رمزگشایی از علت ریشهای موارد متعدد لو رفتن اطلاعات هویتی مردم از چند پایگاه داده مهم در كشور
فروش اطلاعات به قیمت امنیت مردم
تا همین چند سال پیش وقتی در رویدادهایی نادر خبر لو رفتن اطلاعات مشتریان بانك یا مركزی منتشر میشد تا مدتها آن خبر نقل محافل گوناگون بود، علتش بررسی میشد، افراد خاطی و سازمان مقصر مورد بازخواست قرار میگرفتند و مكلف به ارائه توضیح بودند ... اما اخیرا چند ماهی است با انبوهی از اخبار و شایعات درست و نادرست در مورد لو رفتن اطلاعات هویتی مردم ایران مواجه شدیم. آن قدر كه گویی کمكم باید جزو خبرهای روزمره و عادی تلقیشان كنیم. اطلاعات هویتی مردم از سامانهها و وبگاههای مختلف، به دلیل ضعف سیستم امنیتی به بیرون درز كرده و در فضای وب خرید و فروش میشود. بدیهی است حفاظت از دادهها در برابر هكرها در فضای وب هزینههای كلانی دارد. اما سوال مهم این است كه نهادهای مختلف دولتی و خصوصی تا چه حد مكلف به پرداخت این هزینهها به منظور بهكارگیری قویترین سامانههای امنیتی در شبكه هستند و اگر این امنیت بالاست چرا اخبار مربوط به لو رفتن این اطلاعات این قدر مكرر شده است. اكنون پرسش افكار عمومی این است كه نشتی دادهها از سامانههای گوناگون داخلی دقیقا چرا و چطور اتفاق میافتد؟ واكنش مسؤولان به این مسأله چیست؟ آیا لو رفتن اطلاعات خطری برای صاحبان آن دارد؟ مجازات سازمانهایی كه نتوانستهاند از اطلاعات مردم حفاظت كنند چه بوده و ضمانت اجرای آن چیست؟
اما به نظر میرسد در ایران شرایط متفاوت است و رعایت نشدن پروتكلهای امنیتی بانك دادهها از سوی مالكان آنها منجر به نشتیهای متعدد و قابل توجه شده است؛ نشتیهایی كه اطلاعات هویتی مردم را به هدفی در دسترس و آسان برای هكرها تبدیل كرده است.
سه سال پیش بود كه خبر در دسترس بودن اطلاعات كاربران یكی از اپراتورهای تلفن همراه همه را شوكه كرد. اطلاعاتی كه از طریق یك ربات تلگرامی به آسانی در دسترس همگان قرار گرفته بود. از آن موقع تا كنون این اتفاق بارها تكرار شده است و در ماهها و هفتههای اخیر خبرهایی از این دست هر روز به گوشمان میرسد.افشای بانك اطلاعاتی یك شركت بزرگ حملونقل ریلی، هك شدن اطلاعات شناسنامهای 80 میلیون ایرانی از بانكهای اطلاعاتی سازمان ثبتاحوال و وزارت بهداشت، هك شدن اطلاعات كاربری پنج میلیون كاربر یك اپاستور ایرانی آیفون، افشای اطلاعات یك وبگاه فروش بلیت سفر، لو رفتن اطلاعات هویتی مردم از یك صرافی آنلاین و چند مورد دیگر، همه و همه به دلیل نواقص امنیتی بانكهای اطلاعاتی سازمانهای دولتی و خصوصی گریبانگیر مردم شده است.
مجموعه این اتفاقات، اطلاعاتی نظیر نام و نام خانوادگی، كد ملی، نشانی ایمیل، شماره تلفن، عكس پرسنلی و مواردی دیگر را در اختیار هكرها قرار داده است.
ضعف امنیتی یا بیتوجهی مسؤولان؟
حال باید ببینیم عامل لورفتن این حجم انبوه اطلاعات چیست؟ میلاد نوری، كارشناس فناوری اطلاعات در پاسخ به این پرسش به جامجم میگوید: «به نظر من عوامل اصلی لو رفتن اطلاعات به شكلهای مختلف را میتوان در چند مورد جستوجو كرد، ناآگاهی مردم از مسائل امنیتی و حریم شخصی در فضای آنلاین، ضعف سیستمهای امنیتی و اجرایی نشدن قانون برای مجازات شركتها و سازمانهایی كه نتوانستهاند از اطلاعات كاربران محافظت كنند.»
این كارشناس فناوری اطلاعات اجرا نشدن قانون برای مجازات بانیان این مساله را عامل اصلی تعدد این رخدادها میداند و معتقد است تا زمانی كه افشای اطلاعات كاربری برای مالکان داده مجازات یا جریمه قابلتوجهی در پی نداشته باشد، تكرار آن جای تعجب ندارد. او میگوید: «وقتی لو رفتن اطلاعات كاربران یك وبگاه معتبر فروش بلیت با چند توییت در شرح مختصر مساله و عذرخواهی تمام میشود و مالكان داده هیچ بهایی نمیپردازند، واضح است سایر موسسات و سازمانها توجه جدی به پیادهسازی پروتكلهای امنیتی برای پایگاههای داده خود نمیكنند. زیرا تجربه به آنها نشان داده است ماجرا با یك عذرخواهی ساده در فضای مجازی حل میشود و كسی پیگیریاش نمیكند.»
اسماعیل باقریاصل، پژوهشگر در حوزه امنیت زیرساختهای حساس و حیاتی، تصریح میكند: «در بسیاری از موارد رعایت نشدن حداقل سیاستهای امنیتی منجر به نشت اطلاعات میشود. بسیار پیش میآید كه در برقراری ارتباط بین دو پایگاه داده یا جابهجایی دادهها بین دو سازمان، توسعهدهندگان كه نسبت به سیاستها و راهكارهای امنیتی بیگانهاند، امور مربوطه را انجام میدهند و باعث ایجاد آسیبپذیری امنیتی در سامانه و دادههای مرتبط به آن میشوند. در واقع با اولویت ندادن به راهبردهای تابآوری سایبری كه تمام اصول سهگانه امنیت را نیز شامل میشود، مخاطره بیشتر خواهد شد.»
گفتنی است حفظ محرمانگی، یكپارچه بودن و دسترسپذیری، سه مفهوم اصلی امنیت اطلاعات در فضای وب است.
لزوم اجراییشدن
لایحه حریم خصوصی
با این اوصاف درمییابیم یكی از مهمترین عوامل نشتی اطلاعات، نبود رویكرد جدی امنیتی در میان مدیران سازمانها و كسبوكارهاست كه میتواند به ضرر كاربران تمام شود و فراگیر نبودن این رویكرد از آنجا میآید كه قانون مدونی برای مجازات مالكان دادههایی كه نتوانستهاند از آنها محافظت كنند وجود ندارد.
در این باره، ابوالقاسم صادقی، معاون امنیت سازمان فناوری اطلاعات ایران در مصاحبه با خبرگزاری مهر گفته است از طریق مركز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای) مسائل امنیتی كه سازمانها باید رعایت كنند به آنها ابلاغ شده است؛ با این حال، سازمانهای مذكور این ابلاغها را جدی نمیگیرند و با سهلانگاری آنها هم هیچ برخوردی قضایی نمیشود. او در ادامه میگوید: «به دلیل نبود قوانین و قاعده برای حفظ حریمخصوصی در فضای سایبری، نهادهایی مانند مركز ماهر نمیتوانند بهراحتی فعالیت مؤثر داشته باشند.»
صادقی در مورد خلأ قانونی و نبود مجازات برای بانیان لو رفتن دادهها تصریح میكند: «لایحه حریم خصوصی در فضای سایبری كه مدتهاست از سوی سازمان فناوری اطلاعات تهیه شده، در انتظار تصویب در كمیسیون تخصصی دولت است.»
انتظار میرود با تصویب این لایحه و تدوین قوانین سختگیرانه در مورد حفاظت از اطلاعات كاربران، افشای اطلاعات بهآسانی اتفاق نیفتد.
اوضاع در آنسوی آبها
چگونه است؟
هك شدن بانكهای اطلاعاتی و لو رفتن اطلاعات كاربران برای بعضی از بزرگترین شركتهای حوزههای وب، انرژی، اقتصاد و غیره در سراسر جهان رخ داده است. شركتهایی كه با صرف بودجههای قابل توجه سعی در ایمنسازی بانكهای داده خود داشتهاند. تفاوت افشای اطلاعات در چنین مواردی با آنچه در ایران شاهد آن بودهایم، رویكرد امنیتی مالكان داده در حفاظت هرچه بهتر این دادهها است.
عرف رایج در جهان این است كه وقتی اطلاعات بانك دادهای لو میرود، مالكان داده سریعا جوانب امر به كاربران خود اطلاع میدهند، از آنها میخواهند در اسرع وقت نسبت به ایمنسازی حریم شخصی خود اقدام كرده و نسبت به زوایای مختلف سوءاستفاده از دادهها با احتیاط بیشتری عمل كنند.
میلاد نوری با ذكر مثالی ابعاد واكنشهای مدیران برخی شركتهای بزرگ جهان در این موارد را اینطور توضیح میدهد: مثلا اگر آدرس ایمیل و شماره تلفن و رمز ورود به یك سامانه هك شود، مدیران آن سامانه با صدور بیانیهای ضمن عذرخواهی از كاربران، از آنها میخواهند نسبت به تغییر رمز ورود به آدرس ایمیل، رمز كارتهای بانكی و موارد دیگر اقدام كنند تا اگر رمز ورود آنها به این سامانه با جاهای دیگر یكی بود، دچار مشكل نشوند. اما اینهمه ماجرا نیست و مسؤولان آن سازمان شفافسازی میكنند كه علت این نقص امنیتی دقیقا چه بوده است؟ مثلا توضیح میدهند كه كدگذاری یكی از پایگاهها به خوبی صورت نگرفته بود یا یك عضو خرابكار داخل مجموعه عامل لو رفتن اطلاعات بوده است.
با این شفافسازی، این اطمینان به مخاطب داده میشود كه چنین مسألهای دیگر تكرار نمیشود و همچنین شركتها و سازمانهای دیگر سعی در بررسی نواقص مشابه احتمالی خواهند داشت.
نوری تصریح میكند رعایت نشدن سلسله مراتب در دسترسی به اطلاعات از عوامل مهم آسیبپذیری امنیتی بانكهای اطلاعاتی است كه بارها مشكل آفریده است.
این داستان ادامه دارد؟!
باتوجه به آنچه گفته شد، مشخص نیست سازمانها و شركتهای خصوصی و دولتی چه زمانی برای امنیت پایگاههای داده خود چارهای دقیق و محكم خواهند اندیشید. اگر جلوی این وضع گرفته نشود بعید نیست بهزودی این ماجرا از نشت اطلاعات هویتی مردم جدیتر شود و شاهد لو رفتن اطلاعات مهمتری باشیم. باقریاصل در این باره به جامجم میگوید: «در انقلاب صنعتی چهارم، تمامی زیرساختها، سامانهها، ارتباطات به سمت یكپارچه شدن خواهند رفت. این یعنی امكان وقوع تهدیداتی كه منجر به نقض سه اصل امنیت میشوند، بیشتر میشود. در نتیجه بهتر است سازمانها و زیرساختهای حساس و حیاتی، تدوین استراتژیهای ارزیابی، بهبود و بلوغ تابآوری سایبری را در دستور كار خود قراردهند كه بتوانند با بهرهگیری از آن، در صورت بروز مخاطرات، اعم از سایبری و غیرسایبری، در كوتاهترین زمان ممكن نسبت به پاسخگویی به رخدادها اقدام نمایند.»
نوری در پایان صحبتهایش اوضاع فعلی كشور را بهشتی برای هكرها میداند و میگوید: «از آنجا كه این كارها برای هكرها درآمدزا است، وقتی كشوری را با چنین اشكالات گستردهای در تامین امنیت بانكهای داده پیدا میكنند، روی آن متمركز شده و دست از سرش برنمیدارند.»
در شرایط فعلی ورود مقامات قضایی به این مسأله و تدوین نظام قانونی سختگیرانه و اجرای آن، برای تامین امنیت اطلاعات در فضای وب، میتواند راهحلی سریع و ثمربخش برای بهبود اوضاع باشد.
خطرات افشای اطلاعات مردم
شاید در نگاه اول اطلاعات هویتی و شماره تلفن و نشانی ایمیل كاربران یك سامانه یا تعداد زیادی از مردم، مهم به نظر نرسد و خطرات آن از دید ما پنهان بماند. اما در دسترس بودن این اطلاعات چقدر مشكلآفرین است؟ اهمیت این اطلاعات كجاست كه اشخاصی در داخل و خارج از ایران برای خریدن آنها مبالغی را هزینه میكنند؟
میلاد نوری معتقد است اطلاعات موجود در هر پایگاه به تنهایی، احتمالا، خطر چندانی نخواهد داشت و اگر اطلاعات چند بانك داده در كنار هم قرار بگیرند باید گوش به زنگ بود. او میگوید: «این اطلاعات دستمایه مناسبی برای هك اجتماعی است. یعنی هكر میتواند با استفاده از این اطلاعات، اعتماد افراد را برای كلاهبرداریها فراهم كند. یا حتی ممكن است در یك شبكه پیامرسان به كاربر پیام بدهد و با ارئه این اطلاعات بگوید من تلفن همراه تو را هك كردهام و به متن پیامهایت دسترسی دارم، اگر میخواهی پیامها را افشا نكنم، پنج میلیون تومان پرداخت كن! اغلب كاربران هم از روی سادگی و بیاطلاعی گول میخورند.»
در چنین مواردی لو رفتن اطلاعات و آگاه نبودن مردم در كنار هم بستر آسانی را برای كلاهبردارها فراهم میكنند. البته اینها فقط مثالهایی ساده هستند و خطرات بزرگتری هم میتواند در انتظار كاربران باشد. این كارشناس فناوری اطلاعات میافزاید: «برخی موسسات خصوصی برای احراز هویت كاربرانشان از آنها میخواهند كارت ملی خود را در دست بگیرند و برای آنها عكسی واضح از كارت ملی و چهرهشان بفرستند! اگر اطلاعات چنین موسسهای افشا شود (كه در مواردی چنین شده است) خرابكارها میتوانند از عكس و اطلاعات هویتی اشخاص برای سودجوییهای بزرگتر استفاده كنند. مثلا با اطلاعات آنها یك وبگاه شرطبندی راه بیندازند یا فعالیتهای سایبری خرابكارانه انجام دهند.»
-
یك، دو، سه، سلام!
-
هنوز بین تهران و اردبیل در رفت و آمدم
-
شبهای روشن
-
پاسخ به 10 پرسش درباره سهام عدالت
-
روایــت فــتح 99
-
سـایـهای برای آفتـاب
-
مناجات در خلوت
-
فروش اطلاعات به قیمت امنیت مردم
-
زلزله تهران تقصیر ضحاک بود!؟
-
اشباح سرگردان در آمریکای لاتین
-
خانواده امنترین پایگاه دوران قرنطینه
-
راز کارنامه موفق ایران در مقابله با کرونا
-
مشارکت تلویزیون در « قدر» شناسی مردم
-
مسیر حمایت از اقشار کمدرآمد