیق امنیتی این موضوع قابل دریافت است اما در واقع همین نقاط ضعف نرم افزاری می تواند زمینه را برای برنامه ریزی یك حمله اینترنتی آماده كند. حل این مشكل شاید چندان به مدیران سایت ها و شركت های میزبان وب مربوط نباشد و بیشتر به حل موضوع كپی رایت و خرید نرم افزارهای اصل مرتبط شود اما واقعیت این است كه حتی اگر امروزه یك شركت میزبان وب بخواهد با خرید نسخه های اصل نسبت به ارتقای سیستم خود اقدام كند سایت های دولتی و حتی خصوصی توجیه این افزایش قیمت را نمی پذیرند و بلافاصله به انتقال فضای اینترنتی خود به یك شركت دیگر و ارزان تر اقدام می كنند. این در واقع یك مشكل عمومی در این زمینه است.
نگرانی درباره وضعیت سایت های دولتی ایران در حالی رو به افزایش است كه اخیراً موجی از پرتال سازی و سایت سازی بخش های دولتی را دربرگرفته است. هر چند تا قبل از این بسیاری از سازمان ها و نهادهای دولتی عملاً به سمت ایجاد سایت اینترنتی نمی آمدند و رغبتی برای حضور آن لاین نشان نمی دادند اما اخیراً نوعی هجوم برای ایجاد سایت و یا پرتال از سوی دولت دیده می شود كه از یك سو این هجوم را باید به فال نیك گرفت و از سوی دیگر باید این پرسش را مطرح كرد كه آیا امنیت نیز در برنامه های پرتال سازی و سایت سازی جایگاهی دارد یا خیر.