کارشناسان حوزه امنیت سایبری پاسخ میدهند
چرا سازمان ها پاسخگوی افشای اطلاعات کاربران خود نیستند؟
سوسن صادقی
خبرنگار
«در پی افشای اطلاعات کاربران برخی سازمانها و شرکتها در چندوقت اخیر، بهتازگی مرکز ماهر(مرکز مدیریت امداد و هماهنگی رخدادهای رایانهای) در اطلاعیهای اعلام کرد که در مقابله با آن دسته از حوادث فضای مجازی کشور که منجر به افشای دادههای شهروندان میشود، مسئولیت پیشگیری برعهده بالاترین مقام آن دستگاه است. در بخشهایی از این اطلاعیه آمده است که باید مقابله با حوادث فضای مجازی هر دستگاه نیز بهصورت متمرکز و کاملاً تخصصی، به یک مرکز مستقل دولتی واگذار شود. اما در پی انتشار این اطلاعیه این سؤالات پیش میآید که چرا تاکنون مسئولان سازمانها در برابر افشای اطلاعات پاسخگو نبودهاند؟ برای مسئولیت پذیر بودن آنها چه باید کرد؟ چرا متخصصان امنیت سایبری در اعلام آسیبهای سازمانها با نهادهای متولی همکاری نمیکنند و آیا وجود یک متولی دولتی میتواند، راهگشا باشد؟ به این سؤالات دو تن از کارشناسان امنیت سایبری پاسخ میدهند.
نیاز جدی به یک ناظر قدرتمند
«از آنجایی که ناظر قدرتمند و قانونی در حوزه حریم خصوصی شهروندان وجود ندارد، مسئولان به نوعی مسئولیت افشای اطلاعات را برعهده نگرفته و به آن اهمیتی نمیدهند.»
کاظم فلاحی کارشناس امنیت سایبری با بیان مطلب فوق به «ایران» گفت: وقتی اطلاعات 50 درصد از جمعیت کشور در یک سازمان و شرکتی باشد، آن سازمان و شرکت ملی محسوب میشود و وقتی یک مسئول بلندپایه سازمان و شرکتی پاسخگو خواهد بود که سازمانی نظارتی با بازویی قدرتمند وجود داشته باشد و از او با اتکای به قوانین محکم بخواهد پاسخگو باشد و بگوید چرا اطلاعات شهروندان را جمعآوری کرده و نتوانسته از آنها نگهداری کند. وی با بیان اینکه نبود نهاد قدرتمند و انحصاری بودن سازمانها باعث میشود براحتی اطلاعات شهروندان لو رود، افزود: با اینکه در قوانین سازمانها و شرکتها آمده است که نباید اجازه دهند اطلاعات کاربران نشر پیدا کند ولی بهتازگی اطلاعات یک شرکت هواپیمایی لو رفت و شکایت چند متخصص امنیت سایبری هم راه بهجایی نبرده است؛ بنابراین با متکی به قانون قوی باید مدعی العموم ورود کند.
فلاحی در پاسخ به این سؤال که آیا مقابله با نشر اطلاعات شهروندان باید یک متولی دولتی داشته باشد، گفت: این بخش بهتر است تنها ناظری قدرتمند و قوی داشته باشد و مهم نیست که این ناظر دولتی، غیردولتی یا نهاد حاکمیتی باشد. چون نهادهایی که برای این امر در کشور وجود دارند قدرتی برای اعمال قانون ندارند و سازمان خاطی توجهی به آن نمیکند.
این کارشناس امنیت سایبری با بیان اینکه اکثر کشورها بخصوص اتحادیه اروپا از قدرت بالایی برخوردار است، افزود: اتحادیه اروپا روی حریم خصوصی شهروندان نظارت دقیقی دارد و مقامهای قضایی آنجا به محض اینکه اطلاعات کاربران لو میرود، ورود میکنند اما در کشور ما اطلاعات 80 میلیون شهروند در ثبت احوال، 40 میلیون کاربر در پوستههای تلگرام و 40 میلیون اطلاعات کاربران تلفن همراه یک اپراتور و اخیراً هم اطلاعات کاربران یک شرکت هواپیمایی افشا میشود، گویی هیچ اتفاقی نیفتاده است. این در حالی است اتحادیه اروپا با اینکه فیسبوک یک شرکت امریکایی است مؤسس آن را به دادگاه کشاند، چرا که بخشی از میلیاردها اطلاعات لو رفته کاربران مربوط به اروپا بود.
کاظمی درباره اینکه گفته شده «اگر آسیبپذیری تا 48 ساعت رفع نشود، مسئول مربوطه را به مقام قضایی معرفی میکند» گفت: وقتی اپراتوری به قانون توجهی ندارد و ناظر قدرتمندی نیز وجود ندارد، کاری از پیش نمیرود بنابراین به چارچوبهای قوی نیاز است که سازمانها به بخش امنیت سایبری خود توجه کند. وی با بیان اینکه متولیان امنیت (مرکز ماهر، پلیس فتا و مرکز افتای ریاست جمهوری) طبق تقسیم وظایفی که دارند آسیب پذیریها را به شرکتها و سازمانها اعلام میکنند، افزود: اما سازمانها و شرکتها به حفاظت از اطلاعات کاربران اهمیت جدی نمیدهند بهطوری که تجربه شخصیام ثابت کرده که آسیب پذیریهای کشف شده همینطور دست نخورده باقی میمانند و هیچ مسئولی نسبت به رفع آن حساسیتی نشان نمیدهد.
فلاحی با اشاره به اینکه از سال 2010 کشف و اعلام آسیب پذیریها از سوی شرکتها و سازمانها در دنیا باب شده است، گفت: متخصصان امنیت سایبری موسوم به هکرهای کلاه سفید وارد پلتفرم «باگ بانتی» میشوند. آنها آسیبها را شناسایی و به شرکتها و سازمانها اعلام کرده و در برابر آن پاداش دریافت میکنند. این روند در کشور ما نیز دو سالی است تقریباً انجام میشود ولی متأسفانه با هکرهای کلاه سفید برخورد خوبی نمیشود. سازمانها و نهادها نه تنها علاقهمند نیستند قبل از اینکه اطلاعات کاربران سازمانشان لو رود از این فرآیند برای شناسایی آسیب پذیریهای خود استفاده کنند، حتی اگر از آنها کمک بگیرند زیر توافق خود میزنند پاداش متخصص امنیت سایبری را نمیپردازند بنابراین متخصص امنیت نیازی نمیبیند که بهدنبال اعلام آسیبها به سازمانها و متولیان امر باشد.
این کارشناس امنیت اعتقاد دارد سازمانها برای جلوگیری از نشر اطلاعات باید درک درستی از امنیت داشته باشند این در حالی است آنها امنیت را درک نمیکنند.
نبود مجازات و عدم ورود مدعی العموم
پارسا یوسفی دیگر کارشناس امنیت سایبری نیز معتقد است که در تمام دنیا مسئول نشر اطلاعات، سازمان و شرکتها بالاترین مقام آن است ولی در کشور ما نهاد نظارتی که در زمینه نشر اطلاعات ورود کند، جدیت به خرج نمیدهد و باید مدعیالعموم ورود کند و قوه قضائیه نیز مجازاتی برای آن تعیین کند.
یوسفی به «ایران» گفت: نهادهای متولی که در این زمینه در کشور نیز وجود دارند، کار خود را بدرستی انجام نمیدهد. البته در این میان خلأ قانونی نداریم و اگر اطلاعات شهروندان منتشر شود و به فروش برسد میتوانند طبق قانونهای موجود مجازات شوند ولی این قانون برای نهادهای دولتی مانند وزارت بهداشت، ثبت احوال و... که اطلاعات کاربران آنها هک و افشا میشود، مجازاتی تعیین نمیکند گویی نشر اطلاعات اهمیتی ندارد که حال بخواهند خاطی را به دادگاه کشانده و جریمه کنند بنابراین مسئول هم پاسخگو نیست. این کارشناس امنیت سایبری اعتقاد دارد از آنجایی که قانون بهدنبال خاطیان نشر اطلاعات کاربران نیست بنابراین مسئولان مربوطه نیز بهدنبال حفاظت از اطلاعات و رفع آسیبهای موجود در سازمان خود نیستند.
وی گفت: سازمانها و نهادها حتی برای رفع آسیبها اعتقادی به جذب متخصص امنیت سایبری نیز ندارند و مهمتر اینکه معتقدند چون سازمان دارای اطلاعات محرمانهای است و کارشناس امنیت به آن اطلاعات دست مییابد غافل از اینکه همان اطلاعات محرمانه با وجود آسیبها و باگهایی که در سیستم آنها وجود دارد در معرض افشا شدن است. حال کدام مورد بهتر است افشای اطلاعات محرمانه در سطح وسیع یا جذب یک متخصص امنیت سایبری. این کارشناس امنیت سایبری نیز اعتقاد دارد سازمانها و شرکتها قبل از اینکه اطلاعاتشان از سوی هکرهای کلاه سیاه لو رود بهتر است با هکرهای کلاه سفید همکاری کنند و با این قشر برای کشف آسیبهای خود رفتار بهتری داشته باشند.
یوسفی گفت: سازمانها و نهادها با افراد متخصص کشف آسیبها و باگها رفتار خوبی ندارند و وقتی آنها هم مشکلی را کشف و اعلام میکنند بهجای دادن پاداش آنها را زیر ذره بین میبرند و متهم میکنند که چرا اصلاً سیستم آنها را اسکن کردهاند حال این سؤال پیش میآید که اسکن سیستم سازمان از سوی یک متخصص امنیت و اعلام آن به سازمان مربوطه برای رفعش خوب است یا اینکه از سوی هکرهای کلاه سیاه لو رود؟
وی افزود: هکرها خیلی از آسیبها را کشف کرده و نزد خود نگه میدارند و برخی هم اطلاعات را میفروشند یا اینکه برخی هم برای شهرت آن را رسانهای میکنند. از اینرو حال که این مرکز بهدنبال این است که متخصصان امنیت آسیبها را اعلام کنند باید پاداش تعیین کند و متخصصان را تشویق کرده و زیر سؤال نبرند. این کارشناس معتقد است که سازمانها بهدلیل نداشتن سواد کافی در حوزه امنیت هنوز همان راه حلهای 10 سال پیش مانند ارائه فایروال را اجرا میکنند و از اینرو اطلاعات آنها نشت میکند در حالی که امروزه این روشها پیش پاافتاده است و جوابگوی دفع حملات سال 2020 نیست. وی گفت: اکنون حملات به لایههای نرم افزاری و سیستم عامل نفوذ کرده و روشهای پیشین جوابگو نیست بنابراین باید یا به فکر گرفتن مشاوره از متخصصان امنیت باشند یا اینکه سواد امنیت خود و نیروهای خود را بالا ببرند.
30 هزار حمله اینترنتی به سازمان امور دانشجویان دفع شد
مدیرکل دفتر فناوری اطلاعات و ارتباطات سازمان امور دانشجویان از شناسایی و دفع بیش از۳۰ هزار حمله اینترنتی به این سازمان در سال گذشته خبر داد. به گزارش «ایران»، بهزاد رستهمن مطلق ضمن بیان این مطلب گزارشی از عملکرد دفتر فناوری اطلاعات و ارتباطات در سال ۹۸ ارائه داد و گفت: تکمیل سامانه سجاد بهعنوان یک سامانه جامع برای ارائه کلیه خدمات سازمان امور دانشجویان بهصورت غیرحضوری از مهمترین اقدامات این دفتر در سال گذشته بود.
وی افزود: در راستای تحقق دولت الکترونیک، کاهش هزینهها و صرفهجویی در زمان، در سال ۹۸ سامانه ویدئوکنفرانس برای ادارات تربیت بدنی، بورس و دفتر مشاوره، معاونت دانشجویان داخل بهکار گرفته شد و درخواست کالا از انبار نیز بهصورت الکترونیکی تعریف و کاغذ از این فرآیند حذف شد. مطلق تصریح کرد: ارتقای سختافزاری سرورها، ایجاد ارتباط مستقیم مکاتباتی با بیش از ۵۰ دانشگاه کشور از طریق پروتکل ECE از جمله دیگر اقدامات دفتر فناوری اطلاعات و ارتباطات سازمان امور دانشجویان وزارت علوم در سال گذشته است، ضمن اینکه با حملات سایبری به سرورها و زیرساخت سازمان مقابله مؤثری صورت گرفت، بهطوری که در سال گذشته بیش از ۳۰ هزار حمله اینترنتی شناسایی و دفع شد. وی راهاندازی domain داخلی جدید بهمنظور افزایش بهرهوری شبکه و تعویض سوئیچهای اصلی شبکه اینترنت سازمان با سوئیچهای پیشرفتهتر و بهبود کارایی شبکه داخلی را از دیگر اقدامات این دفتر در سال ۹۸ برشمرد.
رومینگ ملی بین اپراتورهای تلفن همراه کاهش یافت
اجرای رومینگ ملی یعنی درصورت نبود آنتن یک اپراتور در منطقهای، بتوان از آنتن اپراتور دیگر استفاده کرد؛ در سه ماهه چهارم سال ۱۳۹۸، بیش از ۱۳ میلیون مکالمه از طریق رومینگ ملی صورت گرفته که در مقایسه با سه ماهه سوم، با ۶۱۳ هزار کاهش روبهرو بوده است. بهگزاش ایسنا، آخرین آمار منتشرشده توسط سازمان تنظیم مقررات و ارتباطات رادیویی(رگولاتوری) درباره مکالمه از طریق رومینگ ملی، حاکی از آن است که در مجموع ۱۳ میلیون و ۱۶۹ هزار و ۹۵ مکالمه از طریق رومینگ ملی بین اپراتورهای مختلف تلفن همراه صورت گرفته است. از این میان، همراه اول میزبان ۱۱ میلیون و ۲۶۱ هزار و ۸۳۸ مکالمه و ایرانسل میزبان یک میلیون و ۹۰۷ هزار و ۲۵۷ مکالمه بوده است. مقایسه این آمار با آمار سه ماهه سوم سال ۱۳۹۸ حاکی از کاهش ۶۱۳ هزار و ۹۳۴ عددی در مکالمات رومینگ بین اپراتورهاست. گفتنی است رومینگ ملی نخستین بار در خردادماه ۱۳۹۳ بین اپراتور رایتل، همراه اول و ایرانسل برقرار شد. اجرای طرح رومینگ ملی با این هدف انجام شد که چنانچه در منطقهای، سیمکارت مشترکان آنتن نداشت، آنها بتوانند از آنتن اپراتورهای دیگر که در آن منطقه پوشش دارند، استفاده کنند. این طرح از سال ۱۳۹۷، بین هر سه اپراتور تلفن همراه و دو اپراتور روستایی بهصورت فراگیر به اجرا درآمد.