ناظمی: مرکز ماهر درباره احتمال حمله هکرها به تامین اجتماعی هشدار داده بود
«امیر ناظمی» رئیس سازمان فناوری اطلاعات درباره از دسترس خارج شدن چند ساعته سایت تامین اجتماعی که روز پنجشنبه اتفاق افتاده بود، گفت که قبل از هک شدن سامانه تامین اجتماعی، مرکز ماهر دو مرتبه و در فواصل مختلف به آنها هشدار داده بود. به گفته ناظمی تامین امنیت سازمان تامین اجتماعی و مقابله با حمله هکرها به سایت این سازمان برعهده «افتا» بوده است اما با این حال مرکز ماهر پس از پایش طرح «دژفا» دوبار در مورد احتمال حمله به صورت دوستانه به تامین اجتماعی هشدار داده بود.
پس از اینکه سایت سازمان تامین اجتماعی در روز پنج شنبه نهم خرداد ماه برای چند ساعتی از دسترس خارج شد، «محمد حسن زدا» سرپرست سازمان تامین اجتماعی، اعلام کرد که امنیت کامل تمامی سامانهها، اطلاعات و سوابق بیمهشدگان، مستمریبگیران و کارفرمایان محرز است و جای هیچ نگرانی نیست. هرچند اطلاعات کاربران دست نخورده باقی ماند اما همین حمله چند ساعته، ضعف امنیتی سامانههای مهمی مانند تامین اجتماعی را نشان داد که میتواند خسارات بسیاری به دنبال داشته باشد.
بر همین اساس رئیس سازمان فناوری اطلاعات جزئیاتی در مورد این اتفاق و اینکه طرح دژفا چطور سامانههای مهم کشور را رصد و پایش میکند را بیان کرد. ناظمی در گفتگو با ایرنا گفت طبق قوانین و مقررات ایران، هر دستگاهی مسئولیت جمعآوری دادههای مخصوص به خود و محافظت از آنها را برعهده دارد؛ اما زمانی که رخداد و جرایمی اتفاق میافتد، نوبت به «نظام مقابله» با آنها میرسد که با بحرانهای این چنینی مقابله کند. ناظمی میگوید در نظام مقابله، بانکهای داده دستگاهها به سه دسته تقسیم میشوند:
«دسته اول سازمانهای حساس هستند که مسئولیت مقابله با رخداد در این سازمانها به «افتا» ریاست جمهوری (امنیت فضای تولید و تبادل اطلاعات کشور) بر میگردد. سازمان تأمین اجتماعی نیز جزو دستگاههایی است که افتا مسئولیت رسیدگی به رخدادهای احتمالی آن را برعهده دارد. دسته دوم کسبوکارها هستند که مقابله با جرایمی که در خصوص آنها رخ میدهد، برعهده پلیس فتاست. مقابله با رخدادهای بقیه سازمانهای دولتی نیز بر عهده وزارت ارتباطات و مرکز ماهر است.»
بر اساس گفتههای ناظمی سازمان فناوری اطلاعات ایران و مرکز ماهر عملاً در این رخدادهای بانکی، تأمین اجتماعی و کسبوکارها مسئولیتی ندارد و به همین دلیل سعی شده تا اطلاعرسانی در این خصوص انجام ندهند. به گفته او سازمان فناوری معمولاً به این مسائل حتی اگر در حوزه وظایف خود نباشد، دوستانه کمک میکند برای مثال اخطارهایی به سازمان تامین اجتماعی داده بودند: «سازمان فناوری طی دو مرحله، یکبار یک ماه قبل و یک بار دو روز قبل از هک شدن سایت، به آنها در نامهای گوشزد کردیم، مشکلاتی وجود دارد که ممکن است منجر به آسیبپذیری سایتشان شود. سازمان فناوری بر اساس طرح دژفا، پایشی را به صورت مداوم روی سایتها و سامانههای دولتی انجام میدهد و پس از رصد آنها، نقاط آسیبپذیرشان را شناسایی میکند. پس از شناسایی آسیب نیز شروع میکند به اخطار دادن. هر دو مرتبه به همین شکل به سازمان تأمین اجتماعی اخطار داده دادیم.»
رئیس سازمان فناوری اطلاعات تاکید دارد زمانی که به واسطه پایش طرح دژفا، آسیبی شناسایی میشود یا تغییراتی در حوزه تنظیمات سایتها رخ میدهد، اخطارهای لازم ابلاغ میشود. او به ماجرای هک شدن سایت تپسی در هفتههای قبل اشاره میکند و میگوید: «قبل از اینکه دسترسی به اطلاعات برخی از صورت حسابهای تپسی رخ دهد، با همین روش پایش از طریق ایمیل به آنها هشدار داده بودیم، اما مدیر امنیت ایمیل خود را چک نکرده بود و متأسفانه آن نفوذ اتفاق افتاد.»
ناظمی در بخش دیگری از صحبتهای خود، گفتههای زدا مبنی بر عدم دسترسی هکرها به بانک دادهها و اطلاعات مردم را تائید کرد و در خصوص برنامههای آتی سازمان فناوری اطلاعات در این خصوص افزود که پس از تجربیات اخیری که در خصوص هک کسبوکارهای اینترنتی و مواردی شبیه سایت تأمین اجتماعی به دست آمده است، این سازمان سعی دارد پیشنهاداتی در مورد بهبود نظام مقابله با چنین رخدادهایی را به شورای عالی فضای مجازی ارائه کنند تا در موقعیتهای مشابه رفتارهای بهتری نشان دهند.
او درباره اینکه آیا قرار است سازمان فناوری اطلاعات از هکرهای کلاه سفید استفاده کند و بودجهای برای تشویق آنها در حوزه شناسایی آسیب سایتها اختصاص دهد نیز توضیح داد: «اکنون سایت «کلاه سفید» با همین محوریت توسعه داده شده است. بودجهای برای استفاده از توانمندی هکرهای کلاه سفید در نظر گرفته شده و جوایز نیز روی سایت قرار دارند. البته با توجه به محدودیتهای منابع دولتی، این جوایز مبلغ زیادی را شامل نمیشوند اما در نظر داریم سازمانها را نیز به استفاده «باگ بانتی» تشویق کنیم. تا آنها به صورت داوطلبانه بیایند و آسیبپذیریهایشان را از طریق مشارکتی که هکرهای کلاه سفید انجام میدهند، بهبود ببخشند.»
با اینکه سازمان فناوری طبق همان دستهبندی، مسئولیتی در قبال برخی سازمانها ندارد، اما به گفته ناظمی هم به دلیل وظیفه ملی و هم به این دلیل مهم که آنها سامانه توانمندتری برای شناسایی آسیبهای اینچنین دارند، همواره آماده کمکرسانی به سازمانها خواهند بود.
آنطور که تحقیقات نشان میدهد هک سایت سازمان تامین اجتماعی به دست گروهی موسوم به گروه تپندگان صورت گرفته که چندی پیش شهرداری تهران و فرودگاههای برخی از شهرهای کشور را نیز هک کرده بودند.