آیا زیرساخت‌های سایبری آمریکا را نیروهای مسلح آن اداره می‌کنند؟

پس از حمله سایبری به سیستم هوشمند توزیع سوخت در ایران، تعدادی از طرفداران طرح صیانت این طرح و شبکه ملی اطلاعات را علاجی برای جلوگیری از تکرار این حوادث دانستند. از جمله مهرداد ویس کرمی، دبیر کمیسیون مشترک طرح  صیانت در مجلس، گفت: «وقتی شما صحبت از حمله سایبری می‌کنید، آن هم در فضای اینترنت، معلوم است قانونی که می‌خواهد این امر را سامان‌دهی کند، ضرورت پیدا می‌کند.» همچنین سرمقاله‌نویس کیهان در ستون اصلی این روزنامه در تاریخ ۶ آبان نوشت: «امروز داشتن شبکه ملی امن اطلاعات و ارتباطات به اندازه داشتن موشک‌های نقطه‌زن و پهپادهای آنچنانی، مهم شده». یا کاربر دیگری که توییت کرد:

?s=20

علی‌اکبر رائفی‌پور سخنران و مدیر موسسه مصاف ایرانیان هم از جمله کسانی بود که وارد این فضا شد و در توییتی نوشت: «امنیت سایبری شوخی بردار نیست. اتفاقاتی از این دست نشان می‌دهد زیرساخت‌های سایبری کشور هرچه سریعتر باید بومی شده و زیر نظر ستاد کل نیروهای مسلح قرار گیرد. همانطور که در بسیاری از کشورها از جمله آمریکا اینگونه است.»

تلاش‌های زیادی شده که حضور نیروهای مسلح (آنچه در طرح صیانت کمیسیون عالی تنظیم مقررات و تسلط بر گذرگاه‌های برون‌مرزی اطلاعات نامیده‌می‌شود) در مرکز تصمیم‌گیری‌ها و سیاست‌گذاری‌های حوزه فناوری اطلاعات توجیه شود. فکت‌نامه قبلا در مقاله «خیز نیروهای مسلح برای فتح اینترنت» این موضوع را بررسی کرده‌است. اما ستاد کل نیروهای مسلح، از سال ۱۳۹۳ مسئول قانونی حفاظت از زیرساخت‌های سایبری کشور بوده‌است. حمله اخیر در سالروز تاسیس سازمان پدافند غیرعامل ممکن است انگیزه‌هایی از تلاش برای ناکام نشان‌دادن ستاد کل در پیاده‌سازی امنیت سایبری در کشور داشته‌باشد.

 

آیا زیرساخت‌های سایبری کشورهای مختلف زیر نظر نیروهای مسلح است؟

رائفی‌پور در توییتش می‌گوید: «زیرساخت‌های سایبری کشور … باید زیر نظر ستاد کل نیروهای مسلح قرار گیرد. همانطور که در بسیاری از کشورها از جمله آمریکا اینگونه است.» پیش از این هم احمد حسین فلاحی، نماینده همدان در مجلس و سخنگوی کمیسیون آموزش و تحقیقات در ادعایی مشابه، در تیرماه ۱۳۹۹ مدعی شده‌بود که «مدیریت فضای مجازی در دیگر کشورها در اختیار نیروهای مسلح است.» فکت‌نامه آن گفته را هم در همان زمان درستی‌‌سنجی کرده‌بود و به آن نشان شاخ‌دار داده‌بود.

متاسفانه گفته‌های رائفی‌پور در این زمینه آن‌قدر دقیق نیست. او از واژه غیر فنی «زیر نظر قرارگرفتن» استفاده کرده‌است. اگر منظور از این فعل، مجموعه عملیاتی است که هم‌اکنون ستاد کل نیروهای مسلح جمهوری اسلامی توسط سازمان پدافند غیرعامل انجام می‌دهد، این قضیه همین الان هم برقرار است (توضیحات در بندهای بعدی آمده). مشابه این نهاد هم در ایالات متحده، آژانس امنیت سایبری و زیرساخت (CISA) است که وظیفه حفاظت از فضای سایبری و زیرساخت‌های زیربنایی ایالات متحده در برابر طیف وسیعی از خطرات ناشی از تهدیدات فیزیکی و سایبری را در عمیق‌ترین لایه‌های فضای سایبری برعهده دارد. وظایف این سازمان بسیار شبیه وظایف فعلی قرارگاه سایبری سازمان پدافند غیرعامل در ایران است. بنابراین آنچه رائفی‌پور از آن به‌عنوان «زیر نظر قرار گرفتن» یاد کرده و هم‌اکنون در ایالات متحده اجرا می‌شود، همین الان هم در ایران وجود دارد.

در وب‌سایت آژانس امنیت سایبری و زیرساخت ایالات متحده این نکته ذکر شده که مسائل مربوط به عرصه عمومی و زیرساخت‌های استراتژیکی مانند امنیت شیمیایی یا آب آشامیدنی از حوزه های تحت نظر این سازمان هستند. این حوزه‌ها در دست بخش خصوصی است اما دولت با این شرکت‌ها همکاری سازمانی دارد.

برای مثال در بخش امنیت سایبری، سرورها و زیرساخت‌هایی است هست که به طور مرتب، وضعیت  داده‌ها را با دولت یا نهادهای عمومی به اشتراک می‌گذارد. چنین مواردی در قانون ایران هم برخلاف گفته رائفی پور از گذشته وجود داشته و بیش از ۸ سال است که سازمان پدافند غیرعامل در ستاد کل نیروهای مسلح، مسئول آن است. گاهی هم دولت از بخش خصوصی این نوع خدمات را طلب می‌کند. مثلا دولت یا ایالت از آمازون می‌خواهد که امنیت سایبری انتخابات و شمارش را تامین کند. یا پلیس به شرکتی سفارش می‌دهد که امنیت دوربین‌های جاده‌ها را تامین کند. در این موارد روی فعالیت سایبری آن شرکت نظارت هست.

اما اگر منظور رائفی‌پور از «زیرساخت» را سخت‌افزارهای شبکه و خدمات راهبری در نظر بگیریم، در ایالات متحده آمریکا، همه اینها جزو اموال بخش خصوصی هستند، از جمله خطوط برق و تلفن و اینترنت. سرورهای شرکت‌های مختلف چه آنهایی که اینترنت را تامین می‌کنند و چه آنهایی که بر بستر اینترنت به شهروندان خدمت‌رسانی می‌کنند هم جز اموال خصوصی هستند و دولت (که نیروهای مسلح را کنترل می‌کند) حق دخالت در آنها را ندارد. مثال های متعددی در این زمینه وجود دارد. مثلا بخش زیادی از پهنای باند آمریکای شمالی را نتفلیکس و گوگل اشغال می‌کنند که نیروهای مسلح ایالات متحده نقشی در سرورها و زیرساخت‌های آنها ندارند. زیرساخت‌های داخلی بسیاری از شرکت‌هایی که خدمات حیاتی ارائه می‌دهند بر بستر خدمات ابری آمازون و آی‌بی‌ام و مایکروسافت و ... است و دولت یا نیروی نظامی اساسا نمی‌تواند بر آنها کنترل داشته‌باشد. در آمریکای شمالی پمپ بنزین‌ها هرکدام یه سرورهای شرکت‌های خود متصل هستند و ما هیچ مدرکی پیدا نکردیم که نشان دهد نیروی مسلح نقشی در کنترل سرورهای توزیع سوخت و بنزین در آمریکای شمالی دارد. در نهایت این شرکت‌های بخش خصوصی هستند که خودشان در قبال مشتریان‌شان متعهد هستند که با استفاده از پیشرفته‌ترین دستاوردهای امنیتی (شرکت‌های خصوصی دیگر) از داده‌های کاربران محافظت کنند و در غیر این صورت، شهروندان از آنها در سیستم قضایی دادخواهی خواهند کرد. این نکته هم لازم به ذکر است که شرکت‌های خصوصی بزرگ ارائه‌دهنده خدمات امنیتی هم بسیاری از اطلاعات را به صورت مستقیم با دولت به اشتراک می‌گذارند. این البته به معنای کنترل دولتی نیست.

مثال‌های زیادی هم در مورد عدم توانایی دولت در دخالت در زیرساخت‌های شرکت‌های مختلف در ایالات متحده می‌توان زد. یکی از آنها داستان دسترسی به گوشی تروریست عملیات سن‌برناردینیو است که FBI نتوانست اپل را مجبور کند که قفل گوشی را باز کند یا به FBI دسترسی به سرور iCloud بدهد. یک مثال آکادمیک مشهور در زمینه عدم دخالت دولت در زیرساخت‌های سایبری، داستان معروف انحصار (Monopoly) شرکت AT&T است. در دهه ۱۹۸۰ قوانین ضد انحصار (آنتی‌تراست) این شرکت را که صاحب بزرگ‌ترین زیرساخت سایبری در ایالات متحده بود، ملزم کرد که به شرکت‌های کوچک‌تر تقسیم شود. اما نیازهای بازار، بعد از ۲۰ سال باعث شد دوباره این شرکت‌های کوچک‌تر با هم ترکیب (Merger) شوند و at&t (اینبار با حروف کوچک) را تشکیل دهند و دولت آمریکا نتوانست در مقابل واقعیت‌های بازار مقابله کند و این انحصار را پذیرفت.

ذکر این نکته لازم است که در ایالات متحده هم مانند بسیاری از کشورهای جهان «یگان‌های سایبری» وجود دارند. ستاد فرماندهی سایبری ایالات متحده که وظیفه هماهنگی بین یگان‌های سایبری نیروهای شش‌گانه ارتش این کشور و نیروهای سایبری تحت امر وزارت امنیت داخلی (Homeland Security) را برعهده دارد، ماموریت خود را این طور ذکر کرده‌است: «ستاد فرماندهی سایبری وظیفه برنامه‌ریزی، هماهنگی، ادغام، همگام‌سازی و انجام فعالیت‌ها برای: هدایت عملیات و دفاع از شبکه‌های اطلاعات وزارت دفاع، انجام عملیات فضای سایبری نظامی با طیف کامل به منظور فعال کردن اقدامات در همه حوزه‌ها، تضمین آزادی عمل ایالات متحده/متفقین در فضای سایبری و مقابله در این زمینه‌ها با دشمنان خود را دارد». این ستاد، هم وظایف آفندی دارد و هم وظایف پدافندی. بخش زیادی از وظایف پدافندی این ستاد و محافظت از عمیق‌ترین لایه‌های فضای مجازی ایالات متحده را «آژانس امنیت سایبری و زیرساخت» انجام می‌دهد. اما همان‌طور که نیروهای مسلح در دنیای حقیقی از خاک یک کشور دفاع می‌کنند و در عین حال کنترل املاک مردم در آن کشور را در دست ندارند، نیروهای سایبری ایالات متحده هم از فضای مجازی و زیرساخت‌های خدماتی و اینترنتی آن کشور دفاع می‌کنند و در عین حال کنترلی بر زیرساخت‌های خدماتی و اینترنتی آن کشور ندارند.

اما اگر منظور رائفی‌پور چیزی بیشتر از وضعیت فعلی و نقش سازمان پدافند غیرعامل در دفاع از فضای سایبری ایران است، تقریبا در هیچ کشوری که اینترنت آزاد است، چنین چیزی نیست و نیروهای مسلح، وظیفه کنترل سرورهای حیاتی یا زیرساخت تامین اینترنت را برعهده ندارند و در نهایت همان‌طور که در وظایف ستاد فرماندهی سایبری ایالات متحده آمده‌است، تنها مسئول سرورها و شبکه وزارت دفاع آن کشور هستند.

 

نقش ستاد کل نیروهای مسلح جمهوری اسلامی در زیرساخت‌های سایبری چیست؟

رائفی‌پور در توییتش می‌گوید: «زیرساخت‌های سایبری کشور هرچه سریعتر باید بومی شده و زیر نظر ستاد کل نیروهای مسلح قرار گیرد.» این ادعا برای راستی‌آزمایی گنگ است. زیرا در اینجا مشخص نیست منظور او از واژه غیرفنی و ژورنالیستی «زیرساخت‌های سایبری» چیست. فضای سایبری لایه‌های مختلفی دارد. مسئولیت لایه‌های عمیق و زیرساختی آن مطابق قانون از سال ۱۳۹۳ برعهده سازمان پدافند غیرعامل زیر نظر ستاد کل نیروهای مسلح جمهوری اسلامی است. مرکز پژوهشها - اساسنامه سازمان پدافند غیرعامل کشور ستاد کل نیروهای مسلح

رائفی‌پور مشخص نکرده منظورش چه حدی از «زیر نظر قرار گرفتن» است. آیا منظورش سرورهای خدمات راهبردی مانند شبکه سوخت، شبکه بانکی، شبکه ارتباطات همراه، شرکت برق و ... است؟ آیا زیرساخت‌های اتصالات ماهواره‌ای یا کابل نوری منظور او است؟ آیا منظورش اینست که سوییچ‌های شبکه اطلاعات باید در کنترل نیروهای مسلح باشد؟ آیا هر بانک یا هر وزارتخانه‌ای برای خدمات خود باید نیروهای مسلح را در بخش فناوری اطلاعات خود مستقر کند؟

برای مثال پس از حمله تابستان به راه‌آهن و وزارت راه و شهرسازی، مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری (افتا) اعلام کرد: «نفوذ به سامانه‌های وزارت راه و شهرسازی و شرکت راه‌آهن، به دلیل رعایت‌نکردن مسائل امنیتی در دورکاری‌ها، سیستم‌های ناقص، سهل‌انگاری پرسنل فاوا (IT)در نگهداری رمزهای عبور تجهیزات، بروز نکردن ضدویروس‌ها، سرمایه‌گذاری ناکافی برای افزایش امنیت سایبری و پیکربندی نامناسب بوده‌است.» این موارد همگی «عامل انسانی» (PEBCAK - Problem exists between chair and keyboard) دارند و ربطی به زیرساخت سایبری ندارند. مگر اینکه منظور رائفی‌پور این بوده باشد که پرسنل فاوا سازمان‌های مختلف هم باید جمعی نیروهای مسلح باشند.

سال ۱۳۸۲ زیر نظر ستاد کل نیروهای مسلح جمهوری اسلامی ایران، سازمانی به‌نام پدافند غیرعامل تشکیل شد. قرارگاه سایبری پدافند غیرعامل چند ماموریت عمده دارد که عبارتند از:

۱- 

پدافند سایبری از زیرساخت‌های اساسی کشور متناسب با سطح اهمیت آنها

۲-

دفاع هوشمندانه چند لایه و اثربخش از سرمایه‌های سایبری کشور 

۳- فرماندهی، هدایت و کنترل صحنه عملیات پدافند سایبری در سطوح ملی، منطقه‌ای و دستگاهی

۴- ایجاد، ارتقا و راهبری نظام جامع پدافند سایبری کشور

۵-تولید و ارتقاء آمادگی پدافند سایبری در دستگاه‌های اجرایی، بخش خصوصی و آحاد جامعه

۶- صیانت، پدافند، پایدارسازی و استحکام زیست بوم سایبری و سرمایه های ملی سایبری کشور

۷- ایجاد، حمایت و ارتقاء ظرفیت‎های ‎خود اتکا صنعت بومی دفاع سایبری کشور (دولتی و غیردولتی)

۸- نهادینه سازی اصول، الزامات و ملاحظات فنی پدافند سایبری در ذات برنامه‌ها و طرح‌های توسعه سایبری کشور

۹- نهادینه‌سازی مفاهیم پدافند سایبری در ذات برنامه‌های آموزشی و فرهنگی کشور در سطوح مختلف

نگاه دقیق به تک‌تک بندهای این ماموریت‌ها مخصوصا بند ۱، ۲، ۳، ۵ و ۶ در مقایسه با حمله اخیر نشان می‌دهد که اتفاقا ماهیت آنچه منظور رائفی‌پور بوده، سال‌ها پیش در ایران پیاده‌سازی شده‌است.

 

آیا شبکه ملی اطلاعات می‌توانست جلوی این حمله سایبری را بگیرد؟

این مقاله قصد ندارد که ابعاد و فناوری‌های به‌کار رفته در این حمله سایبری را بررسی کند. از طرفی زمان کمی از این حمله گذشته و نیاز به بررسی‌های دقیق و حساب‌شده براساس داده‌های واقعی است، از طرف دیگر اینکه خود حمله را باید از دو بعد فنی و تاکتیکی، جداگانه بررسی کرد. 

اما ذکر این نکته در اینجا بسیار راه‌گشا است که بدانیم، شبکه هوشمند سوخت، آن‌قدر برای مسئولان جمهوری اسلامی مهم و راهبردی حساب می‌شود که از همان ابتدا آن را نه‌تنها از اینترنت جدا کرده‌اند، بلکه حتی این شبکه توزیع سوخت، روی شبکه ملی اطلاعات (مشهور به اینترنت ملی) هم قرار ندارد. احمد تولایی، مدیر وقت فناوری اطلاعات و ارتباطات شرکت ملی نفت ایران (فاوا)، در سال ۱۳۹۵ به مجله پیوست مفصلا درباره شبکه مستقل وزارت نفت توضیح داده‌است. جایگاه‌های سوخت با استفاده از VSAT یا اتصال مستقیم Dial-up به سرور مرکزی شرکت ملی پخش فرآورده‌های نفتی متصل می‌شوند. 

گروه سایبری ایندرا یا گنجشک درنده که مسئولیت این حمله را برعهده گرفته، مدعی است در تابستان به سامانه راه‌آهن جمهوری اسلامی هم حمله کرده‌بود که آن هم از اینترنت جداست. بنابراین ادعای اینکه «شبکه ملی اطلاعات علاجی برای جلوگیری از تکرار این حوادث است» بی‌اساس و نادرست است.

 

جمع‌بندی

پس از حمله سایبری به سیستم هوشمند توزیع سوخت در ایران، علی‌اکبر رائفی‌پور که در توییتی نوشت: «اتفاقاتی از این دست نشان می‌دهد زیرساخت‌های سایبری کشور هرچه سریعتر باید بومی شده و زیر نظر ستاد کل نیروهای مسلح قرار گیرد. همانطور که در بسیاری از کشورها از جمله آمریکا اینگونه است.»

شبکه هوشمند سوخت، آن‌قدر برای مسئولان جمهوری اسلامی مهم و راهبردی حساب می‌شود که از ابتدا آن را نه‌تنها از اینترنت جدا کرده‌اند، بلکه حتی این شبکه سوخت، روی شبکه ملی اطلاعات (مشهور به اینترنت ملی) هم قرار ندارد و زیرساخت مستقل خود را دارد.

قرارگاه سایبری سازمان پدافند غیرعامل ستاد کل نیروهای مسلح جمهوری اسلامی، از سال ۱۳۹۳ وظایفش مشخص شده از جمله «پدافند سایبری از زیرساخت‌های اساسی کشور متناسب با سطح اهمیت آنها، دفاع هوشمندانه چند لایه و اثربخش از سرمایه‌های سایبری کشور و صیانت، پدافند، پایدارسازی و استحکام زیست بوم سایبری و سرمایه های ملی سایبری کشور». بنابراین در این حمله به یکی از استراتژیک‌ترین زیرساخت‌های جمهوری اسلامی، بخشی از قصور و مشکل به ستاد کل نیروهای مسلح جمهوری اسلامی برمی‌گردد.

تقریبا در هر کشوری که اینترنت آزاد است، چنین چیزی نیست و نیروهای مسلح، وظیفه کنترل سرورهای حیاتی یا زیرساخت تامین اینترنت و خدمات بر بستر شبکه را برعهده ندارند و در نهایت همان‌طور که در وظایف ستاد فرماندهی سایبری ایالات متحده آمده‌است، تنها مسئول سرورها و شبکه وزارت دفاع آن کشور هستند.

در ایران نیز مانند ایالات متحده که آژانس امنیت سایبری و زیرساخت دارد، سال‌هاست که قرارگاه سایبری سازمان پدافند غیرعامل، زیر نظر ستاد کل نیروهای مسلح جمهوری اسلامی، با وظایف مشابه وجود دارد و مسئولیت تامین امنیت فضای سایبری در عمیق‌ترین لایه‌های فضای مجازی را برعهده دارد. اما در آمریکا، در لایه‌های بالاتر اینترنت مانند خدمات زیرساختی و ارتباطی، این خود شرکت‌ها هستند که مسئول تامین امنیت هستند.

همان‌طور که نیروهای مسلح در دنیای حقیقی از خاک یک کشور دفاع می‌کنند و در عین حال کنترلی بر املاک مردم در آن کشور ندارند، نیروهای سایبری ایالات متحده هم از فضای مجازی و زیرساخت‌های خدماتی و اینترنتی آن کشور دفاع می‌کنند و در عین حال کنترلی بر زیرساخت‌های خدماتی و اینترنتی آن کشور ندارند.

براین اساس فکت‌نامه به این توییت رائفی‌پور که: «زیرساخت‌های سایبری کشور هرچه سریعتر باید بومی شده و زیر نظر ستاد کل نیروهای مسلح قرار گیرد. همانطور که در بسیاری از کشورها از جمله آمریکا اینگونه است.» نشان «نادرست» می‌دهد.