دلایل عدم پاسخگویی سازمانها به افشای اطلاعات کاربران
«در پی افشای اطلاعات کاربران برخی سازمانها و شرکتها در چندوقت اخیر، بهتازگی مرکز ماهر(مرکز مدیریت امداد و هماهنگی رخدادهای رایانهای) در اطلاعیهای اعلام کرد که در مقابله با آن دسته از حوادث فضای مجازی کشور که منجر به افشای دادههای شهروندان میشود، مسئولیت پیشگیری برعهده بالاترین مقام آن دستگاه است.
در بخشهایی از این اطلاعیه آمده است که باید مقابله با حوادث فضای مجازی هر دستگاه نیز بهصورت متمرکز و کاملاً تخصصی، به یک مرکز مستقل دولتی واگذار شود.
اما در پی انتشار این اطلاعیه این سؤالات پیش میآید که چرا تاکنون مسئولان سازمانها در برابر افشای اطلاعات پاسخگو نبودهاند؟ برای مسئولیت پذیر بودن آنها چه باید کرد؟ چرا متخصصان امنیت سایبری در اعلام آسیبهای سازمانها با نهادهای متولی همکاری نمیکنند و آیا وجود یک متولی دولتی میتواند، راهگشا باشد؟ به این سؤالات دو تن از کارشناسان امنیت سایبری پاسخ میدهند.
نیاز جدی به یک ناظر قدرتمند
«از آنجایی که ناظر قدرتمند و قانونی در حوزه حریم خصوصی شهروندان وجود ندارد، مسئولان به نوعی مسئولیت افشای اطلاعات را برعهده نگرفته و به آن اهمیتی نمیدهند.»
کاظم فلاحی کارشناس امنیت سایبری با بیان مطلب فوق به «ایران» گفت: وقتی اطلاعات 50 درصد از جمعیت کشور در یک سازمان و شرکتی باشد، آن سازمان و شرکت ملی محسوب میشود و وقتی یک مسئول بلندپایه سازمان و شرکتی پاسخگو خواهد بود که سازمانی نظارتی با بازویی قدرتمند وجود داشته باشد و از او با اتکای به قوانین محکم بخواهد پاسخگو باشد و بگوید چرا اطلاعات شهروندان را جمعآوری کرده و نتوانسته از آنها نگهداری کند. وی با بیان اینکه نبود نهاد قدرتمند و انحصاری بودن سازمانها باعث میشود براحتی اطلاعات شهروندان لو رود، افزود: با اینکه در قوانین سازمانها و شرکتها آمده است که نباید اجازه دهند اطلاعات کاربران نشر پیدا کند ولی بهتازگی اطلاعات یک شرکت هواپیمایی لو رفت و شکایت چند متخصص امنیت سایبری هم راه بهجایی نبرده است؛ بنابراین با متکی به قانون قوی باید مدعی العموم ورود کند.
فلاحی در پاسخ به این سؤال که آیا مقابله با نشر اطلاعات شهروندان باید یک متولی دولتی داشته باشد، گفت: این بخش بهتر است تنها ناظری قدرتمند و قوی داشته باشد و مهم نیست که این ناظر دولتی، غیردولتی یا نهاد حاکمیتی باشد. چون نهادهایی که برای این امر در کشور وجود دارند قدرتی برای اعمال قانون ندارند و سازمان خاطی توجهی به آن نمیکند.
این کارشناس امنیت سایبری با بیان اینکه اکثر کشورها بخصوص اتحادیه اروپا از قدرت بالایی برخوردار است، افزود: اتحادیه اروپا روی حریم خصوصی شهروندان نظارت دقیقی دارد و مقامهای قضایی آنجا به محض اینکه اطلاعات کاربران لو میرود، ورود میکنند اما در کشور ما اطلاعات 80 میلیون شهروند در ثبت احوال، 40 میلیون کاربر در پوستههای تلگرام و 40 میلیون اطلاعات کاربران تلفن همراه یک اپراتور و اخیراً هم اطلاعات کاربران یک شرکت هواپیمایی افشا میشود، گویی هیچ اتفاقی نیفتاده است. این در حالی است اتحادیه اروپا با اینکه فیسبوک یک شرکت امریکایی است مؤسس آن را به دادگاه کشاند، چرا که بخشی از میلیاردها اطلاعات لو رفته کاربران مربوط به اروپا بود.
کاظمی درباره اینکه گفته شده «اگر آسیبپذیری تا 48 ساعت رفع نشود، مسئول مربوطه را به مقام قضایی معرفی میکند» گفت: وقتی اپراتوری به قانون توجهی ندارد و ناظر قدرتمندی نیز وجود ندارد، کاری از پیش نمیرود بنابراین به چارچوبهای قوی نیاز است که سازمانها به بخش امنیت سایبری خود توجه کند. وی با بیان اینکه متولیان امنیت (مرکز ماهر، پلیس فتا و مرکز افتای ریاست جمهوری) طبق تقسیم وظایفی که دارند آسیب پذیریها را به شرکتها و سازمانها اعلام میکنند، افزود: اما سازمانها و شرکتها به حفاظت از اطلاعات کاربران اهمیت جدی نمیدهند بهطوری که تجربه شخصیام ثابت کرده که آسیب پذیریهای کشف شده همینطور دست نخورده باقی میمانند و هیچ مسئولی نسبت به رفع آن حساسیتی نشان نمیدهد.
فلاحی با اشاره به اینکه از سال 2010 کشف و اعلام آسیب پذیریها از سوی شرکتها و سازمانها در دنیا باب شده است، گفت: متخصصان امنیت سایبری موسوم به هکرهای کلاه سفید وارد پلتفرم «باگ بانتی» میشوند. آنها آسیبها را شناسایی و به شرکتها و سازمانها اعلام کرده و در برابر آن پاداش دریافت میکنند. این روند در کشور ما نیز دو سالی است تقریباً انجام میشود ولی متأسفانه با هکرهای کلاه سفید برخورد خوبی نمیشود. سازمانها و نهادها نه تنها علاقهمند نیستند قبل از اینکه اطلاعات کاربران سازمانشان لو رود از این فرآیند برای شناسایی آسیب پذیریهای خود استفاده کنند، حتی اگر از آنها کمک بگیرند زیر توافق خود میزنند پاداش متخصص امنیت سایبری را نمیپردازند بنابراین متخصص امنیت نیازی نمیبیند که بهدنبال اعلام آسیبها به سازمانها و متولیان امر باشد.
این کارشناس امنیت اعتقاد دارد سازمانها برای جلوگیری از نشر اطلاعات باید درک درستی از امنیت داشته باشند این در حالی است آنها امنیت را درک نمیکنند.
نبود مجازات و عدم ورود مدعی العموم
پارسا یوسفی دیگر کارشناس امنیت سایبری نیز معتقد است که در تمام دنیا مسئول نشر اطلاعات، سازمان و شرکتها بالاترین مقام آن است ولی در کشور ما نهاد نظارتی که در زمینه نشر اطلاعات ورود کند، جدیت به خرج نمیدهد و باید مدعیالعموم ورود کند و قوه قضائیه نیز مجازاتی برای آن تعیین کند.
یوسفی به «ایران» گفت: نهادهای متولی که در این زمینه در کشور نیز وجود دارند، کار خود را بدرستی انجام نمیدهد. البته در این میان خلأ قانونی نداریم و اگر اطلاعات شهروندان منتشر شود و به فروش برسد میتوانند طبق قانونهای موجود مجازات شوند ولی این قانون برای نهادهای دولتی مانند وزارت بهداشت، ثبت احوال و... که اطلاعات کاربران آنها هک و افشا میشود، مجازاتی تعیین نمیکند گویی نشر اطلاعات اهمیتی ندارد که حال بخواهند خاطی را به دادگاه کشانده و جریمه کنند بنابراین مسئول هم پاسخگو نیست. این کارشناس امنیت سایبری اعتقاد دارد از آنجایی که قانون بهدنبال خاطیان نشر اطلاعات کاربران نیست بنابراین مسئولان مربوطه نیز بهدنبال حفاظت از اطلاعات و رفع آسیبهای موجود در سازمان خود نیستند.
وی گفت: سازمانها و نهادها حتی برای رفع آسیبها اعتقادی به جذب متخصص امنیت سایبری نیز ندارند و مهمتر اینکه معتقدند چون سازمان دارای اطلاعات محرمانهای است و کارشناس امنیت به آن اطلاعات دست مییابد غافل از اینکه همان اطلاعات محرمانه با وجود آسیبها و باگهایی که در سیستم آنها وجود دارد در معرض افشا شدن است. حال کدام مورد بهتر است افشای اطلاعات محرمانه در سطح وسیع یا جذب یک متخصص امنیت سایبری. این کارشناس امنیت سایبری نیز اعتقاد دارد سازمانها و شرکتها قبل از اینکه اطلاعاتشان از سوی هکرهای کلاه سیاه لو رود بهتر است با هکرهای کلاه سفید همکاری کنند و با این قشر برای کشف آسیبهای خود رفتار بهتری داشته باشند.
یوسفی گفت: سازمانها و نهادها با افراد متخصص کشف آسیبها و باگها رفتار خوبی ندارند و وقتی آنها هم مشکلی را کشف و اعلام میکنند بهجای دادن پاداش آنها را زیر ذره بین میبرند و متهم میکنند که چرا اصلاً سیستم آنها را اسکن کردهاند حال این سؤال پیش میآید که اسکن سیستم سازمان از سوی یک متخصص امنیت و اعلام آن به سازمان مربوطه برای رفعش خوب است یا اینکه از سوی هکرهای کلاه سیاه لو رود؟
وی افزود: هکرها خیلی از آسیبها را کشف کرده و نزد خود نگه میدارند و برخی هم اطلاعات را میفروشند یا اینکه برخی هم برای شهرت آن را رسانهای میکنند. از اینرو حال که این مرکز بهدنبال این است که متخصصان امنیت آسیبها را اعلام کنند باید پاداش تعیین کند و متخصصان را تشویق کرده و زیر سؤال نبرند. این کارشناس معتقد است که سازمانها بهدلیل نداشتن سواد کافی در حوزه امنیت هنوز همان راه حلهای 10 سال پیش مانند ارائه فایروال را اجرا میکنند و از اینرو اطلاعات آنها نشت میکند در حالی که امروزه این روشها پیش پاافتاده است و جوابگوی دفع حملات سال 2020 نیست. وی گفت: اکنون حملات به لایههای نرم افزاری و سیستم عامل نفوذ کرده و روشهای پیشین جوابگو نیست بنابراین باید یا به فکر گرفتن مشاوره از متخصصان امنیت باشند یا اینکه سواد امنیت خود و نیروهای خود را بالا ببرند.