هشدار به امنیت اطلاعات در ایران

سیمین عزیزمحمدی: هفته گذشته برنامه‌ای در شبکه اجتماعی تلگرام دست به دست می‌شد که به سادگی امکان دسترسی به اطلاعات کاربران ایرانسل را فراهم می‌کرد. در واقع، فرد مهاجم با ورود شماره تلفن کاربر و تغییر رمز آن می‌توانست به اطلاعات وی دسترسی پیدا کند. البته این مطلب همچنان مسکوت مانده بود تا اینکه انتشار فیلمی درباره چگونگی هک کاربران در هفته جاری و پیگیری رسانه‌ها ایرانسل را مجبور کرد تا به این خبر واکنش نشان داده و در نهایت آن را تایید کند. به گفته روابط عمومی ایرانسل، این هک در مراحل ابتدایی متوقف شده و در حال حاضر خطری کاربران را تهدید نمی‌کند. این اپراتور دوم تلفن همراه در بیانیه‌ای اظهار کرد: پیرو پرسش‌های مطرح‌شده از جانب برخی رسانه‌ها مبنی بر نفوذ به سامانه کنترل حساب اینترنتی ایرانسل به اطلاع می‌رساند، یک حمله هکری در مراحل ابتدایی از سوی تیم کارشناسان امنیت شبکه ایرانسل شناسایی و دفع شده است.

به هر حال، همین خبر تکرار فاش شدن اطلاعات کاربران ایرانسل در یک سال کافی است نزدیک به ۴۰میلیون مشترک این اپراتور موبایلی را نگران کند که هر لحظه مورد حمله هکرها قرار بگیرند، زیرا تیر ماه همین سال ۹۵ بود که امکان دسترسی به اطلاعات شخصی برخی از کاربران ایرانسل فراهم شد و به موجب آن داده‌های شخصی ۱۵ تا ۲۰ میلیون مشترک این اپراتور در اختیار هکرها قرار گرفته و با قیمت حدودی ۵ تا ۳۰ میلیون به فروش رفت. البته زمانی که وزیر ارتباطات در مجلس احضار شد، یادآوری کرد:«این موضوع از ۲/ ۵ سال گذشته و به دلیل درز اطلاعات از سوی یک نهاد، در جریان است. دو سال و نیم پیش اپراتور موبایل اطلاعات خود را در اختیار یکی از نهادها قرار داد و از سوی یکی از کارمندان آن نهاد اطلاعات به بیرون درز کرد که همان زمان آن نهاد با آن کارمند برخورد کرد. متاسفانه امروز همان اطلاعات با یک روش دیگر در شبکه اجتماعی افشا شد.»

در آن زمان شرکت ایرانسل با یک تاخیر پنج روزه اطلاعیه‌ای صادر کرد و در آن متعهد شد که همواره حفظ محرمانگی و حریم خصوصی مشترکان را در تمامی امور از جمله اطلاعات شخصی مشترکان، محترم شمرده و در این خصوص اهتمام ویژه دارد. با این حال، ۷ ماه بعد یعنی در اواخر بهمن ماه دوباره حمله هکری دیگری اطلاعات کاربران ایرانسل را مورد هدف قرار داد تا هکرها با استفاده از یک ابزار ساده و تنها با در اختیار داشتن تلفن ایرانسل افراد بتوانند، رمز حساب کاربری آن تلفن را بلافاصله تغییر داده و با مراجعه به سایت ecare.irancell.ir به حساب کاربری تلفن مورد نظر دسترسی یابد. به نظر می‌رسد این ابزار در گروه‌های مختلف تلگرامی دست به دست شده و هنوز مشخص نیست چه شماره‌هایی هک شده‌اند. البته هنگام تغییر رمز حساب کاربری، یک پیامک برای خط مورد نظر ارسال می‌شود و کسانی که بدون دلیل این پیامک را دریافت کرده باشند، احتمالا حساب کاربری‌شان هک شده است.

اهمیت امنیت سایبری

در دنیای امروزی که اداره کسب و کارها مبتنی بر داده‌ها بوده و حفظ و نگهداری آن به منظور توسعه کسب و کارها از سیاست‌های خطیر شرکت‌ها به حساب می‌آید بخش قابل توجهی از بودجه کشورها به حفظ آنها اختصاص می‌یابد. به‌طوری که براساس پیش‌بینی شرکت گارتنر بودجه جهانی امنیت اطلاعات با رشد ۹/ ۷ درصدی نسبت به سال ۲۰۱۵ به رقم ۶/ ۸۱ میلیارد دلار در سال گذشته رسید. این در حالی است که انتظار می‌رود پوشش این امنیت و بودجه اختصاص یافته در سال‌های آینده روند رو به رشدی داشته و در سال ۲۰۲۰ شرکت‌ها حدود ۱۰۱/ ۶میلیارد دلار صرف امنیت سایبری اطلاعات خود خواهند کرد. روی دیگر حفظ امنیت فضای سایبری فعالیت و آموزش تیم‌های هکری از سوی مهاجمانی است که عمدتا به دلیل سودجویی و دستیابی به اطلاعات شرکت‌ها و درخواست باج در ازای فاش نکردن آنها یا دسترسی به حساب‌های افراد در دنیای تاریک مجازی رقابت می‌کنند. به‌طوری که حمله هکری به بانک‌ها، شرکت‌ها یا حتی بیمارستان به اخبار ثابت این روزها تبدیل شده است.

حمله هکری به بیش از ۵۰۰ میلیون حساب کاربران شرکت یاهو در سال ۲۰۱۴ که به‌عنوان بزرگترین حمله هکری تاریخی از آن یاد شد، البته این پایان داستان تلخ آسیب‌پذیری سایت یاهو نبود، چرا که مجددا در اواخر سال ۲۰۱۶، پس از تایید چند نفوذ امنیتی به سرورهای یاهو در ماه‌های اخیر، این کمپانی وجود حفره‌ امنیتی دیگری را که منجر به افشای اطلاعات یک میلیارد کاربر شده است، تایید کرد. به دنبال این حمله‌های هکری، یاهو در اوایل هفته جاری به برخی کاربران خود هشدار داد ممکن است حساب‌های آنان هک شده باشد. این هشدار نتیجه تحقیقات درباره این حساب‌های کاربری و برخی کوکی‌های جعلی بود و ظاهرا از جمله اطلاعاتی که هکرها از حساب‌های کاربران یاهو جمع‌آوری کرده‌اند می‌توان به اطلاعات مالی، سوابق مراقبت‌های درمانی و... اشاره کرد. به هر حال، تجربه تلخ یاهو و سقوط ارزش سهام آن درس عبرتی برای سایر شرکت‌ها به ویژه برای پیام‌رسان‌ها شد تا با تدابیر فضای امنیتی شدیدتر مانند دو مرحله‌ای کردن فرآیند تایید کاربر و به چالش کشیدن هکرها، اطمینان خاطر کابران را جلب کنند، زیرا فراتر از تمام امکانات این نرم‌افزارها، جذابیت ظاهری و سهولت از استفاده، اعتماد مهم‌ترین عامل حفظ کاربر است که نه تنها در این حوزه بلکه در دنیای دیجیتال حرف نخست را برای پیشرفت و توسعه می‌زند.

جای خالی یک هشدار

شاید در سال‌های گذشته زمانی که فضای مجازی کشور به تعداد معدودی سایت شرکتی یا وب‌های نه چندان فعال دستگاه‌های دولتی خلاصه می‌شد، توجه به بحث حفظ فضای امنیت سایبری و اختصاص بودجه به آن بیهوده به نظر می ‌رسید و نیاز به چانه‌زنی و طرح‌های توجیهی متعدد داشت، اما در حال حاضر که دیجیتال به یکی از ارکان‌های اصلی اقتصاد کشور به ویژه در حوزه بانکی تبدیل شده، بدون شک این بی‌توجهی تبعات سنگینی را برای اقتصاد کشور و اعتماد جامعه خواهد داشت. هر چند هک اطلاعات کابران ایرانسل و درز اطلاعات آنها تلنگری به سیستم امنیت سایبری باشد، چرا که در حال حاضر تنها سودجویی از این اطلاعات صرفا می‌تواند به درد مدیران تبلیغاتی و بازاریابی شرکت‌ها خورده و کارکرد دیگری نداشته باشد. اما به هر حال این نگرانی را می‌تواند برای کابرانی که از طریق سرویس USSD اقدام به خرید شارژ یا پرداخت قبض می‌کنند، ایجاد کند که هر لحظه به دنبال هک اطلاعات کاربری آن در سیستم‌های اپراتوری، اطلاعات بانکی آنها سرقت شود.

همچنین در رویکرد کلان‌تر و با توجه به توسعه فعالیت اپلیکیشن‌ها و سیستم‌های پرداخت موبایلی و آنلاین این ضعف در سیستم حفظ اطلاعات و وجود باگ‌های امنیتی به قیمت از بین رفتن و تعطیلی تعداد زیادی از کسب و کارها شود. در صورتی که انتظار می‌رفت با پدید آمدن نخستین مسائلی از این دست در سیستم ارتباطی کشور، مدیران مربوطه با انتشار اطلاعیه‌ای به کاربران خود در این خصوص هشدار داده و راهکارهای نرم‌افزاری برای ارتقای امنیت آنها در فضای مجازی پیشنهاد می‌دادند و در واقع، در این خصوص به مشتریان خود پاسخگو بودند.

واعظی: اپراتورهای موبایلی صادقانه عمل کنند

دنیای اقتصاد: وزیر ارتباطات و فناوری اطلاعات با اعلام رونمایی فاز سوم شبکه ملی اطلاعات در نیمه نخست سال آینده، از اپراتورهای تلفن همراه خواست در ارائه سرویس به تولیدکنندگان محتوا به دنبال ایجاد انحصار نباشند و با مردم رفتار صادقانه‌ای داشته باشند. محمود واعظی در جلسه هماهنگی فاز سوم شبکه ملی اطلاعات، گفت: فاز سوم با رویکرد رونق کسب و کارهای الکترونیکی اجرایی می‌شود که ان‌شاءالله در نیمه نخست سال ۹۶ رونمایی می‌شود. وزیر ارتباطات و فناوری اطلاعات با تاکید بر حفظ فضای رقابتی از سوی اپراتورهای تلفن همراه اظهار کرد: اپراتورها فضای رقابتی سالمی برای تولیدکنندگان محتوا ایجاد کنند و به دنبال ایجاد انحصار در ارائه سرویس به تولیدکنندگان محتوا نباشند. وی با اشاره به ضرورت برخورد شفاف اپراتورهای تلفن همراه افزود: رفتار اپراتورهای تلفن همراه با مردم باید کاملا شفاف و صادقانه باشد و آنچه در تبلیغات خود اعلام می‌کنند، دقیقا همان را به مردم ارائه و محاسبه کنند. واعظی با اظهار رضایت از بهره‌برداری از فاز نخست و دوم شبکه ملی اطلاعات، تصریح کرد: خوشبختانه شبکه ملی اطلاعات روی ریل افتاده است و به درستی درحال ارائه خدمات است.