شنبه 3 آذر 1403

چرا دولت قادر به تامین امنیت اطلاعات جامعه نیست؟ | امنیت از دست رفته

وب‌گاه 55 آنلاین مشاهده در مرجع
چرا دولت قادر به تامین امنیت اطلاعات جامعه نیست؟ | امنیت از دست رفته

یک گروه هکری مدعی است سازمان ثبت احوال را هک کرده و بخشی از اطلاعات دیتابیس و زیرساخت را به عنوان صحت ادعای خود منتشر کرده است. این هکر ادعا دارد که به اطلاعات 130 میلیون ایرانی دست یافته است. او در کانال تلگرامی خود این موضوع را اعلام کرده و در حال حاضر کارشناسان فنی مشغول بررسی صحت ادعای او هستند.

یک گروه هکری مدعی است سازمان ثبت احوال را هک کرده و بخشی از اطلاعات دیتابیس و زیرساخت را به عنوان صحت ادعای خود منتشر کرده است. این هکر ادعا دارد که به اطلاعات 130 میلیون ایرانی دست یافته است. او در کانال تلگرامی خود این موضوع را اعلام کرده و در حال حاضر کارشناسان فنی مشغول بررسی صحت ادعای او هستند.

چند روز بعد وب‌سایت وزارت علوم، فناوری و تحقیقات هم از دسترس خارج شد. یک گروه هکری دیگر هم ادعا کرد که سایت وزارت علوم و فناوری را هک کرده است. آنها مدعی هستند که در راستای این حمله، به بیش از 20 هزار سند دسترسی پیدا کرده‌اند. این گروه هکری مدعی است که 500 سرور، کامپیوتر، سایت و سامانه این وزارتخانه را هک کرده است. این گروه هکری پیش از این مسوولیت هک شدن سازمان‌هایی مثل شهرداری تهران، وزارت امور خارجه، وزارت جهاد کشاورزی، وزارت ارشاد، صداوسیما، نهاد ریاست‌جمهوری و... را هم بر عهده گرفته بود و در حال حاضر مشغول نشر اطلاعاتی درباره کارکنان این وزارتخانه است.

در تعطیلات نوروز 99 نیز اطلاعات چند ده میلیون ایرانی لو رفته بود. در آن زمان اعلام شد درز اطلاعات به خاطر تعامل ثبت احوال با وزارت بهداشت بوده و اطلاعات از طریق این وزارتخانه لو رفته است. در آبان 1400 نیز براساس حمله هکرها، در سیستم‌های چهار هزار و 300 جایگاه سوخت‌رسانی کشور اختلال ایجاد شد.

چندی پیش اطلاعات 19 شرکت بیمه‌ای به وسیله یک هکر در شبکه‌های اجتماعی به فروش گذاشته شده اما هیچ واکنشی در برابر این موضوع از سوی شرکت‌های بیمه‌ای صورت نگرفته است. همچنین مدیرعامل تپسی با انتشار توئیتی اعلام کرد این پلت‌فرم هک شده و برخی از اطلاعات آنها به سرقت رفته است.

اینها تنها چند نمونه معروف‌تر از انواع هک‌های سازمان‌های دولتی و خصوصی ایران در سال‌های اخیر بوده است. و به نظر می‌رسد حمله سایبری به زیرساخت‌های کشور و هک وب‌سایت‌های دولتی و خصوصی همچنان ادامه دارد.

امنیت بنا به تعریفی که در جامعه ما جا افتاده یعنی دوری از هرگونه تهدید و نیز آمادگی برای رویارویی با خطرات. امنیت انواع گوناگون دارد اما در هر شکل آن، کالای عمومی است که دولت‌ها باید آن را تهیه و تامین کنند. هر سال بودجه زیادی صرف این می‌شود که تهدیدها از جامعه دور شود تا افراد بتوانند کسب‌وکار و زندگی کنند. اما در سال‌های گذشته به دلیل گسترش تکنولوژی و رواج شبکه‌های اجتماعی، امنیت مفهوم جدیدی پیدا کرده و به نظر می‌رسد دولت در تامین این جنبه از امنیت توفیق زیادی نداشته است.

با گسترش تکنولوژی و فراگیر شدن اینترنت، کاربران نیاز به احساس امنیت در فضای سایبری برای انجام امور خود دارند که این امنیت ابتدا با افزایش سطح آگاهی و دانش خود کاربران و سپس با کمک شرکت‌های امنیتی و مراجع قانونی و پلیس‌های سایبری فراهم می‌شود.

این روزها افراد زیادی در معرض هک اطلاعات شخصی خود قرار دارند بنابراین لازم است که هر فرد آگاهی و مهارت خود را افزایش دهد تا در معرض سرقت اطلاعات خود قرار نگیرد. اما این همه ماجرا نیست و جنبه دیگر امنیت اطلاعات، دست ما نیست و دولت‌ها باید از آن محافظت کنند. پس از هک سامانه «تهران من» متعلق به شهرداری تهران، «سامانه اطلاعات املاک وزارت مسکن» نیز هک شد. در سال‌های گذشته تعداد سامانه‌هایی که به وسیله هکرهای داخلی و خارجی هک شده کم نیست. بانک‌ها، بیمه‌ها، سامانه‌های رفاهی و سلامت و... همواره در معرض دستبرد هکرها قرار دارند و در سال‌های گذشته بارها مورد حمله قرار گرفته‌اند. دولت‌ها با ایجاد سامانه‌های مختلف، اطلاعات افراد را جمع می‌کنند اما هکرها به راحتی اطلاعات افراد را در اختیار می‌گیرند.

تقریباً با اطمینان زیاد متوجه شده‌ایم که بیشتر از همیشه در معرض سرقت اطلاعات مهم مالی و شخصی خود قرار داریم و نکته نگران‌کننده اینکه دولت‌ها نمی‌توانند از حریم خصوصی ما حفاظت کنند و با نشت گسترده اطلاعات شخصی خود از منابع دولتی مواجه هستیم. آیا راهی وجود دارد که از اطلاعات خود محافظت کنیم؟ آیا نیاز به سیاستگذاری و قانونگذاری داریم؟ در این گزارش تلاش شده تا با بازنگری به برخی از مفاهیم مثل امنیت داده در مثال‌ها و مقایسه‌هایی به ضرورت بازنگری به روند مدیریت امنیت داده در ایران پرداخته شود.

پیش از ورود به بحث «امینت داده» ابتدا باید مشخص کنیم آن داده‌ای که «داده شخصی» می‌نامیم چیست و محرمانگی‌اش چه الزامی دارد؟

پس اول از منظر حقوقی به این موضوع نگاه می‌کنیم. قوانین در دنیا مشخص می‌کنند که از نظر حقوقی چه داده‌ای محرمانه است. اما در ایران چنین قانونی را که در دنیا رایج است، نداریم. در این قوانین خیلی دقیق مشخص شده که داده شخصی چیست؛ مثلاً دقیقاً ذکر شده که آیا کد ملی، اسم، اطلاعات مالیاتی، اطلاعات سلامت و... اطلاعات شخصی هستند یا خیر. حتی در قانون امنیت داده آمریکا دقیقاً مشخص شده که رنگ چشم فرد داده محرمانه است. یعنی فرد با مراجعه به بیمارستان در فرم اطلاعات پزشکی‌اش وقتی ذکر می‌کند که رنگ چشم او سیاه است (چون داده شخصی ثبت شده است)، بیمارستان در قبال آن مسوول است. اما اگر در بیمارستان کسی درباره رنگ چشم از فرد سوال نپرسد و خودش رنگش را تشخیص دهد و فرد اظهارش نکرده باشد؛ از نظر بیمارستان این موضوع اطلاعات خودش است و داده شخصی محسوب نمی‌شود (منظور از طرح این مثال آن است که اهمیت جزئیات این قوانین مشخص شود). این موضوع به شرکت‌ها نیز تسری پیدا می‌کند؛ یعنی قوانین هم شخص حقیقی را دربر می‌گیرد و هم شخص حقوقی را. پس در بخش اول گزارش می‌توانیم به صراحت بگوییم چنین قوانینی در ایران وجود ندارد.

نکته دوم در این بحث «نقش‌ها» در مدیریت داده است. در حوزه اطلاعات داده، ما با سه نقش اصلی روبه‌رو هستیم. یکی آن شخصی است که مالک داده است. مالک اطلاعات سلامت در مثال بالا، آن شخصی است که اطلاعاتش را اظهار کرده است. مالک داده اطلاعات حساب بانکی هم متعلق به فردی است که در آن بانک حساب باز کرده است. نقش دوم متعلق به کسی است که داده را نگهداری می‌کند. در مثال طرح‌شده بانک یا بیمارستان اطلاعات شخص را نگهداری می‌کنند اما مالک آن نیستند. این دو نقش با هم متفاوت هستند. به همین دلیل است که اگرچه بانک اطلاعات شخص را دارد اما اجازه استفاده داده‌ها را خارج از قراردادی که در زمان افتتاح حساب امضا کرده، ندارد. این موضوع بسیار مهم است که ضرورتاً مالک داده خودش اطلاعات را نگهداری نمی‌کند و همچنین کسی که داده‌ها را در اختیار دارد لزوماً صاحب داده‌ها نیست. نقش سوم در این میان متعلق به کسی است که به داده‌ها دسترسی دارد. مثلاً شخص می‌گوید اطلاعات بانکی من، متعلق به خودم است و در بانک ملی نگهداری می‌شود؛ حالا سازمان امور مالیاتی برای تشخیص فعالیت مالیاتی فرد به آن داده بانکی نیاز داشته و به آن دسترسی دارد. نکته کلیدی آن است که قانون باید حدود مسوولیت‌ها و اختیارات و نحوه ارتباط میان هر سه نقش را برای همه مشخص کند. به گفته کارشناسان اصلاً چنین شرایطی در ایران برقرار نیست. مثلاً الان سازمان امور مالیاتی به بانک‌ها اعلام کرده که اطلاعات حساب مشتریان را باید به من بدهید. کسانی که متوسط مانده حساب آنها در طول یک سال بالای 500 میلیون تومان است کل اطلاعات و تراکنش‌های مالی‌شان را باید برای سازمان امور مالیاتی ارسال کنند. چه اشتباهی در این میان رخ داده است؟ اولاً درست است که اطلاعات از سوی بانک نگهداری می‌شود اما اطلاعات مربوطه متعلق به شخص است و نه بانک؛ پس شخص باید اجازه دسترسی به آن را بدهد. دوم، طبق قانون، سازمان امور مالیاتی باید به این داده‌ها دسترسی داشته باشد اما ضرورتی ندارد همه را جمع‌آوری و نگهداری کند. در قانون مالیات و Privacy Act آمریکا اعلام می‌شود که ادارات مالیات فدرال و مالیاتی ایالتی به اطلاعات بانکی دسترسی دارند اما به شرط حکم قاضی. یعنی مامور مالیاتی مستقیم نمی‌تواند از بانک درخواست اطلاعات حساب را داشته باشد؛ می‌رود از قاضی درخواست می‌کند، قاضی حکم صادر می‌کند و بعد دسترسی به او داده می‌شود. در ضمن به این شکل نیست که اداره مالیات تمامی اطلاعات فرد را برای روز مبادا نگهداری کند.

اهمیت تفکیک نقش‌ها چیست؟

در مسوولیت‌هایی که قانون برای هر نقش مشخص می‌کند، اهمیت «تفکیک نقش‌ها» مشخص می‌شود. فرض کنید اطلاعات بانکی شرکتی در اختیار هکرها قرار گرفته است. هکرها سیستم بانک را هک می‌کنند و به اطلاعات آن شرکت تجاری هم دسترسی پیدا می‌کنند. فرض کنید هکرها آن اطلاعات را به شرکت رقیب بفروشند. طبق قوانین آمریکا، شرکت مذکور می‌تواند از بانک شکایت کرده و ادعای خسارت کند و بگوید بانک در حذف اطلاعات محرمانه‌اش کوتاهی کرده و لطمه تجاری به کارش وارد شده است. طبق قانون به این موضوع رسیدگی می‌شود و خسارت‌ها پرداخت می‌شود. نتیجه‌اش این است که اداره مالیات از کسب و حفظ داده اضافی استقبال نمی‌کند. چون هرچه داده بیشتری داشته باشد مسوولیتش بالاتر می‌رود و احتمال هزینه دادنش بیشتر می‌شود. اما در ایران به راحتی به دلیل نبود این قوانین اطلاعات افراد حفظ و نگهداری می‌شود. اداره مالیاتی امروز برای روز مبادا تمامی حساب‌های بانکی افراد را نگهداری می‌کند و هیچ مسوولیتی در قبال آن ندارد. این موضوع فقط درباره بخش دولتی نیست، بلکه بخش خصوصی هم همین روش را پیش گرفته است. شما وارد فروشگاهی می‌شوید و برای حساب کردن از شما نام، نام خانوادگی و اطلاعات شخصی مانند روز تولد می‌خواهد؛ اطلاعات حساب هم که با کارتی که پول پرداخت شده در دسترس فروشگاه قرار می‌گیرد. چرا؟ چون اصلاً مسوولیتی در راستای حفظ اطلاعات شخصی فرد بر دوش فروشگاه نیست. اگر مشکلی هم برایش پیش آید که کد ملی و شماره موبایل و... مشتری در دسترس دیگران قرار گیرد، جریمه نمی‌شود. همه در هر حوزه‌ای بدون آنکه مسوولیتی نسبت به داده‌ها داشته باشند، مشغول کسب اطلاعات هستند. به همین دلیل است که تاکید می‌شود قانون باید در این‌باره اظهارنظر کند که اگر اطلاعاتی جمع می‌شود مسوولیتی هم نسبت به آن وجود دارد. مثلاً وقتی از اپلیکیشن جهانی مثل اسپاتیفای استفاده می‌کنید، طبق قانون این حق را دارید که در زمان خروج، از این اپلیکیشن بخواهید تمامی سوابق شما را حتی از دیتابیس‌هایش هم پاک کند. اگر این کار را نکند و اسپاتیفای هک شود و داده‌ای از شما به عنوان کاربر منتشر شود می‌توان از اسپاتیفای شکایت کرد که چرا داده‌ها را طبق قوانین پاک نکرده است. چون داده برای شماست و امانت پیش آن اپلیکیشن بوده است. الان کدام اپلیکیشن ایرانی هست که به کاربر اجازه دهد اگر اپلیکیشن را پاک کرد یا نخواست از سرویس آن کسب‌وکار استفاده کند اطلاعاتش به‌طور کامل پاک شود؟ در جمع‌بندی این بخش باز تاکید می‌شود که اهمیت تفکیک نقش ذکرشده در مسوولیت ایجاد شده است و چون قانونی در این زمینه نداریم، تفکیک نقش هم نداریم؛ در نتیجه مسوولیتی متوجه هیچ‌کسی نیست. راه چاره آن است که باید مشخص شود یک پلت‌فرم خاص، مثلاً یک تاکسی اینترنتی که مدل درآمدی آن دریافت سهم از سفرهای انجام‌شده است، برای پیشبرد وظیفه اصلی خود به چه حدی از اطلاعات کاربر نیاز دارد تا هیچ شرکتی اجازه نداشته باشد داده‌ای فراتر از نیاز واقعی، جمع‌آوری کند.

در ادبیات امنیت اطلاعات مفهومی به نام single point of failure (تنها نقطه شکست) وجود دارد. این مفهوم توضیح می‌دهد که هرچقدر داده‌های بیشتری در یکجا جمع شود و تمرکز در ارائه داده‌ها صورت گیرد، هکرها با یک هدف روبه‌رو می‌شوند؛ آن نقطه را که هک‌کننده دیگر به همه داده‌ها هم دسترسی پیدا می‌کند. در امنیت جهانی تلاش می‌شود این تمرکز در انبارش داده را از بین ببرند و داده‌ها توزیع‌شده باشند. داده‌ها باید در جاهای مختلفی نگهداری شوند تا با یک حمله و هک از بین نروند. این موضوع فقط به داده محدود نمی‌شود، حتی در سرویس‌ها هم این ظرافت وجود دارد تا اگر یک سرور را هک کردند کل سیستم از کار نیفتد و کل داده‌ها منتشر نشود.

اما در ایران کاملاً برعکس این موضوع عمل می‌شود. به‌طور مثال شرکتی به نام شاپرک وجود دارد که به‌طور انحصاری تمام تراکنش‌های بانکی ایران در سوئیچ‌های آن انجام می‌شود. شاپرک به تنها نقطه شکست تبدیل شده است. به یک نقطه ضعف بزرگ امنیت بدل شده است. همین موضوع را هم در ثبت احوال داریم. در آمریکا چیزی به نام کد ملی وجود ندارد. کارت شناسایی عکس‌دار PHOTO ID وجود دارد. مثلاً گواهی‌نامه یک PHOTO ID است و هر ایالتی کارت مخصوص خود را صادر می‌کند. به همین دلیل اگر دیتا‌بیس یک ایالت هک شود فقط اطلاعات گواهی‌نامه افراد آن ایالت منتشر شده و اطلاعات سایر ایالت‌ها در امان است. شماره تامین اجتماعی که در آمریکا وجود دارد فقط به نام و نام‌خانوادگی وصل می‌شود و عکس و سایر اطلاعات مشمولش نمی‌شود. در ایران عکس، اثر انگشت هر 10 انگشت، محل سکونت، سال تولد، کد ملی، محل تولد و... را در چیزی به نام کارت ملی جمع کرده‌ایم و همه اطلاعات را در سازمانی به نام سازمان ثبت احوال ثبت کرده‌ایم. این دقیقاً همان نکته‌ای است که کارشناسان می‌گویند ایران در این حوزه خلاف روند امنیتی جاری در دنیا عمل می‌کند. در ایران انحصار دولتی صورت گرفته و براساس ذهن تمرکزگرایی که مدیران دارند، خلاف روندهای مدیریت امنیت در جهان عمل می‌شود.

ترکیب وضعیت‌های ذکرشده به نابسامانی امنیت داده در ایران منجر شده است. از یک طرف قانونی وجود ندارد که نقش‌ها و مسوولیت‌ها روشن شوند، از طرف دیگر امنیت داده‌ها تامین نمی‌شود. الان در آمریکا و خیلی از کشورهای توسعه‌یافته، اگر داده‌ای را که طبق قانون داده محرمانه تلقی شده است بخواهند از فرد اخذ کنند، اول باید از یک نهاد ناظر مجوز بگیرند و بعد این کار را انجام دهند. یعنی کسی نمی‌تواند خودش فرمی برای اخذ اطلاعات از افراد تهیه کند. اگر بخواهید این کار را انجام دهید و بعضی از آن اطلاعات، داده‌های شخصی امنیتی تلقی شود اول باید از نهاد ناظر مجوز گرفته شود و آنها متقاعد شوند که چرا این دیتا ضروری است (که البته به‌ندرت هم قانع می‌شوند). در ایران اصلاً چنین شرایطی نیست. این حجم عظیم از کارت ملی افراد و اطلاعات هویتی که هر دستگاه دولتی و خصوصی در ایران می‌گیرد در دنیا مرسوم نیست. الان کار به جایی رسیده است که خیلی از شرکت‌های خصوصی اطلاعاتی از کارمندانشان می‌گیرند که محرمانه است. چرا کارمندان باید بگویند نام پدرشان چیست، محل سکونت خانواده کجاست و...؟ فردا اگر کارمند از آن شرکت رفت، چه تضمینی وجود دارد که آن اطلاعات منتشر نشود؟ چون این نابسامانی در ایران وجود دارد دیگر مردم هم در این زمینه دغدغه‌ای ندارند. اگر کسی در فروشگاهی نخواهد فرم مربوط به اطلاعات تماس را پر کند بقیه به او می‌خندند که چرا او چنین کرده است. یا در فروشگاه‌ها رمز کارت‌های بانکی را بلند باید گفت. این کار، در دنیا خیلی عجیب است. چرا چنین شده است؟ چون آنقدر از طرف نهادهای مربوطه بی‌نظمی صورت گرفته است که مردم حساسیتشان را نسبت به این موضوع از دست داده‌اند. این موضوعات باعث شده است که حتی آموزش در این زمینه هم طرفدار نداشته باشد. در برابر آموزش‌های امنیت داده‌ها مردم می‌گویند حاکمیت تمام اطلاعات ما را دارد. در این راستا می‌توان به درز اطلاعات کاربرهای استارت‌آپ تپسی اشاره کرد. مشخصاً در این نمونه هم از آنجا که قانون حدود مسوولیت‌ها و وظایف پلت‌فرم‌ها را مشخص نکرده، صاحبان این کسب‌وکارها نیز چندان برقراری امنیت را جدی نمی‌گیرند و حاضر به صرف هزینه کافی برای آن نیستند. یکی از موضوعاتی که برخی کارشناسان حقوقی در این میان مورد تاکید قرار دادند، حمایت قانونی بسیاری از کشورهای خارجی از کاربرانی بود که اطلاعات آنها نشت پیدا کرده است. این درحالی است که با وجود آنکه به گواه آمارهای بین‌المللی، کشور ما یکی از مهم‌ترین مقاصد حملات سایبری در جهان به حساب می‌آید، هنوز با خلأ قانونی درباره حمایت از داده‌های کاربران مواجه هستیم.

در همین راستا علیرضا طباطبایی‌هاشمی، وکیل پایه‌یک دادگستری، در گفت‌وگو با «باشگاه خبرنگاران جوان» تصریح کرده بود: «ما در قانون جرائم رایانه‌ای در خصوص مسوولیت تپسی در قبال این اطلاعات خلأ داریم و هیچ قانونی در این زمینه وجود ندارد و از این بابت قانون مسوولیتی برای شرکت‌ها در نظر نگرفته است. در نتیجه امروزه شرکت‌ها آنقدر نگران لو رفتن دیتا نیستند.» اگرچه سیاستگذاران با دنبال کردن تصویب طرحی مانند صیانت، بر حمایت از حقوق کاربران در فضای مجازی تاکید داشتند، اما انتشار مفاد جزئیات این طرح در عمل نشان داد که طرح، کارکرد موثری در این زمینه ندارد و تنها به محدود کردن زیست مجازی کاربران پرداخته است. در همین حال، با وجود گذشت دو سال از پیشنهاد لایحه‌ای برای حفاظت از داده‌های کاربران، هنوز سرنوشت این لایحه مشخص نشده است.

جهان ارتباطات یا امنیت اطلاعات؟

جهان امروز جهان اطلاعات و تبادل داده است. پس چطور در این وضعیت هم امنیت داده‌ها حفظ می‌شود و هم تبادل اطلاعات صورت می‌گیرد؟ خیلی از اپلیکیشن‌ها به صورت موازی از سرویس‌ها و اطلاعات یکدیگر استفاده می‌کنند. پس در اینجا چه اتفاقی می‌افتد؟ جهان توسعه‌یافته یاد گرفته است و تلاش می‌کند ضمن مدیریت ریسک همزمان امکان تبادل داده قانونی و امن را هم فراهم کند. به عنوان مثال در یک سیستم بانکی مفهومی به نام بانکداری باز وجود دارد. حرفش هم این است که مالک داده مشتریان در بانک‌ها مشتری است و بانک فقط از آن نگهداری می‌کند. بانک باید این حق را به مشتری بدهد که اگر از اطلاعاتش خواست جای دیگری استفاده کند بانک این اجازه را بدهد. این فرآیند هم کاملاً قانونی باید انجام شود. اتحادیه اروپا ضابطه‌ای به نام PSD دارد. الان PSD3 در دنیا اجرا می‌شود. این قانون همه بانک‌ها را مکلف کرده که باید API بدهند، یعنی فرد برای پرداخت قبض برقش هربار لازم نباشد اطلاعات بانکی‌اش را ثبت کند؛ یک‌بار به اداره برق اجازه می‌دهد تا از حسابش برداشت کند و برای بارهای بعدی لازم نیست این روند را طی کند. اینجا سطح بالایی از همکاری صورت گرفته است اما در عین حال امنیت داده هم حفظ شده است. در همان اروپا قانون دیگری به نام GDPR وجود دارد که هدفش حفاظت از داده است (بحث محرمانگی و اینکه کدام داده‌ها باید محرمانه باشند). آنجا هم PSD3 و هم GDPR برای محافظت از داده وجود دارد. این دو قانون کاملاً در کنار هم پیش می‌روند. کار سختی است اما دنیا انجامش داده است. اما در ایران نه آن قانون حفاظت از اطلاعات محرمانه را داریم و نه در سوی دیگر قانونی برای روشن کردن سازوکارهای تبادل داده داریم. برای همین است که اگر از یک سازمان بخواهید اطلاعاتتان را به سازمان دیگر بفرستد متوجه شما نمی‌شود که چه می‌گویید چون همه تبادل اطلاعات در ایران دستی صورت می‌گیرد. به تازگی برخی از بانک‌ها، سرویس بانکداری باز را به صورت ابتدایی شروع کرده‌اند.

واکنش‌ها به حمله‌های هکرها چیست؟

در مقابل حمله‌های هکری، واکنش مدیران ایرانی جزیره‌ای کردن و بستن دسترسی‌هاست. سال گذشته که به سایت شهرداری تهران حمله شد، هفت تا هشت ماه تمام سرویس‌های آنلاین شهرداری قطع شده بود. همین الان همه سازمان‌های دولتی و خصوصی‌ها را الزام کرده‌اند که دسترسی‌هایشان فقط از ایران باشد. یعنی کاربر از بیرون ایران به صورت آنلاین نمی‌تواند به حسابش دسترسی داشته باشد و برای این کار باید VPNای با IP ایران پیدا کند تا به وب‌سایت بانکش دسترسی داشته باشد. این روش در دنیا مردود است. امنیت مهم است اما راه‌حلی پیدا شده که ضمن حفظ امنیت داده‌های محرمانه، دسترسی‌ها به تبادل داده‌ها هم شکل بگیرد. و اساساً رشد اقتصاد دیجیتال در دنیا به این صورت شکل گرفته است.

انواع هک

حملات امنیتی چه در ایران و چه در جهان، معمولاً سه هدف بیشتر ندارند؛ یک هدف دسترسی به داده برای استفاده‌های غیرمجاز است؛ یعنی کسی جایی را هک می‌کند تا از آن داده استفاده دیگری کند و آن را بفروشد. شواهد آن است که در ایران این نوع از هک‌ها خیلی زیاد نبوده است اما در جهان شایع است. البته چون ما در ایران در یک جزیره هستیم و عموماً هکرها هم در ایران هستند و نوع دسترسی‌شان هم به ایران معطوف است این نوع از هک کردن به درد هکرها نمی‌خورد. نوع دوم هک، ایجاد اختلال در یک سرویس است. یعنی یک هکر در سرویسی اختلالی ایجاد می‌کند که هدفش ضرورتاً به نفع خودش نیست. لطمه زدن به آن نهاد یا هدف سیاسی، پشت این جنس از هک است. وقتی به سایت وزارت علوم و امثال آن حمله سایبری می‌کنند هدف ایجاد اختلال است، نه اینکه از آن اطلاعات استفاده دیگری شود. در ایران این نوع از هک بسیار زیاد است و اتفاقاً هکرها خیلی جالب رفتار دولت - ملت‌ها را مدیریت می‌کنند چراکه هدف آنها از کار افتادن سرویس است و با اولین هک رفتار مدیران از دسترس خارج کردن آن سرویس است. مدیران دقیقاً همان کاری را می‌کنند که هکرها می‌خواهند. این نوع از هک بیشتر ماهیت سیاسی، نمادین و اعتراضی دارد. طبیعتاً بحث جنگ مجازی و حمله‌های سایبری هم جدی می‌شود. خیلی از این هک‌هایی که صورت گرفته فراتر از یک شخص و گروه است و به نظر می‌رسد پشت آن یک دولت است.

گروه سوم را هکرهای کلاه سفید می‌نامند. به این علت هک می‌کنند که به صاحبان آن سرویس هشدار دهند، باگ‌ها و کم‌وکاستی‌هایی وجود دارد، «پس حلش کن». اصطلاحاً استارت‌آپ‌هایی هست که به آنها BUG BOUNTY می‌گویند. در ایران هم استارت‌آپی به نام باگدشت وجود دارد که زیرساختی را مشخص می‌کنند، هکرهای کلاه سفید به آنها حمله می‌کنند و وقتی باگ را پیدا کردند افشا نمی‌کنند، به سازمان اطلاع می‌دهند که چنین مشکلی هست و باید برطرف شود.

پیامدهای اقتصادی و مالی حملات سایبری شرکت‌ها

در علم جدید امنیت سیاسی، حملات سایبری یکی از مهم‌ترین حملات علیه دولت‌ها محسوب می‌شود. اما صرف تکیه به این موضوع دلیل بر نادیده گرفتن ضرورت وضع قوانین نیست. نبود قانون مشخصی که شرکت‌ها را به حفظ برخی حداقل‌ها در بحث امنیت اطلاعات کاربران مکلف کند، یکی از موضوعاتی است که کارشناسان بارها بر آن به عنوان عاملی در تشدید نابسامانی‌های امنیتی موجود، تاکید کرده‌اند. یاشار شاهین‌زاده در تشریح این مورد می‌گوید: در سال‌های اخیر حاکمیت کشورها سخت‌گیری‌های جدی‌تری را نسبت به هزینه‌کرد و خروجی امنیتی شرکت‌ها به خرج می‌دهند و همین باعث می‌شود که با تمام دشواری‌های تجارت، همواره بودجه قابل قبولی از سوی شرکت‌ها به بحث تامین امنیت اطلاعات تخصیص داده شود. این فعال حوزه امنیت چنین ادامه می‌دهد: از سوی دیگر، شرکت‌ها ملزم هستند امکانی فراهم کنند تا کاربر در صورت تمایل، بتواند تمام سوابق اطلاعاتی خود را از سرور یک کسب‌وکار مشخص حذف کند. این در حالی است که در کشور ما قانون خاصی برای حمایت از حریم خصوصی کاربران وجود ندارد؛ در نتیجه عمدتاً امکان حذف اطلاعات در اختیار کاربران قرار نمی‌گیرد و شرکت‌ها نیز در سایه همین ضعف قانونی، الزامی برای فراهم کردن آن نمی‌بینند (دنیای اقتصاد).

اکنون خسارات جهانی ناشی از حملات سایبری بیش از یک تریلیون دلار است که بیش از 50 درصد نسبت به سال 2018 افزایش یافته است. طبق آخرین پژوهش انجام‌شده جرائم سایبری تا سال 2025 سالانه 5 /10 تریلیون دلار هزینه برای جهان خواهد داشت. اگر جهان سایبری به عنوان یک کشور سنجیده می‌شد،

جرائم سایبری - که پیش‌بینی می‌شود در سال 2022 خسارتی بالغ بر شش تریلیون دلار در سطح جهان وارد کند - سومین اقتصاد بزرگ جهان پس از ایالات‌متحده و چین بود.

Cybersecurity Ventures در گزارشی اعلام کرد، انتظار دارد که هزینه‌های جرائم سایبری جهانی در طول پنج سال آینده 15 درصد در سال رشد کند و تا سال 2025 به 5 /10 تریلیون دلار در سال برسد که از سه تریلیون دلار در سال 2015 افزایش یافته است. نوآوری و سرمایه‌گذاری، به‌طور تصاعدی بزرگ‌تر از خسارت ناشی از بلایای طبیعی در یک سال است و از مجموع تجارت جهانی همه مواد مخدر غیرقانونی بزرگ سودآورتر خواهد بود.

برآورد هزینه خسارت براساس ارقام تاریخی جرائم سایبری از جمله رشد سال‌به‌سال، افزایش چشمگیر فعالیت‌های هکری باندهای جنایتکار سازمان‌یافته و حمایت‌شده از سوی دولت‌ها و سطح حمله سایبری که در سال 2025 رخ داد یک مرتبه بزرگ‌تر از آن چیزی خواهد بود که امروز هست. هزینه‌های جرائم سایبری شامل آسیب و تخریب داده‌ها، پول دزدیده شده، بهره‌وری ازدست‌رفته، سرقت مالکیت معنوی، سرقت اطلاعات شخصی و مالی، اختلاس، کلاهبرداری، اختلال در روند عادی کسب‌وکار پس از حمله، تحقیقات پزشکی، بازیابی و حذف داده‌ها و سیستم‌ها و آسیب به شهرت است. با تمام این شرایط، همان‌طور که بالاتر به آن اشاره شد، جهان به صورت موازی به دنبال گسترش فضای همکاری اطلاعات و حفظ داده‌های شخص حقیقی و حقوقی است. خیلی از کارشناسان بین‌المللی امید دارند که پژوهشگران این حوزه به کمک هوش مصنوعی بتوانند فاصله میان این دو وضع را کم کرده و به توازن برسانند. در این میان کاربران ایرانی همچنان از داشتن قوانین حداقلی امنیت داده محروم هستند. کارگروه‌های تشکیل‌شده، پلیس فتا، نمایندگان مجلس، جلسات مجمع تشخیص مصلحت، وزارت ارتباطات و اطلاعات و... تاکنون نتوانسته‌اند در قبال حملات سایبری انجام‌شده نسبت به اطلاعات فردی مردم اقدام موثری انجام دهند. به نظر می‌رسد اولین قدم در حل این مشکل نوین و مهم، قانونگذاری خواهد بود.

صدف صمیمی / نویسنده نشریه 
چرا دولت قادر به تامین امنیت اطلاعات جامعه نیست؟ | امنیت از دست رفته 2
چرا دولت قادر به تامین امنیت اطلاعات جامعه نیست؟ | امنیت از دست رفته 3