هک مجموعه اسنپفود چندمین هک بزرگی است که طی چند ماه اخیر رخ داده. پیشازاین تپسی، شرکتهای بیمهای، پمپبنزینها و چندین مجموعه دیگر مورد حمله هکرها قرار گرفتند و بهنظر میرسد که امنیت در بین شرکتهای فعال در کشور اهمیت چندانی ندارد. کارشناسان این حوزه معتقدند که نبود قوانین و عدم جرمانگاری برای شرکتها باعث شده است که این مجموعهها به موضوع امنیت اهمیت ندهند.
«نبود قانون حفاظت از دادههای کاربر در ایران دلیل اصلی بیاهمیتی به امنیت است»
«میلاد نوری»، برنامهنویس و مدیرعامل توکان، در گفتوگو با دیجیاتو در پاسخ به این پرسش که موضوع امنیت چقدر در شرکتهای ایرانی جدی گرفته میشود؟ گفت: «مهمترین دلیل عدم اهمیت به این موضوع، نبود قانون حفاظت از دادههای کاربر در ایران است. بهدلیل عدم وجود قانون و بررسی موارد گذشته، میبینیم که گستردهترین هکها و نشت اطلاعات هیچ تبعات قانونی و مالی برای سازمانها و شرکتها ندارد. تا جایی که در برخی موارد، حتی موضوع از اساس تکذیب شده است. در مورد تپسی، چند سال پیش هک با ابعاد کوچکتر اتفاق افتاده بود و امسال در ابعاد بزرگتری اتفاق افتاد. در موضوع تپسی، آیدی دستگاههای اندرویدی (Android ID) بدون هیچ رمزنگاری، ذخیره شد که همین مورد پس از ماهها، حالا در اسنپفود هم وجود دارد. شاید اگر ترس از تبعات قانونی، جریمه مالی، حمایت از حقوق کاربر و… وجود داشت، شرکتها برخی موارد ساده مثل عدم ذخیره دیتای اضافه، رمزنگاری دیتای حساستر و… را رعایت میکردند.»
نوری باور دارد در هکهای متعددی که رخ داده است، با کنارهم قراردادن اطلاعات دیتابیسهای مختلف و تطابق دادهها، اطلاعات کامل شخصی، هویتی، مالی و سایر فعالیتهای کاربر در اختیار افراد غیر قرار میگیرد: «حال آنکه هر فرد با دسترسی به این اطلاعات میتواند سوءاستفادههای مختلفی نظیر کلاهبرداری، هک اجتماعی، جعل هویت و مواردی که به ذهن ما نمیرسد، انجام دهد. به عنوان یک مثال ساده، در نمونه اخیر، شما با تحلیل اطلاعات سفارش غذای اعضای یک خانواده میتوانید ساعت حضور آنها در محل کار و منزل را پیشبینی کنید. اطلاعات مربوط به اینکه چه افرادی اعضای یک خانواده هستند هم از طریق نشتهای قبلی در دسترس است. در مثالی ملموستر، اگر شما در تلگرام به فردی یک پیام ارسال کنید، آن فرد از شناسه عددی شما در تلگرام و تطابق با دیتابیس لورفته تلگرامهای غیررسمی به شماره موبایل شما دسترسی پیدا میکند و از روی شماره موبایل شما، لیست سفرهایتان از تپسی و علیبابا و… را که قبلاً نشت کرده بود، پرینت کرده و به آدرس شما ارسال کند. آدرس و اطلاعات پستی هم در دیتابیسهای لورفته دیگر در دسترس است!»
نوری در پاسخ به این پرسش که آیا مهاجرت متخصصین این حوزه درخصوص امنیت شرکتها تأثیرگذار بوده یا خیر؟ گفت: «وضعیت اقتصادی و مهاجرت نیروی متخصص و باتجربه هم یکی از دلایل بسیار مهم کاهش سطح امنیت سرویسهای آنلاین و افزایش هکها و به تبع آن نشت اطلاعات در این سالها بوده است. اغلب نیروهای متخصص و باتجربه در حوزههای برنامهنویسی، زیرساخت، امنیت و… در این سالها مهاجرت کردهاند و جای آنها را نیروهای با تجربه کمتر که آنها هم در مسیر مهاجرت هستند، گرفتهاند. بهدلیل وضعیت اقتصادی، حتی خیلی از متخصصانی که مهاجرت نکردهاند هم با شرکتهای ایرانی همکاری نمیکنند و از طریق پلتفرمهای باگ بانتی خارجی، بررسی سرویسهای خارجی و درآمد دلاری را ترجیح میدهند.»
نوری همچنین در پاسخ به این پرسش که عدم دسترسی به سرویسهای کلاد معتبر جهانی چقدر در بحث امنیت نقش دارد؟ گفت: «در هکهای مختلف، سرویسها از نقاط مختلف زیرساختی یا نرمافزاری و… مورد حمله قرار میگیرند. بسته به نقطهای که یک سرویس از آن مورد حمله قرار میگیرد، اگر ضعف در زیرساخت و موارد مرتبط با آن در این مورد دخیل بوده، دسترسی به سرویسهای مختلف جهانی و ایجاد رقابت شاید میتوانست به کاهش این اتفاق کمک کند؛ اما بهدلیل تحریم و اختلالهای داخلی، کسبوکارها مجبور به استفاده از گزینههای محدود داخلی هستند.»
حوزه امنیت در کشور ما متولی دقیقی ندارد
«علی کیائیفر»، کارشناس امنیت سایبری، در گفتوگو با دیجیاتو باور دارد که شرکتهای ایرانی بهراحتی هک میشوند، چرا که توجهی به امنیت در لایههای مختلف ندارند: «براساس گزارش «گارتنر»، هفتاد درصد آسیبپذیریها نه در لایه شبکه، بلکه در لایه اپلیکیشن است.» کیائیفر درباره سطح امنیت درباره دیدگاه سازمانها در امنسازی لایههای مختلف گفت: «وقتی با بسیاری از سازمانها در حوزه امنسازی صحبت میکنیم، بحث امنیت در لایه زیرساخت را مطرح میکنند و از لایه اپلیکیشنها غافل هستند. شما اگر امنترین زیرساخت را فراهم کنید اما در لایه اپلیکیشن آسیبپذیر باشید، بهراحتی هک میشوید. ما شاهد هکهای بسیاری هستیم که زیرساخت امن دارند اما در لایه اپلیکیشن بحثهای امنیتی را درنظر نگرفتهاند و استانداردهای لازم را رعایت نکردهاند.»
او درباره نهاد متولی حوزه امنیت در بین شرکتهای ایرانی گفت: «متأسفانه حوزه امنیت در کشور ما چندین متولی دارد و درنهایت هیچکس متولی نیست؛ یعنی وقتی صحبت از تقسیم مسئولیتها و اعمال نفوذها و بخشنامهها میشود، میبینیم که سازمان های موازی متعددی هستند که به این حوزه نفوذ میکنند، اما هنگامی سازمانی هک میشود و مشکلی مثل اسنپ پیش میآید، هیچکس پاسخگو نیست. در حوزه قوانین هم وضع به همین منوال است و متأسفانه کسی متولی قانونگذاری در این حوزه نیست که از حقوق شهروندان دفاع کند.»
باید مراقب فیشینگ باشیم
«جواد دادگر»، کارشناس امنیت سایبری، باور دارد که ارتباط با هکرها در دنیای سبب میشود ارتباط دوسویهای بین شرکتها و این افراد شکل بگیرد: «روند کلی به این صورت است که هکر یا هر شخص دیگری، متوجه و یابنده یکسری ایرادها و مشکلاتی میشود و در وهله اول، به شرکت موردنظر اعلام میکند و در راستای آن، جایزه و مبلغی را دریافت میکند، اما در ایران برای بحرانیترین آسیبپذیریهای خود نیز حاضر نیستند حقوق یک ماه از نیروهای امنیتی سازمان خود را بدهند. بسیاری هم فکر میکنند که اگر این کار را بکنند، توجه هکرها را به خود جلب میکنند.»
دادگر معتقد است که امنیت فرایند مشخصی برای کسبوکارها دارد و رویکردهای مختلفی برای آن اتخاذ میشود: «شرکتهای غیردولتی که جزو شرکتهای بزرگ کشور شناخته میشوند، دارای MONITORING, LONGMANAGEMANT هستند که کارایی لازم را ندارد و ناکارآمدی آن میتواند بهدلیل مدلی که درحال فعالیت بر آن هستند و عدم ارزشمندی بودجه و اهمیتی که به تیم امنیت اختصاص میدهند، باشد و باعث میشود که افراد فعال در این حوزه در سازمانها به جستجوهای مهم و بهبود زیرساختهای لازم نپردازد.»
دادگر در پاسخ به این پرسش که بعد از این نشتهای اطلاعاتی، کاربران باید چهکار کنند؟ گفت: «معمولاً سودجویان و کسانی که درزمینه فیشینگ فعالیت دارند، بعد از افشای این اطلاعات فوری اقدام به تماس و فرستادن پیام به کاربران میکنند تا از آنها سودجویی کنند. همه کاربران باید پس از اینکه این هکها اعلام عمومی شد، بهصورت مضاعف احتیاط کنند و هیچ تماس، ایمیل و پیامک مشکوکی را باز نکنند.»
زمانی که قانون وجود ندارد، هیچکس فکر نمیکند که باید برای امنیت هزینه کند
«وحید فرید»، فعال فضای مجازی نیز در گفتوگو با دیجیاتو در پاسخ به این پرسش که آیا شرکتها در حوزه امنیت ضعیف عمل میکنند یا خیر؟ گفت: «در حوزه امنیت موارد زیادی وجود دارد که نیاز است روی آنها کار شود؛ مثل فرایند تستهای نرمال امنیتی که به حالت روتین هم باید انجام شود، مثل پنتستها (تست نفوذی) و بحث جاریکردن رویههای امنیتی در پروسه تولید نرمافزار؛ یعنی نرمافزار از ابتدا باید امن نوشته شود و کسی که نرمافزار را مینویسد باید با مفاهیم امنیتی آشنا باشد.»
فرید تأکید کرد که نرمافزارها باید از نگاه فرد نفوذی تست شده و آسیبهای شناختهشده در کل فرایند شناسایی شوند و برای آنها راهحل پیدا شود: «بعد از این به مفهوم باگ بانتی میرسیم که در ایران آنچنان به آن توجهی نمیشود.»
فرید باور دارد که بهعلت نبود قانون و عدم جریمه شرکتها، موضوع امنیت توسط آنها جدی گرفته نمیشود. او با اشاره به هک تپسی گفت: «وقتی تپسی هک شد، سهامش یک ریال هم افت نداشت و درنهایت یک عذرخواهی ساده رخ داد، به این علت که از سمت کسی الزامی وجود نداشت. اصلاً بهجز الزام اخلاقی، دلیل دیگری ندارد که از داده کاربر محافظت کند و وقتی بحث پول به میان میآید، این الزام هم به کنار میرود. وقتی پلتفرم برای هکشدن هزینهای متحمل نمیشود، دلیلی نمیبیند که در بحث امنیت هزینه کند. در دنیا میبینیم وقتی پلتفرمی هک میشود بهصورت کلی بیزینس خود را از دست میدهد، اما در ایران هیچ اتفاقی نمیافتد.»
این کارشناس امنیت باور دارد زمانی که قانون وجود ندارد، هیچکس مایل نیست که برای امنیت هزینه کند. او در پاسخ به این پرسش که چرا هیچکس در مورد این هکها واکنشی نشان نمیدهد؟ گفت «در وهله اول چون اصلاً این حوزه دغدغه مسئولان نیست و اصلاً تخصصی در این زمینه ندارند. برخی خوشحال میشوند که به این بهانه، تعطیلی پلتفرمهای داخلی مثل اسنپ، تپسی و دیجیکالا رخ دهد تا یک نمونه داخلی آن را تأسیس کنند و با ایران اکسس بودن هم فکر میکنند که دیگر امکان هکشدن وجود ندارد.»
جامعه IT در دولت و مجلس نماینده ندارد
فرید تأکید دارد که تمام تمرکز سازمانهای داخلی ما درحالحاضر روی ایران اکسس شدن است و این توهم پیش آمده که اگر پلتفرم خود را ایران اکسس کنند، امنیت آنها تضمین میشود: «این اتفاق تأثیر بسیار کمی درزمینه ارتقای امنیت دارد؛ اما بیشتر تأثیر توهمی دارد، به همین دلیل هم بعد از ایران اکسس شدن دیگر روی امنیت کار نمیکنند و هیچ فایدهای جز محدودکردن کاربر ندارد. ممکن است در ابتدا جلوی حملات کوچک مثل دیداس را بگیرد اما در بلندمدت تأثیری ندارد. به عبارت دیگر، القای این موضوع که ایران اکسس شدیم پس امنیت داریم، یکی از دلایل هکشدن است؛ در مورد موضوع اخیر، یعنی اسنپفود هم ایران اکسس رعایت شده بود. همین الان شما از فاوا بپرسید چطور مجموعه خود را امن کنیم؟ میگوید ایران اکسس کردن بهترین راه است. ما واقعاً در مفاهیم پایه مشکل داریم.»
فرید معتقد است که جامعه IT اصلاً نماینده ندارد: «وضعیت نظام صنفی نصر را ببینید؛ اصلاً بخش امنیت آن چه کار میکند؟ وقتی صحبت از امنیت میشود، در کشور ما باید محتاط بود، زیرا ما مجمعی نداریم که هکرها کنارهم بنشینند و همفکری کنند. سالهای قبل داشتیم اما همه متواری یا گوشهگیر شدهاند.»
لوایح درباره حفاظت از دادهها خاک میخورد
«پارسا رحمانی»، کارشناس حوزه امنیت نیز در گفتوگو با دیجیاتو به نبود قانون در این زمینه تأکید کرد: «شرکتها هنوز بهطور کامل از اهمیت سایبری آگاه نیستند و اقدامات لازم برای محافظت از دادهها و سیستمهای خود را انجام نمیدهند.»
به اعتقاد وی، برای بهبود زیرساخت امنیت در شرکتهای بزرگ داخل ایران، نیاز به همکاری همهجانبه بین شرکتها، دولت و جامعه مدنی است. رحمانی به لزوم تدوین قوانین توسط دولت اشاره کرد: «زمانی که بحث طرح صیانت مطرح شد، در ماده ۳۴ پیشنویس اولیه آن درباره حفاظت از دادهها صحبت شده بود و نمایندگان ادعا داشتند که نگران امنیت کاربران هستند. حال که این طرح کنار گذاشته شده است، دیگر هیچکس نگران این موضوع نیست. چرا این اتفاق افتاد؟ چون اینستاگرام فیلتر شد و دیگر دغدغهای برای پیشروی طرح صیانت وجود ندارد.»
او به خاکخوردن یکسری لوایح درباره اهمیت حفاظت از داده کاربران اشاره کرد و گفت هیچوقت هیچ عزم جدی برای این موضوع در دولت صورت نگرفته است: «هر بار هنگام افشای اطلاعات، صحبتهای زیادی در این مورد میشود، اما سپس دوباره همگی همهچیز را فراموش میکنند.»
رحمانی باور دارد که افشای اطلاعات مختلف در شرکتهای گوناگون باعث میشود که با ادغام این اطلاعات با یکدیگر، ریزترین جزئیات زندگی مردم توسط هکرها آرشیو شود. رحمانی تأکید کرد: «عدم دسترسی به سرویسهای کلاد معتبر جهانی تأثیرات منفی زیادی در امنیت سایبری ایران دارد. درحالحاضر دولت ایران درحال توسعه سرویسهای ابری بومی است، اما این موارد فقط تا حدی میتوانند جایگزین سرویسهای ابری خارجی معتبر جهانی شوند.»
منبع : منبع
17th November 24