هدف این حملات، صرفاً تخریب زیرساخت‌ها نیست، بلکه ایجاد وحشت، بی‌اعتمادی و اختلال در خدمات حیاتی برای تضعیف روحیه‌ یک ملت است. در این میان ، شهروندان عادی در خط مقدم این جبهه‌ نامرئی قرار دارند واطلاعات شخصی آن‌ها به ارزشمندترین دارایی در این نبرد تبدیل شده است.

دکتر محمد علمیه، رئیس سابق سازمان فناوری اطلاعات و ارتباطات و کارشناس امنیت سایبری در گفت‌وگو با ما به بررسی ابعاد تهدید سایبری برای مردم عادی می‌پردازد.

بر اساس گزارش‌ها، در جنگ تحمیلی ۱۲ روزه و حتی پیش از آن برخی از سازمان‌ها و نهادهای کشور مثل بانک سپه، دانشگاه آزاد و… مورد حملات سایبری دشمن قرار گرفته‌اند. با وجود این آیا مردم ما همچنان باید هر لحظه نگران هک شدن این نوع مراکز و فاش شدن اطلاعات شخصی‌شان باشند؟

بله، این نگرانی کاملاً بجا و منطقی است. حملات سایبری به نهادهایی مانند بانک‌ها، دانشگاه‌ها و به‌ویژه حمله به سامانه‌ سوخت کشور در گذشته، نشان داد زیرساخت‌های حیاتی ما اهداف جذابی برای دشمنان هستند. واقعیت این است هیچ سیستمی در دنیا به‌طور کامل امن نیست و احتمال وقوع حملات جدید و نشت اطلاعات، برای همه کشورها حتی آمریکا یک تهدید دائمی است.

اما این نگرانی نباید به وحشت و انفعال بینجامد، بلکه باید به یک آگاهی هوشمندانه تبدیل شود که ما را به سمت اقدامات پیشگیرانه سوق دهد. وقتی اطلاعات یک سازمان فاش می‌شود، ممکن است داده‌های هویتی و شماره تماس فرد، در معرض خطر قرار گیرد. اگرچه این اطلاعات به تنهایی نمی‌تواند حساب بانکی شخص را خالی کند، اما زمینه‌ساز کلاه‌برداری‌های بعدی مانند فیشینگ می‌شود. کلاهبرداران با استفاده از اطلاعات صحیحی که از او دارند، پیام‌های جعلی اما بسیار قابل باوری ارسال می‌کنند تا فریبش دهند و اطلاعات حساس‌تری مانند رمزهای عبور را بدست آورند. بنابراین اگر فرضاً روزی اطلاعات اولیه شما (نام، کد ملی، شماره تماس) فاش شد، در چنین حالتی برای مقابله با تهدیدات احتمالی باید بر حفاظت از لایه‌های امنیتی بعدی تمرکز کنید. درواقع رمزهای عبور قوی و منحصربه‌فرد، فعال‌سازی تأیید دو مرحله‌ای و هوشیاری در برابر پیامک‌های مشکوک، مهم‌ترین سپرهای دفاعی شما هستند.

مردم نگران لو رفتن اطلاعات شخصی‌شان در صورت هک شدن برخی از سازمان‌ها و مراکز خدماتی هستند، آیا این نگرانی واقعی است یا غیرواقعی و توهم؟

این نگرانی کاملاً واقعی است. برای درک عمق فاجعه باید بدانیم اطلاعات به ظاهر ساده‌ ما چگونه مورد سوءاستفاده قرار می‌گیرند. فرض کنید اطلاعات یک سامانه شامل نام، کد ملی و آدرس میلیون‌ها ایرانی به سرقت برود. این داده‌ها در دست افراد سودجو به یک ابزار قدرتمند برای مهندسی اجتماعی و فیشینگ هدفمند، سرقت هویت و فروش در دارک وب تبدیل می‌شود. مثلاً در فیشینگ هدفمند، کلاهبردار با داشتن اطلاعات شما، پیامی بسیار متقاعدکننده طراحی می‌کند. برای مثال «آقای [نام شما]، بسته‌ پستی شما به دلیل نقص آدرس برگشت خورده است. برای اصلاح و پرداخت هزینه روی این لینک کلیک کنید». این پیام به دلیل داشتن اطلاعات صحیح، شانس موفقیت بسیار بالایی دارد.

یا همین‌طور در سرقت هویت، فرد سودجو با ترکیب اطلاعات شما از منابع مختلف، می‌تواند به نام شما حساب جعلی باز کند یا فعالیت‌های مجرمانه دیگری انجام دهد.

بگذارید در این زمینه در جنگ سایبری اخیر مصداقی بیاورم. گروه‌های هکری مانند «گنجشک درنده» که مسئولیت حمله به سامانه سوخت را بر عهده گرفتند، صرفاً به دنبال اختلال نبودند. آن‌ها با انتشار برخی داده‌ها قصد داشتند این پیام را مخابره کنند که «ما به اطلاعات شخصی شما دسترسی داریم» و از این طریق می‌خواستند بذر بی‌اعتمادی و ناامنی روانی را در جامعه بکارند که این یک جنگ روانی-سایبری است.

در صورت هک شدن برخی از سازمان‌ها و نهادها و نشت اطلاعات شخصی افراد، آیا دستگاه یا سیستمی وجود دارد که از مردم حمایت کند؟

این یکی از چالش‌برانگیزترین سؤالات در فضای کنونی ایران است. از نظر تئوری، پلیس فتا مرجع اصلی رسیدگی به جرایم سایبری است و شهروندان می‌توانند شکایت خود را ثبت کنند. اما در عمل با چند مشکل اساسی روبرو هستیم.

نخست، نبود قانون جامع حفاظت از داده: ما قانونی مشابه GDPR اروپا نداریم که سازمان‌ها را به‌طور شفاف موظف به حفاظت از داده‌های کاربران کرده و در صورت نشت اطلاعات، آن‌ها را مسئول و مجبور به پرداخت غرامت کند.

دوم، پاسخ‌گویی ضعیف سازمان‌ها: بسیاری از سازمان‌های هک‌شده به جای پذیرش مسئولیت و اطلاع‌رسانی شفاف، سیاست سکوت و انکار را در پیش می‌گیرند که این موضوع، حمایت از شهروندان را تقریباً غیرممکن می‌کند.

البته با وجود این چالش‌ها، در صورت مواجهه با هرگونه کلاه‌برداری، فوراً باید موضوع را از طریق وب‌سایت پلیس فتا گزارش دهیم و تمام شواهد دیجیتال را حفظ کنیم. همچنین، مطالبه‌گری اجتماعی برای تصویب «قانون جامع حفاظت از داده‌های شخصی» برای مسئولیت‌پذیر کردن سازمان‌ها، یک ضرورت است.

نشت اطلاعات افراد در پی حملات سایبری چه زمانی می‌تواند از یک موضوع فنی به یک بحران ملی تبدیل شود؟

نشت اطلاعات زمانی از یک موضوع فنی به یک بحران ملی تبدیل می‌شود که مقیاس، حساسیت و تأثیر آن از کنترل خارج شود. این اتفاق زمانی رخ می‌دهد که در ارائه خدمات حیاتی اختلال رخ دهد و همچنین موجب از دست رفتن اعتماد عمومی و جنگ روانی شود. مثلاً حمله به سامانه‌ سوخت نمونه‌ای‌ بارز از اختلال در خدمات حیاتی بود. این حمله زندگی روزمره‌ میلیون‌ها نفر را مختل کرد و نارضایتی عمومی را به همراه داشت و یک بحران اجتماعی-امنیتی خلق کرد.

به هرحال بحران ملی زمانی به اوج خود می‌رسد که حملات سایبری به صورت همزمان زیرساخت‌های انرژی، مالی و بهداشت را هدف قرار داده و یک فلج ملی ایجاد کند.

کدام سازمان‌ها و نهادها در کشور بیشتر در معرض خطر هک شدن هستند و چرا این‌ها هنوز مقاوم‌سازی نشده‌اند؟

سازمان‌هایی که داده‌های ارزشمند دارند (بانک‌ها، بیمه‌ها)، خدمات حیاتی ارائه می‌دهند (وزارت نیرو و نفت) و اهمیت نمادین دارند (نهادهای حاکمیتی) اهداف اصلی هستند. اما در پاسخ به بخش دیگر پرسشتان باید گفت مقاوم‌سازی کافی نشدن این سازمان‌ها و نهادها دلایل مختلفی دارد که از مهم‌ترین آن‌ها می‌توان به نگاه هزینه‌ای به امنیت، قدیمی بودن سیستم‌ها، کمبود نیروی متخصص و نبود استاندارد ملی یکپارچه اشاره کرد. مثلاً در بسیاری از سازمان‌های ما، امنیت سایبری یک هزینه‌ اضافی دیده می‌شود نه یک سرمایه‌گذاری ضروری.

یا بسیاری از زیرساخت‌های ما بر پایه‌ نرم‌افزارهای قدیمی بنا شده‌اند که به‌روزرسانی آن‌ها پرهزینه و پیچیده است. از طرف دیگر، ما با پدیده مهاجرت گسترده متخصصان امنیت سایبری به دلیل حقوق پایین و بروکراسی اداری مواجه هستیم. همچنین با وجود تلاش‌های سازمان پدافند غیرعامل، هنوز یک فرماندهی و استاندارد واحد الزام‌آور برای همه‌ نهادهای حیاتی به‌طور کامل پیاده‌سازی نشده است. خب همه این عوامل موجب شده برخی سازمان‌ها و نهادها بیشتر در معرض خطر هک شدن باشند.

در رقابتی که میان هکرها و سیستم‌های امنیتی وجود دارد کدام یک پیشتاز هستند؟

این رقابت، یک بازی موش و گربه بی‌پایان است. یک واقعیت تلخ وجود در این میان دارد؛ مهاجم تنها به یک راه نفوذ نیاز دارد، اما مدافع باید از تمام راه‌ها محافظت کند. این نبود تقارن ذاتی، کار را برای تیم‌های امنیتی دشوارتر می‌کند.

در شرایط فعلی به نظر می‌رسد هکرهای دولتی (State-Sponsored) به دلیل برخورداری از منابع کلان، خلاقیت و عدم محدودیت، یک قدم جلوتر هستند. این به معنای شکست کامل سیستم‌های امنیتی ما نیست. متخصصان ایرانی روزانه صدها حمله را دفع می‌کنند که هرگز خبر آن‌ها را نمی‌شنویم. اما در این رقابت، ما بیشتر در حال واکنش به حملات هستیم تا پیش‌بینی و پیشگیری از آن‌ها.

چرا عواملی سبب شده ما در قبال پدیده یاد شده همواره در موضع دفاعی باشیم؟

قرار گرفتن در موضع دفاعی، ریشه در چند عامل دارد که از مهم‌ترین آن‌ها می‌توان به دکترین پدافندی، شکاف فناوری، ملاحظات سیاسی و اولویت‌بندی منابع اشاره کرد. مثلاً تمرکز اصلی دکترین دفاعی کشور، حفاظت از زیرساخت‌های داخلی است، نه تهاجم به دشمن. یا با وجود پیشرفت‌ها، هنوز در برخی حوزه‌های کلیدی فناوری‌های سایبری با کشورهای پیشرو فاصله داریم.

همچنین حملات تهاجمی می‌تواند پیامدهای شدید دیپلماتیک و حتی نظامی به همراه داشته باشد. از سوی دیگر وقتی با محدودیت منابع مواجه هستیم منطق حکم می‌کند ابتدا از دارایی‌های حیاتی داخلی حفاظت شود. به هرحال رویکرد دفاعی اگرچه منطقی است، اما این خطر را دارد که ما را همیشه یک قدم از مهاجم عقب نگه دارد.

همان‌طور که اشاره شد دستگاه‌ها و سازمان‌های ما بارها مورد حملات سایبری دشمن قرار گرفته و هک شده‌اند، با وجود این، سؤال این است چرا هنوز فرهنگ امنیت سایبری میان مردم و حتی نیروهای امنیتی ما آنچنان که باید جا نیفتاده است؟

این یک مشکل عمیق و دوطرفه در سطح مردم و در سطح مدیران است. یعنی بسیاری از مردم با تفکر «برای من اتفاق نمی‌افتد» از ارزش داده‌های خود غافل‌اند و رعایت اصول امنیتی را کاری اضافی و پیچیده می‌دانند. آموزش عمومی نیز در این زمینه بسیار ضعیف است.

در سطح مدیران نیز همین‌طور. درواقع بعضی از مدیران با نگاه سنتی، تهدیدهای سایبری را به اندازه‌ تهدیدهای فیزیکی جدی نمی‌گیرند. تا زمانی که یک مدیر به دلیل سهل‌انگاری در امنیت سایبری، شخصاً پاسخگو نباشد و با عواقب جدی روبه‌رو نشود، انگیزه‌ کافی برای ایجاد یک فرهنگ امنیتی قوی در سازمان خود نخواهد داشت. به یاد داشته باشیم حلقه‌ ضعیف زنجیره‌ امنیت، همیشه انسان است.

انگار با هوش مصنوعی حملات سایبری پیچیده‌تر از قبل شده است؛ آیا ما همچنان با ابزارهای دیروزی داریم با این پدیده مقابله می‌کنیم یا در این حوزه به‌روز شده‌ایم؟

این یک نگرانی بسیار جدی است. هوش مصنوعی در حال متحول کردن حملات سایبری است. حملات با مقیاس و سرعت بی‌سابقه، بدافزارهای هوشمند که خود را مخفی می‌کنند و جعل عمیق (دیپ‌فیک)همگی با کمک هوش مصنوعی در حال پیشرفت هستند.

وضعیت ایران در این حوزه رو به جلو است، اما با سرعت مطلوب فاصله داریم. ما بیشتر مصرف‌کننده ابزارهای امنیتی مبتنی بر هوش مصنوعی هستیم تا تولیدکننده این فناوری‌ها. مقابله با حملات مبتنی بر هوش مصنوعی، نیازمند دفاع مبتنی بر هوش مصنوعی است. سیستم‌های امنیتی ما باید بتوانند به صورت خودکار و هوشمند تهدیدها را شناسایی کرده و در لحظه پاسخ دهند، موضوعی که نیازمند سرمایه‌گذاری و توجه بسیار بیشتری است.

آیا امنیت دیجیتال مردم گروگان جنگ‌های سایبری و تنش‌های سیاسی شده است؟

بله، متأسفانه این‌گونه است. در تنش‌های سیاسی، فضای سایبری به میدان نبرد تبدیل شده و شهروندان عادی به «تلفات جانبی» یا حتی «اهداف مستقیم» تبدیل شده‌اند. اطلاعات بانکی، سوابق پزشکی و آسایش روزمره‌ افراد به ابزاری در دست طرفین درگیر برای فشار بر یکدیگر تبدیل می‌شود.

این گروگان‌گیری دو وجه دارد؛ از یک سو دشمن خارجی با حمله به زیرساخت‌ها، امنیت ما را هدف می‌گیرد و از سوی دیگر، برخی سیاست‌های داخلی که به بهانه‌ امنیت، اقدام به محدودیت‌های گسترده در اینترنت می‌کنند نیز کسب‌وکار و زندگی دیجیتال شهروندان را مختل کرده و به گروگان می‌گیرند.

آیا محدودیت اینترنت، راه‌حل امنیت سایبری است؟

مطلقاً خیر. این یک راه‌حل ساده‌انگارانه و مخرب برای یک مشکل پیچیده است. محدود کردن اینترنت بین‌الملل، امنیت را تضمین نمی‌کند، اقتصاد دیجیتال را نابود و کشور را منزوی می‌کند و مردم را به سوی وی‌پی‌ان‌های ناامن سوق می‌دهد. مثلاً بسیاری از حملات بزرگ اخیر، منشأ داخلی داشته‌اند و قطع اینترنت کمکی به جلوگیری از آن‌ها نمی‌کند. بنابراین راهکار واقعی برای رسیدن به امنیت سایبری نه در محدودیت، بلکه در تقویت و ایمن‌سازی نهفته است. سرمایه‌گذاری در زیرساخت‌های امنیتی، تصویب قوانین حفاظت از داده‌ها، آموزش نیروی متخصص و فرهنگ‌سازی گسترده، راه‌های پایدار مقابله با تهدیدات سایبری هستند.

و حرف آخرتان؟

امنیت دیجیتال، بخشی جدایی‌ناپذیر از امنیت شخصی ماست. دولت‌ها وظایف کلان خود را دارند، اما ما نیز به عنوان شهروند، مسئول حفاظت از حریم دیجیتال خود هستیم. نگرانی باید به اقدام تبدیل شود.