هاست پرسرعت
امنيت

چرا هک می‌شویم؟

چرا هک می‌شویم؟

محمدعلی دادگسترنیا – «معمولا شرکتِ رسوا شده بعد از هک یک بیانیه عذرخواهی صادر کرده و همه ‌چیز بخشیده می‌شود. این فراموشی و بخشیدن ممکن است به صراحت نباشد اما زمانی که ما تجاوز به حریم شخصی خود را فراموش کنیم یا به رویدادهای توهین‌آمیز عادت کنیم شرکت هک شده مثل همیشه به جایگاه خود بازگشته و از ما انتظار می‌رود مطابق قبل به خرید، استفاده و ارتقا از این فناوری ادامه دهیم»؛ این جملات را «جیتان سادووفسکی» در ابتدای کتاب خود با عنوان «سرمایه‌داری دیجیتال» آورده است. رویدادهایی که برای ما نیز در همین شش ماه گذشته اتفاق افتاده و شاید حالا فراموش کرده باشیم.

در سالی که گذشت ما روزهای زیادی را با خبر هک شدن سایت‌ها، اپلیکیشن‌ها و حتی وزارتخانه‌ها از خواب بیدار ‌شدیم. همان‌طور که در روزهای گذشته و به دنبال هک اسنپ‌‌فود «امین تویسرکانی» بازپرس رسیدگی به جرایم رایانه‌ای اعلام کرد این اتفاق در حوزه‌های دیگر هم اعم از نهادهای عمومی، دولتی و خصوصی رخ داده است. یادتان هست نهم شهریور ماه اپلیکیشن هفت‌هشتاد هک شد و حوالی ساعت 9 شب کاربران با پیام‌های غیرمعمولی مواجه شدند؟ دو روز بعد خبر هک تپسی منتشر شد و اطلاعات بیش از 27 میلیون مسافر و شش میلیون راننده برای فروش منتشر شد. هک تپسی درحالی رخ داد که این شرکت در سال ۱۳۹۸ نیز مورد حمله سایبری قرار گرفته بود و محمدجواد آذری جهرمی، وزیر وقت ارتباطات، آسیب‌پذیری تپسی در ‏نگهداری از اطلاعات رانندگان را تایید کرده بود. تنها یک روز بعد همان گروه هکری اطلاعات مشتریان 18 شرکت بیمه را نیز هک و برای فروش در کانال‌های خود قرار داد. درحالی که گمان می‌رفت پس از این اتفاقات تدابیر ویژه‌ای برای محافظت بیشتر داده‌ها لحاظ شود، در روزهای پایانی شهریور ماه ثبت احوال و وزارت علوم نیز مورد حملات سایبری قرار گرفتند. گرچه سازمان ثبت احوال این ادعا را رد کرد اما وزارت علوم طی بیانیه‌ای این حمله هکری را تایید کرد. در راستای این هک‌های سریالی روزهای گذشته هم هک اسنپ‌فود بسیار خبرساز شد و پس از آن اطلاعات بسیاری از مشتریان اعم از آدرس، مشخصات تلفن همراه، سفارش‌ها، اطلاعات پیک‌ها و… درز پیدا کرد و به قیمت 30 هزار دلار برای فروش گذاشته شد.

بعد از همه این اتفاقات و هک‌های کوچک و بزرگ دیگر و درز شخصی‌ترین اطلاعات ما و تبدیل آن به یک جریان اقتصادی و درآمدزایی اینکه چرا هک می‌شویم سوال مهمی است. باید از خود بپرسیم و پس از آن به این موضوع فکر کنیم که چه راه‌هایی برای مقابله و مواجهه با چنین اتفاقاتی وجود دارد؟ یکی از مهم‌ترین علل برای دست یافتن به چنین داده‌هایی که گاهی از مسیر هک و بسیاری مواقع از مسیرهای به ظاهر قانونی در فروش اطلاعات مشتریان و کاربران اتفاق می‌افتد، نشان از ارزشِ اقتصادی نهفته در این مجموعه از داده‌ها است.
 

جهان پس از کلان داده‌ها

«نبردهای زیادی بر سر اینکه چه کسی باید داده‌ها را داشته و از آنها بهره‌مند شود، شکل گرفته است»؛ این تیتری است که اکونومیست در سال 2017 برای توضیح جهانِ جدید پس از کلان داده‌ها انتخاب کرده بود. به همین علت است که آمازون در همان سال شرکت هول‌فودز را به قیمت بیش از 13 میلیارد دلار خریداری کرد تا ضمن دراختیار داشتن رفتار آنلاین مشتریان، رفتار

سرمایه‌گذاران و اهالی سیاست امروزه به خوبی فهمیده‌اند داده‌های افراد وقتی کنار هم قرار می‌گیرد چه میزان از تشخیص، اندازه‌گیری و پیش‌بینی را رقم می‌زند

آفلاین خرید مردم را از طریق مغازه‌های خرده‌فروشی این شرکت را دراختیار داشته باشد.
IBM هم در سال 2017 به قیمت 2 میلیارد دلار یک شرکت هواشناسی را خریداری کرد و این درحالی‌ است که طبق نظر کارشناسان ارزش این شرکت بسیار کمتر از این میزان بوده است. اینکه چرا یک شرکت فناوری دست به خرید یک شرکت هواشناسی می‌زند تا داده‌های آن را دراختیار داشته باشد به نوعی نشان‌دهنده اهمیت تسری داده‌های حوزه‌های مختلف به یکدیگر است.
در نوامبر 2018 نیز مدیرعامل «فورد» رسما اعلام کرد به زودی درآمدزایی این شرکت از بخش فروش داده‌های بیش از 100 میلیون نفر از مشتریان خود خواهد بود. شاید با مرور این معاملاتی که حول داده شکل گرفته، این توییت یکی از فعالان اکوسیستم استارتاپی کشور در ارتباط با داده‌های اسنپ‌فود بسیار قابل فهم‌تر باشد: «آقا بیاید ۵ نفر بشیم نفری ۶۰۰۰ دلار بدیم بخریم. من تضمین می‌کنم بازگشت سرمایه هزار درصدی رو ظرف کمتر از ۶ ماه. الان نقد ۳۰ هزار تا ندارم وگرنه تنهایی می‌خریدم.»
 

اقتصاد مبتنی بر داده

این موارد نشان می‌دهد که چطور جریان‌های اقتصادی به سمت داده گرایش پیدا کردند و کلان داده‌ها نیز در یک رابطه متقابل چطور می‌توانند با کمک به تحلیل و شناخت رفتار مشتریان سود شرکت‌ها و سرمایه‌گذاری آنها را تقویت کنند، اما بینش‌های حاصل از دراختیار داشتن ثروت بزرگی مانند داده‌ صرفا به این‌گونه مسائل خلاصه نمی‌شود و حتی مسائل اجتماعی و سیاسی را نیز شامل می‌شود.
برای درک این موضوع که اتفاقا ارتباط مستقیمی با هک اسنپ‌فود دارد به توضیح شاخصی به نام «پیتزا» یا «پیتزاسنج» می‌پردازم. در شب یکم آگوست ۱۹۹۰، شب پیش از حمله عراق به کویت، کارکنان نظامی پنتاگون گرد هم آمده بودند تا درباره مسائل خاورمیانه گفت‌وگو کنند. از آنجایی که قصد داشتند همه شب را بیدار بمانند تا با هم گفت‌وگو کنند، آنها چندین پیتزا بیشتر از آنچه که معمولا سفارش می‌دادند از «دومینوز» که یک رستوران زنجیره‌ای است، سفارش دادند. مدیر رستوران متوجه انبوهی از سفارش‌ها از ادارات دولتی ایالات متحده(مانند پنتاگون) پیش از وقایعی نظیر جنگ کویت شد و این موضوع را با رسانه‌ها در میان گذاشت. مردم این اطلاعات را به خوبی دریافت کردند و این رویداد را «شاخص پیتزا» نامیدند. این مسائل اتفاقی نیستند و سرمایه‌گذاران و اهالی سیاست امروزه به خوبی فهمیده‌اند داده‌های افراد وقتی کنار هم قرار می‌گیرد چه میزان از تشخیص، اندازه‌گیری و پیش‌بینی را رقم می‌زند.

سوءاستفاده و استفاده‌های تجاری و اقتصادی از داده مسئله‌ای است که باعث شده به ‌طور مثال اطلاعات بانکی کاربران اصلا در دیتابیس شرکتی مانند اسنپ‌فود ذخیره نشود که اگر این اطلاعات هم دراختیار اسنپ‌فود قرار داشت امروز تمام حساب‌های بانکی ما در معرض کلاهبرداری‌های متنوع قرار می‌گرفت. حال سوال اینجاست که اگر این اطلاعات هم هک و دراختیار یا در معرض دسترسی همگان قرار می‌گرفت چطور می‌توانستیم با پیامدهای بسیار خطرناک این موضوع مواجه شویم؟
نکته بسیار حائز اهمیت این است که اطلاعات دیگر ما نیز اگر ارزشی بیشتر از موجودی حساب‌های بانکی ما نداشته باشد، کمتر نیست و سوال مهم دیگر این است که چنین اطلاعات مهمی اگر هک هم نمی‌شد از کجا می‌توانستیم بر حفاظت از آنها نظارت داشته باشیم که شرکت‌ها خودشان در تبادلات مالی از آن استفاده نکرده یا آن را به فروش نرسانده باشند. این موارد دغدغه‌های مهمی هستند که باید به آنها فکر کنیم.
 

ضرورتِ پاسخگویی دولت در مالکیت داده

«مارک آندریویچ» محقق سیاست‌ فناوری

نیاز داریم تا با تلاش برای فراموش نکردن چنین رخدادهای تلخی برای پاسخگو بودن سازمان‌های نظارتی و در راس آن دولت، در مقابل شخصی‌ترین داده‌های خود برنامه‌‌ریزی کنیم

در پژوهشی شامل یک نظرسنجی از 1106 نفر شرکت‌کننده، سوالاتی در مورد افکار آنها درباره جمع‌آوری داده‌ها و حفظ حریم خصوصی پرسید. یافته‌های او نشان می‌دهد مردم نسبت به نگرانی‌های مربوط به حریم خصوصی بی‌تفاوت نبودند، بلکه اغلب احساس می‌کردند که «ناتوان» برای انجام هر کاری در مورد جمع‌آوری و حفاظت از داده‌ها هستند. یکی از شرکت‌کنندگان به او این‌گونه پاسخ داده است: «بزرگ‌ترین مسئله من در از دست دادن حریم خصوصی این نیست که دیگران اطلاعاتی درباره من بدانند، بلکه به نوعی مجبور می‌شویم تا اطلاعات را به اشتراک بگذاریم.»

این نگرانی در جامعه ایران نیز مشهود است. بعد از هک اسنپ‌فود شاهد بودیم بسیاری از کاربران به شوخی و کنایه روی آوردند و بعضی از اطلاعات مانند سفارش شیرموز در ساعاتِ پایانی شب را دست‌مایه طنز قرار دادند؛ طبق داده‌کاوی‌های انجام شده 34درصد از محتوای کاربران در ارتباط با هک اسنپ‌فود شوخی، طنز و کنایه بوده است. بسیاری به غلط این موضوع را به جدی نگرفتن اهمیت مساله از سمت کاربران تفسیر کردند. اما باید شوخی را بازنمایی یک ناتوانی از سمت کاربران بدانیم.

در راستای حفظ و صیانت از حریم شخصی دولت باید پاسخگو باشد و این پاسخگویی زمانی تحقق می‌یابد که قوانین مربوط به مالکیت داده تدوین شود. در حال حاضر مطابق با قوانین موجود، هر شرکتی که داده‌ای در اختیار داشته باشد در صورت درخواست یا صلاحدید نهادهای مختلف باید داده‌های موردنظر را دراختیار آنها قرار دهد. در واقع در حالی که دولت از داده‌های ما استفاده می‌کند اما مسئولیت آن را نمی‌پذیرد. فرض کنید مانند اطلاعات بانکی که در اختیار اسنپ‌فود قرار نداشت و به همین علت مورد سوءاستفاده نیز قرار نگرفت، دیگر اطلاعات مشتریان مانند آدرس منزل نیز در اختیار شرکت نبود و این می‌توانست مصونیت بیشتری به همراه داشته باشد.

گرچه در این زمان شاهد هک سازمان‌های دولتی نیز بوده‌ایم، شاید به ذهن مخاطب خطور کند که امنیت اطلاعات در این حالت که داده‌ها دراختیار دولت هم قرار بگیرد هم حفاظت از آنها به درستی انجام نمی‌شود، اما باید توجه کرد که اولا پاسخگو دانستن دولت با توجه به قوانین و نظارت می‌تواند سهولت بیشتری داشته باشد و ثانیا وجه اقتصادی و درآمدزایی در آن وجود ندارد و به همین سبب تمایل کمتری برای دست به دست شدن آن وجود خواهد داشت.
در همین راستا اتحادیه اروپا نیز قوانین سفت‌ و سختی را تصویب کرده است. مهم‌ترین آن در سال 2016 تحت عنوان «قوانین محافظت از داده‌های شخصی» است که در 11 بخش و 99 صفحه ابلاغ شد. گرچه در ایران نیز گام‌هایی برای نگارش آیین‌نامه‌ها و قوانینی در این رابطه برداشته شده است اما تفاوت‌هایی مهم وجود دارد. به‌ طور مثال درحالی که در قوانین ملی ایران صرفا اشارات و کلیات آمده است، در اسناد جهانی با رویکردی پیشگیرانه به مواردی نظیر الزام سازمان‌ها به عدم دریافت اطلاعات شخصی شهروندان یا حذف آنها در صورت عدم نیاز و به صورت دوره‌ای وجود دارد. همچنین مطابق با این قوانین اگر شرکتی الزاماتی را رعایت نکرده یا تخلفی داشته باشد و داده‌هایش به صورت غیرقانونی درز کند، تا سقف 20 میلیون یورو جریمه می‌شود.

در ایران ما نیاز داریم تا با شکل‌گیری حوزه پژوهشی مستقلی در ارتباط با سیاست‌گذاری فناوری، موارد مرتبط با رگولاتوری، حقوقی، سیاسی و اقتصادی شرکت‌های مبتنی بر داده را ارزیابی و مورد پرسش قرار دهیم. همچنین نیاز است تا با تلاش برای فراموش نکردن چنین رخدادهای تلخی برای پاسخگو بودن سازمان‌های نظارتی و در راس آن دولت، در مقابل شخصی‌ترین داده‌های خود برنامه‌‌ریزی کنیم. (روزناه اعتماد)
 

مجله خبری gsxr

نمایش بیشتر
دانلود نرم افزار

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا