چرا پایگاه‌های اطلاعاتی جمهوری اسلامی نشتی دارند؟

04:06۰

علیرضا منافی

بر اساس اظهارات کارشناسان حوزه امنیت اطلاعات، میزان نشت اطلاعات کاربران در ایران بیشتر از میانگین جهانی است. این در حالی است که هنوز بسیاری از داده‌های کاربران ایرانی به‌صورت آنلاین و از طریق سامانه‌ها در دسترس نیست. با وجود این، با جست‌وجویی ساده در موتورهای جست‌وجو، با خیل عظیم خبرهای نشت اطلاعات کاربران ایرانی از طریق سامانه‌ها مواجه می‌شویم. تا به امروز هیچ‌کدام از سامانه‌های مرتبط با نشست اطلاعات در این باره پاسخگو نبوده‌اند.

اولین نشت داده را می‌توان حاصل بی‌توجهی به اصول و مبانی حفاظت از اطلاعات رایانه‌ای در سایت یارانه‌ها دانست که اطلاعات آن بدون نفوذ و تنها به دلیل فرمت اشتباه آن سایت که بدون توجه به نکات امنیتی طراحی شده بود، نشت کرد. به این ترتیب، اطلاعات میلیون‌ها نفر به دست ربات‌های جست‌وجوگر در گوگل افتاد.

در فروردین ۱۳۹۹، اطلاعات ۸۰ میلیون ایرانی از سرورهای سازمان ثبت احوال به بیرون درز کرد. این اطلاعات را یک ربات تلگرامی به طور مستقیم از سرورهای ثبت احوال دریافت می‌کرد. تیم امنیتی پشتیبان این ربات اظهار داشت که قبلا موضوع مشکل امنیتی سرور سازمان ثبت احوال را کتبی و شفاهی با سازمان «افتا» مطرح کرده بوده اما این سازمان در پاسخ به ادعای آن‌ها گفته است: «هیچ‌کاری نمی‌توانید بکنید.»

در خرداد ۱۳۹۹، درز اطلاعات ۵.۵ میلیون مشترک اپراتور رایتل در رسانه‌های اجتماعی، خبرساز شد و مرکز «ماهر» یعنی همان مرکز مدیریت امداد و هماهنگی رخدادهای یارانه‌ای، این خبر را تایید کرد. واکنش رایتل به این رخداد در نوع خود بی‌نظیر بود و روابط عمومی این شرکت در بیانیه‌ای اعلام کرد: «اطلاعات مورد بحث بسیار قدیمی و تعداد افرادی که اطلاعاتشان لو رفته، بسیار کمتر از ۵.۵ میلیون کاربر بوده است.»

در اردیبهشت ۱۴۰۰، اطلاعات هویتی ۳۰ میلیون مشتری بانک ملت به سرقت رفت و برای فروش روی شبکه‌‌‌های اجتماعی قرار گرفت. مسئولان نه تنها چاره‌ای برای رفع این مشکل نیافتند، بلکه حاضر به پاسخگویی و اطلاع‌رسانی رسمی هم نشدند.

پاسخگویی در زمینه نشت اطلاعات را نه مسئولان با جدیت پیگیری می‌کنند و نه اساسا در جمهوری اسلامی ایران نهادی برای پاسخگویی وجود دارد. پیامدهای ناگوار این موضوع تنها گریبان مردم را می‌گیرد و مسئولان با در پیش‌ گرفتن سیاست «تکذیب یا سکوت» عملا کاری برای جبران انجام نمی‌دهند.

هرچند نشت اطلاعات ممکن است برای هر شرکت یا نهادی رخ دهد زیرا در بحث امنیت اطلاعات، به صفر رساندن ریسک میسر نیست، کاهش آن نه تنها امکان‌پذیر است، بلکه یکی از فرایندهای ضروری حفاظت از داده‌ها به شمار می‌آید. برای مثال در بیشتر موارد، نشت اطلاعات بانکی ناشی از استفاده نکردن از یک بستر امن انتقال اطلاعات بین واحدهای داخلی سازمان‌ها است.

این سطح از بی‌توجهی به امنیت داده‌ها ناشی از اهمیت نداشتن حفاظت از داده‌های کاربران در دید مسئولان است و به نوبه خود باعث می‌شود برای دسترسی به تکنولوژی‌های روزامد نه تنها تلاشی صورت نگیرد، بلکه مراودات مالی در حوزه‌های دیگری رخ دهد. برای مثال زمانی که قرار است درباره زیرساخت‌های امنیتی قراردادهایی بسته شود، «رانت‌خواری» پیمانکاران و کارفرمایان یکی از دلایل اساسی است که موجب می‌شود شرکت‌های واجد صلاحیت به حاشیه رانده شوند. بنا بر اظهارات نایب‌رئیس انجمن شرکت‌های نرم‌افزاری، «رانت در قراردادهای استقرار زیرساخت‌های امنیتی» را می‌توان از عوامل اصلی دانست که نتیجه آن نشست اطلاعات است.

اقدام‌هایی مانند جدا کردن شبکه اینترنت و اینترانت از یکدیگر نیز نه تنها چاره‌ساز نیست بلکه تکنیک «فرار از حل مسئله» را یادآور می‌شود. این همان سیاست کلی نظام جمهوری اسلامی ایران است که به جای تقویت ساختارها و زیرساخت‌های داخلی بهره‌برداری از اینترنت، همواره دیوارکشی بین فضای داخلی و خارجی را راهکار صحیح می‌پندارد؛ بدین معنا که هراس از خطرات خارجی همواره با تکیه بر منطق جداسازی و نه تقویت توانمندی پیگیری می‌شود؛ یعنی «بالکانیزه کردن» در حوزه تکنولوژی بر تعامل سازنده ترجیح دارد.

سازمان‌های دولتی معمولا به سامانه‌های متعددی متصل‌اند که هر کدام از این سامانه‌ها از طریق پیمانکاری مجزا راه‌اندازی شده‌اند و سیاست‌های امنیتی خود را دنبال می‌کنند. علاوه بر مسئله رانت‌خواری که بدان اشاره شد، بیشتر این همکاری‌ها بین سازمان‌های دولتی و پیمانکاران که از طریق مناقصه‌ها انجام می‌شود، با هدف پایین آوردن هزینه‌ها است، نه اجرای تعهدات و دانش فنی که باید امنیت اطلاعات کاربران را تضمین کند.

موضوع پراهمیت دیگر ارزیابی‌های امنیتی است و نهادهای دولتی به‌صورت مستمر باید امنیت سامانه خود را بررسی کنند تا در برابر آسیب‌پذیری‌های جدید مقاوم باشند؛ اما نه تنها این ارزیابی‌ها در سامانه‌های دولتی انجام نمی‌شود بلکه از سیستم‌عامل و نرم‌افزارهای به‌روزنشده استفاده می‌شود. به‌ طوری که در بیشتر نهادها هنوز از ویندوز اکس‌پی استفاده می‌شود که مدتی طولانی است به‌روزرسانی آن متوقف شده است و این به معنی باز گذاشتن راه برای هکرها است.

با آنکه تمام شرکت‌های ارائه دهنده خدمات بر اساس ماده ۶ اساسنامه رگولاتوری و با هدف شفاف‌سازی کیفیت خدمات در مقابل هزینه آن در شبکه‌های ارتباطات داده‌ها و رعایت حقوق مشتریان، به رعایت موافقت نامه سطح خدمات «اس‌ال‌ای» (SLA) ملزم‌اند، تا به حال نهادهای مربوطه نظارتی بر این مسئله نداشته‌اند و شرکت‌های ارائه‌دهنده خدمات در بیشتر موارد از اجرای آن سر باز زده‌اند.

«اس‌ال‌ای» یک قرارداد دوجانبه بین شرکت ارائه‌دهنده خدمات و مشتری با هدف تضمین کیفیت توافق شده است که در صورت تخطی شرکت خدمات‌دهنده، برای مثال در هنگام بروز مشکلی مانند از دست رفتن داده‌های کاربران یا نقض حریم خصوصی، این شرکت باید زیان وارده به مشتریان را جبران کند. می‌توان ادعا کرد تاکنون نه هیچ نهاد ایرانی چنین ضرروزیان‌های ناشی از نشت اطلاعات را برای مشتریان جبران کرده و نه هیچ شرکتی در خصوص رعایت نکردن پروتکل‌های امنیتی به محکمه‌ای قضایی فراخوانده شده است؛ علاوه بر آن، تاکنون هیچکدام از مطالبه‌گری‌های مردمی با پاسخگویی مسئولانه‌ای همراه نشده است.

منتشر شده در ایندیپندنت فارسی


بدون دیدگاه

پاسخ دهید

فیلدهای مورد نیاز با * علامت گذاری شده اند