همین چند روز پیش که صدای قطع ارتباط با اینترنت بینالملل پیچید، دستکم یک اتفاق غیرمنتظره رخ داد: حملات سایبری با منشاء خارجی ناگهان کمرنگ شدند. آیا این قطع ارتباط، ضربهای موقتی به مهاجمان بود یا فرصتی برای بازنگری در نظام حفاظت از زیرساختها؟
رئیس مرکز مدیریت راهبردی افتای ریاستجمهوری با اشاره به آمار بازه زمانی ۲۰ دی تا ۵ بهمن ۱۴۰۴ گفت که شمار حملات ثبتشده کاهش یافته اما در همان حال، مجموعهای از رخدادها و پویشهای داخلی به ثبت رسیده است. نکته کلیدی این گزارش، ثبت نزدیک به ۴۰۰ رخداد سایبری و بیش از ۴ میلیون و ۷۰۰ هزار تلاش اسکن برای شناسایی داراییهای سایبری دستگاههای دارای زیرساخت حیاتی است.
حرکت مهاجمان چه شکلهایی داشت؟ در بسیاری از موارد رفتارها شباهت به حملات مبتنی بر بدافزار داشت؛ نمونههایی که هدفشان تضعیف محرمانگی، یکپارچگی یا دسترسیپذیری سرویسها بود. در تعریف عملیاتی مرکز، رخداد هر رویدادی است که سیاستهای امنیتی را نقض کند یا تهدیدی علیه اطلاعات و سیستمها ایجاد نماید؛ از نفوذهای موفق و ناموفق تا نشت داده و رفتارهای غیرعادی سیستمها.
این واقعیت که اکثر پویشها از داخل کشور انجام شدهاند، سوالی جدی پیش میآورد: چرا تلاشهایی که نماینده گروههای هکری خارجی بودند، از شبکه داخلی مدیریت شدهاند؟ پاسخ تا حدی ساده است. با کنترل ترافیک اینترنت و محدودسازی دسترسیهای بینالمللی، راه نفوذ مستقیم مهاجمان خارجی بسته شد؛ اما این مانع، برخی را به اجرای عملیات از داخل کشور یا استفاده از نمایندگان محلی سوق داد.
چاره چه بود؟ اول، تشدید نظارت و کنترل شبکه. مرکز عملیات امنیت افتا با رصد ترافیک و اعمال فیلترها یا قواعد کنترل دسترسی، مانع از پیشروی اسکنها و تلاشهای نفوذ شد. دوم، تمرکز بر شناسایی داراییها و اولویتبندی محافظت از زیرساختهای حساس؛ انرژی، سامانههای پولی و مالی در صدر فهرست قرار گرفتند، زیرا هر اختلال در این حوزهها میتواند تبعات اجتماعی و اقتصادی گستردهای داشته باشد.
در بحبوحه این رفتارهای نامتعارف، یکی از نگرانیهای قابل پیشبینی، اختلال در خدمات بانکی و پرداخت الکترونیک بود. اما مرکز مدیریت راهبردی افتا از عصر ۱۸ دی اقدامهای خاصی برای بازگرداندن عملکرد خودپردازها و نرمافزارهای پرداخت انجام داد تا روند تراکنشها و خرید شهروندان مختل نشود. این یک یادآوری بود؛ زیرساختهای مالی نهتنها حیاتی بلکه حساس به هر گونه نوسان شبکهایاند.
درس مهم از این دوره روشن است: تابآوری سایبری فقط به ابزار فنی محدود نیست؛ مدیریت، هماهنگی و آمادگی اجرایی نیاز اصلی است.
از کنترل ترافیک تا طرح ضربتی امنسازی؛ چه باید کرد؟
مرکز مدیریت راهبردی افتا با هماهنگی مرکز ملی فضای مجازی، یک طرح ضربتی امنسازی را به دستگاههای زیرساختی ابلاغ کرده است. محورهای این طرح شامل ارتقای تابآوری، پشتیبانگیری مطمئن، تدوین ساز و کارهای جایگزین برای تداوم خدمات در زمان بروز حوادث و اجرای دقیق ضوابط امنیتی است. این موارد نه یک شعار؛ بلکه الزاماتی هستند که اجرای آنها توسط بالاترین مقام هر دستگاه مطالبه شده است.
از منظر فنی، چند گام کوتاه اما اثرگذار پیشنهاد شده است: تهیه و تست نسخههای پشتیبان آفلاین، تفکیک شبکههای حیاتی از شبکههای عمومی، مدیریت آسیبپذیریها و بهروزرسانی سیستمها، و انجام سناریوهای تمرینی برای آمادهسازی تیمهای پاسخ به حادثه. همین اقدامها میتوانند چرخه پاسخ را کوتاه کنند و زمان بازیابی را به حداقل برسانند.
نقش فرهنگ سازمانی را نیز نباید دستکم گرفت. وقتی سرپرستی در یک دستگاه مسئول اجرای ضوابط باشد و کارشناسان افتا مرتباً وضعیت را بررسی کنند، شکافهای امنیتی سریعتر شناسایی و برطرف میشوند. مرکز تأکید کرده که در صورت هرگونه کوتاهی، موضوع به مرکز ملی فضای مجازی گزارش میشود و از طریق نهادهای نظارتی و قضایی پیگیری خواهد شد؛ مکانیسمی که متضمن پاسخگویی سازمانی است.
سؤال مهم دیگری که مطرح میشود این است: آیا قطع دسترسی خارجی راهحل بلندمدت است؟ قطعا نه. این تنها یک موقت است که میتواند زمان بخرد و فضای پاسخدهی ایجاد کند. راهبرد بلندمدت نیازمند تقویت سطح بلوغ امنیتی، سرمایهگذاری در فناوریهای نظارت و تحلیل ترافیک، و تعامل دائمی میان بخشهای دولتی و خصوصی برای تبادل اطلاعات تهدید است.
در واقع، آنچه در روزهای اخیر شاهدش بودیم بیش از هر چیز یادآور این بود که امنیت سایبری یک کار تیمی است؛ تیمی ملی که باید در میدان عمل هماهنگ عمل کند و از تجربه هر رخداد برای بهبود فرایندها سود ببرد. آیا دستگاهها آمادهاند تا این درسها را بپذیرند و ساختارهای خود را مقاومتر کنند؟ پاسخ به این پرسش تعیینکننده مسیر امنیت سایبری کشور در ماهها و سالهای پیش رو خواهد بود.
اگر در سازمان شما دغدغهای درباره تابآوری یا پشتیبانگیری وجود دارد، بهتر است حالا اقدام کنید؛ زمان، همیشه در کنار مدافعان نیست.
