«اسنپ» باید تاوان پس دهد
در زمینه اسنپفود اطلاعات منتشرشده فراتر از اطلاعات خود کاربر است و در این بین اطلاعات آشنایان، دوستان و اقوام هر کاربر که از مکان آنها سفارش غذا داده شده، در خطر است
هنوز جوهر رسانهایشدن هک اسنپفود و لو رفتن اطلاعات حیاتی شهروندان در این سکوی (پلتفرم) فروش غذا خشک نشده و هک جایگاه سوخت کشور برای دومین بار از یادها نرفته که هک دیگری رسانهای شده است، آن هم در سامانه معاینه فنی خودروها! به گفته رسانهها این حمله صبح روز گذشته رخ داد و به دلیل حمله سایبری، این مراکز از دسترس خارج و در برخی شهرها تعطیل شدهاند! هکهایی که تنها به شنیدن اخبار آن عادت کردهایم و از خطرات این دسته از حملهها به دلیل نداشتن اطلاع از خطراتش، آن هم به راحتی از کنار آن میگذریم و آنهایی هم که از خطرات این دسته از هکها مطلع هستند، گویی سر خود را مانند کبک در برف فرو برده و سکوت کردهاند و دریغ از شکایت، پیگیری قضایی، تدارکات پیشگیرانه، اقدامها و حتی پیگیریها!
کاظم فلاحی، کارشناس امنیت سایبری در گفتگو با «جوان» میگوید: «در زمینه اسنپفود اطلاعات منتشرشده فراتر از اطلاعات خود کاربر است و در این بین اطلاعات آشنایان، دوستان و اقوام هر کاربر که از مکان آنها سفارش غذا داده شده، در خطر است. وی میافزاید: «با لو رفتن اطلاعات کاربران جدی برخورد نمیشود، چون شهروندان با خطراتی که در سطح امنیت ملی است، آگاهی ندارند و اگر این بحث را بدانند که چه خطراتی دربردارد، همه از این پلتفرمها شکایت میکنند، از شهروندان گرفته تا مدعیالعموم و حتی نهادهای مردمنهاد.»
این کارشناس امنیت سایبری میافزاید: «به هر کسی آدرس خانه و محل کار خود را نمیدهیم و در هک اسنپفود آدرس ۲۰ میلیون کاربر فاش شده است. اگر کاربری هر شب در یک ساعت خاص سفارش غذا بدهد، هکر با اطلاعات دریافتی از آن مطلع میشود، بنابراین میتواند وقتی فرد سفارش غذا میدهد، در همان ساعت به در منزل این کاربر مراجعه کند و به عنوان پیک زنگ در را بزند و وی را خفت کند، دزدی کند و الخ».
به گفته وی در این حمله علاقهمندیهای غذایی کاربران از اینکه چه غذایی دوست دارند؟ از کدام رستورانها سفارش میدهند؟ چه ساعتهایی غذا سفارش میدهند؟ کدام مناطق بیشتر غذا سفارش میدهند؟ و... تماماً لو رفته است، ولی باید وسعت خطرات را بیشتر لمس کرد. با آنالیز (تحلیل) اطلاعات میتوان خطراتی ایجاد کرد.» وی با بیان اینکه به عنوان کارشناس امنیت سایبری نمیدانم برای کشوری که این همه دشمن داخلی و خارجی دارد، چرا بحث امنیت سایبری را که دارای خطراتی به گستردگی امنیت ملی است، جدی نمیگیرند، تأکید میکند: «خاکریزها یکییکی از سوی دشمن داخلی و خارجی فتح میشود و هیچ تدارکات امنیتی برای اینکه دشمن از سد خاکریزهای ما که اکنون فضای مجازی و سدهای امنیتی است، عبور نکند، دیده نشده و اگر هم دیده شده به قدری شکننده است که به راحتی عبور میکنند.»
ضعف امنیت سایبری
به اعتقاد این کارشناس، امنیت سایبری در پلتفرمها بسیار پایین است و کسی که اسنپفود را هک کرده کار راحتی داشته است، چون اینطور که مشخص شده کمتر از یک هفته زمان برده، پس مشخص است امنیت بسیار پایینی داشته است و این موضوع درباره سایر دستگاهها هم صدق میکند.
فلاحی با بیان اینکه اسنپ جزو پنج نرمافزار برتر کشور قلمداد میشود و ۲۰ میلیون کاربر اندک نیست، تصریح میکند: «باید امنیت این پلتفرمها، سایتها و دستگاههای اجرایی بارها و بارها ارزیابی میشد، در حالی که ارزیابی نشده و هک صورت گرفته است. من به عنوان کارشناس امنیت سایبری اطمینان دارم اسنپفود و دیگر دستگاهها از سادهترین باگ هک شدهاند، چون کار خاص امنیتی برای پلتفرم، سایت و سامانه خود انجام ندادهاند و گفته پلیس فتا هم ادعای مرا تأیید میکند، چون بعد از هک اسنپفود پلیس فتا در رسانهها اعلام کرد در بازبینی از امنیت سایبری این پلتفرم اعلام شده است مشکل امنیتی دارند و باید رفع کنند!»
وی میافزاید: «جای سؤال است که چرا متولیان امر این موضوع را پیگیری نکردهاند. در این میان باید مراکز مربوط بعد از این موضوع سفت و سخت پیگیری میکردند که آیا امنیت سایبری خود را ارتقا دادهاند یا خیر، پس مراکز متولی هم در این زمینه کوتاهی کردهاند. اگر امنیت آن به درستی انجام نشده است، چرا اپلیکیشن را تعطیل نکردهاند؟ چرا ادامه فعالیت دادهاند؟ چرا در گوش این پلتفرم، دیگر سامانههایی از این دست که امنیت سایبری را رعایت نکردهاند، نزدهاند که چکلیستها را به درستی رعایت نکردهاید؟ باید متولیان امر هم از سوی نهادهای قضایی تحت پیگرد قانونی قرار بگیرند، از این رو در عجبم که چرا هیچ نهاد مردمنهاد و قضایی ورود نمیکند، چون امنیت ملی به خطر افتاده است و با این فرصت خطر آنها تنها به عذرخواهی و تأیید و تکذیب تن دادهاند.»
نبود جریمههای سنگین
این کارشناس امنیت سایبری علت عذرخواهی و تنها تأیید هک را نبود مسئولیتپذیری در پلتفرمهای خصوصی و دستگاههای اجرایی میداند و میگوید: «قانون آنها را پاسخگو نکرده است. از سوی دیگر حتی اگر جریمهای هم در نظر بگیرند، آنقدر اندک است که جریمه برای پلتفرمهایی به این وسعت عدد و رقمی محسوب نمیشود. اگر فقط و فقط یک بار هکهایی به این گستردگی از سوی مقامات قضایی پیگیری میشد و جریمههای بسیاربسیار سنگین در حد بودجه مملکتی میشدند، کمتر شاهد چنین هکهایی بودیم و برای اطلاعات کاربران ارزش قائل میشدند و از آن سفت و سخت محافظت میکردند.»
فلاحی میافزاید: «بارها گفته شده است در کشور ما متولیان امنیت سایبری زیاد هستند و باید یک دستگاه با قدرت اجرایی بالا متولی امر باشد. وقتی هکی صورت گرفت، ورود کنند و مسئولان را به دادگاه بکشانند و جریمهای فوقالعاده سنگین تعیین کنند که از سود روزانه آنها بیشتر باشد. وقتی در کشورهای دیگر هکی رخ میدهد، در حد بودجه یک کشور جریمه میشوند و اگر پلتفرم و کسب و کاری امنیت را فراهم نکند، حذف میشود، البته در کشور ما اپلیکیشنهای برتر انحصاری شدهاند و رقیب ندارند، بنابراین اگر حاکمیت هم بخواهد آنها را حذف کند، مردم معترض میشوند و این هم از تبعات انحصار است.» به گفته وی، در کشور کلی نهاد امنیت موازی داریم که قدرت اجرا ندارد، بنابراین به یک متولی با قدرت بالا نیاز است تا تمام دستگاهها و پلتفرمها را به مسئولیتپذیری وادارد و جریمه و مدیر امنیت را جابه جا کند و باید بتواند اپلیکیشن را حذف کند. اگر این اتفاق در اروپا رخ میداد، اپلیکیشن را حذف میکردند، ولی از آنجا که پلتفرمهای داخلی انحصاری شدهاند، امکان حذف وجود ندارد و در صورت حذف باعث میشود مردم هم معترض شوند.»
فلاحی به نبود سواد امنیت سایبری در بین مدیران دستگاهها اشاره میکند و میگوید: «فرهنگ ایجاد امنیت سایبری هم ضعف دارد. تمام نهادها باید متخصصان امنیت سایبری را استخدام و حقوق بالایی پرداخت کنند، ولی آنها حاضر نیستند به این افراد حقوق بالایی بپردازند. هکر کلاه سفید استخدام کنند و پول هنگفتی بپردازند، نه مانند اسنپ که در برابر پیداکردن باگها ۱۵ میلیون پاداش تعیین کرده بود. اگر همان موقع در باگبانتیاش پاداش کلان گذاشته بود، اکنون به این مشکل برخورد نمیکرد.»
فقر فهم حقوقی در شکایت از لو رفتن اطلاعات کاربران
معمولاً وقتی اطلاعات کاربران در پلتفرمها لو میرود، از پلتفرمهایی که مسئول محافظت از اطلاعات کاربران بودند، شکایت میشود و نه تنها جریمههای سنگین برای آنها در نظر گرفته میشود بلکه اپلیکیشنها حذف میشوند، ولی با فاششدن اطلاعات کاربران روی پلتفرمهای مختلف از جمله اسنپفود که به تازگی هک شده است یا نشر اطلاعات از سوی هکهایی که چندی قبل مانند تپسی اتفاق افتاد، شهروندان چه اقدامهای حقوقی میتوانند انجام دهند و اصلاً چرا تاکنون شاهد شکایت و جریمههای سنگین برای پلتفرمها و سامانههایی که در نگهداری از اطلاعات کاربران نکوشیدهاند، نبودهایم.
محمدجواد نعناکار، کارشناس حقوقی فناوری اطلاعات درباره این موضوع به «جوان» میگوید: «فاششدن اطلاعات کاربران روی پلتفرمهای مختلف از جمله اسنپفود که به تازگی هک شده است یا نشر اطلاعات از سوی هکهایی که چندی قبل مانند تپسی اتفاق افتاد، با دادهکاوی مشخص میشود کاربران در کجا زندگی میکنند، سلایق آنها چگونه است، چه چیزهای را مصرف میکنند؟ در کجاها تردد دارند، شماره تلفن آنها و اطلاعات شناسنامهشان چیست؟ و این اطلاعات در دسترس عدهای قرار میگیرد که با اقدامهای ثانویه میتوانند از آن کلاهبرداری تجسسی و آنها را شناسایی کنند، بنابراین همانطور که مشاهده میشود، آنها در برابر انواع زیادی از خطرات قرار دارند، مخصوصاً اگر اطلاعات برای کاربران با سطوح بالا مانند افرادی سیاسی، امنیتی، قضایی و در کل مشاغل حساس باشد، دارای خطرات بیشتری است.
وی در پاسخ به این سؤال که حالا که اطلاعات کاربران فاش شده است، به چه شیوههایی میتوان این موضوع را پیگیری کرد، میگوید: «با فاششدن اطلاعات، افراد میتوانند به شیوههای مختلف این موضوع را پیگیری کنند. اول اینکه شهروند میتواند از پلتفرم و کسبوکاری که اطلاعاتش لو رفته است، خود در دادگاه اقامه دعوی کند و بر اساس قوانین تجارت الکترونیکی (با استناد به اینکه پردازش و جمعآوری ارسال دادههای شخصی ممنوع است، مگر اینکه افراد صراحتاً رضایت خود را اعلام کنند، پیگیری کند) یا اینکه میتواند مطابق ماده ۷۸ قانون تجارت الکترونیکی مبنی بر اسرار تجاری اگر در اثر ضعف سیستمهای ارتباطی خسارتی ایجاد شود، باید جبران شود، مطالبه خسارت کند یا اینکه با استناد به قانون مدنی میتواند اقدام کند. اگر نشر اطلاعات کاربران در حد وسیعی مانند آنچه در هک اسنپفود اتفاق افتاد، رخ دهد، در این صورت طبق قانون دادستان باید به عنوان مدعیالعموم ورود کند یا اینکه نهادها و انجمنهای مردمنهاد و غیردولتی مانند نظام صنفی رایانهای کشور یا اتحادیه مربوط در این زمینه شکایت و موضوع را به صورت جدی پیگیری کنند.
به گفته این کارشناس حقوقی فناوری اطلاعات بخشهای مختلف دیگری مانند مرکز ملی فضای مجازی، پدافند غیرعامل، پلیس فضای تبادل اطلاعات و امنیتی میتوانند در این زمینه ورود و علت وقوع این اتفاق را به جدیت پیگیری کنند، چون هر پلتفرمی در کشور برای فعالیت باید مجوزهای زیادی را از مرکز توسعه تجارت الکترونیک گرفته تا قانون سلامت اداری و مبارزه با مفاسد اجتماعی و مرکز ماهر متعلق به سازمان فناوری اطلاعات دریافت کند.
مشکل در فرایندها
به اعتقاد وی، جای سؤال است پلتفرمهایی که با این عظمت در حال فعالیت هستند و اطلاعات کاربران زیادی در آن دریافت، پردازش و ذخیره میشود، چگونه است این اتفاق میافتد و ۲۰ میلیون کاربر هک میشود و در اختیار کسانی قرار میگیرد که صلاحیت دسترسی به آن اطلاعات را ندارند. به نظر ما فرایندها مشکل دارد و این فرایندها باید با ورود ضابطان قضایی در آن تجدیدنظر و اصلاح شود.
نعناکار با تأکید بر اینکه به نظر میرسد فرایندهای پلتفرمها دچار مشکل است، میافزاید: «باید بیشتر تمرکز خود را روی فرایندها و سیستمها متمرکز کنیم، چراکه وقتی پلتفرمی رشد میکند و بزرگ میشود، باید مشخص شود تا چه حد میتواند اطلاعات کاربران را دریافت، ذخیره و پردازش کند. باید از سوی متولیانی که بالاتر نامبرده شد، پیگیری شود که اطلاعات مازاد دریافت نکند، وقتی کاربر حذف اطلاعات خود را از روی پلتفرم درخواست کرد، امکان حذف آن وجود داشته باشد. از سوی دیگر امکان حذف اکانتها مهیا شود و ذخیره اطلاعات دارای تاریخ انقضا باشد و بعد مدتی خودکار حذف شود و تجمیع و رسوب اطلاعات در پلتفرمها رخ ندهد.»
وی ادامه میدهد: «ما به قانون و لایحه جدید نیاز نداریم و آنچه بیشتر از قبل مشهود است، بحث ضعف در حکمرانی سایبری و نبود سیاستهای کلان درست در این حوزه است. باید این نوع ضعفها را رفع کنیم، چون برای اقدامهای قضایی مسئولیت مدنی، قانون مجازات اسلامی تجارت الکترونیکی، جرائم رایانهای و قابلیت صیانت از حفاظت اطلاعات کاربران، خدماتدهندگان و گیرندگان وجود دارد، بنابراین چیزی که بیش از همه عیان است، فقر فهم حقوقی در این زمینه است؛ اینکه وقتی چنین اتفاقی میافتد، چگونه باید عمل شود، بموقع عمل شود و متولیان در مکان و زمان درستی مسئولیتهای خود را انجام دهند، ولی این اتفاق نمیافتد.»
به اعتقاد این کارشناس حقوقی فناوری اطلاعات، پلتفرمها محصولات نرمافزاری و پویا هستند، بنابراین باید همواره پایش شوند و امنیت آنها به صورت مداوم بازنگری شود. به هر حال خطای انسانی هم میتواند مشکلساز شود. با اینکه فراهم کردن و امنیت سایبری نسبی است، ولی سازمانهای متولی باید به گونهای عمل کنند که کمترین آسیب متوجه پلتفرمها و کاربران آنها شود و جنبه کمککننده داشته باشد، مهمتر اینکه اطلاعات پایه در مکانی خارج از پلتفرم نگهداری شود. نعناکار برخورد با این پلتفرمها را منوط به کار کارشناسی میداند و میگوید: باید بررسی شود که هک به دلیل خطای عمدی، سهوی، انسانی یا سیستمی رخ داده است یا خیر و آیا اختلالاتی که در شبکه ارتباطی وزارت ارتباطات و فناوری اطلاعات ایجاد شده عامل مؤثری بوده است، بعد میتوان درباره برخورد قانونی با این پلتفرمها اقدامی انجام داد.»
وی در پاسخ به این سؤال که دنیا چگونه با این موضوع برخورد میکند، تصریح میکند: «باید دید دنیا با این نوع قضایا با چه سیستم حقوقی کدمحور یا عرفمحور برخورد میکند، چون همانطور که گفته شد، هک و حملات سایبری برای پلتفرمهای بزرگ دنیا مانند فیسبوک، توئیتر و واتسآپ هم اتفاق افتاده و اطلاعات کاربران آنها لو رفته است، ولی با حکمرانی سایبری آنها و تسلطی که روی شبکه ارتباطی دارند، معمولاً عوامل سریع شناسایی و دستگیر میشوند یا در واقع دادههایی که در شبکه خرید و فروش و دانلود میشوند سریع جلوی آنها گرفته میشود.»
منبع: روزنامه جوان