رشد آمارها، رشد هشدارها

بعد از چند لحظه با حجم عظیمی‌ از لینک‌هایی روبه‌رو خواهید شد که در آن نام سایت‌های هک شده در کشور چه از خارج و چه از داخل دیده می‌شود. آن طور که شواهد و آمارها نشان می‌دهند، ضریب ایمنی سایت‌های ایرانی در مقابل عملیات خرابکارانه بسیار پایین است و همین امر باعث شده است که نام ایران در میان 50 کشور برتر در زمینه هک سایت‌ها قرار بگیرد. همچنین پلیس آگاهی ناجا، بخش جرائم رایانه‌ای نیز خبر از کشف حدود 67 مورد مشکوک جرم رایانه‌ای توسط گشت‌های اینترنتی در سال گذشته داده‌اند و اعلام کرده‌اند که سهم دسترسی غیرمجاز به سیستم‌ها و داده‌های رایانه‌ای 30درصد پرونده‌ها را به خود اختصاص داده است. با توجه به این شرایط و هشدارهایی که کارشناسان بخش فناوری اطلاعات به مسوولان سازمان‌ها در خصوص چاره‌اندیشی برای افزایش ایمنی سایت‌های ایرانی داده‌اند، اما تا کنون به جز چند طرح و پروژه نیمه‌کاره یا فراموش شده فعالیت زیادی در این زمینه دیده نشده است.
دیتاسنتر ملی کجاست
بی‌توجهی سازمان‌ها و نهادهای دولتی و غیردولتی برای افزایش امنیت سایت‌های خود باعث شده که این روزها هک کردن سایت‌ها به یک تفریح مفرح برای برخی از دوستداران دنیای کامپیوتر تبدیل شود. براساس بررسی‌های صورت گرفته، بین 50 تا 60درصد سیستم‌های کشور در خطر جاسوسی الکترونیک قرار دارند. از جمله سایت‌های مهمی‌که در چند سال گذشته هک شده است، می‌توان به سایت مجلس خبرگان، سایت برخی خبرگزاری‌ها، دانشگاه‌ها، بانک‌ها و... اشاره کرد.
شاید افزایش عملیات هک و هجوم تحریم‌های اینترنتی جهانی باعث شد تا مسوولان دولتی جهت پاسخگویی به نیاز ‌هاستینگ و ایجاد محیط مناسب برای قرار گرفتن محتوا در کشور آیین‌نامه ‏راه‌اندازی دیتا سنتر ملی را تصویب کنند. تا با افزایش سرعت و کاهش تاخیر، امنیت سایت‌های ایرانی بیش از پیش تامین شود. اما با گذشت تقریبا ۹ سال از مطرح شدن این طرح، هنوز خبری از این دیتا سنتر ملی شنیده نشده و آخرین خبر مربوط به آن، در شهریور ماه سال۸۸ و از سوی مدیرعامل اسبق شرکت ارتباطات زیرساخت شنیده شد. براساس این خبر قرار بود که این دیتاسنتر ملی در مهر ماه ‏همان سال راه اندازی شود، اما تاکنون خبری از راه‌اندازی رسمی‌آن منتشر نشده است. ‏
طبیعی است که اطلاعات با ارزش که هم به بخش دولتی و هم غیردولتی مربوط می‌شود، به دلیل حفظ امنیت و منافع ملی، در داخل کشور میزبانی شوند. ‏شاید مسدود کردن بیش از 500 وب سایت ایرانی و توقیف صدها دامنه اینترنتی متعلق به ایرانی‌ها توسط شرکت‌های آمریکایی که با استناد به قوانین تحریم ‏ایالات متحده انجام شده، لزوم توجه کافی به راه‌اندازی، حمایت و استفاده از مرکز داده ایرانی را بیشتر مشخص کند. تصمیم ایجاد مراکز داده در ایران به دی‌ماه 1381 برمی‌گردد. از آن زمان تاکنون چند مرکز داده در کشور ایجاد شده، اما با نکاتی ‏درباره وجود ضعف زیرساخت ارتباطی، سطح پایین امنیت، کیفیت پایین خدمات و غیره روبه‌رو هستند.

به گفته برخی کارشناسان، مراکز داده ایجاد شده هنوز ‏فاصله زیادی تا استانداردهای مورد قبول جهانی دارند و جز تعدادی انگشت شمار، بقیه به سوی ارتقای سطح کیفی خدمات تحرکی ندارند. آمارهای ارائه شده نشان‌ ‏می‌دهد در حدود 30 درصد از وب‌سایت‌های دولتی مورد بررسی در خارج از کشور میزبانی می‌شوند. علاوه براین، اکثر وب‌سایت‌های غیردولتی ایران نیز در ‏میزبان‌های خارج از کشور قرار دارند. به باور کارشناسان، اگر شرکت‌ها یا سازمان‌ها بخواهند از داخل کشور خدمات مربوط به میزبانی را دریافت کنند با مشکلات ‏زیادی از جمله کمبود پهنای باند، قطعی مدام اینترنت و ... مواجه می‌شوند.
بنابراین در چنین حالتی با پرداخت هزینه کمتر از یک سرویس خارجی استفاده می‌کنند ‏که هم مطمئن‌تر و هم خدمات پشتیبانی خوبی دارد که البته در این زمینه هم نکات منفی وجود دارد و آن هم این است که ممکن است این حمایت‌ها به دلیل ‏پاره‌ای از مشکلات قطع شوند، اما در کل یک سازمان یا شرکت برای این که خودش را با معضلات همیشگی قطعی برق با کیفیت پایین پهنای باند یا حتی عدم ‏ارائه لایسنس سیستم‌عامل و... درگیر نکند، از یک سرویس‌دهنده خارجی خدمات می‌گیرند. اما مهدیون، نایب‌رییس هیات‌مدیره و مدیر عامل سازمان فناوری اطلاعات، در واکنش به این اظهارات بیان می‌کند که عمده بهانه ‏مطرح شده از سوی سازمان‌هایی که در خارج میزبانی می‌شوند، نبود امکانات کافی در داخل کشور است و این در حالی است که ارائه‌کنندگان داخلی خدمات ‏دیتاسنتر می‌گویند این امکانات در داخل کشور فراهم است.‏
وی در ادامه می‌افزاید: «بحث پهنای باند و سرعت پایین اینترنت زمانی مطرح می‌شود که کاربر می‌خواهد به محتوایی در خارج از کشور دسترسی پیدا کند، بنابراین ‏کاملا طبیعی است که وقتی سایتی در خارج از کشور میزبانی شود و پهنای باند هم کم باشد، کاربر در مشاهده آن سایت با مشکل مواجه شود و این در حالی است ‏که اگر همان سایت در داخل کشور میزبانی شود، کاربر متوجه کمبود پهنای باند نخواهد شد و می‌تواند با سرعت و کیفیت مطلوب از سایت مورد نظر خود استفاده ‏کند.»‏
به باور مهدیون بخش خصوصی کشور توان میزبانی این تعداد سایت را در داخل دارد و ظرفیت میزبانی سایت‌های خارج از کشور در ایران مهیا است.‏ وی همچنین یادآور می‌شود بعد از طرح‌های سازمان فناوری اطلاعات برای انتقال میزبانی سایت‌های دولتی به داخل کشور در حال حاضر اکثر سایت‌های دولتی مهم در ایران میزبانی می‌شوند و هیچ مشکلی هم از نظر میزبانی و امنیت ندارند.
امنیت فراموش شده
جدا از اینکه سایت‌های ایرانی در چه شرایط یا در کجا میزبانی می‌شوند، یکی دیگر از دلایلی که باعث شده این روزها سایت‌های کشورمان بیش از حد مورد حملات سایبری قرار بگیرند عدم توجه به مقوله امنیت در این بخش است. در واقع با اینکه برخی از سایت‌های مهم کشور در داخل ایران میزبانی می‌شوند باز هم شاهد این هستیم که این سایت‌ها مورد حمله هکرها قرار می‌گیرند. برای مثال همین چند هفته پیش بود که سایت ایران داک (بزرگ‌ترین سایت پایان‌نامه‌ها) مورد حمله هکر‌ها قرار گرفت و برای چندین ساعت از کار افتاد. سایت سازمان فضایی کشور، سایت وزارت خارجه و چندین سایت دولتی هم از دیگر نمونه‌ها در این زمینه هستند.
به باور کارشناسان متاسفانه در ایران به مقوله امنیت سایت کمتر اهمیت داده می‌شود، به خصوص سایت‌های دولتی که با وجود اهمیت داده‌های موجود در آن هزینه‌ای برای امنیت سایت پرداخت نمی‌شود. پاشا ناصرآبادی، کارشناس حوزه فناوری اطلاعات در خصوص امنیت سایت‌های ایرانی می‌گوید: «بسیاری از سایت‌های مهم کشور را که باید دارای ضریب ایمنی بالا باشد، با یک داس اتک (حمله به سرور از طریق داس- dos attack) ساده در عرض چند ثانیه می‌توان از کار انداخت.»
ناصرآبادی به مشخصات سایت‌های هک شده اشاره کرده و می‌افزاید: «همیشه کاربران از هک شدن یک سایت مطلع نمی‌شوند؛ چراکه گاهی هک برای یک دقیقه است یا مثلا در ساعت ۲۴ اتفاق می‌افتد که بلافاصله برای رفع آن اقدام می‌شود. ولی با مراجعه با سایت Zone-h می‌توان از هک شدن سایت‌ها در دنیا مطلع شد.» وی در ادامه با اشاره به برخی از اخبار در زمینه هک همزمان ۵۰۰ سایت، اظهار می‌کند که معمولا روی یک سرور بیش از ۴۰۰ سایت قرار دارد و اگر حتی یکی از این سایت‌ها از نظر امنیتی مشکل داشته باشد، به راحتی می‌توان همه سایت‌ها را هک کرد.
این کارشناس امنیت اطلاعات با اشاره به اقدام دولت در زمینه ارائه خدمات الکترونیکی اضافه می‌کند که ما هیچ چاره‌ای به جز الکترونیکی کردن خدمات نداریم، از این رو باید قبل از هر چیز زیرساخت‌های امنیتی سایت‌ها را فراهم کنیم.
ناصرآبادی با یادآوری این نکته که نرم‌افزارهای مورد استفاده در سازمان‌ها و شرکت‌ها، مجهز به سیستم‌های ایمنی و حفاظتی نیستند، می‌افزاید: «برای مثال نرم‌افزارهای مورد استفاده در اکثر سازمان‌ها قابلیت پشتیبانی از امضای دیجیتالی را ندارند. ارگان‌های دولتی وقتی به سمت ارائه خدمات الکترونیک می‌روند باید ملزم به تجهیز پشتیبانی از امضای دیجیتالی شوند و توانمندسازی سازمان‌ها در مقابل اقدامات خرابکارانه داخلی در اولویت کاری آنها قرار گیرد.» بر اساس اظهارات این کارشناس در زمینه آموزش کاربران اینترنت نیز اقدام مناسبی صورت نگرفته است و در دوره‌های آموزش کامپیوتر و اینترنت نیز هیچ اشاره‌ای به روش‌های حفظ امنیت اطلاعات نمی‌شود. برای مثال به کاربران در مورد حفظ امنیت ایمیل و اینکه وارد چه سایت‌هایی نشوند و روی چه لینکی کلیک نکنند، آموزشی داده نمی‌شود. به اعتقاد این کارشناس موضوع حفظ امنیت اطلاعات در فضای سایبر باید در کتاب‌های درسی دانشگاه‌ها و دوره‌های آموزشی گنجانده شود.