اگرچه نشت اطلاعات کاربران یک پلتفرم یا وبسایت موضوع جدیدی نیست، اما قطعاً نگرانکننده است. کارشناسان حوزه امنیت باور دارند اطلاعات شخصی کاربران میتواند مورد سوءاستفاده قرار گیرد. به باور آنها، نبود قانونی منسجم و بازدارنده درباره امنیت و داده کاربران موجب شده است که کسبوکارها نیز آنطور که باید، اهمیتی به مسائل امنیتی ندهند.
ابتدای هفته «میلاد منشیپور»، مدیرعامل تپسی، با انتشار توییتی خبر از سرقت بخشی از اطلاعات پلتفرم تپسی داد. او اگرچه جزئیاتی از اطلاعات بهسرقترفته منتشر نکرد، اما هکر مدعی است که اطلاعات تمامی کاربران و رانندگان این پلتفرم بههمراه چند اطلاعات مهم دیگر را به سرقت برده است.
در همین یک ماه اخیر خبر هک و سرقت اطلاعات چند مجموعه دیگر همچون استارتاپ گردشگری قاصدک ۲۴، برخی صرافیهای آنلاین و شرکتهای بیمهای نیز منتشر شد که برخی تکذیب و برخی تأیید شدند. در افق دید نیز چندساله شاهد بودهایم که حتی مجموعههای دولتی مثل سازمان ثبت احوال قربانی حمله سایبری شدند و اطلاعات میلیونها ایرانی به سرقت رفت.
بااینحال، برخی از مردم از کنار افشای اطلاعاتشان بهسادگی عبور کرده و تصور میکنند که این اطلاعات به درد کسی نمیخورد. از سوی دیگر، برخی نیز دائماً نگران بهسرقترفتن اطلاعات خود هستند. اما افشای اطلاعات تا چه حد خطرناک است؟ برای جلوگیری از آن، کاربر، کسبوکار و دولت، هرکدام چه اقداماتی میتوانند انجام دهند؟
«میلاد نوری»، برنامهنویس و کارشناس IT، در پاسخ به پرسشی مبنی بر اینکه چرا برخی مردم نسبت به افشای اطلاعات خود بیتفاوت هستند به دیجیاتو گفت:
«اولین دلیل این است که کاربرهای ایرانی از این موضوع که اطلاعات شخصی (هرچند غیرحساس) جزئی از حریم خصوصی است، ناآگاهند و به همین دلیل تنها روی مواردی که خیلی مستقیم و در نگاه اول از نظر آنها خطرناک بهنظر میرسد، حساسند. به همین خاطر شاید در نگاه اول، نشت اطلاعاتی همچون آدرس و لیست خریدهای کاربر از یک فروشگاه آنلاین و تاریخچه سفر در یک سایت فروش بلیت و… از نگاه کاربر بیاهمیت جلوه کند.»
به باور وی، تضییع مکرر حقوق کاربرها در این مورد بهدلیل عدم وجود قانون کامل در این حوزه است: «عدم امکان پیگیری مؤثر نیز از دیگر دلایلی است که کاربرها کمتر در این زمینه خود را محق میدانند. نشتهای پیدرپی اطلاعات در سالهای اخیر هم تا حدی باعث عادیشدن این اتفاق بین عموم کاربرها شده؛ درصورتیکه برخی از آنها شبیه به فاجعه است.»
نوری با بیان اینکه گاهی تکتک اطلاعات لورفته ممکن است اهمیت زیادی نداشته باشند، اظهار داشت با در کنار هم قراردادن دیتابیسهای مختلف، میتوان به جزئیات زیادی از اطلاعات هویتی و فعالیتهای کاربر رسید که برای موارد مختلف مثل کلاهبرداری، هکهای اجتماعی و سایر سوءاستفادههای ممکن میتواند مورد استفاده قرار گیرد.
او از همین موضوع نتیجه گرفت که هر اطلاعاتی از کاربر (هرچند کوچک و غیرحساس) وقتی در پازل بزرگتر و در کنار سایر دیتاهای لورفته قرار گیرد، بسیار هشداردهنده و خطرناک است: «تا جایی که همین حالا از یک پیام ساده تلگرامی کاربر و تطابق آن با شماره تلفن در دیتابیس لورفته اپراتورها، تلگرامهای غیررسمی و… میتوان به آدرس و کد پستی و لیست سفرها و… کاربر رسید.»
نوری اعتقاد دارد با توجه به اینکه قانون کامل و بازدارندهای برای کسبوکارها وجود ندارد، خیلی از کسبوکارها موضوع امنیت را آنچنان که باید جدی نمیگیرند و همین امر موضوعی است که باعث میشود ما همواره با نگرانی اطلاعات و مدارک خود را در اختیار کسبوکارها قرار دهیم.
به گفته این کارشناس، بسیاری از کسبوکارها بهدلیل برخی درخواستهای سازمانهایی مثل پلیس فتا و… ، ناچارند اطلاعات بیش از نیاز از کاربر دریافت کنند. بعد از استفاده نیز همچنان حجم بالایی از مدارک و اطلاعات را به بهانه ارائه به سازمانهای مربوطه درصورت بروز مشکل، کلاهبرداری و… نگهداری میکنند.
اما نوری اعتقاد دارد شاید با سازوکارهایی بهتر جهت مقابله با کلاهبرداریها و در حضور ابزارهایی مثل سامانه شاهکار، نیاز نباشد کسبوکارها حتی برای ثبت یک دامنه ساده از کاربر مدارک هویتی مختلف دریافت کنند و آنها را برای همیشه نزد خود نگه دارند.
اما پس از هک و افشای اطلاعات، کاربران چه اقدامی میتوانند انجام دهند؟ نوری لازمه اینکه چه اقدامی باید انجام دهیم، ارائه بیانیه شفاف و توضیح موارد فنی از سوی کسبوکار آسیبدیده دانست؛ چیزی که در ایران بسیار کم شاهد آن هستیم و معمولاً کسبوکارها به عبارتهایی مثل «مسئولیت آن را میپذیریم» بسنده میکنند و سعی دارند با کوچکنمایی اطلاعات نشتشده، نگرانی کاربرها را کمتر کنند.
به باور نوری، کسبوکار با بیان واقعیت و اینکه چه اطلاعاتی از کاربر لو رفته است، میتواند بهترین راهکارها را به کاربرها ارائه دهد:
«همانطور که در موارد مشابه خارجی میبینیم که به کاربر بهصورت شفاف اعلام میکنند [به عنوان مثال] کلمه عبور شما لو رفته است و برای کاهش آسیبها این کارها را انجام دهید. کاری که تپسی هم خیلی سریع بعد از آگاهشدن از این اتفاق باید انجام میداد و حداقل کارهای قابل انجام (مثل ریستکردن شناسه GAAID و آگاهی درزمینه لورفتن شناسه دستگاهها علاوه بر اطلاعات سفرها و… ) را به کاربرها اعلام میکرد.»
نوری معتقد است بحث بهبود امنیت دادهها، ترکیبی از بحث حاکمیتی و قانونگذاری، بحت تخصصی و فنی و موارد دیگر است: «شاید اگر بهواسطه یک قانون کامل، در نشتهای قبلی برخورد قاطعانهای در حمایت از حقوق کاربرها صورت میگرفت یا راه برای شکایت و پیگیری کاربرها هموار بود، کسبوکارها حداقلیهای بیشتری را در موارد فنی رعایت میکردند. در خیلی از نشتهای اطلاعات کسبوکارهای حساس حتی شاهدیم کمترین رمزنگاری و انکرپشن ساده روی دیتاهای حساس هم اتفاق نیفتاده است.»
«علی کیاییفر»، کارشناس امنیت شبکه و مدیر امنیت سیستمهای کنترل صنعتی در پاسخ به سؤال دیجیاتو مبنی بر اینکه آیا مردم باید نگران سرقت اطلاعاتشان باشند یا خیر، گفت:
«افشای یک رکورد یا اطلاعات یک کاربر از دیدگاه کلان اتفاق مهمی نیست اما وقتی اطلاعات همه کاربران در یک پلتفرم افشا میشود، قطعاً خطرات بسیاری بههمراه دارد. بهطور مثال، در ماجرای سرقت اطلاعات تپسی میتوان اطلاعات مهمی استخراج کرد. مثلاً چه کسانی به وزارت امور خارجه تردد منظم و مداوم دارند؟ چه کسانی در دو ماه گذشته هم به سفارت انگلیس تردد داشتهاند و هم به فلان دستگاه امنیتی؟ میتوان فهرست افرادی را استخراج کرد که در سازمانهای حیاتی تردد داشته و درعینحال رفتوآمدهای شبانه مشکوکی هم به بعضی از آدرسها دارند.»
به گفته وی، از طرف دیگر، حریم شخصی کاربران هم نقض میشود: «شما فرض کنید یک شهروند برای درمان بیماری خود در یک پلتفرم ویزیت آنلاین توسط یک متخصص ویزیت شده و اطلاعات این ویزیت و نوع بیماری شهروندان منتشر شود. هیچکس نمیتواند بگوید این اطلاعات مهم نیست. هم حریم خصوصی افراد مورد هجمه قرار گرفته است و هم با تحلیل آن میشود اطلاعات بسیاری بهدست آورد.»
کیاییفر با ابراز تأسف از اینکه در کشور ما قانون روشنی که از حقوق کاربران در حفظ حریم خصوصی حمایت کند، نداریم، به شهروندان حق داد که نگران انتشار اطلاعاتشان در پلتفرمها باشند:
«در اتحادیه اروپا از سالها پیش قانون حمایت از حقوق شهروندان تصویب و اجرا شده است که به شهروندان حق میدهد از شرکتها بخواهند سابقه اطلاعات شخصی آنها را حذف کنند. این حق بهعنوان «حق حذف» یا «حق فراموشی» شناخته میشود.»
به گفته این کارشناس امنیت شبکه، کاربران براساس قانون GDPR میتوانند حق حذف را در شرایط زیر اعمال کنند:
همچنین شرکتها باید درخواستهای حذف کاربران را ظرف یک ماه بررسی و درصورت احراز شرایط، سابقه اطلاعات شخصی کاربران را حذف کنند.
کیاییفر اعلام کرد که متأسفانه سالهاست این حق مسلم کاربران ایرانی در پلتفرمهای بومی پایمال میشود: «هیچ قانونی هم در حمایت از کاربران ایرانی وجود ندارد. این وظیفه مجلس است که برای قانونگذاری در دفاع از حقوق شهروندان، به این حوزه ورود کند و قانونی مشابه GDPR را در ایران به تصویب برساند.»
او معتقد است کسبوکارها تمرکزشان روی درآمد و پیشرفت است و گویی امنیت اطلاعات اولویت آنها نیست:
«هیچکس مطالبهگر جدی امنیت از کسبوکارها نیست. این هم به ضعف قانونی بازمیگردد. به نظر من، تا زمان رفع ایرادات قانونی، پلیس فتا که تیمهای اجرایی قدرتمندی در اختیار دارد، بهعنوان متولی اصلی این حوزه باید بهصورت جدی حداقلهای امنیتی را از کسبوکارهایی که بیش از 100 هزار نفر دارند، مطالبه کند و با اهرمهایی که در اختیار دارد، بر آنها نظارت کند.»
«پیمان گلی»، کارشناس حوزه IT و امنیت، در پاسخ به سؤال دیجیاتو مبنی بر اینکه سادهانگارانه گرفتن لورفتن اطلاعات شخصی درست است یا خیر، گفت:
«افشای اطلاعات شخصی واقعاً خطرناک است. البته درجه اهمیت این اطلاعات بسته به نوع دیتایی که از کاربر گرفته شده و اطلاعاتی که ذخیره شده، متفاوت است. اما این تصور که اطلاعاتمان به چه درد دیگران میخورد، اصلاً صحیح نیست. اطلاعات شخصی میتواند منشأ بسیاری از سوءاستفادهها باشد.»
وی اعتقاد دارد سرقت دادههای یک تاکسی آنلاین میتواند اطلاعاتی راجع به مسیر رفتوآمد یک فرد خاص بههمراه شماره تلفن و موقعیتش را افشا کند: «زمانی که ساعت خروج و ورود فرد به خانهاش را داشته باشید، اینکه بدانید صبح چه ساعتی از منزل خارج شده، چه ساعتی بازمیگردد و در مسیر بازگشت چقدر در راه است، میتواند منشأ سوءاستفادههای بسیاری باشد.»
گلی در پاسخ به سؤال دیجیاتو مبنی بر اینکه آیا باید دائماً نگران لورفتن اطلاعاتمان باشیم یا خیر، گفت:
«بارها گفتهام زمانی که گوشی هوشمند دارید، حساب کاربری شبکه اجتماعی دارید، از سایتها و اپهای مختلف استفاده میکنید و دیتاهایی برای احراز هویت مثل شماره ملی یا تلفنتان را ثبت کردید، همیشه باید نگران لورفتن اطلاعات باشید.»
به باور وی، اگرچه حلقه امنیت روزبهروز درحال بهبود و وسیعتر شدن است، اما بههرحال ممکن است جایی یک حفرهای وجود داشته باشد که کسی از آن مطلع نباشد: «شاید مجموعهای استانداردها را رعایت نکند، امنیتش کامل نباشد یا حتی سهواً بهخاطر خطای یک برنامهنویس، حفرهای وجود داشته باشد؛ کار هکر هم کشف حفرههاست.»
این کارشناس حوزه IT به کاربران توصیه میکند که برای استفاده از یکسری اپلیکیشن و وبسایت از شماره شخصی خود استفاده نکنند و با دستگاهی مجزا به اینترنت متصل شوند.
به گفته گلی، فهرست بلندبالایی در مورد رعایت مسائل امنیتی وجود دارد که یک نمونه آن در مورد مدیریت پسوردها است. مسائلی مانند اینکه رمز عبور را روی مرورگر ذخیره نکنید، رمز عبور ساده انتخاب نکنید و… .
او همچنین توصیه کرد افراد پیش از نصب اپلیکیشنها از قوانینی که در مورد رعایت حریم خصوصی درباره برنامه موردنظر وجود دارد، آگاه شوند.
گلی اعتقاد دارد پس از افشای اطلاعات هم کسبوکارها و شرکتها باید یکسری اقدامات امنیتی انجام دهند:
«در سالیان اخیر بارها شاهد سرقت اطلاعات و هک دیتابیسها بودیم که حتی در سازمانهای دولتی هم رخ داده است. این پدیده خوبی نیست و نشان میدهد ضعف امنیتی داریم. به لحاظ سختافزاری، نرمافزاری، دانش، کاربری دانش در بحث معماری و پیادهسازی و… ضعف داریم. بنابراین بهتر است که همواره بهروزرسانی امنیتی صورت گیرد، تهدیدهای امنیتی رصد شوند، در معماریها بازنگری صورت گیرد و بکاپ نیز گرفته شود. اینها مسائلی است که کسبوکارها باید رعایت کنند.»
این کارشناس IT تأکید دارد هک و سرقت اطلاعات به برند کسبوکارها ضربه میزند و همچنین اثری منفی روی افکار عمومی دارد که باعث میشود نسبت به اپها و استارتاپهای داخلی بدبین شوند: «بنابراین بایستی در حوزه امنیت سرمایهگذاری شود تا هم به برند ضربه نخورد، هم درآمد شرکت کاهش نیابد و هم سطح اعتماد عمومی ضربه نبیند.»
گلی اعتقاد دارد حاکمیت با تصویب قوانین و جریمههای سنگین میتواند در این زمینه بازدارنده باشد تا شرکتها به امنیت خود بیشازپیش اهمیت دهند: «وقتی جریمه سنگین باشد، حتی اگر کسبوکارها یکدهم هزینه جریمه را روی امنیت خود سرمایهگذاری کنند، به ارتقای امنیتشان کمک خواهد کرد.»
به گفته وی، همچنین بایستی قانون حفاظت از حریم شخصی تنظیم شود تا کسبوکاری اگر داده و اطلاعات خصوصی میخواهد، این حق برای کاربر محفوظ باشد تا بپرسد چرا و کجا قرار است از این دادهها استفاده شود.
نبود قوانین بازدارنده برای حفاظت بهتر از اطلاعات مردم، وجه اشتراک سخنان کارشناسان درباره چرایی افزایش سرقت اطلاعات است. این درحالی است که کسبوکارها با باگ بانتی و سرمایهگذاری مناسب میتوانند رفتار مسئولانهتری نسبت به اطلاعات کاربران خود داشته باشند.