عدم پاسخگویی در برابر حملات سایبری و نشت اطلاعات کاربران؛ چه‌کسی شفافیت را کُشت؟

خبر هک‌شدن یک نهاد دولتی یا یک سازمان خصوصی دیگر خبر جدیدی نیست؛ لااقل با نگاهی به یکی‌دو سال گذشته می‌توان ادعا کرد که دیگر این خبرها تازگی ندارد. با سلسله حملات سایبری که طی این سال‌ها رخ داده است، احتمالاً به‌جز افراد خردسال که هنوز فعالیت خاصی در سامانه‌های دولتی و غیردولتی ندارند، اطلاعات چند‌ده میلیون ایرانی دیگر در «کف اینترنت» قرار دارد. این اصطلاحی است که خود هکرها و فعالان حوزه امنیت از آن یاد می‌کنند و تأکید دارند که هکرها می‌توانند با چسباندن اطلاعات پراکنده‌ای که طی هر حمله سایبری به‌دست آمده است، به یک آرشیو جامع از جزئی‌ترین داده‌های زندگی شهروندان دست پیدا کنند. نکته عجیب اما اینجاست که هیچ‌کس در برابر این حملات سایبری پاسخگو نیست. مقامات دولتی توپ را به زمین یکدیگر می‌اندازند و بخش خصوصی هم در بهترین حالت یک عذرخواهی ساده می‌کند. نه جزئیاتی از حملات هکرها مشخص می‌شود، نه اطلاع‌رسانی دقیقی صورت می‌گیرد و هیچ شرح واقعه‌‌ای برای آموزش عموم جهت محافظت بیشتر از اطلاعاتشان نیز انجام نمی‌شود.

واکنش مسئولین در برابر حملات سایبری به سه دسته تقسیم می‌شود: تکذیب‌کردن، طبیعی‌بودن حملات هکری و درنهایت توپ را به زمین نهاد دیگر پاس‌دادن. در بسیاری از مواقع، موضوع حمله سایبری تکذیب می‌شود اما درنهایت داده‌ها بازهم نشت پیدا می‌کند و مشخص نیست تکذیبیه بر چه اساسی صورت گرفته است. درواقع هیچ‌کس نمی‌خواهد یک توضیح شفاف و واضح درباره این حملات ارائه دهد و از نظر برخی مسئولین، مانند اعضای کمیسیون امنیت ملی، وجود این حملات در دنیای امروز هم یک امر عادی است. آن‌ها همچنین معتقد هستند: «این طبیعی است که گاهی هکرها موفق به هک شده‌اند؛ چرا که کشورها هرچقدر هم امنیت را تأمین کنند، بااین‌حال هک اتفاق می‌افتد.»

یک سال از فیلترینگ و بروز اختلال‌ها در شبکه اینترنت کشور می‌گذرد. آن‌طور که در خبرها آمده است و مقامات رسمی اعلام کرده‌اند، ایران در این مدت بیشترین حملات سایبری در طول تاریخ را تجربه کرده است. به عنوان مثال، سازمان پدافند غیرعامل اعلام کرده بود تنها در دو هفته انتهایی مهرماه سال گذشته، ۱۲۰ بار زیرساخت‌های کشور دچار حمله سایبری شدند. همچنین طبق گفته رئیس شرکت ارتباطات زیرساخت، در سال ۱۴۰۱ بیش از هشت هزار حمله سایبری به شبکه زیرساختی کشور دفع شده و درنهایت تعداد کل حملات به تمام نهادهای خصوصی و غیرخصوصی که حتماً عددی بیشتر از این آمار است نیز اعلام نشده.

بررسی‌های سایت‌های جهانی رصد حمله‌های سایبری هم از جایگاه ضعیف ایران در امنیت سایبری حکایت دارند. بنابر گزارش افتانا و به نقل از shadowserver، ایران در پاییز ۱۴۰۱ هفتمین کشور با بیشترین آلودگی به بدافزار بود که این سایت شدت فیلترینگ را در این رتبه مؤثر می‌داند. کسپرسکی هم گزارش داده بود که در فصل اول ۲۰۲۲، ایران درزمینه وضعیت بدافزارهای موبایل با سهم ۳۵ درصدی، بالاتر از کشورهای دیگر قرار داشته است. فیلترینگ و استفاده از وی‌پی‌ان‌های رایگان یکی از عوامل اصلی گسترش بدافزارهاست.

هیچ‌کس شفاف نیست

شفافیت موضوعی است که چندین سال تبدیل به شعار دستگاه‌های دولتی متخلف شده، اما به‌نظر می‌رسد لااقل در بحث امنیت شبکه در حد و اندازه «شعار» باقی مانده است. کافیست به چند ماه گذشته نگاهی بیندازیم و پاسخگویی نهادهای دولتی در برابر حملات سایبری اخیر را ارزیابی کنیم؛ هرچند واقعیت اینجاست که نمی‌توان «هیچی» را ارزیابی کرد و برای آن معیار درنظر گرفت. پاسخگویی در برابر این حملات گاه به‌معنای واقعی «هیچی» است و در برخی موارد نیز پیگیری رسانه‌ها و موج شبکه‌های اجتماعی بوده که یک دستگاه را وادار به یک پاسخگویی حداقلی کرده است.

زمانی که مدیرعامل تپسی برای دومین‌بار طی چند سال اخیر، از کاربران برای نشت اطلاعاتشان عذرخواهی کرد (و البته تا امروز هم اطلاعات بیشتری را به سهامداران و کاربران خود پیرامون این حمله ارائه نداده است)، مشخص شد که این شرکت مدت‌های مدیدی را با هکر درحال مناظره بوده و درنهایت هم هکر که از نتیجه این مذاکرات راضی نبوده، اطلاعات را برای فروش گذاشته است. همان زمان مشخص شد که بیش از یک هفته است که همین گروه هکری اطلاعات چندین شرکت فعال در حوزه بیمه را نیز به فروش گذاشته و بیمه مرکزی اصلاً درباره این موضوع اطلاع‌رسانی نکرده است. درنهایت پس از برملا‌شدن این موضوع و فشار مردم در شبکه‌های اجتماعی و گزارش‌های رسانه‌ای بود که بیمه مرکزی یک بیانیه درباره این موضوع داد. بیانیه بیمه مرکزی سیاست یک بام و دو هوا را در پیش گرفته بود و هیچ اطلاعات شفافی درباره این حمله سایبری در آن وجود نداشت. درواقع به قولی، می‌توان گفت انتشار این بیانیه صرفاً برای رفع کوتی بوده، وگرنه هیچ ابهامی توسط آن برطرف نشده است. مشخص نیست اگر شبکه‌های اجتماعی به این وسعت نبود، چه مقدار از حملات سایبری همچنان مسکوت باقی مانده بود.

پیش از آن نیز سایت ریاست‌جمهوری مورد حمله سایبری قرار گرفته بود و تا امروز هم دقیقاً مشخص نشده است که این اقدام به چه صورت انجام شد و کار چه گروهی بود. چندی پیش نیز سایت قاصدک ۲۴ نیز مورد حمله سایبری قرار گرفت و اطلاعات کاربرانش در اینترنت نشت پیدا کرد، اما هیچ‌کس در این شرکت خصوصی در خود این وظیفه را ندید که در این مورد شفاف‌سازی کند و تنها اعلام شد که با همکاری پلیس فتا پیگیر این موضوع هستند که چرا این اطلاعات لو رفته است. برخی سایت‌های فعال حوزه رمزارز نیز با نشت اطلاعات کاربرانشان مواجه شدند و شفافیت درستی دراین‌باره ایجاد نکردند. در همین چند روز اخیر نیز خبرهایی مبنی بر هک‌شدن سازمان ثبت احوال به گوش رسید که صرفاً با جمله «تکذیب می‌کنیم» از سوی این نهاد روبه‌رو شد؛ حال آنکه این سازمان در سال‌های گذشته هم دچار این حمله شده بود و درحال‌حاضر نیز هکر روزبه‌روز اطلاعات بیشتری از دیتاهای زیرساختی ثبت احوال را منتشر می‌کند تا بتواند این تکذیبیه را تکذیب کند و هیچ‌کس در برابر این موضوع پاسخگو نیست. شایعه هک‌شدن وزارت علوم هم امروز به گوش رسید که تا زمان نگارش این مقاله، هیچ واکنش شفافی از سوی مسئولین صور نگرفته است.

مسئولیت این حملات هکری نیز به نهادهای مختلفی پاس‌کاری می‌شود. یکی پلیس فتا را مسئول می‌داند و دیگری سازمان افتای ریاست‌جمهوری را. برخی از وزارت ارتباطات و مرکز ماهر انتظار دارند و عده‌ای از دولتمردان نیز تأکید دارند که مسئول این اتفاق بالاترین مقام مدیریت شرکتی که مورد حمله قرار گرفته، است. سازمان پدافند غیرعامل نیز در این میان وجود دارد که مشخص نیست تا چه حد وظیفه حفظ این امنیت را بر عهده دارد و درنهایت یک خلأ قانونی در این بین وجود دارد که باعث می‌شود «توپ هک و حمله سایبری» در زمین هیچ دستگاه دولتی باقی نماند و دائماً به این‌وروآن‌ور پاس داده شود.

اطلاعات تهدید سایبری به اشتراک گذاشته نمی‌شود

موضوع ناراحت‌کننده دیگری که در این میان وجود دارد، عدم شفاف‌سازی درباره نحوه حملات سایبری است. به‌نظر می‌رسد سازمان‌ها و نهادهای مختلف بنا به دلایل گوناگون، علاقه‌ای به تبادل اطلاعات درباره نحوه حملات سایبری ندارند؛ درصورتی‌که این موضوع در دنیا پذیرفته شده است. در طول چند سال اخیر فقط شرکت ابر آروان بود که  گزارش فنی کاملی از شرح حمله سایبری به زیرساخت‌های خود را منتشر کرد تا بلکه بتواند کمک و راهنمایی برای سایر شرکت‌ها باشد.

امروزه سازمان‌ها با حجم عظیمی از اطلاعات پیچیده امنیت سایبری سروکار دارند و راهکارهایی نظیر هوشیاری پیرامون تهدیدات (هوش تهدید سایبری) و یا با به‌اشتراک‌گذاری اطلاعات تهدیدات می‌توانند نحوه استفاده از آن‌ها را متمرکز و اولویت‌بندی کنند. درواقع باید گفت هوشمندی از تهدیدات سایبری به سازمان‌ها نشان داده است که هیچ سازمانی به‌تنهایی نمی‌تواند اطلاعات کافی برای آگاهی از تمام تهدیدات ممکن در اختیار داشته باشد. راه غلبه بر این محدودیت این است که اطلاعات تهدیدات سایبری مرتبط بین انجمن‌ها، همکاران، صنایع و حتی دستگاه‌های دولتی به اشتراک گذاشته شود. می‌توان ادعا کرد از طریق به‌اشتراک‌گذاری اطلاعات و داد‌ه‌ها، هر سازمانی که اطلاعاتی را به اشتراک می‌گذارد، می‌تواند درک و فهم بیشتری از محدوده انتزاعی و صنعتی (منطقی و فیزیکی) تهدید داشته باشد و در پی یافتن نفوذگران، اقداماتی را انجام دهد.

نقص قانون در کشور

باید عدم وجود کیفرخواست و جرم‌انگاری پس از نشت اطلاعات کاربران در سازمان‌های دولتی را نشانه رفت که موجب سهل‌انگاری بیشتر در حفظ داده‌ها می‌شود. بسیاری کشور‌ها درصورت نشت اطلاعات کاربران، تا پنج درصد درآمد شرکت را بابت جریمه دریافت می‌کنند، اما در ایران چنین قانونی وجود ندارد. هرچند در لایحه‌ای موسوم به «صیانت از داده‌های شخصی» برخی جرم‌انگاری‌ها درباره این موضوع مطرح شده، اما این لایحه تا امروز پس از گذشت نزدیک به ۲۰ سال، هنوز راه به جایی نبرده است.

این لایحه در اواخر دولت دوازدهم بار دیگر به‌طور جدی پیگیری شد و درحال‌حاضر نیز وزیر ارتباطات دولت سیزدهم اعلام کرده است که برای صیانت از داده‌های کاربران در پیام‌رسان‌های بومی، به‌دنبال تحقق آن هستند، اما از اعلام این خبر نیز یک سال می‌گذرد و اتفاقی در این زمینه نیفتاده است.

واقعیت این است که نمی‌توان منکر شد که خلأهای قانونی زیادی در حوزه امنیت ما وجود دارد و باید گفت قوانین فعلی کارآمدی لازم را ندارد. درحالی‌که در ایران فعالیت‌های گسترده‌ای درزمینه سایبری صورت می‌گیرد اما قوانین درستی در این زمینه وضع نشده است. در نبود این قوانین، هیچ‌کس هم زحمت شفاف‌سازی به خود نمی‌دهد و کاربران باقی می‌مانند و یک علامت تعجب بزرگ که هیچ‌کس قصد ندارد آن را با توضیحاتی دقیق، پاک کند.