هکها قابل پیشبینی بود و همچنان میتواند زمینه ساز حملات بعدی باشد

پونه ترابی

سامانه هوشمند جایگاه‌‌های بنزین سراسر کشور طی دو سال گذشته، دو مرتبه مورد حمله سایبری قرار گرفت و هر مرتبه فرایند سوخت‌رسانی از طریق کارت‌های سوخت را روزها با اختلال مواجه کرد؛ اطلاعات کارت‌های سوخت شخصی، هم در حمله سایبری آبان‌ماه سال 1400 و هم در حمله سایبری آذرماه سال 1402 هدف هکرها بود. این درحالی است که اطلاعات هر کارت سوخت در یک بانک اطلاعاتی مستقر در وزارت نفت به صورت محرمانه حفاظت می‌شود و با توجه به اینکه بنزین یارانه‌ای 1500 تومانی فقط با کارت سوخت شخصی قابل دسترسی است، چنانچه اطلاعات کارت‌های سوخت پاک شود، هیچ فردی قادر نخواهد بود از بنزین یارانه‌ای استفاده کند. در چنین شرایطی، برای بازگشت به سیستم، کل سیستم باید یک‌بار خاموش شود که این به معنای از دسترس خارج شدن سوخت‌گیری با بنزین آزاد است.  به همین دلیل هکر‌ها هربار توانستند سوخت‌گیری در جایگاه‌ها را برای چند دقیقه مختل کنند تا سوخت‌گیری آفلاین امکان‌پذیر شود. این اتفاق در افزایش بی‌اعتمادی نزد افکار عمومی بی‌تاثیر نبود؛ تحلیل برخی کاربران در فضای مجازی مبنی بر اینکه ممکن است هک‌ها عمدی باشد از یک طرف و هجوم افراد به پمپ بنزین‌ها از طرف دیگر، مهر تاییدی بر این ادعا است. این مباحث درحالی مطرح می‌شود که از نظر پژوهشی و کارشناسی، امکان جلوگیری از وقوع اتفاقات مذکور از سال‌های قبل وجود داشته است؛ به گفته شاهین نورصالحی، پژوهشگر فناوری‌های نوین چنین هک‌هایی می‌تواند زمینه‌ساز هک‌های بعدی باشد و مسئولان باید در اولین اقدام، نسبت به ارتقای سامانه‌ها اقدام کنند. گفت‌وگوی خبرنگار ماهنامه دنیای انرژی با نورصالحی درمورد چرایی هک سامانه‌های هوشمند، تبعات فنی و اجتماعی و چگونگی مقابله با حملات سایبری بعدی می خوانیم :

 وقوع دو هک گسترده طی دو سال فقط در سامانه‌های هوشمند جایگاه‌های بنزین سوال برانگیز است و یکی از سوالات اصلی عمده مردم این است که چنین حملات سایبری به این سامانه‌های حساس چگونه و چرا رخ می‌دهد؛ نظر شما دراین مورد چیست؟

پس از طراحی و راه اندازی اولیه سیستم‌های هوشمند سامانه‌های جایگاه‌های سوخت، هیچ اراده‌ای برای ارتقای آن مشاهده نشده است؛ درحالی که طی سالیان گذشته با شبیه سازی جریان داده در جایگاه‌های سوخت، به روشنی نشان داده شد که امکان نفوذ به سیستم سوخت‌رسانی در کشور از طریق آسیب پذیری موجود روی سیستم‌های پرداخت الکترونیکی وجود دارد و در این زمینه نوآوری‌های قابل توجهی نیز انجام شد، اما به این موضوع بی توجهی شد و درحال حاضر شاهد این موضوع هستیم که این آسیب‌پذیری‌ها به وقوع پیوسته‌اند و در نتیجه با یک سیستم پر ریسک و ناکارآمد مواجه هستیم.

دلیل این بی توجهی چیست؟

به طور کلی در فرهنگ IT کشور ارتقای سیستم و جلوگیری دوره‌ای از مشکلات دیده نمی‌شود و توجیه اقتصادی ندارد. به همین دلیل زمانی که سیستمی راه‌اندازی می‌شود، هرچقدر که می‌توانیم از آن استفاده می‌کنیم بدون اینکه دوره‌های استاندارد تعمیرات و نگهداری را انجام دهیم. البته تعمیرات انجام می‌شود و شاهد تغییر قطعات آسیب‌دیده هستیم اما نگهداری صرفا این نیست که بگوییم سیستم، و در این مورد کارتخوان کار می‌کند پس مشکلی وجود ندارد. نگهداری طیف گسترده‌ای از اقدامات را شامل می‌شود. از طرف دیگر به ارتقای سیستم هم اعتقادی نداریم! به همین دلیل هیچگاه به بررسی‌ها، نوآوری‌ها و اخطارهای پژوهشگران و کارشناسان توجه نمی‌شود.

با این تفاسیر، آیا حملات سایبری به جایگاه‌های سوخت پیش‌بینی شده بود؟

بله. تابستان 1396 پس از بررسی‌هایی که در یکی از شرکت‌های خصوصی انجام دادیم، امکان وقوع چنین حملاتی پیش‌بینی شد. حتی این مدل از حمله را عینا در آزمایشگاه پیاده و ثابت کردیم که زمانی که دستگاه پوز آلوده به بدافزار باشد، به راحتی می‌تواند مبدا حمله باشد و به سایر سیستم‌های پیرامون خود نیز سرایت کند، اما متاسفانه هیچکس به این اخطارها توجهی نکرد و شاهد هستیم که این اتفاق عینا رخ داد. در آن زمان گفتند که سیستم به درستی کار می‌کند و بهتر است هزینه‌تراشی نکنیم! و خلاصه همه این بهانه‌ها درنهایت به اینجایی ختم شد که شبکه‌ای با این عظمت و حساسیت در فاصله دو سال مورد حملات سایبری موفق قرار بگیرد و امنیت آن از بین برود.

به نظر شما هک سامانه‌های هوشمند جایگاه‌های سوخت با چه هدفی انجام شده است؟

اصولا هک با اهداف مختلفی رخ می‌دهد؛ ممکن است بسیاری گمان کنند دلیل عمده هک، اخاذی مالی است اما هدف همیشه این نیست. باید به این نکته توجه کرد که شرایط کشور ما با سایر کشورها، برای مثال کشورهای اروپایی متفاوت است. احتمالا هکر این سامانه‌ها در کشورهای اروپایی به فکر اخاذی مالی است اما انجام حملات سایبری در ایران جذابیت اخلاقی پیدا کرده است. افراد گمان می‌کنند اگر به سیستم‌های هوشمند کشور آسیب وارد کنند، کار خوبی انجام داده اند. زمانی هم که انگیزه هک متنوع شود،  طراحی سیستم دفاعی سخت‌تر خواهد شد. زیرا هدف هکر صرفا از کار انداختن سیستم نیست. بلکه قصد دارد با درگیر کردن تعداد زیادی از افراد، پیام خود را برساند و همه افراد جامعه متوجه شوند پشت این حملات پیامی وجود دارد.

بنزین یک کالای استراتژیک محسوب می‌شود و دربرگیری زیادی دارد؛ با توجه به این موضوع، هک سامانه‌های هوشمند که منجر به اختلال در سوخت‌رسانی می‌شود، چه تبعاتی در پی دارد؟

تبعات زیاد و گسترده است. همان چند دقیقه‌ای که نازل‌ها قطع شد یا روزهایی که فرایند سوخت‌گیری با اختلال موجه بود، شاهد وقوع بی‌سامانی‌های زیادی بودیم که از ایراد کلاسیک در رساندن به موقع بیماران به مراکز درمانی تا کاهش بهره‌وری کلی جامعه را شامل می‌شود. طی آن روزها صف‌های طویل در پمپ بنزین‌ها ایجاد می‌شد و امور شخصی افراد با تاخیر مواجه شده بود. زمانی که چنین موضوعاتی کنار یکدیگر قرار می‌گیرند، فردی که موفق به سوخت‌گیری نمی‌شود با درجه عصبانیت بیشتری واکنش نشان می‌دهد و باعث می‌شود حمله‌های سایبری موفق در هدر دادن وقت شهروندان، در مراحل بعدی مبدا سلسله وقایع منجر به ناکارآمدی در مشاغل و سیستم‌های کاملا بی ربط به سیستم سوخت رسانی شود. از سوی دیگر این حمله‌های سایبری به صورت مجزا از دیگری طراحی نمی‌شوند و در نتیجه زمینه‌ساز حملات دیگر است که به راحتی می‌تواند افکار عمومی را تحت تاثیر قرار دهد و دقیقا این موضوع نگران‌کننده‌ تر از خود هک و حملات سایبری مقطعی است.

با توجه به اینکه احتمال ادامه‌دار بودن چنین حملاتی وجود دارد، شما چه راهکار را برای جلوگیری از وقوع دوباره چنین حملاتی پیشنهاد می‌دهید؟

به نظر من مهم‌ترین نکته این است که مسئولان نباید پس از آنکه همه چیز به حالت عادی بازگشت، گمان کنند مشکلات برطرف شده است؛ اتفاقا مشکلات بیشتر هم شده است. نگرانی من زمینه‌چینی این حمله برای طراحی حمله‌های بعدی است. این حملات الزاما به شبکه سوخت نیست و ممکن است مرتبه بعدی شبکه بانکی کشور مورد حمله قرار بگیرد. بنابراین این گمان که دامنه خسارت مشخص و تهدید رفع شده است، درست نیست. در واقع باید با این نگاه ماجرا را مورد بررسی قرار داد که سیستم‌ها هرچه سریع‌تر ارتقا یابند و با چشم هزینه به ارتقای سیستم‌ها نگاه نشود، بلکه این فرایند با دید سرمایه‌گذاری صورت بگیرد. چراکه زمانی که سیستم‌ها ارتقا داده می‌شوند، به نوعی سرمایه‌گذاری صورت می‌گیرد و این سرمایه‌گذاری در جهت ارتقاء و محافظت از نرخ بهره وری کلی در جامعه خواهد شد. اگر مشکل ایجاد شده برطرف نشود، در ذهن افراد جامعه این پیش زمینه فکری همواره وجود خواهد داشت که ممکن است چنین اتفاقی دوباره رخ دهد و این عدم اطمینان تبعات اجتماعی زیادی در پی دارد. در مقابل، پیامی که ارتقای سیستم در پی دارد، مزیت زیادی ایجاد می‌کند و نقطه متقابل ضرری قرار می‌گیرد که حمله سایبری وارد کرده است.

سوالی که در این میان ایجاد می‌شود این است که با توجه به اینکه کشور در شرایط تحریم به سر می‌برد، امکان ارتقای سیستم‌ها وجود دارد؟

بله، امکان ارتقای سیستم وجود دارد. ما از نظر سخت افزاری مشکلی نداریم؛ مشکل بزرگی که وجود دارد این است که سیستم پوزی که در جایگاه‌ها قرار دارد، آلوده به بدافزار است و طبق مستندات، این آلودگی از مبدا شرکت سازنده وجود دارد. حتی هم اکنون که به نظر می آید تهدید رفع شده است، اما این آلودگی همچنان می‌تواند شبکه‌های اطراف را هم تحت تاثیر قرار دارد. با پیشرفت فناوری و تکنولوژی، روش‌های ارتقای سیستم‌ها نسبت به سال‌هایی که این سیستم‌ها شروع به کار کردند تغییر کرده است؛ درحال حاضر بانک مرکزی با کمک فین‌تک‌ها و نئوبانک‌ها می‌تواند از روشی استفاده کند که بدون دستگاه پوز، کار پرداخت انجام شود.

در نگاه کلی‌تر، به نظر شما بهترین روش ارتقای سامانه‌های هوشمند سوخت چیست؟

طراحی همه سیستم‌ها در ایران به سمت تمرکز و ایجاد حلقه بسته رفته است.  چالش اتفاق مذکور این است که سیستم‌ها ظاهر امنی دارند و به نظر می‌رسد همه‌چیز در حال کنترل است و هیچ‌کس نمی‌تواند وارد آنها شود و این فرایند توهم امنیت ایجاد می‌کند. درحالی که در دنیای ایده‌آل باید هر استان و شهرستانی سیستم نیمه-‌متمرکز خودش را داشته باشند.

سیستم نیمه متمرکزی که به آن اشاره کردید، چه کمکی به جلوگیری از حملات سایبری می‌کند؟

در این شرایط دامنه حمله‌های سایبری موفق به چند شهر محدود خواهد شد و هرچقدر هم که حمله هکرها گسترده باشد در نهایت با یک شبکه توزیع‌شده مواجه هستند. به طور کلی استفاده از سیستم نیمه‌مترکز در هر سامانه‌ای مفید است. درحال حاضر حمله سایبری سراسری است اما هرچقدر سیستم‌ها استانی‌تر و شهرستانی‌تر باشد، دامنه حمله کوچک‌تر و کنترل شده‌تر خواهد شد. هکر در آن شرایط به طور همزمان نمی‌تواند به چند استان راه نفوذ پیدا کند. در این شرایط ممکن است برای مثال اپراتور سوخت جایگاهی در تبریز اشتباهی را مرتکب شود که راه را برای هکر هموار کند اما چقدر احتمال دارد اپراتور سوخت جایگاهی در مشهد نیز همان اشتباه مشابه را به صورت همزمان انجام دهد؟ به زبان ساده‌تر، تنوع باعث می‌شود دامنه حمله‌ها کنترل شده باشد و فرصتی برای مقابله با آن‌ها وجود داشته باشد و در صورت وقوع حمله سایبری، نرخ بهره وری کلی کشور را تحت تاثیر قرار ندهد.