ماجرای پیچیده تجمیع اطلاعات کاربران/ کار هکرها آسان میشود؟
در حالی که اینکار منجر به افزایش شفافیت در بازار طلا و جواهر میشود اما با توجه به حملات متعدد هکرها در سالهای اخیر به نظر نمیرسد که زیرساختها صلاحیت لازم برای حفاظت از این اطلاعات مالی تجمیع شده را داشته باشند و با وجود آنکه سازمان امور مالیاتی طی اطلاعیهای از عدم الزام طلافروشان به ثبت کد ملی خریداران خبر دادهاست اما بنابر ضوابط حاکم بر سامانه جامع تجارت و سایر مفاد قانونی نظیر قانون مبارزه با پولشویی، احراز هویت مشتریان این صنف الزامی بوده و طلافروشان نیز موظف به ثبت کد ملی خریداران طلا هستند.
در این خصوص شبکه شرق، در گفتوگویی که با میلاد نوری، کارشناس IT و برنامهنویس داشتهاست؛ از ریسکهای این اقدام در شرایط فعلی پردهبرداری کرده است:
«تجمیع اطلاعات به شکلی که در حال حاضر در ایران در حال وقوع است؛ اقدام جالبی نیست. سازمانهای مختلف در ایران دست به این کار زدهاند و هر سازمانی برای اینکه کار نظارت خود را راحتتر کند، به دنبال تجمیع اطلاعات است. به عنوان مثال شهرداری از تاکسیهای اینترنتی خواسته است تا اطلاعات سفرهای خو را بر روی سامانهای خاص ذخیره کنند و یا وزارت بازرگانی از کسب و کارها میخواهد اطلاعات خود را در سامانه این وزارتخانه وارد کنند.
جدا از اینکه ما در حوزه زیرساختی و نرمافزاری و سختافزاری مشکل امنیت داریم، تجمیع اطلاعات ریسک نشت اطلاعات شهروندان را بالا میبرد. در حال حاضر حتی کسبوکارهایی که در حوزه پرداخت فعالیت میکنند و با اطلاعات مالی مردم سر و کار دارند، سعی میکنند احراز هویت را به شیوه سنتی انجام دهند.
زمانی که با فعالان حوزه کسب و کار به گفتوگو مینشینیم، میگویند که به خیلی از اطلاعات مردم نیازی ندارند اما پیش میآید که پلیس فتا به سراغ آنها بیاید و از آنها اطلاعات بخواهد و خود کسب و کارها نیز از ترس نظارت خیلی از اطلاعات را نگه میدارند. به عنوان مثال در شبکه اجتماعی X (توییتر) از تپسی و اسنپ پرسیده بودند که چرا اجازه حذف اطلاعات کاربر را نمیدهند و مدیر تپسی گفته بود که از نظر حقوقی اجازه این کار را ندارند چراکه باید اطلاعات کاربر را ذخیره داشته باشند.»
مسئولان به دنبال تجمیع هرچه بیشتر اطلاعات کاربران
میلاد نوری با اشاره به این موضوع که اطلاعات کاربران در درگاه کسبوکارها، نهادهای بالادست آنها و نهادهای بالادستیتر ذخیره میشود و مسئولان به دنبال تجمیعِ تجمیعشدگان هستند؛ گفت: «از طرفی هیچ نظارتی بر روی این اطلاعاتی که تجمیع شدهاست، صورت نمیگیرد. شاید اسما پلیس فتا یکسری الزامات امنیتی در ارتباط با کسبوکارهای بزرگ داشته باشد، اما این الزامات نتوانستهاست، جلوی هکرها را بگیرد و اطلاعاتی که از سوی هکرها منتشر میشود حاکی از آن است که حتی یکسری رمزنگاریهای ساده نیز اتفاق نمیافتد و حتی اطلاعات حساسی مانند شناسه گوشی کاربران نیز رمزنگاری نمیشود و این نشان میدهد که نظارتی نیز اگر بودهاست، کارآمد نبودهاست و در فقدان نظارت شفاف و کارآمد، ذخیره و تجمیع هرگونه اطلاعات اضافی از کاربر، ریسک نشت این اطلاعات را بالا میبرد.»
جذابیت اطلاعات مالی کاربران برای سارقان
میلاد نوری در پاسخ به این پرسش که چه استفادههایی ممکن است از اطلاعات کاربران صورت گیرد؛ گفت: «زمانی که اطلاعات در دست هکرها میافتد، هکرها راههای مختلفی برای استفاده از آن اطلاعات پیدا میکنند که ممکن است در لحظه به ذهن من و شما نرسد ولی هکرها روشهایی به ذهنشان میرسد که ممکن است پیشبینیشده نباشد و حتی به ذهن قانون گذار نیز نرسیده باشد تا برای آن جرم انگاری صورت گرفته باشد. ولی به طور کلی این اطلاعات برای کلاهبرداریهای مختلف مورد استفاده قرار میگیرد و هرچه حجم اطلاعات در دست آنها بیشتر باشد جامعه بزرگتری را میتوانند هدف قرار دهند.
در نمونه خیلی ساده، آنها افراد کماطلاع جامعه را هدف کلاهبرداریهای تلفنی قرار میدهند. زمانی که شما به شخصی که آگاهی کمتری دارد و دانش کمتری دارد زنگ میزنید و فهرست تمام سفرها، خرید و فروش طلاهای او را در اختیار دارید، راحتتر میتوانید او را فریب دهید و خیلی راحت میتوانید اعتماد وی را جلب کنید. در این میان اطلاعاتی مانند حجم، تاریخ و یا مکان و زمان خرید و فروش ارز و طلا که از جمله اطلاعات مالی هستند نیز برای سارقان بسیار جذاب و حیاتی هستند.»
هیچکس بازجویی نمیشود
این کارشناس IT در ادامه گفت: «وقتی نحوه نگهداری اطلاعات شفاف نیست و ما قانون سفت و سختی برای زمانی که اطلاعات کاربر لو رفت نداریم؛ نهادهای دولتی و یا شرکتهای خصوصی نیز خیلی سفت و سخت نمیگیرند، چراکه میبینند زمانی که اطلاعات یک شرکت لو میرود هیج برخوردی با آن نمیشود و هیچ قانونی از حقوق کاربر دفاع نمیکند و به همین دلیل تنها با گذشت چند هفته همان اطلاعات ازیک شرکت دیگر لو میرود و به غیر از اینکه برند آنها کمی آسیب ببیند و افکار عمومی علیه آنها اطلاع رسانی کند، هیچکس آنها را بازجویی نمیکند و این هکها هیچ هزینه مادی و معنوی برای آنها نداشتهاست.»
تهدید کاربر ایرانی با فقدان نیروی متخصص و قانون
میلاد نوری در ادامه با اشاره به اینکه نبود یک قانون تمام کمال و یا عدم اجرای قوانین دست و پا شکسته مشکل اصلی ما در حفظ اطلاعات کاربران است؛ گفت: «هیچ کسب و کاری الزام صد درصدی برای رعایت قوانین دست و پا شکسته نیز ندارد، چراکه میداند نظارتی بر روی آنها نیست. اگر قانون و نظارت نیز در کار باشد بازهم به نیروی متخصصی نیاز است تا به موقع در بخش زیرساخت و نرم افزار به شما کمک کند و شما را به صورت دورهای آزمایش کند تا اگر آسیبپذیری وجود دارد آن را برطرف کنید. اما به خاطر مسائل اقتصادی اکثر افرادی که در این حوزه فعال بودند از ایران مهاجرت کردهاند و افرادی که در ایران نیز کماکان فعال هستند، دیگر بازار ایران برای آنها جذابیتی ندارد و در بازار کشورهای خارجی فعالیت میکنند و درآمد دلاری دارند و مهاجرت نیروی متخصص نیز یکی از مواردی است که در کنار نبود قانون منجر به آسیب پذیری در این حوزه شدهاست.»
دو بند طرح صیانت که به فراموشی سپرده شد
این برنامه نویس در ادامه در پاسخ به این پرسش که چرا عزمی برای قانون گذاری در این حوزه وجود ندارد؛ گفت: «شاید نمایندهها از خسارتهایی که به بار میآید آگاه نیستند. زمانی که طرح صیانت در مجلس ارائه شد، دو بند از آن به حفاظت از دادههای کاربر تخصیص پیدا کرده بود تا بتوانند از آن طرح دفاع کنند. اما بندهای محدودیت اینترنت طرح صیانت بدون نیاز به رأی آوردن طرح اجرایی شد و بندهای حفاظت از دادههای آن به فراموشی سپرده شد و حتی نمایندگانی که پیگیر طرح صیانت بودند و به بندهای حفاظت از دادههای کاربر استناد میکردند نیز دیگر دغدغهای برای این کار ندارند. شاید از طرف مشاوران و افراد دیگر به نمایندگان مجلس اطلاع داده نمیشود و یا حساسیت موضوع را درک نکردهاند و یا این موضوع در مجلس اولویت ندارد.»