از حمله سایبری به سامانه‌های شهرداری دو سال گذشت اما هنوز ابعاد هک سامانه‌های شهرداری مشخص نیست، گزارشی در این رابطه در صحن شورای شهر تهران به شهروندان تهرانی ارائه نشد و تأکید شد به دلیل امنیتی‌بودن این اتفاق نمی‌توان چندان درخصوص آن صحبت کرد.

12 خرداد 1401 در فاوا چه گذشت؟

داستان هک از چه زمانی آغاز شد، ظهر روز 12 خرداد بود که دسترسی به سایت شهرداری تهران و تهران من امکان‌پذیر نبود. شهرداری تهران در واکنشی دیرهنگام به خبر هک شهرداری اعلام کرد که سایت‌های ما هک نشده و دلیل وضعیت پیش‌آمده اختلال عمدی است اما برخی از رسانه‌های خارجی خبر دادند که بیش از پنج هزار دوربین نظارتی شهرداری تهران از دسترس خارج شده است. به گفته این رسانه‌ها دوربین‌های مرکز فناوری و اطلاعات شهرداری تهران هک شد.

درحالی‌که براساس اظهار نظر مدیران شهری به نظر می‌رسید حمله سایبری چندان جدی نباشد و سامانه‌های شهرداری دوباره فعال شوند اما این اتفاق نیفتاد و چند هفته‌ای زمان برد تا سایت‌های خدماتی دوباره فعال شوند. تنها تذکر اعضای شورای شهر تهران به این اتفاق را علی‌اصغر قائمی، عضو شورای شهر پایتخت که زمانی مسئولیت سازمان فاوا را بر عهده داشت به شهرداری تهران داد. او در واکنش به این حمله سایبری به تذکر سال گذشته خود در آبان‌ماه (سال 1400) اشاره می‌کند و می‌گوید: آبان سال گذشته بعد از اتفاقی که برای کارت سوخت رخ داد، تذکری به شهرداری تهران مبنی بر اینکه باید برای حفاظت و امنیت اطلاعات شهرداری حساسیت بیشتری داشت، ارائه کردم. این حساسیت با ارتقای تجهیزات فنی و به‌کارگیری نیروی انسانی متخصص و رصد مستمر سرویس‌ها امکان‌پذیر است، چراکه سرویس‌ها باید به طور مداوم کنترل شوند. باید به صورت مداوم سطح امنیت افزایش پیدا کند. هر روز که امنیت خود را ارتقا دهید، کسانی که قصد خراب‌کاری دارند، روش جدیدی پیدا می‌کنند و آسیب‌پذیری افزایش می‌یابد، بر همین اساس معتقدم ارتقای سطح امنیت و رصد باید به‌طور مداوم صورت گیرد. شهرداری پاسخی کاملا اداری در واکنش به آن تذکر داد، هرچند تعهد کرده بود تا پایان سال 1400 اقدامات خوبی انجام دهد، اما در عمل این اتفاق رخ نداده است. به گفته عضو شورای شهر تهران نقاط آسیب‌پذیر بسیاری وجود داشته که سبب شد چنین اتفاقی بیفتد.

مدتی بعد نشریه داخلی سازمان فاوا روایتی از ناگفته‌های این اتفاق را منتشر کرد و نوشت: درست از ساعت 11 و 27 دقیقه همه چیز در بخش دیتاسنتر این سازمان تغییر کرد.

در این گزارش که به بازسازی آن روز پرداخته آمده، پنجشنبه 12 خردادماه است. در بخش دیتاسنتر ساختمان سازمان‌های شهرداری تهران مثل همه پنجشنبه‌های دیگر تعدادی از کارشناسان شیفت مشغول کار هستند. اصولا همه شبکه‌ها در معرض حملات سایبری هستند. معمولا این شکل از نفوذ به هر شبکه‌ای وجود دارد و مهاجم حمله می‌کند تا یک راه نفوذ پیدا کند و دفع آن برای کارکنان بخش شبکه، برنامه‌ای روشن و همیشگی است. تعداد این حملات زیاد است و هیچ زمان مشخصی هم ندارد و دفع آن برای کارشناسان زبده، کار سختی نیست. ساعت دیواری بزرگ معاونت شبکه 11 و 27 دقیقه را نشان می‌دهد. در یک لحظه همه چیز تغییر می‌کند. سرپرست شیفت در حالی که چشمانش روی مانیتور قفل شده، گوشی تلفن را برمی‌دارد. اعلام شرایط قرمز نفوذ سایبری به شهرداری تهران آغاز شد.

اولین نشانه نفوذ سایبری، تصویری موهن بود که برای دقایقی روی سامانه داخلی شهرداری تهران به نمایش درآمد. دقایقی بعد از وقوع این اتفاق، کارشناسان سازمان فاوای شهرداری تهران ابعاد موضوع را بررسی و در کمترین زمان، اقدامات پیشگیرانه برای حفظ اطلاعات و مقابله با حملات را آغاز کردند. به این ترتیب در فاصله‌ زمانی چند دقیقه‌ای، سامانه توسط کارشناسان سازمان فاوا، از دسترس خارج شد. خنثی‌کردن نفوذ سایبری با ایزوله‌کردن شبکه‌ سازمان فناوری اطلاعات و ارتباطات شهرداری تهران شروع و مسیرهای نفوذ احتمالی توسط کارشناسان شناسایی شد.

از لحظات اولیه اعلام شرایط بحران سایت شهرداری تهران از دسترس عموم خارج شد. همچنین بلافاصله عملیات کشف رفتار نفوذگر آغاز شد تا از آسیب‌رسیدن به اطلاعات که اصلی‌ترین هدف تخریبگران بود، جلوگیری به عمل آید.

پنجشنبه 12 خردادماه، ساعت هفت عصر

در ادامه این گزارش آمده که لحظاتی بعد از وقوع نفوذ سایبری، عملیات گسترده برای راه‌اندازی سامانه‌های حیاتی شهرداری تهران شروع شد. اولویت با مهم‌ترین خدمات موردنیاز مردم در مترو بود. اگرچه حمله سایبری در روزهای تعطیل تهران رقم خورد که هم عده‌ای در خارج از شهر بودند و تعداد مسافر شهری کم بود، اما باز هم ارائه خدمت در مترو و فراهم‌کردن امکان خرید بلیت برای مسافران از اهمیت زیادی برخوردار بود. البته که در پیش بودن مراسم سالگرد رحلت امام (ره) در خردادماه، باز هم بر اهمیت موضوع افزود. بنابراین سازمان فاوای شهرداری تهران در نخستین گام در ساعت 19 عصر همان روز، ارتباط موقت با سامانه مترو را که موردنیاز شهروندان در سطح شهر تهران بود، راه‌اندازی کرد و سامانه مترو برای فروش بلیت به صورت آنلاین آماده سرویس‌دهی به مردم شد.

جمعه 13 خردادماه، ساعت هفت صبح

با اعلام وضعیت ویژه در روز پنجشنبه بسیاری از کارشناسان خود را به ساختمان فاوای شهرداری تهران رساندند تا تیم عملیات با همه توان اجرایی خود ظاهر شود و بتواند کارها را به روال سابق بازگرداند. به این ترتیب در دومین گام از این عملیات، کارشناسان اقدام به ایزوله‌کردن شبکه اینترنتی بهشت زهرا (س) کردند. ارائه خدمت به خانواده‌های متولیان به‌عنوان اولویت بعدی در دستورکار قرار گرفت.

شنبه 21 خردادماه، ساعت ۱۱ و ۳۰ دقیقه شب

در فاصله این روزها، اظهارنظرهای زیادی صورت گرفت. از همان ابتدا عده‌ای فارغ از جست‌وجوی دقیق و کسب اطلاع، تلاش کردند در این فضای ملتهب، انگشت اتهام را به سوی امنیت سامانه‌های شهری نشانه بگیرند. این همان هدفی بود که حمله‌کنندگان به فضای سایبری شهرداری تهران به دنبال آن بودند. اما در سوی دیگر این اتفاق، تلاش بی‌وقفه و شبانه‌روزی مدیران و کارشناسان سازمان فناوری اطلاعات و ارتباطات شهرداری تهران بود که زیر بار فشار روانی و کاری بسیار شدید، اختلال به‌وجودآمده در شبکه شهرداری را رفع و بعد از حصول اطمینان از امنیت کامل، به مرور آن را فعال کردند.

بیستم خردادماه بود که دومین اطلاعیه رسمی سازمان فاوای شهرداری تهران منتشر شد. در این اطلاعیه اعلام شد که سامانه احراز هویت (SSQ)، سامانه مکاتبات اداری، سامانه جامع منابع انسانی (مدیریت یکپارچه منابع انسانی، حضور و غیاب سازمان‌ها و شرکت‌ها، حضور و غیاب مناطق بیست‌و‌دوگانه و ستاد حقوق و دستمزد و میز کار الکترونیکی کارکنان) راه‌اندازی شد.

خبر خوش دیگر آن بود که سامانه جامع شهرسازی شامل ماده صد، بازدید ممیزی، املاک و مستغلات و فضای سبز (ماده 7) و سامانه جامع معاملات در دسترس قرار گرفته‌اند و بدنه مدیریت شهری می‌توانند با رعایت دستورالعمل‌ها، از این سامانه‌ها بهره‌برداری کنند.

در این میان، پرتال «تهران من» مهم‌ترین سامانه موردنیاز شهروندان تهران ساعت 11:30 شب 21 خرداد به صورت کامل و در فضایی امن راه‌اندازی مجدد شد و برخط قرار گرفت. این سامانه جامع برای خدمت‌رسانی الکترونیک به شهروندان تهرانی به‌ویژه در بخش رزرو طرح ترافیک، نوبت‌دهی معاینه فنی، عوارض سالانه خودرو، سامانه حمل‌ونقل بار و کالا و پرداخت عوارض شهرسازی در اختیار شهروندان قرار گرفت.

در روزهای بعدی به ترتیب پرتال اینترنتی شهرداری تهران، سامانه‌های مالی شهرداری تهران و سایر بخش‌های سامانه‌های اینترنتی شهرسازی، سامانه آتش‌نشانی و خدمات ایمنی و در نهایت معاونت حقوقی شهرداری تهران به طور مجدد راه‌اندازی شدند و اطلاعات قابل رصد بود.

نامه‌ای که داستان هک را زنده کرد

ماجرای هک شهرداری بدون آنکه جعبه سیاه آن باز شود، در حال فراموشی بود که یکی از رسانه‌ها متن نامه‌ای را منتشر کرده که در آن نوشته شده یک ماه قبل از هک سیستم در شهرداری تهران، مدیران شهرداری از آن مطلع بودند. در این نامه که به تاریخ ۱۱ اردیبهشت ۱۴۰۱ و به امضای محمدرضا زارعلی مدیر کل سابق امور مالی شهرداری تهران رسیده، به حراست شهرداری اطلاع داده شده که برخی از نیروهای شهرداری گفته‌اند که سیستم شما توسط فرد دیگری در دسترس است.

زارعلی در این نامه که خطاب به مدیر حراست اداره کل امور مالی و اموال است، نوشته: «دستور فرمایید با توجه به اهمیت موضوع و به حداقل رساندن هرگونه تهدید، سوءاستفاده احتمالی و آسیب‌پذیری خارجی و داخلی» این موضوع بررسی شود. یک ماه بعد از این نامه یعنی ۱۲ خرداد، شهرداری تهران اعلام کرد که سیستم شهرداری و سامانه‌های شهری هک شده است. زارعلی نیز در تاریخ ۹ خرداد یعنی سه روز قبل از اعلام خبر هک سیستم‌های شهرداری از کار کنار گذاشته شد.

بعد از انتشار این نامه نیز شهرداری تهران ترجیح داد نسبت به آن واکنشی نشان ندهد تا بلکه این ابهام جدید نیز مانند سایر پرسش‌هایی که درخصوص هک سامانه‌های شهرداری وجود دارد فراموش شود. اما شهردار تهران همان زمان‌ها درخصوص این نامه به رسانه‌ها پاسخ داد این نامه نشان آگاهی از هک شهرداری نبوده و تنها موضوع دسترسی غیرمجاز به سامانه اداری یکی از مدیران بوده است. او در واکنش به انتشار این نامه که نشان از اطلاع حمله سایبری به زیرساخت‌های شهرداری دارد گفت که: در موضوع حمله سایبری بررسی‌های دقیق فنی نشان داد که از گذشته سرمایه‌گذاری ویژه‌ای روی این موضوع و برای زمینه‌چینی حمله به زیرساخت‌های فنی شهرداری تهران انجام داده بودند.

او با بیان اینکه طبق گزارش تیم فنی شهرداری تهران از ابتدای سال یک کار پیچیده روی حوزه سایبری و زیرساختی شهرداری انجام شده بود، گفته بود: نهایتا این اقدامات منجر به حمله گسترده در آستانه ۱۴ خردادماه با هدف از بین بردن همه زیرساخت‌ها و امکانات سخت‌افزاری و نرم‌افزاری شهر شد. شهردار تهران با تأیید این نامه گفته بود: پس از گزارش رسانه‌ها این نامه را دیده‌ام و با وجود مشخص‌بودن موضوع، پیگیری مجددی در این رابطه انجام شد. موضوع این نامه مربوط به دسترسی غیرمجاز به حساب کاربری یکی از مدیران در یکی از سامانه‌های اداری بود که به صورت طبیعی با تغییر و بازنشانی کلمه عبور توسط پشتیبانی فنی مشکل برطرف شده بود. زاکانی تصریح می‌کند: موضوع دسترسی‌های غیرمجاز، فراموشی کلمه عبور، در اختیار قراردادن کلمه عبور به غیر و از این دست موارد در همه سامانه‌های فناوری اطلاعات رخ می‌دهد و در هیچ‌جا این به معنی هک سامانه نیست.

اما دو سال از این اتفاق گذشته، هنوز پس‌لرزهای هک در سامانه‌های شهرداری به چشم می‌آید.

می‌گویند حمله سایبری در حذف تهران من و جایگزین‌شدن سامانه شهرزاد بی‌تأثیر نبوده است و هنوز برخی از سامانه‌ها خدمات گذشته را ارائه نمی‌کنند.

علی‌اصغر قائمی، عضو شورای شهر تهران، این موضوع را تأیید می‌کند و می‌گوید اینکه نخواستند یا نتوانستند یا اعتبارات لازم را نداشتند مشخص نیست اما هنوز برخی از خدمات شهرداری به روال سابق بازنگشته است.

او ادامه می‌دهد: شهردار از موضوع هک به سادگی عبور کرد و نه گزارشی در صحن شورای شهر داد و نه اعضای شورا توانستند اطلاعاتی کسب کنند اما از کارکنان شرکت فاوا برای تلاش‌هایشان در این حوزه تشکر می‌کنم.

مهدی چمران هم درباره سالگرد هک و سامانه‌های شهرداری تهران و مشکلات سازمان فاوا به رسانه‌ها گفته است: تلاش زیادی انجام شد که این سامانه‌ها بازگردند و با احتیاطات زیاد اصلاح شود. دستگاه‌های امنیتی نیز در اجرای این برنامه‌ها حضور دارند؛ اما آنچه نیاز شهرداری تهران است هنوز نتوانسته‌اند فراهم کنند. انتظار ما بیشتر از این است.

رئیس شورای شهر تهران ادامه می‌دهد: «شهرزاد» اپلیکیشنی جدید و قوی است که امیدواریم جایگزین سامانه‌های فعلی شود و نیاز شهرداری تهران را تأمین کند.(منبع:شرق)