ماجرای پیچیده تجمیع اطلاعات کاربران/ کار هکرها آسان می‌شود؟

شرق نوشت: اخیرا اجبار طلافروشان به ثبت اطلاعات خود در سامانه جامع تجارت سر و صدای زیادی به‌پا کرده‌است؛ بر این اساس طلافروشان ملزم به صدور صورتحساب الکترونیکی برای فروش کالا و خدمات از طریق سامانه مودیان می‌شوند.

در حالی که اینکار منجر به افزایش شفافیت در بازار طلا و جواهر می‌شود اما با توجه به حملات متعدد هکر‌ها در سال‌های اخیر به نظر نمی‌رسد که زیرساخت‌ها صلاحیت لازم برای حفاظت از این اطلاعات مالی تجمیع شده را داشته باشند و با وجود آنکه سازمان امور مالیاتی طی اطلاعیه‌ای از عدم الزام طلافروشان به ثبت کد ملی خریداران خبر داده‌است اما بنابر ضوابط حاکم بر سامانه جامع تجارت و سایر مفاد قانونی نظیر قانون مبارزه با پولشویی، احراز هویت مشتریان این صنف الزامی بوده و طلافروشان نیز موظف به ثبت کد ملی خریداران طلا هستند.

در این خصوص شبکه شرق، در گفت‌وگویی که با میلاد نوری، کارشناس IT و برنامه‌نویس داشته‌است؛ از ریسک‌های این اقدام در شرایط فعلی پرده‌برداری کرده‌ است:

«تجمیع اطلاعات به شکلی که در حال حاضر در ایران در حال وقوع است؛ اقدام جالبی نیست. سازمان‌های مختلف در ایران دست به این کار زده‌اند و هر سازمانی برای اینکه کار نظارت خود را راحت‌تر کند، به دنبال تجمیع اطلاعات است. به عنوان مثال شهرداری از تاکسی‌های اینترنتی خواسته است تا اطلاعات سفرهای خو را بر روی سامانه‌ای خاص ذخیره کنند و یا وزارت بازرگانی از کسب و کارها می‌خواهد اطلاعات خود را در سامانه‌ این وزارت‌خانه وارد کنند.

جدا از اینکه ما در حوزه زیرساختی و نرم‌افزاری و سخت‌افزاری مشکل امنیت داریم، تجمیع اطلاعات ریسک نشت اطلاعات شهروندان را بالا میبرد. در حال حاضر حتی کسب‌و‌کارهایی که در حوزه پرداخت فعالیت می‌کنند و با اطلاعات مالی مردم سر و کار دارند، سعی می‌کنند احراز هویت را به شیوه سنتی انجام دهند.

زمانی که با فعالان حوزه کسب و کار به گفت‌وگو می‌نشینیم، می‌گویند که به خیلی از اطلاعات مردم نیازی ندارند اما پیش می‌آید که پلیس فتا به سراغ آنها بیاید و از آنها اطلاعات بخواهد و خود کسب و کارها نیز از ترس نظارت خیلی از اطلاعات را نگه می‌دارند. به عنوان مثال در شبکه اجتماعی X (توییتر) از تپسی و اسنپ پرسیده بودند که چرا اجازه حذف اطلاعات کاربر را نمی‌دهند و مدیر تپسی گفته بود که از نظر حقوقی اجازه این کار را ندارند چراکه باید اطلاعات کاربر را ذخیره داشته باشند.»

مسئولان به دنبال تجمیع‌ هرچه بیشتر اطلاعات کاربران

میلاد نوری با اشاره به این موضوع که اطلاعات کاربران در درگاه کسب‌و‌کارها، نهادهای بالادست آنها و نهادهای بالادستی‌تر ذخیره می‌شود و مسئولان به دنبال تجمیعِ تجمیع‌شدگان هستند؛ گفت: «از طرفی هیچ نظارتی بر روی این اطلاعاتی که تجمیع شده‌است، صورت نمی‌گیرد. شاید اسما پلیس فتا یک‌سری الزامات امنیتی در ارتباط با کسب‌و‌کارهای بزرگ داشته باشد، اما این الزامات نتوانسته‌است، جلوی هکر‌ها را بگیرد و اطلاعاتی که از سوی هکر‌ها منتشر می‌شود حاکی از آن است که حتی یک‌سری رمزنگاری‌های ساده نیز اتفاق نمی‌افتد و حتی اطلاعات حساسی مانند شناسه گوشی کاربران نیز رمزنگاری نمی‌شود و این نشان می‌دهد که نظارتی نیز اگر بوده‌است، کارآمد نبوده‌است و در فقدان نظارت شفاف و کارآمد، ذخیره و تجمیع هرگونه اطلاعات اضافی از کاربر، ریسک نشت این اطلاعات را بالا می‌برد.»

جذابیت اطلاعات مالی کاربران برای سارقان

میلاد نوری در پاسخ به این پرسش که چه استفاده‌هایی ممکن است از اطلاعات کاربران صورت گیرد؛ گفت: «زمانی که اطلاعات در دست هکر‌ها می‌افتد، هکرها راه‌های مختلفی برای استفاده از آن اطلاعات پیدا می‌کنند که ممکن است در لحظه به ذهن من و شما نرسد ولی هکرها روش‌هایی به ذهنشان می‌رسد که ممکن است پیش‌بینی‌شده نباشد و حتی به ذهن قانون گذار نیز نرسیده باشد تا برای آن جرم انگاری صورت گرفته باشد. ولی به طور کلی این اطلاعات برای کلاهبرداری‌های مختلف مورد استفاده قرار می‌گیرد و هرچه حجم اطلاعات در دست آنها بیشتر باشد جامعه بزرگتری را می‌توانند هدف قرار دهند.

در نمونه خیلی ساده،‌ آنها افراد کم‌اطلاع جامعه را هدف کلاهبرداری‌های تلفنی قرار می‌دهند. زمانی که شما به شخصی که آگاهی کمتری دارد و دانش کمتری دارد زنگ می‌زنید و فهرست تمام سفرها، خرید و فروش طلاهای او را در اختیار دارید، راحت‌تر می‌توانید او را فریب دهید و خیلی راحت می‌توانید اعتماد وی را جلب کنید. در این میان اطلاعاتی مانند حجم، تاریخ و یا مکان و زمان خرید و فروش ارز و طلا که از جمله اطلاعات مالی هستند نیز برای سارقان بسیار جذاب و حیاتی هستند.»

هیچکس بازجویی نمی‌شود

این کارشناس IT در ادامه گفت: «وقتی نحوه نگهداری اطلاعات شفاف نیست و ما قانون سفت و سختی برای زمانی که اطلاعات کاربر لو رفت نداریم؛ نهادهای دولتی و یا شرکت‌های خصوصی نیز خیلی سفت و سخت نمی‌گیرند، چراکه می‌بینند زمانی که اطلاعات یک شرکت لو می‌رود هیج برخوردی با آن نمی‌شود و هیچ قانونی از حقوق کاربر دفاع نمی‌کند و به همین دلیل تنها با گذشت چند هفته همان اطلاعات ازیک شرکت دیگر لو می‌رود و به غیر از اینکه برند آنها کمی آسیب ببیند و افکار عمومی علیه آنها اطلاع رسانی کند، هیچکس آنها را بازجویی نمی‌کند و این‌ هک‌ها هیچ هزینه مادی و معنوی برای آنها نداشته‌است.»

تهدید کاربر ایرانی با فقدان نیروی متخصص و قانون

میلاد نوری در ادامه با اشاره به اینکه نبود یک قانون تمام کمال و یا عدم اجرای قوانین دست و پا شکسته مشکل اصلی ما در حفظ اطلاعات کاربران است؛ گفت: «هیچ کسب و کاری الزام صد درصدی برای رعایت قوانین دست و پا شکسته نیز ندارد، چراکه می‌داند نظارتی بر روی آنها نیست. اگر قانون و نظارت نیز در کار باشد بازهم به نیروی متخصصی نیاز است تا به موقع در بخش زیرساخت و نرم افزار به شما کمک کند و شما را به صورت دوره‌ای آزمایش کند تا اگر آسیب‌پذیری وجود دارد آن را برطرف کنید. اما به خاطر مسائل اقتصادی اکثر افرادی که در این حوزه فعال بودند از ایران مهاجرت کرده‌اند و افرادی که در ایران نیز کماکان فعال هستند، دیگر بازار ایران برای آنها جذابیتی ندارد و در بازار کشورهای خارجی فعالیت می‌کنند و درآمد دلاری دارند و مهاجرت نیروی متخصص نیز یکی از مواردی است که در کنار نبود قانون منجر به آسیب پذیری در این حوزه شده‌است.»

دو بند طرح صیانت که به فراموشی سپرده شد

این برنامه نویس در ادامه در پاسخ به این پرسش که چرا عزمی برای قانون گذاری در این حوزه وجود ندارد؛ گفت: «شاید نماینده‌ها از خسارت‌هایی که به بار می‌آید آگاه نیستند. زمانی که طرح صیانت در مجلس ارائه شد، دو بند از آن به حفاظت از داده‌های کاربر تخصیص پیدا کرده بود تا بتوانند از آن طرح دفاع کنند. اما بندهای محدودیت اینترنت طرح صیانت بدون نیاز به رأی آوردن طرح اجرایی شد و بندهای حفاظت از داده‌های آن به فراموشی سپرده شد و حتی نمایندگانی که پیگیر طرح صیانت بودند و به بندهای حفاظت از داده‌های کاربر استناد می‌کردند نیز دیگر دغدغه‌ای برای این کار ندارند. شاید از طرف مشاوران و افراد دیگر به نمایندگان مجلس اطلاع داده نمی‌شود و یا حساسیت موضوع را درک نکرده‌اند و یا این موضوع در مجلس اولویت ندارد.»

 

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.