نشت اطلاعات متخصصان در ايران چه عوامل و خطراتي دارد؟
در سه ماه گذشته شاهد لو رفتن اطلاعات مردم و شركتهاي مختلف ايراني بوديم. لورفتن اطلاعات ۸۰ ميليون شهروند ايراني از سرورهاي سازمان ثبت احوال، ۴۲ متخصص ايراني توسط نسخههاي غيررسمي اپليكيشن تلگرام، ۵ ميليون متخصص سيب اپ، حمله به سرورهاي سايت بزرگ فروش بليط عليبابا و بهتازگي لورفتن اطلاعات ۵/۵ ميليون متخصص اپراتور رايتل، ازجمله بزرگترين رخدادهاي امنيتي ماههاي اخير بودند.
هرچند در روزهاي شيوع ويروس كرونا، اخبار هكشدن اپليكيشنها و سامانههاي زيادي را در سطح جهان ميشنويم و بهطور كلي، هكشدن سايتها و لورفتن اطلاعات متخصصان موضوع جديد يا غيرقابل انتظاري نيست. مسئلهاي كه عجيب ميكند، داشتن رويكرد و نگاهي ساده به لورفتن اطلاعات در ايران است.
در آخرين ماه سال ميلادي پيش، اطلاعات ۲۶۷ ميليون متخصص فيسبوك لو رفت. رويكرد شركت به اين موضوع، اطلاعرساني سريع به مردم و كسب و كارها و در قدم بعدي، رفع اشكال بدون هرگونه فوت وقت بود. اين اتفاق چيزي نيست كه بهطور معمول در ايران شاهد آن باشيم؛ درواقع روال اينگونه است كه ابتدا چند متخصص در فضاي مجازي پي به موضوع ميبرند، رسانهها بهدنبال صحت و سقم ماجرا بهسراغ شركت يا سازمان مربوطه ميروند؛ اين مراكز از وقوع اتفاق اظهار بيخبري ميكنند و پس از ساعتها تكذيب و تهديد، زمان پذيرش نسبي نفوذ ميرسد. اين درحالي است كه پذيرش مراكز يادشده نيز الزاما بهمعناي حفظ امنيت سامانهها نيست؛ چه بسا اينكه اكثر مسئولان در چنين موقعيتهايي به ذكر اين موضوع بسنده ميكنند كه «دسترسي به سايت بهطور پيوسته برقرار است» و اين موضوع را دال بر هكنشدن سامانه عنوان ميكنند.
بگذريم از دفعاتي كه هكر يا هر فردي كه پي به وجود باگ يا حفرهي امنيتي ميبرد، ادعا ميكند پيش از اقدام براي فروش اطلاعات، سازمان يا شركت مربوطه را درجريان امر قرار داده و از آنها تقاضاي پول كرده و با بيتوجهي مسئولان آن مركز يا برخوردي از روي خشم ازسوي آنان، اطلاعات را در دارك وب به معرض فروش گذاشته يا نسبت به وجود آن در فضاي مجازي اطلاعرساني كرده است. مفهومي كه احتمالا جمع زيادي از خوانندگان اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران از آن مطلعاند، باگ بانتي است. باگ بانتي به برنامههايي اشاره دارد كه درازاي دريافت پاداش، گزارشهايي درمورد وجود باگ يا آسيبپذيري امنيتي به يك وبسايت يا توسعهدهندگان آن ميدهد؛ فردي كه در پشت اين برنامهها وجود دارد، ممكن است بهصورت شناس يا ناشناس اقدام به يافتن حفرههاي امنيتي كند. وجود چنين اشخاصي در سطح دنيا امري رايج محسوب شده و شركتها از وجود آنها براي ارتقاي سيستم امنيتي خود سود ميبرند.
مورد ديگري كه در پاسخ مسئولان مربوطه پس از پذيرش نفوذ بهشدت به چشم ميآيد، تهديد افراد در فضاي مجازي و رسانهها درارتباطبا پرداختن به مسائلي است كه از آنها بهعنوان «شايعه» ياد ميكنند درحاليكه تمامي اخبار پيرامون رديابي يك نفوذ به سيستم و سرورهاي خود از ابتدا را نيز شايعه قلمداد ميكنند. اگر دو موضوعِ «اهميت لورفتن اطلاعات» و «نپرداختن به احتمال اتفاقي كه رخ داده است» را در دو كفهي ترازو بگذاريم، بايد پرسيد كه اهميت كداميك سنگيني ميكند؟
پس از تجربههاي اخير از هكشدن سامانهها و وبسايتها در ايران، گذشته از رويكرد سازمانها و شركتها درقبال حفظ حريم خصوصي افراد، شاهد عادينگري به اين مسئله ازسوي اكثر مردم هستيم؛ مسئلهاي كه قطعا خطراتي را براي آينده بهدنبال خواهد داشت.
براي خواندن بخشهاي مختلف مقاله روي تيتر آن كليك كنيد:
مسئول نشت اطلاعات متخصصان در ايران چه عواملي است؟
آيا نشت اطلاعات متخصصان در فضاي مجازي در ايران عواقب دارد؟
رفتار سازمانها درقبال نشت اطلاعات متخصصانشان بايد چگونه باشد؟
اهميت اطلاعاتي كه لو ميرود
هميشه اطلاعات فاش شدهاند و لو ميروند؛ نهتنها در ايران، در تمام جهان. اگر اطلاعاتي فاش شده، پس از آن چه شده است؟ چه اتفاق بزرگي بعد از لورفتن اطلاعات هويتي شهروندان يك كشور تغيير يافته است؟ چه خطري از آن زمان تاكنون مردم را تهديد كرده است؟ عجيب نيست اگر اين سوالات به ذهن اكثر مردم بيايد؛ بهخصوص وقتي كه لورفتن اطلاعات به روالي عادي تبديل شده و كسي متعجب نميشود اگر چند هفته يكبار خبر نشت اطلاعات سازمان جديدي را بشنود. مردم مشاهده ميكنند كه روزها، هفتهها و ماهها از لورفتن اطلاعاتشان ميگذرد اما زندگي به روال سابق ادامه دارد؛ پس هرازگاهي با شنيدن اخبار ويژهي از لورفتن اطلاعات، تنها سري تكان ميدهند و اندك گلايهاي بر اين مبني ميكنند كه حفظ اطلاعات آنها براي هيچ سازماني اهميت ندارد و سپس بهسراغ خواندن باقي اخبار ميروند. موضوعي كه افراد درانديشه متخصصين نميگيرند اين است كه غفلت آنها تنها زمينهي سوءاستفادههايي را بيشتر ميكند كه همين حالا و در پشت پردهي چشمشان درجريان است و اگر كوچكترين اطلاعات هكشده براي افرادي خاص اهميت نداشت، خود را به زحمت براي دستيابي به آنها نميانداختند.
حقيقتا چه خطراتي متوجه افراد بعد از لورفتن اطلاعاتشان است؟ سرقت هويت يكي از خطرناكترين اتفاقاتي است كه با لورفتن اطلاعات اشخاص ممكن است رخ دهد. با سرقت هويت فرد ميتوان اقدامات زيادي انجام داد؛ براي مثال:
- كلاهبرداري
- ثبتنام در سايتها (مانند ديوار)
- ثبت سايت و اقدام به دزدي اينترنتي
- انجام اعمال خرابكاري با واردشدن به حساب متخصصي افراد
- احراز هويت در سايتها و خريد با اطلاعات هويتي فرد
- تماس تلفني با فرد و ادعاي برندهشدن در مسابقهاي يا گرفتن اطلاعات بانكي وي و غيره
تبليغات هدفدار از ديگر عواقبي است كه بهطور گستردهاي همواره انجام شده است. قطعا زمانهايي بوده كه شما از ديدن پيامكها يا تماسهاي تبليغاتي به ستوه آمده باشيد و خود ندانيد كه برخي از اين اشخاص، چگونه به اطلاعات شما دست پيداكردهاند. درحقيقت اطلاعات افراد در سطوح وسيع در جهان دراختيار سازمانها و شركتهاي متنوع قرار ميگيرد.
اخاذيكردن با جلب اعتماد فرد ازطريق اعلام مشخصات وي و جازدن خود بهعنوان نهادي معتبر از ديگر خطرات لورفتن اطلاعات است.
يكي از شرايط غمانگيز زماني است كه اطلاعات فيزيكي كارتهاي يك بانك دزديده شد؛ كارتهاي بهراحتي كپي ميشدند و خاليشدن حساب شهروندان ميتوانست بهسادگي رخ دهد. در اين مورد اطلاعرساني صورت نگرفت و تنها از مردم خواسته شد كه همگي، رمز كارت خود را تغيير دهند.
بياييد يك سناريو را درانديشه متخصصين بگيريم؛ زمانيكه اطلاعات ۴۲ ميليون متخصص ايراني تلگرام لو رفت، سايت Comparitech دراينباره مقالهاي نوشت و در آن ضمن گفتوگو با سخنگويي ازسمت تلگرام، گفته شد كه اطلاعات لورفته شامل شناسه متخصصي، نام متخصصي، شماره تلفن، هش و كليدهاي امنيتي است. بدينترتيب كسي كه اين اطلاعات را دراختيار داشته باشد، قادر به انجام حمله SIM Swap خواهد بود. در اين حملهي امنيتي، هكر با گولزدن اپراتور قادر خواهد بود تا رمز امنيتي حساب متخصصي را ازطريق پيامك يا تماس تلفني دريافت كند و وارد حساب متخصص شود. او سپس ميتواند تنظيمات را بهنوعي تغيير دهد كه متخصص ديگر قادر به استفاده از حساب خود نباشد.
امنيت اپليكيشن تلگرام بهاندازهاي است كه تابهحال هيچ هكري موفق به هككردن آن نشدهاست اما بهدليل ذات متن باز آن، برخي افراد از روي اپليكيشن نمونههايي ميسازند و در آنها تغييراتي ميدهند و برنامهي جديد را منتشر ميكنند؛ اتفاقي كه با فيلترينگ تلگرام در ايران نيز رخ داد و چندين نمونه از تلگرام دراختيار شهرونداني قرار گرفت كه قصد نداشتند از ابزاري براي دور زدن فيلترينگ استفاده كنند. به اين نمونهها پوسته گفته ميشود و اشكال در رفتار اين پوستهها نمود پيدا ميكند كه مشخص نيست پيش از رسيدن دادهها به سرور اصلي تلگرام، آيا آنها در جاي ديگري هم ذخيره ميشوند يا خير. استفاده از اين پوستهها زمينه را براي هككردن حسابهاي متخصصي ايرانيان در تلگرام فراهم كرد؛ حتي اطلاعات كساني كه خود از نسخههاي غيررسمي استفاده نميكردند اما با افرادي كه نسخهي غيررسمي را استفاده ميكردند در تماس بودند.
بايد توجه كرد كه مباحثه حريم خصوصي ممباحثهي دو طرفه است؛ شايد بتوان آن را به ويروس كرونا تشبيه كرد كه اگر يك نفر اين بيماري را گرفت ميتواند به افراد نزديكي كه به وي اعتماد كردهاند، بيماري خود را منتقل كند. به همين ترتيب، اگر فرد يا شركتي حريم خصوصي را رعايت نكند بهسادگي ميتواند حريم خصوصي نزديكترين افراد و ميليونها متخصص خود را كه به آنها اعتماد كردهاند، در معرض خطرناكترين حملات سايبري قرار دهد.
جداي از اخباري كه ما درمورد افشاي اطلاعات ميشنويم، خريد و فروش يا اشتراكگذاري اطلاعات زيادي در دارك وب درجريان است و تنها خبر آن عمومي نميشود. درواقع اطلاعات زيادي از مردم در فضاي مجازي فاش شده و تنها عمومي نشده است. در همين رابطه، معاون امنيت فضاي توليد و تبادل اطلاعات سازمان فناوري اطلاعات ايران نيز به خبرنگار اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران ميگويد تمام اپليكيشنهاي بزرگ در ايران تابهحال نشت اطلاعات در سطح گسترده را تجربه كردهاند؛ حتي اين اتفاق به مراتب رخ داده و تنها خبر آن عمومي نشده است.
اكنون با دو وجه از ماجراي اهميت نشت دادههاي شخصي طرف هستيم؛ برخورد مردم و برخورد سازمانها. نخست بهتر است بپرسيم: آيا مردمي كه اطلاعاتشان فاش ميشود، به اهميت موضوع امنيت دادههاي شخصي واقف هستند؟
مسئوليت حفظ دادههاي شخصي تنها بر گردن يك گروه مشخص نيست؛ چند عامل مختلف دست در دست هم ميگذارند تا شاهد لورفتن اطلاعات متخصصان فضاي مجازي باشيم. در مرحلهي اول متخصصاني قرار دارند كه اطلاعات متنوع و گستردهي خود را بدون اينكه دليل آن را بدانند، دراختيار سامانهها و برنامهها و وبسايتها ميگذارند. مسائل امنيتي متنوعي در شناسايي وبسايتها و اپليكيشنهاي متقلب وجود دارد كه عدهي زيادي از مردم آنها را نميشناسند يا ناديده ميگيرند.
سادهترين كار براي كسي كه قصد سوءاستفاده از اطلاعات شما يا دستگاهتان را دارد، اين است كه تنها ظاهر يك محتواي جذاب و پرجستجو را بيارايد و دربرابر چشم افراد قرار دهد. اين موضوع در پلتفرمهاي مختلف ديده ميشود؛ براي مثال در كانالهاي تلگرامي، پيجهاي اينستاگرامي، صندوقهاي دريافت رايانامه يا بازار دانلود اپليكيشن. موضوع به اين سادگي نيست كه با حذف برنامه يا بستن يك وبسايت خيالمان آسوده شود.
چرا نصب اپليكيشن سادهاي مانند يك تقويم بايد به دسترسي به دوربين، گالري يا تاريخچهي تماسهاي شما نياز داشته باشد؟
ازسويي، شيوهي دريافت اطلاعات نيز اهميت زيادي دارد. با بيتوجهي در شيوههاي اخذ اطلاعات در سامانههاي مختلف، ممكن است اين تصور بهوجود بيايد كه نياز است براي اموري مانند احراز هويت، دادههاي زيادي را دراختيار سامانهاي، ولو معرفيشده ازسوي نهادهاي معتبر قرار دهيم؛ به روشهايي كه ممكن است باعث سوءاستفادهي افراد از اطلاعات شخصي و سرقت هويت شود. براي مثال در پلتفرم اختصاصي يادگيري و پرورش با نام شاد، تمامي اطلاعات دانشآموز در نزد مدرسه وجود داشت و اين اپليكيشن ميتوانست تنها با دريافت كد دانشآموزي، دانشآموز را در سيستم خود ثبت و به كلاس درس وارد كند. بااينحال اطلاعات هويتي دانشآموز دريافت شد، درواقع با استناد به آمار يادگيري و پرورش، اطلاعات ۱۵ ميليون دانشآموز.
اين موضوع ميتواند ناشي از بياطلاعي يا بيمبالاتي باشد. درنهايت ما بايد بدانيم چه محتوايي را از كجا تهيه ميكنيم و چه اطلاعاتي را دراختيار ديگران قرار ميدهيم؛ اما همانطور كه گفتيم، اين تنها مسئوليت متخصص نيست.
در مرحلهي بعدي به متخصصان امنيتي در سازمانها و وظيفهي آنها در تأمين امنيت ميرسيم؛ اما اجازه دهيد كه ابتدا يك سؤال مطرح كنيم: آيا اين اشخاص مسئول تأمين امنيت متخصصان خود هستند؟ نكتهي عجيب در سؤال بالا اين است كه سازمانهاي زيادي در كشور ما اكنون بخشي مخصوص به امنيت در بطن خود ندارند، متخصص كارشناس امنيتي ندارند، قوانين تهديدكننده درخصوص نشت اطلاعات وسيع متخصصان ندارند و رسيدگي به جرايم آنها در اين حوزه نيز به سازمان فناوري اطلاعات يا نهاد ناظر ديگري در فضاي مجازي مربوط نيست.
درنتيجه چندان عجيب نيست كه استانداردهاي امنيتي و تأمين امنيت متخصصان چندان جدي گرفته نشود. خود را درون سازماني تصور كنيد كه شرح وظايفي مشخص دارد و بودجهاي براساس آن دريافت ميكند؛ بايد به مسائل مختلف رسيدگي شود و سپس به مباحثه امنيتي ميرسيم؛ يعني بخشي كه قوانين سختگيرانه يا دستكم جريمهاي درصورت عدم رعايت سفت و سخت قوانين امنيتي براي آن وجود ندارد؛ چراكه ما بهدفعات شاهد بوديم كه نشت اطلاعات صورت گرفته اما عواقبي درانتظار اين سازمانها نبوده است؛ ولو اينكه برخي اوقات، سازمان و شركتها منتشركنندگان خبر نشت اطلاعات يا فردي كه برحسب اتفاق به باگهاي موجود در سامانهاي پي برده را نيز تهديد و از وي شكايت ميكنند.
معاون امنيت سازمان فناوري اطلاعات: تمام اپليكيشنهاي بزرگ در ايران تابهحال نشت اطلاعات در سطح گسترده را تجربه كردهاند
مسئول نشت اطلاعات متخصصان در ايران چه عواملي است؟
بهطور كلي، خطاهاي انساني مستقيم و غيرمستقيم از مهمترين دلايل نشت اطلاعات در دنيا است. براساس اطلاعاتي كه از سال ۲۰۰۴ در ويكيپديا و در Ballon Race درمورد علل نشت اطلاعات ثبت شده، نزديك به ۴۰ درصد موارد مربوط به خطاي انساني عمد يا غيرعمد است. ميزان تأثير ديگر علل نشت اطلاعات را درادامه مشاهده ميكنيد:
مدل نشت اطلاعات | ميزان درصد |
---|---|
هك | ۵۵/۶۶ |
امنيت ضعيف | ۱۱/۶۵ |
سرقت / گمشدن دستگاههاي ذخيرهسازي | ۱۰/۶۸ |
نشر اشتباهي يا تصادفي | ۶/۱۵ |
افراد درون سازماني | ۵/۵۰ |
سرقت / گمشدن سيستم كامپيوتري | ۵/۱۸ |
دلايل ناشناخته | ۱/۶۲ |
امنيت ضعيف / پروتكلهاي ضعيف سازماني | ۰/۶۵ |
افشاي تصادفي توسط افراد درون سازماني | ۰/۳۲ |
آپلود اشتباهي دادهها | ۰/۳۲ |
افشاي اطلاعات بهدليل تنظيمات نادرست سرور | ۰/۳۲ |
امنيت ضعيف / هك شدن | ۰/۳۲ |
مهندسي اجتماعي افراد درون سازمان | ۰/۳۲ |
افشاي API خصوصي يا محافظت نشده | ۰/۳۲ |
فضاهاي ابري ناامن | ۰/۳۲ |
اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران براي كسب اطلاعات بيشتر از علت لورفتن گستردهي اطلاعات متخصصان در فضاي مجازي در ايران بهسراغ يك برنامهنويس و متخصص امنيت رفت. كوروش قرباني پيش از اين با سازمان و نهادهايي ازجمله پليس فتا در مشهد، دانشگاه آزاد و دانشگاه خيام مشهد و با مجموعههايي همچون جزوه رايگانراه همكاري كرده است. درادامه با مصاحبهي اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران همراه باشيد.
اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران: آيا لورفتن اطلاعات متخصصان فضاي مجازي در ايران به دفعات بالا و در سطح وسيع رخ ميدهد يا در تمام دنيا به همين منوال است؟
قرباني: «بهطور كلي، هرچه صنعت IT نوپاتر باشد، طبيعتا افشاي اطلاعات بيشتر رخ ميدهد ولي موضوعي كه فعلا در ايران شاهدش هستيم، ابتدا به پايينبودن سطح دانش متخصصان امنيت شركتها يا ارگانها برميگردد. درواقع و متأسفانه، ما اكنون در مجموعههاي بزرگ، رستهي شغلي SOC (مركز عمليات امنيتي) نداريم؛ يعني متخصص شبكه يا حتي برنامهنويس ساده كار امنيت را در مجموعه انجام ميدهد كه خروجي اين كار مشخص است.»
قرباني اشاره ميكند كه بهدليل نبود سطح دسترسيهاي مشخص و طبقهبنديشده و عدم يادگيري متخصصان شركتها و ارگانها در ايران احتمال وقوع حوادث امنيتي بيشتر ميشود.
اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران: اما چگونه ميشود كه شركتها و سازمانها به موضوع امنيت اهميت ندهند، درحاليكه هميشه ادعا دارند حفظ اطلاعات مردم براي آنها جايگاه ويژهاي دارد؟ جداي از اين، مگر قوانين مشخص و تهديدكنندهاي در اين رابطه وجود ندارد كه مسائل امنيتي تا اين حد ازسوي آنها مورد غفلت قرار ميگيرد؟
قرباني: «متاسفانه برخلاف كشورهاي ديگر، در ايران قانون مشخص و محكمي براي جريمه كردن شركتها و بهخصوص ارگانها وجود ندارد. بههمين دليل است كه شركتها تنها "ادعا" ميكنند كه حافظ اطلاعات مردم هستند. اين بيشتر شبيه شعار است؛ مثال سادهاي درمورد شعاربودن چنين ادعايي، اينكه همين الان كل اطلاعات مشتركين مبين نت قابل استخراج است (از شماره تلفن گرفته تا علايق متخصصان و ...) و با اينكه خود من، چندين بار موضوع را به آنها اطلاع دادهام، هيچ پيگيري انجام نشده است.»
اين متخصص امنيت به اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران ميگويد كه علت افشاي گستردهي اطلاعات شركتهاي ايراني در چند وقت اخير، بيشتر، نبود متخصص در شركتها است؛ او افشاي تصاوير زيادي از مدارك مردم در سايتهاي فروش ارز ديجيتال را مثال ميزند كه علت آن به ميزان بالايي، تنظيمات نادرست سرورها است.
مورد ديگر، اهميتندادن نيروها به چارچوبهاي شركت است كه تصور ميكنم بيشتر بهخاطر نبود قانون براي مجازات رخ ميدهد.از همه بدتر، كتمان خود شركتها است؛ در بيشتر مثالهايي كه اين اواخر شاهدشان بوديم، بهجز يكي دو شركت، همگي ادعاهايي عجيب پس از نشت اطلاعاتشان كردند؛ برخي گفتند اطلاعات قديمي است (رايتل)، يا مربوط به زيرسيستم بيربط است يا شامل اطلاعات خصوصي نيست (سيبچه) و...
قرباني به خبرنگار اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران ميگويد كه شركتها براي جلوگيري از نشت اطلاعات خود بايد هزينه كنند؛ براي مثال نيروها را يادگيري دهند تا از هك بهوسيلهي حمله مهندسي اجتماعي جلوگيري شود يا نيروي متخصص امنيت را بهصورت دورهاي يا دائم به كار بگيرند و استخدام كنند.
باگ بانتي كه پيشتر به آن اشاره كرديم، در صحبتهاي قرباني نيز تكرار ميشود. او اشكال عمدهاي در هكشدن سازمانها و شركتها در ايران را نبود سيستم باگ بانتي يا اهميتندادن به آن ميداند.
قرباني: «بيشتر اين هكشدنها از قبل به شركتها گزارش داده ميشود اما شركتها براي هزينهنكردن، عمدتا بيتوجهي ميكنند يا بهجاي رفع اشكال، به فكر شكايت از گزارشدهنده ميافتند (او ميگويد فيديبو چنين شكايتي را طرح كرده است). اين شرايط باعث شده كه هكر يا متخصص امنيت وقت خود را در سايتهاي خارجي و پلتفرمهاي قابل اطمينان هزينه كند و گزارشهاي وجود باگ را در سايتهاي ايراني با دردسرهاي فراوان خودش كنار بگذارد.»
اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران: اينكه شما گفتيد شركتها در واكنش، برخي اوقات توجيهاتي ميآورند؛ آيا اگر اين توجيهات مانند قديميبودن ركوردها درست باشد، آيا نميتواند خطرآفرين باشد؟ يا بهكل توجيهات غلطي هستند؟
قرباني: «حرفي كه ميزنيد، دقيقا درست است؛ توجيهكردن اين داستان بهكلي اشتباه است. پخششدن اطلاعات متخصصان، هر كجاي دنيا اتفاق بيفتد، شركت مربوطه مجبور به پرداخت خسارت به تمام متخصصهايش ميشود (چه متخصص قديمي و چه جديد) اما در ايران شركت نهتنها خسارت نميدهد، بلكه در بيشتر موارد عذرخواهي هم نميكند و پخش اطلاعات را به هر شكلي توجيه و كتمان ميكند؛ حالا چه با مرتبط كردن آن به قديمي بودن و چه با مرتبط كردن با زيرسيستمهاي بيربط و غيره.»
سوالي كه درادامهي مطلب، پاسخ آن را ازسوي معاون وزير ارتباطات ميدهيم، از قرباني نيز پرسيديم: در ايران چه كسي مسئول لورفتن اطلاعات است؟ آيا خصوصي يا دولتي بودن سازمانها ميتواند در اين زمينه مؤثر واقع شود؟
قرباني ميگويد، در ايران، هكر يا مهاجم مسئول لو رفتن اطلاعات است و او است كه بازخواست ميشود اما در سطح دنيا، اول شركت مسئوليت دارد و سپس تمام دنيا. قرباني، قوانين موجود در بازخواست كسي كه مسئول حقيقي نشر اطلاعات است را مضحك ميخواند و درمثالي ميگويد:
بهعنوان مثال، اگر من سايت داشته باشم و شما در سايت من محتوياتي آپلود كنيد كه مخالف قوانين كشور است، اول من مجرم هستم، دوم شما؛ و شما زماني بازخواست ميشويد كه من از شما شكايت كنم. اما در زمان هك شدن و پخش اطلاعات تنها هكر مجرم حساب ميشود و كسي شركت مربوطه را جريمه يا بازخواست نميكند كه چرا اطلاعات مردم رمزگذاري يا حداقل محافظت نشده است.
اين متخصص امنيت ميگويد كه ازلحاظ قانوني فرقي نميكند كه سازماني دولتي يا خصوصي باشد تا رويكرد بهتري را در پيش بگيرد؛ او ميگويد در موارد بسيار زيادي، ارگانهاي دولتي و نيمهدولتي حتي برخورد بدتري را در پيش ميگيرند و مسئله را پيگيري نكرده و دررابطهبا آن اطلاعيهاي هم منتشر نميكنند.
درواقع با تجربيات شغلي كه اين متخصص امنيت داشته، امنيت داده را براي اين سازمانها موضوعي بسيار غريب عنوان ميكند. او ميگويد كه كاركنان سازمانها با تصور اينكه سالهاي زيادي از استخدام آنها ميگذرد و حقوقشان بهجا و ثابت است و الزامي براي يادگيري مورد جديدي براي آنها وجود ندارد، پس پاسخگوبودن درقبال امنيت دادههاي مردم را نيز از وظايف شغلي خود محسوب نميكنند.
قرباني در مسئلهي عدم درك كاركنان سازمانها در اهميت حفاظت از دادهها، مثال ميزند كه يك مرتبه، رمز عبور و نام متخصصي يك زيرسيستم مالي در دانشگاه آزاد را چسبيده به ديوار ديده است.
ما در اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران، پس از شنيدن حرفهاي اين برنامهنويس و متخصص امنيت بهسراغ معاون امنيت فضاي توليد و تبادل اطلاعات سازمان فناوري اطلاعات ايران رفتيم و علت نشت گستردهي اطلاعات در كشور را از وي جويا شديم.
ابوالقاسم صادقي به اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران ميگويد كه اكثر شركتهاي ما متخصص كارشناس امنيتي يا بهطوركلي، بخش امنيت در زيربخشهاي خود ندارند. او علت نشت اطلاعات در سازمانها را ناآگاهي، ضعف بنيه مالي و نيروي انساني ميداند. بااينحال بهانديشه متخصصين او موضوع درمورد اپليكيشنهاي بومي متفاوت است و دليل نشت اطلاعات آنها، بيتوجهي به مسائل امنيتي و بيمبالاتي است.
صادقي ميگويد اپليكيشنهاي بومي براساس ميزان ركوردي كه از متخصصان جمعآوري كردهاند و براساس توان مالي خود تفكيك ميشوند. بهگفتهي او، دستورالعملي به همين منظور توسط سازمان فناوري اطلاعات تهيه شده و شركتها در آن ردهبندي شدهاند؛ اپي كه چندصد ركورد و توان مالي بالا دارد با اپي داراي توان متوسط يا تازهپاگرفته شرايط متفاوتي دارد.
صادقي مثال ميزند، اپليكيشني كه شركت آن روزي چندده ميليارد گردش مالي دارد، بدون احتساب ارزشي كه متخصصان به اپليكيشن اضافه ميكنند، نهتنها بخش امنيتي ندارد بلكه حتي يك متخصص كارشناس امنيت نيز ندارد؛ درنتيجه مشخص است كه بهايي به موضوع امنيت اپليكيشن خود نميدهد.
معاون امنيت سازمان فناوري اطلاعات: اكثر شركتها و سازمانها در ايران، بخش امنيت يا حتي متخصص كارشناس امنيتي ندارند
بهگفتهي معاون امنيت سازمان فناوري اطلاعات، در تمام دنيا افشاي اطلاعات رخ ميدهد اما اين موضوع در ايران دو تفاوت عمده با دنيا دارد؛ اول اينكه كسب و كارهاي ما از نقاط خيلي ساده و بديهي نشت اطلاعات را تجربه ميكنند، گاهي حتي خود آنها بهخطا ديتا را لو ميدهند.
صادقي به اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران ميگويد، موضوع دوم اين است كه ما عبرت نميگيريم و اشكال را رفع نميكنيم. او اشاره ميكند كه براي مثال، براي ياهو يا يك بانك در سطح جهاني نيز فاششدن چندصدميليون حساب متخصصي رخ داده است اما آنها پس از رخدادن حادثه، بخش ويژهاي، تنها براي رسيدگي به همين موضوع راهاندازي كردند تا رخدادن چنين اتفاقي ديگر ممكن نباشد؛ درحاليكه كسبوكار ما به هيچ عنوان چنين كاري نميكند.
صادقي ميگويد كسبوكار ما پس از نشت اطلاعات، اول سعي ميكند موضوع را پنهان كند، پس از برملاشدن آن سعي ميكند توجيهي براي لاپوشاني امر پيدا كند و درآخر كمي خسارت بدهد؛ اما درنهايت فرداي پس از تمامشدن ماجرا، دقيقا به روال سابق كار خود و انديشه متخصصينات قبلي خود در امنيت اطلاعات ادامه ميدهد.
وقتي مشاهده ميكنيم تأمين امنيت متخصصان آخرين اولويت در توسعهي كسبوكارها است، درحاليكه شركتها بهراحتي ميتوانند لايسنس هر برنامهي امنيتي را كه نياز داشته باشند براي بخش ديتابيس خود تهيه كنند اما اين موضوع را جدي نميگيرند، طبيعي است كه تصور كنيم متولي خاصي در كشور براي پيگيري خسارتهاي واردشده به متخصصان و حريم خصوصي آنان وجود ندارد.
صادقي ميگويد وقتي نشت اطلاعات ازميزاني بالاتر رود، مسئله ملي ميشود و اين تنها مربوط به كسبوكار نيست. اما تابهحال بهكارگيري استانداردهاي امنيتي براي سازمانها اجباري نبوده؛ تنها يك سازوكار قانوني در سطح كلان دولت تصويب و ابلاغ شده بوده و سازمانها موظف بودهاند آن را رعايت كنند؛ البته ساز و كاري كه الزام ندارد و سازمان فناوري اطلاعات ابزار قانوني براي مؤاخذه درصورت عدم رعايت آن را ندارد.
آيا نشت اطلاعات متخصصان در فضاي مجازي در ايران عواقب دارد؟
اين سؤالي است كه امير ناظمي، معاون وزير ارتباطات و رئيس سازمان فناوري اطلاعات در مراسم صدور گواهي مشترك در حوزهي ارزيابي امنيتيپدافندي محصولات فتا به آن پاسخ داد.
بهگفتهي ناظمي، نشت اطلاعات متخصصان طبق قانون براي شركتها داراي عواقب است اما اين موضوع داراي ضعفهايي است كه دولت تلاش ميكند با بهتصويبرساندن قانون «صيانت دادهها» آن ضعفها را رفع كند. قانوني كه ناظمي از آن سخن ميگويد، دو سال است كه ازسوي وزارت ارتباطات رونمايي شده اما در بروكراسيهاي دولتي گير كرده و اخيرا از كميسيون آزاد شده تا در هيأت دولت مطرح شود.
طبق توضيح ناظمي، ازآنجاكه اين لايحه قضايي و ذيل تعريف «جرم» است، دولت نميتواند مستقيما آن را ارائه كند. لايحه بايد ابتدا ازسوي مجلس يا قوه قضاييه مطرح شود. كاري كه وزارت ارتباطات كرد اين بود كه جلساتي با قوه قضاييه و مجلس تشكيل داد، تغييراتي در لايحه اعمال شد كه همين موضوع تأخير بهوجود آورد و درنهايت به هيأت دولت رسيد تا براي تبديلشدن به قانون به مجلس ارسال شود. ناظمي ميگويد اين لايحه، مشابه GDPR است كه در اتحاديه اروپا به تصويب رسيده و ميتواند رسيدگي به جرايم سايبري را سرعت بخشد.
اما معاون وزير ارتباطات ميگويد كه همين اكنون نيز نشت اطلاعات براي سازمانها و شركتها عواقب داشته و قوانيني براي آن وجود دارد. بااينحال بهوضوح مشخص است كه اين قوانين كافي و وافي نبودهاند. متن كامل قانون جرايم رايانهاي را ميتوانيد از همين لينك مشاهده كنيد.
ناظمي ميگويد سازمان فناوري اطلاعات، نهادي دولتي است و نميتواند كسب و كارها را بازخواست كند؛ اين موضوع بر دوش قوه قضاييه است. ازطرفي، شركتها تاكنون الزامي براي دريافت گواهينامههاي امنيتي نداشتهاند. حال سازمان فناوري اطلاعات از شوراي عالي فضاي مجازي خواسته است تا با صدور مصوبهاي، اخذ مجوز امنيتي براي اپليكيشنها را الزامي كند و هماهنگي با پليس فتا براي برخورد در اين زمينه صورت بگيرد.
هرچند، نظام مقابله با حوادث فضاي مجازي در شوراي عالي فضاي مجازي نيز داراي اشكالاتي در آييننامهي خود است و ناظمي، علت آن را قديميبودن قوانين ميداند. او ميگويد زمان زيادي از تصويب اين قانون ميگذرد و اكنون نيازمند بازبيني است؛ چراكه دغدغه، پيشتر حفاظت از دادههاي كلان نبوده و با گسترش ضريب نفوذ اينترنت اكنون بايد قوانين هم پابهپاي زمان تغيير كند بهطوريكه پاسخگوي چالشها باشند.
ناظمي ميگويد سال پيش آييننامهاي براساس قوانين فعلي براي شركتهاي خصوصي و دستگاههاي اجراييِ حوزهي فناوري اطلاعات فرستاده شده كه حاوي ده بند است اما به همين ده بند نيز اعتنا نميشود. پس از رخدادن چند حادثهي امنيتي در فضاي مجازي طي ماههاي اخير، مركز ماهر به دستگاههاي دولتي و شركتها نكات امنيتي را ابلاغ كرده و نسبت به آنها هشدار داد اما به اذعان صادقي، معاون امنيت سازمان فناوري اطلاعات، بسياري از سازمانها سهلانگاري ميكنند و با اين سهلانگاريها نيز برخورد جدي صورت نميگيرد تا جلوي اينگونه اتفاقات گرفته شود. او ميگويد صاحبان داده به اين موارد توجهي ندارند و اخطارها را جدي نميگيرند تا اينكه اتفاق مهمي رخ دهد و نيازمند كمك شوند.
بنا به پيگيري سازمان فناوري اطلاعات، افشاشدن اطلاعات متخصصان ايراني تلگرام، تاكنون به دادستاني شكايت شده است؛ روندي كه بهدرازا كشيده و هنوز جوابي براي آن نيامده است. درمورد رايتل نيز سازمان تنظيم مقررات و ارتباطات راديوئي (رگولاتوري) تصميماتي گرفته و بهزودي برخورد لازم با آنها خواهد شد.
موضوعي كه در ماجراي تلگرام وجود داشت اين بود كه پوستههاي تلگرام را سازمان افتا معرفي كرده بود؛ يعني سازماني كه خود از اركان برقراري امنيت در فضاي مجازي است. ناظمي ميگويد شكايتي در اين زمينه نيز به دادستاني ارسال شده اما نتيجهي دادرسي آن هنوز مشخص نيست.
بهگفتهي ناظمي، هيچكدام از اپليكيشنهايي كه تابهحال اطلاعات متخصصان آنها فاش شده، گواهيهاي امنيتي را دريافت نكرده بودند. بههرصورت، از اين پس اپليكيشنها بايد با جمعآوري هرچه بيشتر اطلاعات مردم، براي فعاليت خود گواهيهاي امنيتي اخذ كنند. صادقي به اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران ميگويد كه سازمان فناوري قصد دارد اين قانون را تا آخر تابستان امسال نهايي كند.
رفتار سازمانها درقبال نشت اطلاعات متخصصانشان بايد چگونه باشد؟
مسئلهاي كه جدا از عواقب نشت اطلاعات براي سازمانها و اينكه آيا پيگيري صورت خواهد گرفت يا خير وجود دارد، اين است كه سازمان و شركتها فاششدن اطلاعات متخصصانشان را قبول نكرده يا علت واقعي موضوع را بيان نميكنند. سوالي كه اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران در اين رابطه از رئيس سازمان فناوري اطلاعات دارد، اين است كه آيا پروتكلي براي رفتار سازمان و شركتها در زمان لورفتن اطلاعات وجود ندارد؟
ناظمي ميگويد نبود پروتكل در اين مورد نيز از ضعفهاي قانوني نشأت ميگيرد اما اتفاقي كه بهطور عملياتي رخ ميدهد اين است كه برخي شركتها، بهخصوص شركتهاي بزرگ با سازمان فناوري در اين زمينه همراهي ميكنند؛ بدينمعني كه پس از باخبرشدن از موضوع، اولين تماس را با نهادهاي مذكور ميگيرند و برهمين اساس گروهي براي كمك به رفع اشكال ازسوي مركز ماهر يا افتا به دفاتر شركتها فرستاده ميشود، اطلاعات موجود را مطالعه ميكنند و براساس همراهي آنها گزارشي از اشكال تهيه ميشود. ديتاسنترها هم كه ميزباني را انجام ميدادند با سازمان فناوري به همين ترتيب همكاري ميكنند.
بااينحال بهگفتهي ناظمي، تمام شركتها اين همراهي را ندارند. بههمين علت او از شركتها درخواست دارد كه در چنين مواقعي، با دريافت اولين رايانامه هشداردهنده با يكي از نهادهاي مربوطه تماس بگيرند.
نكتهاي كه در گفتههاي ناظمي بر آن تأكيد ميشود، بر همكاري با افرادي اشاره دارد كه باگي را شناسايي ميكنند. ناظمي به اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران ميگويد:
در مواردي، فردي باگي را شناسايي ميكند و درخواست دريافت پاداش از شركت مربوطه ميكند كه اين موارد را نيز شركتها به ما اطلاع ميدهند. به همين منظور، ما راهكاري قانوني براي اين موارد تحت عنوان انجمن كلاهسفيدها درانديشه متخصصين گرفتهايم و به اين مسئله رسيدگي ميكنيم. درواقع اين مسئله به باگ بانتي تبديل ميشود و سپس فرد مدعي براساس ارزيابي يك گروه مشخص، مبلغي بهعنوان پاداش دريافت ميكند. در مواردي نيز اخيرا شاهد رخدادن اين اتفاق بوديم.من از اين اشخاص خواهش دارم كه ما را دركنار خود ببينند و تصور نكنند ورود نهادي مثل سازمان فناوري يا افتا و نهادهاي مربوطه به ضرر آنها تمام ميشود. در بسياري از اوقات، اين مسئله براي آنها راحتتر خواهد شد. شركتها هم همين درخواست را از شما دارند.
بااينحال معاون وزير ارتباطات ميگويد كه گاهي رايانامههاي هشداردهندهي وجود باك، فيك هستند و خود سارقاند. در اين زمانها، افرادي با معرفي خود بهعنوان ديگر نهادها با شركتها تماس ميگيرند و اطلاعات بيشتري از آنها اخذ ميكنند. «شركتها بايد بدانند كه نهادهاي متولي مشخص هستند و تنها بايد با ما تماس بگيرند و با ديگر نهادها خودمان هماهنگ ميكنيم تا اطلاعات بيشتري گرفته نشود و همين موضوع مخاطرهي جديدي ايجاد نكند.»
درانتهاي مقاله، جا دارد كه باري ديگر به اهميت توجه به حريم خصوصي و يادگيري دراينباره، براي مردم، سازمانها و نهادها اشاره كنيم.
تكرار رفتارهاي اشتباه تنها ازسوي سازمانها و كسب و كارها رخ نميدهد؛ حتي عدهي زيادي از مردم نيز پس از لورفتن اطلاعاتشان به رفتارهاي غلط خود ادامه ميدهند. براي مثال پس از لورفتن اطلاعات از پوستههاي تلگرام شاهد هستيم كه استفاده از اين اپليكيشنهاي غيراصل همچنان ادامه دارد. با رقم بالايي كه ميزان نشت اطلاعات از پوستههاي تلگرام داشته، يعني ۴۰ ميليون متخصص، دور از انتظار نيست كه تصور كنيم نزديك به نيمي از مردم كشورمان به ممباحثه امنيت ديجيتال و حريم خصوصي اعتقادي ندارند. جداي از استفاده از نسخههاي ناامن تلگرام، مردم در كانالها برنامههاي ناامن را نيز، برخي اوقات، بيش از ۱ميليون بار دانلود ميكنند و لحظهاي به عواقب استفاده از آن نميانديشند.
رفتار سازمانها نيز در اين زمينه متفاوت از رفتار مردم نيست؛ ظاهرا شركتها سرمايهگذاري خاصي در مباحثه امنيت و گزينش مسئولان بخش امنيت نميكنند و همين موضوع باعث لورفتن روزانهي اطلاعات ميليونها شهروند ميشود؛ اطلاعاتي كه نميدانيم از آنها در چه زماني و چه سوءاستفادههايي خواهد شد.
با وجود يادگيري و انجامدادن اقدامات اوليه، باز هم دور از انتظار نيست كه تصور كنيم همچنان دادههايمان مخفيانه بهفروش ميرسند؛ اما متوقعبودن براي رعايت حداقل توصيههاي امنيتي و استفاده از سختافزار و نرمافزار بهروز و مناسب و كمي اهميتدادن بيشتر سازمانها و شركتها به مباحثه امنيت دادههاي متخصصانشان، دستكم ميتواند قدمي باشد براي حركت بهسوي عمليشدن و اجباريشدن اقداماتي بزرگتر و عميقتر و ايجاد رفتارهاي راسختر براي مبارزه با نشت اطلاعات.
هم انديشي ها