نشت اطلاعات کاربران در ایران چه عوامل و خطراتی دارد؟

در سه ماه گذشته شاهد لو رفتن اطلاعات مردم و شرکت‌های مختلف ایرانی بودیم. لورفتن اطلاعات ۸۰ میلیون شهروند ایرانی از سرورهای سازمان ثبت احوال، ۴۲ کاربر ایرانی توسط نسخه‌های غیررسمی اپلیکیشن تلگرام، ۵ میلیون کاربر سیب اپ، حمله به سرورهای سایت بزرگ فروش بلیط علی‌بابا و به‌تازگی لورفتن اطلاعات ۵/۵ میلیون کاربر اپراتور رایتل، ازجمله بزرگ‌ترین رخدادهای امنیتی ماه‌های اخیر بودند.

هرچند در روزهای شیوع ویروس کرونا، اخبار هک‌شدن اپلیکیشن‌ها و سامانه‌های زیادی را در سطح جهان می‌شنویم و به‌طور کلی، هک‌شدن سایت‌ها و لورفتن اطلاعات کاربران موضوع جدید یا غیرقابل انتظاری نیست. مسئله‌ای که عجیب می‌کند، داشتن رویکرد و نگاهی ساده به لورفتن اطلاعات در ایران است.

در آخرین ماه سال میلادی پیش، اطلاعات ۲۶۷ میلیون کاربر فیسبوک لو رفت. رویکرد شرکت به این موضوع، اطلاع‌رسانی سریع به مردم و کسب و کارها و در قدم بعدی، رفع مشکل بدون هرگونه فوت وقت بود. این اتفاق چیزی نیست که به‌طور معمول در ایران شاهد آن باشیم؛ درواقع روال این‌گونه است که ابتدا چند کاربر در فضای مجازی پی به موضوع می‌برند، رسانه‌ها به‌دنبال صحت و سقم ماجرا به‌سراغ شرکت یا سازمان مربوطه می‌روند؛ این مراکز از وقوع اتفاق اظهار بی‌خبری می‌کنند و پس از ساعت‌ها تکذیب و تهدید، زمان پذیرش نسبی نفوذ می‌رسد. این درحالی است که پذیرش مراکز یادشده نیز الزاما به‌معنای حفظ امنیت سامانه‌ها نیست؛ چه بسا اینکه اکثر مسئولان در چنین موقعیت‌هایی به ذکر این موضوع بسنده می‌کنند که «دسترسی به سایت به‌طور پیوسته برقرار است» و این موضوع را دال بر هک‌نشدن سامانه عنوان می‌کنند.

بگذریم از دفعاتی که هکر یا هر فردی که پی به وجود باگ یا حفره‌ی امنیتی می‌برد، ادعا می‌کند پیش از اقدام برای فروش اطلاعات، سازمان یا شرکت مربوطه را درجریان امر قرار داده و از آن‌ها تقاضای پول کرده و با بی‌توجهی مسئولان آن مرکز یا برخوردی از روی خشم ازسوی آنان، اطلاعات را در دارک وب به معرض فروش گذاشته یا نسبت به وجود آن در فضای مجازی اطلاع‌رسانی کرده است. مفهومی که احتمالا جمع زیادی از خوانندگان زومیت از آن مطلع‌اند، باگ بانتی است. باگ بانتی به برنامه‌هایی اشاره دارد که درازای دریافت پاداش، گزارش‌هایی درمورد وجود باگ یا آسیب‌پذیری امنیتی به یک وب‌سایت یا توسعه‌دهندگان آن می‌دهد؛ فردی که در پشت این برنامه‌ها وجود دارد، ممکن است به‌صورت شناس یا ناشناس اقدام به یافتن حفره‌های امنیتی کند. وجود چنین اشخاصی در سطح دنیا امری رایج محسوب شده و شرکت‌ها از وجود آن‌ها برای ارتقای سیستم امنیتی خود سود می‌برند.

مورد دیگری که در پاسخ مسئولان مربوطه پس از پذیرش نفوذ به‌شدت به چشم می‌آید، تهدید افراد در فضای مجازی و رسانه‌ها درارتباط‌با پرداختن به مسائلی است که از آن‌ها به‌عنوان «شایعه» یاد می‌کنند درحالی‌که تمامی اخبار پیرامون ردیابی یک نفوذ به سیستم و سرورهای خود از ابتدا را نیز شایعه قلمداد می‌کنند. اگر دو موضوعِ «اهمیت لورفتن اطلاعات» و «نپرداختن به احتمال اتفاقی که رخ داده است» را در دو کفه‌ی ترازو بگذاریم، باید پرسید که اهمیت کدام‌یک سنگینی می‌کند؟

پس از تجربه‌های اخیر از هک‌شدن سامانه‌ها و وب‌سایت‌ها در ایران، گذشته از رویکرد سازمان‌ها و شرکت‌ها درقبال حفظ حریم خصوصی افراد، شاهد عادی‌نگری به این مسئله ازسوی اکثر مردم هستیم؛ مسئله‌ای که قطعا خطراتی را برای آینده به‌دنبال خواهد داشت.

برای خواندن بخش‌های مختلف مقاله روی تیتر آن کلیک کنید:

اهمیت اطلاعاتی که لو می‌رود

مسئول نشت اطلاعات کاربران در ایران چه عواملی است؟

آیا نشت اطلاعات کاربران در فضای مجازی در ایران عواقب دارد؟

رفتار سازمان‌ها درقبال نشت اطلاعات کاربران‌شان باید چگونه باشد؟

همیشه اطلاعات فاش شده‌اند و لو می‌روند؛ نه‌تنها در ایران، در تمام جهان. اگر اطلاعاتی فاش شده، پس از آن چه شده است؟ چه اتفاق بزرگی بعد از لورفتن اطلاعات هویتی شهروندان یک کشور تغییر یافته است؟ چه خطری از آن زمان تاکنون مردم را تهدید کرده است؟ عجیب نیست اگر این سوالات به ذهن اکثر مردم بیاید؛ به‌خصوص وقتی که لورفتن اطلاعات به روالی عادی تبدیل شده و کسی متعجب نمی‌شود اگر چند هفته یک‌بار خبر نشت اطلاعات سازمان جدیدی را بشنود. مردم مشاهده می‌کنند که روزها، هفته‌ها و ماه‌ها از لورفتن اطلاعات‌شان می‌گذرد اما زندگی به روال سابق ادامه دارد؛ پس هرازگاهی با شنیدن خبر جدیدی از لورفتن اطلاعات، تنها سری تکان می‌دهند و اندک گلایه‌ای بر این مبنی می‌کنند که حفظ اطلاعات آن‌ها برای هیچ سازمانی اهمیت ندارد و سپس به‌سراغ خواندن باقی اخبار می‌روند. موضوعی که افراد درنظر نمی‌گیرند این است که غفلت آن‌ها تنها زمینه‌ی سوءاستفاده‌هایی را بیشتر می‌کند که همین حالا و در پشت پرده‌ی چشم‌شان درجریان است و اگر کوچک‌ترین اطلاعات هک‌شده برای افرادی خاص اهمیت نداشت، خود را به زحمت برای دستیابی به آن‌ها نمی‌انداختند.

• کلاهبرداری
• ثبت‌نام در سایت‌ها (مانند دیوار)
• ثبت سایت و اقدام به دزدی اینترنتی
• انجام اعمال خرابکاری با واردشدن به حساب کاربری افراد
• احراز هویت در سایت‌ها و خرید با اطلاعات هویتی فرد
• تماس تلفنی با فرد و ادعای برنده‌شدن در مسابقه‌ای یا گرفتن اطلاعات بانکی وی و غیره

تبلیغات هدف‌دار از دیگر عواقبی است که به‌طور گسترده‌ای همواره انجام شده است. قطعا زمان‌هایی بوده که شما از دیدن پیامک‌ها یا تماس‌های تبلیغاتی به ستوه آمده باشید و خود ندانید که برخی از این اشخاص، چگونه به اطلاعات شما دست پیداکرده‌اند. درحقیقت اطلاعات افراد در سطوح وسیع در جهان دراختیار سازمان‌ها و شرکت‌های متنوع قرار می‌گیرد.

اخاذی‌کردن با جلب اعتماد فرد ازطریق اعلام مشخصات وی و جازدن خود به‌عنوان نهادی معتبر از دیگر خطرات لورفتن اطلاعات است.

یکی از شرایط غم‌انگیز زمانی است که اطلاعات فیزیکی کارت‌های یک بانک دزدیده شد؛ کارت‌های به‌راحتی کپی می‌شدند و خالی‌شدن حساب شهروندان می‌توانست به‌سادگی رخ دهد. در این مورد اطلاع‌رسانی صورت نگرفت و تنها از مردم خواسته شد که همگی، رمز کارت خود را تغییر دهند.

بیایید یک سناریو را درنظر بگیریم؛ زمانی‌که اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام لو رفت، سایت Comparitech دراین‌باره مقاله‌ای نوشت و در آن ضمن گفت‌وگو با سخنگویی ازسمت تلگرام، گفته شد که اطلاعات لورفته شامل شناسه کاربری، نام کاربری، شماره تلفن، هش و کلیدهای امنیتی است. بدین‌ترتیب کسی که این اطلاعات را دراختیار داشته باشد، قادر به انجام حمله SIM Swap خواهد بود. در این حمله‌ی امنیتی، هکر با گول‌زدن اپراتور قادر خواهد بود تا رمز امنیتی حساب کاربری را ازطریق پیامک یا تماس تلفنی دریافت کند و وارد حساب کاربر شود. او سپس می‌تواند تنظیمات را به‌نوعی تغییر دهد که کاربر دیگر قادر به استفاده از حساب خود نباشد.

امنیت اپلیکیشن تلگرام به‌اندازه‌ای است که تابه‌حال هیچ هکری موفق به هک‌کردن آن نشده‌است اما به‌دلیل ذات متن باز آن، برخی افراد از روی اپلیکیشن نمونه‌هایی می‌سازند و در آن‌ها تغییراتی می‌دهند و برنامه‌ی جدید را منتشر می‌کنند؛ اتفاقی که با فیلترینگ تلگرام در ایران نیز رخ داد و چندین نمونه از تلگرام دراختیار شهروندانی قرار گرفت که قصد نداشتند از ابزاری برای دور زدن فیلترینگ استفاده کنند. به این نمونه‌ها پوسته گفته می‌شود و مشکل در رفتار این پوسته‌ها نمود پیدا می‌کند که مشخص نیست پیش از رسیدن داده‌ها به سرور اصلی تلگرام، آیا آن‌ها در جای دیگری هم ذخیره می‌شوند یا خیر. استفاده از این پوسته‌ها زمینه را برای هک‌کردن حساب‌های کاربری ایرانیان در تلگرام فراهم کرد؛ حتی اطلاعات کسانی که خود از نسخه‌های غیررسمی استفاده نمی‌کردند اما با افرادی که نسخه‌ی غیررسمی را استفاده می‌کردند در تماس بودند.

جدای از اخباری که ما درمورد افشای اطلاعات می‌شنویم، خرید و فروش یا اشتراک‌گذاری اطلاعات زیادی در دارک وب درجریان است و تنها خبر آن عمومی نمی‌شود. درواقع اطلاعات زیادی از مردم در فضای مجازی فاش شده و تنها عمومی نشده است. در همین رابطه، معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات ایران نیز به خبرنگار زومیت می‌گوید تمام اپلیکیشن‌های بزرگ در ایران تابه‌حال نشت اطلاعات در سطح گسترده را تجربه کرده‌اند؛ حتی این اتفاق به مراتب رخ داده و تنها خبر آن عمومی نشده است.

اکنون با دو وجه از ماجرای اهمیت نشت داده‌های شخصی طرف هستیم؛ برخورد مردم و برخورد سازمان‌ها. نخست بهتر است بپرسیم: آیا مردمی که اطلاعات‌شان فاش می‌شود، به اهمیت موضوع امنیت داده‌های شخصی واقف هستند؟

مسئولیت حفظ داده‌های شخصی تنها بر گردن یک گروه مشخص نیست؛ چند عامل مختلف دست در دست هم می‌گذارند تا شاهد لورفتن اطلاعات کاربران فضای مجازی باشیم. در مرحله‌ی اول کاربرانی قرار دارند که اطلاعات متنوع و گسترده‌ی خود را بدون اینکه دلیل آن را بدانند، دراختیار سامانه‌ها و برنامه‌ها و وب‌سایت‌ها می‌گذارند. مسائل امنیتی متنوعی در شناسایی وب‌سایت‌ها و اپلیکیشن‌های متقلب وجود دارد که عده‌ی زیادی از مردم آن‌ها را نمی‌شناسند یا نادیده می‌گیرند.

ساده‌ترین کار برای کسی که قصد سوءاستفاده از اطلاعات شما یا دستگاه‌تان را دارد، این است که تنها ظاهر یک محتوای جذاب و پرجستجو را بیاراید و دربرابر چشم افراد قرار دهد. این موضوع در پلتفرم‌های مختلف دیده می‌شود؛ برای مثال در کانال‌های تلگرامی، پیج‌های اینستاگرامی، صندوق‌های دریافت ایمیل یا بازار دانلود اپلیکیشن. موضوع به این سادگی نیست که با حذف برنامه یا بستن یک وب‌سایت خیال‌مان آسوده شود.

چرا نصب اپلیکیشن ساده‌ای مانند یک تقویم باید به دسترسی به دوربین، گالری یا تاریخچه‌ی تماس‌های شما نیاز داشته باشد؟

ازسویی، شیوه‌ی دریافت اطلاعات نیز اهمیت زیادی دارد. با بی‌توجهی در شیوه‌های اخذ اطلاعات در سامانه‌های مختلف، ممکن است این تصور به‌وجود بیاید که نیاز است برای اموری مانند احراز هویت، داده‌های زیادی را دراختیار سامانه‌ای، ولو معرفی‌شده ازسوی نهادهای معتبر قرار دهیم؛ به روش‌هایی که ممکن است باعث سوءاستفاده‌ی افراد از اطلاعات شخصی و سرقت هویت شود. برای مثال در پلتفرم اختصاصی آموزش و پرورش با نام شاد، تمامی اطلاعات دانش‌آموز در نزد مدرسه وجود داشت و این اپلیکیشن می‌توانست تنها با دریافت کد دانش‌آموزی، دانش‌آموز را در سیستم خود ثبت و به کلاس درس وارد کند. بااین‌حال اطلاعات هویتی دانش‌آموز دریافت شد، درواقع با استناد به آمار آموزش و پرورش، اطلاعات ۱۵ میلیون دانش‌آموز.

این موضوع می‌تواند ناشی از بی‌اطلاعی یا بی‌مبالاتی باشد. درنهایت ما باید بدانیم چه محتوایی را از کجا تهیه می‌کنیم و چه اطلاعاتی را دراختیار دیگران قرار می‌دهیم؛ اما همان‌طور که گفتیم، این تنها مسئولیت کاربر نیست.

در مرحله‌ی بعدی به متخصصان امنیتی در سازمان‌ها و وظیفه‌ی آن‌ها در تأمین امنیت می‌رسیم؛ اما اجازه دهید که ابتدا یک سؤال مطرح کنیم: آیا این اشخاص مسئول تأمین امنیت کاربران خود هستند؟ نکته‌ی عجیب در سؤال بالا این است که سازمان‌های زیادی در کشور ما اکنون بخشی مخصوص به امنیت در بطن خود ندارند، کارشناس امنیتی ندارند، قوانین تهدید‌کننده درخصوص نشت اطلاعات وسیع کاربران ندارند و رسیدگی به جرایم آن‌ها در این حوزه نیز به سازمان فناوری اطلاعات یا نهاد ناظر دیگری در فضای مجازی مربوط نیست.

درنتیجه چندان عجیب نیست که استانداردهای امنیتی و تأمین امنیت کاربران چندان جدی گرفته نشود. خود را درون سازمانی تصور کنید که شرح وظایفی مشخص دارد و بودجه‌ای براساس آن دریافت می‌کند؛ باید به مسائل مختلف رسیدگی شود و سپس به بحث امنیتی می‌رسیم؛ یعنی بخشی که قوانین سختگیرانه یا دست‌کم جریمه‌ای درصورت عدم رعایت سفت و سخت قوانین امنیتی برای آن وجود ندارد؛ چراکه ما به‌دفعات شاهد بودیم که نشت اطلاعات صورت گرفته اما عواقبی درانتظار این سازمان‌ها نبوده است؛ ولو اینکه برخی اوقات، سازمان و شرکت‌ها منتشرکنندگان خبر نشت اطلاعات یا فردی که برحسب اتفاق به باگ‌های موجود در سامانه‌ای پی برده را نیز تهدید و از وی شکایت می‌کنند.

به‌طور کلی، خطاهای انسانی مستقیم و غیرمستقیم از مهم‌ترین دلایل نشت اطلاعات در دنیا است. براساس اطلاعاتی که از سال ۲۰۰۴ در ویکیپدیا و در Ballon Race درمورد علل نشت اطلاعات ثبت شده، نزدیک به ۴۰ درصد موارد مربوط به خطای انسانی عمد یا غیرعمد است. میزان تأثیر دیگر علل نشت اطلاعات را درادامه مشاهده می‌کنید:

زومیت برای کسب اطلاعات بیشتر از علت لورفتن گسترده‌ی اطلاعات کاربران در فضای مجازی در ایران به‌سراغ یک برنامه‌نویس و متخصص امنیت رفت. کوروش قربانی پیش از این با سازمان و نهادهایی ازجمله پلیس فتا در مشهد، دانشگاه آزاد و دانشگاه خیام مشهد و با مجموعه‌هایی همچون کتابراه همکاری کرده است. درادامه با مصاحبه‌ی زومیت همراه باشید.

زومیت: آیا لورفتن اطلاعات کاربران فضای مجازی در ایران به دفعات بالا و در سطح وسیع رخ می‌دهد یا در تمام دنیا به همین منوال است؟

قربانی: «به‌طور کلی، هرچه صنعت IT نوپاتر باشد، طبیعتا افشای اطلاعات بیشتر رخ می‌دهد ولی موضوعی که فعلا در ایران شاهدش هستیم، ابتدا به پایین‌بودن سطح دانش متخصصان امنیت شرکت‌ها یا ارگان‌ها برمی‌گردد. درواقع و متأسفانه، ما اکنون در مجموعه‌های بزرگ، رسته‌ی شغلی SOC (مرکز عملیات امنیتی) نداریم؛ یعنی متخصص شبکه یا حتی برنامه‌نویس ساده کار امنیت را در مجموعه انجام می‌دهد که خروجی این کار مشخص است.»

قربانی اشاره می‌کند که به‌دلیل نبود سطح دسترسی‌های مشخص و طبقه‌بندی‌شده و عدم آموزش کارمندان شرکت‌ها و ارگان‌ها در ایران احتمال وقوع حوادث امنیتی بیشتر می‌شود.

زومیت: اما چگونه می‌شود که شرکت‌ها و سازمان‌ها به موضوع امنیت اهمیت ندهند، درحالی‌که همیشه ادعا دارند حفظ اطلاعات مردم برای آن‌ها جایگاه ویژه‌ای دارد؟ جدای از این، مگر قوانین مشخص و تهدیدکننده‌ای در این رابطه وجود ندارد که مسائل امنیتی تا این حد ازسوی آن‌ها مورد غفلت قرار می‌گیرد؟

قربانی: «متاسفانه برخلاف کشورهای دیگر، در ایران قانون مشخص و محکمی برای جریمه کردن شرکت‌ها و به‌خصوص ارگان‌ها وجود ندارد. به‌همین دلیل است که شرکت‌ها تنها "ادعا" می‌کنند که حافظ اطلاعات مردم هستند. این بیشتر شبیه شعار است؛ مثال ساده‌ای درمورد شعاربودن چنین ادعایی، اینکه همین الان کل اطلاعات مشترکین مبین نت قابل استخراج است (از شماره تلفن گرفته تا علایق کاربران و ...) و با اینکه خود من، چندین بار موضوع را به آن‌ها اطلاع داده‌ام، هیچ پیگیری انجام نشده است.»

این متخصص امنیت به زومیت می‌گوید که علت افشای گسترده‌ی اطلاعات شرکت‌های ایرانی در چند وقت اخیر، بیشتر، نبود متخصص در شرکت‌ها است؛ او افشای تصاویر زیادی از مدارک مردم در سایت‌های فروش ارز دیجیتال را مثال می‌زند که علت آن به میزان بالایی، تنظیمات نادرست سرورها است.

مورد دیگر، اهمیت‌ندادن نیروها به چارچوب‌های شرکت است که تصور می‌کنم بیشتر به‌خاطر نبود قانون برای مجازات رخ می‌دهد.از همه بدتر، کتمان خود شرکت‌ها است؛ در بیشتر مثال‌هایی که این اواخر شاهدشان بودیم، به‌جز یکی دو شرکت، همگی ادعاهایی عجیب پس از نشت اطلاعات‌شان کردند؛ برخی گفتند اطلاعات قدیمی است (رایتل)، یا مربوط به زیرسیستم بی‌ربط است یا شامل اطلاعات خصوصی نیست (سیبچه) و...

قربانی به خبرنگار زومیت می‌گوید که شرکت‌ها برای جلوگیری از نشت اطلاعات خود باید هزینه کنند؛ برای مثال نیروها را آموزش دهند تا از هک به‌وسیله‌ی حمله مهندسی اجتماعی جلوگیری شود یا نیروی متخصص امنیت را به‌صورت دوره‌ای یا دائم به کار بگیرند و استخدام کنند.

باگ بانتی که پیش‌تر به آن اشاره کردیم، در صحبت‌های قربانی نیز تکرار می‌شود. او مشکل عمده‌ای در هک‌شدن سازمان‌ها و شرکت‌ها در ایران را نبود سیستم باگ بانتی یا اهمیت‌ندادن به آن می‌داند.

قربانی: «بیشتر این هک‌شدن‌ها از قبل به شرکت‌ها گزارش داده می‌شود اما شرکت‌ها برای هزینه‌نکردن، عمدتا بی‌توجهی می‌کنند یا به‌جای رفع مشکل، به فکر شکایت از گزارش‌دهنده می‌افتند (او می‌گوید فیدیبو چنین شکایتی را طرح کرده است). این شرایط باعث شده که هکر یا متخصص امنیت وقت خود را در سایت‌های خارجی و پلتفرم‌های قابل اطمینان هزینه کند و گزارش‌های وجود باگ را در سایت‌های ایرانی با دردسرهای فراوان خودش کنار بگذارد.»

زومیت: اینکه شما گفتید شرکت‌ها در واکنش، برخی اوقات توجیهاتی می‌آورند؛ آیا اگر این توجیهات مانند قدیمی‌بودن رکوردها درست باشد، آیا نمی‌تواند خطرآفرین باشد؟ یا به‌کل توجیهات غلطی هستند؟

قربانی: «حرفی که می‌زنید، دقیقا درست است؛ توجیه‌کردن این داستان به‌کلی اشتباه است. پخش‌شدن اطلاعات کاربران، هر کجای دنیا اتفاق بیفتد، شرکت مربوطه مجبور به پرداخت خسارت به تمام کاربرهایش می‌شود (چه کاربر قدیمی و چه جدید) اما در ایران شرکت نه‌تنها خسارت نمی‌دهد، بلکه در بیشتر موارد عذرخواهی هم نمی‌کند و پخش اطلاعات را به هر شکلی توجیه و کتمان می‌کند؛ حالا چه با مرتبط کردن آن به قدیمی بودن و چه با مرتبط کردن با زیرسیستم‌های بی‌ربط و غیره.»

سوالی که درادامه‌ی مطلب، پاسخ آن را ازسوی معاون وزیر ارتباطات می‌دهیم، از قربانی نیز پرسیدیم: در ایران چه کسی مسئول لورفتن اطلاعات است؟ آیا خصوصی یا دولتی بودن سازمان‌ها می‌تواند در این زمینه مؤثر واقع شود؟

قربانی می‌گوید، در ایران، هکر یا مهاجم مسئول لو رفتن اطلاعات است و او است که بازخواست می‌شود اما در سطح دنیا، اول شرکت مسئولیت دارد و سپس تمام دنیا. قربانی، قوانین موجود در بازخواست کسی که مسئول حقیقی نشر اطلاعات است را مضحک می‌خواند و درمثالی می‌گوید:

به‌عنوان مثال، اگر من سایت داشته باشم و شما در سایت من محتویاتی آپلود کنید که مخالف قوانین کشور است، اول من مجرم هستم، دوم شما؛ و شما زمانی بازخواست می‌شوید که من از شما شکایت کنم. اما در زمان هک شدن و پخش اطلاعات تنها هکر مجرم حساب می‌شود و کسی شرکت مربوطه را جریمه یا بازخواست نمی‌کند که چرا اطلاعات مردم رمزگذاری یا حداقل محافظت نشده است.

این متخصص امنیت می‌گوید که ازلحاظ قانونی فرقی نمی‌کند که سازمانی دولتی یا خصوصی باشد تا رویکرد بهتری را در پیش بگیرد؛ او می‌گوید در موارد بسیار زیادی، ارگان‌های دولتی و نیمه‌دولتی حتی برخورد بدتری را در پیش می‌گیرند و مسئله را پیگیری نکرده و دررابطه‌با آن اطلاعیه‌ای هم منتشر نمی‌کنند.

درواقع با تجربیات شغلی که این متخصص امنیت داشته، امنیت داده را برای این سازمان‌ها موضوعی بسیار غریب عنوان می‌کند. او می‌گوید که کارکنان سازمان‌ها با تصور اینکه سال‌های زیادی از استخدام آن‌ها می‌گذرد و حقوق‌شان به‌جا و ثابت است و الزامی برای یادگیری مورد جدیدی برای آن‌ها وجود ندارد، پس پاسخگوبودن درقبال امنیت داده‌های مردم را نیز از وظایف شغلی خود محسوب نمی‌کنند.

قربانی در مسئله‌ی عدم درک کارکنان سازمان‌ها در اهمیت حفاظت از داده‌ها، مثال می‌زند که یک مرتبه، رمز عبور و نام کاربری یک زیرسیستم مالی در دانشگاه آزاد را چسبیده به دیوار دیده است.

ما در زومیت، پس از شنیدن حرف‌های این برنامه‌نویس و متخصص امنیت به‌سراغ معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات ایران رفتیم و علت نشت گسترده‌ی اطلاعات در کشور را از وی جویا شدیم.

ابوالقاسم صادقی به زومیت می‌گوید که اکثر شرکت‌های ما کارشناس امنیتی یا به‌طورکلی، بخش امنیت در زیربخش‌های خود ندارند. او علت نشت اطلاعات در سازمان‌ها را ناآگاهی، ضعف بنیه مالی و نیروی انسانی می‌داند. بااین‌حال به‌نظر او موضوع درمورد اپلیکیشن‌های بومی متفاوت است و دلیل نشت اطلاعات آن‌ها، بی‌توجهی به مسائل امنیتی و بی‌مبالاتی است.

صادقی می‌گوید اپلیکیشن‌های بومی براساس میزان رکوردی که از کاربران جمع‌آوری کرده‌اند و براساس توان مالی خود تفکیک می‌شوند. به‌گفته‌ی او، دستورالعملی به همین منظور توسط سازمان فناوری اطلاعات تهیه شده و شرکت‌ها در آن رده‌بندی شده‌اند؛ اپی که چندصد رکورد و توان مالی بالا دارد با اپی دارای توان متوسط یا تازه‌پاگرفته شرایط متفاوتی دارد.

صادقی مثال می‌زند، اپلیکیشنی که شرکت آن روزی چندده میلیارد گردش مالی دارد، بدون احتساب ارزشی که کاربران به اپلیکیشن اضافه می‌کنند، نه‌تنها بخش امنیتی ندارد بلکه حتی یک کارشناس امنیت نیز ندارد؛ درنتیجه مشخص است که بهایی به موضوع امنیت اپلیکیشن خود نمی‌دهد.

صادقی به زومیت می‌گوید، موضوع دوم این است که ما عبرت نمی‌گیریم و مشکل را رفع نمی‌کنیم. او اشاره می‌کند که برای مثال، برای یاهو یا یک بانک در سطح جهانی نیز فاش‌شدن چندصدمیلیون حساب کاربری رخ داده است اما آن‌ها پس از رخ‌دادن حادثه، بخش ویژه‌ای، تنها برای رسیدگی به همین موضوع راه‌اندازی کردند تا رخ‌دادن چنین اتفاقی دیگر ممکن نباشد؛ درحالی‌که کسب‌و‌کار ما به هیچ عنوان چنین کاری نمی‌کند.

صادقی می‌گوید کسب‌و‌کار ما پس از نشت اطلاعات، اول سعی می‌کند موضوع را پنهان کند، پس از برملاشدن آن سعی می‌کند توجیهی برای لاپوشانی امر پیدا کند و درآخر کمی خسارت بدهد؛ اما درنهایت فردای پس از تمام‌شدن ماجرا، دقیقا به روال سابق کار خود و دیدگاه قبلی خود در امنیت اطلاعات ادامه می‌دهد.

وقتی مشاهده می‌کنیم تأمین امنیت کاربران آخرین اولویت در توسعه‌ی کسب‌وکارها است، درحالی‌که شرکت‌ها به‌راحتی می‌توانند لایسنس هر برنامه‌ی امنیتی را که نیاز داشته باشند برای بخش دیتابیس خود تهیه کنند اما این موضوع را جدی نمی‌گیرند، طبیعی است که تصور کنیم متولی خاصی در کشور برای پیگیری خسارت‌های واردشده به کاربران و حریم خصوصی آنان وجود ندارد.

صادقی می‌گوید وقتی نشت اطلاعات ازمیزانی بالاتر رود، مسئله ملی می‌شود و این تنها مربوط به کسب‌و‌کار نیست. اما تابه‌حال به‌کارگیری استانداردهای امنیتی برای سازمان‌ها اجباری نبوده؛ تنها یک سازوکار قانونی در سطح کلان دولت تصویب و ابلاغ شده بوده و سازمان‌ها موظف بوده‌اند آن را رعایت کنند؛ البته ساز و کاری که الزام ندارد و سازمان فناوری اطلاعات ابزار قانونی برای مؤاخذه درصورت عدم رعایت آن را ندارد.

این سؤالی است که امیر ناظمی، معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات در مراسم صدور گواهی مشترک در حوزه‌ی ارزیابی امنیتی‌پدافندی محصولات فتا به آن پاسخ داد.

به‌گفته‌ی ناظمی، نشت اطلاعات کاربران طبق قانون برای شرکت‌ها دارای عواقب است اما این موضوع دارای ضعف‌هایی است که دولت تلاش می‌کند با به‌تصویب‌رساندن قانون «صیانت داده‌ها» آن ضعف‌ها را رفع کند. قانونی که ناظمی از آن سخن می‌گوید، دو سال است که ازسوی وزارت ارتباطات رونمایی شده اما در بروکراسی‌های دولتی گیر کرده و اخیرا از کمیسیون آزاد شده تا در هیأت دولت مطرح شود.

طبق توضیح ناظمی، ازآنجاکه این لایحه قضایی و ذیل تعریف «جرم» است، دولت نمی‌تواند مستقیما آن را ارائه کند. لایحه باید ابتدا ازسوی مجلس یا قوه قضاییه مطرح شود. کاری که وزارت ارتباطات کرد این بود که جلساتی با قوه قضاییه و مجلس تشکیل داد، تغییراتی در لایحه اعمال شد که همین موضوع تأخیر به‌وجود آورد و درنهایت به هیأت دولت رسید تا برای تبدیل‌شدن به قانون به مجلس ارسال شود. ناظمی می‌گوید این لایحه، مشابه GDPR است که در اتحادیه اروپا به تصویب رسیده و می‌تواند رسیدگی به جرایم سایبری را سرعت بخشد.

اما معاون وزیر ارتباطات می‌گوید که همین اکنون نیز نشت اطلاعات برای سازمان‌ها و شرکت‌ها عواقب داشته و قوانینی برای آن وجود دارد. بااین‌حال به‌وضوح مشخص است که این قوانین کافی و وافی نبوده‌اند. متن کامل قانون جرایم رایانه‌ای را می‌توانید از همین لینک مشاهده کنید.

ناظمی می‌گوید سازمان فناوری اطلاعات، نهادی دولتی است و نمی‌تواند کسب و کارها را بازخواست کند؛ این موضوع بر دوش قوه قضاییه است. ازطرفی، شرکت‌ها تاکنون الزامی برای دریافت گواهی‌نامه‌های امنیتی نداشته‌اند. حال سازمان فناوری اطلاعات از شورای عالی فضای مجازی خواسته است تا با صدور مصوبه‌ای، اخذ مجوز امنیتی برای اپلیکیشن‌ها را الزامی کند و هماهنگی با پلیس فتا برای برخورد در این زمینه صورت بگیرد.

هرچند، نظام مقابله با حوادث فضای مجازی در شورای عالی فضای مجازی نیز دارای مشکلاتی در آیین‌نامه‌ی خود است و ناظمی، علت آن را قدیمی‌بودن قوانین می‌داند. او می‌گوید زمان زیادی از تصویب این قانون می‌گذرد و اکنون نیازمند بازبینی است؛ چراکه دغدغه، پیش‌تر حفاظت از داده‌های کلان نبوده و با گسترش ضریب نفوذ اینترنت اکنون باید قوانین هم پابه‌پای زمان تغییر کند به‌طوری‌که پاسخگوی چالش‌ها باشند.

بنا به پیگیری سازمان فناوری اطلاعات، افشاشدن اطلاعات کاربران ایرانی تلگرام، تاکنون به دادستانی شکایت شده‌ است؛ روندی که به‌درازا کشیده و هنوز جوابی برای آن نیامده است. درمورد رایتل نیز سازمان تنظیم مقررات و ارتباطات رادیوئی (رگولاتوری) تصمیماتی گرفته و به‌زودی برخورد لازم با آن‌ها خواهد شد.

موضوعی که در ماجرای تلگرام وجود داشت این بود که پوسته‌های تلگرام را سازمان افتا معرفی کرده بود؛ یعنی سازمانی که خود از ارکان برقراری امنیت در فضای مجازی است. ناظمی می‌گوید شکایتی در این زمینه نیز به دادستانی ارسال شده اما نتیجه‌ی دادرسی آن هنوز مشخص نیست.

به‌گفته‌ی ناظمی، هیچ‌کدام از اپلیکیشن‌هایی که تابه‌حال اطلاعات کاربران آن‌ها فاش شده، گواهی‌های امنیتی را دریافت نکرده بودند. به‌هرصورت، از این پس اپلیکیشن‌ها باید با جمع‌آوری هرچه بیشتر اطلاعات مردم، برای فعالیت خود گواهی‌های امنیتی اخذ کنند. صادقی به زومیت می‌گوید که سازمان فناوری قصد دارد این قانون را تا آخر تابستان امسال نهایی کند.

مسئله‌ای که جدا از عواقب نشت اطلاعات برای سازمان‌ها و اینکه آیا پیگیری صورت خواهد گرفت یا خیر وجود دارد، این است که سازمان و شرکت‌ها فاش‌شدن اطلاعات کاربران‌شان را قبول نکرده یا علت واقعی موضوع را بیان نمی‌کنند. سوالی که زومیت در این رابطه از رئیس سازمان فناوری اطلاعات دارد، این است که آیا پروتکلی برای رفتار سازمان و شرکت‌ها در زمان لورفتن اطلاعات وجود ندارد؟

ناظمی می‌گوید نبود پروتکل در این مورد نیز از ضعف‌های قانونی نشأت می‌گیرد اما اتفاقی که به‌طور عملیاتی رخ می‌دهد این است که برخی شرکت‌ها، به‌خصوص شرکت‌های بزرگ با سازمان فناوری در این زمینه همراهی می‌کنند؛ بدین‌معنی که پس از باخبرشدن از موضوع، اولین تماس را با نهادهای مذکور می‌گیرند و برهمین اساس گروهی برای کمک به رفع مشکل ازسوی مرکز ماهر یا افتا به دفاتر شرکت‌ها فرستاده می‌شود، اطلاعات موجود را بررسی می‌کنند و براساس همراهی آن‌ها گزارشی از مشکل تهیه می‌شود. دیتاسنترها هم که میزبانی را انجام می‌دادند با سازمان فناوری به همین ترتیب همکاری ‌می‌کنند.

بااین‌حال به‌گفته‌ی ناظمی،‌ تمام شرکت‌ها این همراهی را ندارند. به‌همین علت او از شرکت‌ها درخواست دارد که در چنین مواقعی، با دریافت اولین ایمیل هشداردهنده با یکی از نهادهای مربوطه تماس بگیرند.

نکته‌ای که در گفته‌های ناظمی بر آن تأکید می‌شود، بر همکاری با افرادی اشاره دارد که باگی را شناسایی می‌کنند. ناظمی به زومیت می‌گوید:

در مواردی، فردی باگی را شناسایی می‌کند و درخواست دریافت پاداش از شرکت مربوطه می‌کند که این موارد را نیز شرکت‌ها به ما اطلاع می‌دهند. به همین منظور، ما راهکاری قانونی برای این موارد تحت عنوان انجمن کلاه‌سفیدها درنظر گرفته‌ایم و به این مسئله رسیدگی می‌کنیم. درواقع این مسئله به باگ بانتی تبدیل می‌شود و سپس فرد مدعی براساس ارزیابی یک گروه مشخص، مبلغی به‌عنوان پاداش دریافت می‌کند. در مواردی نیز اخیرا شاهد رخ‌دادن این اتفاق بودیم.من از این اشخاص خواهش دارم که ما را درکنار خود ببینند و تصور نکنند ورود نهادی مثل سازمان فناوری یا افتا و نهادهای مربوطه به ضرر آن‌ها تمام می‌شود. در بسیاری از اوقات، این مسئله برای آن‌ها راحت‌تر خواهد شد. شرکت‌ها هم همین درخواست را از شما دارند.

بااین‌حال معاون وزیر ارتباطات می‌گوید که گاهی ایمیل‌های هشداردهنده‌ی وجود باک، فیک هستند و خود سارق‌اند. در این زمان‌ها، افرادی با معرفی خود به‌عنوان دیگر نهادها با شرکت‌ها تماس می‌گیرند و اطلاعات بیشتری از آن‌ها اخذ می‌کنند. «شرکت‌ها باید بدانند که نهادهای متولی مشخص هستند و تنها باید با ما تماس بگیرند و با دیگر نهادها خودمان هماهنگ می‌کنیم تا اطلاعات بیشتری گرفته نشود و همین موضوع مخاطره‌ی جدیدی ایجاد نکند.»

درانتهای مقاله، جا دارد که باری دیگر به اهمیت توجه به حریم خصوصی و آموزش دراین‌باره، برای مردم، سازمان‌ها و نهادها اشاره کنیم.

تکرار رفتارهای اشتباه تنها ازسوی سازمان‌ها و کسب و کارها رخ نمی‌دهد؛ حتی عده‌ی زیادی از مردم نیز پس از لورفتن اطلاعات‌شان به رفتارهای غلط خود ادامه می‌دهند. برای مثال پس از لورفتن اطلاعات از پوسته‌های تلگرام شاهد هستیم که استفاده از این اپلیکیشن‌های غیراصل همچنان ادامه دارد. با رقم بالایی که میزان نشت اطلاعات از پوسته‌های تلگرام داشته، یعنی ۴۰ میلیون کاربر، دور از انتظار نیست که تصور کنیم نزدیک به نیمی از مردم کشورمان به مبحث امنیت دیجیتال و حریم خصوصی اعتقادی ندارند. جدای از استفاده از نسخه‌های ناامن تلگرام، مردم در کانال‌ها برنامه‌های ناامن را نیز، برخی اوقات، بیش از ۱میلیون بار دانلود می‌کنند و لحظه‌ای به عواقب استفاده از آن نمی‌اندیشند.

رفتار سازمان‌ها نیز در این زمینه متفاوت از رفتار مردم نیست؛ ظاهرا شرکت‌ها سرمایه‌گذاری خاصی در بحث امنیت و گزینش مسئولان بخش امنیت نمی‌کنند و همین موضوع باعث لورفتن روزانه‌ی اطلاعات میلیون‌ها شهروند می‌شود؛ اطلاعاتی که نمی‌دانیم از آن‌ها در چه زمانی و چه سوءاستفاده‌هایی خواهد شد.

با وجود آموزش و انجام‌دادن اقدامات اولیه، باز هم دور از انتظار نیست که تصور کنیم همچنان داده‌های‌مان مخفیانه به‌فروش می‌رسند؛ اما متوقع‌بودن برای رعایت حداقل توصیه‌های امنیتی و استفاده از سخت‌افزار و نرم‌افزار به‌روز و مناسب و کمی اهمیت‌دادن بیشتر سازمان‌ها و شرکت‌ها به بحث امنیت داده‌های کاربران‌شان، دست‌کم می‌تواند قدمی باشد برای حرکت به‌سوی عملی‌شدن و اجباری‌شدن اقداماتی بزرگتر و عمیق‌تر و ایجاد رفتارهای راسخ‌تر برای مبارزه با نشت اطلاعات.