چرا هک میشویم؟
باید از خود بپرسیم و پس از آن به این موضوع فکر کنیم که چه راههایی برای مقابله و مواجهه با چنین اتفاقاتی وجود دارد؟ یکی از مهمترین علل برای دست یافتن به چنین دادههایی که گاهی از مسیر هک و بسیاری مواقع از مسیرهای به ظاهر قانونی در فروش اطلاعات مشتریان و کاربران اتفاق میافتد، نشان از ارزشِ اقتصادی نهفته در این مجموعه از دادهها است.
اعتماد نوشت: پس از هک شدن ثبت احوال، تپسی، اسنپ، هفتهشتاد و چندین مثال دیگر و درز شخصیترین اطلاعات ایرانیان و تبدیل آن به یک جریان اقتصادی و درآمدزایی، اینکه چرا هک میشویم پرسش مهمی است.
«معمولا شرکتِ رسوا شده بعد از هک یک بیانیه عذرخواهی صادر کرده و همه چیز بخشیده میشود. این فراموشی و بخشیدن ممکن است به صراحت نباشد، اما زمانی که ما تجاوز به حریم شخصی خود را فراموش کنیم یا به رویدادهای توهینآمیز عادت کنیم شرکت هک شده مثل همیشه به جایگاه خود بازگشته و از ما انتظار میرود مطابق قبل به خرید، استفاده و ارتقا از این فناوری ادامه دهیم»؛ این جملات را «جیتان سادووفسکی» در ابتدای کتاب خود با عنوان «سرمایهداری دیجیتال» آورده است.
رویدادهایی که برای ما نیز در همین شش ماه گذشته اتفاق افتاده و شاید حالا فراموش کرده باشیم. در سالی که گذشت ما روزهای زیادی را با خبر هک شدن سایتها، اپلیکیشنها و حتی وزارتخانهها از خواب بیدار شدیم. همانطور که در روزهای گذشته و به دنبال هک اسنپ فود «امین تویسرکانی» بازپرس رسیدگی به جرایم رایانهای اعلام کرد این اتفاق در حوزههای دیگر هم اعم از نهادهای عمومی، دولتی و خصوصی رخ داده است. یادتان هست نهم شهریور ماه اپلیکیشن هفتهشتاد هک شد و حوالی ساعت 9 شب کاربران با پیامهای غیرمعمولی مواجه شدند؟ دو روز بعد خبر هک تپسی منتشر شد و اطلاعات بیش از 27 میلیون مسافر و شش میلیون راننده برای فروش منتشر شد.
هک تپسی درحالی رخ داد که این شرکت در سال 1398 نیز مورد حمله سایبری قرار گرفته بود و محمدجواد آذری جهرمی، وزیر وقت ارتباطات، آسیبپذیری تپسی در نگهداری از اطلاعات رانندگان را تایید کرده بود. تنها یک روز بعد همان گروه هکری اطلاعات مشتریان 18 شرکت بیمه را نیز هک و برای فروش در کانالهای خود قرار داد. درحالی که گمان میرفت پس از این اتفاقات تدابیر ویژهای برای محافظت بیشتر دادهها لحاظ شود، در روزهای پایانی شهریور ماه ثبت احوال و وزارت علوم نیز مورد حملات سایبری قرار گرفتند. گرچه سازمان ثبت احوال این ادعا را رد کرد، اما وزارت علوم طی بیانیهای این حمله هکری را تایید کرد.
در راستای این هکهای سریالی روزهای گذشته هم هک اسنپفود بسیار خبرساز شد و پس از آن اطلاعات بسیاری از مشتریان اعم از آدرس، مشخصات تلفن همراه، سفارشها، اطلاعات پیکها و... درز پیدا کرد و به قیمت 30 هزار دلار برای فروش گذاشته شد. بعد از همه این اتفاقات و هکهای کوچک و بزرگ دیگر و درز شخصیترین اطلاعات ما و تبدیل آن به یک جریان اقتصادی و درآمدزایی اینکه چرا هک میشویم سوال مهمی است. باید از خود بپرسیم و پس از آن به این موضوع فکر کنیم که چه راههایی برای مقابله و مواجهه با چنین اتفاقاتی وجود دارد؟ یکی از مهمترین علل برای دست یافتن به چنین دادههایی که گاهی از مسیر هک و بسیاری مواقع از مسیرهای به ظاهر قانونی در فروش اطلاعات مشتریان و کاربران اتفاق میافتد، نشان از ارزشِ اقتصادی نهفته در این مجموعه از دادهها است.
جهان پس از کلان دادهها
«نبردهای زیادی بر سر اینکه چه کسی باید دادهها را داشته و از آنها بهرهمند شود، شکل گرفته است»؛ این تیتری است که اکونومیست در سال 2017 برای توضیح جهانِ جدید پس از کلان دادهها انتخاب کرده بود. به همین علت است که آمازون در همان سال شرکت هولفودز را به قیمت بیش از 13 میلیارد دلار خریداری کرد تا ضمن دراختیار داشتن رفتار آنلاین مشتریان، رفتار آفلاین خرید مردم را از طریق مغازههای خردهفروشی این شرکت را دراختیار داشته باشد.
IBM هم در سال 2017 به قیمت 2 میلیارد دلار یک شرکت هواشناسی را خریداری کرد و این درحالی است که طبق نظر کارشناسان ارزش این شرکت بسیار کمتر از این میزان بوده است. اینکه چرا یک شرکت فناوری دست به خرید یک شرکت هواشناسی میزند تا دادههای آن را دراختیار داشته باشد به نوعی نشاندهنده اهمیت تسری دادههای حوزههای مختلف به یکدیگر است. در نوامبر 2018 نیز مدیرعامل «فورد» رسما اعلام کرد به زودی درآمدزایی این شرکت از بخش فروش دادههای بیش از 100 میلیون نفر از مشتریان خود خواهد بود. شاید با مرور این معاملاتی که حول داده شکل گرفته، این توییت یکی از فعالان اکوسیستم استارتاپی کشور در ارتباط با دادههای اسنپفود بسیار قابل فهمتر باشد: «آقا بیاید 5 نفر بشیم نفری 6000 دلار بدیم بخریم. من تضمین میکنم بازگشت سرمایه هزار درصدی رو ظرف کمتر از 6 ماه. الان نقد 30 هزار تا ندارم وگرنه تنهایی میخریدم.»
اقتصاد مبتنی بر داده
این موارد نشان میدهد که چطور جریانهای اقتصادی به سمت داده گرایش پیدا کردند و کلان دادهها نیز در یک رابطه متقابل چطور میتوانند با کمک به تحلیل و شناخت رفتار مشتریان سود شرکتها و سرمایهگذاری آنها را تقویت کنند، اما بینشهای حاصل از دراختیار داشتن ثروت بزرگی مانند داده صرفا به اینگونه مسائل خلاصه نمیشود و حتی مسائل اجتماعی و سیاسی را نیز شامل میشود. برای درک این موضوع که اتفاقا ارتباط مستقیمی با هک اسنپفود دارد به توضیح شاخصی به نام «پیتزا» یا «پیتزاسنج» میپردازم. در شب یکم آگوست 1990، شب پیش از حمله عراق به کویت، کارکنان نظامی پنتاگون گرد هم آمده بودند تا درباره مسائل خاورمیانه گفتگو کنند. از آنجایی که قصد داشتند همه شب را بیدار بمانند تا با هم گفتگو کنند، آنها چندین پیتزا بیشتر از آنچه که معمولا سفارش میدادند از «دومینوز» که یک رستوران زنجیرهای است، سفارش دادند. مدیر رستوران متوجه انبوهی از سفارشها از ادارات دولتی ایالاتمتحده (مانند پنتاگون) پیش از وقایعی نظیر جنگ کویت شد و این موضوع را با رسانهها در میان گذاشت. مردم این اطلاعات را به خوبی دریافت کردند و این رویداد را «شاخص پیتزا» نامیدند. این مسائل اتفاقی نیستند و سرمایهگذاران و اهالی سیاست امروزه به خوبی فهمیدهاند دادههای افراد وقتی کنار هم قرار میگیرد چه میزان از تشخیص، اندازهگیری و پیشبینی را رقم میزند.
سوءاستفاده و استفادههای تجاری و اقتصادی از داده مسالهای است که باعث شده به طور مثال اطلاعات بانکی کاربران اصلا در دیتابیس شرکتی مانند اسنپفود ذخیره نشود که اگر این اطلاعات هم دراختیار اسنپفود قرار داشت امروز تمام حسابهای بانکی ما در معرض کلاهبرداریهای متنوع قرار میگرفت. حال سوال اینجاست که اگر این اطلاعات هم هک و دراختیار یا در معرض دسترسی همگان قرار میگرفت چطور میتوانستیم با پیامدهای بسیار خطرناک این موضوع مواجه شویم؟ نکته بسیار حائزاهمیت این است که اطلاعات دیگر ما نیز اگر ارزشی بیشتر از موجودی حسابهای بانکی ما نداشته باشد، کمتر نیست و سوال مهم دیگر این است که چنین اطلاعات مهمی اگر هک هم نمیشد از کجا میتوانستیم بر حفاظت از آنها نظارت داشته باشیم که شرکتها خودشان در تبادلات مالی از آن استفاده نکرده یا آن را به فروش نرسانده باشند. این موارد دغدغههای مهمی هستند که باید به آنها فکر کنیم.
ضرورتِ پاسخگویی دولت در مالکیت داده
«مارک آندریویچ» محقق سیاست فناوری در پژوهشی شامل یک نظرسنجی از 1106 نفر شرکتکننده، سوالاتی در مورد افکار آنها درباره جمعآوری دادهها و حفظ حریم خصوصی پرسید. یافتههای او نشان میدهد مردم نسبت به نگرانیهای مربوط به حریم خصوصی بیتفاوت نبودند، بلکه اغلب احساس میکردند که «ناتوان» برای انجام هر کاری در مورد جمعآوری و حفاظت از دادهها هستند. یکی از شرکتکنندگان به او اینگونه پاسخ داده است: «بزرگترین مساله من در از دست دادن حریم خصوصی این نیست که دیگران اطلاعاتی درباره من بدانند، بلکه به نوعی مجبور میشویم تا اطلاعات را به اشتراک بگذاریم.»
این نگرانی در جامعه ایران نیز مشهود است. بعد از هک اسنپفود شاهد بودیم بسیاری از کاربران به شوخی و کنایه روی آوردند و بعضی از اطلاعات مانند سفارش شیرموز در ساعاتِ پایانی شب را دستمایه طنز قرار دادند؛ طبق دادهکاویهای انجام شده 34 درصد از محتوای کاربران در ارتباط با هک اسنپفود شوخی، طنز و کنایه بوده است. بسیاری به غلط این موضوع را به جدی نگرفتن اهمیت مساله از سمت کاربران تفسیر کردند. اما باید شوخی را بازنمایی یک ناتوانی از سمت کاربران بدانیم.
در راستای حفظ و صیانت از حریم شخصی دولت باید پاسخگو باشد و این پاسخگویی زمانی تحقق مییابد که قوانین مربوط به مالکیت داده تدوین شود. در حال حاضر مطابق با قوانین موجود، هر شرکتی که دادهای دراختیار داشته باشد در صورت درخواست یا صلاحدید نهادهای مختلف باید دادههای موردنظر را دراختیار آنها قرار دهد. در واقع درحالی که دولت از دادههای ما استفاده میکند، اما مسوولیت آن را نمیپذیرد. فرض کنید مانند اطلاعات بانکی که دراختیار اسنپفود قرار نداشت و به همین علت مورد سوءاستفاده نیز قرار نگرفت، دیگر اطلاعات مشتریان مانند آدرس منزل نیز دراختیار شرکت نبود و این میتوانست مصونیت بیشتری به همراه داشته باشد.
گرچه در این زمان شاهد هک سازمانهای دولتی نیز بودهایم، شاید به ذهن مخاطب خطور کند که امنیت اطلاعات در این حالت که دادهها دراختیار دولت هم قرار بگیرد هم حفاظت از آنها به درستی انجام نمیشود، اما باید توجه کرد که اولا پاسخگو دانستن دولت باتوجه به قوانین و نظارت میتواند سهولت بیشتری داشته باشد و ثانیا وجه اقتصادی و درآمدزایی در آن وجود ندارد و به همین سبب تمایل کمتری برای دست به دست شدن آن وجود خواهد داشت. در همین راستا اتحادیه اروپا نیز قوانین سفت و سختی را تصویب کرده است. مهمترین آن در سال 2016 تحت عنوان «قوانین محافظت از دادههای شخصی» است که در 11 بخش و 99 صفحه ابلاغ شد. گرچه در ایران نیز گامهایی برای نگارش آییننامهها و قوانینی در این رابطه برداشته شده است، اما تفاوتهایی مهم وجود دارد. به طور مثال درحالی که در قوانین ملی ایران صرفا اشارات و کلیات آمده است، در اسناد جهانی با رویکردی پیشگیرانه به مواردی نظیر الزام سازمانها به عدم دریافت اطلاعات شخصی شهروندان یا حذف آنها در صورت عدم نیاز و به صورت دورهای وجود دارد. همچنین مطابق با این قوانین اگر شرکتی الزاماتی را رعایت نکرده یا تخلفی داشته باشد و دادههایش به صورت غیرقانونی درز کند، تا سقف 20 میلیون یورو جریمه میشود.
در ایران ما نیاز داریم تا با شکلگیری حوزه پژوهشی مستقلی در ارتباط با سیاستگذاری فناوری، موارد مرتبط با رگولاتوری، حقوقی، سیاسی و اقتصادی شرکتهای مبتنی بر داده را ارزیابی و مورد پرسش قرار دهیم. همچنین نیاز است تا با تلاش برای فراموش نکردن چنین رخدادهای تلخی برای پاسخگو بودن سازمانهای نظارتی و در راس آن دولت، در مقابل شخصیترین دادههای خود برنامه ریزی کنیم.
نویسنده: محمدعلی دادگسترنیا جامعهشناس و پژوهشگر سیاست فناور
از میان اخبار