امنیت از دست رفته
چرا دولت قادر به تامین امنیت اطلاعات جامعه نیست؟
یک گروه هکری مدعی است سازمان ثبت احوال را هک کرده و بخشی از اطلاعات دیتابیس و زیرساخت را به عنوان صحت ادعای خود منتشر کرده است. این هکر ادعا دارد که به اطلاعات ۱۳۰ میلیون ایرانی دست یافته است. او در کانال تلگرامی خود این موضوع را اعلام کرده و در حال حاضر کارشناسان فنی مشغول بررسی صحت ادعای او هستند.
چند روز بعد وبسایت وزارت علوم، فناوری و تحقیقات هم از دسترس خارج شد. یک گروه هکری دیگر هم ادعا کرد که سایت وزارت علوم و فناوری را هک کرده است. آنها مدعی هستند که در راستای این حمله، به بیش از 20 هزار سند دسترسی پیدا کردهاند. این گروه هکری مدعی است که 500 سرور، کامپیوتر، سایت و سامانه این وزارتخانه را هک کرده است. این گروه هکری پیش از این مسوولیت هک شدن سازمانهایی مثل شهرداری تهران، وزارت امور خارجه، وزارت جهاد کشاورزی، وزارت ارشاد، صداوسیما، نهاد ریاستجمهوری و... را هم بر عهده گرفته بود و در حال حاضر مشغول نشر اطلاعاتی درباره کارکنان این وزارتخانه است.
در تعطیلات نوروز ۹۹ نیز اطلاعات چند ده میلیون ایرانی لو رفته بود. در آن زمان اعلام شد درز اطلاعات به خاطر تعامل ثبت احوال با وزارت بهداشت بوده و اطلاعات از طریق این وزارتخانه لو رفته است. در آبان 1400 نیز براساس حمله هکرها، در سیستمهای چهار هزار و ۳۰۰ جایگاه سوخترسانی کشور اختلال ایجاد شد.
چندی پیش اطلاعات ۱۹ شرکت بیمهای به وسیله یک هکر در شبکههای اجتماعی به فروش گذاشته شده اما هیچ واکنشی در برابر این موضوع از سوی شرکتهای بیمهای صورت نگرفته است. همچنین مدیرعامل تپسی با انتشار توئیتی اعلام کرد این پلتفرم هک شده و برخی از اطلاعات آنها به سرقت رفته است.
اینها تنها چند نمونه معروفتر از انواع هکهای سازمانهای دولتی و خصوصی ایران در سالهای اخیر بوده است. و به نظر میرسد حمله سایبری به زیرساختهای کشور و هک وبسایتهای دولتی و خصوصی همچنان ادامه دارد.
امنیت بنا به تعریفی که در جامعه ما جا افتاده یعنی دوری از هرگونه تهدید و نیز آمادگی برای رویارویی با خطرات. امنیت انواع گوناگون دارد اما در هر شکل آن، کالای عمومی است که دولتها باید آن را تهیه و تامین کنند. هر سال بودجه زیادی صرف این میشود که تهدیدها از جامعه دور شود تا افراد بتوانند کسبوکار و زندگی کنند. اما در سالهای گذشته به دلیل گسترش تکنولوژی و رواج شبکههای اجتماعی، امنیت مفهوم جدیدی پیدا کرده و به نظر میرسد دولت در تامین این جنبه از امنیت توفیق زیادی نداشته است.
با گسترش تکنولوژی و فراگیر شدن اینترنت، کاربران نیاز به احساس امنیت در فضای سایبری برای انجام امور خود دارند که این امنیت ابتدا با افزایش سطح آگاهی و دانش خود کاربران و سپس با کمک شرکتهای امنیتی و مراجع قانونی و پلیسهای سایبری فراهم میشود.
این روزها افراد زیادی در معرض هک اطلاعات شخصی خود قرار دارند بنابراین لازم است که هر فرد آگاهی و مهارت خود را افزایش دهد تا در معرض سرقت اطلاعات خود قرار نگیرد. اما این همه ماجرا نیست و جنبه دیگر امنیت اطلاعات، دست ما نیست و دولتها باید از آن محافظت کنند. پس از هک سامانه «تهران من» متعلق به شهرداری تهران، «سامانه اطلاعات املاک وزارت مسکن» نیز هک شد. در سالهای گذشته تعداد سامانههایی که به وسیله هکرهای داخلی و خارجی هک شده کم نیست. بانکها، بیمهها، سامانههای رفاهی و سلامت و... همواره در معرض دستبرد هکرها قرار دارند و در سالهای گذشته بارها مورد حمله قرار گرفتهاند. دولتها با ایجاد سامانههای مختلف، اطلاعات افراد را جمع میکنند اما هکرها به راحتی اطلاعات افراد را در اختیار میگیرند.
تقریباً با اطمینان زیاد متوجه شدهایم که بیشتر از همیشه در معرض سرقت اطلاعات مهم مالی و شخصی خود قرار داریم و نکته نگرانکننده اینکه دولتها نمیتوانند از حریم خصوصی ما حفاظت کنند و با نشت گسترده اطلاعات شخصی خود از منابع دولتی مواجه هستیم. آیا راهی وجود دارد که از اطلاعات خود محافظت کنیم؟ آیا نیاز به سیاستگذاری و قانونگذاری داریم؟ در این گزارش تلاش شده تا با بازنگری به برخی از مفاهیم مثل امنیت داده در مثالها و مقایسههایی به ضرورت بازنگری به روند مدیریت امنیت داده در ایران پرداخته شود.
پیش از ورود به بحث «امینت داده» ابتدا باید مشخص کنیم آن دادهای که «داده شخصی» مینامیم چیست و محرمانگیاش چه الزامی دارد؟
پس اول از منظر حقوقی به این موضوع نگاه میکنیم. قوانین در دنیا مشخص میکنند که از نظر حقوقی چه دادهای محرمانه است. اما در ایران چنین قانونی را که در دنیا رایج است، نداریم. در این قوانین خیلی دقیق مشخص شده که داده شخصی چیست؛ مثلاً دقیقاً ذکر شده که آیا کد ملی، اسم، اطلاعات مالیاتی، اطلاعات سلامت و... اطلاعات شخصی هستند یا خیر. حتی در قانون امنیت داده آمریکا دقیقاً مشخص شده که رنگ چشم فرد داده محرمانه است. یعنی فرد با مراجعه به بیمارستان در فرم اطلاعات پزشکیاش وقتی ذکر میکند که رنگ چشم او سیاه است (چون داده شخصی ثبت شده است)، بیمارستان در قبال آن مسوول است. اما اگر در بیمارستان کسی درباره رنگ چشم از فرد سوال نپرسد و خودش رنگش را تشخیص دهد و فرد اظهارش نکرده باشد؛ از نظر بیمارستان این موضوع اطلاعات خودش است و داده شخصی محسوب نمیشود (منظور از طرح این مثال آن است که اهمیت جزئیات این قوانین مشخص شود). این موضوع به شرکتها نیز تسری پیدا میکند؛ یعنی قوانین هم شخص حقیقی را دربر میگیرد و هم شخص حقوقی را. پس در بخش اول گزارش میتوانیم به صراحت بگوییم چنین قوانینی در ایران وجود ندارد.
نکته دوم در این بحث «نقشها» در مدیریت داده است. در حوزه اطلاعات داده، ما با سه نقش اصلی روبهرو هستیم. یکی آن شخصی است که مالک داده است. مالک اطلاعات سلامت در مثال بالا، آن شخصی است که اطلاعاتش را اظهار کرده است. مالک داده اطلاعات حساب بانکی هم متعلق به فردی است که در آن بانک حساب باز کرده است. نقش دوم متعلق به کسی است که داده را نگهداری میکند. در مثال طرحشده بانک یا بیمارستان اطلاعات شخص را نگهداری میکنند اما مالک آن نیستند. این دو نقش با هم متفاوت هستند. به همین دلیل است که اگرچه بانک اطلاعات شخص را دارد اما اجازه استفاده دادهها را خارج از قراردادی که در زمان افتتاح حساب امضا کرده، ندارد. این موضوع بسیار مهم است که ضرورتاً مالک داده خودش اطلاعات را نگهداری نمیکند و همچنین کسی که دادهها را در اختیار دارد لزوماً صاحب دادهها نیست. نقش سوم در این میان متعلق به کسی است که به دادهها دسترسی دارد. مثلاً شخص میگوید اطلاعات بانکی من، متعلق به خودم است و در بانک ملی نگهداری میشود؛ حالا سازمان امور مالیاتی برای تشخیص فعالیت مالیاتی فرد به آن داده بانکی نیاز داشته و به آن دسترسی دارد. نکته کلیدی آن است که قانون باید حدود مسوولیتها و اختیارات و نحوه ارتباط میان هر سه نقش را برای همه مشخص کند. به گفته کارشناسان اصلاً چنین شرایطی در ایران برقرار نیست. مثلاً الان سازمان امور مالیاتی به بانکها اعلام کرده که اطلاعات حساب مشتریان را باید به من بدهید. کسانی که متوسط مانده حساب آنها در طول یک سال بالای 500 میلیون تومان است کل اطلاعات و تراکنشهای مالیشان را باید برای سازمان امور مالیاتی ارسال کنند. چه اشتباهی در این میان رخ داده است؟ اولاً درست است که اطلاعات از سوی بانک نگهداری میشود اما اطلاعات مربوطه متعلق به شخص است و نه بانک؛ پس شخص باید اجازه دسترسی به آن را بدهد. دوم، طبق قانون، سازمان امور مالیاتی باید به این دادهها دسترسی داشته باشد اما ضرورتی ندارد همه را جمعآوری و نگهداری کند. در قانون مالیات و Privacy Act آمریکا اعلام میشود که ادارات مالیات فدرال و مالیاتی ایالتی به اطلاعات بانکی دسترسی دارند اما به شرط حکم قاضی. یعنی مامور مالیاتی مستقیم نمیتواند از بانک درخواست اطلاعات حساب را داشته باشد؛ میرود از قاضی درخواست میکند، قاضی حکم صادر میکند و بعد دسترسی به او داده میشود. در ضمن به این شکل نیست که اداره مالیات تمامی اطلاعات فرد را برای روز مبادا نگهداری کند.
اهمیت تفکیک نقشها چیست؟
در مسوولیتهایی که قانون برای هر نقش مشخص میکند، اهمیت «تفکیک نقشها» مشخص میشود. فرض کنید اطلاعات بانکی شرکتی در اختیار هکرها قرار گرفته است. هکرها سیستم بانک را هک میکنند و به اطلاعات آن شرکت تجاری هم دسترسی پیدا میکنند. فرض کنید هکرها آن اطلاعات را به شرکت رقیب بفروشند. طبق قوانین آمریکا، شرکت مذکور میتواند از بانک شکایت کرده و ادعای خسارت کند و بگوید بانک در حذف اطلاعات محرمانهاش کوتاهی کرده و لطمه تجاری به کارش وارد شده است. طبق قانون به این موضوع رسیدگی میشود و خسارتها پرداخت میشود. نتیجهاش این است که اداره مالیات از کسب و حفظ داده اضافی استقبال نمیکند. چون هرچه داده بیشتری داشته باشد مسوولیتش بالاتر میرود و احتمال هزینه دادنش بیشتر میشود. اما در ایران به راحتی به دلیل نبود این قوانین اطلاعات افراد حفظ و نگهداری میشود. اداره مالیاتی امروز برای روز مبادا تمامی حسابهای بانکی افراد را نگهداری میکند و هیچ مسوولیتی در قبال آن ندارد. این موضوع فقط درباره بخش دولتی نیست، بلکه بخش خصوصی هم همین روش را پیش گرفته است. شما وارد فروشگاهی میشوید و برای حساب کردن از شما نام، نام خانوادگی و اطلاعات شخصی مانند روز تولد میخواهد؛ اطلاعات حساب هم که با کارتی که پول پرداخت شده در دسترس فروشگاه قرار میگیرد. چرا؟ چون اصلاً مسوولیتی در راستای حفظ اطلاعات شخصی فرد بر دوش فروشگاه نیست. اگر مشکلی هم برایش پیش آید که کد ملی و شماره موبایل و... مشتری در دسترس دیگران قرار گیرد، جریمه نمیشود. همه در هر حوزهای بدون آنکه مسوولیتی نسبت به دادهها داشته باشند، مشغول کسب اطلاعات هستند. به همین دلیل است که تاکید میشود قانون باید در اینباره اظهارنظر کند که اگر اطلاعاتی جمع میشود مسوولیتی هم نسبت به آن وجود دارد. مثلاً وقتی از اپلیکیشن جهانی مثل اسپاتیفای استفاده میکنید، طبق قانون این حق را دارید که در زمان خروج، از این اپلیکیشن بخواهید تمامی سوابق شما را حتی از دیتابیسهایش هم پاک کند. اگر این کار را نکند و اسپاتیفای هک شود و دادهای از شما به عنوان کاربر منتشر شود میتوان از اسپاتیفای شکایت کرد که چرا دادهها را طبق قوانین پاک نکرده است. چون داده برای شماست و امانت پیش آن اپلیکیشن بوده است. الان کدام اپلیکیشن ایرانی هست که به کاربر اجازه دهد اگر اپلیکیشن را پاک کرد یا نخواست از سرویس آن کسبوکار استفاده کند اطلاعاتش بهطور کامل پاک شود؟ در جمعبندی این بخش باز تاکید میشود که اهمیت تفکیک نقش ذکرشده در مسوولیت ایجاد شده است و چون قانونی در این زمینه نداریم، تفکیک نقش هم نداریم؛ در نتیجه مسوولیتی متوجه هیچکسی نیست. راه چاره آن است که باید مشخص شود یک پلتفرم خاص، مثلاً یک تاکسی اینترنتی که مدل درآمدی آن دریافت سهم از سفرهای انجامشده است، برای پیشبرد وظیفه اصلی خود به چه حدی از اطلاعات کاربر نیاز دارد تا هیچ شرکتی اجازه نداشته باشد دادهای فراتر از نیاز واقعی، جمعآوری کند.
در ادبیات امنیت اطلاعات مفهومی به نام single point of failure (تنها نقطه شکست) وجود دارد. این مفهوم توضیح میدهد که هرچقدر دادههای بیشتری در یکجا جمع شود و تمرکز در ارائه دادهها صورت گیرد، هکرها با یک هدف روبهرو میشوند؛ آن نقطه را که هککننده دیگر به همه دادهها هم دسترسی پیدا میکند. در امنیت جهانی تلاش میشود این تمرکز در انبارش داده را از بین ببرند و دادهها توزیعشده باشند. دادهها باید در جاهای مختلفی نگهداری شوند تا با یک حمله و هک از بین نروند. این موضوع فقط به داده محدود نمیشود، حتی در سرویسها هم این ظرافت وجود دارد تا اگر یک سرور را هک کردند کل سیستم از کار نیفتد و کل دادهها منتشر نشود.
اما در ایران کاملاً برعکس این موضوع عمل میشود. بهطور مثال شرکتی به نام شاپرک وجود دارد که بهطور انحصاری تمام تراکنشهای بانکی ایران در سوئیچهای آن انجام میشود. شاپرک به تنها نقطه شکست تبدیل شده است. به یک نقطه ضعف بزرگ امنیت بدل شده است. همین موضوع را هم در ثبت احوال داریم. در آمریکا چیزی به نام کد ملی وجود ندارد. کارت شناسایی عکسدار PHOTO ID وجود دارد. مثلاً گواهینامه یک PHOTO ID است و هر ایالتی کارت مخصوص خود را صادر میکند. به همین دلیل اگر دیتابیس یک ایالت هک شود فقط اطلاعات گواهینامه افراد آن ایالت منتشر شده و اطلاعات سایر ایالتها در امان است. شماره تامین اجتماعی که در آمریکا وجود دارد فقط به نام و نامخانوادگی وصل میشود و عکس و سایر اطلاعات مشمولش نمیشود. در ایران عکس، اثر انگشت هر 10 انگشت، محل سکونت، سال تولد، کد ملی، محل تولد و... را در چیزی به نام کارت ملی جمع کردهایم و همه اطلاعات را در سازمانی به نام سازمان ثبت احوال ثبت کردهایم. این دقیقاً همان نکتهای است که کارشناسان میگویند ایران در این حوزه خلاف روند امنیتی جاری در دنیا عمل میکند. در ایران انحصار دولتی صورت گرفته و براساس ذهن تمرکزگرایی که مدیران دارند، خلاف روندهای مدیریت امنیت در جهان عمل میشود.
ترکیب وضعیتهای ذکرشده به نابسامانی امنیت داده در ایران منجر شده است. از یک طرف قانونی وجود ندارد که نقشها و مسوولیتها روشن شوند، از طرف دیگر امنیت دادهها تامین نمیشود. الان در آمریکا و خیلی از کشورهای توسعهیافته، اگر دادهای را که طبق قانون داده محرمانه تلقی شده است بخواهند از فرد اخذ کنند، اول باید از یک نهاد ناظر مجوز بگیرند و بعد این کار را انجام دهند. یعنی کسی نمیتواند خودش فرمی برای اخذ اطلاعات از افراد تهیه کند. اگر بخواهید این کار را انجام دهید و بعضی از آن اطلاعات، دادههای شخصی امنیتی تلقی شود اول باید از نهاد ناظر مجوز گرفته شود و آنها متقاعد شوند که چرا این دیتا ضروری است (که البته بهندرت هم قانع میشوند). در ایران اصلاً چنین شرایطی نیست. این حجم عظیم از کارت ملی افراد و اطلاعات هویتی که هر دستگاه دولتی و خصوصی در ایران میگیرد در دنیا مرسوم نیست. الان کار به جایی رسیده است که خیلی از شرکتهای خصوصی اطلاعاتی از کارمندانشان میگیرند که محرمانه است. چرا کارمندان باید بگویند نام پدرشان چیست، محل سکونت خانواده کجاست و...؟ فردا اگر کارمند از آن شرکت رفت، چه تضمینی وجود دارد که آن اطلاعات منتشر نشود؟ چون این نابسامانی در ایران وجود دارد دیگر مردم هم در این زمینه دغدغهای ندارند. اگر کسی در فروشگاهی نخواهد فرم مربوط به اطلاعات تماس را پر کند بقیه به او میخندند که چرا او چنین کرده است. یا در فروشگاهها رمز کارتهای بانکی را بلند باید گفت. این کار، در دنیا خیلی عجیب است. چرا چنین شده است؟ چون آنقدر از طرف نهادهای مربوطه بینظمی صورت گرفته است که مردم حساسیتشان را نسبت به این موضوع از دست دادهاند. این موضوعات باعث شده است که حتی آموزش در این زمینه هم طرفدار نداشته باشد. در برابر آموزشهای امنیت دادهها مردم میگویند حاکمیت تمام اطلاعات ما را دارد. در این راستا میتوان به درز اطلاعات کاربرهای استارتآپ تپسی اشاره کرد. مشخصاً در این نمونه هم از آنجا که قانون حدود مسوولیتها و وظایف پلتفرمها را مشخص نکرده، صاحبان این کسبوکارها نیز چندان برقراری امنیت را جدی نمیگیرند و حاضر به صرف هزینه کافی برای آن نیستند. یکی از موضوعاتی که برخی کارشناسان حقوقی در این میان مورد تاکید قرار دادند، حمایت قانونی بسیاری از کشورهای خارجی از کاربرانی بود که اطلاعات آنها نشت پیدا کرده است. این درحالی است که با وجود آنکه به گواه آمارهای بینالمللی، کشور ما یکی از مهمترین مقاصد حملات سایبری در جهان به حساب میآید، هنوز با خلأ قانونی درباره حمایت از دادههای کاربران مواجه هستیم.
در همین راستا علیرضا طباطباییهاشمی، وکیل پایهیک دادگستری، در گفتوگو با «باشگاه خبرنگاران جوان» تصریح کرده بود: «ما در قانون جرائم رایانهای در خصوص مسوولیت تپسی در قبال این اطلاعات خلأ داریم و هیچ قانونی در این زمینه وجود ندارد و از این بابت قانون مسوولیتی برای شرکتها در نظر نگرفته است. در نتیجه امروزه شرکتها آنقدر نگران لو رفتن دیتا نیستند.» اگرچه سیاستگذاران با دنبال کردن تصویب طرحی مانند صیانت، بر حمایت از حقوق کاربران در فضای مجازی تاکید داشتند، اما انتشار مفاد جزئیات این طرح در عمل نشان داد که طرح، کارکرد موثری در این زمینه ندارد و تنها به محدود کردن زیست مجازی کاربران پرداخته است. در همین حال، با وجود گذشت دو سال از پیشنهاد لایحهای برای حفاظت از دادههای کاربران، هنوز سرنوشت این لایحه مشخص نشده است.
جهان ارتباطات یا امنیت اطلاعات؟
جهان امروز جهان اطلاعات و تبادل داده است. پس چطور در این وضعیت هم امنیت دادهها حفظ میشود و هم تبادل اطلاعات صورت میگیرد؟ خیلی از اپلیکیشنها به صورت موازی از سرویسها و اطلاعات یکدیگر استفاده میکنند. پس در اینجا چه اتفاقی میافتد؟ جهان توسعهیافته یاد گرفته است و تلاش میکند ضمن مدیریت ریسک همزمان امکان تبادل داده قانونی و امن را هم فراهم کند. به عنوان مثال در یک سیستم بانکی مفهومی به نام بانکداری باز وجود دارد. حرفش هم این است که مالک داده مشتریان در بانکها مشتری است و بانک فقط از آن نگهداری میکند. بانک باید این حق را به مشتری بدهد که اگر از اطلاعاتش خواست جای دیگری استفاده کند بانک این اجازه را بدهد. این فرآیند هم کاملاً قانونی باید انجام شود. اتحادیه اروپا ضابطهای به نام PSD دارد. الان PSD3 در دنیا اجرا میشود. این قانون همه بانکها را مکلف کرده که باید API بدهند، یعنی فرد برای پرداخت قبض برقش هربار لازم نباشد اطلاعات بانکیاش را ثبت کند؛ یکبار به اداره برق اجازه میدهد تا از حسابش برداشت کند و برای بارهای بعدی لازم نیست این روند را طی کند. اینجا سطح بالایی از همکاری صورت گرفته است اما در عین حال امنیت داده هم حفظ شده است. در همان اروپا قانون دیگری به نام GDPR وجود دارد که هدفش حفاظت از داده است (بحث محرمانگی و اینکه کدام دادهها باید محرمانه باشند). آنجا هم PSD3 و هم GDPR برای محافظت از داده وجود دارد. این دو قانون کاملاً در کنار هم پیش میروند. کار سختی است اما دنیا انجامش داده است. اما در ایران نه آن قانون حفاظت از اطلاعات محرمانه را داریم و نه در سوی دیگر قانونی برای روشن کردن سازوکارهای تبادل داده داریم. برای همین است که اگر از یک سازمان بخواهید اطلاعاتتان را به سازمان دیگر بفرستد متوجه شما نمیشود که چه میگویید چون همه تبادل اطلاعات در ایران دستی صورت میگیرد. به تازگی برخی از بانکها، سرویس بانکداری باز را به صورت ابتدایی شروع کردهاند.
واکنشها به حملههای هکرها چیست؟
در مقابل حملههای هکری، واکنش مدیران ایرانی جزیرهای کردن و بستن دسترسیهاست. سال گذشته که به سایت شهرداری تهران حمله شد، هفت تا هشت ماه تمام سرویسهای آنلاین شهرداری قطع شده بود. همین الان همه سازمانهای دولتی و خصوصیها را الزام کردهاند که دسترسیهایشان فقط از ایران باشد. یعنی کاربر از بیرون ایران به صورت آنلاین نمیتواند به حسابش دسترسی داشته باشد و برای این کار باید VPNای با IP ایران پیدا کند تا به وبسایت بانکش دسترسی داشته باشد. این روش در دنیا مردود است. امنیت مهم است اما راهحلی پیدا شده که ضمن حفظ امنیت دادههای محرمانه، دسترسیها به تبادل دادهها هم شکل بگیرد. و اساساً رشد اقتصاد دیجیتال در دنیا به این صورت شکل گرفته است.
انواع هک
حملات امنیتی چه در ایران و چه در جهان، معمولاً سه هدف بیشتر ندارند؛ یک هدف دسترسی به داده برای استفادههای غیرمجاز است؛ یعنی کسی جایی را هک میکند تا از آن داده استفاده دیگری کند و آن را بفروشد. شواهد آن است که در ایران این نوع از هکها خیلی زیاد نبوده است اما در جهان شایع است. البته چون ما در ایران در یک جزیره هستیم و عموماً هکرها هم در ایران هستند و نوع دسترسیشان هم به ایران معطوف است این نوع از هک کردن به درد هکرها نمیخورد. نوع دوم هک، ایجاد اختلال در یک سرویس است. یعنی یک هکر در سرویسی اختلالی ایجاد میکند که هدفش ضرورتاً به نفع خودش نیست. لطمه زدن به آن نهاد یا هدف سیاسی، پشت این جنس از هک است. وقتی به سایت وزارت علوم و امثال آن حمله سایبری میکنند هدف ایجاد اختلال است، نه اینکه از آن اطلاعات استفاده دیگری شود. در ایران این نوع از هک بسیار زیاد است و اتفاقاً هکرها خیلی جالب رفتار دولت-ملتها را مدیریت میکنند چراکه هدف آنها از کار افتادن سرویس است و با اولین هک رفتار مدیران از دسترس خارج کردن آن سرویس است. مدیران دقیقاً همان کاری را میکنند که هکرها میخواهند. این نوع از هک بیشتر ماهیت سیاسی، نمادین و اعتراضی دارد. طبیعتاً بحث جنگ مجازی و حملههای سایبری هم جدی میشود. خیلی از این هکهایی که صورت گرفته فراتر از یک شخص و گروه است و به نظر میرسد پشت آن یک دولت است.
گروه سوم را هکرهای کلاه سفید مینامند. به این علت هک میکنند که به صاحبان آن سرویس هشدار دهند، باگها و کموکاستیهایی وجود دارد، «پس حلش کن». اصطلاحاً استارتآپهایی هست که به آنها BUG BOUNTY میگویند. در ایران هم استارتآپی به نام باگدشت وجود دارد که زیرساختی را مشخص میکنند، هکرهای کلاه سفید به آنها حمله میکنند و وقتی باگ را پیدا کردند افشا نمیکنند، به سازمان اطلاع میدهند که چنین مشکلی هست و باید برطرف شود.
پیامدهای اقتصادی و مالی حملات سایبری شرکتها
در علم جدید امنیت سیاسی، حملات سایبری یکی از مهمترین حملات علیه دولتها محسوب میشود. اما صرف تکیه به این موضوع دلیل بر نادیده گرفتن ضرورت وضع قوانین نیست. نبود قانون مشخصی که شرکتها را به حفظ برخی حداقلها در بحث امنیت اطلاعات کاربران مکلف کند، یکی از موضوعاتی است که کارشناسان بارها بر آن به عنوان عاملی در تشدید نابسامانیهای امنیتی موجود، تاکید کردهاند. یاشار شاهینزاده در تشریح این مورد میگوید: در سالهای اخیر حاکمیت کشورها سختگیریهای جدیتری را نسبت به هزینهکرد و خروجی امنیتی شرکتها به خرج میدهند و همین باعث میشود که با تمام دشواریهای تجارت، همواره بودجه قابل قبولی از سوی شرکتها به بحث تامین امنیت اطلاعات تخصیص داده شود. این فعال حوزه امنیت چنین ادامه میدهد: از سوی دیگر، شرکتها ملزم هستند امکانی فراهم کنند تا کاربر در صورت تمایل، بتواند تمام سوابق اطلاعاتی خود را از سرور یک کسبوکار مشخص حذف کند. این در حالی است که در کشور ما قانون خاصی برای حمایت از حریم خصوصی کاربران وجود ندارد؛ در نتیجه عمدتاً امکان حذف اطلاعات در اختیار کاربران قرار نمیگیرد و شرکتها نیز در سایه همین ضعف قانونی، الزامی برای فراهم کردن آن نمیبینند (دنیای اقتصاد).
اکنون خسارات جهانی ناشی از حملات سایبری بیش از یک تریلیون دلار است که بیش از 50 درصد نسبت به سال 2018 افزایش یافته است. طبق آخرین پژوهش انجامشده جرائم سایبری تا سال 2025 سالانه 5 /10 تریلیون دلار هزینه برای جهان خواهد داشت. اگر جهان سایبری به عنوان یک کشور سنجیده میشد،
جرائم سایبری -که پیشبینی میشود در سال 2022 خسارتی بالغ بر شش تریلیون دلار در سطح جهان وارد کند- سومین اقتصاد بزرگ جهان پس از ایالاتمتحده و چین بود.
Cybersecurity Ventures در گزارشی اعلام کرد، انتظار دارد که هزینههای جرائم سایبری جهانی در طول پنج سال آینده 15 درصد در سال رشد کند و تا سال 2025 به 5 /10 تریلیون دلار در سال برسد که از سه تریلیون دلار در سال 2015 افزایش یافته است. نوآوری و سرمایهگذاری، بهطور تصاعدی بزرگتر از خسارت ناشی از بلایای طبیعی در یک سال است و از مجموع تجارت جهانی همه مواد مخدر غیرقانونی بزرگ سودآورتر خواهد بود.
برآورد هزینه خسارت براساس ارقام تاریخی جرائم سایبری از جمله رشد سالبهسال، افزایش چشمگیر فعالیتهای هکری باندهای جنایتکار سازمانیافته و حمایتشده از سوی دولتها و سطح حمله سایبری که در سال 2025 رخ داد یک مرتبه بزرگتر از آن چیزی خواهد بود که امروز هست. هزینههای جرائم سایبری شامل آسیب و تخریب دادهها، پول دزدیدهشده، بهرهوری ازدسترفته، سرقت مالکیت معنوی، سرقت اطلاعات شخصی و مالی، اختلاس، کلاهبرداری، اختلال در روند عادی کسبوکار پس از حمله، تحقیقات پزشکی، بازیابی و حذف دادهها و سیستمها و آسیب به شهرت است. با تمام این شرایط، همانطور که بالاتر به آن اشاره شد، جهان به صورت موازی به دنبال گسترش فضای همکاری اطلاعات و حفظ دادههای شخص حقیقی و حقوقی است. خیلی از کارشناسان بینالمللی امید دارند که پژوهشگران این حوزه به کمک هوش مصنوعی بتوانند فاصله میان این دو وضع را کم کرده و به توازن برسانند. در این میان کاربران ایرانی همچنان از داشتن قوانین حداقلی امنیت داده محروم هستند. کارگروههای تشکیلشده، پلیس فتا، نمایندگان مجلس، جلسات مجمع تشخیص مصلحت، وزارت ارتباطات و اطلاعات و... تاکنون نتوانستهاند در قبال حملات سایبری انجامشده نسبت به اطلاعات فردی مردم اقدام موثری انجام دهند. به نظر میرسد اولین قدم در حل این مشکل نوین و مهم، قانونگذاری خواهد بود.