لو رفتن اطلاعات هویتی كاربران سامانه‌ها، نرم‌افزار‌ها و وبگاه‌ها در سراسر جهان چیز عجیبی نیست. این اتفاقات اغلب با هك‌ شدن بانك‌های اطلاعاتی مرتبط با یك سازمان رخ‌می‌دهد. بانك‌های اطلاعاتی‌ای كه در برخی موارد، اصول امنیتی مربوط به حفاظت اطلاعات كاربران را به‌خوبی انجام داده‌‌اند و با این حال باز‌هم در مقابل هكرها شكننده بوده‌اند.
اما به نظر می‌رسد در ایران شرایط متفاوت است و رعایت نشدن پروتكل‌های امنیتی بانك‌ داده‌ها از سوی مالكان آنها منجر به نشتی‌های متعدد و قابل توجه شده است؛ نشتی‌هایی كه اطلاعات هویتی مردم را به هدفی در دسترس و آسان برای هكرها تبدیل كرده است.
سه سال پیش بود كه خبر در دسترس بودن اطلاعات كاربران یكی از اپراتورهای تلفن همراه همه را شوكه كرد. اطلاعاتی كه از طریق یك ربات تلگرامی به آسانی در دسترس همگان قرار گرفته بود. از آن موقع تا كنون این اتفاق بارها تكرار شده است و در ماه‌ها و هفته‌های اخیر خبرهایی از این دست هر روز به گوش‌مان می‌رسد.افشای بانك اطلاعاتی یك شركت بزرگ حمل‌ونقل ریلی، هك‌ شدن اطلاعات شناسنامه‌ای 80 میلیون ایرانی از بانك‌های اطلاعاتی سازمان ثبت‌احوال و وزارت بهداشت، هك شدن اطلاعات كاربری پنج میلیون كاربر یك اپ‌استور ایرانی آیفون، افشای اطلاعات یك وبگاه فروش بلیت سفر، لو رفتن اطلاعات هویتی مردم از یك صرافی آنلاین و چند مورد دیگر، همه و همه به دلیل نواقص امنیتی بانك‌های اطلاعاتی سازمان‌های دولتی و خصوصی گریبان‌گیر مردم شده است.
مجموعه این اتفاقات، اطلاعاتی نظیر نام و نام خانوادگی، كد ملی، نشانی ایمیل، شماره تلفن، عكس پرسنلی و مواردی دیگر را در اختیار هكرها قرار داده است.
 ضعف امنیتی یا بی‌توجهی مسؤولان؟
حال باید ببینیم عامل لورفتن این حجم انبوه اطلاعات چیست؟ میلاد نوری، كارشناس فناوری اطلاعات در پاسخ به این پرسش به جام‌جم می‌گوید: «به نظر من عوامل اصلی لو رفتن اطلاعات به شكل‌های مختلف را می‌توان در چند مورد جست‌وجو كرد، نا‌آگاهی مردم از مسائل امنیتی و حریم شخصی در فضای آنلاین، ضعف سیستم‌های امنیتی و اجرایی نشدن قانون برای مجازات شركت‌ها و سازمان‌هایی كه نتوانسته‌اند از اطلاعات كاربران‌ محافظت كنند.»
این كارشناس فناوری اطلاعات اجرا نشدن قانون برای مجازات بانیان این مساله را عامل اصلی تعدد این رخدادها می‌داند و معتقد است تا زمانی كه افشای اطلاعات كاربری برای مالکان داده مجازات یا جریمه قابل‌توجهی در پی نداشته باشد، تكرار آن جای تعجب ندارد. او می‌گوید: «وقتی لو رفتن اطلاعات كاربران یك وبگاه معتبر فروش بلیت با چند توییت در شرح مختصر مساله و عذرخواهی تمام می‌شود و مالكان داده هیچ بهایی نمی‌پردازند، واضح است سایر موسسات و سازمان‌ها توجه جدی به پیاده‌سازی پروتكل‌های امنیتی برای پایگاه‌های داده خود نمی‌كنند. زیرا تجربه به آنها نشان داده است ماجرا با یك عذرخواهی ساده در فضای مجازی حل می‌شود و كسی پیگیری‌اش نمی‌كند.»
اسماعیل باقری‌اصل، پژوهشگر در حوزه امنیت زیرساخت‌های حساس و حیاتی، تصریح می‌كند: «در بسیاری از موارد رعایت‌ نشدن حداقل سیاست‌های امنیتی منجر به نشت اطلاعات می‌شود. بسیار پیش می‌آید كه در برقراری ارتباط بین دو پایگاه داده یا جابه‌جایی داده‌ها بین دو سازمان، توسعه‌دهندگان كه نسبت به سیاست‌ها و راهكارهای امنیتی بیگانه‌اند، امور مربوطه را انجام می‌دهند و باعث ایجاد آسیب‌پذیری امنیتی در سامانه و داده‌های مرتبط به آن می‌شوند. در واقع با اولویت ندادن به راهبردهای تاب‌آوری سایبری كه تمام اصول سه‌گانه امنیت را نیز شامل می‌شود، مخاطره بیشتر خواهد شد.»
گفتنی است حفظ محرمانگی، یكپارچه بودن و دسترس‌پذیری، سه مفهوم اصلی امنیت اطلاعات در فضای وب است.
لزوم اجرایی‌شدن
لایحه حریم خصوصی
با این اوصاف درمی‌یابیم یكی از مهم‌ترین عوامل نشتی اطلاعات، نبود رویكرد جدی امنیتی در میان مدیران سازمان‌ها و كسب‌وكارهاست كه می‌تواند به ضرر كاربران تمام شود و فراگیر نبودن این رویكرد از آنجا می‌آید كه قانون مدونی برای مجازات مالكان داده‌هایی كه نتوانسته‌اند از آنها محافظت كنند وجود ندارد.
در این باره، ابوالقاسم صادقی، معاون امنیت سازمان فناوری اطلاعات ایران در مصاحبه با خبرگزاری مهر گفته است از طریق مركز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای) مسائل امنیتی كه سازمان‌ها باید رعایت كنند به آنها ابلاغ شده است؛ با این حال، سازمان‌های مذكور این ابلاغ‌ها را جدی نمی‌گیرند و با سهل‌انگاری آنها هم هیچ برخوردی قضایی نمی‌شود. او در ادامه می‌گوید: «به دلیل نبود قوانین و قاعده برای حفظ حریم‌خصوصی در فضای سایبری، نهادهایی مانند مركز ماهر نمی‌توانند به‌راحتی فعالیت مؤثر داشته باشند.»
صادقی در مورد خلأ قانونی و نبود مجازات برای بانیان لو رفتن داده‌ها تصریح می‌كند: «لایحه حریم خصوصی در فضای سایبری كه مدت‌هاست از سوی سازمان فناوری اطلاعات تهیه شده، در انتظار تصویب در كمیسیون تخصصی دولت است.»
انتظار می‌رود با تصویب این لایحه و تدوین قوانین سختگیرانه در مورد حفاظت از اطلاعات كاربران، افشای اطلاعات به‌آسانی اتفاق نیفتد.
اوضاع در آن‌سوی آب‌ها
چگونه است؟
هك ‌شدن بانك‌های اطلاعاتی و لو رفتن اطلاعات كاربران برای بعضی از بزرگ‌ترین شركت‌های حوزه‌های وب، انرژی، اقتصاد و غیره در سراسر جهان رخ داده است. شركت‌هایی كه با صرف بودجه‌های قابل توجه سعی در ایمن‌سازی بانك‌های داده خود داشته‌اند. تفاوت افشای اطلاعات در چنین مواردی با آنچه در ایران شاهد آن بوده‌ایم، رویكرد امنیتی مالكان داده در حفاظت هرچه بهتر این داده‌ها است.
عرف رایج در جهان این است كه وقتی اطلاعات بانك داده‌ای لو می‌رود، مالكان داده سریعا جوانب امر به كاربران خود اطلاع می‌دهند، از آنها می‌خواهند در اسرع وقت نسبت به ایمن‌سازی حریم شخصی خود اقدام كرده و نسبت به زوایای مختلف سوء‌استفاده از داده‌ها با احتیاط بیشتری عمل كنند.
میلاد نوری با ذكر مثالی ابعاد واكنش‌های مدیران برخی شركت‌های بزرگ جهان در این موارد را این‌طور توضیح می‌دهد: مثلا اگر آدرس ایمیل و شماره تلفن و رمز ورود به یك سامانه هك شود، مدیران آن سامانه با صدور بیانیه‌ای ضمن عذرخواهی از كاربران، از آنها می‌خواهند نسبت به تغییر رمز ورود به آدرس ایمیل، رمز كارت‌های بانكی و موارد دیگر اقدام كنند تا اگر رمز ورود آنها به این سامانه با جاهای دیگر یكی بود، دچار مشكل نشوند. اما این‌همه ماجرا نیست و مسؤولان آن سازمان شفاف‌سازی می‌كنند كه علت این نقص امنیتی دقیقا چه بوده است؟ مثلا توضیح می‌دهند كه كدگذاری یكی از پایگاه‌ها به خوبی صورت نگرفته بود یا یك عضو خرابكار داخل مجموعه عامل لو رفتن اطلاعات بوده است.
با این شفاف‌سازی، این اطمینان به مخاطب داده می‌شود كه چنین مسأله‌ای دیگر تكرار نمی‌شود و همچنین شركت‌ها و سازمان‌های دیگر سعی در بررسی نواقص مشابه احتمالی خواهند داشت.
نوری تصریح می‌كند رعایت نشدن سلسله مراتب در دسترسی به اطلاعات از عوامل مهم آسیب‌پذیری امنیتی بانك‌های اطلاعاتی است كه بارها مشكل آفریده است.



این داستان ادامه دارد؟!
 باتوجه به آنچه گفته شد، مشخص نیست سازمان‌ها و شركت‌های خصوصی و دولتی چه زمانی برای امنیت پایگاه‌های داده خود چاره‌ای دقیق و محكم خواهند اندیشید. اگر جلوی این وضع گرفته نشود بعید نیست به‌زودی این ماجرا از نشت اطلاعات هویتی مردم جدی‌تر شود و شاهد لو رفتن اطلاعات مهم‌تری باشیم. باقری‌اصل در این باره به جام‌جم می‌گوید: «در انقلاب صنعتی چهارم، تمامی زیرساخت‌ها، سامانه‌ها، ارتباطات به سمت یك‌پارچه شدن خواهند رفت. این یعنی امكان وقوع تهدیداتی كه منجر به نقض سه اصل امنیت می‌شوند، بیشتر می‌شود. در نتیجه بهتر است سازمان‌ها و زیرساخت‌های حساس و حیاتی، تدوین استراتژی‌های ارزیابی، بهبود و بلوغ تاب‌آوری سایبری را در دستور كار خود قرار‌دهند كه بتوانند با بهره‌گیری از آن، در صورت بروز مخاطرات، اعم از سایبری و غیرسایبری، در كوتاه‌ترین زمان ممكن نسبت به پاسخگویی به رخدادها اقدام نمایند.»
نوری در پایان صحبت‌هایش اوضاع فعلی كشور را بهشتی برای هكرها می‌داند و می‌گوید: «از آنجا كه این كارها برای هكرها درآمدزا است، وقتی كشوری را با چنین اشكالات گسترده‌ای در تامین امنیت بانك‌های داده پیدا می‌كنند، روی آن متمركز شده و دست از سرش بر‌نمی‌دارند.»
در شرایط فعلی ورود مقامات قضایی به این مسأله و تدوین نظام قانونی سخت‌گیرانه و اجرای آن، برای تامین امنیت اطلاعات در فضای وب، می‌تواند راه‌حلی سریع و ثمربخش برای بهبود اوضاع باشد.


خطرات افشای اطلاعات مردم
 شاید در نگاه اول اطلاعات هویتی و شماره تلفن و نشانی ایمیل كاربران یك سامانه یا تعداد زیادی از مردم، مهم به نظر نرسد و خطرات آن از دید ما پنهان بماند. اما در دسترس بودن این اطلاعات چقدر مشكل‌آفرین است؟ اهمیت این اطلاعات كجاست كه اشخاصی در داخل و خارج از ایران برای خریدن آنها مبالغی را هزینه می‌كنند؟
میلاد نوری معتقد است اطلاعات موجود در هر پایگاه به تنهایی، احتمالا، خطر چندانی نخواهد داشت و اگر اطلاعات چند بانك داده در كنار هم قرار بگیرند باید گوش به زنگ بود. او می‌گوید: «این اطلاعات دستمایه مناسبی برای هك اجتماعی است. یعنی هكر می‌تواند با استفاده از این اطلاعات، اعتماد افراد را برای كلاهبرداری‌ها فراهم كند. یا حتی ممكن است در یك شبكه پیام‌رسان به كاربر پیام بدهد و با ارئه این اطلاعات بگوید من تلفن همراه تو را هك كرده‌ام و به متن پیام‌هایت دسترسی دارم، اگر می‌خواهی پیام‌ها را افشا نكنم، پنج میلیون تومان پرداخت كن! اغلب كاربران هم از روی سادگی و بی‌اطلاعی گول می‌خورند.»
در چنین مواردی لو رفتن اطلاعات و آگاه نبودن مردم در كنار هم بستر آسانی را برای كلاهبردارها فراهم می‌كنند. البته اینها فقط مثال‌هایی ساده هستند و خطرات بزرگ‌تری هم می‌تواند در انتظار كاربران باشد. این كارشناس فناوری اطلاعات می‌افزاید: «برخی موسسات خصوصی برای احراز هویت كاربران‌شان از آنها می‌خواهند كارت ملی خود را در دست بگیرند و برای آنها عكسی واضح از كارت ملی و چهره‌شان بفرستند! اگر اطلاعات چنین موسسه‌ای افشا شود (كه در مواردی چنین شده است) خرابكارها می‌توانند از عكس و اطلاعات هویتی اشخاص برای سودجویی‌های بزرگ‌تر استفاده كنند. مثلا با اطلاعات آنها یك وبگاه شرط‌بندی راه بیندازند یا فعالیت‌های سایبری خرابكارانه انجام دهند.»