نیروی گریز از هک
وضعیت امنیت اطلاعات شبکهای در گفتوگو با حسین سلاحورزی
از ابتدای زندگی بشر امنیت یکی از دغدغههای اصلی انسانها بوده است، امروزه با گسترش اینترنت و فضای مجازی در جهان لزوم امنیت بیش از پیش احساس میشود. در این بین افرادی وجود دارند که با گسترش این فضا به دنبال برهم زدن امنیت شبکهای هستند. به همین دلیل هر چیزی که به فضای مجازی وابسته است بهطور بالقوه در معرض خطر است. دادههای خصوصی، مالکیت فکری، زیرساختهای سایبری و حتی امنیت نظامی و ملی میتوانند با حملات عمدی، نقصهای امنیتی سهوی و آسیبپذیریهای اینترنت جهانی در معرض خطر قرار گیرند. از همین روی، بسیاری از کشورهای جهان از جمله ایران اقدام به تبیین راهبردهای سالانه برای مواجهه با مسائل در حال ظهور اینترنت میکنند. در این زمینه حسین سلاحورزی فعال بخش خصوصی معتقد است حملات گسترده سایبری که به سامانههای ایرانی میشود در بقیه نقاط جهان اتفاق نمیافتد. این مساله دلیل اصلی هکهای ایران است. هکهای متعدد سامانههای مختلف به این معنی نیست که نکات امنیتی به اندازه کافی رعایت نشده یا سامانههای ایرانی توسعه ضعیفی داشته است. چنین تحلیلی اشتباه است. نکات امنیتی به اندازهای که در همه جای جهان به کار برده میشود در ایران هم به کار برده شده است.
♦♦♦
هرازگاهی هک شدن سایت یا سازمانی خبرساز میشود. یک روز کارتهای سوخت هدف قرار میگیرند و زمانی دوربینها و سایت شهرداری پایتخت. چنین خبرهایی این شائبه را به وجود میآورند که حملات شبکهای روبه افزایشاند. اگر بخواهیم از نگاه امنیتی به بررسی موضوع بپردازیم، مهمترین پرسشی که مطرح میشود این است: مشکل یا مشکلات اصلی از کجا سرچشمه میگیرد؟ چه عواملی شرایط موجود را ایجاد کرده است؟
گمان نمیکنم سامانههای ایران به آن شدتی که مطرح میشود ناامن باشند. اگر به کشورهای دیگر از جمله مالزی، برزیل، کانادا و... بنگرید متوجه میشوید که امنیت سایبری در آن کشورها هم بیشتر از ایران نیست. مساله این است که کشور ما در معرض حمله بیشتری قرار دارد. حملات گسترده سایبری که به سامانههای ایرانی میشود در بقیه نقاط جهان اتفاق نمیافتد. این مساله دلیل اصلی هکهای ایران است. هک متعدد سامانههای مختلف به این معنی نیست که نکات امنیتی به اندازه کافی رعایت نشده یا سامانههای ایرانی توسعه ضعیفی داشته است. چنین تحلیلی اشتباه است. نکات امنیتی به اندازهای که در همه جای جهان به کار برده میشود در ایران هم به کار برده شده است. اگر کشوری امنیت بیشتری میخواهد باید آن را تولید کند. برای مثال شما ماشین لباسشویی که میسازید هیچوقت به این فکر نمیکنید که فردی این ماشین لباسشویی را از پشتبام به پایین پرت کند البته میشود ماشین لباسشویی را طوری ساخت که اگر از پشتبام هم بیفتد، سالم بماند. اما به هر حال احتمال اینکه این اتفاق رخ دهد بسیار کم است. به همین دلیل هم کسی برای این اتفاق هزینه نمیکند. بهطور خلاصه باید بگویم میزان هزینهای که برای امنسازی یک سامانه به عنوان یک محصول انجام میشود از یک حدی فراتر نمیرود. باید این مساله را در نظر بگیریم که ایران شرایط خاصی دارد. تاکید میکنم نباید این برداشت اشتباه صورت بگیرد که محصولاتی که در ایران تولید میشود سطح ایمنی پایینی دارد. در واقع نهتنها در ایران بلکه در تمامی نقاط جهان کالاها با سطح ایمنی بالایی تولید میشوند. مساله این است که حملات سایبری گستردهای به ایران میشود اما این وضعیت در سایر کشورها وجود ندارد و به عبارت دیگر حملات سایبری در کشورهای دیگر در سطح خیلی پایینتری در کشورهای دیگر اتفاق میافتد.
به هر حال به لحاظ امنیتی برخی سامانهها در کشورهای پیشرفته امنیت بالایی دارند. چرا ایران نمیتواند آنگونه که لازم است با کسانی که کشور را دچار مشکلات مربوط به حملات سایبری میکنند، مقابله کند؟
شما به فضای ایران نگاه کنید اگر بخواهید بگویید مسوول مشکلات حملات سایبری جامعه متخصص است مثل این است که بگویید مثلاً مسوول کمکیفیت بودن پراید متخصصان مکانیک هستند. اما متخصصان مکانیک هم مسوولیت کیفیت پایین خودرو را قبول نمیکنند و میگویند کیفیت پایین خودروها به دلایل متنوعی بستگی دارد و ربطی به سطح تخصص و دانش آنها ندارد. به عبارت دیگر نمیتوان گفت دانش مکانیک به دانشجویان خوب آموزش داده نشده است. سامانههای ایران ضعیف و بیکیفیت نیستند. البته قبول دارم که ممکن است به لحاظ امنیتی برخی سامانهها در کشورهای پیشرفته امنیت بالایی داشته باشند اما اینطور نیست که استاندارد ایران خیلی پایین باشد؛ تاکید میکنم که چنین ادعایی درست نیست. شما باید در نظر داشته باشید که این موضوع را در چه فضایی میسنجید؟ ممکن است سامانههای امنیتی در بسیاری از کشورها ناامنتر از ایران باشد اما به آنها حمله نمیشود. اگر هم حملهای سایبری رخ دهد اوضاع این کشورها با ایران تفاوت زیادی دارد. اگر حمله سایبری در سطح داخلی رخ دهد دولتها بهراحتی هکرها را دستگیر میکنند؛ اگر حمله سایبری در سطح بینالمللی باشد بدین معنا که از کشورهای دیگر این هک اتفاق بیفتد به دلیل روابط خوب این کشورها با نظام بینالملل و همچنین به دلیل نبود تحریمهای بینالمللی، میتوانند فوراً به پلیس بینالملل شکایت کنند و خیلی راحت مساله حل میشود. ممکن است شما در کشوری زندگی کنید که امنیت بالایی دارند و به همین دلیل در خانه را قفل نکنید.
در این کشور ممکن است حتی اگر دزد هم بیاید پلیس خیلی سریع دستگیرش کند؛ اما در کشور دیگری ممکن است دهها قفل به در خانه زده شود اما باز هم دزد بیاید.
در حال حاضر ساختار ایران به این شکل است. یک سامانه وجود دارد که میتواند مورد حملات شبکهای در مواردی از خارج از کشور قرار بگیرد. اما به این دلیل که روابط خوبی با نظام بینالملل نداریم نمیتوانیم افراد را دستگیر کنیم. در چنین فضایی به نظر میرسد که سامانههای ایران ناامن است؛ اما واقعیت این نیست. اگر بخواهید به این فضا به عنوان یک فضای جنگی نگاه کنید وقتی فضا جنگی است کشور نیاز به یک نیروی انسانی و متخصص عجیبوغریب دارد؛ که شاید هر کشوری نداشته باشد.
مصوبات شورای عالی فضای مجازی، همواره بر لزوم ایجاد شبکه امن و تقویت زیرساختهای امنیت شبکهای تاکید دارد. اما هک سامانههای مختلف در چند وقت اخیر، تردیدهایی را در این زمینه ایجاد کرده است. به نظر میرسد که حتی با وجود مصوبههایی که برای امنیت شبکهای تعریف شده است، وضعیت مقابله با تهدیدات شبکهای، حفاظت از اطلاعات و مدیریت مخاطرات و صیانت از حریم خصوصی افراد هنوز در وضعیت مطلوبی قرار ندارد. از نظر شما چرا دولت قادر به تامین امنیت اطلاعات افراد جامعه نیست؟ آیا نیاز به قانونگذاری جدیدی در این حوزه داریم؟
بنده گمان میکنم ما به نیروی فنی با تعداد بسیار بیشتری در این زمینه نیاز داریم. نیروی فنی، توانمندی و تخصصهای خاصی میخواهد. متاسفانه در حال حاضر ما با دو موضوع روبهرو هستیم. یکی از مشکلات ما عدم علاقه جامعه به رشتههای مهندسی در کنکور است. اگر توجه کنید اکثر دانشآموزان دبیرستانی به سمت رشتههای تجربی میروند و علاقه به رشته ریاضی کاهش پیدا کرده است. به همین دلیل دانشجویان رشتههای مهندسی هم کاهش پیدا کردهاند و ما در این حوزه با کمبود نیرو مواجه هستیم.
مشکل دیگر این است که در کشور مهاجرت افزایش پیدا کرده و بسیاری از افراد متخصص از کشور مهاجرت میکنند. به هر حال زمانی که تصمیمی گرفته شده و قرار بر سرمایهگذاری است، برای مثال زمانی که قرار است خودرویی ساخته شود؛ این اقدام به متخصص نیاز دارد. در حوزه امنیت سایبری هم مجموعهای از متخصصان لازم است که دور هم جمع شوند. شما نمیتوانید سربازان صفر بیاورید و امور فنی و تخصصی شبکهای و سایبری را به آنها بسپارید. بلکه برای این امور باید نیروهای متخصص و کاربلد در اختیار داشته باشید.
مطابق با اعلام رسانهها؛ در سالهای اخیر نشت و افشای اطلاعات هویتی کاربران بسیاری از سازمانها، اپراتورها، شرکتهای دولتی و خصوصی از موضوعات خبرساز بوده و به دلیل نبود قوانین مشخص و راهکارهای امنیتی، بسیاری از این اطلاعات در فضای مجازی خرید و فروش میشوند. دولت چه مسوولیت حقوقی در برابر اطلاعات ازدسترفته شهروندان دارد؟
این به موضع سایبری برنمیگردد. اطلاعات شخصی ربطی به امنیت سایبری ندارد. مثلاً دادههای ما در سایتی است و هکرها حمله میکنند و دادههای ما را سرقت میکنند. موضوع دیگری هم وجود دارد و آن مربوط به حقوق دادههای ماست. برای مثال ما بارها مشاهده کردهایم که پس از ثبتنام در سازمانی، از محل دیگری پیامک تبلیغاتی برایمان ارسال شده است. این شرایط نشاندهنده این است که شماره تلفن من پس از ثبتنام در اختیار افراد و سازمانهای دیگر قرار گرفته است. یا مثلاً در مورد دیگر ممکن است این تجربه را داشته باشیم که پس از خرید از فروشگاه اطلاعات ما به فرد دیگری ارائه شده باشد. این موارد شامل اطلاعات شخصی میشود و به امنیت اطلاعات ربطی ندارد. این موارد از هم جدا هستند. بعضاً ممکن است از دادههای ما در شرکتها یا ارگانهایی استفاده شود و در واقع ممکن است موقعیت ما به اپراتور فروخته شود. اینکه باید مالکیت دادهها و حریم خصوصی به چه صورت باشد، موضوع حق مالکیت بر دادههایی است که هر شهروندی تولید میکند. دادههایی که بهطور خاص برای هر شهروندی است و میتواند آنها را بفروشد و برای همین برای استفاده از دادهها باید مجوز آن اخذ شده و سهم آن هم به شهروندان پرداخت شود.
هک کردن مثل سرقت است. به این معنا که انگار ما پولهایمان را در بانک گذاشتهایم و یکی آنها را سرقت کرده است. جنس هک کردن فرق میکند اما همینطوری هم حق مالکیت ما نقض میشود؛ حق مالکیت من شهروند به دادههایی که تولید میکنم در اثر تعامل با سازمانهای مختلف چه بخش خصوصی چه بخش دولتی مدام در حال نقض شدن است. مالکیت دادههایی که افراد تولید میکنند از لحاظ قانونی مشخص نیست. افراد میتوانند مالکیت دادههای شهروندان را بفروشند. حالا اینکه قرار باشد اطلاعات را هک کنند مثل این میماند که دادهها در جایی بوده که حق مالکیت را معتبر میدانسته است و پس از سرقت این اطلاعات باید به لحاظ قانونی پیگیری شود. زمانی که من چیزی نزد شما داشته باشم و آن سرقت شود، شما باید پاسخگو باشید و این به قوه قضائیه برمیگردد و باید حکمش بیاید.
بسیاری از کارشناسان معتقدند بزرگترین مشکل امنیت شبکهای عدم استفاده از متخصصان کشوری است. نیروهای متخصص به دلایل مختلف مهاجرت میکنند. اگر بتوانیم از توان متخصصان داخلی بهره ببریم تا حد زیادی میتوانیم مقابل این حملات بایستیم. نظر شما در این رابطه چیست؟ نیروی انسانی متخصص و زبده تا چه حد میتواند امنیت در این حوزه را افزایش دهد؟
در همه جای دنیا این نیروی متخصص است که میتواند خوب عمل کند. ما با کمبود نیروی متخصص در همه زمینهها روبهرو هستیم. گفته میشود که ما در ایران فارغالتحصیل زیاد داریم اما واقعیت این است که ما نیروی متخصص کم داریم. باید این موضوع را در نظر بگیریم که بین فارغالتحصیلان و نیروی متخصص در یک کشور تفاوت زیادی وجود دارد. ممکن است کسی مدرک یک رشته را بگیرد اما مهارت و توانایی کار کردن در آن را نداشته باشد. شما نمیتوانید بگویید این تعداد فارغالتحصیل کامپیوتر داریم پس به همین تعداد هم متخصص داریم، این تفسیر اشتباهی است. برای مثال 10 دانشجو در یک آزمایشگاه دانشگاهی کار میکنند اما فقط دو نفر از آنها تخصص این را دارند که در شرکت کار کنند. بنابراین نمیتوانیم بگوییم چون این تعداد فارغالتحصیل داریم ضرورتاً این تعداد هم متخصص داریم. شما به هر شرکتی سر بزنید میگویند ما در تمام زمینهها از جمله امنیت سایبری با کمبود نیروی انسانی روبهرو هستیم. البته منظور آن نیروی انسانی است که کاربلد باشد.
در شرایطی که دولتها نمیتوانند از حریم خصوصی ما حفاظت کنند از نظر شما راهی وجود دارد که از اطلاعات خود محافظت کنیم؟
جایی که بحث وارد حوزه عمومی میشود وظیفه دولت به عنوان نماینده عموم مردم این است که باید از اطلاعات شهروندانش به عنوان یک کالای عمومی حفاظت کند.