حفره سايبری ايران در تامين امنيت اطلاعات هفته گذشته گروه هکري گنجشک درنده سامانههاي سوخت کشور را هک کرد. از طرفي يک گروه هکري مدعي است سازمان ثبت احوال را هک کرده و بخشي از اطلاعات ديتابيس و زيرساخت را به عنوان صحت ادعاي خود منتشر کرده است.
مردم سالاری-سجاد عابدی: هفته گذشته گروه هکري گنجشک درنده سامانههاي سوخت کشور را هک کرد. از طرفي يک گروه هکري مدعي است سازمان ثبت احوال را هک کرده و بخشي از اطلاعات ديتابيس و زيرساخت را به عنوان صحت ادعاي خود منتشر کرده است. اين هکر ادعا دارد که به اطلاعات 130 ميليون ايراني دست يافته است. او در کانال تلگرامي خود اين موضوع را اعلام کرده و در حال حاضر کارشناسان فني مشغول بررسي صحت ادعاي او هستند.
به گزارش مردم سالاری آنلاین ،چند روز بعد وبسايت وزارت علوم، فناوري و تحقيقات هم از دسترس خارج شد. يک گروه هکري ديگر هم ادعا کرد که سايت وزارت علوم و فناوري را هک کرده است. آنها مدعي هستند که در راستاي اين حمله، به بيش از 20 هزار سند دسترسي پيدا کردهاند. اين گروه هکري مدعي است که 500 سرور، کامپيوتر، سايت و سامانه اين وزارتخانه را هک کرده است. اين گروه هکري پيش از اين مسووليت هک شدن سازمانهايي مثل شهرداري تهران، وزارت امور خارجه، وزارت جهاد کشاورزي، وزارت ارشاد، صداوسيما، نهاد رياستجمهوري و… را هم بر عهده گرفته بود و در حال حاضر مشغول نشر اطلاعاتي درباره کارکنان اين وزارتخانه است.
در تعطيلات نوروز 99 نيز اطلاعات چند ده ميليون ايراني لو رفته بود. در آن زمان اعلام شد درز اطلاعات به خاطر تعامل ثبت احوال با وزارت بهداشت بوده و اطلاعات از طريق اين وزارتخانه لو رفته است. در آبان 1400 نيز براساس حمله هکرها، در سيستمهاي چهار هزار و 300 جايگاه سوخترساني کشور اختلال ايجاد شد.
چندي پيش اطلاعات 19 شرکت بيمهاي به وسيله يک هکر در شبکههاي اجتماعي به فروش گذاشته شده اما هيچ واکنشي در برابر اين موضوع از سوي شرکتهاي بيمهاي صورت نگرفته است. همچنين مديرعامل تپسي با انتشار توئيتي اعلام کرد اين پلتفرم هک شده و برخي از اطلاعات آنها به سرقت رفته است. اينها تنها چند نمونه معروفتر از انواع هکهاي سازمانهاي دولتي و خصوصي ايران در سالهاي اخير بوده است. و به نظر ميرسد حمله سايبري به زيرساختهاي کشور و هک وبسايتهاي دولتي و خصوصي همچنان ادامه دارد. امنيت بنا به تعريفي که در جامعه ما جا افتاده يعني دوري از هرگونه تهديد و نيز آمادگي براي رويارويي با خطرات. امنيت انواع گوناگون دارد اما در هر شکل آن، کالاي عمومي است که دولتها بايد آن را تهيه و تامين کنند. هر سال بودجه زيادي صرف اين ميشود که تهديدها از جامعه دور شود تا افراد بتوانند کسبوکار و زندگي کنند. اما در سالهاي گذشته به دليل گسترش تکنولوژي و رواج شبکههاي اجتماعي، امنيت مفهوم جديدي پيدا کرده و به نظر ميرسد دولت در تامين اين جنبه از امنيت توفيق زيادي نداشته است. با گسترش تکنولوژي و فراگير شدن اينترنت، کاربران نياز به احساس امنيت در فضاي سايبري براي انجام امور خود دارند که اين امنيت ابتدا با افزايش سطح آگاهي و دانش خود کاربران و سپس با کمک شرکتهاي امنيتي و مراجع قانوني و پليسهاي سايبري فراهم ميشود.
اين روزها افراد زيادي در معرض هک اطلاعات شخصي خود قرار دارند بنابراين لازم است که هر فرد آگاهي و مهارت خود را افزايش دهد تا در معرض سرقت اطلاعات خود قرار نگيرد. اما اين همه ماجرا نيست و جنبه ديگر امنيت اطلاعات، دست ما نيست و دولتها بايد از آن محافظت کنند. پس از هک سامانه «تهران من» متعلق به شهرداري تهران، «سامانه اطلاعات املاک وزارت مسکن» نيز هک شد. در سالهاي گذشته تعداد سامانههايي که به وسيله هکرهاي داخلي و خارجي هک شده کم نيست. بانکها، بيمهها، سامانههاي رفاهي و سلامت و… همواره در معرض دستبرد هکرها قرار دارند و در سالهاي گذشته بارها مورد حمله قرار گرفتهاند. دولتها با ايجاد سامانههاي مختلف، اطلاعات افراد را جمع ميکنند اما هکرها به راحتي اطلاعات افراد را در اختيار ميگيرند.
تقريباً با اطمينان زياد متوجه شدهايم که بيشتر از هميشه در معرض سرقت اطلاعات مهم مالي و شخصي خود قرار داريم و نکته نگرانکننده اينکه دولتها نميتوانند از حريم خصوصي ما حفاظت کنند و با نشت گسترده اطلاعات شخصي خود از منابع دولتي مواجه هستيم. آيا راهي وجود دارد که از اطلاعات خود محافظت کنيم؟ آيا نياز به سياستگذاري و قانونگذاري داريم؟ در اين گزارش تلاش شده تا با بازنگري به برخي از مفاهيم مثل امنيت داده در مثالها و مقايسههايي به ضرورت بازنگري به روند مديريت امنيت داده در ايران پرداخته شود. قوانين در دنيا مشخص ميکنند که از نظر حقوقي چه دادهاي محرمانه است.
اما در ايران چنين قانوني را که در دنيا رايج است، نداريم. در اين قوانين خيلي دقيق مشخص شده که داده شخصي چيست؛ مثلاً دقيقاً ذکر شده که آيا کد ملي، اسم، اطلاعات مالياتي، اطلاعات سلامت و… اطلاعات شخصي هستند يا خير. حتي در قانون امنيت داده آمريکا دقيقاً مشخص شده که رنگ چشم فرد داده محرمانه است. يعني فرد با مراجعه به بيمارستان در فرم اطلاعات پزشکياش وقتي ذکر ميکند که رنگ چشم او سياه است (چون داده شخصي ثبت شده است)، بيمارستان در قبال آن مسوول است. اما اگر در بيمارستان کسي درباره رنگ چشم از فرد سوال نپرسد و خودش رنگش را تشخيص دهد و فرد اظهارش نکرده باشد؛ از نظر بيمارستان اين موضوع اطلاعات خودش است و داده شخصي محسوب نميشود (منظور از طرح اين مثال آن است که اهميت جزئيات اين قوانين مشخص شود). اين موضوع به شرکتها نيز تسري پيدا ميکند؛ يعني قوانين هم شخص حقيقي را دربر ميگيرد و هم شخص حقوقي را.
نکته دوم در اين بحث «نقشها» در مديريت داده است. در حوزه اطلاعات داده، ما با سه نقش اصلي روبهرو هستيم. يکي آن شخصي است که مالک داده است. مالک اطلاعات سلامت در مثال بالا، آن شخصي است که اطلاعاتش را اظهار کرده است. مالک داده اطلاعات حساب بانکي هم متعلق به فردي است که در آن بانک حساب باز کرده است. نقش دوم متعلق به کسي است که داده را نگهداري ميکند. در مثال طرحشده بانک يا بيمارستان اطلاعات شخص را نگهداري ميکنند اما مالک آن نيستند. اين دو نقش با هم متفاوت هستند. به همين دليل است که اگرچه بانک اطلاعات شخص را دارد اما اجازه استفاده دادهها را خارج از قراردادي که در زمان افتتاح حساب امضا کرده، ندارد. اين موضوع بسيار مهم است که ضرورتاً مالک داده خودش اطلاعات را نگهداري نميکند و همچنين کسي که دادهها را در اختيار دارد لزوماً صاحب دادهها نيست. نقش سوم در اين ميان متعلق به کسي است که به دادهها دسترسي دارد. مثلاً شخص ميگويد اطلاعات بانکي من، متعلق به خودم است و در بانک ملي نگهداري ميشود؛ حالا سازمان امور مالياتي براي تشخيص فعاليت مالياتي فرد به آن داده بانکي نياز داشته و به آن دسترسي دارد. نکته کليدي آن است که قانون بايد حدود مسووليتها و اختيارات و نحوه ارتباط ميان هر سه نقش را براي همه مشخص کند. به گفته کارشناسان اصلاً چنين شرايطي در ايران برقرار نيست. مثلاً الان سازمان امور مالياتي به بانکها اعلام کرده که اطلاعات حساب مشتريان را بايد به من بدهيد. کساني که متوسط مانده حساب آنها در طول يک سال بالاي 500 ميليون تومان است کل اطلاعات و تراکنشهاي ماليشان را بايد براي سازمان امور مالياتي ارسال کنند. چه اشتباهي در اين ميان رخ داده است؟ اولاً درست است که اطلاعات از سوي بانک نگهداري ميشود اما اطلاعات مربوطه متعلق به شخص است و نه بانک؛ پس شخص بايد اجازه دسترسي به آن را بدهد. دوم، طبق قانون، سازمان امور مالياتي بايد به اين دادهها دسترسي داشته باشد اما ضرورتي ندارد همه را جمعآوري و نگهداري کند. در قانون ماليات و privacy act آمريکا اعلام ميشود که ادارات ماليات فدرال و مالياتي ايالتي به اطلاعات بانکي دسترسي دارند اما به شرط حکم قاضي. يعني مامور مالياتي مستقيم نميتواند از بانک درخواست اطلاعات حساب را داشته باشد؛ ميرود از قاضي درخواست ميکند، قاضي حکم صادر ميکند و بعد دسترسي به او داده ميشود. در ضمن به اين شکل نيست که اداره ماليات تمامي اطلاعات فرد را براي روز مبادا نگهداري کند.
در مسووليتهايي که قانون براي هر نقش مشخص ميکند، اهميت «تفکيک نقشها» مشخص ميشود. فرض کنيد اطلاعات بانکي شرکتي در اختيار هکرها قرار گرفته است. هکرها سيستم بانک را هک ميکنند و به اطلاعات آن شرکت تجاري هم دسترسي پيدا ميکنند. فرض کنيد هکرها آن اطلاعات را به شرکت رقيب بفروشند. طبق قوانين آمريکا، شرکت مذکور ميتواند از بانک شکايت کرده و ادعاي خسارت کند و بگويد بانک در حذف اطلاعات محرمانهاش کوتاهي کرده و لطمه تجاري به کارش وارد شده است. طبق قانون به اين موضوع رسيدگي ميشود و خسارتها پرداخت ميشود. نتيجهاش اين است که اداره ماليات از کسب و حفظ داده اضافي استقبال نميکند. چون هرچه داده بيشتري داشته باشد مسووليتش بالاتر ميرود و احتمال هزينه دادنش بيشتر ميشود. اما در ايران به راحتي به دليل نبود اين قوانين اطلاعات افراد حفظ و نگهداري ميشود. اداره مالياتي امروز براي روز مبادا تمامي حسابهاي بانکي افراد را نگهداري ميکند و هيچ مسووليتي در قبال آن ندارد. اين موضوع فقط درباره بخش دولتي نيست، بلکه بخش خصوصي هم همين روش را پيش گرفته است. شما وارد فروشگاهي ميشويد و براي حساب کردن از شما نام، نام خانوادگي و اطلاعات شخصي مانند روز تولد ميخواهد؛ اطلاعات حساب هم که با کارتي که پول پرداخت شده در دسترس فروشگاه قرار ميگيرد. چرا؟ چون اصلاً مسووليتي در راستاي حفظ اطلاعات شخصي فرد بر دوش فروشگاه نيست. اگر مشکلي هم برايش پيش آيد که کد ملي و شماره موبايل و… مشتري در دسترس ديگران قرار گيرد، جريمه نميشود. همه در هر حوزهاي بدون آنکه مسووليتي نسبت به دادهها داشته باشند، مشغول کسب اطلاعات هستند. به همين دليل است که تاکيد ميشود قانون بايد در اينباره اظهارنظر کند که اگر اطلاعاتي جمع ميشود مسووليتي هم نسبت به آن وجود دارد. مثلاً وقتي از اپليکيشن جهاني مثل اسپاتيفاي استفاده ميکنيد، طبق قانون اين حق را داريد که در زمان خروج، از اين اپليکيشن بخواهيد تمامي سوابق شما را حتي از ديتابيسهايش هم پاک کند. اگر اين کار را نکند و اسپاتيفاي هک شود و دادهاي از شما به عنوان کاربر منتشر شود ميتوان از اسپاتيفاي شکايت کرد که چرا دادهها را طبق قوانين پاک نکرده است. چون داده براي شماست و امانت پيش آن اپليکيشن بوده است. الان کدام اپليکيشن ايراني هست که به کاربر اجازه دهد اگر اپليکيشن را پاک کرد يا نخواست از سرويس آن کسبوکار استفاده کند اطلاعاتش بهطور کامل پاک شود؟ در جمعبندي اين بخش باز تاکيد ميشود که اهميت تفکيک نقش ذکرشده در مسووليت ايجاد شده است و چون قانوني در اين زمينه نداريم، تفکيک نقش هم نداريم؛ در نتيجه مسووليتي متوجه هيچکسي نيست. راه چاره آن است که بايد مشخص شود يک پلتفرم خاص، مثلاً يک تاکسي اينترنتي که مدل درآمدي آن دريافت سهم از سفرهاي انجامشده است، براي پيشبرد وظيفه اصلي خود به چه حدي از اطلاعات کاربر نياز دارد تا هيچ شرکتي اجازه نداشته باشد دادهاي فراتر از نياز واقعي، جمعآوري کند.
در ادبيات امنيت اطلاعات مفهومي به نام single point of failure (تنها نقطه شکست) وجود دارد. اين مفهوم توضيح ميدهد که هرچقدر دادههاي بيشتري در يکجا جمع شود و تمرکز در ارائه دادهها صورت گيرد، هکرها با يک هدف روبهرو ميشوند؛ آن نقطه را که هککننده ديگر به همه دادهها هم دسترسي پيدا ميکند. در امنيت جهاني تلاش ميشود اين تمرکز در انبارش داده را از بين ببرند و دادهها توزيعشده باشند. دادهها بايد در جاهاي مختلفي نگهداري شوند تا با يک حمله و هک از بين نروند. اين موضوع فقط به داده محدود نميشود، حتي در سرويسها هم اين ظرافت وجود دارد تا اگر يک سرور را هک کردند کل سيستم از کار نيفتد و کل دادهها منتشر نشود. اما در ايران کاملاً برعکس اين موضوع عمل ميشود. بهطور مثال شرکتي به نام شاپرک وجود دارد که بهطور انحصاري تمام تراکنشهاي بانکي ايران در سوئيچهاي آن انجام ميشود. شاپرک به تنها نقطه شکست تبديل شده است. به يک نقطه ضعف بزرگ امنيت بدل شده است. همين موضوع را هم در ثبت احوال داريم. در آمريکا چيزي به نام کد ملي وجود ندارد. کارت شناسايي عکسدار photo id وجود دارد. مثلاً گواهينامه يک photo id است و هر ايالتي کارت مخصوص خود را صادر ميکند. به همين دليل اگر ديتابيس يک ايالت هک شود فقط اطلاعات گواهينامه افراد آن ايالت منتشر شده و اطلاعات ساير ايالتها در امان است. شماره تامين اجتماعي که در آمريکا وجود دارد فقط به نام و نامخانوادگي وصل ميشود و عکس و ساير اطلاعات مشمولش نميشود. در ايران عکس، اثر انگشت هر 10 انگشت، محل سکونت، سال تولد، کد ملي، محل تولد و… را در چيزي به نام کارت ملي جمع کردهايم و همه اطلاعات را در سازماني به نام سازمان ثبت احوال ثبت کردهايم. اين دقيقاً همان نکتهاي است که کارشناسان ميگويند ايران در اين حوزه خلاف روند امنيتي جاري در دنيا عمل ميکند. در ايران انحصار دولتي صورت گرفته و براساس ذهن تمرکزگرايي که مديران دارند، خلاف روندهاي مديريت امنيت در جهان عمل ميشود.
ترکيب وضعيتهاي ذکرشده به نابساماني امنيت داده در ايران منجر شده است. از يک طرف قانوني وجود ندارد که نقشها و مسووليتها روشن شوند، از طرف ديگر امنيت دادهها تامين نميشود. الان در آمريکا و خيلي از کشورهاي توسعهيافته، اگر دادهاي را که طبق قانون داده محرمانه تلقي شده است بخواهند از فرد اخذ کنند، اول بايد از يک نهاد ناظر مجوز بگيرند و بعد اين کار را انجام دهند. يعني کسي نميتواند خودش فرمي براي اخذ اطلاعات از افراد تهيه کند. اگر بخواهيد اين کار را انجام دهيد و بعضي از آن اطلاعات، دادههاي شخصي امنيتي تلقي شود اول بايد از نهاد ناظر مجوز گرفته شود و آنها متقاعد شوند که چرا اين ديتا ضروري است (که البته بهندرت هم قانع ميشوند). در ايران اصلاً چنين شرايطي نيست. اين حجم عظيم از کارت ملي افراد و اطلاعات هويتي که هر دستگاه دولتي و خصوصي در ايران ميگيرد در دنيا مرسوم نيست. الان کار به جايي رسيده است که خيلي از شرکتهاي خصوصي اطلاعاتي از کارمندانشان ميگيرند که محرمانه است. چرا کارمندان بايد بگويند نام پدرشان چيست، محل سکونت خانواده کجاست و…؟ فردا اگر کارمند از آن شرکت رفت، چه تضميني وجود دارد که آن اطلاعات منتشر نشود؟ چون اين نابساماني در ايران وجود دارد ديگر مردم هم در اين زمينه دغدغهاي ندارند. اگر کسي در فروشگاهي نخواهد فرم مربوط به اطلاعات تماس را پر کند بقيه به او ميخندند که چرا او چنين کرده است. يا در فروشگاهها رمز کارتهاي بانکي را بلند بايد گفت. اين کار، در دنيا خيلي عجيب است. چرا چنين شده است؟ چون آنقدر از طرف نهادهاي مربوطه بينظمي صورت گرفته است که مردم حساسيتشان را نسبت به اين موضوع از دست دادهاند. اين موضوعات باعث شده است که حتي آموزش در اين زمينه هم طرفدار نداشته باشد. در برابر آموزشهاي امنيت دادهها مردم ميگويند حاکميت تمام اطلاعات ما را دارد. در اين راستا ميتوان به درز اطلاعات کاربرهاي استارتآپ تپسي اشاره کرد. مشخصاً در اين نمونه هم از آنجا که قانون حدود مسووليتها و وظايف پلتفرمها را مشخص نکرده، صاحبان اين کسبوکارها نيز چندان برقراري امنيت را جدي نميگيرند و حاضر به صرف هزينه کافي براي آن نيستند. يکي از موضوعاتي که برخي کارشناسان حقوقي در اين ميان مورد تاکيد قرار دادند، حمايت قانوني بسياري از کشورهاي خارجي از کاربراني بود که اطلاعات آنها نشت پيدا کرده است. اين درحالي است که با وجود آنکه به گواه آمارهاي بينالمللي، کشور ما يکي از مهمترين مقاصد حملات سايبري در جهان به حساب ميآيد، هنوز با خلأ قانوني درباره حمايت از دادههاي کاربران مواجه هستيم.
|