نشت اطلاعات کاربران در ایران چه عوامل و خطراتی دارد؟
در سه ماه گذشته شاهد لو رفتن اطلاعات مردم و شرکتهای مختلف ایرانی بودیم. لورفتن اطلاعات ۸۰ میلیون شهروند ایرانی از سرورهای سازمان ثبت احوال، ۴۲ کاربر ایرانی توسط نسخههای غیررسمی اپلیکیشن تلگرام، ۵ میلیون کاربر سیب اپ، حمله به سرورهای سایت بزرگ فروش بلیط علیبابا و بهتازگی لورفتن اطلاعات ۵/۵ میلیون کاربر اپراتور رایتل، ازجمله بزرگترین رخدادهای امنیتی ماههای اخیر بودند.
هرچند در روزهای شیوع ویروس کرونا، اخبار هکشدن اپلیکیشنها و سامانههای زیادی را در سطح جهان میشنویم و بهطور کلی، هکشدن سایتها و لورفتن اطلاعات کاربران موضوع جدید یا غیرقابل انتظاری نیست. مسئلهای که عجیب میکند، داشتن رویکرد و نگاهی ساده به لورفتن اطلاعات در ایران است.
در آخرین ماه سال میلادی پیش، اطلاعات ۲۶۷ میلیون کاربر فیسبوک لو رفت. رویکرد شرکت به این موضوع، اطلاعرسانی سریع به مردم و کسب و کارها و در قدم بعدی، رفع مشکل بدون هرگونه فوت وقت بود. این اتفاق چیزی نیست که بهطور معمول در ایران شاهد آن باشیم؛ درواقع روال اینگونه است که ابتدا چند کاربر در فضای مجازی پی به موضوع میبرند، رسانهها بهدنبال صحت و سقم ماجرا بهسراغ شرکت یا سازمان مربوطه میروند؛ این مراکز از وقوع اتفاق اظهار بیخبری میکنند و پس از ساعتها تکذیب و تهدید، زمان پذیرش نسبی نفوذ میرسد. این درحالی است که پذیرش مراکز یادشده نیز الزاما بهمعنای حفظ امنیت سامانهها نیست؛ چه بسا اینکه اکثر مسئولان در چنین موقعیتهایی به ذکر این موضوع بسنده میکنند که «دسترسی به سایت بهطور پیوسته برقرار است» و این موضوع را دال بر هکنشدن سامانه عنوان میکنند.
بگذریم از دفعاتی که هکر یا هر فردی که پی به وجود باگ یا حفرهی امنیتی میبرد، ادعا میکند پیش از اقدام برای فروش اطلاعات، سازمان یا شرکت مربوطه را درجریان امر قرار داده و از آنها تقاضای پول کرده و با بیتوجهی مسئولان آن مرکز یا برخوردی از روی خشم ازسوی آنان، اطلاعات را در دارک وب به معرض فروش گذاشته یا نسبت به وجود آن در فضای مجازی اطلاعرسانی کرده است. مفهومی که احتمالا جمع زیادی از خوانندگان زومیت از آن مطلعاند، باگ بانتی است. باگ بانتی به برنامههایی اشاره دارد که درازای دریافت پاداش، گزارشهایی درمورد وجود باگ یا آسیبپذیری امنیتی به یک وبسایت یا توسعهدهندگان آن میدهد؛ فردی که در پشت این برنامهها وجود دارد، ممکن است بهصورت شناس یا ناشناس اقدام به یافتن حفرههای امنیتی کند. وجود چنین اشخاصی در سطح دنیا امری رایج محسوب شده و شرکتها از وجود آنها برای ارتقای سیستم امنیتی خود سود میبرند.
مورد دیگری که در پاسخ مسئولان مربوطه پس از پذیرش نفوذ بهشدت به چشم میآید، تهدید افراد در فضای مجازی و رسانهها درارتباطبا پرداختن به مسائلی است که از آنها بهعنوان «شایعه» یاد میکنند درحالیکه تمامی اخبار پیرامون ردیابی یک نفوذ به سیستم و سرورهای خود از ابتدا را نیز شایعه قلمداد میکنند. اگر دو موضوعِ «اهمیت لورفتن اطلاعات» و «نپرداختن به احتمال اتفاقی که رخ داده است» را در دو کفهی ترازو بگذاریم، باید پرسید که اهمیت کدامیک سنگینی میکند؟
پس از تجربههای اخیر از هکشدن سامانهها و وبسایتها در ایران، گذشته از رویکرد سازمانها و شرکتها درقبال حفظ حریم خصوصی افراد، شاهد عادینگری به این مسئله ازسوی اکثر مردم هستیم؛ مسئلهای که قطعا خطراتی را برای آینده بهدنبال خواهد داشت.
برای خواندن بخشهای مختلف مقاله روی تیتر آن کلیک کنید:
مسئول نشت اطلاعات کاربران در ایران چه عواملی است؟
آیا نشت اطلاعات کاربران در فضای مجازی در ایران عواقب دارد؟
رفتار سازمانها درقبال نشت اطلاعات کاربرانشان باید چگونه باشد؟
اهمیت اطلاعاتی که لو میرود
همیشه اطلاعات فاش شدهاند و لو میروند؛ نهتنها در ایران، در تمام جهان. اگر اطلاعاتی فاش شده، پس از آن چه شده است؟ چه اتفاق بزرگی بعد از لورفتن اطلاعات هویتی شهروندان یک کشور تغییر یافته است؟ چه خطری از آن زمان تاکنون مردم را تهدید کرده است؟ عجیب نیست اگر این سوالات به ذهن اکثر مردم بیاید؛ بهخصوص وقتی که لورفتن اطلاعات به روالی عادی تبدیل شده و کسی متعجب نمیشود اگر چند هفته یکبار خبر نشت اطلاعات سازمان جدیدی را بشنود. مردم مشاهده میکنند که روزها، هفتهها و ماهها از لورفتن اطلاعاتشان میگذرد اما زندگی به روال سابق ادامه دارد؛ پس هرازگاهی با شنیدن خبر جدیدی از لورفتن اطلاعات، تنها سری تکان میدهند و اندک گلایهای بر این مبنی میکنند که حفظ اطلاعات آنها برای هیچ سازمانی اهمیت ندارد و سپس بهسراغ خواندن باقی اخبار میروند. موضوعی که افراد درنظر نمیگیرند این است که غفلت آنها تنها زمینهی سوءاستفادههایی را بیشتر میکند که همین حالا و در پشت پردهی چشمشان درجریان است و اگر کوچکترین اطلاعات هکشده برای افرادی خاص اهمیت نداشت، خود را به زحمت برای دستیابی به آنها نمیانداختند.
حقیقتا چه خطراتی متوجه افراد بعد از لورفتن اطلاعاتشان است؟ سرقت هویت یکی از خطرناکترین اتفاقاتی است که با لورفتن اطلاعات اشخاص ممکن است رخ دهد. با سرقت هویت فرد میتوان اقدامات زیادی انجام داد؛ برای مثال:
- کلاهبرداری
- ثبتنام در سایتها (مانند دیوار)
- ثبت سایت و اقدام به دزدی اینترنتی
- انجام اعمال خرابکاری با واردشدن به حساب کاربری افراد
- احراز هویت در سایتها و خرید با اطلاعات هویتی فرد
- تماس تلفنی با فرد و ادعای برندهشدن در مسابقهای یا گرفتن اطلاعات بانکی وی و غیره
تبلیغات هدفدار از دیگر عواقبی است که بهطور گستردهای همواره انجام شده است. قطعا زمانهایی بوده که شما از دیدن پیامکها یا تماسهای تبلیغاتی به ستوه آمده باشید و خود ندانید که برخی از این اشخاص، چگونه به اطلاعات شما دست پیداکردهاند. درحقیقت اطلاعات افراد در سطوح وسیع در جهان دراختیار سازمانها و شرکتهای متنوع قرار میگیرد.
اخاذیکردن با جلب اعتماد فرد ازطریق اعلام مشخصات وی و جازدن خود بهعنوان نهادی معتبر از دیگر خطرات لورفتن اطلاعات است.
یکی از شرایط غمانگیز زمانی است که اطلاعات فیزیکی کارتهای یک بانک دزدیده شد؛ کارتهای بهراحتی کپی میشدند و خالیشدن حساب شهروندان میتوانست بهسادگی رخ دهد. در این مورد اطلاعرسانی صورت نگرفت و تنها از مردم خواسته شد که همگی، رمز کارت خود را تغییر دهند.
بیایید یک سناریو را درنظر بگیریم؛ زمانیکه اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام لو رفت، سایت Comparitech دراینباره مقالهای نوشت و در آن ضمن گفتوگو با سخنگویی ازسمت تلگرام، گفته شد که اطلاعات لورفته شامل شناسه کاربری، نام کاربری، شماره تلفن، هش و کلیدهای امنیتی است. بدینترتیب کسی که این اطلاعات را دراختیار داشته باشد، قادر به انجام حمله SIM Swap خواهد بود. در این حملهی امنیتی، هکر با گولزدن اپراتور قادر خواهد بود تا رمز امنیتی حساب کاربری را ازطریق پیامک یا تماس تلفنی دریافت کند و وارد حساب کاربر شود. او سپس میتواند تنظیمات را بهنوعی تغییر دهد که کاربر دیگر قادر به استفاده از حساب خود نباشد.
امنیت اپلیکیشن تلگرام بهاندازهای است که تابهحال هیچ هکری موفق به هککردن آن نشدهاست اما بهدلیل ذات متن باز آن، برخی افراد از روی اپلیکیشن نمونههایی میسازند و در آنها تغییراتی میدهند و برنامهی جدید را منتشر میکنند؛ اتفاقی که با فیلترینگ تلگرام در ایران نیز رخ داد و چندین نمونه از تلگرام دراختیار شهروندانی قرار گرفت که قصد نداشتند از ابزاری برای دور زدن فیلترینگ استفاده کنند. به این نمونهها پوسته گفته میشود و مشکل در رفتار این پوستهها نمود پیدا میکند که مشخص نیست پیش از رسیدن دادهها به سرور اصلی تلگرام، آیا آنها در جای دیگری هم ذخیره میشوند یا خیر. استفاده از این پوستهها زمینه را برای هککردن حسابهای کاربری ایرانیان در تلگرام فراهم کرد؛ حتی اطلاعات کسانی که خود از نسخههای غیررسمی استفاده نمیکردند اما با افرادی که نسخهی غیررسمی را استفاده میکردند در تماس بودند.
باید توجه کرد که بحث حریم خصوصی مبحثی دو طرفه است؛ شاید بتوان آن را به ویروس کرونا تشبیه کرد که اگر یک نفر این بیماری را گرفت میتواند به افراد نزدیکی که به وی اعتماد کردهاند، بیماری خود را منتقل کند. به همین ترتیب، اگر فرد یا شرکتی حریم خصوصی را رعایت نکند بهسادگی میتواند حریم خصوصی نزدیکترین افراد و میلیونها کاربر خود را که به آنها اعتماد کردهاند، در معرض خطرناکترین حملات سایبری قرار دهد.
جدای از اخباری که ما درمورد افشای اطلاعات میشنویم، خرید و فروش یا اشتراکگذاری اطلاعات زیادی در دارک وب درجریان است و تنها خبر آن عمومی نمیشود. درواقع اطلاعات زیادی از مردم در فضای مجازی فاش شده و تنها عمومی نشده است. در همین رابطه، معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات ایران نیز به خبرنگار زومیت میگوید تمام اپلیکیشنهای بزرگ در ایران تابهحال نشت اطلاعات در سطح گسترده را تجربه کردهاند؛ حتی این اتفاق به مراتب رخ داده و تنها خبر آن عمومی نشده است.
اکنون با دو وجه از ماجرای اهمیت نشت دادههای شخصی طرف هستیم؛ برخورد مردم و برخورد سازمانها. نخست بهتر است بپرسیم: آیا مردمی که اطلاعاتشان فاش میشود، به اهمیت موضوع امنیت دادههای شخصی واقف هستند؟
مسئولیت حفظ دادههای شخصی تنها بر گردن یک گروه مشخص نیست؛ چند عامل مختلف دست در دست هم میگذارند تا شاهد لورفتن اطلاعات کاربران فضای مجازی باشیم. در مرحلهی اول کاربرانی قرار دارند که اطلاعات متنوع و گستردهی خود را بدون اینکه دلیل آن را بدانند، دراختیار سامانهها و برنامهها و وبسایتها میگذارند. مسائل امنیتی متنوعی در شناسایی وبسایتها و اپلیکیشنهای متقلب وجود دارد که عدهی زیادی از مردم آنها را نمیشناسند یا نادیده میگیرند.
سادهترین کار برای کسی که قصد سوءاستفاده از اطلاعات شما یا دستگاهتان را دارد، این است که تنها ظاهر یک محتوای جذاب و پرجستجو را بیاراید و دربرابر چشم افراد قرار دهد. این موضوع در پلتفرمهای مختلف دیده میشود؛ برای مثال در کانالهای تلگرامی، پیجهای اینستاگرامی، صندوقهای دریافت ایمیل یا بازار دانلود اپلیکیشن. موضوع به این سادگی نیست که با حذف برنامه یا بستن یک وبسایت خیالمان آسوده شود.
چرا نصب اپلیکیشن سادهای مانند یک تقویم باید به دسترسی به دوربین، گالری یا تاریخچهی تماسهای شما نیاز داشته باشد؟
ازسویی، شیوهی دریافت اطلاعات نیز اهمیت زیادی دارد. با بیتوجهی در شیوههای اخذ اطلاعات در سامانههای مختلف، ممکن است این تصور بهوجود بیاید که نیاز است برای اموری مانند احراز هویت، دادههای زیادی را دراختیار سامانهای، ولو معرفیشده ازسوی نهادهای معتبر قرار دهیم؛ به روشهایی که ممکن است باعث سوءاستفادهی افراد از اطلاعات شخصی و سرقت هویت شود. برای مثال در پلتفرم اختصاصی آموزش و پرورش با نام شاد، تمامی اطلاعات دانشآموز در نزد مدرسه وجود داشت و این اپلیکیشن میتوانست تنها با دریافت کد دانشآموزی، دانشآموز را در سیستم خود ثبت و به کلاس درس وارد کند. بااینحال اطلاعات هویتی دانشآموز دریافت شد، درواقع با استناد به آمار آموزش و پرورش، اطلاعات ۱۵ میلیون دانشآموز.
این موضوع میتواند ناشی از بیاطلاعی یا بیمبالاتی باشد. درنهایت ما باید بدانیم چه محتوایی را از کجا تهیه میکنیم و چه اطلاعاتی را دراختیار دیگران قرار میدهیم؛ اما همانطور که گفتیم، این تنها مسئولیت کاربر نیست.
در مرحلهی بعدی به متخصصان امنیتی در سازمانها و وظیفهی آنها در تأمین امنیت میرسیم؛ اما اجازه دهید که ابتدا یک سؤال مطرح کنیم: آیا این اشخاص مسئول تأمین امنیت کاربران خود هستند؟ نکتهی عجیب در سؤال بالا این است که سازمانهای زیادی در کشور ما اکنون بخشی مخصوص به امنیت در بطن خود ندارند، کارشناس امنیتی ندارند، قوانین تهدیدکننده درخصوص نشت اطلاعات وسیع کاربران ندارند و رسیدگی به جرایم آنها در این حوزه نیز به سازمان فناوری اطلاعات یا نهاد ناظر دیگری در فضای مجازی مربوط نیست.
درنتیجه چندان عجیب نیست که استانداردهای امنیتی و تأمین امنیت کاربران چندان جدی گرفته نشود. خود را درون سازمانی تصور کنید که شرح وظایفی مشخص دارد و بودجهای براساس آن دریافت میکند؛ باید به مسائل مختلف رسیدگی شود و سپس به بحث امنیتی میرسیم؛ یعنی بخشی که قوانین سختگیرانه یا دستکم جریمهای درصورت عدم رعایت سفت و سخت قوانین امنیتی برای آن وجود ندارد؛ چراکه ما بهدفعات شاهد بودیم که نشت اطلاعات صورت گرفته اما عواقبی درانتظار این سازمانها نبوده است؛ ولو اینکه برخی اوقات، سازمان و شرکتها منتشرکنندگان خبر نشت اطلاعات یا فردی که برحسب اتفاق به باگهای موجود در سامانهای پی برده را نیز تهدید و از وی شکایت میکنند.
معاون امنیت سازمان فناوری اطلاعات: تمام اپلیکیشنهای بزرگ در ایران تابهحال نشت اطلاعات در سطح گسترده را تجربه کردهاند
مسئول نشت اطلاعات کاربران در ایران چه عواملی است؟
بهطور کلی، خطاهای انسانی مستقیم و غیرمستقیم از مهمترین دلایل نشت اطلاعات در دنیا است. براساس اطلاعاتی که از سال ۲۰۰۴ در ویکیپدیا و در Ballon Race درمورد علل نشت اطلاعات ثبت شده، نزدیک به ۴۰ درصد موارد مربوط به خطای انسانی عمد یا غیرعمد است. میزان تأثیر دیگر علل نشت اطلاعات را درادامه مشاهده میکنید:
مدل نشت اطلاعات | میزان درصد |
---|---|
هک | ۵۵/۶۶ |
امنیت ضعیف | ۱۱/۶۵ |
سرقت / گمشدن دستگاههای ذخیرهسازی | ۱۰/۶۸ |
نشر اشتباهی یا تصادفی | ۶/۱۵ |
افراد درون سازمانی | ۵/۵۰ |
سرقت / گمشدن سیستم کامپیوتری | ۵/۱۸ |
دلایل ناشناخته | ۱/۶۲ |
امنیت ضعیف / پروتکلهای ضعیف سازمانی | ۰/۶۵ |
افشای تصادفی توسط افراد درون سازمانی | ۰/۳۲ |
آپلود اشتباهی دادهها | ۰/۳۲ |
افشای اطلاعات بهدلیل تنظیمات نادرست سرور | ۰/۳۲ |
امنیت ضعیف / هک شدن | ۰/۳۲ |
مهندسی اجتماعی افراد درون سازمان | ۰/۳۲ |
افشای API خصوصی یا محافظت نشده | ۰/۳۲ |
فضاهای ابری ناامن | ۰/۳۲ |
زومیت برای کسب اطلاعات بیشتر از علت لورفتن گستردهی اطلاعات کاربران در فضای مجازی در ایران بهسراغ یک برنامهنویس و متخصص امنیت رفت. کوروش قربانی پیش از این با سازمان و نهادهایی ازجمله پلیس فتا در مشهد، دانشگاه آزاد و دانشگاه خیام مشهد و با مجموعههایی همچون کتابراه همکاری کرده است. درادامه با مصاحبهی زومیت همراه باشید.
زومیت: آیا لورفتن اطلاعات کاربران فضای مجازی در ایران به دفعات بالا و در سطح وسیع رخ میدهد یا در تمام دنیا به همین منوال است؟
قربانی: «بهطور کلی، هرچه صنعت IT نوپاتر باشد، طبیعتا افشای اطلاعات بیشتر رخ میدهد ولی موضوعی که فعلا در ایران شاهدش هستیم، ابتدا به پایینبودن سطح دانش متخصصان امنیت شرکتها یا ارگانها برمیگردد. درواقع و متأسفانه، ما اکنون در مجموعههای بزرگ، رستهی شغلی SOC (مرکز عملیات امنیتی) نداریم؛ یعنی متخصص شبکه یا حتی برنامهنویس ساده کار امنیت را در مجموعه انجام میدهد که خروجی این کار مشخص است.»
قربانی اشاره میکند که بهدلیل نبود سطح دسترسیهای مشخص و طبقهبندیشده و عدم آموزش کارمندان شرکتها و ارگانها در ایران احتمال وقوع حوادث امنیتی بیشتر میشود.
زومیت: اما چگونه میشود که شرکتها و سازمانها به موضوع امنیت اهمیت ندهند، درحالیکه همیشه ادعا دارند حفظ اطلاعات مردم برای آنها جایگاه ویژهای دارد؟ جدای از این، مگر قوانین مشخص و تهدیدکنندهای در این رابطه وجود ندارد که مسائل امنیتی تا این حد ازسوی آنها مورد غفلت قرار میگیرد؟
قربانی: «متاسفانه برخلاف کشورهای دیگر، در ایران قانون مشخص و محکمی برای جریمه کردن شرکتها و بهخصوص ارگانها وجود ندارد. بههمین دلیل است که شرکتها تنها "ادعا" میکنند که حافظ اطلاعات مردم هستند. این بیشتر شبیه شعار است؛ مثال سادهای درمورد شعاربودن چنین ادعایی، اینکه همین الان کل اطلاعات مشترکین مبین نت قابل استخراج است (از شماره تلفن گرفته تا علایق کاربران و ...) و با اینکه خود من، چندین بار موضوع را به آنها اطلاع دادهام، هیچ پیگیری انجام نشده است.»
این متخصص امنیت به زومیت میگوید که علت افشای گستردهی اطلاعات شرکتهای ایرانی در چند وقت اخیر، بیشتر، نبود متخصص در شرکتها است؛ او افشای تصاویر زیادی از مدارک مردم در سایتهای فروش ارز دیجیتال را مثال میزند که علت آن به میزان بالایی، تنظیمات نادرست سرورها است.
مورد دیگر، اهمیتندادن نیروها به چارچوبهای شرکت است که تصور میکنم بیشتر بهخاطر نبود قانون برای مجازات رخ میدهد.از همه بدتر، کتمان خود شرکتها است؛ در بیشتر مثالهایی که این اواخر شاهدشان بودیم، بهجز یکی دو شرکت، همگی ادعاهایی عجیب پس از نشت اطلاعاتشان کردند؛ برخی گفتند اطلاعات قدیمی است (رایتل)، یا مربوط به زیرسیستم بیربط است یا شامل اطلاعات خصوصی نیست (سیبچه) و...
قربانی به خبرنگار زومیت میگوید که شرکتها برای جلوگیری از نشت اطلاعات خود باید هزینه کنند؛ برای مثال نیروها را آموزش دهند تا از هک بهوسیلهی حمله مهندسی اجتماعی جلوگیری شود یا نیروی متخصص امنیت را بهصورت دورهای یا دائم به کار بگیرند و استخدام کنند.
باگ بانتی که پیشتر به آن اشاره کردیم، در صحبتهای قربانی نیز تکرار میشود. او مشکل عمدهای در هکشدن سازمانها و شرکتها در ایران را نبود سیستم باگ بانتی یا اهمیتندادن به آن میداند.
قربانی: «بیشتر این هکشدنها از قبل به شرکتها گزارش داده میشود اما شرکتها برای هزینهنکردن، عمدتا بیتوجهی میکنند یا بهجای رفع مشکل، به فکر شکایت از گزارشدهنده میافتند (او میگوید فیدیبو چنین شکایتی را طرح کرده است). این شرایط باعث شده که هکر یا متخصص امنیت وقت خود را در سایتهای خارجی و پلتفرمهای قابل اطمینان هزینه کند و گزارشهای وجود باگ را در سایتهای ایرانی با دردسرهای فراوان خودش کنار بگذارد.»
زومیت: اینکه شما گفتید شرکتها در واکنش، برخی اوقات توجیهاتی میآورند؛ آیا اگر این توجیهات مانند قدیمیبودن رکوردها درست باشد، آیا نمیتواند خطرآفرین باشد؟ یا بهکل توجیهات غلطی هستند؟
قربانی: «حرفی که میزنید، دقیقا درست است؛ توجیهکردن این داستان بهکلی اشتباه است. پخششدن اطلاعات کاربران، هر کجای دنیا اتفاق بیفتد، شرکت مربوطه مجبور به پرداخت خسارت به تمام کاربرهایش میشود (چه کاربر قدیمی و چه جدید) اما در ایران شرکت نهتنها خسارت نمیدهد، بلکه در بیشتر موارد عذرخواهی هم نمیکند و پخش اطلاعات را به هر شکلی توجیه و کتمان میکند؛ حالا چه با مرتبط کردن آن به قدیمی بودن و چه با مرتبط کردن با زیرسیستمهای بیربط و غیره.»
سوالی که درادامهی مطلب، پاسخ آن را ازسوی معاون وزیر ارتباطات میدهیم، از قربانی نیز پرسیدیم: در ایران چه کسی مسئول لورفتن اطلاعات است؟ آیا خصوصی یا دولتی بودن سازمانها میتواند در این زمینه مؤثر واقع شود؟
قربانی میگوید، در ایران، هکر یا مهاجم مسئول لو رفتن اطلاعات است و او است که بازخواست میشود اما در سطح دنیا، اول شرکت مسئولیت دارد و سپس تمام دنیا. قربانی، قوانین موجود در بازخواست کسی که مسئول حقیقی نشر اطلاعات است را مضحک میخواند و درمثالی میگوید:
بهعنوان مثال، اگر من سایت داشته باشم و شما در سایت من محتویاتی آپلود کنید که مخالف قوانین کشور است، اول من مجرم هستم، دوم شما؛ و شما زمانی بازخواست میشوید که من از شما شکایت کنم. اما در زمان هک شدن و پخش اطلاعات تنها هکر مجرم حساب میشود و کسی شرکت مربوطه را جریمه یا بازخواست نمیکند که چرا اطلاعات مردم رمزگذاری یا حداقل محافظت نشده است.
این متخصص امنیت میگوید که ازلحاظ قانونی فرقی نمیکند که سازمانی دولتی یا خصوصی باشد تا رویکرد بهتری را در پیش بگیرد؛ او میگوید در موارد بسیار زیادی، ارگانهای دولتی و نیمهدولتی حتی برخورد بدتری را در پیش میگیرند و مسئله را پیگیری نکرده و دررابطهبا آن اطلاعیهای هم منتشر نمیکنند.
درواقع با تجربیات شغلی که این متخصص امنیت داشته، امنیت داده را برای این سازمانها موضوعی بسیار غریب عنوان میکند. او میگوید که کارکنان سازمانها با تصور اینکه سالهای زیادی از استخدام آنها میگذرد و حقوقشان بهجا و ثابت است و الزامی برای یادگیری مورد جدیدی برای آنها وجود ندارد، پس پاسخگوبودن درقبال امنیت دادههای مردم را نیز از وظایف شغلی خود محسوب نمیکنند.
قربانی در مسئلهی عدم درک کارکنان سازمانها در اهمیت حفاظت از دادهها، مثال میزند که یک مرتبه، رمز عبور و نام کاربری یک زیرسیستم مالی در دانشگاه آزاد را چسبیده به دیوار دیده است.
ما در زومیت، پس از شنیدن حرفهای این برنامهنویس و متخصص امنیت بهسراغ معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات ایران رفتیم و علت نشت گستردهی اطلاعات در کشور را از وی جویا شدیم.
ابوالقاسم صادقی به زومیت میگوید که اکثر شرکتهای ما کارشناس امنیتی یا بهطورکلی، بخش امنیت در زیربخشهای خود ندارند. او علت نشت اطلاعات در سازمانها را ناآگاهی، ضعف بنیه مالی و نیروی انسانی میداند. بااینحال بهنظر او موضوع درمورد اپلیکیشنهای بومی متفاوت است و دلیل نشت اطلاعات آنها، بیتوجهی به مسائل امنیتی و بیمبالاتی است.
صادقی میگوید اپلیکیشنهای بومی براساس میزان رکوردی که از کاربران جمعآوری کردهاند و براساس توان مالی خود تفکیک میشوند. بهگفتهی او، دستورالعملی به همین منظور توسط سازمان فناوری اطلاعات تهیه شده و شرکتها در آن ردهبندی شدهاند؛ اپی که چندصد رکورد و توان مالی بالا دارد با اپی دارای توان متوسط یا تازهپاگرفته شرایط متفاوتی دارد.
صادقی مثال میزند، اپلیکیشنی که شرکت آن روزی چندده میلیارد گردش مالی دارد، بدون احتساب ارزشی که کاربران به اپلیکیشن اضافه میکنند، نهتنها بخش امنیتی ندارد بلکه حتی یک کارشناس امنیت نیز ندارد؛ درنتیجه مشخص است که بهایی به موضوع امنیت اپلیکیشن خود نمیدهد.
معاون امنیت سازمان فناوری اطلاعات: اکثر شرکتها و سازمانها در ایران، بخش امنیت یا حتی کارشناس امنیتی ندارند
بهگفتهی معاون امنیت سازمان فناوری اطلاعات، در تمام دنیا افشای اطلاعات رخ میدهد اما این موضوع در ایران دو تفاوت عمده با دنیا دارد؛ اول اینکه کسب و کارهای ما از نقاط خیلی ساده و بدیهی نشت اطلاعات را تجربه میکنند، گاهی حتی خود آنها بهخطا دیتا را لو میدهند.
صادقی به زومیت میگوید، موضوع دوم این است که ما عبرت نمیگیریم و مشکل را رفع نمیکنیم. او اشاره میکند که برای مثال، برای یاهو یا یک بانک در سطح جهانی نیز فاششدن چندصدمیلیون حساب کاربری رخ داده است اما آنها پس از رخدادن حادثه، بخش ویژهای، تنها برای رسیدگی به همین موضوع راهاندازی کردند تا رخدادن چنین اتفاقی دیگر ممکن نباشد؛ درحالیکه کسبوکار ما به هیچ عنوان چنین کاری نمیکند.
صادقی میگوید کسبوکار ما پس از نشت اطلاعات، اول سعی میکند موضوع را پنهان کند، پس از برملاشدن آن سعی میکند توجیهی برای لاپوشانی امر پیدا کند و درآخر کمی خسارت بدهد؛ اما درنهایت فردای پس از تمامشدن ماجرا، دقیقا به روال سابق کار خود و دیدگاه قبلی خود در امنیت اطلاعات ادامه میدهد.
وقتی مشاهده میکنیم تأمین امنیت کاربران آخرین اولویت در توسعهی کسبوکارها است، درحالیکه شرکتها بهراحتی میتوانند لایسنس هر برنامهی امنیتی را که نیاز داشته باشند برای بخش دیتابیس خود تهیه کنند اما این موضوع را جدی نمیگیرند، طبیعی است که تصور کنیم متولی خاصی در کشور برای پیگیری خسارتهای واردشده به کاربران و حریم خصوصی آنان وجود ندارد.
صادقی میگوید وقتی نشت اطلاعات ازمیزانی بالاتر رود، مسئله ملی میشود و این تنها مربوط به کسبوکار نیست. اما تابهحال بهکارگیری استانداردهای امنیتی برای سازمانها اجباری نبوده؛ تنها یک سازوکار قانونی در سطح کلان دولت تصویب و ابلاغ شده بوده و سازمانها موظف بودهاند آن را رعایت کنند؛ البته ساز و کاری که الزام ندارد و سازمان فناوری اطلاعات ابزار قانونی برای مؤاخذه درصورت عدم رعایت آن را ندارد.
آیا نشت اطلاعات کاربران در فضای مجازی در ایران عواقب دارد؟
این سؤالی است که امیر ناظمی، معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات در مراسم صدور گواهی مشترک در حوزهی ارزیابی امنیتیپدافندی محصولات فتا به آن پاسخ داد.
بهگفتهی ناظمی، نشت اطلاعات کاربران طبق قانون برای شرکتها دارای عواقب است اما این موضوع دارای ضعفهایی است که دولت تلاش میکند با بهتصویبرساندن قانون «صیانت دادهها» آن ضعفها را رفع کند. قانونی که ناظمی از آن سخن میگوید، دو سال است که ازسوی وزارت ارتباطات رونمایی شده اما در بروکراسیهای دولتی گیر کرده و اخیرا از کمیسیون آزاد شده تا در هیأت دولت مطرح شود.
طبق توضیح ناظمی، ازآنجاکه این لایحه قضایی و ذیل تعریف «جرم» است، دولت نمیتواند مستقیما آن را ارائه کند. لایحه باید ابتدا ازسوی مجلس یا قوه قضاییه مطرح شود. کاری که وزارت ارتباطات کرد این بود که جلساتی با قوه قضاییه و مجلس تشکیل داد، تغییراتی در لایحه اعمال شد که همین موضوع تأخیر بهوجود آورد و درنهایت به هیأت دولت رسید تا برای تبدیلشدن به قانون به مجلس ارسال شود. ناظمی میگوید این لایحه، مشابه GDPR است که در اتحادیه اروپا به تصویب رسیده و میتواند رسیدگی به جرایم سایبری را سرعت بخشد.
اما معاون وزیر ارتباطات میگوید که همین اکنون نیز نشت اطلاعات برای سازمانها و شرکتها عواقب داشته و قوانینی برای آن وجود دارد. بااینحال بهوضوح مشخص است که این قوانین کافی و وافی نبودهاند. متن کامل قانون جرایم رایانهای را میتوانید از همین لینک مشاهده کنید.
ناظمی میگوید سازمان فناوری اطلاعات، نهادی دولتی است و نمیتواند کسب و کارها را بازخواست کند؛ این موضوع بر دوش قوه قضاییه است. ازطرفی، شرکتها تاکنون الزامی برای دریافت گواهینامههای امنیتی نداشتهاند. حال سازمان فناوری اطلاعات از شورای عالی فضای مجازی خواسته است تا با صدور مصوبهای، اخذ مجوز امنیتی برای اپلیکیشنها را الزامی کند و هماهنگی با پلیس فتا برای برخورد در این زمینه صورت بگیرد.
هرچند، نظام مقابله با حوادث فضای مجازی در شورای عالی فضای مجازی نیز دارای مشکلاتی در آییننامهی خود است و ناظمی، علت آن را قدیمیبودن قوانین میداند. او میگوید زمان زیادی از تصویب این قانون میگذرد و اکنون نیازمند بازبینی است؛ چراکه دغدغه، پیشتر حفاظت از دادههای کلان نبوده و با گسترش ضریب نفوذ اینترنت اکنون باید قوانین هم پابهپای زمان تغییر کند بهطوریکه پاسخگوی چالشها باشند.
ناظمی میگوید سال پیش آییننامهای براساس قوانین فعلی برای شرکتهای خصوصی و دستگاههای اجراییِ حوزهی فناوری اطلاعات فرستاده شده که حاوی ده بند است اما به همین ده بند نیز اعتنا نمیشود. پس از رخدادن چند حادثهی امنیتی در فضای مجازی طی ماههای اخیر، مرکز ماهر به دستگاههای دولتی و شرکتها نکات امنیتی را ابلاغ کرده و نسبت به آنها هشدار داد اما به اذعان صادقی، معاون امنیت سازمان فناوری اطلاعات، بسیاری از سازمانها سهلانگاری میکنند و با این سهلانگاریها نیز برخورد جدی صورت نمیگیرد تا جلوی اینگونه اتفاقات گرفته شود. او میگوید صاحبان داده به این موارد توجهی ندارند و اخطارها را جدی نمیگیرند تا اینکه اتفاق مهمی رخ دهد و نیازمند کمک شوند.
بنا به پیگیری سازمان فناوری اطلاعات، افشاشدن اطلاعات کاربران ایرانی تلگرام، تاکنون به دادستانی شکایت شده است؛ روندی که بهدرازا کشیده و هنوز جوابی برای آن نیامده است. درمورد رایتل نیز سازمان تنظیم مقررات و ارتباطات رادیوئی (رگولاتوری) تصمیماتی گرفته و بهزودی برخورد لازم با آنها خواهد شد.
موضوعی که در ماجرای تلگرام وجود داشت این بود که پوستههای تلگرام را سازمان افتا معرفی کرده بود؛ یعنی سازمانی که خود از ارکان برقراری امنیت در فضای مجازی است. ناظمی میگوید شکایتی در این زمینه نیز به دادستانی ارسال شده اما نتیجهی دادرسی آن هنوز مشخص نیست.
بهگفتهی ناظمی، هیچکدام از اپلیکیشنهایی که تابهحال اطلاعات کاربران آنها فاش شده، گواهیهای امنیتی را دریافت نکرده بودند. بههرصورت، از این پس اپلیکیشنها باید با جمعآوری هرچه بیشتر اطلاعات مردم، برای فعالیت خود گواهیهای امنیتی اخذ کنند. صادقی به زومیت میگوید که سازمان فناوری قصد دارد این قانون را تا آخر تابستان امسال نهایی کند.
رفتار سازمانها درقبال نشت اطلاعات کاربرانشان باید چگونه باشد؟
مسئلهای که جدا از عواقب نشت اطلاعات برای سازمانها و اینکه آیا پیگیری صورت خواهد گرفت یا خیر وجود دارد، این است که سازمان و شرکتها فاششدن اطلاعات کاربرانشان را قبول نکرده یا علت واقعی موضوع را بیان نمیکنند. سوالی که زومیت در این رابطه از رئیس سازمان فناوری اطلاعات دارد، این است که آیا پروتکلی برای رفتار سازمان و شرکتها در زمان لورفتن اطلاعات وجود ندارد؟
ناظمی میگوید نبود پروتکل در این مورد نیز از ضعفهای قانونی نشأت میگیرد اما اتفاقی که بهطور عملیاتی رخ میدهد این است که برخی شرکتها، بهخصوص شرکتهای بزرگ با سازمان فناوری در این زمینه همراهی میکنند؛ بدینمعنی که پس از باخبرشدن از موضوع، اولین تماس را با نهادهای مذکور میگیرند و برهمین اساس گروهی برای کمک به رفع مشکل ازسوی مرکز ماهر یا افتا به دفاتر شرکتها فرستاده میشود، اطلاعات موجود را بررسی میکنند و براساس همراهی آنها گزارشی از مشکل تهیه میشود. دیتاسنترها هم که میزبانی را انجام میدادند با سازمان فناوری به همین ترتیب همکاری میکنند.
بااینحال بهگفتهی ناظمی، تمام شرکتها این همراهی را ندارند. بههمین علت او از شرکتها درخواست دارد که در چنین مواقعی، با دریافت اولین ایمیل هشداردهنده با یکی از نهادهای مربوطه تماس بگیرند.
نکتهای که در گفتههای ناظمی بر آن تأکید میشود، بر همکاری با افرادی اشاره دارد که باگی را شناسایی میکنند. ناظمی به زومیت میگوید:
در مواردی، فردی باگی را شناسایی میکند و درخواست دریافت پاداش از شرکت مربوطه میکند که این موارد را نیز شرکتها به ما اطلاع میدهند. به همین منظور، ما راهکاری قانونی برای این موارد تحت عنوان انجمن کلاهسفیدها درنظر گرفتهایم و به این مسئله رسیدگی میکنیم. درواقع این مسئله به باگ بانتی تبدیل میشود و سپس فرد مدعی براساس ارزیابی یک گروه مشخص، مبلغی بهعنوان پاداش دریافت میکند. در مواردی نیز اخیرا شاهد رخدادن این اتفاق بودیم.من از این اشخاص خواهش دارم که ما را درکنار خود ببینند و تصور نکنند ورود نهادی مثل سازمان فناوری یا افتا و نهادهای مربوطه به ضرر آنها تمام میشود. در بسیاری از اوقات، این مسئله برای آنها راحتتر خواهد شد. شرکتها هم همین درخواست را از شما دارند.
بااینحال معاون وزیر ارتباطات میگوید که گاهی ایمیلهای هشداردهندهی وجود باک، فیک هستند و خود سارقاند. در این زمانها، افرادی با معرفی خود بهعنوان دیگر نهادها با شرکتها تماس میگیرند و اطلاعات بیشتری از آنها اخذ میکنند. «شرکتها باید بدانند که نهادهای متولی مشخص هستند و تنها باید با ما تماس بگیرند و با دیگر نهادها خودمان هماهنگ میکنیم تا اطلاعات بیشتری گرفته نشود و همین موضوع مخاطرهی جدیدی ایجاد نکند.»
درانتهای مقاله، جا دارد که باری دیگر به اهمیت توجه به حریم خصوصی و آموزش دراینباره، برای مردم، سازمانها و نهادها اشاره کنیم.
تکرار رفتارهای اشتباه تنها ازسوی سازمانها و کسب و کارها رخ نمیدهد؛ حتی عدهی زیادی از مردم نیز پس از لورفتن اطلاعاتشان به رفتارهای غلط خود ادامه میدهند. برای مثال پس از لورفتن اطلاعات از پوستههای تلگرام شاهد هستیم که استفاده از این اپلیکیشنهای غیراصل همچنان ادامه دارد. با رقم بالایی که میزان نشت اطلاعات از پوستههای تلگرام داشته، یعنی ۴۰ میلیون کاربر، دور از انتظار نیست که تصور کنیم نزدیک به نیمی از مردم کشورمان به مبحث امنیت دیجیتال و حریم خصوصی اعتقادی ندارند. جدای از استفاده از نسخههای ناامن تلگرام، مردم در کانالها برنامههای ناامن را نیز، برخی اوقات، بیش از ۱میلیون بار دانلود میکنند و لحظهای به عواقب استفاده از آن نمیاندیشند.
رفتار سازمانها نیز در این زمینه متفاوت از رفتار مردم نیست؛ ظاهرا شرکتها سرمایهگذاری خاصی در بحث امنیت و گزینش مسئولان بخش امنیت نمیکنند و همین موضوع باعث لورفتن روزانهی اطلاعات میلیونها شهروند میشود؛ اطلاعاتی که نمیدانیم از آنها در چه زمانی و چه سوءاستفادههایی خواهد شد.
با وجود آموزش و انجامدادن اقدامات اولیه، باز هم دور از انتظار نیست که تصور کنیم همچنان دادههایمان مخفیانه بهفروش میرسند؛ اما متوقعبودن برای رعایت حداقل توصیههای امنیتی و استفاده از سختافزار و نرمافزار بهروز و مناسب و کمی اهمیتدادن بیشتر سازمانها و شرکتها به بحث امنیت دادههای کاربرانشان، دستکم میتواند قدمی باشد برای حرکت بهسوی عملیشدن و اجباریشدن اقداماتی بزرگتر و عمیقتر و ایجاد رفتارهای راسختر برای مبارزه با نشت اطلاعات.