نیروی گریز از هک

‌ هرازگاهی هک ‌شدن سایت یا سازمانی خبرساز می‌شود. یک روز کارت‌های سوخت هدف قرار می‌گیرند و زمانی دوربین‌ها و سایت شهرداری پایتخت. چنین خبرهایی این شائبه را به وجود می‌آورند که حملات شبکه‌ای روبه افزایش‌اند. اگر بخواهیم از نگاه امنیتی به بررسی موضوع بپردازیم، مهم‌ترین پرسشی که مطرح می‌شود این است: مشکل یا مشکلات اصلی از کجا سرچشمه می‌گیرد؟ چه عواملی شرایط موجود را ایجاد کرده است؟

گمان نمی‌کنم سامانه‌های ایران به آن شدتی که مطرح می‌شود ناامن باشند. اگر به کشورهای دیگر از جمله مالزی، برزیل، کانادا و... بنگرید متوجه می‌شوید که امنیت سایبری در آن کشورها هم بیشتر از ایران نیست. مساله این است که کشور ما در معرض حمله بیشتری قرار دارد. حملات گسترده سایبری که به سامانه‌های ایرانی می‌شود در بقیه نقاط جهان اتفاق نمی‌افتد. این مساله دلیل اصلی هک‌های ایران است. هک متعدد سامانه‌های مختلف به این معنی نیست که نکات امنیتی به اندازه کافی رعایت نشده یا سامانه‌های ایرانی توسعه ضعیفی داشته است. چنین تحلیلی اشتباه است. نکات امنیتی به اندازه‌ای که در همه جای جهان به کار برده می‌شود در ایران هم به کار برده شده است. اگر کشوری امنیت بیشتری می‌خواهد باید آن را تولید کند. برای مثال شما ماشین لباسشویی که می‌سازید هیچ‌وقت به این فکر نمی‌کنید که فردی این ماشین لباسشویی را از پشت‌بام به پایین پرت کند البته می‌شود ماشین لباسشویی را طوری ساخت که اگر از پشت‌بام هم بیفتد، سالم بماند. اما به هر حال احتمال اینکه این اتفاق رخ دهد بسیار کم است. به همین دلیل هم کسی برای این اتفاق هزینه نمی‌کند. به‌طور خلاصه باید بگویم میزان هزینه‌ای که برای امن‌سازی یک سامانه به عنوان یک محصول انجام می‌شود از یک حدی فراتر نمی‌رود. باید این مساله را در نظر بگیریم که ایران شرایط خاصی دارد. تاکید می‌کنم نباید این برداشت اشتباه صورت بگیرد که محصولاتی که در ایران تولید می‌شود سطح ایمنی پایینی دارد. در واقع نه‌تنها در ایران بلکه در تمامی نقاط جهان کالاها با سطح ایمنی بالایی تولید می‌شوند. مساله این است که حملات سایبری گسترده‌ای به ایران می‌شود اما این وضعیت در سایر کشورها وجود ندارد و به عبارت دیگر حملات سایبری در کشورهای دیگر در سطح خیلی پایین‌تری در کشورهای دیگر اتفاق می‌افتد.

‌ به هر حال به لحاظ امنیتی برخی سامانه‌ها در کشورهای پیشرفته امنیت بالایی دارند. چرا ایران نمی‌تواند آن‌گونه که لازم است با کسانی که کشور را دچار مشکلات مربوط به حملات سایبری می‌کنند، مقابله کند؟

شما به فضای ایران نگاه کنید اگر بخواهید بگویید مسوول مشکلات حملات سایبری جامعه متخصص است مثل این است که بگویید مثلاً مسوول کم‌کیفیت بودن پراید متخصصان مکانیک هستند. اما متخصصان مکانیک هم مسوولیت کیفیت پایین خودرو را قبول نمی‌کنند و می‌گویند کیفیت پایین خودروها به دلایل متنوعی بستگی دارد و ربطی به سطح تخصص و دانش آنها ندارد. به عبارت دیگر نمی‌توان گفت دانش مکانیک به دانشجویان خوب آموزش داده نشده است. سامانه‌های ایران ضعیف و بی‌کیفیت نیستند. البته قبول دارم که ممکن است به لحاظ امنیتی برخی سامانه‌ها در کشورهای پیشرفته امنیت بالایی داشته باشند اما این‌طور نیست که استاندارد ایران خیلی پایین باشد؛ تاکید می‌کنم که چنین ادعایی درست نیست. شما باید در نظر داشته باشید که این موضوع را در چه فضایی می‌سنجید؟ ممکن است سامانه‌های امنیتی در بسیاری از کشورها ناامن‌تر از ایران باشد اما به آنها حمله نمی‌شود. اگر هم حمله‌ای سایبری رخ دهد اوضاع این کشورها با ایران تفاوت زیادی دارد. اگر حمله سایبری در سطح داخلی رخ دهد دولت‌ها به‌راحتی هکرها را دستگیر می‌کنند؛ اگر حمله سایبری در سطح بین‌المللی باشد بدین معنا که از کشورهای دیگر این هک اتفاق بیفتد به دلیل روابط خوب این کشورها با نظام بین‌الملل و همچنین به دلیل نبود تحریم‌های بین‌المللی، می‌توانند فوراً به پلیس بین‌الملل شکایت کنند و خیلی راحت مساله حل می‌شود. ممکن است شما در کشوری زندگی کنید که امنیت بالایی دارند و به همین دلیل در خانه را قفل نکنید. 

در این کشور ممکن است حتی اگر دزد هم بیاید پلیس خیلی سریع دستگیرش کند؛ اما در کشور دیگری ممکن است ده‌ها قفل به در خانه زده شود اما باز هم دزد بیاید.

در حال حاضر ساختار ایران به این شکل است. یک سامانه وجود دارد که می‌تواند مورد حملات شبکه‌ای در مواردی از خارج از کشور قرار بگیرد. اما به این دلیل که روابط خوبی با نظام بین‌الملل نداریم نمی‌توانیم افراد را دستگیر کنیم. در چنین فضایی به نظر می‌رسد که سامانه‌های ایران ناامن است؛ اما واقعیت این نیست. اگر بخواهید به این فضا به عنوان یک فضای جنگی نگاه کنید وقتی فضا جنگی است کشور نیاز به یک نیروی انسانی و متخصص عجیب‌و‌غریب دارد؛ که شاید هر کشوری نداشته باشد.

‌ مصوبات شورای عالی فضای مجازی، همواره بر لزوم ایجاد شبکه امن و تقویت زیرساخت‌های امنیت شبکه‌ای تاکید دارد. اما هک سامانه‌های مختلف در چند وقت اخیر، تردیدهایی را در این زمینه ایجاد کرده است. به نظر می‌رسد که حتی با وجود مصوبه‌هایی که برای امنیت شبکه‌ای تعریف شده است، وضعیت مقابله با تهدیدات شبکه‌ای، حفاظت از اطلاعات و مدیریت مخاطرات و صیانت از حریم خصوصی افراد هنوز در وضعیت مطلوبی قرار ندارد. از نظر شما چرا دولت قادر به تامین امنیت اطلاعات افراد جامعه نیست؟ آیا نیاز به قانونگذاری جدیدی در این حوزه داریم؟

بنده گمان می‌کنم ما به نیروی فنی با تعداد بسیار بیشتری در این زمینه نیاز داریم. نیروی فنی، توانمندی و تخصص‌های خاصی می‌خواهد. متاسفانه در حال حاضر ما با دو موضوع روبه‌رو هستیم. یکی از مشکلات ما عدم علاقه جامعه به رشته‌های مهندسی در کنکور است. اگر توجه کنید اکثر دانش‌آموزان دبیرستانی به سمت رشته‌های تجربی می‌روند و علاقه به رشته ریاضی کاهش پیدا کرده است. به همین دلیل دانشجویان رشته‌های مهندسی هم کاهش پیدا کرده‌اند و ما در این حوزه با کمبود نیرو مواجه هستیم. 

مشکل دیگر این است که در کشور مهاجرت افزایش پیدا کرده و بسیاری از افراد متخصص از کشور مهاجرت می‌کنند. به هر حال زمانی که تصمیمی گرفته شده و قرار بر سرمایه‌گذاری است، برای مثال زمانی که قرار است خودرویی ساخته شود؛ این اقدام به متخصص نیاز دارد. در حوزه امنیت سایبری هم مجموعه‌ای از متخصصان لازم است که دور هم جمع شوند. شما نمی‌توانید سربازان صفر بیاورید و امور فنی و تخصصی شبکه‌ای و سایبری را به آنها بسپارید. بلکه برای این امور باید نیروهای متخصص و کاربلد در اختیار داشته باشید.

‌ مطابق با اعلام رسانه‌ها؛ در سال‌های اخیر نشت و افشای اطلاعات هویتی کاربران بسیاری از سازمان‌ها، اپراتورها، شرکت‌های دولتی و خصوصی از موضوعات خبرساز بوده و به دلیل نبود قوانین مشخص و راهکارهای امنیتی، بسیاری از این اطلاعات در فضای مجازی خرید و فروش می‌شوند. دولت چه مسوولیت حقوقی در برابر اطلاعات ازدست‌رفته شهروندان دارد؟

این به موضع سایبری برنمی‌گردد. اطلاعات شخصی ربطی به امنیت سایبری ندارد. مثلاً داده‌های ما در سایتی است و هکرها حمله می‌کنند و داده‌های ما را سرقت می‌کنند. موضوع دیگری هم وجود دارد و آن مربوط به حقوق داده‌های ماست. برای مثال ما بارها مشاهده کرده‌ایم که پس از ثبت‌نام در سازمانی، از محل دیگری پیامک تبلیغاتی برایمان ارسال شده است. این شرایط نشان‌دهنده این است که شماره تلفن من پس از ثبت‌نام در اختیار افراد و سازمان‌های دیگر قرار گرفته است. یا مثلاً در مورد دیگر ممکن است این تجربه را داشته باشیم که پس از خرید از فروشگاه اطلاعات ما به فرد دیگری ارائه شده باشد. این موارد شامل اطلاعات شخصی می‌شود و به امنیت اطلاعات ربطی ندارد. این موارد از هم جدا هستند. بعضاً ممکن است از داده‌های ما در شرکت‌ها یا ارگان‌هایی استفاده شود و در واقع ممکن است موقعیت ما به اپراتور فروخته شود. اینکه باید مالکیت داده‌ها و حریم خصوصی به چه صورت باشد، موضوع حق مالکیت بر داده‌هایی است که هر شهروندی تولید می‌کند. داده‌هایی که به‌طور خاص برای هر شهروندی است و می‌تواند آنها را بفروشد و برای همین برای استفاده از داده‌ها باید مجوز آن اخذ شده و سهم آن هم به شهروندان پرداخت شود.

 هک کردن مثل سرقت است. به این معنا که انگار ما پول‌هایمان را در بانک گذاشته‌ایم و یکی آنها را سرقت کرده است. جنس هک کردن فرق می‌کند اما همین‌طوری هم حق مالکیت ما نقض می‌شود؛ حق مالکیت من شهروند به داده‌هایی که تولید می‌کنم در اثر تعامل با سازمان‌های مختلف چه بخش خصوصی چه بخش دولتی مدام در حال نقض شدن است. مالکیت داده‌هایی که افراد تولید می‌کنند از لحاظ قانونی مشخص نیست. افراد می‌توانند مالکیت داده‌های شهروندان را بفروشند. حالا اینکه قرار باشد اطلاعات را هک کنند مثل این می‌ماند که داده‌ها در جایی بوده که حق مالکیت را معتبر می‌دانسته است و پس از سرقت این اطلاعات باید به لحاظ قانونی پیگیری شود. زمانی که من چیزی نزد شما داشته باشم و آن سرقت شود، شما باید پاسخگو باشید و این به قوه قضائیه برمی‌گردد و باید حکمش بیاید.

‌ بسیاری از کارشناسان معتقدند بزرگ‌ترین مشکل امنیت شبکه‌ای عدم استفاده از متخصصان کشوری است. نیروهای متخصص به دلایل مختلف مهاجرت می‌کنند. اگر بتوانیم از توان متخصصان داخلی بهره ببریم تا حد زیادی می‌توانیم مقابل این حملات بایستیم. نظر شما در این رابطه چیست؟ نیروی انسانی متخصص و زبده تا چه حد می‌تواند امنیت در این حوزه را افزایش دهد؟

در همه جای دنیا این نیروی متخصص است که می‌تواند خوب عمل کند. ما با کمبود نیروی متخصص در همه زمینه‌ها روبه‌رو هستیم. گفته می‌شود که ما در ایران فارغ‌التحصیل زیاد داریم اما واقعیت این است که ما نیروی متخصص کم داریم. باید این موضوع را در نظر بگیریم که بین فارغ‌التحصیلان و نیروی متخصص در یک کشور تفاوت زیادی وجود دارد. ممکن است کسی مدرک یک رشته‌ را بگیرد اما مهارت و توانایی کار کردن در آن را نداشته باشد. شما نمی‌توانید بگویید این تعداد فارغ‌التحصیل کامپیوتر داریم پس به همین تعداد هم متخصص داریم، این تفسیر اشتباهی است. برای مثال 10 دانشجو در یک آزمایشگاه دانشگاهی کار می‌کنند اما فقط دو نفر از آنها تخصص این را دارند که در شرکت کار کنند. بنابراین نمی‌توانیم بگوییم چون این تعداد فارغ‌التحصیل داریم ضرورتاً این تعداد هم متخصص داریم. شما به هر شرکتی سر بزنید می‌گویند ما در تمام زمینه‌ها از جمله امنیت سایبری با کمبود نیروی انسانی روبه‌رو هستیم. البته منظور آن نیروی انسانی است که کاربلد باشد.

‌ در شرایطی که دولت‌ها نمی‌توانند از حریم خصوصی ما حفاظت کنند از نظر شما راهی وجود دارد که از اطلاعات خود محافظت کنیم؟

جایی که بحث وارد حوزه عمومی می‌شود وظیفه دولت به عنوان نماینده عموم مردم این است که باید از اطلاعات شهروندانش به عنوان یک کالای عمومی حفاظت کند.