سیاه‌چاله بی‌قانونی برای داده‌ها

در این مدت کارشناسان امنیت اطلاعات بارها بر اهمیت لزوم تصویب قانونی برای حمایت از کاربران در برابر چنین رخدادهایی تاکید کرده و خواستار ورود نهادهای ذی‌صلاح به این مساله شده‌اند، اما واکنش سیاستگذار و سازمان‌های دولتی به اخبار هک اخیر عموما به سکوت و انکار محدود بوده است. حتی تکرار این ماجرا، هنوز آن گروه از نمایندگان مجلس را که با دنبال کردن تصویب طرح صیانت، سودای حمایت از حقوق کاربران را داشتند، به واکنش وانداشته و خبر چندانی از تلاش برای بهبود اوضاع نیست.

مسوولیت‌ناپذیری همه‌جانبه

دریافت تماس‌هایی با طرح ادعای برنده شدن یک جایزه و کشاندن مردم پای دستگاه‌های خودپرداز داستان جدیدی نیست و تا امروز و با وجود هشدارهای مکرر، قربانیان زیادی گرفته است. اما به نظر می‌رسد حالا و با این حجم از داده‌ای که در پی حملات هکری روی اینترنت قرار گرفته، احتمالا چنین سناریو‌هایی با جزئیات و دقت بیشتری اجرا شوند و باور این ادعاهای کذب و کلاهبرداری، برای کاربران تا حد زیادی ساده‌تر شود. در یکی از جدی‌ترین حملات سایبری اخیر، یک گروه هکری مدعی شد که به اطلاعات میلیون‌ها ایرانی دست پیدا کرده است. اگرچه این ادعا به سرعت از سوی سازمان ثبت احوال تکذیب شد، اما هکرها رکوردهایی از اطلاعات کسب شده را برای اثبات ادعای خود منتشر کردند. درست است که نمی‌توان ادعای هکرها را نیز قبول کرد و میزان دسترسی آنها به سامانه‌های دولتی هنوز در هاله‌ای از ابهام است، اما دست یافتن آنها به بخشی از مراکز داده و تخریب بخش‌هایی از سامانه‌های آنلاین این سازمان قابل مشاهده است، کما اینکه سایت این سازمان از دسترس خارج شد و بعد از آن مدیران سایت با بالا آوردن صفحات جایگزین تلاش کردند سایت را بازگردانی کنند. با این حال طبق آنچه بررسی کاربران نشان داد، بخش‌های خدماتی این سایت هنوز غیرفعال است و گویا بازگردانی صرفا ظاهری بوده است. برخی کارشناسان امنیتی در تحلیل آنچه در مورد هک سامانه‌های سازمان ثبت‌احوال اتفاق افتاده، معتقدند که این هکرها سرورهای ثبت احوال را عملا جارو کرده و طی روزها حضور بی‌دغدغه در این مراکز، بدون آنکه کسی متوجه شود هر آنچه از داده‌ها خواسته‌اند را با خود برده‌اند.

نگرانی از پیامدهای امنیتی تکرار حملات سایبری که حالا دیگر محدود به نهادهای دولتی یا خصوصی نیست و بخش‌های مختلف را درگیر کرده است، کارشناسان این حوزه را بر آن داشت تا با برگزاری نشستی تخصصی، ابعاد مختلف این رخدادها را بررسی کنند و نسبت به آگاه کردن کاربران و تقویت مطالبه‌گری از متولیان دولتی و صاحبان پلتفرم‌ها اقدام کنند. در این نشست تخصصی که شنبه شب و با عنوان «حقوق کاربران در هک‌های اخیر و مسوولیت پلتفرم‌ها» در اسپیس (بخش چت صوتی شبکه‌ اجتماعی ایکس) برگزار شد، نظرات کارشناسان مختلف مورد بررسی قرار گرفت. آنچه بیش از همه در این نشست مورد تاکید قرار گرفت، خلأ وجود قانونی بود که بتواند چارچوب‌ها و الزامات امنیتی لازم را برای حمایت از حریم خصوصی کاربران تعریف و صاحبان پلتفرم‌ها را ملزم به رعایت آن کند.

در همین راستا، یاشار شاهین‌زاده، از فعالان حوزه امنیت اطلاعات در بخشی از گفته‌های خود بر اهمیت این مساله تاکید کرد و گفت: «فراهم کردن زیرساخت‌هایی که بتواند سطوح مختلفی از امنیت اطلاعات را در شرکت‌ها و پلتفرم‌ها فراهم کند، اساسا هزینه‌های قابل‌توجهی دارد و تا زمانی که فشار قانونی وجود نداشته باشد، چرا یک کسب‌وکار باید خود را ملزم به رعایت این حدود بداند؟» شاهین‌زاده در ادامه افزود: اکنون شاهد آنیم که صرفا نهادهای مالی و بانکی تا حدی برای فراهم کردن امنیت تلاش می‌کنند و آن هم در وهله اول به دلیل عواقب مالی جدی نشت اطلاعات در این مجموعه‌هاست. در وهله دوم نیز وجود فرهنگ تسویه‌ حسابی که می‌تواند باعث شود یک حمله هکری به برکناری یک مدیر ارشد منجر شود، مدیران حاضر را مجاب می‌کند تا برای برقراری سطوح مشخصی از امنیت، بیش از دیگر پلتفرم‌ها هزینه کنند. این کارشناس معتقد است، چون چنین موضوعی در بسیاری از سازمان‌های دولتی یا استارت‌آپی وجود ندارد، بسیاری از مدیران از صرف هزینه برای ایجاد امنیت شانه‌خالی می‌کنند و در صورت بروز حملات نیز یا دست به انکار می‌زنند یا در نهایت مانند آنچه در مورد تپسی اتفاق افتاد، با یک اعلام عمومی، مسوولیت ماجرا را بر عهده می‌گیرند و در ادامه اقدام خاصی انجام نمی‌دهند.

بی‌اعتمادی کاربر به سیاستگذاری‌ها

با وجود تمام تاکیدهایی که کارشناسان بر لزوم ورود سیاستگذار به این ماجرا و فراهم کردن زیرساخت‌های قانونی این مساله دارند، اما از یک موضوع نباید غافل شد؛ آن هم برداشتی است که با اقدامات پیشین سیاستگذار در ارائه طرح‌هایی مانند صیانت ایجاد شده و بسیاری از کاربران و شرکت‌ها ترجیح می‌دهند اساسا دولت و مجلس به چنین مسائلی ورو‌د نکنند. با این‌حال میلاد نوری، از برنامه‌نویسان اکوسیستم فناوری نظر دیگری دارد. نوری در بخشی از صحبت‌های خود در نشست اخیر، به مرور تجربه تلخ طرح‌هایی مانند صیانت پرداخت و تاکید کرد که اگرچه این طرح با عنوان حمایت از حقوق کاربران ارائه شد، اما در عمل هیچ آورده‌ای برای کاربر نهایی نداشت و بیشتر اهداف طراحان آن را تامین می‌کرد. نوری با اشاره به اظهاراتی که مدافعان صیانت در آن زمان مطرح می‌کردند، گفت: نمایندگان موافق این طرح نسبت به نگهداری داده‌های کاربران ایرانی توسط پلتفرم‌های خارجی در خارج از ایران حساس بودند، اما حالا که اطلاعات میلیون‌ها ایرانی کف اینترنت و در دسترس همه قرار گرفته، صدایی از آنها در نمی‌آید.

 نوری با تاکید بر لزوم ورود دولت و مجلس به بحث سامان‌دهی این موضوع برای جلوگیری از تکرار چنین حملاتی گفت: «اگرچه تا امروز هرگاه سیاستگذار برای سامان‌دهی یک مساله عزم کرده، آن را به درستی پیش نبرده‌اند، اما همچنان معتقدم باید برای الزام مجموعه‌ها به رعایت برخی الزامات، پیش‌قدم شوند.» این فعال حوزه فناوری اطلاعات معتقد است که چنانچه یک قانون (ولو ضعیف و ناکامل) برای همه افراد به صورت یکسان اجرا شود، وجود آن به مراتب بهتر از نبود قانون یا اجرای سلیقه‌ای یک قانون باکیفیت است. در نتیجه خواستار آن هستیم تا آنچه پیش‌تر تحت عنوان لایحه حفاظت از داده‌های کاربران در مجلس مورد بررسی قرار گرفته بود، زودتر به جریان بیفتد و برای جلوگیری از تکرار حملات سایبری و جبران ضعف‌های امنیتی شرکت‌ها نیز فکری شود.

این کارشناس با اشاره به اینکه اکنون پلتفرم‌ها بدون ترس از عواقب آن، خود را مجاز به جمع‌آوری حداکثری داده از کاربر می‌دانند و پذیرش مسوولیت از سوی آنها نیز محدود به حرف است، گفت: اکنون با وجود گذشت هفته‌ها از هک تپسی، هنوز هیچ گزارش فنی مشخصی از آن حمله منتشر نشده و هنوز هیچ کدام از ما به عنوان کاربر، واقعا نمی‌دانیم چه میزان از اطلاعاتمان نشت پیدا کرده و تا چه اندازه باید نگران باشیم. وی با هشدار به کاربران تاکید کرد که جزئیات زیادی که در چندین دوره هک پلتفرم‌های مختلف به اینترنت راه پیدا کرده، راه را برای کلاهبرداری و سوءاستفاده بیشتری از داده‌های کاربران باز می‌کند و لازم است تا از همین حالا، آمادگی و هوشیاری لازم را نسبت به احتمال چنین اقداماتی داشته باشند.

لزوم محدود ساختن جمع‌آوری داده

یکی دیگر از موضوعاتی که در این نشست تخصصی مورد بحث قرار گرفت آن بود که علاوه‌بر از لزوم تدوین قوانینی که به بهبود سطح امینت سامانه‌ها و پلتفرم‌های دولتی و خصوصی کمک کند، متخصصان فنی شرکت‌ها باید چه کارهایی برای کاهش ریسک حملات سایبری انجام دهند. محسن طهماسبی، از دیگر کارشناسان حوزه امنیت اطلاعات معتقد است: «اساسا بهترین راه برای محافظت از اطلاعات کاربران، در اختیار نداشتن آنهاست.» طهماسبی در ادامه صحبت‌های خود گفت: البته برای محدود کردن همین جمع‌آوری داده نیز همچنان به تدوین قوانینی نیاز است که شرکت‌ها را از جمع‌آوری اطلاعاتی فراتر از نیاز اصلی کسب‌وکارشان باز دارد؛ زیرا با ارزش زیادی که داده دارد، هر پلتفرمی به‌طور معمول طالب آن است که دیتای بیشتری از کاربر جمع کند و از آن در بخش‌های فروش و بازاریابی شرکت استفاده کند. وی در ادامه افزود: با تمام اینها چنانچه کارشناسان و مدیران شرکت‌ها دغدغه‌ای بابت امنیت کاربران خود دارند، حتما این قاعده را به خاطر داشته باشند و اگر اطلاعاتی نیز جمع‌آوری می‌شود، پس از رفع نیاز حذف شود.  کشورهای اروپایی در سال‌های اخیر با طرح این مسائل در قالب قانون GDPR اتحادیه اروپا یا همان «مقررات محافظت از داده‌های عمومی»، تلاش کرده‌اند تا جمع‌آوری داده توسط پلتفرم‌ها را به حداقل برسانند.

اما در ایران ماجرا کمی متفاوت است. گذشته از طمع پلتفرم‌ها در جمع‌آوری داده بیشتر از کاربر، عوامل دیگری نیز در ترغیب شرکت‌ها به جمع‌آوری برخی داده‌ها و نگهداری آنها در دیتابیس‌های شرکت دخیل هستند. حامد بیدی، از کنشگران حق دسترسی آزاد به اینترنت، در بخشی از گفت‌وگوی خود در این نشست، به اظهارات برخی شرکت‌های این حوزه اشاره کرد. طبق آنچه از تجربه شرکت‌ها به دست می‌آید، گویا با وجود سامانه‌ای مانند شاهکار که برای احراز هویت کاربران مورد استفاده قرار می‌گیرد، پلیس فتا همچنان پلتفرم‌ها و سرویس‌دهندگان دیجیتال را ملزم می‌کند که مثلا تصاویری را که کاربران از خود و اسناد هویتی‌شان برای احراز هویت ارسال کرده‌اند، نگهداری کنند تا در صورت بروز تخلف یا طرح یک شکایت، بتوان به آنها رجوع کرد. گروه دیگری از فعالان این حوزه نیز اظهارات مشابهی مطرح کردند و از وجود چنین ناهماهنگی‌هایی در سازمان‌های مختلف خبر دادند.

ابهام در تعریف داده ضروری

یکی از چالش‌هایی که در بحث جمع‌آوری حداقلی داده توسط پلتفرم‌ها مطرح شده، تعریفی است که می‌توان از داده ضروری برای هر کسب‌وکار داشت. طبق آنچه کارشناسان این نشست تاکید کردند، اساسا نمی‌توان به صورت کاملا دقیق تعریف کرد که چه داده‌ای برای هر دسته از کسب‌وکار کاملا ضروری است و اطلاعاتی بیش از آن نباید جمع‌آوری شود. آمنه دهشیری، حقوق‌دان و پژوهشگر حوزه سایبری که یکی از حاضران در نشست مذکور بود، تلاش کرد تا نگاهی قانونی به مساله داشته باشد و با مطالعاتی که پیرامون قانون حفاظت از داده اروپا داشته، ابعاد ماجرای هک‌های اخیر را بررسی کند. دهشیری با گلایه از ناآگاهی قابل‌توجهی که کاربران و حتی کارشناسان ایرانی نسبت به حقوق دیجیتال خود دارند، بر اهمیت آگاهی‌رسانی در این مورد تاکید کرد. وی تصریح کرد: گذشته از حداقلی بودن داده‌های جمع‌آوری شده توسط هر پلتفرم‌، شرکت‌ها باید توضیحات صریح و شفافی درباره نوع و میزان داده‌ای را که از کاربر جمع‌آوری می‌کنند، به زبان ساده در اختیار کاربر قرار دهند. این توضیحات باید به قدری ساده باشند که برای کاربران عام قابل‌فهم باشد و بتواند رضایت یا عدم رضایت خود را نسبت به این موضوع ابراز کند.

این حقوق‌دان با تشریح حدود داده ضروری و لزوم شفافیت شرکت‌ها در ابراز جمع‌آوری این داده‌ها گفت: تنها باید اطلاعاتی جمع‌آوری و نگهداری شوند که به‌طور مستقیم به خدمتی که قرار است ارائه شود مربوط باشد و برای آن هدف ضرورت داشته باشد. وی ادامه داد: برای مثال اگر به صفحه شرایط و مقررات استفاده از خدمات هوشمند جابه‌جایی مسافر تپسی برای کاربران مسافر مراجعه کنیم متوجه می‌شود نوع اطلاعاتی که قرار است به‌طور غیر مستقیم از کاربر جمع‌آوری شود با سه نقطه تمام می‌شود. یعنی حتی احصا کردن آنها نیز شاید امکان‌پذیر نباشد. دهشیری در ادامه گفت: همچنین بنا بر اصل «به حداقل رسانی»، اطلاعات شخصی باید تنها تا زمانی که برای انجام خدمت مورد نظر ضرورت دارند نزد شرکت‌ها نگهداری شوند. در نتیجه به محض برطرف شدن ضرورت، دلیلی برای ادامه نگهداری داده‌های شخصی افراد وجود ندارد.

وی با بیان اینکه اکنون قوانین کشورهای اروپایی، شرکت‌ها را ملزم به رعایت سطوح مشخصی از امنیت سایبری کرده‌اند، گفت: حتی هر مجموعه‌ای که با داده‌های مردم سروکار دارد موظف است که سمتی با عنوان «مسوول حفاظت از داده اشخاص» داشته باشد. از سمت دیگر نیز با وضع مجازات‌های شدیدی که برای عدم رعایت الزامات قانونی و حفاظت نکردن از داده‌های کاربران تعریف شده، هر شرکت می‌کوشد تا برای فراهم کردن این الزامات تلاش حداکثری کند تا از زیان‌های مالی قابل‌توجهی که این جریمه‌ها به شرکت تحمیل می‌کنند در امان بمانند. این فعال حوزه حقوق دیجیتال با تاکید بر آنکه در بحث امنیت اطلاعات کار چندانی در کشور انجام نشده، به مرور تلاش‌های نه چندان جدی دولت‌های اخیر برای پاسخ به این ضرورت اشاره کرد و خواستار آگاه کردن کاربران برای مطالبه‌گری بیشتر درباره این موضوع شد.  

فارغ از خطرات متعددی که حملات هکری اخیر و نشت اطلاعات کاربران به فضای اینترنت، ایجاد می‌کند، موضوعات دیگری نیز وجود دارند که نباید از آنها غافل بود. کارشناسان با اشاره به حضور چند سال اخیر ایران در صدر فهرست «آلودگی موبایل کاربران به بدافزارهای موبایلی» می‌گویند: اگرچه تهدیدهای متعاقب این حملات انکارناپذیر است، اما نباید از پیامدهای امنیتی حضور این بدافزارها در گوشی کاربران غافل بود و ریسک چنین موضوعی اگر بیشتر از حملات هکری اخیر نباشد، کمتر نیست؛ خصوصا آنکه با تداوم محدودیت‌های اینترنتی از سال گذشته، حالا حضور انواع فیلترشکن و  VPN در گوشی کاربران ایرانی امری عادی شده و ریسک آلودگی بدافزاری گوشی‌های موبایل را بیش از هر زمان دیگری بالا برده است.