علیرضا منافی
بر اساس اظهارات کارشناسان حوزه امنیت اطلاعات، میزان نشت اطلاعات کاربران در ایران بیشتر از میانگین جهانی است. این در حالی است که هنوز بسیاری از دادههای کاربران ایرانی بهصورت آنلاین و از طریق سامانهها در دسترس نیست. با وجود این، با جستوجویی ساده در موتورهای جستوجو، با خیل عظیم خبرهای نشت اطلاعات کاربران ایرانی از طریق سامانهها مواجه میشویم. تا به امروز هیچکدام از سامانههای مرتبط با نشست اطلاعات در این باره پاسخگو نبودهاند.
اولین نشت داده را میتوان حاصل بیتوجهی به اصول و مبانی حفاظت از اطلاعات رایانهای در سایت یارانهها دانست که اطلاعات آن بدون نفوذ و تنها به دلیل فرمت اشتباه آن سایت که بدون توجه به نکات امنیتی طراحی شده بود، نشت کرد. به این ترتیب، اطلاعات میلیونها نفر به دست رباتهای جستوجوگر در گوگل افتاد.
در فروردین ۱۳۹۹، اطلاعات ۸۰ میلیون ایرانی از سرورهای سازمان ثبت احوال به بیرون درز کرد. این اطلاعات را یک ربات تلگرامی به طور مستقیم از سرورهای ثبت احوال دریافت میکرد. تیم امنیتی پشتیبان این ربات اظهار داشت که قبلا موضوع مشکل امنیتی سرور سازمان ثبت احوال را کتبی و شفاهی با سازمان «افتا» مطرح کرده بوده اما این سازمان در پاسخ به ادعای آنها گفته است: «هیچکاری نمیتوانید بکنید.»
در خرداد ۱۳۹۹، درز اطلاعات ۵.۵ میلیون مشترک اپراتور رایتل در رسانههای اجتماعی، خبرساز شد و مرکز «ماهر» یعنی همان مرکز مدیریت امداد و هماهنگی رخدادهای یارانهای، این خبر را تایید کرد. واکنش رایتل به این رخداد در نوع خود بینظیر بود و روابط عمومی این شرکت در بیانیهای اعلام کرد: «اطلاعات مورد بحث بسیار قدیمی و تعداد افرادی که اطلاعاتشان لو رفته، بسیار کمتر از ۵.۵ میلیون کاربر بوده است.»
در اردیبهشت ۱۴۰۰، اطلاعات هویتی ۳۰ میلیون مشتری بانک ملت به سرقت رفت و برای فروش روی شبکههای اجتماعی قرار گرفت. مسئولان نه تنها چارهای برای رفع این مشکل نیافتند، بلکه حاضر به پاسخگویی و اطلاعرسانی رسمی هم نشدند.
پاسخگویی در زمینه نشت اطلاعات را نه مسئولان با جدیت پیگیری میکنند و نه اساسا در جمهوری اسلامی ایران نهادی برای پاسخگویی وجود دارد. پیامدهای ناگوار این موضوع تنها گریبان مردم را میگیرد و مسئولان با در پیش گرفتن سیاست «تکذیب یا سکوت» عملا کاری برای جبران انجام نمیدهند.
هرچند نشت اطلاعات ممکن است برای هر شرکت یا نهادی رخ دهد زیرا در بحث امنیت اطلاعات، به صفر رساندن ریسک میسر نیست، کاهش آن نه تنها امکانپذیر است، بلکه یکی از فرایندهای ضروری حفاظت از دادهها به شمار میآید. برای مثال در بیشتر موارد، نشت اطلاعات بانکی ناشی از استفاده نکردن از یک بستر امن انتقال اطلاعات بین واحدهای داخلی سازمانها است.
این سطح از بیتوجهی به امنیت دادهها ناشی از اهمیت نداشتن حفاظت از دادههای کاربران در دید مسئولان است و به نوبه خود باعث میشود برای دسترسی به تکنولوژیهای روزامد نه تنها تلاشی صورت نگیرد، بلکه مراودات مالی در حوزههای دیگری رخ دهد. برای مثال زمانی که قرار است درباره زیرساختهای امنیتی قراردادهایی بسته شود، «رانتخواری» پیمانکاران و کارفرمایان یکی از دلایل اساسی است که موجب میشود شرکتهای واجد صلاحیت به حاشیه رانده شوند. بنا بر اظهارات نایبرئیس انجمن شرکتهای نرمافزاری، «رانت در قراردادهای استقرار زیرساختهای امنیتی» را میتوان از عوامل اصلی دانست که نتیجه آن نشست اطلاعات است.
اقدامهایی مانند جدا کردن شبکه اینترنت و اینترانت از یکدیگر نیز نه تنها چارهساز نیست بلکه تکنیک «فرار از حل مسئله» را یادآور میشود. این همان سیاست کلی نظام جمهوری اسلامی ایران است که به جای تقویت ساختارها و زیرساختهای داخلی بهرهبرداری از اینترنت، همواره دیوارکشی بین فضای داخلی و خارجی را راهکار صحیح میپندارد؛ بدین معنا که هراس از خطرات خارجی همواره با تکیه بر منطق جداسازی و نه تقویت توانمندی پیگیری میشود؛ یعنی «بالکانیزه کردن» در حوزه تکنولوژی بر تعامل سازنده ترجیح دارد.
سازمانهای دولتی معمولا به سامانههای متعددی متصلاند که هر کدام از این سامانهها از طریق پیمانکاری مجزا راهاندازی شدهاند و سیاستهای امنیتی خود را دنبال میکنند. علاوه بر مسئله رانتخواری که بدان اشاره شد، بیشتر این همکاریها بین سازمانهای دولتی و پیمانکاران که از طریق مناقصهها انجام میشود، با هدف پایین آوردن هزینهها است، نه اجرای تعهدات و دانش فنی که باید امنیت اطلاعات کاربران را تضمین کند.
موضوع پراهمیت دیگر ارزیابیهای امنیتی است و نهادهای دولتی بهصورت مستمر باید امنیت سامانه خود را بررسی کنند تا در برابر آسیبپذیریهای جدید مقاوم باشند؛ اما نه تنها این ارزیابیها در سامانههای دولتی انجام نمیشود بلکه از سیستمعامل و نرمافزارهای بهروزنشده استفاده میشود. به طوری که در بیشتر نهادها هنوز از ویندوز اکسپی استفاده میشود که مدتی طولانی است بهروزرسانی آن متوقف شده است و این به معنی باز گذاشتن راه برای هکرها است.
با آنکه تمام شرکتهای ارائه دهنده خدمات بر اساس ماده ۶ اساسنامه رگولاتوری و با هدف شفافسازی کیفیت خدمات در مقابل هزینه آن در شبکههای ارتباطات دادهها و رعایت حقوق مشتریان، به رعایت موافقت نامه سطح خدمات «اسالای» (SLA) ملزماند، تا به حال نهادهای مربوطه نظارتی بر این مسئله نداشتهاند و شرکتهای ارائهدهنده خدمات در بیشتر موارد از اجرای آن سر باز زدهاند.
«اسالای» یک قرارداد دوجانبه بین شرکت ارائهدهنده خدمات و مشتری با هدف تضمین کیفیت توافق شده است که در صورت تخطی شرکت خدماتدهنده، برای مثال در هنگام بروز مشکلی مانند از دست رفتن دادههای کاربران یا نقض حریم خصوصی، این شرکت باید زیان وارده به مشتریان را جبران کند. میتوان ادعا کرد تاکنون نه هیچ نهاد ایرانی چنین ضرروزیانهای ناشی از نشت اطلاعات را برای مشتریان جبران کرده و نه هیچ شرکتی در خصوص رعایت نکردن پروتکلهای امنیتی به محکمهای قضایی فراخوانده شده است؛ علاوه بر آن، تاکنون هیچکدام از مطالبهگریهای مردمی با پاسخگویی مسئولانهای همراه نشده است.
منتشر شده در ایندیپندنت فارسی
بدون دیدگاه