تبعات افشای مکرر اطلاعات کاربران ایرانی
در روزهای اخیر خبر لو رفتن اطلاعات 5.5 میلیون کاربر رایتل در فضای مجازی و اقدام هکر این اطلاعات برای اخاذی از رایتل و به نتیجه نرسیدن و بعد هم پخش آن در فضای مجازی شوک برانگیز بود! خصوصاً برای کاربرانی که حالا مطمئن بودند پس از این باید بیشتر و بیشتر همه نکات امنیتی را در فضای مجازی مراعات کنند تا مبادا با اطلاعات به سرقت رفته از آنها در هنگام انجام یک تراکنش مالی یا هر فعالیت دیگری که به اطلاعات هویتی آنها مربوط باشد، هک شوند! چراکه درز اطلاعاتی از این دست ممکن است برای کاربران به لحاظ امنیتی مخاطراتی به همراه داشته باشد.
ماجرا چه بود؟ اصلاً چنین ادعایی از سوی فردی که خود را هکر این اطلاعات میداند تا چه حد صحت دارد و سوال بعدی اینکه آیا این اطلاعات می تواند خطرناک باشد و یا چه سودی به حال هکر دارد؟ آیا او میتوان از آن کسب درآمد کند؟ اگر چنین است چرا تاکنون برای حفظ اطلاعات و بستن حفرههایی که دسترسی هکرها را به بانک اطلاعاتی باز میگذارد، کاری نشده است؟
سرقت تایید شده و تبعات آن برای کاربران
ماجرا از این قرار بود که اطلاعات 5.5 کاربر از رایتل سرقت شد و مرکز ماهر هم درز اطلاعات رایتل را تایید کرد. حسین فلاحجوشقانی، رئیس سازمان تنظیم مقررات در توییتی اعلام کرده است: «گزارشها نشان میدهد اطلاعات لو رفته متعلق به ۴ سال پیش بوده و توسط عامل انسانی رخ داده است.» اما عمق فاجعه بیش از این حرفها بود تا جاییکه بحث به مجلس کشیده شد و مجتبی رضاخواه، نماینده مجلس را به واکنش وا داشت و وی هم از پیشنهاد تشکیل کمیسیون ویژه فناوری اطلاعات، فضای مجازی و اقتصاد دیجیتال برای نظارت بر وزارت ارتباطات خبر می دهد؛ در پی این واکنشها رایتل بالاخره خود را قانع میکند تا پاسخی بدهد و از لو رفتن تنها سه رکورد از 9 رکورد اطلاعاتی خبر می دهد اما مگر لو رفتن اطلاعات کمتر و بیشتر هم دارد؟ مسئله اینجاست که «اطلاعات کاربران لو رفته است!»
اما در میان هیاهویی که این بار تیر خطا را به سمت رایتلیها نشانه گرفته توجه به این نکته امری حیاتی است که ماجرای لو رفتن اطلاعات در فضای مجازی مربوط به امروز و دیروز نیست و بهتر اینکه بگوییم این سریالی تکراری در فضای مجازی برای کاربران ایرانی محسوب میشود. چنانچه پیش از این اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام شامل یوزرنیم [شناسه] و شماره تلفن توسط یک نسخه غیررسمی تلگرام لو رفت؛ ۱۵ فروردین هم یک گروه مدعی شد که اطلاعات ثبت احوال ۸۰ میلیون ایرانی از جمله نام، نام خانوادگی، نام پدر، جنسیت، تاریخ تولد و در قید حیات بودن را در اختیار دارد! حالا این اطلاعات چطور میتواند برای کاربران مشکل ایجاد کند و چه راهبردی برای جلوگیری از تکرار چنین امری باید انجام شود سوالاتی است که راهبرد معاصر در گفتگو با «محسن رضایی صدرآبادی» دکترای اقتصاد فضای مجازی به تحلیل و ارزیابی و پاسخ به آن پرداخته است.
فقدان شبکه ملی اطلاعات
رضایی در خصوص لو رفتن اطلاعات کاربران رایتل اینچنین عنوان میکند:« باید به چند مسئله توجه کرد. اول اینکه تبعات این لو رفتن ضرر اصلیش به کاربرانی وارد میشود که اطلاعاتشان لو رفته و پخش شده است و در درجه دوم به آن شرکتها موسسات و سازمانی که بدون توجه به بحث امنیت باعث شده اند این اطلاعات لو برود».
وی یکی از ریشههای این مشکل را به نبود شبکه ملی اطلاعات مربوط میداند و میافزاید:«متاسفانه مسئله اصلی در این شبکه این است که ذخیرهسازی و گردش اطلاعات و دادههایی که در فضای مجازی وجود دارد در دیتا سنترها و سرورهای داخلی کشور باشد و بیگانگان به آن دسترسی نداشته باشند! این یکی از نکات بسیار مهمی است که وقتی ما آن را در شبکه ملی اطلاعات انجام ندادیم هکر ها بتوانند به راحتی ازبانکهای امنیتی استفاده کنند ؛ هر چند ما اگر این کار را هم انجام بدهیم تا زمانیکه موسسات و نهادها برای اطلاعات کاربرانشان ارزش قائل نباشند و حفرههای امنیتی را مسدود نکنند که مانع ورود هکر ها شوند این مشکل حل نمیشود.»
تبعات لو رفتن اطلاعات کاربران
این دکترای اقتصاد فضای مجازی در پاسخ به اینکه برای حل این مشکل چه راهکاری وجود دارد، میگوید:« برای حل این مشکل در دنیا بحث قانون حفاظت از اطلاعات و داده کاربران موسوم به GDPR از سالهای گذشته مورد توجه قرار گرفته که موسسات و نهادها و بانکها و تمام آنهایی که اطلاعات کاربرانشان را در فضای مجازی دریافت و ذخیره سازی میکنندمسئول هستند. چنانچه در صورت لو رفتن اطلاعات کاربران، کاربران میتوانند از آن نهاد یا موسسه شکایت کرده و طبق این قانون که قانون اتحادیه اروپا است و در کل کشورهای اروپایی و آمریکا تا حدودی دنبال میشود کاربران میتوانند حق و حقوق خود را بگیرند و این باعث شده که تبعات لو رفتن اطلاعات اولا کاهش بیاید و خود لو رفتن اطلاهات و توجه نهادها و سازمانها به مسئله حفظ امنیت اطلاعات و دادههای کاربران نیز افزایش پیدا کند.»
وی با تاکید بر اینکه ما در کشور این قانون را نداریم، در خصوص تبعات لو رفتن اطلاعات عنوان میکند:« نخستین مشکل متوجه کاربران است و اینکه آن هکر چطور میتواند از این اطلاعات سوء استفاده کند؟ از اطلاعات بانکی و مالی گرفته تا کد ملی و نام و نام خانوادگی و کد پستی و ... هر کدام در قسمتی میتواند برای امنیت اطلاعاتی کاربردر فضای مجازی مشکل ایجاد کند. در قضیه لو رفتن اطلاعات کاربران رایتل یکی از مسائل همان آدرس، کد پستی، شماره تلفن ثابت و نام و نام خانوادگی کامل است که اصلا وجود این اطلاعات میتواند برای استفاده در سامانه های دیگر و هک کردنهای آینده مورد استفاده قرار گرفته و تبعات زیادی داشته باشد.»
شوآف وزیر جوان و کم کاریها در شبکه ملی اطلاعاتی
رضایی معتقد است:«علت عمده این هک کردنها همان کسب درآمد است که در درجه اول به آن شرکت و نهادی که اطلاعات کاربرانش هک شده است؛ هکرها سعی میکنند با تهدید به لو رفتن اطلاعات از آنها اخاذی کنند که آنها اگر شرکتهای معتبر جهانی باشند یا به عبارتی ترس از جریمه شدن و اعمال قانون GDPR داشته باشند قطعا سعی میکنند با هکر ها ارتباط گرفته و مشکل را پیش از علنی شدن حل کنند .»
وی میگوید: «متاسفانه در کشور ما و در موضوع هک اطلاعات رایتل آنطور که هکرها اعلام کرده بودند حالا یا راست یا دروغ، این مسئله ابتدا با رایتل مطرح شده و خواستند به بیت کووین مبالغی را برایشان پرداخت کند اما رایتلی ها قبول نکردند اگر چه این صحبت ها تکذیب شده اما نکته قابل توجه اینکه اولین راه درآمدی هکر از خود آن شرکت است.»
رضایی در ادامه ابراز میکند: «در درجه دوم برخی اطلاعات و داده ها تحلیل اقتصادی و فرهنگی میدهد و این اطلاعات را میتوانند به نهادهایی که قابلیت آنالیز این اطلاعات را دارند، بفروشند! راه سوم کسب درآمد رجوع به کاربران است و در سابقه وجود دارد که اینها اطلاعاتی را دریافت و با مراجعه به کاربر در قبال عدم لو رفتن از آنها اخاذی کرده اند.»
وی با اشاره به نوعی هک اطلاعات عنوان میکند: «در سالهای گذشته یکسری از فایل ها که روی سیستم عامل ویندوز در برخی سیستمهایی که به فضای مجازی مرتبط بودند، مینشست و به محض دانلود آنها، سیستم عامل از دسترس خارج و کد گذاری میشد و بعد پیامی میآمد که میگفت در قبال رمز گشایی پول پرداخت کنید! در قضیه رایتل هر سه تای این موارد قابل اجرا است.»
این دکترای اقتصاد فضای مجازی با اشاره به عدم قانونگذاری مناسب در این حوزه میگوید: « با توجه به تحولات مجلس جدید باید خواهش کنیم مجلس این قانون را تصویب و پیگیری کند تا نهادها و شرکت ها هم به مسئله امنیت اطلاعات داده کاربران توجه ویژه ای داشته باشند تا جلوی حفرهها و بانکهای اطلاعاتی را بگیرند و مانع لو رفتن اطلاعات شوند.»
وی میگوید: « وزارت ارتباطات و فناوری ارتباطات متصدی و متولی اصلی در قضیه شبکه ملی اطلاعات است لذا میبایست در لایه زیرساخت در فضای مجازی فعالیت کند و این هم یک مطالبه جدی است اما وزیر جوان با شوآفی که انجام میدهند هنوز هیچ گامی در این مسیر بر نداشته اند و ما حالا شاهد نفوذ اطلاعات به خارج از مرز ها هم هستیم.»
بهره سخن
اطلاعات کاربری چندین میلیون ایرانی در فضای مجازی لو رفته است! و درآینده هم ممکن است این امر به شکلهای مختلف و درجههای بالاتری ادامه داشته باشد امری که خود میتواند منجر به مخاطرات امنیتی بسیاری شده و حتی عده ای را با هک حسابهای بانکیشان بدبخت کند! حالا چه باید کرد؟ در حالیکه وزارت ارتباطات و فناوری اطلاعات با عنوان متولی اصلی این امر کاری به تبعاتی که این لو رفتنهای اطلاعاتی ممکن است برای امنیت عموم مردم یا حتی سازمانها و نهادهای مهم در پی داشته باشد، ندارد و لذا دنبال قانون مهمی که سالهاست در کشورهای دیگر امنیت را در فضای مجازی ایجاد کرده، نمی رود. در کنار قانون موسوم به امنیت حفاظت از اطلاعات و داده کاربران، راه اندازی شبکه ملی اطلاعات هم با بی توجهی مواجه شده است که اگر بود امروز به دنبال ارزیابی تبعات این درز اطلاعات و راه هایی برای جبران آن نبودیم؟