نشت اطلاعات متخصصان در ايران چه عوامل و خطراتي دارد؟

در سه ماه گذشته شاهد لو رفتن اطلاعات مردم و شركت‌هاي مختلف ايراني بوديم. لورفتن اطلاعات ۸۰ ميليون شهروند ايراني از سرورهاي سازمان ثبت احوال، ۴۲ متخصص ايراني توسط نسخه‌هاي غيررسمي اپليكيشن تلگرام، ۵ ميليون متخصص سيب اپ، حمله به سرورهاي سايت بزرگ فروش بليط علي‌بابا و به‌تازگي لورفتن اطلاعات ۵/۵ ميليون متخصص اپراتور رايتل، ازجمله بزرگ‌ترين رخدادهاي امنيتي ماه‌هاي اخير بودند.

هرچند در روزهاي شيوع ويروس كرونا، اخبار هك‌شدن اپليكيشن‌ها و سامانه‌هاي زيادي را در سطح جهان مي‌شنويم و به‌طور كلي، هك‌شدن سايت‌ها و لورفتن اطلاعات متخصصان موضوع جديد يا غيرقابل انتظاري نيست. مسئله‌اي كه عجيب مي‌كند، داشتن رويكرد و نگاهي ساده به لورفتن اطلاعات در ايران است.

در آخرين ماه سال ميلادي پيش، اطلاعات ۲۶۷ ميليون متخصص فيسبوك لو رفت. رويكرد شركت به اين موضوع، اطلاع‌رساني سريع به مردم و كسب و كارها و در قدم بعدي، رفع اشكال بدون هرگونه فوت وقت بود. اين اتفاق چيزي نيست كه به‌طور معمول در ايران شاهد آن باشيم؛ درواقع روال اين‌گونه است كه ابتدا چند متخصص در فضاي مجازي پي به موضوع مي‌برند، رسانه‌ها به‌دنبال صحت و سقم ماجرا به‌سراغ شركت يا سازمان مربوطه مي‌روند؛ اين مراكز از وقوع اتفاق اظهار بي‌خبري مي‌كنند و پس از ساعت‌ها تكذيب و تهديد، زمان پذيرش نسبي نفوذ مي‌رسد. اين درحالي است كه پذيرش مراكز يادشده نيز الزاما به‌معناي حفظ امنيت سامانه‌ها نيست؛ چه بسا اينكه اكثر مسئولان در چنين موقعيت‌هايي به ذكر اين موضوع بسنده مي‌كنند كه «دسترسي به سايت به‌طور پيوسته برقرار است» و اين موضوع را دال بر هك‌نشدن سامانه عنوان مي‌كنند.

بگذريم از دفعاتي كه هكر يا هر فردي كه پي به وجود باگ يا حفره‌ي امنيتي مي‌برد، ادعا مي‌كند پيش از اقدام براي فروش اطلاعات، سازمان يا شركت مربوطه را درجريان امر قرار داده و از آن‌ها تقاضاي پول كرده و با بي‌توجهي مسئولان آن مركز يا برخوردي از روي خشم ازسوي آنان، اطلاعات را در دارك وب به معرض فروش گذاشته يا نسبت به وجود آن در فضاي مجازي اطلاع‌رساني كرده است. مفهومي كه احتمالا جمع زيادي از خوانندگان اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران از آن مطلع‌اند، باگ بانتي است. باگ بانتي به برنامه‌هايي اشاره دارد كه درازاي دريافت پاداش، گزارش‌هايي درمورد وجود باگ يا آسيب‌پذيري امنيتي به يك وب‌سايت يا توسعه‌دهندگان آن مي‌دهد؛ فردي كه در پشت اين برنامه‌ها وجود دارد، ممكن است به‌صورت شناس يا ناشناس اقدام به يافتن حفره‌هاي امنيتي كند. وجود چنين اشخاصي در سطح دنيا امري رايج محسوب شده و شركت‌ها از وجود آن‌ها براي ارتقاي سيستم امنيتي خود سود مي‌برند.

مورد ديگري كه در پاسخ مسئولان مربوطه پس از پذيرش نفوذ به‌شدت به چشم مي‌آيد، تهديد افراد در فضاي مجازي و رسانه‌ها درارتباط‌با پرداختن به مسائلي است كه از آن‌ها به‌عنوان «شايعه» ياد مي‌كنند درحالي‌كه تمامي اخبار پيرامون رديابي يك نفوذ به سيستم و سرورهاي خود از ابتدا را نيز شايعه قلمداد مي‌كنند. اگر دو موضوعِ «اهميت لورفتن اطلاعات» و «نپرداختن به احتمال اتفاقي كه رخ داده است» را در دو كفه‌ي ترازو بگذاريم، بايد پرسيد كه اهميت كدام‌يك سنگيني مي‌كند؟

پس از تجربه‌هاي اخير از هك‌شدن سامانه‌ها و وب‌سايت‌ها در ايران، گذشته از رويكرد سازمان‌ها و شركت‌ها درقبال حفظ حريم خصوصي افراد، شاهد عادي‌نگري به اين مسئله ازسوي اكثر مردم هستيم؛ مسئله‌اي كه قطعا خطراتي را براي آينده به‌دنبال خواهد داشت.

براي خواندن بخش‌هاي مختلف مقاله روي تيتر آن كليك كنيد:

اهميت اطلاعاتي كه لو مي‌رود

مسئول نشت اطلاعات متخصصان در ايران چه عواملي است؟

آيا نشت اطلاعات متخصصان در فضاي مجازي در ايران عواقب دارد؟

رفتار سازمان‌ها درقبال نشت اطلاعات متخصصان‌شان بايد چگونه باشد؟

هميشه اطلاعات فاش شده‌اند و لو مي‌روند؛ نه‌تنها در ايران، در تمام جهان. اگر اطلاعاتي فاش شده، پس از آن چه شده است؟ چه اتفاق بزرگي بعد از لورفتن اطلاعات هويتي شهروندان يك كشور تغيير يافته است؟ چه خطري از آن زمان تاكنون مردم را تهديد كرده است؟ عجيب نيست اگر اين سوالات به ذهن اكثر مردم بيايد؛ به‌خصوص وقتي كه لورفتن اطلاعات به روالي عادي تبديل شده و كسي متعجب نمي‌شود اگر چند هفته يك‌بار خبر نشت اطلاعات سازمان جديدي را بشنود. مردم مشاهده مي‌كنند كه روزها، هفته‌ها و ماه‌ها از لورفتن اطلاعات‌شان مي‌گذرد اما زندگي به روال سابق ادامه دارد؛ پس هرازگاهي با شنيدن اخبار ويژهي از لورفتن اطلاعات، تنها سري تكان مي‌دهند و اندك گلايه‌اي بر اين مبني مي‌كنند كه حفظ اطلاعات آن‌ها براي هيچ سازماني اهميت ندارد و سپس به‌سراغ خواندن باقي اخبار مي‌روند. موضوعي كه افراد درانديشه متخصصين نمي‌گيرند اين است كه غفلت آن‌ها تنها زمينه‌ي سوءاستفاده‌هايي را بيشتر مي‌كند كه همين حالا و در پشت پرده‌ي چشم‌شان درجريان است و اگر كوچك‌ترين اطلاعات هك‌شده براي افرادي خاص اهميت نداشت، خود را به زحمت براي دستيابي به آن‌ها نمي‌انداختند.

• كلاهبرداري
• ثبت‌نام در سايت‌ها (مانند ديوار)
• ثبت سايت و اقدام به دزدي اينترنتي
• انجام اعمال خرابكاري با واردشدن به حساب متخصصي افراد
• احراز هويت در سايت‌ها و خريد با اطلاعات هويتي فرد
• تماس تلفني با فرد و ادعاي برنده‌شدن در مسابقه‌اي يا گرفتن اطلاعات بانكي وي و غيره

تبليغات هدف‌دار از ديگر عواقبي است كه به‌طور گسترده‌اي همواره انجام شده است. قطعا زمان‌هايي بوده كه شما از ديدن پيامك‌ها يا تماس‌هاي تبليغاتي به ستوه آمده باشيد و خود ندانيد كه برخي از اين اشخاص، چگونه به اطلاعات شما دست پيداكرده‌اند. درحقيقت اطلاعات افراد در سطوح وسيع در جهان دراختيار سازمان‌ها و شركت‌هاي متنوع قرار مي‌گيرد.

اخاذي‌كردن با جلب اعتماد فرد ازطريق اعلام مشخصات وي و جازدن خود به‌عنوان نهادي معتبر از ديگر خطرات لورفتن اطلاعات است.

يكي از شرايط غم‌انگيز زماني است كه اطلاعات فيزيكي كارت‌هاي يك بانك دزديده شد؛ كارت‌هاي به‌راحتي كپي مي‌شدند و خالي‌شدن حساب شهروندان مي‌توانست به‌سادگي رخ دهد. در اين مورد اطلاع‌رساني صورت نگرفت و تنها از مردم خواسته شد كه همگي، رمز كارت خود را تغيير دهند.

بياييد يك سناريو را درانديشه متخصصين بگيريم؛ زماني‌كه اطلاعات ۴۲ ميليون متخصص ايراني تلگرام لو رفت، سايت Comparitech دراين‌باره مقاله‌اي نوشت و در آن ضمن گفت‌وگو با سخنگويي ازسمت تلگرام، گفته شد كه اطلاعات لورفته شامل شناسه متخصصي، نام متخصصي، شماره تلفن، هش و كليدهاي امنيتي است. بدين‌ترتيب كسي كه اين اطلاعات را دراختيار داشته باشد، قادر به انجام حمله SIM Swap خواهد بود. در اين حمله‌ي امنيتي، هكر با گول‌زدن اپراتور قادر خواهد بود تا رمز امنيتي حساب متخصصي را ازطريق پيامك يا تماس تلفني دريافت كند و وارد حساب متخصص شود. او سپس مي‌تواند تنظيمات را به‌نوعي تغيير دهد كه متخصص ديگر قادر به استفاده از حساب خود نباشد.

امنيت اپليكيشن تلگرام به‌اندازه‌اي است كه تابه‌حال هيچ هكري موفق به هك‌كردن آن نشده‌است اما به‌دليل ذات متن باز آن، برخي افراد از روي اپليكيشن نمونه‌هايي مي‌سازند و در آن‌ها تغييراتي مي‌دهند و برنامه‌ي جديد را منتشر مي‌كنند؛ اتفاقي كه با فيلترينگ تلگرام در ايران نيز رخ داد و چندين نمونه از تلگرام دراختيار شهرونداني قرار گرفت كه قصد نداشتند از ابزاري براي دور زدن فيلترينگ استفاده كنند. به اين نمونه‌ها پوسته گفته مي‌شود و اشكال در رفتار اين پوسته‌ها نمود پيدا مي‌كند كه مشخص نيست پيش از رسيدن داده‌ها به سرور اصلي تلگرام، آيا آن‌ها در جاي ديگري هم ذخيره مي‌شوند يا خير. استفاده از اين پوسته‌ها زمينه را براي هك‌كردن حساب‌هاي متخصصي ايرانيان در تلگرام فراهم كرد؛ حتي اطلاعات كساني كه خود از نسخه‌هاي غيررسمي استفاده نمي‌كردند اما با افرادي كه نسخه‌ي غيررسمي را استفاده مي‌كردند در تماس بودند.

جداي از اخباري كه ما درمورد افشاي اطلاعات مي‌شنويم، خريد و فروش يا اشتراك‌گذاري اطلاعات زيادي در دارك وب درجريان است و تنها خبر آن عمومي نمي‌شود. درواقع اطلاعات زيادي از مردم در فضاي مجازي فاش شده و تنها عمومي نشده است. در همين رابطه، معاون امنيت فضاي توليد و تبادل اطلاعات سازمان فناوري اطلاعات ايران نيز به خبرنگار اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران مي‌گويد تمام اپليكيشن‌هاي بزرگ در ايران تابه‌حال نشت اطلاعات در سطح گسترده را تجربه كرده‌اند؛ حتي اين اتفاق به مراتب رخ داده و تنها خبر آن عمومي نشده است.

اكنون با دو وجه از ماجراي اهميت نشت داده‌هاي شخصي طرف هستيم؛ برخورد مردم و برخورد سازمان‌ها. نخست بهتر است بپرسيم: آيا مردمي كه اطلاعات‌شان فاش مي‌شود، به اهميت موضوع امنيت داده‌هاي شخصي واقف هستند؟

مسئوليت حفظ داده‌هاي شخصي تنها بر گردن يك گروه مشخص نيست؛ چند عامل مختلف دست در دست هم مي‌گذارند تا شاهد لورفتن اطلاعات متخصصان فضاي مجازي باشيم. در مرحله‌ي اول متخصصاني قرار دارند كه اطلاعات متنوع و گسترده‌ي خود را بدون اينكه دليل آن را بدانند، دراختيار سامانه‌ها و برنامه‌ها و وب‌سايت‌ها مي‌گذارند. مسائل امنيتي متنوعي در شناسايي وب‌سايت‌ها و اپليكيشن‌هاي متقلب وجود دارد كه عده‌ي زيادي از مردم آن‌ها را نمي‌شناسند يا ناديده مي‌گيرند.

ساده‌ترين كار براي كسي كه قصد سوءاستفاده از اطلاعات شما يا دستگاه‌تان را دارد، اين است كه تنها ظاهر يك محتواي جذاب و پرجستجو را بيارايد و دربرابر چشم افراد قرار دهد. اين موضوع در پلتفرم‌هاي مختلف ديده مي‌شود؛ براي مثال در كانال‌هاي تلگرامي، پيج‌هاي اينستاگرامي، صندوق‌هاي دريافت رايانامه يا بازار دانلود اپليكيشن. موضوع به اين سادگي نيست كه با حذف برنامه يا بستن يك وب‌سايت خيال‌مان آسوده شود.

چرا نصب اپليكيشن ساده‌اي مانند يك تقويم بايد به دسترسي به دوربين، گالري يا تاريخچه‌ي تماس‌هاي شما نياز داشته باشد؟

ازسويي، شيوه‌ي دريافت اطلاعات نيز اهميت زيادي دارد. با بي‌توجهي در شيوه‌هاي اخذ اطلاعات در سامانه‌هاي مختلف، ممكن است اين تصور به‌وجود بيايد كه نياز است براي اموري مانند احراز هويت، داده‌هاي زيادي را دراختيار سامانه‌اي، ولو معرفي‌شده ازسوي نهادهاي معتبر قرار دهيم؛ به روش‌هايي كه ممكن است باعث سوءاستفاده‌ي افراد از اطلاعات شخصي و سرقت هويت شود. براي مثال در پلتفرم اختصاصي يادگيري و پرورش با نام شاد، تمامي اطلاعات دانش‌آموز در نزد مدرسه وجود داشت و اين اپليكيشن مي‌توانست تنها با دريافت كد دانش‌آموزي، دانش‌آموز را در سيستم خود ثبت و به كلاس درس وارد كند. بااين‌حال اطلاعات هويتي دانش‌آموز دريافت شد، درواقع با استناد به آمار يادگيري و پرورش، اطلاعات ۱۵ ميليون دانش‌آموز.

اين موضوع مي‌تواند ناشي از بي‌اطلاعي يا بي‌مبالاتي باشد. درنهايت ما بايد بدانيم چه محتوايي را از كجا تهيه مي‌كنيم و چه اطلاعاتي را دراختيار ديگران قرار مي‌دهيم؛ اما همان‌طور كه گفتيم، اين تنها مسئوليت متخصص نيست.

در مرحله‌ي بعدي به متخصصان امنيتي در سازمان‌ها و وظيفه‌ي آن‌ها در تأمين امنيت مي‌رسيم؛ اما اجازه دهيد كه ابتدا يك سؤال مطرح كنيم: آيا اين اشخاص مسئول تأمين امنيت متخصصان خود هستند؟ نكته‌ي عجيب در سؤال بالا اين است كه سازمان‌هاي زيادي در كشور ما اكنون بخشي مخصوص به امنيت در بطن خود ندارند، متخصص كارشناس امنيتي ندارند، قوانين تهديد‌كننده درخصوص نشت اطلاعات وسيع متخصصان ندارند و رسيدگي به جرايم آن‌ها در اين حوزه نيز به سازمان فناوري اطلاعات يا نهاد ناظر ديگري در فضاي مجازي مربوط نيست.

درنتيجه چندان عجيب نيست كه استانداردهاي امنيتي و تأمين امنيت متخصصان چندان جدي گرفته نشود. خود را درون سازماني تصور كنيد كه شرح وظايفي مشخص دارد و بودجه‌اي براساس آن دريافت مي‌كند؛ بايد به مسائل مختلف رسيدگي شود و سپس به مباحثه امنيتي مي‌رسيم؛ يعني بخشي كه قوانين سختگيرانه يا دست‌كم جريمه‌اي درصورت عدم رعايت سفت و سخت قوانين امنيتي براي آن وجود ندارد؛ چراكه ما به‌دفعات شاهد بوديم كه نشت اطلاعات صورت گرفته اما عواقبي درانتظار اين سازمان‌ها نبوده است؛ ولو اينكه برخي اوقات، سازمان و شركت‌ها منتشركنندگان خبر نشت اطلاعات يا فردي كه برحسب اتفاق به باگ‌هاي موجود در سامانه‌اي پي برده را نيز تهديد و از وي شكايت مي‌كنند.

به‌طور كلي، خطاهاي انساني مستقيم و غيرمستقيم از مهم‌ترين دلايل نشت اطلاعات در دنيا است. براساس اطلاعاتي كه از سال ۲۰۰۴ در ويكيپديا و در Ballon Race درمورد علل نشت اطلاعات ثبت شده، نزديك به ۴۰ درصد موارد مربوط به خطاي انساني عمد يا غيرعمد است. ميزان تأثير ديگر علل نشت اطلاعات را درادامه مشاهده مي‌كنيد:

اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران براي كسب اطلاعات بيشتر از علت لورفتن گسترده‌ي اطلاعات متخصصان در فضاي مجازي در ايران به‌سراغ يك برنامه‌نويس و متخصص امنيت رفت. كوروش قرباني پيش از اين با سازمان و نهادهايي ازجمله پليس فتا در مشهد، دانشگاه آزاد و دانشگاه خيام مشهد و با مجموعه‌هايي همچون جزوه رايگانراه همكاري كرده است. درادامه با مصاحبه‌ي اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران همراه باشيد.

اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران: آيا لورفتن اطلاعات متخصصان فضاي مجازي در ايران به دفعات بالا و در سطح وسيع رخ مي‌دهد يا در تمام دنيا به همين منوال است؟

قرباني: «به‌طور كلي، هرچه صنعت IT نوپاتر باشد، طبيعتا افشاي اطلاعات بيشتر رخ مي‌دهد ولي موضوعي كه فعلا در ايران شاهدش هستيم، ابتدا به پايين‌بودن سطح دانش متخصصان امنيت شركت‌ها يا ارگان‌ها برمي‌گردد. درواقع و متأسفانه، ما اكنون در مجموعه‌هاي بزرگ، رسته‌ي شغلي SOC (مركز عمليات امنيتي) نداريم؛ يعني متخصص شبكه يا حتي برنامه‌نويس ساده كار امنيت را در مجموعه انجام مي‌دهد كه خروجي اين كار مشخص است.»

قرباني اشاره مي‌كند كه به‌دليل نبود سطح دسترسي‌هاي مشخص و طبقه‌بندي‌شده و عدم يادگيري متخصصان شركت‌ها و ارگان‌ها در ايران احتمال وقوع حوادث امنيتي بيشتر مي‌شود.

اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران: اما چگونه مي‌شود كه شركت‌ها و سازمان‌ها به موضوع امنيت اهميت ندهند، درحالي‌كه هميشه ادعا دارند حفظ اطلاعات مردم براي آن‌ها جايگاه ويژه‌اي دارد؟ جداي از اين، مگر قوانين مشخص و تهديدكننده‌اي در اين رابطه وجود ندارد كه مسائل امنيتي تا اين حد ازسوي آن‌ها مورد غفلت قرار مي‌گيرد؟

قرباني: «متاسفانه برخلاف كشورهاي ديگر، در ايران قانون مشخص و محكمي براي جريمه كردن شركت‌ها و به‌خصوص ارگان‌ها وجود ندارد. به‌همين دليل است كه شركت‌ها تنها "ادعا" مي‌كنند كه حافظ اطلاعات مردم هستند. اين بيشتر شبيه شعار است؛ مثال ساده‌اي درمورد شعاربودن چنين ادعايي، اينكه همين الان كل اطلاعات مشتركين مبين نت قابل استخراج است (از شماره تلفن گرفته تا علايق متخصصان و ...) و با اينكه خود من، چندين بار موضوع را به آن‌ها اطلاع داده‌ام، هيچ پيگيري انجام نشده است.»

اين متخصص امنيت به اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران مي‌گويد كه علت افشاي گسترده‌ي اطلاعات شركت‌هاي ايراني در چند وقت اخير، بيشتر، نبود متخصص در شركت‌ها است؛ او افشاي تصاوير زيادي از مدارك مردم در سايت‌هاي فروش ارز ديجيتال را مثال مي‌زند كه علت آن به ميزان بالايي، تنظيمات نادرست سرورها است.

مورد ديگر، اهميت‌ندادن نيروها به چارچوب‌هاي شركت است كه تصور مي‌كنم بيشتر به‌خاطر نبود قانون براي مجازات رخ مي‌دهد.از همه بدتر، كتمان خود شركت‌ها است؛ در بيشتر مثال‌هايي كه اين اواخر شاهدشان بوديم، به‌جز يكي دو شركت، همگي ادعاهايي عجيب پس از نشت اطلاعات‌شان كردند؛ برخي گفتند اطلاعات قديمي است (رايتل)، يا مربوط به زيرسيستم بي‌ربط است يا شامل اطلاعات خصوصي نيست (سيبچه) و...

قرباني به خبرنگار اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران مي‌گويد كه شركت‌ها براي جلوگيري از نشت اطلاعات خود بايد هزينه كنند؛ براي مثال نيروها را يادگيري دهند تا از هك به‌وسيله‌ي حمله مهندسي اجتماعي جلوگيري شود يا نيروي متخصص امنيت را به‌صورت دوره‌اي يا دائم به كار بگيرند و استخدام كنند.

باگ بانتي كه پيش‌تر به آن اشاره كرديم، در صحبت‌هاي قرباني نيز تكرار مي‌شود. او اشكال عمده‌اي در هك‌شدن سازمان‌ها و شركت‌ها در ايران را نبود سيستم باگ بانتي يا اهميت‌ندادن به آن مي‌داند.

قرباني: «بيشتر اين هك‌شدن‌ها از قبل به شركت‌ها گزارش داده مي‌شود اما شركت‌ها براي هزينه‌نكردن، عمدتا بي‌توجهي مي‌كنند يا به‌جاي رفع اشكال، به فكر شكايت از گزارش‌دهنده مي‌افتند (او مي‌گويد فيديبو چنين شكايتي را طرح كرده است). اين شرايط باعث شده كه هكر يا متخصص امنيت وقت خود را در سايت‌هاي خارجي و پلتفرم‌هاي قابل اطمينان هزينه كند و گزارش‌هاي وجود باگ را در سايت‌هاي ايراني با دردسرهاي فراوان خودش كنار بگذارد.»

اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران: اينكه شما گفتيد شركت‌ها در واكنش، برخي اوقات توجيهاتي مي‌آورند؛ آيا اگر اين توجيهات مانند قديمي‌بودن ركوردها درست باشد، آيا نمي‌تواند خطرآفرين باشد؟ يا به‌كل توجيهات غلطي هستند؟

قرباني: «حرفي كه مي‌زنيد، دقيقا درست است؛ توجيه‌كردن اين داستان به‌كلي اشتباه است. پخش‌شدن اطلاعات متخصصان، هر كجاي دنيا اتفاق بيفتد، شركت مربوطه مجبور به پرداخت خسارت به تمام متخصصهايش مي‌شود (چه متخصص قديمي و چه جديد) اما در ايران شركت نه‌تنها خسارت نمي‌دهد، بلكه در بيشتر موارد عذرخواهي هم نمي‌كند و پخش اطلاعات را به هر شكلي توجيه و كتمان مي‌كند؛ حالا چه با مرتبط كردن آن به قديمي بودن و چه با مرتبط كردن با زيرسيستم‌هاي بي‌ربط و غيره.»

سوالي كه درادامه‌ي مطلب، پاسخ آن را ازسوي معاون وزير ارتباطات مي‌دهيم، از قرباني نيز پرسيديم: در ايران چه كسي مسئول لورفتن اطلاعات است؟ آيا خصوصي يا دولتي بودن سازمان‌ها مي‌تواند در اين زمينه مؤثر واقع شود؟

قرباني مي‌گويد، در ايران، هكر يا مهاجم مسئول لو رفتن اطلاعات است و او است كه بازخواست مي‌شود اما در سطح دنيا، اول شركت مسئوليت دارد و سپس تمام دنيا. قرباني، قوانين موجود در بازخواست كسي كه مسئول حقيقي نشر اطلاعات است را مضحك مي‌خواند و درمثالي مي‌گويد:

به‌عنوان مثال، اگر من سايت داشته باشم و شما در سايت من محتوياتي آپلود كنيد كه مخالف قوانين كشور است، اول من مجرم هستم، دوم شما؛ و شما زماني بازخواست مي‌شويد كه من از شما شكايت كنم. اما در زمان هك شدن و پخش اطلاعات تنها هكر مجرم حساب مي‌شود و كسي شركت مربوطه را جريمه يا بازخواست نمي‌كند كه چرا اطلاعات مردم رمزگذاري يا حداقل محافظت نشده است.

اين متخصص امنيت مي‌گويد كه ازلحاظ قانوني فرقي نمي‌كند كه سازماني دولتي يا خصوصي باشد تا رويكرد بهتري را در پيش بگيرد؛ او مي‌گويد در موارد بسيار زيادي، ارگان‌هاي دولتي و نيمه‌دولتي حتي برخورد بدتري را در پيش مي‌گيرند و مسئله را پيگيري نكرده و دررابطه‌با آن اطلاعيه‌اي هم منتشر نمي‌كنند.

درواقع با تجربيات شغلي كه اين متخصص امنيت داشته، امنيت داده را براي اين سازمان‌ها موضوعي بسيار غريب عنوان مي‌كند. او مي‌گويد كه كاركنان سازمان‌ها با تصور اينكه سال‌هاي زيادي از استخدام آن‌ها مي‌گذرد و حقوق‌شان به‌جا و ثابت است و الزامي براي يادگيري مورد جديدي براي آن‌ها وجود ندارد، پس پاسخگوبودن درقبال امنيت داده‌هاي مردم را نيز از وظايف شغلي خود محسوب نمي‌كنند.

قرباني در مسئله‌ي عدم درك كاركنان سازمان‌ها در اهميت حفاظت از داده‌ها، مثال مي‌زند كه يك مرتبه، رمز عبور و نام متخصصي يك زيرسيستم مالي در دانشگاه آزاد را چسبيده به ديوار ديده است.

ما در اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران، پس از شنيدن حرف‌هاي اين برنامه‌نويس و متخصص امنيت به‌سراغ معاون امنيت فضاي توليد و تبادل اطلاعات سازمان فناوري اطلاعات ايران رفتيم و علت نشت گسترده‌ي اطلاعات در كشور را از وي جويا شديم.

ابوالقاسم صادقي به اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران مي‌گويد كه اكثر شركت‌هاي ما متخصص كارشناس امنيتي يا به‌طوركلي، بخش امنيت در زيربخش‌هاي خود ندارند. او علت نشت اطلاعات در سازمان‌ها را ناآگاهي، ضعف بنيه مالي و نيروي انساني مي‌داند. بااين‌حال به‌انديشه متخصصين او موضوع درمورد اپليكيشن‌هاي بومي متفاوت است و دليل نشت اطلاعات آن‌ها، بي‌توجهي به مسائل امنيتي و بي‌مبالاتي است.

صادقي مي‌گويد اپليكيشن‌هاي بومي براساس ميزان ركوردي كه از متخصصان جمع‌آوري كرده‌اند و براساس توان مالي خود تفكيك مي‌شوند. به‌گفته‌ي او، دستورالعملي به همين منظور توسط سازمان فناوري اطلاعات تهيه شده و شركت‌ها در آن رده‌بندي شده‌اند؛ اپي كه چندصد ركورد و توان مالي بالا دارد با اپي داراي توان متوسط يا تازه‌پاگرفته شرايط متفاوتي دارد.

صادقي مثال مي‌زند، اپليكيشني كه شركت آن روزي چندده ميليارد گردش مالي دارد، بدون احتساب ارزشي كه متخصصان به اپليكيشن اضافه مي‌كنند، نه‌تنها بخش امنيتي ندارد بلكه حتي يك متخصص كارشناس امنيت نيز ندارد؛ درنتيجه مشخص است كه بهايي به موضوع امنيت اپليكيشن خود نمي‌دهد.

صادقي به اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران مي‌گويد، موضوع دوم اين است كه ما عبرت نمي‌گيريم و اشكال را رفع نمي‌كنيم. او اشاره مي‌كند كه براي مثال، براي ياهو يا يك بانك در سطح جهاني نيز فاش‌شدن چندصدميليون حساب متخصصي رخ داده است اما آن‌ها پس از رخ‌دادن حادثه، بخش ويژه‌اي، تنها براي رسيدگي به همين موضوع راه‌اندازي كردند تا رخ‌دادن چنين اتفاقي ديگر ممكن نباشد؛ درحالي‌كه كسب‌و‌كار ما به هيچ عنوان چنين كاري نمي‌كند.

صادقي مي‌گويد كسب‌و‌كار ما پس از نشت اطلاعات، اول سعي مي‌كند موضوع را پنهان كند، پس از برملاشدن آن سعي مي‌كند توجيهي براي لاپوشاني امر پيدا كند و درآخر كمي خسارت بدهد؛ اما درنهايت فرداي پس از تمام‌شدن ماجرا، دقيقا به روال سابق كار خود و انديشه متخصصينات قبلي خود در امنيت اطلاعات ادامه مي‌دهد.

وقتي مشاهده مي‌كنيم تأمين امنيت متخصصان آخرين اولويت در توسعه‌ي كسب‌وكارها است، درحالي‌كه شركت‌ها به‌راحتي مي‌توانند لايسنس هر برنامه‌ي امنيتي را كه نياز داشته باشند براي بخش ديتابيس خود تهيه كنند اما اين موضوع را جدي نمي‌گيرند، طبيعي است كه تصور كنيم متولي خاصي در كشور براي پيگيري خسارت‌هاي واردشده به متخصصان و حريم خصوصي آنان وجود ندارد.

صادقي مي‌گويد وقتي نشت اطلاعات ازميزاني بالاتر رود، مسئله ملي مي‌شود و اين تنها مربوط به كسب‌و‌كار نيست. اما تابه‌حال به‌كارگيري استانداردهاي امنيتي براي سازمان‌ها اجباري نبوده؛ تنها يك سازوكار قانوني در سطح كلان دولت تصويب و ابلاغ شده بوده و سازمان‌ها موظف بوده‌اند آن را رعايت كنند؛ البته ساز و كاري كه الزام ندارد و سازمان فناوري اطلاعات ابزار قانوني براي مؤاخذه درصورت عدم رعايت آن را ندارد.

اين سؤالي است كه امير ناظمي، معاون وزير ارتباطات و رئيس سازمان فناوري اطلاعات در مراسم صدور گواهي مشترك در حوزه‌ي ارزيابي امنيتي‌پدافندي محصولات فتا به آن پاسخ داد.

به‌گفته‌ي ناظمي، نشت اطلاعات متخصصان طبق قانون براي شركت‌ها داراي عواقب است اما اين موضوع داراي ضعف‌هايي است كه دولت تلاش مي‌كند با به‌تصويب‌رساندن قانون «صيانت داده‌ها» آن ضعف‌ها را رفع كند. قانوني كه ناظمي از آن سخن مي‌گويد، دو سال است كه ازسوي وزارت ارتباطات رونمايي شده اما در بروكراسي‌هاي دولتي گير كرده و اخيرا از كميسيون آزاد شده تا در هيأت دولت مطرح شود.

طبق توضيح ناظمي، ازآنجاكه اين لايحه قضايي و ذيل تعريف «جرم» است، دولت نمي‌تواند مستقيما آن را ارائه كند. لايحه بايد ابتدا ازسوي مجلس يا قوه قضاييه مطرح شود. كاري كه وزارت ارتباطات كرد اين بود كه جلساتي با قوه قضاييه و مجلس تشكيل داد، تغييراتي در لايحه اعمال شد كه همين موضوع تأخير به‌وجود آورد و درنهايت به هيأت دولت رسيد تا براي تبديل‌شدن به قانون به مجلس ارسال شود. ناظمي مي‌گويد اين لايحه، مشابه GDPR است كه در اتحاديه اروپا به تصويب رسيده و مي‌تواند رسيدگي به جرايم سايبري را سرعت بخشد.

اما معاون وزير ارتباطات مي‌گويد كه همين اكنون نيز نشت اطلاعات براي سازمان‌ها و شركت‌ها عواقب داشته و قوانيني براي آن وجود دارد. بااين‌حال به‌وضوح مشخص است كه اين قوانين كافي و وافي نبوده‌اند. متن كامل قانون جرايم رايانه‌اي را مي‌توانيد از همين لينك مشاهده كنيد.

ناظمي مي‌گويد سازمان فناوري اطلاعات، نهادي دولتي است و نمي‌تواند كسب و كارها را بازخواست كند؛ اين موضوع بر دوش قوه قضاييه است. ازطرفي، شركت‌ها تاكنون الزامي براي دريافت گواهي‌نامه‌هاي امنيتي نداشته‌اند. حال سازمان فناوري اطلاعات از شوراي عالي فضاي مجازي خواسته است تا با صدور مصوبه‌اي، اخذ مجوز امنيتي براي اپليكيشن‌ها را الزامي كند و هماهنگي با پليس فتا براي برخورد در اين زمينه صورت بگيرد.

هرچند، نظام مقابله با حوادث فضاي مجازي در شوراي عالي فضاي مجازي نيز داراي اشكالاتي در آيين‌نامه‌ي خود است و ناظمي، علت آن را قديمي‌بودن قوانين مي‌داند. او مي‌گويد زمان زيادي از تصويب اين قانون مي‌گذرد و اكنون نيازمند بازبيني است؛ چراكه دغدغه، پيش‌تر حفاظت از داده‌هاي كلان نبوده و با گسترش ضريب نفوذ اينترنت اكنون بايد قوانين هم پابه‌پاي زمان تغيير كند به‌طوري‌كه پاسخگوي چالش‌ها باشند.

بنا به پيگيري سازمان فناوري اطلاعات، افشاشدن اطلاعات متخصصان ايراني تلگرام، تاكنون به دادستاني شكايت شده‌ است؛ روندي كه به‌درازا كشيده و هنوز جوابي براي آن نيامده است. درمورد رايتل نيز سازمان تنظيم مقررات و ارتباطات راديوئي (رگولاتوري) تصميماتي گرفته و به‌زودي برخورد لازم با آن‌ها خواهد شد.

موضوعي كه در ماجراي تلگرام وجود داشت اين بود كه پوسته‌هاي تلگرام را سازمان افتا معرفي كرده بود؛ يعني سازماني كه خود از اركان برقراري امنيت در فضاي مجازي است. ناظمي مي‌گويد شكايتي در اين زمينه نيز به دادستاني ارسال شده اما نتيجه‌ي دادرسي آن هنوز مشخص نيست.

به‌گفته‌ي ناظمي، هيچ‌كدام از اپليكيشن‌هايي كه تابه‌حال اطلاعات متخصصان آن‌ها فاش شده، گواهي‌هاي امنيتي را دريافت نكرده بودند. به‌هرصورت، از اين پس اپليكيشن‌ها بايد با جمع‌آوري هرچه بيشتر اطلاعات مردم، براي فعاليت خود گواهي‌هاي امنيتي اخذ كنند. صادقي به اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران مي‌گويد كه سازمان فناوري قصد دارد اين قانون را تا آخر تابستان امسال نهايي كند.

مسئله‌اي كه جدا از عواقب نشت اطلاعات براي سازمان‌ها و اينكه آيا پيگيري صورت خواهد گرفت يا خير وجود دارد، اين است كه سازمان و شركت‌ها فاش‌شدن اطلاعات متخصصان‌شان را قبول نكرده يا علت واقعي موضوع را بيان نمي‌كنند. سوالي كه اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران در اين رابطه از رئيس سازمان فناوري اطلاعات دارد، اين است كه آيا پروتكلي براي رفتار سازمان و شركت‌ها در زمان لورفتن اطلاعات وجود ندارد؟

ناظمي مي‌گويد نبود پروتكل در اين مورد نيز از ضعف‌هاي قانوني نشأت مي‌گيرد اما اتفاقي كه به‌طور عملياتي رخ مي‌دهد اين است كه برخي شركت‌ها، به‌خصوص شركت‌هاي بزرگ با سازمان فناوري در اين زمينه همراهي مي‌كنند؛ بدين‌معني كه پس از باخبرشدن از موضوع، اولين تماس را با نهادهاي مذكور مي‌گيرند و برهمين اساس گروهي براي كمك به رفع اشكال ازسوي مركز ماهر يا افتا به دفاتر شركت‌ها فرستاده مي‌شود، اطلاعات موجود را مطالعه مي‌كنند و براساس همراهي آن‌ها گزارشي از اشكال تهيه مي‌شود. ديتاسنترها هم كه ميزباني را انجام مي‌دادند با سازمان فناوري به همين ترتيب همكاري ‌مي‌كنند.

بااين‌حال به‌گفته‌ي ناظمي،‌ تمام شركت‌ها اين همراهي را ندارند. به‌همين علت او از شركت‌ها درخواست دارد كه در چنين مواقعي، با دريافت اولين رايانامه هشداردهنده با يكي از نهادهاي مربوطه تماس بگيرند.

نكته‌اي كه در گفته‌هاي ناظمي بر آن تأكيد مي‌شود، بر همكاري با افرادي اشاره دارد كه باگي را شناسايي مي‌كنند. ناظمي به اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران مي‌گويد:

در مواردي، فردي باگي را شناسايي مي‌كند و درخواست دريافت پاداش از شركت مربوطه مي‌كند كه اين موارد را نيز شركت‌ها به ما اطلاع مي‌دهند. به همين منظور، ما راهكاري قانوني براي اين موارد تحت عنوان انجمن كلاه‌سفيدها درانديشه متخصصين گرفته‌ايم و به اين مسئله رسيدگي مي‌كنيم. درواقع اين مسئله به باگ بانتي تبديل مي‌شود و سپس فرد مدعي براساس ارزيابي يك گروه مشخص، مبلغي به‌عنوان پاداش دريافت مي‌كند. در مواردي نيز اخيرا شاهد رخ‌دادن اين اتفاق بوديم.من از اين اشخاص خواهش دارم كه ما را دركنار خود ببينند و تصور نكنند ورود نهادي مثل سازمان فناوري يا افتا و نهادهاي مربوطه به ضرر آن‌ها تمام مي‌شود. در بسياري از اوقات، اين مسئله براي آن‌ها راحت‌تر خواهد شد. شركت‌ها هم همين درخواست را از شما دارند.

بااين‌حال معاون وزير ارتباطات مي‌گويد كه گاهي رايانامه‌هاي هشداردهنده‌ي وجود باك، فيك هستند و خود سارق‌اند. در اين زمان‌ها، افرادي با معرفي خود به‌عنوان ديگر نهادها با شركت‌ها تماس مي‌گيرند و اطلاعات بيشتري از آن‌ها اخذ مي‌كنند. «شركت‌ها بايد بدانند كه نهادهاي متولي مشخص هستند و تنها بايد با ما تماس بگيرند و با ديگر نهادها خودمان هماهنگ مي‌كنيم تا اطلاعات بيشتري گرفته نشود و همين موضوع مخاطره‌ي جديدي ايجاد نكند.»

درانتهاي مقاله، جا دارد كه باري ديگر به اهميت توجه به حريم خصوصي و يادگيري دراين‌باره، براي مردم، سازمان‌ها و نهادها اشاره كنيم.

تكرار رفتارهاي اشتباه تنها ازسوي سازمان‌ها و كسب و كارها رخ نمي‌دهد؛ حتي عده‌ي زيادي از مردم نيز پس از لورفتن اطلاعات‌شان به رفتارهاي غلط خود ادامه مي‌دهند. براي مثال پس از لورفتن اطلاعات از پوسته‌هاي تلگرام شاهد هستيم كه استفاده از اين اپليكيشن‌هاي غيراصل همچنان ادامه دارد. با رقم بالايي كه ميزان نشت اطلاعات از پوسته‌هاي تلگرام داشته، يعني ۴۰ ميليون متخصص، دور از انتظار نيست كه تصور كنيم نزديك به نيمي از مردم كشورمان به ممباحثه امنيت ديجيتال و حريم خصوصي اعتقادي ندارند. جداي از استفاده از نسخه‌هاي ناامن تلگرام، مردم در كانال‌ها برنامه‌هاي ناامن را نيز، برخي اوقات، بيش از ۱ميليون بار دانلود مي‌كنند و لحظه‌اي به عواقب استفاده از آن نمي‌انديشند.

رفتار سازمان‌ها نيز در اين زمينه متفاوت از رفتار مردم نيست؛ ظاهرا شركت‌ها سرمايه‌گذاري خاصي در مباحثه امنيت و گزينش مسئولان بخش امنيت نمي‌كنند و همين موضوع باعث لورفتن روزانه‌ي اطلاعات ميليون‌ها شهروند مي‌شود؛ اطلاعاتي كه نمي‌دانيم از آن‌ها در چه زماني و چه سوءاستفاده‌هايي خواهد شد.

با وجود يادگيري و انجام‌دادن اقدامات اوليه، باز هم دور از انتظار نيست كه تصور كنيم همچنان داده‌هاي‌مان مخفيانه به‌فروش مي‌رسند؛ اما متوقع‌بودن براي رعايت حداقل توصيه‌هاي امنيتي و استفاده از سخت‌افزار و نرم‌افزار به‌روز و مناسب و كمي اهميت‌دادن بيشتر سازمان‌ها و شركت‌ها به مباحثه امنيت داده‌هاي متخصصان‌شان، دست‌كم مي‌تواند قدمي باشد براي حركت به‌سوي عملي‌شدن و اجباري‌شدن اقداماتي بزرگتر و عميق‌تر و ايجاد رفتارهاي راسخ‌تر براي مبارزه با نشت اطلاعات.