اقتصاد امنیت در فضای مجازی

توسعه این فناوری در جامعه و وابستگی بیشتر به آن، باعث شده که هر روزه داده‌های شخصی و تجاری بیشتری روی این بستر ارسال و ذخیره شود. در این بین، فرهنگ استفاده از این فناوری جدید و به‌ویژه داده‌های تجمیع شده، برای بازیگران متعدد جامعه به درستی گسترش نیافته است. این اتفاق را می‎توان به عدم درک صحیح جامعه ما از ارزش داده نسبت داد. کشورهای توسعه یافته، قبل از ظهور فناوری اطلاعات، فرآیندهای متعددی را برای جمع‌آوری و تحلیل داده داشته‌اند و به ارزش آن واقف بوده‌اند. برای مثال، آمار دولت آمریکا از کشور مبدأ مهاجرین و حرفه آنان از سال ۱۸۲۰ میلادی در دسترس عموم است. تعداد خطوط تلفن و میانگین تماس‌های روزانه از سال ۱۸۹۶ میلادی به تفکیک تماس‎های محلی و غیرمحلی در دسترس است. مثال بسیار جالب‌تری که در هفته گذشته خبر آن منتشر شد، یافتن آدرس خانه شکسپیر، شاعر و نمایشنامه‌نویس انگلیسی، به کمک لیست آماری پرداخت‌کنندگان مالیات در سال ۱۵۹۷ میلادی، یعنی ۴۲۲ سال پیش بود.

جمع‌آوری این داده‌ها از زمان‎های بسیار دور نشان‎دهنده درک عمیق ارزش این داده‎ها در آن جوامع است. به همین دلیل از سالیان دور فرآیندهای متعددی برای جمع‌آوری، پایش، تحلیل و محافظت از این داده‎ها ایجاد شده و ظهور فناوری اطلاعات نیز باعث تسریع و تعمیق این فرآیندها شده است. در جامعه ایران نیز توجه جدی به توسعه این فرآیندها با ظهور و به کارگیری فناوری اطلاعات همزمان شده است. به‌رغم تمام مزایای حاصل از این همزمانی، عدم درک صحیح از ارزش داده‌ها در جامعه باعث شده مخاطراتی نیز ایجاد شود. برای مثال، اغلب کاربران ایرانی داده‎های حساس خود را محدود به عکس‌های شخصی خود می‌دانند و به راحتی تمامی اطلاعات هویتی، ملکی و... را در اختیار هر متقاضی قرار می‌دهند. تاکنون پیش آمده برای دریافت سرویسی از شما درخواست کپی شناسنامه و کارت ملی شود و شما کپی را سریعا ارائه نکنید! این در حالی است که در بسیاری از کشورها، به خاطر احتمال سوءاستفاده از این اطلاعات برای جعل هویت، این اطلاعات به راحتی در دسترس دیگری قرار نمی‎گیرد. ولی حتما مشاهده کرده‌اید که در کشور ما، بعضا از برگه‌های فتوکپی مدارک به‌عنوان چرکنویس استفاده می‎شود.

همچنین به دفعات در اخبار کشور شنیده‌اید، که هکرها برای سودجویی به سامانه یک شرکت مالی رخنه کرده، پایگاه داده یک سازمان را دستکاری کرده‌اند. برای مثال، طبق اخبار چند روز گذشته، هکرها به بخشی از اطلاعات یک شرکت حمل‌و‌نقل اینترنتی دسترسی پیدا کرده‎اند. با توجه به نکات ذکر شده، این سوال مطرح می‎شود که چرا حفاظت از داده‎ها در ایران آن‌طور که باید جدی گرفته نمی‎شود، تا نرخ این حملات که بعضا هم کشف یا اعلام عمومی نمی‌شوند، کمتر شود. باید به این نکته توجه کرد که امنیت یک امر اقتصادی است. برای مثال فرض کنید که بانک به دنبال امن‌سازی شرایط فیزیکی خودپردازهای خود برای جلوگیری از سرقت دستگاه و به تبع پول موجود در آن باشد. سرقت خودپرداز برای بانک هزینه‌های متعددی مانند پول سرقت شده، جایگزینی دستگاه خودپرداز، آسیب به اعتبار بانک و... خواهد داشت. اگر فرض کنیم جمع این هزینه‌ها برای هر خود پرداز ۱۰ میلیارد‌ریال باشد و احتمال دستبرد به خود پرداز بانک با توجه به تعداد زیاد خودپردازها یک صدم درصد باشد، برای بانک منطق اقتصادی نخواهد داشت که بیش از یک‌میلیون ریال برای امنیت هر خود‌پرداز هزینه کند.

حال یک بنگاه اقتصادی، اعم از سازمان یا شرکت یا ...، را در نظر بگیرید که از کاربران خود اطلاعات زیادی در اختیار دارد. این بنگاه هزینه‌ای که برای امنیت و حفاظت از داده‌های خود می‌پردازد، محدود به هزینه ایجاد شده در صورت دسترسی غیر مجاز به داده‌ها است.  ولی بر عکس بانک که باید پول نقد و دستگاه خودپرداز به سرقت رفته را جایگزین کند، در بستر الکترونیکی، یک کپی از داده‌های به سرقت رفته و اصل داده‌ها موجود است و تجهیزاتی نیز به سرقت نرفته است. علاوه بر آن سرقت از بانک موضوعی نیست که از دید عموم پنهان بماند، در صورتی که هیچ‌گاه کسی متوجه سرقت اطلاعات نمی‌شود، مگر اینکه این موضوع توسط سارق یا خود بنگاه رسانه‌ای شود. به همین خاطر، کشورهای مختلف به کمک قوانینی مساله صیانت از داده‌های کاربران را مورد توجه قرار می‌دهند. برای مثال مقررات عمومی حفاظت از اطلاعات (GDPR) که سال گذشته در اتحادیه اروپا به مرحله اجرا درآمد و جایگزین مقررات قبلی در این حوزه شد، سازمان‌ها و شرکت‌ها را موظف می‌سازد تا در صورت نشت اطلاعات کاربران پاسخگو باشند و جریمه پرداخت کنند.

هزینه‌ای که در بعضی موارد طبق مقررات به ۲۰ میلیون یورو یا معادل ۴درصد گردش مالی شرکت در کل کشور‌های جهان، هر کدام که بیشتر باشد، رسیده است، این هزینه برای شرکتی مانند فیس‌بوک در هر مورد نشت اطلاعاتی بیش از یک میلیارد دلار است. همچنین کاربرانی که اطلاعات آنان نشت شده باید ظرف مدت ۷۲ ساعت از این اتفاق مطلع شوند. به کمک چنین مقرراتی است که شرکت‌ها انگیزه اقتصادی کافی برای امن‌سازی داده‌های کاربران پیدا می‌کنند. واقعیت این است که قوانین موجود در کشور ما، عدم وجود امنیت برای سازمان‌ها و شرکت‌ها را موجب هزینه نمی‌داند. به بیانی دیگر، نبود قوانین به روز و کامل به‌جای اینکه موجب رقابت اقتصادی بین شرکت‌ها و سازمان‌ها در جهت امن‌سازی داده‌ها، سامانه‌ها و سرویس‌ها شود، باعث شده است امن‌سازی به‌عنوان یک اقدام لوکس تلقی شود و سرمایه‌گذاری در آن صرفه اقتصادی نداشته باشد.

البته در مرداد ۱۳۹۷، وزیر ارتباطات و فناوری اطلاعات و رئیس مرکز پژوهش‌های مجلس از لایحه صیانت و حفاظت از داده‌های شخصی که برگرفته ازسازوکارهای مقررات GDPR اتحادیه اروپا است، رونمایی کردند. درصورت تصویب این لایحه و برقراری جرایم منطقی، به‌طوری که ایجاد امنیت داده‌ها در شرکت‌ها و سازمان‌ها اقتصادی شود و فرصت واقع‌بینانه به سازمان‌ها و شرکت‌ها برای ارتقای وضع موجود خود داده شود، می‌توان امید داشت که وضعیت امنیت داده‌های در اختیار سازمان‌ها و شرکت‌ها بهبود یافته و همچنین افزایش تقاضای امن‌سازی سرویس‌ها و محصولات، موجب رونق کسب و کار در این حوزه شود.