اینجا کسی هشیار نیست

۱۳۹۹/۰۳/۱۸ - ۰۰:۰۰:۰۰
کد خبر: ۱۶۷۷۹۳
اینجا کسی هشیار نیست

وقتی صحبت از ‫امنیت سایبری می‌شود، پیش‌بینی تهدیدات به جای واکنش مقابل آنها دارای اهمیت بالاتری است. نشت داده‌ها، کلاهبرداری مالی و سایر پیامدهای حمله فیشینگ می‌تواند عواقب ناگواری برای سازمان‌ها در هر اندازه، داشته باشد. در حالی که هک و نفوذ به هر سازمانی امکان‌پذیر است و نشت داده‌های کاربران تاکنون بارها در بزرگ‌ترین شرکت‌های فناوری و شبکه‌های اجتماعی هم رخ داده و سازمان‌ها و شرکت‌های ایرانی هم از این قاعده مستثنی نبوده‌اند، از ابتدای سال 99، مجموعه‌ای از رویدادهایی که برگرفته از رعایت نکردن نکات امنیتی است برای بسیاری از سازمان‌ها رخ داده که می‌تواند داده‌هایی وسیع از مشترکان ایرانی را در اختیار سوءاستفاده‌گران قرار دهد، این در حالی است که رویدادهای این‌‌چنینی به گذر زمان سپرده می‌شود و از آنجایی که نشت داده‌ها عملا برای سازمان‌ها و شرکت‌ها تبعات قانونی ندارد، رعایت پروتکل‌های امنیتی اهمیت خود را در این شرکت‌ها از دست می‌دهند.

اولین اخبار مربوط‌به انتشار و نشت اطلاعات کاربران، به نام کاربری و شماره کاربران تلگرام برمی‌گردد که اعلام شد به دلیل استفاده از نسخه‌های غیررسمی تلگرام رخ داده است. البته چندی پیش ابوالحسن فیروزآبادی رییس مرکز ملی فضای مجازی در واکنش به این موضوع اظهار کرد: «اطلاعاتی که فاش شد، اطلاعات ویژه‌ای تلقی شده بود؛ در حالی که این نقطه ضعفی است که در پیام‌رسان تلگرام وجود داشته و کار جمع‌آوری اطلاعات توسط یک برنامه نرم‌افزاری نسبتاً ساده انجام شده بود. این در حالی است که طوری بزرگنمایی شد که اگر کسی به این اطلاعات دسترسی داشته باشد می‌تواند به محتوای کانال و گروه تلگرامی افراد دسترسی پیدا کند، در حالی که این‌طور نبود و تنها اطلاعات تلفنی افراد سرقت شده بود. این مشکل مربوط به نرم‌افزار و باگ تلگرام بود. اما به جای اینکه به این موضوع پرداخته شود که چرا تلگرام این نقطه ضعف را داشته و دفترچه تلفنش برای کاربران باز است و قابلیت دسترسی به آن وجود دارد، موضوع به نحو دیگری منعکس شد. بنابراین بسیاری از کسانی که خبر را خواندند تصور کردند که ۴۲ میلیون امکان ایجاد شده و اشخاص می‌توانند محتوای فعالیت‌های تلگرامی این ۴۲ میلیون اکانت را ببینند، در حالی که این طور نبود. البته کوتاهی صورت گرفته و در حال رسیدگی به این کوتاهی هستیم.»

      سریال ادامه‌دار نشت اطلاعات کاربران ایرانی

پس از آن اعلام شد فروشگاه‌های آنلاین فروش اپلیکیشن از‌ فروشگاه‌ آنلاین اندرویدی ایرانی تا یکی از بازارهای ایرانی نرم‌افزارهای آیفون، دچار مشکل مشابه شده و اطلاعات کاربران فاش شده است. در ادامه لو رفتن داده کاربران نیز خبر نیز نشت اطلاعات شناسنامه‌ای ۸۰ میلیون کاربر ایرانی از طریق سرورهای سازمان ثبت احوال و وزارت بهداشت به گوش رسید و در برهه‌های زمانی مختلف از آغاز سال جاری، فعالان امنیت سایبری از افشای پایگاه اطلاعات هویتی کاربران برخی سازمان‌ها و شرکت‌های دولتی و خصوصی خبر دادند که این اطلاعات در فضای مجازی در حال خرید و فروش است. این اخبار نگرانی‌هایی مقطعی برای کاربران ایجاد کرد که نشت داده‌ها چه عواقبی می‌تواند داشته باشد و البته پس از نگرانی‌های کاربران درباره انتشار اطلاعاتشان، مرکز ماهر زیرمجموعه سازمان فناوری اطلاعات، اعلام کرد با رصد جهت کشف بانک‌های اطلاعاتی حفاظت‌نشده، به صاحبان آنها هشدار داده خواهد شد و در صورتی که ظرف مدت ۴۸ ساعت، همچنان مشکل به قوت خود باقی باشد، به‌منظور حفظ داده‌ها و حفاظت از حریم خصوص شهروندان، به مراجع قضایی معرفی می‌شود. در حالی که رویدادهای متوالی نشت داده‌ها هم در حال سپرده شدن به دست گذر زمان و فراموشی توسط کاربران بود، هفته گذشته خبر لو رفتن اطلاعات کاربران اپراتور رایتل به گوش رسید. هفته گذشته خبر نشت ۵.۵ میلیون اطلاعات مشترک اپراتور رایتل شنیده شد که در اینترنت برای فروش قرار گرفته و البته رایتل اعلام کرد مستندی به جز ۹ رکورد منتشرشده مبنی بر دزدیده شدن اطلاعات پنج و نیم میلیون مشترک این اپراتور به دست نیامده است که نتیجه بررسی این ۹ رکورد نشان می‌دهد شش رکورد بسیار قدیمی بوده (سال ۹۴ و پیش از آن) و عملا این مشترکین دیگر در شبکه رایتل فعال نیستند. هرچند حسین فلاح جوشقانی، رییس سازمان تنظیم مقررات و ارتباطات رادیویی با تایید این موضوع اظهار کرد: «مرکز ماهر درز اطلاعات رایتل را تایید کرده است. گزارش‌ها نشان می‌دهد اطلاعات لورفته متعلق به چهار سال پیش بوده و توسط عامل انسانی رخ داده است. در هر حال رایتل مسوول حفاظت از داده‌ مشترکین است و باید برخورد مسوولانه‌ای از خود نشان دهد. طبق ضوابط پروانه برخورد جدی خواهیم کرد.»

   امنیت مربوط‌به داده‌های کسب‌وکارها برعهده پلیس فتا است

امیر ناظمی، معاون وزیر ارتباطات و فناوری اطلاعات، روز گذشته درباره امنیت داده کسب‌وکارها و مشترکان اظهار کرد: «باید یک مرکز فرماندهی و تصمیم‌گیری وجود داشته باشد. بر اساس سازوکارهای فعلی، امنیت مربوط‌به داده‌های کسب‌وکارها بر عهده پلیس فتا است که ما فکر می‌کنیم این رویکرد، مناسب نیست و در بیانیه‌های مختلف هم به این اشاره کردیم. ترجیح ما این است که در این خصوص یک سیاست واحد امکان‌پذیر باشد.» او در پاسخ به اینکه چرا مرکز ماهر در این زمینه پاسخگو نیست و تنها نقش کمکی در این زمینه را پذیرفته است، اظهار کرد: «زیرا در قانون مسوولیت ندارد، هرکاری هم که ما انجام می‌دهیم توسط مسوول مرتبطش معمولا مورد نارضایتی قرار می‌گیرد که چرا در حیطه اختیارات آنها وارد شدیم.»  ناظمی پیش از این درباره لو رفتن اطلاعات سازمان‌ها گفته بود: «هرچند قانون حفاظت از داده‌های عمومی یا همان GDPR  در هزارتوی نظام بروکراسی محبوس مانده است، اما این به آن معنا نیست که قانونی برای اجبار سازمان‌ها و دستگاه‌ها به حفاظت از داده‌های شخصی وجود ندارد، بلکه به معنای آن است که همه نیازها را پاسخ نمی‌دهد. تک‌تک این مواد قانونی می‌تواند منجر به محکومیت هر فرد حقیقی و حقوقی شود که در محافظت از داده‌ها سهل‌انگاری کرده است.»

       قانون تبعاتی برای نشت داده‌ها ایجاد  نمی‌کند

این اظهارات درحالی است که تاکنون، نشت اطلاعات کاربران برای کسب‌وکارها و شرکت‌ها تبعات سنگینی نداشته است و شاید یکی از دلایلی که یک سازمان خود را ملزم به رعایت پروتکل‌های امنیتی نمی‌داند و در حفاظت از داده‌های شخصی کاربران احتیاط لازم را به خرج نمی‌دهد، همین موضوع باشد. از آنجایی که هیچ‌کدام از کسب‌وکارهایی که تاکنون پایگاه داده‌شان فاش شده به دادگاه نرسیدند، زیرا قانونی وجود نداشته که تبعاتی برای آنها ایجاد کند و از همین رو، شرکت‌ها هم ترجیح می‌دهند این اتفاقات مشمول گذر زمان شود و کاربران هم موضوع را به فراموشی بسپارند. از طرفی اگرچه شرکت‌ها برای تبری خود از سهل‌انگاری و بی‌توجهی به مسائل امنیتی، ممکن است اطلاعات فاش‌شده را تنها نام و نام خانوادگی، کد ملی و شماره کاربران بدانند یا مانند اپراتور رایتل که در بیانیه‌اش اعلام کرده مشترکینی که داده‌هایشان فاش شده دیگر در شبکه رایتل فعال نیستند، اما با کنار هم گذاشتن اطلاعاتی که از نشت داده‌ها در شرکت‌های مختلف حاصل شده، دیتابیس بزرگی به دست می‌آید که اگر در اختیار افراد کلاهبردار و فیشر و هکر قرار بگیرد، می‌تواند خطرات زیادی ایجاد کند و باعث کلاهبرداری‌های بیشتری شود. در نهایت نشت اطلاعات هر یک از اپلیکیشن‌ها ممکن است پس از مدتی فراموش شود، اما به اعتماد عمومی ضربه می‌زند و باعث می‌شود حتی اگر یک اپلیکیشن ایرانی وظایف امنیتی خود را هم به‌درستی انجام دهد، به‌دلیل نبود اعتماد کاربران آسیب ببیند. بحث حریم شخصی با دلجویی رفع نمی‌شود، بلکه نیازمند قانون است و باید تبعاتی داشته باشد.