اینجا کسی هشیار نیست
وقتی صحبت از امنیت سایبری میشود، پیشبینی تهدیدات به جای واکنش مقابل آنها دارای اهمیت بالاتری است. نشت دادهها، کلاهبرداری مالی و سایر پیامدهای حمله فیشینگ میتواند عواقب ناگواری برای سازمانها در هر اندازه، داشته باشد. در حالی که هک و نفوذ به هر سازمانی امکانپذیر است و نشت دادههای کاربران تاکنون بارها در بزرگترین شرکتهای فناوری و شبکههای اجتماعی هم رخ داده و سازمانها و شرکتهای ایرانی هم از این قاعده مستثنی نبودهاند، از ابتدای سال 99، مجموعهای از رویدادهایی که برگرفته از رعایت نکردن نکات امنیتی است برای بسیاری از سازمانها رخ داده که میتواند دادههایی وسیع از مشترکان ایرانی را در اختیار سوءاستفادهگران قرار دهد، این در حالی است که رویدادهای اینچنینی به گذر زمان سپرده میشود و از آنجایی که نشت دادهها عملا برای سازمانها و شرکتها تبعات قانونی ندارد، رعایت پروتکلهای امنیتی اهمیت خود را در این شرکتها از دست میدهند.
اولین اخبار مربوطبه انتشار و نشت اطلاعات کاربران، به نام کاربری و شماره کاربران تلگرام برمیگردد که اعلام شد به دلیل استفاده از نسخههای غیررسمی تلگرام رخ داده است. البته چندی پیش ابوالحسن فیروزآبادی رییس مرکز ملی فضای مجازی در واکنش به این موضوع اظهار کرد: «اطلاعاتی که فاش شد، اطلاعات ویژهای تلقی شده بود؛ در حالی که این نقطه ضعفی است که در پیامرسان تلگرام وجود داشته و کار جمعآوری اطلاعات توسط یک برنامه نرمافزاری نسبتاً ساده انجام شده بود. این در حالی است که طوری بزرگنمایی شد که اگر کسی به این اطلاعات دسترسی داشته باشد میتواند به محتوای کانال و گروه تلگرامی افراد دسترسی پیدا کند، در حالی که اینطور نبود و تنها اطلاعات تلفنی افراد سرقت شده بود. این مشکل مربوط به نرمافزار و باگ تلگرام بود. اما به جای اینکه به این موضوع پرداخته شود که چرا تلگرام این نقطه ضعف را داشته و دفترچه تلفنش برای کاربران باز است و قابلیت دسترسی به آن وجود دارد، موضوع به نحو دیگری منعکس شد. بنابراین بسیاری از کسانی که خبر را خواندند تصور کردند که ۴۲ میلیون امکان ایجاد شده و اشخاص میتوانند محتوای فعالیتهای تلگرامی این ۴۲ میلیون اکانت را ببینند، در حالی که این طور نبود. البته کوتاهی صورت گرفته و در حال رسیدگی به این کوتاهی هستیم.»
سریال ادامهدار نشت اطلاعات کاربران ایرانی
پس از آن اعلام شد فروشگاههای آنلاین فروش اپلیکیشن از فروشگاه آنلاین اندرویدی ایرانی تا یکی از بازارهای ایرانی نرمافزارهای آیفون، دچار مشکل مشابه شده و اطلاعات کاربران فاش شده است. در ادامه لو رفتن داده کاربران نیز خبر نیز نشت اطلاعات شناسنامهای ۸۰ میلیون کاربر ایرانی از طریق سرورهای سازمان ثبت احوال و وزارت بهداشت به گوش رسید و در برهههای زمانی مختلف از آغاز سال جاری، فعالان امنیت سایبری از افشای پایگاه اطلاعات هویتی کاربران برخی سازمانها و شرکتهای دولتی و خصوصی خبر دادند که این اطلاعات در فضای مجازی در حال خرید و فروش است. این اخبار نگرانیهایی مقطعی برای کاربران ایجاد کرد که نشت دادهها چه عواقبی میتواند داشته باشد و البته پس از نگرانیهای کاربران درباره انتشار اطلاعاتشان، مرکز ماهر زیرمجموعه سازمان فناوری اطلاعات، اعلام کرد با رصد جهت کشف بانکهای اطلاعاتی حفاظتنشده، به صاحبان آنها هشدار داده خواهد شد و در صورتی که ظرف مدت ۴۸ ساعت، همچنان مشکل به قوت خود باقی باشد، بهمنظور حفظ دادهها و حفاظت از حریم خصوص شهروندان، به مراجع قضایی معرفی میشود. در حالی که رویدادهای متوالی نشت دادهها هم در حال سپرده شدن به دست گذر زمان و فراموشی توسط کاربران بود، هفته گذشته خبر لو رفتن اطلاعات کاربران اپراتور رایتل به گوش رسید. هفته گذشته خبر نشت ۵.۵ میلیون اطلاعات مشترک اپراتور رایتل شنیده شد که در اینترنت برای فروش قرار گرفته و البته رایتل اعلام کرد مستندی به جز ۹ رکورد منتشرشده مبنی بر دزدیده شدن اطلاعات پنج و نیم میلیون مشترک این اپراتور به دست نیامده است که نتیجه بررسی این ۹ رکورد نشان میدهد شش رکورد بسیار قدیمی بوده (سال ۹۴ و پیش از آن) و عملا این مشترکین دیگر در شبکه رایتل فعال نیستند. هرچند حسین فلاح جوشقانی، رییس سازمان تنظیم مقررات و ارتباطات رادیویی با تایید این موضوع اظهار کرد: «مرکز ماهر درز اطلاعات رایتل را تایید کرده است. گزارشها نشان میدهد اطلاعات لورفته متعلق به چهار سال پیش بوده و توسط عامل انسانی رخ داده است. در هر حال رایتل مسوول حفاظت از داده مشترکین است و باید برخورد مسوولانهای از خود نشان دهد. طبق ضوابط پروانه برخورد جدی خواهیم کرد.»
امنیت مربوطبه دادههای کسبوکارها برعهده پلیس فتا است
امیر ناظمی، معاون وزیر ارتباطات و فناوری اطلاعات، روز گذشته درباره امنیت داده کسبوکارها و مشترکان اظهار کرد: «باید یک مرکز فرماندهی و تصمیمگیری وجود داشته باشد. بر اساس سازوکارهای فعلی، امنیت مربوطبه دادههای کسبوکارها بر عهده پلیس فتا است که ما فکر میکنیم این رویکرد، مناسب نیست و در بیانیههای مختلف هم به این اشاره کردیم. ترجیح ما این است که در این خصوص یک سیاست واحد امکانپذیر باشد.» او در پاسخ به اینکه چرا مرکز ماهر در این زمینه پاسخگو نیست و تنها نقش کمکی در این زمینه را پذیرفته است، اظهار کرد: «زیرا در قانون مسوولیت ندارد، هرکاری هم که ما انجام میدهیم توسط مسوول مرتبطش معمولا مورد نارضایتی قرار میگیرد که چرا در حیطه اختیارات آنها وارد شدیم.» ناظمی پیش از این درباره لو رفتن اطلاعات سازمانها گفته بود: «هرچند قانون حفاظت از دادههای عمومی یا همان GDPR در هزارتوی نظام بروکراسی محبوس مانده است، اما این به آن معنا نیست که قانونی برای اجبار سازمانها و دستگاهها به حفاظت از دادههای شخصی وجود ندارد، بلکه به معنای آن است که همه نیازها را پاسخ نمیدهد. تکتک این مواد قانونی میتواند منجر به محکومیت هر فرد حقیقی و حقوقی شود که در محافظت از دادهها سهلانگاری کرده است.»
قانون تبعاتی برای نشت دادهها ایجاد نمیکند
این اظهارات درحالی است که تاکنون، نشت اطلاعات کاربران برای کسبوکارها و شرکتها تبعات سنگینی نداشته است و شاید یکی از دلایلی که یک سازمان خود را ملزم به رعایت پروتکلهای امنیتی نمیداند و در حفاظت از دادههای شخصی کاربران احتیاط لازم را به خرج نمیدهد، همین موضوع باشد. از آنجایی که هیچکدام از کسبوکارهایی که تاکنون پایگاه دادهشان فاش شده به دادگاه نرسیدند، زیرا قانونی وجود نداشته که تبعاتی برای آنها ایجاد کند و از همین رو، شرکتها هم ترجیح میدهند این اتفاقات مشمول گذر زمان شود و کاربران هم موضوع را به فراموشی بسپارند. از طرفی اگرچه شرکتها برای تبری خود از سهلانگاری و بیتوجهی به مسائل امنیتی، ممکن است اطلاعات فاششده را تنها نام و نام خانوادگی، کد ملی و شماره کاربران بدانند یا مانند اپراتور رایتل که در بیانیهاش اعلام کرده مشترکینی که دادههایشان فاش شده دیگر در شبکه رایتل فعال نیستند، اما با کنار هم گذاشتن اطلاعاتی که از نشت دادهها در شرکتهای مختلف حاصل شده، دیتابیس بزرگی به دست میآید که اگر در اختیار افراد کلاهبردار و فیشر و هکر قرار بگیرد، میتواند خطرات زیادی ایجاد کند و باعث کلاهبرداریهای بیشتری شود. در نهایت نشت اطلاعات هر یک از اپلیکیشنها ممکن است پس از مدتی فراموش شود، اما به اعتماد عمومی ضربه میزند و باعث میشود حتی اگر یک اپلیکیشن ایرانی وظایف امنیتی خود را هم بهدرستی انجام دهد، بهدلیل نبود اعتماد کاربران آسیب ببیند. بحث حریم شخصی با دلجویی رفع نمیشود، بلکه نیازمند قانون است و باید تبعاتی داشته باشد.