بحران افشای اطلاعات شخصی ایرانی‌ها

اشکان خسروپور ـ خبرنگار

درست مثل این است که اطلاعات مردم، از کاربران تاکسی‌های اینترنتی گرفته تا فروشگاه‌ها و حتی اداره‌های دولتی در یک اتاق شیشه‌ای قرار گرفته و به‌راحتی در معرض دید آدم‌ها باشد. در دنیای اینترنتی جدید، لزومی ندارد یک هکر کارکشته باشید. بعضی از این اطلاعات در محیط‌های عمومی مثل موتورهای جست‌وجو قرار گرفته و برای دسترسی به برخی دیگر، فقط کافی است شماره ملی کاربر هدفتان را وارد کنید و بسیاری از اطلاعات شخصی ازجمله نام، نام پدر، شماره شناسنامه، نشانی و... را در اختیار بگیرید. در طول چند هفته گذشته، اخباری در شبکه‌های اجتماعی منتشر شد که نشان می‌داد اطلاعات کاربران چند شرکت به‌طور عمومی و بدون رمزگذاری در دسترس عموم است. حتی در یک مورد یکی از شرکت‌های بانکی اطلاعات ۷۰۰پذیرنده‌ را خودش به اشتباه در یک فایل اکسل ایمیل کرده بود!


در موارد دیگری شرکت‌هایی مانند تپسی و کافه‌بازار درگیر ماجراهایی مشابه بودند. کافه‌بازار هرچند دسترسی به سورس‌کد خود را تأیید کرده اما گفته است اطلاعات کاربران‌شان آسیب ندیده و بعد از پیدا شدن مشکل، اطلاعات از دسترس خارج شده‌اند. اینها البته تنها مواردی بودند که به‌خاطر زیاد بودن کاربران عمومی‌شان بیشتر در معرض توجه بوده‌اند. بررسی‌های همشهری نشان می‌دهد شرکت‌های دیگری که کمتر با عموم مردم سروکار دارند نیز دچار چنین مشکلاتی هستند که البته، ایرادشان عموما رسانه‌ای نمی‌شود. روز گذشته هم کاربران، تصاویری مربوط به سایت وزارت تعاون، کار و رفاه اجتماعی در یکی از سرویس‌هایی که روی سایتش ارائه می‌کند منتشر کردند که نشان می‌داد هر کسی می‌تواند با زدن کد ملی هر فردی اطلاعاتی شامل نام، جنسیت، نام پدر، تاریخ تولد و شماره شناسنامه را به‌راحتی آب خوردن دریافت کند. درزهای اطلاعاتی اینچنینی از سوی شرکت‌های خصوصی و دولتی باعث شده تا در سال‌های اخیر مافیای خرید و فروش اطلاعات خصوصی مردم شکل بگیرد. خیلی‌ها با تماس‌های کلاهبرداری با چنین اطلاعاتی روبه‌رو بوده‌اند؛ تماس‌هایی که فرد مثلا با گفتن مشخصات کامل، محل سکونت یا حتی مدل خودرو و سال خرید آن به‌دنبال فروختن خدمات یا کالایی برای سودجویی بوده است.

بازار سیاه فروش اطلاعات خصوصی
از مدت‌ها پیش، سوداگری سودآوری با استفاده از اطلاعات خصوصی مردم شکل گرفته بود. بخش مهمی از این اطلاعات در بازارهای تبلیغات پیامکی به چشم می‌خورد تا آگهی‌دهندگان بتوانند به مخاطبان موردنظرشان پیامک بفرستند. بررسی‌های همشهری نشان می‌دهد شرکت‌های خرید و فروش‌کننده اطلاعات به‌سادگی و با چند جست‌وجوی ساده در اینترنت در دسترس هستند و بسیاری از آنها اطلاعات کاربران با طبقه‌بندی‌هایی ازجمله سن، جنس، محل سکونت، محل رفت‌وآمد و... را به دیگران می‌فروشند.
این ماجرا آنقدر بحرانی شد که وزیر ارتباطات سال گذشته در یک سخنرانی با لحنی تند گفت: آقای سازمان تنظیم، آقایان مدیران استانی، اینها حق‌الناس است و بایستی پیگیری کنیم. اپراتور بیجا می‌کند اطلاعات مشترکان را در اختیار دیگران می‌گذارد. حتی خودش هم بدون اجازه مشترک حق ندارد این خدمات را برای مشترک فراهم کند.
غیر از درز اطلاعات از اپراتورها، بررسی‌ها نشان می‌دهد که با سهل‌انگاری‌های امنیتی اطلاعات شخصی مردم که باید به‌صورت محرمانه در شرکت‌ها و نهادها امانت باشد، به‌راحتی خارج شده است. چطور شرکت‌های بی‌نام و نشان می‌توانند به اطلاعاتی مانند تاریخ ازدواج، بیمه، مدل و پلاک خودرو، تولد فرزند و حتی سابقه تحصیلی افراد دسترسی داشته باشند؟

سخت‌افزار میلیاردی؛ کارشناس تازه‌کار
در اداره‌ها و سازمان‌های دولتی و بزرگ عمدتا از سخت‌افزارهای بسیار پیشرفته‌ای استفاده می‌شود و دیتاسنترهای پرخرج بزرگی نیز در آنها کار گذاشته شده که می‌تواند ریسک دزدی از اطلاعات را بسیار پایین بیاورد. با وجود این، همیشه باگ‌های امنیتی جدی در سیستم‌ها وجود دارند؛ تا جایی که اطلاعات این سازمان‌ها به‌سادگی در معرض دید هستند و می‌توانند خرید و فروش شوند. سیدمجتبی مصطفوی، کارشناس امنیت شبکه در این‌باره به همشهری می‌گوید: «خرید سیستم‌ها معمولا بدون سنجیدن میزان نیاز شرکت‌ها انجام می‌شود و یک روند اقتصادی و بهینه را طی نمی‌کند. از طرفی، اپراتور کارشناس و توانمندی که بتواند با آنها درست کار کند، وجود دارد. عملا هزینه‌های بسیار بالایی در جاهای نادرست انجام می‌شود که نتیجه‌اش آسیب‌پذیر بودن شرکت است. خیلی از شرکت‌های دولتی با خرید سیستم‌های گران تصور می‌کنند رویین‌تن شده‌اند و برای استخدام کارشناس هیچ احساس نیازی نمی‌کنند.» مهدی مصدقی‌راد، کارشناس فنی در همین‌باره به همشهری می‌گوید: «بعضی مدیرها دوست دارند راه‌حل‌های جدید را امتحان کنند اما چون نگاه‌شان مربوط به نسل گذشته است، عملا در دنیای فناوری راه به جایی نمی‌برند. راهکارهایی ارائه می‌کنند که در دنیای وب جواب نمی‌دهد. طرز فکر مدیران ارشد نیاز به تغییر جدی دارد.»

نمی‌فهمیم هک شده‌ایم
در ایران سیستم شناسایی رفتار مشکوک سایبری یا Detection ضعف جدی دارد. به همین دلیل، عملا مدتی بعد از هک شدن یا دسترسی به سایت، سازمان‌ها متوجه سرقت اطلاعات‌شان می‌شوند. سیدمجتبی مصطفوی در این باره می‌گوید: «یکی از ضعف‌های بزرگ سازمان‌های دولتی این است که پیدا کردن باگ‌های امنیتی توسط هکرهای کلاه‌سفید و متخصصان استخدام‌شده را جدی نمی‌گیرند و بررسی سایت از نظر ویژگی‌های سایبری را یک اقدام نامطلوب امنیتی تلقی می‌کنند. در نهایت باگ‌های موجود در سیستم هیچ‌وقت شناسایی و برطرف نمی‌شوند و هکرهای سیاه و دشمن با سوءاستفاده از همین باگ‌ها به سیستم نفوذ می‌کنند.»
 او می‌گوید: «واحد SIEM که کار اصلی‌اش شناسایی نفوذ غیرمجاز به سیستم و پیدا کردن راه‌حل برای آنهاست یا در ایران وجود ندارد یا اگر هست، سخت‌افزارهای قدرتمندی برای آن گرفته شده اما کارشناس فنی خبره‌ و توانمند ندارد.»
باب دیاچنکو، کارشناس امنیت سایبری که پیش‌تر درباره باگ‌های امنیتی یکی از شرکت‌های خصوصی با همشهری گفت‌وگو کرده بود، می‌گوید: «پیشگیری بسیاری از این مشکلات بسیار ساده‌ است. راهکارهایی مثل تنظیم رمز عبور برای فایل‌ها یا به‌روزرسانی دیواره آتش مسئله‌ای است که بسیاری از شرکت‌ها را آسیب‌پذیر می‌کند. بسیاری از اطلاعات آنها نیز روی موتورهای جست‌وجوی مخصوص «داده‌های باز» در دسترس است.»



مکث
سازوکار شفاف نیست

حمیده حبیبی، بنیانگذار استارتاپ فین‌تک و فعال استارتاپی به همشهری می‌گوید: «مشکل بزرگ ما این است که از نظر قانونی هیچ سازوکار مشخص و دقیقی در رابطه با سازوکار انتقال اطلاعات خصوصی نداریم. نمی‌دانیم کدام داده‌ها خصوصی هستند و طی چه سازوکاری باید به سازمان‌ یا سیستم دیگری منتقل شود. مسئولیت‌پذیری چندانی هم وجود ندارد. کما اینکه چند وقت پیش، مشکل مشابهی در مورد یکی از شرکت‌های B2B پیش آمد اما نه راهکاری برای پیشگیری ارائه شد، نه عذرخواهی به عمل آمد. حتی جزئیات فنی خاصی هم ارائه ندادند. به‌نظر می‌رسد روال کار در این حوزه نیاز به شفاف‌سازی جدی داشته باشد و همه طرفین، مردم و سازمان‌ها باید در این‌باره توجیه شوند.»