حفره‌سايبری ايران در تامين امنيت اطلاعات

گروه دیپلماسی-سجاد عابدی: هفته گذشته گروه هکري گنجشک درنده سامانه‌هاي سوخت کشور را هک کرد. از طرفي يک گروه هکري مدعي است سازمان ثبت ‌احوال را هک کرده و بخشي از اطلاعات ديتابيس و زيرساخت را به عنوان صحت ادعاي خود منتشر کرده است. اين هکر ادعا دارد که به اطلاعات 130 ميليون ايراني دست يافته است. او در کانال تلگرامي خود اين موضوع را اعلام کرده و در حال حاضر کارشناسان فني مشغول بررسي صحت ادعاي او هستند.
به گزارش مردم سالاری آنلاین ،چند روز بعد وب‌سايت وزارت علوم، فناوري و تحقيقات هم از دسترس خارج شد. يک گروه هکري ديگر هم ادعا کرد که سايت وزارت علوم و فناوري را هک کرده است. آنها مدعي هستند که در راستاي اين حمله، به بيش از 20 هزار سند دسترسي پيدا کرده‌اند. اين گروه هکري مدعي است که 500 سرور، کامپيوتر، سايت و سامانه اين وزارتخانه را هک کرده است. اين گروه هکري پيش از اين مسووليت هک شدن سازمان‌هايي مثل شهرداري تهران، وزارت امور خارجه، وزارت جهاد کشاورزي، وزارت ارشاد، صداوسيما، نهاد رياست‌جمهوري و… را هم بر عهده گرفته بود و در حال‌ حاضر مشغول نشر اطلاعاتي درباره کارکنان اين وزارتخانه است.
در تعطيلات نوروز 99 نيز اطلاعات چند ده ميليون ايراني لو رفته بود. در آن زمان اعلام شد درز اطلاعات به خاطر تعامل ثبت احوال با وزارت بهداشت بوده و اطلاعات از طريق اين وزارتخانه لو رفته است. در آبان 1400 نيز براساس حمله هکرها،‌ در سيستم‌هاي چهار هزار و 300 جايگاه سوخت‌رساني کشور اختلال ايجاد شد.
چندي پيش اطلاعات 19 شرکت بيمه‌اي به وسيله يک هکر در شبکه‌هاي اجتماعي به فروش گذاشته شده اما هيچ واکنشي در برابر اين موضوع از سوي شرکت‌هاي بيمه‌اي صورت نگرفته است. همچنين مديرعامل تپسي با انتشار توئيتي اعلام کرد اين پلت‌فرم هک شده و برخي از اطلاعات آنها به سرقت رفته است. اينها تنها چند نمونه معروف‌تر از انواع هک‌هاي سازمان‌هاي دولتي و خصوصي ايران در سال‌هاي اخير بوده است. و به نظر مي‌رسد حمله سايبري به زيرساخت‌هاي کشور و هک وب‌سايت‌هاي دولتي و خصوصي همچنان ادامه دارد. امنيت بنا به تعريفي که در جامعه ما جا افتاده يعني دوري از هرگونه تهديد و نيز آمادگي براي رويارويي با خطرات. امنيت انواع گوناگون دارد اما در هر شکل آن، کالاي عمومي است که دولت‌ها بايد آن را تهيه و تامين کنند. هر سال بودجه زيادي صرف اين مي‌شود که تهديدها از جامعه دور شود تا افراد بتوانند کسب‌وکار و زندگي کنند. اما در سال‌هاي گذشته به دليل گسترش تکنولوژي و رواج شبکه‌هاي اجتماعي، امنيت مفهوم جديدي پيدا کرده و به نظر مي‌رسد دولت در تامين اين جنبه از امنيت توفيق زيادي نداشته است. با گسترش تکنولوژي و فراگير شدن اينترنت، کاربران نياز به احساس امنيت در فضاي سايبري براي انجام امور خود دارند که اين امنيت ابتدا با افزايش سطح آگاهي و دانش خود کاربران و سپس با کمک شرکت‌هاي امنيتي و مراجع قانوني و پليس‌هاي سايبري فراهم مي‌شود.
اين روزها افراد زيادي در معرض هک اطلاعات شخصي خود قرار دارند بنابراين لازم است که هر فرد آگاهي و مهارت خود را افزايش دهد تا در معرض سرقت اطلاعات خود قرار نگيرد. اما اين همه ماجرا نيست و جنبه ديگر امنيت اطلاعات، دست ما نيست و دولت‌ها بايد از آن محافظت کنند. پس از هک سامانه «تهران من» متعلق به شهرداري تهران، «سامانه اطلاعات املاک وزارت مسکن» نيز هک شد. در سال‌هاي گذشته تعداد سامانه‌هايي که به وسيله هکرهاي داخلي و خارجي هک‌ شده کم نيست. بانک‌ها، بيمه‌ها، سامانه‌هاي رفاهي و سلامت و… همواره در معرض دستبرد هکرها قرار دارند و در سال‌هاي گذشته بارها مورد حمله قرار گرفته‌اند. دولت‌ها با ايجاد سامانه‌هاي مختلف، اطلاعات افراد را جمع مي‌کنند اما هکرها به راحتي اطلاعات افراد را در اختيار مي‌گيرند.
تقريباً با اطمينان زياد متوجه شده‌ايم که بيشتر از هميشه در معرض سرقت اطلاعات مهم مالي و شخصي خود قرار داريم و نکته نگران‌کننده اينکه دولت‌ها نمي‌توانند از حريم خصوصي ما حفاظت کنند و با نشت گسترده اطلاعات شخصي خود از منابع دولتي مواجه هستيم. آيا راهي وجود دارد که از اطلاعات خود محافظت کنيم؟ آيا نياز به سياستگذاري و قانونگذاري داريم؟ در اين گزارش تلاش شده تا با بازنگري به برخي از مفاهيم مثل امنيت داده در مثال‌ها و مقايسه‌هايي به ضرورت بازنگري به روند مديريت امنيت داده در ايران پرداخته شود. قوانين در دنيا مشخص مي‌کنند که از نظر حقوقي چه داده‌اي محرمانه است.
اما در ايران چنين قانوني را که در دنيا رايج است، نداريم. در اين قوانين خيلي دقيق مشخص شده که داده شخصي چيست؛ مثلاً دقيقاً ذکر شده که آيا کد ملي، اسم، اطلاعات مالياتي، اطلاعات سلامت و… اطلاعات شخصي هستند يا خير. حتي در قانون امنيت داده آمريکا دقيقاً مشخص شده که رنگ چشم فرد داده محرمانه است. يعني فرد با مراجعه به بيمارستان در فرم اطلاعات پزشکي‌اش وقتي ذکر مي‌کند که رنگ چشم او سياه است (چون داده شخصي ثبت شده است)، بيمارستان در قبال آن مسوول است. اما اگر در بيمارستان کسي درباره رنگ چشم از فرد سوال نپرسد و خودش رنگش را تشخيص دهد و فرد اظهارش نکرده باشد؛ از نظر بيمارستان اين موضوع اطلاعات خودش است و داده شخصي محسوب نمي‌شود (منظور از طرح اين مثال آن است که اهميت جزئيات اين قوانين مشخص شود). اين موضوع به شرکت‌ها نيز تسري پيدا مي‌کند؛ يعني قوانين هم شخص حقيقي را دربر مي‌گيرد و هم شخص حقوقي را.
نکته دوم در اين بحث «نقش‌ها» در مديريت داده است. در حوزه اطلاعات داده، ما با سه نقش اصلي روبه‌رو هستيم. يکي آن شخصي است که مالک داده است. مالک اطلاعات سلامت در مثال بالا، آن شخصي است که اطلاعاتش را اظهار کرده است. مالک داده اطلاعات حساب بانکي هم متعلق به فردي است که در آن بانک حساب باز کرده است. نقش دوم متعلق به کسي است که داده را نگهداري مي‌کند. در مثال طرح‌شده بانک يا بيمارستان اطلاعات شخص را نگهداري مي‌کنند اما مالک آن نيستند. اين دو نقش با هم متفاوت هستند. به همين دليل است که اگرچه بانک اطلاعات شخص را دارد اما اجازه استفاده داده‌ها را خارج از قراردادي که در زمان افتتاح حساب امضا کرده، ندارد. اين موضوع بسيار مهم است که ضرورتاً مالک داده خودش اطلاعات را نگهداري نمي‌کند و همچنين کسي که داده‌ها را در اختيار دارد لزوماً صاحب داده‌ها نيست. نقش سوم در اين ميان متعلق به کسي است که به داده‌ها دسترسي دارد. مثلاً شخص مي‌گويد اطلاعات بانکي من، متعلق به خودم است و در بانک ملي نگهداري مي‌شود؛ حالا سازمان امور مالياتي براي تشخيص فعاليت مالياتي فرد به آن داده بانکي نياز داشته و به آن دسترسي دارد. نکته کليدي آن است که قانون بايد حدود مسووليت‌ها و اختيارات و نحوه ارتباط ميان هر سه نقش را براي همه مشخص کند. به گفته کارشناسان اصلاً چنين شرايطي در ايران برقرار نيست. مثلاً الان سازمان امور مالياتي به بانک‌ها اعلام کرده که اطلاعات حساب مشتريان را بايد به من بدهيد. کساني که متوسط مانده حساب آنها در طول يک سال بالاي 500 ميليون تومان است کل اطلاعات و تراکنش‌هاي مالي‌شان را بايد براي سازمان امور مالياتي ارسال کنند. چه اشتباهي در اين ميان رخ داده است؟ اولاً درست است که اطلاعات از سوي بانک نگهداري مي‌شود اما اطلاعات مربوطه متعلق به شخص است و نه بانک؛ پس شخص بايد اجازه دسترسي به آن را بدهد. دوم، طبق قانون، سازمان امور مالياتي بايد به اين داده‌ها دسترسي داشته باشد اما ضرورتي ندارد همه را جمع‌آوري و نگهداري کند. در قانون ماليات و privacy act آمريکا اعلام مي‌شود که ادارات ماليات فدرال و مالياتي ايالتي به اطلاعات بانکي دسترسي دارند اما به شرط حکم قاضي. يعني مامور مالياتي مستقيم نمي‌تواند از بانک درخواست اطلاعات حساب را داشته باشد؛ مي‌رود از قاضي درخواست مي‌کند، قاضي حکم صادر مي‌کند و بعد دسترسي به او داده مي‌شود. در ضمن به اين شکل نيست که اداره ماليات تمامي اطلاعات فرد را براي روز مبادا نگهداري کند.
در مسووليت‌هايي که قانون براي هر نقش مشخص مي‌کند، اهميت «تفکيک نقش‌ها» مشخص مي‌شود. فرض کنيد اطلاعات بانکي شرکتي در اختيار هکرها قرار گرفته است. هکرها سيستم بانک را هک مي‌کنند و به اطلاعات آن شرکت تجاري هم دسترسي پيدا مي‌کنند. فرض کنيد هکرها آن اطلاعات را به شرکت رقيب بفروشند. طبق قوانين آمريکا، شرکت مذکور مي‌تواند از بانک شکايت کرده و ادعاي خسارت کند و بگويد بانک در حذف اطلاعات محرمانه‌اش کوتاهي کرده و لطمه تجاري به کارش وارد شده است. طبق قانون به اين موضوع رسيدگي مي‌شود و خسارت‌ها پرداخت مي‌شود. نتيجه‌اش اين است که اداره ماليات از کسب و حفظ داده اضافي استقبال نمي‌کند. چون هرچه داده بيشتري داشته باشد مسووليتش بالاتر مي‌رود و احتمال هزينه دادنش بيشتر مي‌شود. اما در ايران به راحتي به دليل نبود اين قوانين اطلاعات افراد حفظ و نگهداري مي‌شود. اداره مالياتي امروز براي روز مبادا تمامي حساب‌هاي بانکي افراد را نگهداري مي‌کند و هيچ مسووليتي در قبال آن ندارد. اين موضوع فقط درباره بخش دولتي نيست، بلکه بخش خصوصي هم همين روش را پيش گرفته است. شما وارد فروشگاهي مي‌شويد و براي حساب کردن از شما نام، نام خانوادگي و اطلاعات شخصي مانند روز تولد مي‌خواهد؛ اطلاعات حساب هم که با کارتي که پول پرداخت شده در دسترس فروشگاه قرار مي‌گيرد. چرا؟ چون اصلاً مسووليتي در راستاي حفظ اطلاعات شخصي فرد بر دوش فروشگاه نيست. اگر مشکلي هم برايش پيش آيد که کد ملي و شماره موبايل و… مشتري در دسترس ديگران قرار گيرد، جريمه نمي‌شود. همه در هر حوزه‌اي بدون آنکه مسووليتي نسبت به داده‌ها داشته باشند، مشغول کسب اطلاعات هستند. به همين دليل است که تاکيد مي‌شود قانون بايد در اين‌باره اظهارنظر کند که اگر اطلاعاتي جمع مي‌شود مسووليتي هم نسبت به آن وجود دارد. مثلاً وقتي از اپليکيشن جهاني مثل اسپاتيفاي استفاده مي‌کنيد، طبق قانون اين حق را داريد که در زمان خروج، از اين اپليکيشن بخواهيد تمامي سوابق شما را حتي از ديتابيس‌هايش هم پاک کند. اگر اين کار را نکند و اسپاتيفاي هک شود و داده‌اي از شما به عنوان کاربر منتشر شود مي‌توان از اسپاتيفاي شکايت کرد که چرا داده‌ها را طبق قوانين پاک نکرده است. چون داده براي شماست و امانت پيش آن اپليکيشن بوده است. الان کدام اپليکيشن ايراني هست که به کاربر اجازه دهد اگر اپليکيشن را پاک کرد يا نخواست از سرويس آن کسب‌وکار استفاده کند اطلاعاتش به‌طور کامل پاک شود؟ در جمع‌بندي اين بخش باز تاکيد مي‌شود که اهميت تفکيک نقش ذکرشده در مسووليت ايجاد شده است و چون قانوني در اين زمينه نداريم،‌ تفکيک نقش هم نداريم؛ در نتيجه مسووليتي متوجه هيچ‌کسي نيست. راه چاره آن است که بايد مشخص شود يک پلت‌فرم خاص، مثلاً يک تاکسي اينترنتي که مدل درآمدي آن دريافت سهم از سفرهاي انجام‌شده است، براي پيشبرد وظيفه اصلي خود به چه حدي از اطلاعات کاربر نياز دارد تا هيچ شرکتي اجازه نداشته باشد داده‌اي فراتر از نياز واقعي، جمع‌آوري کند.
در ادبيات امنيت اطلاعات مفهومي به نام single point of failure (تنها نقطه شکست) وجود دارد. اين مفهوم توضيح مي‌دهد که هرچقدر داده‌هاي بيشتري در يکجا جمع شود و تمرکز در ارائه داده‌ها صورت گيرد، هکرها با يک هدف روبه‌رو مي‌شوند؛ آن نقطه را که هک‌کننده ديگر به همه داده‌ها هم دسترسي پيدا مي‌کند. در امنيت جهاني تلاش مي‌شود اين تمرکز در انبارش داده را از بين ببرند و داده‌ها توزيع‌شده باشند. داده‌ها بايد در جاهاي مختلفي نگهداري شوند تا با يک حمله و هک از بين نروند. اين موضوع فقط به داده محدود نمي‌شود، حتي در سرويس‌ها هم اين ظرافت وجود دارد تا اگر يک سرور را هک کردند کل سيستم از کار نيفتد و کل داده‌ها منتشر نشود. اما در ايران کاملاً برعکس اين موضوع عمل مي‌شود. به‌طور مثال شرکتي به نام شاپرک وجود دارد که به‌طور انحصاري تمام تراکنش‌هاي بانکي ايران در سوئيچ‌هاي آن انجام مي‌شود. شاپرک به تنها نقطه شکست تبديل شده است. به يک نقطه ضعف بزرگ امنيت بدل شده است. همين موضوع را هم در ثبت احوال داريم. در آمريکا چيزي به نام کد ملي وجود ندارد. کارت شناسايي عکس‌دار photo id وجود دارد. مثلاً گواهي‌نامه يک photo id است و هر ايالتي کارت مخصوص خود را صادر مي‌کند. به همين دليل اگر ديتا‌بيس يک ايالت هک شود فقط اطلاعات گواهي‌نامه افراد آن ايالت منتشر شده و اطلاعات ساير ايالت‌ها در امان است. شماره تامين اجتماعي‌ که در آمريکا وجود دارد فقط به نام و نام‌خانوادگي وصل مي‌شود و عکس و ساير اطلاعات مشمولش نمي‌شود. در ايران عکس، اثر انگشت هر 10 انگشت، محل سکونت، سال تولد، کد ملي، محل تولد و… را در چيزي به نام کارت ملي جمع کرده‌ايم و همه اطلاعات را در سازماني به نام سازمان ثبت احوال ثبت کرده‌ايم. اين دقيقاً همان نکته‌اي است که کارشناسان مي‌گويند ايران در اين حوزه خلاف روند امنيتي جاري در دنيا عمل مي‌کند. در ايران انحصار دولتي صورت گرفته و براساس ذهن تمرکزگرايي که مديران دارند، خلاف روندهاي مديريت امنيت در جهان عمل مي‌شود.
ترکيب وضعيت‌هاي ذکرشده به نابساماني امنيت داده در ايران منجر شده است. از يک طرف قانوني وجود ندارد که نقش‌ها و مسووليت‌ها روشن شوند، از طرف ديگر امنيت داده‌ها تامين نمي‌شود. الان در آمريکا و خيلي از کشورهاي توسعه‌يافته، اگر داده‌اي را که طبق قانون داده محرمانه تلقي شده است بخواهند از فرد اخذ کنند،‌ اول بايد از يک نهاد ناظر مجوز بگيرند و بعد اين کار را انجام دهند. يعني کسي نمي‌تواند خودش فرمي براي اخذ اطلاعات از افراد تهيه کند. اگر بخواهيد اين کار را انجام دهيد و بعضي از آن اطلاعات، داده‌هاي شخصي امنيتي تلقي شود اول بايد از نهاد ناظر مجوز گرفته شود و آنها متقاعد شوند که چرا اين ديتا ضروري است (که البته به‌ندرت هم قانع مي‌شوند). در ايران اصلاً چنين شرايطي نيست. اين حجم عظيم از کارت ملي افراد و اطلاعات هويتي که هر دستگاه دولتي و خصوصي در ايران مي‌گيرد در دنيا مرسوم نيست. الان کار به جايي رسيده است که خيلي از شرکت‌هاي خصوصي اطلاعاتي از کارمندانشان مي‌گيرند که محرمانه است. چرا کارمندان بايد بگويند نام پدرشان چيست، محل سکونت خانواده کجاست و…؟ فردا اگر کارمند از آن شرکت رفت، چه تضميني وجود دارد که آن اطلاعات منتشر نشود؟ چون اين نابساماني در ايران وجود دارد ديگر مردم هم در اين زمينه دغدغه‌اي ندارند. اگر کسي در فروشگاهي نخواهد فرم مربوط به اطلاعات تماس را پر کند بقيه به او مي‌خندند که چرا او چنين کرده است. يا در فروشگاه‌ها رمز کارت‌هاي بانکي را بلند بايد گفت. اين کار، در دنيا خيلي عجيب است. چرا چنين شده است؟ چون آنقدر از طرف نهادهاي مربوطه بي‌نظمي صورت گرفته است که مردم حساسيتشان را نسبت به اين موضوع از دست داده‌اند. اين موضوعات باعث شده است که حتي آموزش در اين زمينه هم طرفدار نداشته باشد. در برابر آموزش‌هاي امنيت داده‌ها مردم مي‌گويند حاکميت تمام اطلاعات ما را دارد. در اين راستا مي‌توان به درز اطلاعات کاربرهاي استارت‌آپ تپسي اشاره کرد. مشخصاً در اين نمونه هم از آنجا که قانون حدود مسووليت‌ها و وظايف پلت‌فرم‌ها را مشخص نکرده، صاحبان اين کسب‌وکارها نيز چندان برقراري امنيت را جدي نمي‌گيرند و حاضر به صرف هزينه کافي براي آن نيستند. يکي از موضوعاتي که برخي کارشناسان حقوقي در اين ميان مورد تاکيد قرار دادند، حمايت قانوني بسياري از کشورهاي خارجي از کاربراني بود که اطلاعات آنها نشت پيدا کرده است. اين درحالي است که با وجود آنکه به گواه آمارهاي بين‌المللي، کشور ما يکي از مهم‌ترين مقاصد حملات سايبري در جهان به حساب مي‌آيد، هنوز با خلأ قانوني درباره حمايت از داده‌هاي کاربران مواجه هستيم.