فرصت‌های تجاری باارزش در عصر داده‌ها

با این اوصاف حفظ داده در سامانه‌های دولتی، پلتفرم‌ها و هر جایی که داده در آن ذخیره می‌شود، اهمیت زیادی دارد. در موضوع حفظ داده مباحث تکنیکال و قانونی مطرح هستند. بحث تکنیکال از لایه سخت‌افزار شروع می‌شود که زیرساختی است و به استفاده از فایروال‌های مناسب، بک‌آپ‌های منظم و لایه‌های امنیتی مختلف ارتباط دارد. لایه نرم‌افزار شامل موارد مختلفی می‌شود، از آنتی ویروس گرفته تا به‌روز نگه داشتن سیستم عامل و وصله‌های امنیتی که ارائه می‌شوند، باید مورد توجه قرار بگیرند؛ چون در غیر این‌صورت احتمال آسیب‌‌پذیری بالا می‌رود. در بحث تکنیکال -چه در معماری سخت‌افزار، چه نرم‌افزار- استفاده از روش‌هایی مانند رمزنگاری داده‌ها، پسوردهای چند عاملی و تعریف دسترسی‌های مختلف برای نرم‌افزارها کمک می‌کنند تا نفوذ به سیستم‌ها کمتر شود. درباره بحث دسترسی اپلیکیشن‌ها و پلتفرم‌ها به داده‌های کاربران، تعاریف مختلفی وجود دارند. اما واقعیت آن است که عمر سیستم عامل‌های موبایل حدود پانزده سال است و این سیستم عامل‌ها زمانی شکل گرفتند که این دسترسی‌ها چندان مهم نبودند یا دست‌کم هنوز پیاده‌سازی نشده بودند. به این ترتیب در آن زمان گرفتن اجازه دسترسی به اطلاعات کاربر ساده‌تر بود، اما در چند سال اخیر این موضوع اهمیت بیشتری پیدا کرده است. سیستم‌ عامل‌های پرطرفدار بازار، یعنی اندروید و آی‌اواس، پایش‌های جدی‌تری روی دسترسی اپلیکیشن‌ها انجام می‌دهند. با این حال مسوولیت خود کاربر هم بخش مهمی از فرآیند حفاظت از داده است. کاربر باید بداند که مجوز چه دسترسی‌هایی را می‌دهد. تایید مجوز بعضی دسترسی‌ها ناگزیر است، اما اینکه اپلیکیشنی از آن استفاده ناصوابی بکند، دغدغه‌ای است که همیشه وجود داشته است.

از منظر کسب‌وکارها اما استفاده از استانداردها و تعامل با قانون‌گذار اهمیت دارد. در کشوری که مقررات و استانداردی برای حفظ امنیت داده وجود ندارد، تکلیف کسب‌وکارها چیست؟ سرعت رشد تکنولوژی از سرعت قانون‌گذاری بیشتر است و بیشتر هم خواهد شد. باید شرکت‌های پیشرو پیش‌قدم شوند و کمک کنند تا این موضوع در ذهن قانون‌گذار پررنگ شود که حفظ داده‌ها، صرفا یک پدیده امنیتی نیست. کاربرد تجاری داده‌ها بسیار متنوع و گسترده‌تر است. در این زمینه می‌توان شاخص‌ها و معیارهای بین‌المللی را مورد مطالعه قرار داد. شرکت‌هایی که در زمینه حفظ داده کار می‌کنند یا به واسطه نوع فعالیتشان داده‌های بزرگی نزد آنهاست، باید پیش‌قدم شوند و این بذر را در ذهن نهاد قانون‌گذار بکارند تا به تدریج تبدیل به لایحه و قانون شود که بر اساس آن مصوبه‌هایی به تصویب برسند که کاربردهای مختلف داده را پوشش دهند. در واقع این فرآیند باید به شکلی انجام شود که ضمن استفاده تجاری از داده، امنیتش هم حفظ شود. داده ذی‌نفع‌های مختلفی دارد و باید مشخص شود که مالک داده کیست؟ کاربر یا کسب‌وکار؟ هنوز جواب دقیقی برای این سوال وجود ندارد؛ اما واضح است که مالک داده نسبت به بهره‌برداری از آن اختیار دارد. آیا این اختیار به رسمیت شناخته شده است؟ با قاطعیت می‌گویم که در پلتفرم‌های ایرانی این مالکیت و اختیار به رسمیت شناخته نمی‌شود؛ چنان‌که تقریبا امکان ندارد حساب کاربری خود در یکی از پلتفرم‌های ایرانی را پاک کنید، درحالی‌که در قانون GDPR اتحادیه اروپا چنین حقی به وضوح تعریف شده است. برای تمام این موارد می‌شود قانون گذاشت و سپس مراحل فنی پیاده‌سازی شود.

در ایران متولی این کار می‌تواند نهاد قانون‌گذار و به‌طور مشخص قوه مقننه باشد و قوانین را در تعامل با بخش خصوصی به‌عنوان نماینده کسب‌وکار و نمایندگانی تدوین کند که همان‌طور که از جنس مردم هستند، در حوزه داده هم متخصص باشند تا به حفظ حقوق مردم در این زمینه کمک کنند. کلید این موضوع شفافیت است؛ به این معنا که همه بدانند مالک داده کیست، چه کسی داده را پردازش می‌کند، چه کسی از داده درآمدزایی می‌کند و چه کسی حق نظارت بر این فرآیند را دارد. اگر این موارد مشخص باشند، هرچند سخت، اما می‌شود اعتماد را ساخت.

در ایران الگوی متداول ذخیره داده به شکلی است که داده‌ها کاملا در دسترس هستند؛ یعنی می‌توان رفتار یک کاربر را شناسایی و آن را به یک کاربر حقیقی نسبت داد. خطر از همین جا نشأت می‌گیرد. برای جلوگیری از این خطر و جدا کردن چنین مواردی باید سرمایه‌گذاری انجام شود. اتفاقی که در کشور ما می‌افتد -مثل بسیاری از بخش‌های دیگر- این است که می‌خواهیم با سرمایه‌گذاری کم، نتیجه سریع بگیریم. با این اوصاف است که یک تیم همیشه تحت فشار یک معماری دم‌دستی را انجام می‌دهد برای اینکه به یک نتیجه خاص برسد. باید کسب‌وکارها به‌صورت مستقل در این زمینه سرمایه‌گذاری کنند. اما بخشی از سرمایه‌گذاری زمان و نیروی انسانی متخصص و باانگیزه است و بخشی از آن هزینه. اگر سرمایه‌گذاری بزرگ‌تری در کسب‌وکارها انجام شود و فرصت کافی داشته باشند، منابع بیشتری در اختیار دارند و توان توسعه بیشتری هم خواهند داشت. اینها باعث می‌شود که کسب‌وکار به سراغ راهکارهای پرهزینه‌تر اما امن‌تر برود. اما در حال حاضر کسب‌وکارهای ما امنیت خودشان را فدا می‌کنند تا عملکرد افت نکند و سرویس یا محصول نهایی ارائه شود و سپس به سراغ موضوع امنیت بروند. اما آن زمان هرگز نمی‌رسد و این همان جایی است که کسب‌وکارها ضربه می‌خورند. هیچ‌وقت به اندازه کافی در صنعت داده‌ها سرمایه‌گذاری نمی‌کنیم، چه از نظر سخت‌افزار مناسب (به فرض اینکه تحریم نیستیم) و چه از نظر معماری نرم‌افزار. معماری نرم‌افزار در یک اتاق بسته به دست نمی‌آید، بلکه انتخاب‌های ماست که بعضا هزینه‌های زیاد دارد و در مقابل سطح بالایی از امنیت به دست می‌آید. در این صورت در حالت نشت یا نفوذ داده، این اتفاق به صورت کنترل‌شده می‌افتد.

در کسب‌وکارهای ما به سادگی کل داده‌ها به بیرون درز می‌کند و آن کسب‌وکار بابت این اتفاق اصلا بازخواست نمی‌شود و پاسخ‌گو نیست. بخشی از آن مربوط به خلأ قانونی است؛ چون در اتفاقات مشابهی که در کشورهای دیگر می‌افتد، شرکت‌ها در جلسات دادگاهی محکوم و جریمه می‌شوند. این روند با ایجاد شفاف‌سازی، باعث یادگیری و بروز تغییراتی در سازمان‌ها می‌شود یا به شکل‌گیری قانون جدیدی منجر می‌شود. در واقع نتیجه این کار باید آن باشد که آیا در شرایط مشابه، این اتفاق تکرار می‌شود یا خیر؟ به نظر من معمولا تکرار می‌شود؛ چون اتفاق بزرگ یعنی دربرداشتن هزینه که می‌تواند از جنس تغییرات مدیریتی، افت ارزش سهام در بورس، جریمه و درس گرفتن از جریان از بین رفتن داده به‌عنوان یک دارایی با ارزش شرکت باشد.

استفاده از کمربند ایمنی یا ایربگ به این دلیل در کشور اجباری شد که قانون بود؛ اگر نه احتمالا خودروساز خود را ملزم نمی‌کرد که هزینه کند. احتمالا در تمام دنیا هم همین است. در موضوع امنیت داده اما چون آماری مشهودی وجود ندارد، دیده نشده است. اما آثار مخرب آن به خوبی مشهود است. با استفاده از داده‌های درز کرده‌ی ایرانیان و پردازش آنها می‌توانند برای افراد یک زندگی مجازی درست کنند و این پتانسیل ایجاد فاجعه در ابعاد شخصی و اجتماعی دارد. این را هم در نظر بگیرید که ما به واسطه‌ جبر استفاده از انواع ابزارهای فیلترشکن و وی‌پی‌ان، آلوده‌ترین موبایل‌های جهان را داریم. با این همه اما نگاه به داده‌ها بیشتر از آنکه تجاری باشد، امنیتی است و به همین دلیل اهمیت حفظ داده‌ها هنوز چندان برای قانون‌گذار روشن نشده است. در نگاه و رویکرد امنیتی به داده‌ها هم احتمالا در جاهایی غیرشفاف نسبت به پارامترهای مهم تصمیم‌گیری می‌شود. این نگاه باید اصلاح شود. ممکن است در حال حاضر این موضوع برای بعضی از نمایندگان مجلس شورای اسلامی هم اهمیت پیدا کرده باشد؛ اما هنوز اولویت اول نیست. برای حفظ داده باید زیرساخت‌های مناسب و لازم داشته باشیم و همه چیز را از پایه درست کنیم. این کار نیاز به یک اراده کلی و سرمایه‌گذاری کافی دارد.

داده‌ها اما فرصت‌های تجاری و مزایای غیرقابل چشم‌پوشی هم برای شرکت‌ها به همراه می‌آورند. داده‌ها می‌توانند بهبودهایی را در تجربه کاربری برای مصرف‌کننده نهایی و سودآوری بیشتر برای کسب‌وکارها ایجاد کنند. داده باید کمک کند تا زندگی مصرف‌کننده بهبود پیدا کند که در دنیای امروز ما یعنی مصرف‌کننده به کالای متناسب با نیازش در زمانی که به آن احتیاج دارد، در دسترسش باشد. در همین راستا بررسی داده‌های رفتاری می‌تواند به این پیش‌بینی کمک کند. همین کار در کسب‌وکار یعنی تشخیص به موقع نیاز مصرف‌کننده، واکنش درست و در نهایت سود بیشتر و هزینه کمتر. درست به همین دلیل هم یکی از کاربردهای مهم داده، استفاده در تبلیغات هدفمند و هوشمند است. تکنولوژی‌های موجود تمام این روند را برای کسب‌وکار شفاف و قابل مدیریت می‌کند. در حوزه خدمات عمومی از حمل‌ونقل گرفته تا سلامت و کالاهای اساسی هم می‌توان از داده‌ها استفاده صحیحی کرد. با وجود غیرشفاف بودن زیرساخت‌های داده‌ در کشور و به‌دلیل سرمایه‌گذاری ناچیز و نامناسب و نگاه امنیتی، از داده استفاده تجاری و عمومی نشده است.