سهیل مظلوم در گفت و گو با «اعتماد»: نهادهایی که مسوول امنیت هستند، باید مساله امنیت اطلاعات را در شبکه های اطلاعاتی خود در نظر بگیرند.
چند ساعت از حمله سایبری به وزارت نفت نمی گذرد که احتمال ایجاد خسارت های سنگین در وزارتخانه بزرگی همچون نفت به گوش می رسد، گرچه نفتی ها معتقدند که اطلاعات اساسی آسیب ندیده و سرورهای عمومی از سرورهای اصلی جدا بوده است. با این حال، قطع شدن و خاموش کردن سرورهای اطلاعات موید این نکته است که وزارت نفت باید منتظر جبران هزینه های سنگین این حمله سایبری باشد. آنچه در ادامه می خوانید، گفت وگوی «اعتماد» با سهیل مظلوم، نایب رییس سابق سازمان نظام صنفی رایانه کشور درباره دلایل نفوذ هکرها و حملات اخیر به سیستم های مهم اجرایی کشور است.دلیل حملات سایبری و هک شدن اطلاعات را که به تازگی در دستگاه های مختلف کشور اتفاق می افتد، چه می دانید؟این اتفاقات دو ریشه اصلی دارد: یکی اینکه سطح به کارگیری ICT ارتقا پیدا کرده است و در این ارتقا، ایران جدای از دنیا و هک کردن سیستم ها و حملات سایبری نیست. در حال حاضر ICT از حالت نمایشی خارج شده و جنبه کاربردی پیدا کرده است. موضوع دیگر که البته جای نگرانی دارد، اینکه هکرها همچون دیگر کشورها در ایران فعال شده اند، آن هم زمانی که در جنگ غیررسمی با برخی کشورها قرار داریم و آنها از مرز سایبری کشور عبور کرده و وارد فضای مجازی شده اند. البته اتفاقی که به تازگی در رابطه با حمله سایبری به وزارت نفت و افشای اطلاعات بانکی رخ داده، مساله غیرمنتظره و عجیب و غریبی نیست و در همه کشورها همچون پنتاگون که از ICT به عنوان ابزار توسعه استفاده می کنند، شکل می گیرد. اما در اینجا این نکته اهمیت دارد و اینکه ما چه فکر کنیم حملات سایبری توسط هکرهای داخلی و بدون غرض سیاسی و چه توسط هکرهای خارجی و با هدف سیاسی اتفاق افتاده باشد، نیازمند توجه به یک موضوع هستیم. همان طور که از مرزهای فیزیکی کشور دفاع می شود، باید از مرزهای سایبری دفاع کنیم. اما آیا واقعا چنین اتفاقی می افتد؟ آیا وزارتخانه های کشور برای امنیت اطلاعات خود محافظ دارند؟مگر امکان عدم محافظت از سیستم های اطلاعاتی وجود دارد؟طبیعی است که وزارتخانه یی همچون نفت باید از سیستم حراستی و امنیتی برخوردار باشد و سیستم های امنیتی در سطح یک وزارتخانه ارتقا پیدا کند. با این حال، افشای حساب های بانکی و حمله سایبری به وزارت نفت نشان می دهد که سازمان ها از لحاظ امنیتی اطلاعات خود را محافظت نمی کنند.برای ارتقای سطح امنیت اطلاعات شبکه های اینترنتی تاکنون اقدامی صورت گرفته است؟با کمال تاسف باید بگویم در سال 83 طرحی با عنوان امنیت فضای تبادل اطلاعات (افدا) مطرح و قرار شد سازمانی در این رابطه تشکیل شود. در سال 88 نیز این طرح توسط مقام معظم رهبری ابلاغ شد، اما از آن سال تاکنون هیچ اثری از اجرایی شدن این طرح دیده نمی شود. در واقع زمانی که سیاست های ملی نظام را اجرا نمی کنیم، چگونه انتظار داریم حملات سایبری اتفاق نیفتد یا سیستم های اطلاعاتی هک نشود. نهادهایی که مسوول امنیت هستند، باید مساله امنیت اطلاعات را در شبکه های اطلاعاتی خود در نظر بگیرند. در رابطه با اتفاقات اخیر به طور قطع سه ارگان باید پاسخگو باشند: شورای عالی افدا، سازمان فناوری اطلاعات و سازمان پدافند غیرعامل. این سازمان ها باید بگویند که تاکنون چه اقدام هایی برای پیشگیری از حملات به شبکه های اطلاعاتی و اجرای سیاست ها در حوزه امنیت انجام داده اند و اگر عملکرد خاصی نداشته اند، به چه دلیل بوده است. من این سوال را از مسوولان کشور دارم که چرا در رابطه با اتفاقی خاص به سرعت یک وزیر استیضاح می شود، اما در چنین حوزه هایی که به اطلاعات و امنیت کشور برمی گردد، هیچ گونه اقدامی صورت نمی گیرد.در حال حاضر امنیت شبکه های اینترنتی در چه سطحی قرار دارد؟باید بگویم در حال حاضر امنیت شبکه های اینترنتی در سطح ضعیفی قرار دارد، اما اگر سیاست های کلان و جامع ابلاغ شده اجرا شود، به طور قطع بسیاری از مسائل امنیتی حل خواهد شد و این در حالی است که بار دیگر می گویم هیچ اقدام مشهودی در این زمینه دیده نمی شود.مشابه چنین اتفاقاتی را در گذشته هم داشته ایم، اما هیچ گاه از مشکلات درس عبرت نمی گیریم.بله، دو سال گذشته ویروس استاکس نت (stuxnet) باعث اختلال در تاسیسات صنعتی کشور شد که خسارت های جبران ناپذیری را به دنبال داشت، البته بعدها شنیدیم که این ویروس توسط اسراییلی ها وارد سیستم اطلاعاتی کشور شده است. البته همان طور که گفتم، این اتفاقات در بسیاری از کشورها رخ می دهد، اما برای اینکه سرقت صورت نگیرد، حراست و پلیس نیازمند است و باید سیستم دزدگیر بگذاریم.برآوردی از میزان خسارت ها در حملات سایبری دارید؟به نظر من میزان خسارت ها مهم نیست، نفس اینکه دفاع امنیتی در فضای سایبری کشور وجود ندارد، از همه مهم تر است. در حال حاضر وضعیت اطلاعات در فضای مجازی فاقد هرگونه حفاظت قرص و محکمی است و در صورتی که توجهی برای حفاظت و امنیت سیستم های اطلاعاتی کشور نشود، با مشکلات زیادی روبه رو خواهیم شد.گفتگو : مریم فکری