• سه شنبه 6 آبان 1399
  • الثُّلاثَاء 10 ربیع الاول 1442
  • 2020 Oct 27
سه شنبه 26 فروردین 1399
کد مطلب : 98203
+
-

امنیت اطلاعات کاربران در پیچ و خم ساختارهای حاکمیتی

امیر ناظمی، معاون وزیر ارتباطات در گفت‌وگو با همشهری از جزئیات پرونده‌های اخیر افشای‌اطلاعات کاربران ایرانی گفته است

امنیت اطلاعات کاربران در پیچ و خم ساختارهای حاکمیتی


محمد کرباسی ـ دبیر گروه دانش و فناوری

در روزهای تعطیلات عید که خیلی‌ها درگیر قرنطینه و فاصله‌گذاری فیزیکی به‌خاطر شیوع نوع جدید ویروس کرونا بودند چند خبر در میان نگرانی مردم گم شد. ابتدا مشخص شد که پکیجی از اطلاعات بیش از ۴۲ میلیون کاربر ایرانی تلگرام در انجمن‌های هکری در حال فروش است. چندی بعد هم افشای اطلاعات شهروندان در دسترسی داده شده به وزارت بهداشت از طریق سرورهای سازمان ثبت احوال مشخص شد. در همین مدت هم افشای اطلاعات یکی از فروشگاه‌های اپلیکیشن‌های آیفون یعنی سیب‌اپ سر و صدا کرد. افشای اطلاعات به این صورت در کشور ما به‌نظر دارد تبدیل به یک روند می‌شود. قبل از عید بود که افشای اطلاعات کاربران سایت گردشگری علی‌بابا حسابی جنجالی شد و بعد هم دیگر خبری از نتایج پیگیری آن نبود و حالا هم روزهای تلخی برای امنیت اطلاعات کاربران ایرانی رقم خورده است. امیر ناظمی، معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات در گفت‌وگو با همشهری تأکید می‌کند که به‌صورت ویژه در جمع‌آوری اطلاعات کاربران تلگرام در کشور در سامانه‌ای به نام «شکار» پای یک نهاد حاکمیتی درمیان بوده و به همین‌خاطر طی نامه‌ای موضوع به دادستانی برای بررسی حقوقی اعلام شده است. از سوی دیگر سهل‌انگاری در حفاظت از داده‌ها از سوی وزارت بهداشت هم مشخص شده و مورد پیگیری قرار گرفته است. به گفته او اما مسئله اصلی در کشور ما در لزوم حفاظت از داده‌های شهروندان و آن هم مربوط به حاکمیت و ساختار حکمرانی است. او تأکید دارد که عدم‌واکنش نهاد مسئول مثلا در قضیه افشای اطلاعات کاربران تلگرام موضوعی است که مردم حق دارند از آن عصبانی باشند. امیر ناظمی می‌گوید اصلاح ساختاری برای تناسب وظایف و اختیارات باید صورت بگیرد تا نهادی مسئول این ماجرا باشد که از لحاظ فنی بتواند پروتکل‌های سفت و سختی را برای امنیت داده‌های شهروندان اجرا کند.



طی هفته‌های اخیر مردم ما با اخبار نگران‌کننده‌ای درباره افشای اطلاعات‌شان مواجه بوده‌اند. اول ماجرای اطلاعات تلگرام بود، بعد هم مسائلی مثل افشای دیتاهای ثبت احوال و سیب‌اپ اتفاق افتاد. به‌نظرتان مشکلات اصلی رعایت نکردن امنیت داده‌های مردم کشور از کجا ناشی می‌شود؟
به‌نظرم چند موضوع در حال اتفاق افتادن به‌صورت همزمان هستند. یک موضوع درباره افزایش استفاده مردم از داده‌هاست. این موضوع صرفا برای ایران هم نیست و یک ماجرای جهانی است. در دوران شیوع کرونا رشد استفاده از دیتا افزایش پیدا کرده و به همان نسبت هم ارائه‌دهندگان خدماتی به‌وجود می‌آیند که شاید کمترین وجه را برای امنیت قائل باشند. یک دلیل ماجرا این است که امنیت، آن بخشی از هزینه‌های یک فعالیت است که خروجی آن نمود ندارد و دیده نمی‌شود. به همین‌خاطر که دیده نمی‌شود خیلی مواقع به آن توجه نمی‌شود.
یک بخش دیگر هم مربوط به حاکمیت و ساختار حکمرانی در ایران است. به‌نظر می‌رسد در ساختار حکمرانی در کشور که در بیانیه مرکز ماهر هم ما روی آن تأکید کردیم تقسیم‌بندی که در آن صورت گرفته مناسب نیست. به‌عبارت دیگر تک‌تک دستگاه‌ها الزاما توان عملیاتی در این زمینه را ندارند و این توان عملیاتی اصولا به‌خاطر منابع محدودی که در کشور وجود دارد در تمامی بخش‌ها وجود ندارد. به‌عنوان مثال وقتی ما همزمان برای سازمان‌های دولتی غیرحساس می‌آییم سامانه‌ای را ایجاد و برای آن هزینه می‌کنیم باید انتظار داشته باشیم که این مسئله بار دیگر برای کسب و کارها و داده‌های شهروندان هم تکرار شود. به‌نظرم این نگاه مشکلات موجود را تشدید می‌کند. در لایه‌های دولت الکترونیک هم همین مشکل را داریم. در مسئله حکمرانی الکترونیکی هم ما تعدد دستگاه‌هایی را داریم که به‌صورت جزیره‌ای عمل می‌کنند و قاعدتا در این شرایط پروتکل‌های هماهنگ‌کننده از بین می‌رود. یعنی هیچ دستگاهی در جایگاهی فراتر از فرایندهای بخشی خود قرار ندارد که بتواند این پروتکل‌های هماهنگ‌کننده را ایجاد کند. این پروتکل‌های هماهنگی عمدتا فنی هستند و نمی‌توانیم مثلا از جایی مثل سازمان اداری و استخدامی که علاقه دارد توسعه‌دهنده دولت الکترونیک باشد این انتظار فنی را داشته باشیم. پس ما در هر سو مشکل داریم اما به‌نظرم بخش عمده مشکل ما در بخش ساختار حکمرانی است.
در این دوران فاصله‌گذاری فیزیکی به‌خاطر شیوع کرونا احتمالا آنهایی که منکر نیاز حیاتی به اینترنت و فناوری بودند اهمیت آنها را درک کرده‌اند. به‌نظر شما کسانی که در رأس امور هستند اهمیت لازم را برای دیتای مردم قائل هستند؟ چون بعضی وقت‌ها مثلا می‌شنویم «چیز خاصی افشا نشده و مثلا فقط مشخصات فردی بوده است».
امیدوارم به این درک از لزوم حیاتی فناوری‌های جدید و اینترنت رسیده باشند. ما در موضوع افشای حدود ۴۰ میلیون دیتای کاربران ایرانی تلگرام به دادستانی شکایت کرده‌ایم. به‌نظر می‌رسد این داده‌ها توسط یک بخش خصوصی گردآوری نشده و اگر بخش حاکمیتی اقدام به گردآوری این داده‌ها کرده است باید در این رابطه پاسخگو باشد. حداقل باید واکنش مناسب نشان بدهد. شاید حداقلی‌ترین کار ممکن این باشد که عذرخواهی کند و بعد برود سیستم خودش را نوسازی کند. عدم‌واکنش به‌نظرم آن قسمتی است که طبیعی است مردم را عصبانی کند.
هم درباره دیتای تلگرام هم ماجرای دیتای ثبت احوال که مورد استفاده وزارت بهداشت بود این مسئله صادق است.
 طرف وزارت بهداشت هم کسب و کار خصوصی نبود بلکه یک سازمان دولتی بود و به هر دلیلی در حفاظت از داده‌های مردم سهل‌انگاری شده است.
درباره تلگرام مشخص شده که جمع‌آوری اطلاعات از طریق پوسته‌های غیررسمی و داخلی تلگرام صورت گرفته است؟ 
این یک جمع‌آوری اطلاعات بوده و می‌تواند از منابع مختلف جمع‌آوری شده باشد. یک پوسته‌ای که فقط ۱۰۰ هزار کاربر داشته باشد این مسئله شامل مخاطبان فرد هم می‌شود. هر فرد در دفتر تلفن گوشی خود به‌صورت میانگین ۲۰۰ مخاطب دارد و ۱۲۵ پوسته تلگرام هم در کشور وجود داشته است. کافی است که همین ۲۰۰ را در تعداد کاربران یک نسخه غیررسمی تلگرام مثلا با ۱۰۰ هزار مشترک ضرب کنید. حتی ممکن است این کار از طریق اپلیکیشن‌های دیگری صورت گرفته باشد.
نهادی که این جمع‌آوری اطلاعات را انجام داده است اعلام نمی‌کنید؟ 
خیر چون باید دادگاه تشکیل شود و رأی دادگاه اعلام شود. چون آن نهاد مسئولیت این قضیه را نپذیرفته است. اگر مثل قضیه وزارت بهداشت پذیرفته بود ما می‌توانستیم اعلام کنیم. چون آن نهاد نپذیرفته باید ماجرا بررسی حقوقی شود.
ولی شما به هر حال در شکایت به دادستانی نهادی را متهم کردید که در حفاظت از اطلاعات مردم اهمال داشته است؟ 
بله.
درباره افشای اطلاعات کاربران ایرانی که بیشتر از ۴۲ میلیون رکورد بوده آیا مشخص است که نهادی که آنها را جمع‌آوری کرده قصد چه استفاده‌ای از آنها را داشته است؟ آیا مرجعی هست که مشخص کند که این نهاد مجاز به جمع‌آوری این مقدار زیاد اطلاعات بوده است؟ 
به‌نظرم هر دو این سؤال‌ها باید مطرح شوند و ما هم به هر دو سؤال پرداخته‌ایم. سؤال اول این است که چرا باید چنین اطلاعاتی جمع‌آوری شود. سؤال بعدی هم این است که حالا که جمع‌آوری شده حداقل چرا امنیت کافی نداشته است. اگر دادستان قرار است به این مسئله ورود کند باید جواب این سؤالات پیدا شود.
 درباره ماجرای وزارت بهداشت اهمال از سوی این وزارتخانه بوده است؟
بله. چون یک انتقال بین سازمانی بود و حق ندارند داده‌های این‌چنینی مثل کدملی را جز از طریق گذرگاه‌های خاص روی اینترنت قرار دهند. وزارت بهداشت اما این کار را کرده بود. ما داده‌های دولتی را خارج از اینترنت دسترسی‌اش را به دستگاه‌ها می‌دهیم. پارسال سکویی ایجاد شد که از طریق آن بتوان داده دولتی را روی اینترنت قرار داد اما وزارت بهداشت از این مسئله استفاده نکرده بود. به‌صورت خاص داده‌های ثبت احوال به سامانه‌ای که روی اینترنت کار می‌کرد متصل شده بود.
 به‌نظرتان چون مجازات و عواقب سختی به‌خاطر افشای اطلاعات در کشور وجود ندارد این مسئله باعث شده تا خیلی سهل‌انگارانه در موارد مختلف با حفاظت از اطلاعات مردم برخورد شود؟ 
ما پارسال یک ابلاغیه داده بودیم و به‌تازگی بار دیگر آن را منتشر کردیم که طی آن براساس قوانین موجود و نه حتی قوانینی که سال‌هاست قرار است تصویب شود جرم‌شناسی افشای اطلاعات را انجام داده بودیم. در آن مشخص شده بود که چطور این مسئله می‌تواند مستوجب عواقب کیفری باشد. به‌نظرم این حساسیت وجود ندارد. در این رابطه هم باید مردم و هم دستگاه قضایی و دادستانی حساس باشند. فکر کنم برای نخستین بار است که برای دادستان نامه‌ای درباره قصور در حفاظت از داده مردم تهیه شده است. امیدوارم این مسئله به نتیجه برسد تا شاید حساسیت نهادهای دولتی و حاکمیتی درباره حفظ امنیت داده‌ها بیشتر شود.
 کسب و کارهای خصوصی هم طی ماه‌های اخیر دچار چنین سهل‌انگاری‌هایی همراه با افشای اطلاعات مردم شده بوده‌اند. بارزترین موردش علی‌بابا بود که اطلاعات کاربرانش افشا شده بود. دیتای مردم اکنون در دست کسب و کارهای مختلف هم وجود دارد. برای این مسئله ضمانتی درنظر گرفته شده است؟ 
من در این مورد هم طرف حاکمیت را بار دیگر مقصر می‌دانم. چون شما باید پروتکل‌هایی بگذارید و قابلیت ارزیابی آنها را داشته باشید. این مسئله برای ارتقای این پروتکل‌هاست. در قوانین ما این مسئله به نیروهای انتظامی سپرده شده است. یعنی به نهادی سپرده شده که اساسا وظیفه‌اش این نیست. نگاه ما در تقسیم کار ملی در موضوع امنیت داده‌ها مثل این بوده که 2نفر دعوایشان شده است. هیچ وقت دقت نکردیم که در کسب و کار آی‌تی آن روند و منطقی که 2نفر دعوایشان شد بروند کلانتری محل پاسخگو نیست. در منطق آی‌تی کسی باید مسئول باشد که بتواند پروتکل‌های سفت و سخت وضع کند و بتواند اعلام کند مثلا اگر داده از چه مقدار بیشتر شد در چه مراکز داده و با چه پروتکل‌هایی باید ذخیره شود. همه اینها قابلیت تبدیل شدن به پروتکل‌های حاکمیتی را دارند. ما بارها به این تقسیم کار اعتراض کرده‌ایم. اگر 2نفر دعوایشان می‌شود باید بروند کلانتری ولی وقتی ما با بانک‌های داده روبه‌رو هستیم این منطق وجود ندارد. بانک داده باید جایی باشد که امکان قانونگذاری درباره‌اش اجرایی شود. وقتی تعداد رکورد یک بانک اطلاعاتی از حدی بیشتر شد نمی‌تواند آن را در هر دیتا سنتری ذخیره کند. باید یک‌سری پروتکل‌های امنیتی را رعایت کند. آدم‌های آن و دیتاسنتر آن باید سرتیفیکیت‌های خاصی داشته باشند. ما هیچ‌کدام از اینها را اجرا نکرده‌ایم و بعد انتظار داریم که بخش خصوصی خودش این کارها را انجام دهد.
 در نهایت اطلاعات همه ما روی شبکه قرار دارد و این میزان داده بیشتر می‌شود. چه پیشنهادهایی برای افزایش امنیت داده‌ها دارید؟
همانطور که گفتم اول به‌نظرم اصلاح ساختار است تا وظایف و اختیارات با هم تناسب و همچنین امکان‌ اجرایی‌شدن داشته باشند. تجربه تاریخی نشان داده اینکه ده‌ها نهاد را درگیر موضوعی کنیم و تصور داشته باشیم با نهادهای موازی وضعیت بهتر می‌شود اینگونه نخواهد شد. بلکه ماجرا پیچیده‌تر و ناکارآمدتر خواهد شد.

این خبر را به اشتراک بگذارید