کاربران بی دفاع ایرانی
على شمیرانى - شرق - آیا از ISP خود که با آن به اینترنت متصل مى شوید رضایت دارید؟ چه سئوال مضحکى! چطور مى توان از یک ISP که انواع آگهى هاى تبلیغاتى، تروجان، تصاویر غیراخلاقى، نرم افزار هاى مخصوص هک، برنامه هاى آزاردهنده، سارقان اینترنتى، نرم افزار هاى جاسوسى و از همه مهم تر انواع و اقسام ویروس ها و کرم ها را به سمت شما سرازیر مى کند رضایت داشت؟ یک ISP یا همان ارائه دهنده خدمات اینترنتى، همانگونه که مجرا و نقطه اتصال کاربران به دنیاى مجازى اینترنت محسوب مى شود به همان ترتیب عامل انتقال انواع تهدید هاى اینترنتى همچون ویروس ها و کرم ها نیز به شمار مى رود. این موضوعى است که در مورد بیشتر ISP هاى کشور صدق مى کند. اگرچه تلاش براى یافتن هرگونه آمار در این خصوص بى نتیجه است ولى اظهارات کارشناسان و میزان آلودگى کاربران ایرانى پس از حمله هر کرم یا ویروس اینترنتى مى تواند گویاى وضعیت خطرناک حریم مجازى کشور باشد.
• نقش ISP ها در حفاظت از کاربران
در حال حاضر بسیارى از ISPها به علت عدم استفاده از نرم افزار هاى فیلترینگ، فایروال ها و نرم افزار هاى امنیتى، مراقبتى و ضدویروس بسیار آسیب پذیر بوده و براى کاربران تهدید جدى به حساب مى آیند. این در حالى است که گاه برخى از ISP ها حتى در صورت اطلاع از وجود یک ویروس در سیستم هاى خود نیز قادر به انجام کارى نیستند، چه رسد به زمانى که... براساس جدیدترین تحقیقات Message labs (یکى از شرکت هاى بزرگ ارائه کننده راهکار هاى امنیتى) ISP ها نقش بسیار تعیین کننده اى در تامین امنیت کاربران نهایى دارند. مسئولان این موسسه مى گویند: تهدید هاى امنیتى در جهان و به ویژه در خصوص کشور هایى که نفوذ اینترنت در آنها رو به رشد است افزایش داشته و علاوه بر لزوم افزایش میزان آگاهى کاربران، ISP ها نیز نباید حفاظت از آنها را رها کنند. این موسسه مى افزاید: ISP ها مى توانند با سرمایه گذارى و ارتقاى امنیت خود تهدید هاى اینترنتى را کاهش داده و حتى متوقف کنند.
• دسترسى پاک به اینترنت
نتایج یک تحقیق جدید در آمریکا نشان مى دهد که میزان امنیت ISP ها رشد متناسبى با افزایش جهشى تهدید هاى مجازى نداشته است. این در حالى است که هم اکنون بسیارى از ISP هاى بزرگ دنیا تدابیر فورى و خاصى براى مقابله با این تهدید ها اندیشیده اند. پس از افزایش میزان تخریب ویروس ها و سایر کد هاى مخرب دو سال گذشته بود که موضوع «امنیت» در کنار قیمت و سرعت اتصال به اینترنت در تبلیغات ISP هاى آمریکایى به یک عامل مهم و تعیین کننده براى کاربران مطرح شد. اما اهمیت تامین امنیت کاربران تا آنجا پیش رفت که موضوع مسئولیت و پرداخت هزینه خسارت کاربران از سوى ISP ها طرح شد.
• وضعیت امنیت ISP ها در ایران
محمدجواد صمدى راد کارشناس امنیت شبکه مى گوید: ISP هاى زیادى هم اکنون در کشور مشغول ارائه خدمات هستند که با حداقل هاى ساده و ابتدایى امنیت شبکه نیز آشنایى ندارند. وى به تجربه خود در زمان حمله کرم بلستر به کاربران ایرانى اشاره مى کند و مى افزاید: در آن زمان حدود شانزده ISP که آلوده و سردرگم شده بودند با ما تماس گرفتند که چه باید بکنند. در حالى که مشکل با یک خط (Configuration) تغییر ساده حل مى شد.
وى حتى با ISP هایى برخورد کرده که با استفاده از ابزار ساده، موثر و بدون هزینه Access Control نیز در شبکه خود آشنا نبوده اند. به گفته این کارشناس ISP ها با صرف حدود ۲ میلیون تومان مى توانند از سطح امنیتى قابل قبولى برخوردار شوند اگرچه موضوع آموزش آنها نیز باید به طورى جدى پیگیرى شود. وى با اشاره به لزوم توجه زیاد ISP ها به موضوع Caching مى گوید: حتى در حال حاضر نرم افزارهاى امنیتى قفل شکسته زیادى در بازار وجود دارد که تنها با حدود ۲ هزار تومان قابل خرید و استفاده در ISP ها است.
• مسئولیت ما مشخص نیست
رضا پارسا دبیر انجمن کارفرمایان شبکه هاى اینترنتى نیز این موضوع را قبول دارد که یک ISP هم به عنوان نقطه اتصال کاربر به اینترنت عمل مى کند و هم مى تواند مجرایى براى ورود انواع کد هاى مخرب از اینترنت به کاربر باشد. او از جمله افرادى است که وجود ضعف هاى امنیتى متعدد در بسیارى از ISP ها را مى پذیرد و اعتقاد دارد که در تمام دنیا حداقل استاندارد هایى براى امنیت ISP ها تمهید شده که در ایران چنین چیزى را نداریم.وى مى افزاید: در این خصوص شرکت ارتباطات دیتا مخابرات مسئول است، اگرچه خلاء قانونى نیز در این مورد داریم و به هر حال باید آ ئین نامه و قانونى تدوین شود تا معلوم شود یک ISP تا کجا مسئول است و یک ICP (ارائه کننده ارتباط اینترنتى) که در سطح بالاتر از ISPها قرار دارد نیز تا کجا مسئول است؟
دبیر انجمن صنفى ISP ها در پاسخ به این سئوال که اصلاً ISP ها چه تعهدى نسبت به یک کاربرد دارند مى گوید: در این خصوص چیز مشخص و شسته رفته اى نداریم و باید نظارت دقیق ترى صورت بگیرد. در این جا این سئوال پیش مى آید، در شرایطى که یک کاربر کم تجربه براى مثال یک کارت اینترنتى ده ساعته مى خرد که تنها ۲ ساعت عذاب دهنده مى تواند از آن استفاده کند و احتمالاً آلوده هم مى شود، این کاربر چگونه و با صرف چه میزان هزینه مى تواند طرح دعوى کند. اگرچه این را نیز مى دانیم که قبل از ISP ها در اتصال به اینترنت ICP ها وجود دارند و قبل از ICP ها نیز یک طرف چشم آبى وجود دارد ولى در این گزارش از نگاه یک کاربر که نقطه اتصال وى به اینترنت، یک ISP محسوب مى شود به موضوع امنیت پرداخته شده و قطعاً موضوع ناامن بودن ICP ها نیز از سوى ISP ها قابل طرح و بررسى است. کما این که یک ISP قطعاً در انتخاب یک ICP ایمن، تصمیم گیر نهایى محسوب مى شود.
• حداقل اجبارى استاندارد
محمد حسن دزیانى حقوقدان متخصص جرایم سایبر در مورد نقش و مسئولیت ISP ها در سایر کشور هاى دنیا مى گوید: برخى از کشور ها قانون و کد هاى رفتارى مشخص دارند. براى مثال در قانون کیفرى سوئیس و در خصوص مطالب غیر اخلاقى و پورنوگرافى کودکان، براى ناشر، توزیع کننده و ISP ها مسئولیت در نظر گرفته شده و به ویژه در مورد پورنوگرافى کودکان یک ISP بلافاصله پس از شناسایى چنین محتوایى باید آن را حذف کرده و مراتب را به پلیس گزارش کند.
وى مى افزاید: در دنیاى ISP یا ICP بسته به نوع فعالیتى که دارند مسئول شناخته مى شوند و در برخى از کشور ها از آنها خواسته شده که حتماً از فیلترینگ استفاده کرده و با پلیس همکارى کنند و در مورد پورنوگرافى کودکان به شدت حساس باشند. این حقوقدان اعتقاد دارد: در برخى کشورها و در آئین نامه صنفى ISP ها و در صورت احراز قصور ارائه کننده خدمات اینترنتى در وارد آمدن خسارت به کاربر ضمانت اجرایى در نظر گرفته شده است. به گفته وى، امروزه در بسیارى از کشور هاى دنیا رعایت حداقل استاندارد هاى امنیتى به یک اجبار تبدیل شده است.
• خلاء قانونى داریم
براساس قانون مسئولیت مدنى هر اقدامى حتى مباح و قانونى که موجب ورود خسارت مادى و معنوى به کسى شود، امکان شکایت فرد آسیب دیده را بازمى گذارد. رضا پرویزى دبیر کمیته مبارزه با جرایم اینترنتى ضمن بیان این مطلب مى افزاید: در آئین نامه شوراى عالى انقلاب فرهنگى و همچنین در قرارداد دیتا با ISP ها خواسته شده تا تمهیدات لازم براى حفاظت از کاربران انجام دهند. ولى موضوع اینجا است که چه در آئین نامه شوراى عالى انقلاب فرهنگى و چه در قرارداد واگذارى مجوز ISP از سوى شرکت ارتباطات دیتا مخابرات این مهم به شکل کلى مطرح شده و جزئیات دقیقى در این خصوص وجود ندارد.
دبیرکمیته مبارزه با جرایم اینترنتى نیز با این مسئله هم نظر بوده و معتقد است بایستى در این مورد قانونى وجود داشته باشد. اما وى به طرح استفاده از شبکه هاى اطلاع رسانى رایانه اى که یک فوریت آن در مجلس ششم تصویب شد اشاره کرده و مى گوید: در آنجا مواردى پیش بینى شده و گفتیم که شرایط تاسیس یک ISP و یا یک ICP مشخصاً چیست، ولى باید در آئین نامه اى استاندارد هاى سخت افزار، نرم افزار، راهبرد هاى امنیتى و حتى مشخصات پرسنل یک ISP تعیین شوند. وى معتقد است که باید روى دوش ISP ها مسئولیت گذاشته شود و براى مثال حتى مى توان مجازات صنفى همچون کاهش پهناى باند و یا روش هایى از این دست نیز در نظر گرفت. پرویزى مى گوید: ما به انجمن حمایت از کاربران نیز نیاز داریم تا در چنین مواردى و به نمایندگى از طرف کاربران پیگیر حقوق آنها از نهاد هاى مختلف باشند.
• پیگیرى طرح یکپارچه سازى امنیت در دیتا
اما بسیارى از کارشناسان حمایت از کاربران و نظارت به موضوع امنیت ISPها را متوجه وزارت فناورى اطلاعات و ارتباطات، شرکت مخابرات و مشخصاً دیتا مى دانند. این کارشناسان مى گویند: چگونه است که شرکتى همچون دیتا و سایر نهادهاى ذیربط در خصوص مسئله اى همچون مسدودسازى سایت هاى اینترنتى و یا موضوع ارائه خدمات ترمینیشن (تلفن اینترنتى خارج به داخل) آن گونه که شاهد آن بودیم برخورد و نظارت کردند ولى در مورد هجوم انواع کرم، ویروس و کدهاى مخرب به سمت کاربران این گونه و با حساسیت عمل نمى کنند. در این خصوص یک کارشناس مسئول در شرکت مخابرات که خواستار عدم ذکر نام خود شد مى گوید: در تمام دنیا تعداد ISPهاى فعال در یک کشور بسیار محدود و مشخص هستند ولى در کشور ما بیش از پانصد ISP در حال ارائه خدمات هستند که این موضوع کنترل آنها را با مشکل مواجه مى کند.وى مى افزاید: ما به مشکل موردى (رندم) مسئله امنیت در ISPها را چک مى کنیم.
ولى این در حالى است که هیچ خبرى مبنى بر اخطار و یا جلوگیرى از ادامه فعالیت یک ISP به علت عدم رعایت مسائل امنیتى از سوى شرکت مخابرات منتشر نشده است. اما این کارشناس از اجراى طرح پایلوت (آزمایشى) در شرکت دیتاى مخابرات خبر مى دهد که طى این طرح موضوع یکپارچه سازى امنیت در ISPها مورد بررسى و آزمایش قرار مى گیرد. وى مى گوید: با اجراى کامل این طرح آزمایشى که مراحل پایانى خود را پشت سر مى گذارد، کلیه ISPها موظف به خرید تجهیزات امنیتى و کنترل کامل سیستم هاى خود مى شوند. قیمت این تجهیزات نیز چیزى در حدود ۳ تا ۴ میلیون تومان خواهد بود که با اتکا به توانمندى داخلى طراحى و تولید مى شوند. وى مى افزاید: با استفاده از این تجهیزات، ISPهاى کشور از ضریب امنیتى بسیار بالایى برخوردار مى شوند. با تمامى این تفاسیر کارشناس مسئول شرکت مخابرات نیز این موضوع را مى پذیرد که هنوز قانون مدونى در خصوص تعیین حیطه مسئولیت یک ISP در تامین امنیت یک کاربر در کشور وجود ندارد. این در حالى است که سال گذشته و در جریان قطعى ارتباطات دیتاى کشور وزیر ICT طى یک مصاحبه مطبوعاتى وعده تدوین آئین نامه اى جهت حمایت از کاربران را داد که تاکنون خبرى از تدوین آئین نامه مذکور نشده است.
- ۸۴/۰۲/۱۵