ترسی که واقعی شد

چند روز قبل در توییتر تصویری از یک صفحه مانیتور منتشر شد که در آن پیام‌هایی نمایش داده شده و ادعا شده بود که متعلق به یکی از افراد شاغل در پیام‌رسان «بله» است که به پیام‌ها و صفحه چت کاربران دسترسی دارد؛ بله نیز با انتشار بیانیه‌ای، تصویر منتشرشده در فضای مجازی درباره دسترسی به پیام‌های کاربران این پلتفرم را تأیید کرد.

این پیام‌رسان در بیانیه خود برای توجیه این میزان از دسترسی، به «سند قوانین و شرایط استفاده از بله» اشاره کرده که در سال 1402 بندهای مربوط به این موضوع به آن اضافه شده و کمتر کاربر قدیمی از آن آگاه است.

در روزهای گذشته تصویری در فضای مجازی دست‌به دست شد که منتشرکننده آن مدعی بود این تصویری از صفحه مانیتور یکی از کارمندان پیام‌رسان «بله» است که به پیام‌های ردوبدل شده میان کاربران این پلتفرم دسترسی دارد. انتشار این تصویر باعث واکنش‌های بسیاری در فضای مجازی شده و به شائبه دسترسی پیام‌رسان‌های ایرانی به اطلاعات و نقض حریم خصوصی آنها دامن زد. در این صفحه مانیتور محتوایی قابل رویت است که به نظر می‌رسد متن پیام‌هایی است که کاربران در چت و گفت‌وگوهای آنلاین خود مطرح کرده‌اند. همین موضوع باعث شده که کاربران نسبت به سطح گسترده دسترسی کارمندان بله به اطلاعات و داده‌های کاربران معترض شوند.

   دستور سازمان فناوری اطلاعات 

در همین رابطه اعلام شد که سازمان فناوری اطلاعات ایران صبح امروز جلسه‌ای با مدیران ارشد این پیام‌رسان داشته است. بر این اساس از ایشان خواسته شده تا توضیحات خود را درباره تصویر منتشر شده در فضای مجازی که گفته می‌شود از رایانه یکی کارکنان پیام‌رسان بله منتشر شده است، ضمن بررسی دقیق، فوراً به سازمان فناوری اطلاعات ایران ارایه دهد.

   بیانیه «بله» برای دفاع از خود

در همین راستا، پیام‌رسان بله با انتشار بیانیه‌ای که فقط در صفحه توییتری این پلتفرم منتشر شده است، تصویر را تأیید و اعلام کرد این تصویر مربوط به سیستم مانیتورینگ این پیام‌رسان است. این پیام‌رسان در بیانیه خود تأکید کرده که مانند تمام پلتفرم‌های دیگر موظف است تدابیر لازم را برای جلوگیری از کلاهبرداری‌ها و حفظ امنیت درخصوص فعالیت کاربران خود در پلتفرم اتخاذ کند. در همین راستا، به سند قوانین و شرایط استفاده از بله که در آدرس terms.bale.ai در دسترس است اشاره شده و آمده است: «برای کانال‌ها و بازوهایی که به‌صورت عمومی در دسترس هستند، بله از الگوریتم‌های خودکار برای آنالیز پیام‌ها برای جلوگیری از انتشار محتوای مجرمانه استفاده می‌کند. همچنین کاربران می‌توانند درصورت مشاهده این موارد، گزارش آن را به بازوی پشتیبانی ارسال یا از گزینه «گزارش محتوای نامناسب» استفاده کنند.

در این حالت بله این گزارش‌ها را بررسی می‌کند و درصورت تأیید مجرمانه‌بودن آن، طبق قانون، برخورد لازم انجام می‌شود. لازم به ذکر است با گروه‌هایی که بیش از هزار عضو داشته باشند، در حوزه بررسی محتوا مشابه کانال‌های عمومی رفتار می‌شود.» بنابر اعلام بله، آنچه در این تصویر از صفحه مانیتور منتشر شده، مربوط به ابزار اجرایی همین موضوع است. این ابزار صرفاً حاوی محتوای منتشرشده در کانال‌های عمومی و گروه‌های بیش از 1000 عضو است که به‌صورت سیستمی و حسب نیاز، جهت مقابله با کلاهبرداری از کاربران مورد بررسی قرار می‌گیرد. این پلتفرم مدعی است اطلاعات خصوصی کاربران، آیدی و شماره فرستنده محتوا و مواردی از این قبیل در جهت حفظ حریم خصوصی کاربران به عنوان خط قرمز «بله» در حیطه این ابزار وجود ندارد و تنها محتوا به‌صورت بی‌نام در آن وجود دارد. بله در انتهای بیانیه خود، حق قانونی جهت پیگیری و برخورد با منتشرکنندگان این تصویر را برای خود محفوظ داشته است.

استناد به سند قوانینی که کمتر کسی از آن آگاه است

بله در بیانیه خود و در توجیه قانونی‌بودن چنین دسترسی، به سند قوانین و شرایط استفاده از بله که در آدرس terms.bale.ai در دسترس است، اشاره کرده. در بخش ۲-۱-۶ مربوط به «قوانین و شرایط برخورد با محتوای مجرمانه» آمده است که بله برای کانال‌ها و بازو‌هایی که به‌صورت عمومی در دسترس هستند یا کانال‌های خصوصی که لینک دعوت آنها به‌صورت عمومی منتشر شده باشد و نیز گروه‌هایی که بیش از هزار عضو داشته باشند، از الگوریتم‌های خودکار برای آنالیز پیام‌ها برای جلوگیری از انتشار محتوای مجرمانه استفاده می‌کند. البته نکته قابل‌توجه اینجاست که سند یادشده به‌تازگی و در ماه‌های اخیر به‌روزرسانی شده.

اگر تاریخچه این صفحه را مرور کنید، تا 10 فروردین‌ماه 1402 از آنالیز پیام‌ها و اینکه بررسی محتوای کانال‌های خصوصی که کد دعوت‌شان به‌صورت عمومی منتشر شده یا گروه‌های بالای هزار عضو مشابه با کانال‌های عمومی برخورد می‌شود، سخنی به میان نیامده است. این بخش حداقل از خردادماه امسال به شرایط و قوانین استفاده از بله اضافه شده، اما کمتر کاربر قدیمی از آن آگاه است. زمانی که کاربران برای عضویت در یک پلتفرم اقدام می‌کنند، شرایط و قوانین آن را مطالعه و تأیید می‌کنند؛ اما درصورت به‌روزرسانی این قواعد بایدبه تمامی کاربران اطلاع‌رسانی صورت می‌گرفت که به‌نظر می‌رسد چنین چیزی رخ نداده است.

نشت اطلاعات برای شرکت‌های ایرانی هزینه‌ای ندارد

همچنین به گزارش پیوست، بابک نقاش در این خصوص اظهار کرد: «نشت اطلاعات هزینه‌ای برای شرکت‌های ایرانی ندارد، شاید همین موضوع است که هرازچند گاهی خبر از نشت اطلاعات کاربران یکی از پلتفرم‌های ایرانی بدون اینکه دغدغه‌ای عمومی ایجاد کند منتشر می‌شود. از سویی تضمین‌های قانونی با ضمانت اجرایی نیز برای امنیت کاربران تعریف نشده است تا حداقل به واسطه آن، افرادی که داده‌های حساس و غیرحساس را در اختیار دارند، اجبار و الزام ارزش گذاشتن روی داده‌های مردم را درک کنند. در مورد افشای گزارش‌های مردمی در پیام‌رسان بله دو نکته قابل توجه است. اول اینکه پیام‌رسان‌های بومی، عزیزکرده‌های دولت هستند که حداقل طی یکسال اخیر از هر نوع حمایت مادی و معنوی برخوردار بوده‌اند ولی همین اتفاق به ظاهر ساده نشان‌دهنده سطح شلختگی در حفظ اطلاعات است و نبود ساز و کارهای قاطع برای حفظ محرمانگی داده‌ها.»

وی بیان کرد: «نکته بعد اینکه ایران دومین اینترنت محدود دنیا را دارد و همین عامل نشان می‌دهد فضای مجازی ایران تا چه اندازه محدود است و نیاز به یادآوری نیست با فیلترینگ گسترده پیام‌رسان‌ها و شبکه‌های اجتماعی، استفاده از پلتفرم‌های داخلی یک انتخاب نیستند و اگر کاربران قادر به استفاده از فیلتر شکن نباشند یا علاقه‌مند به استفاده از آن نباشند گزینه دیگری جز استفاده از پیام‌رسان‌های ایرانی ندارند. از سویی دسترسی به پیام‌رسان‌های داخلی فقط محدود به داخل مرزهای ایران است و طبیعی است همه انتظار داشته باشند که با توجه به محدودیت دسترسی، امنیت آن نیز افزایش یابد اما تجربه «بله» نشان داد که معمولا نفوذ و نشت اطلاعات از داخل سیستم صورت می‌گیرد. مروری بر هک یا نفوذهایی که صورت گرفته نیز این را نشان می‌دهد.»

   داده‌های مردم طبق چه استانداردی در سازمان‌ها نگهداری می‌شوند؟

نقاش اظهار کرد: «هک‌ها و افشای اطلاعات حساس نیز به یک کمدی شبیه شده‌اند. شاید به همین دلیل است که در آخرین نمونه هک‌ها، رییس بنیاد شهید به جای شرمساری از عدم تامین امنیت زیرساخت‌های این نهاد، به هکرها طعنه می‌زند و از کج‌سلیقگی آنها می‌گوید. البته بنیاد شهید از معدود مواردی است که جریان هک حداقل به‌طور ضمنی توسط یک مقام رسمی در آن تایید شده و مانند ایمیل‌های منسوب به دادستانی، انرژی اتمی یا شهرداری تهران، با بی‌اعتنایی مسوولان و نبود گزارش برای افکار عمومی همراه نشده است. گذری به سامانه شکار که آن هم غیررسمی و بنا بر ادعا به‌صورت داوطلبانه راه‌اندازی شده است نشان می‌دهد اطلاعات حساس کاربران ایرانی از کدملی و نشانی محل سکونت تا شماره تماس و اطلاعات هویتی، اکنون نقل اینترنت شده است. آنچه نگران‌کننده است نبود ساز‌وکارهایی است که می‌توانند مانع از نشت و افشای اطلاعات شوند. اموری که ذاتا از جنس پدافند غیرعامل هستند و آسیب‌پذیری‌ها را کاهش می‌دهند. در شرایط فعلی مشخص نیست که تا چه سطح از افراد شرکت‌ها و سازمان‌های مختلف به داده‌ها دسترسی دارند و این داده‌ها با چه استانداردهایی نگهداری می‌شوند.» وی خاطرنشان کرد: «در اغلب نقاط دنیا نشت داده‌ها یا افشای غیرمجاز اطلاعات تأثیر قابل توجهی بر سازمان‌ها از جمله زیان‌های مالی، آسیب‌های اعتباری و مسوولیت‌های قانونی دارد.

برای جلوگیری از نشت اطلاعات اقدامات متعددی مانند شناسایی و طبقه‌بندی اطلاعات، کنترل دسترسی، رمزگذاری، آموزش کارکنان و قراردادهای عدم افشا قابل انجام است. در این زمینه استانداردهای زیادی نیز وجود دارد که می‌تواند یک ساختار قابل اطمینان برای محافظت از داده‌ها ایجاد کنند. در اغلب شبکه‌های اجتماعی، کارمندان (تعیین صلاحیت‌شده) فقط به اطلاعاتی که برای تکمیل بررسی لازم است دسترسی دارند. تمام اطلاعات مرتبط با کاربران اعم از حساس و غیرحساس مانند اطلاعات شخصی یا الگوهای رفتار محرمانه تلقی می‌شوند و در نهایت هر داده‌ای که دیگر مورد نیاز نیست حذف می‌شوند.»