افتانا - کیایی‌فر: نشت اطلاعات ادامه خواهد داشت

اختصاصی افتانا- از ضعف قوانین حوزه امنیت داده‌ها تا کم‌توجهی به هکرهای کلاه‌سفید

خسارت ناشی از آن می‌تواند تبعات امنیتی ملی داشته‌باشد

گفتگو از: علیرضا صالحی , 3 ارديبهشت 1399 ساعت 11:51

کیایی‌فر، مدیر توسعه محصول شرکت مدبران، درباره نشت‌های پی‌درپی اطلاعات شهروندان گفته‌است: نشت ‏اطلاعات از سازمان‌های دولتی و استارتاپ‌ها ادامه خواهد داشت و خسارت ناشی از آن می‌تواند تبعات ‏امنیتی ‏ملی داشته‌باشد.‏ اطلاعات موجب تسلط بر مردم و تاثیر در سرنوشت آنها می‌شود و حتی بر حاکمیت کشورها و ‏مدیریت‌ها تاثیر می‌گذارد، بنابراین در سطح ملی باید برای این وضعیت نابه‌سامان امنیتی فکری کرد.‏

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در روزها و هفته‌های اخیر فعالان امنیت سایبری از ‏افشای پایگاه اطلاعات هویتی کاربران برخی سازمان‌ها و شرکت‌های دولتی و خصوصی خبر دادند‎ ‎و در این ‏موضوع از سازمان‌ها و شرکت‌های دولتی و خصوصی متعددی نام برده‌شد تا آنجا که مرکز ماهر هم اقدام به ‏پایش پایگاه‌های داده حفاظت‌نشده کرد. در این شرایط بر آن شدیم تا دیدگاه کارشناسان و فعالان امنیت ‏سایبری کشور را در این مورد جویا شویم و ببینیم آنها برای چنین روزهایی چه دغدغه‌هایی داشته و دارند و ‏دیدگاه‌شان در مورد این اتفاقات چیست. علی کیایی‌فر، مدیر توسعه محصول شرکت مدبران و کارشناس ‏امنیت اطلاعات، گفت‌وگویی در این مورد با افتانا داشت که در ادامه می‌خوانید. ‏

‏در روزهای اخیر اخبار نشت اطلاعات از سازمان‌ها و شرکت‌ها و استارتاپ‌های مختلف زیاد ‏شده‌است. به عنوان یک کارشناس امنیت اطلاعات چه تحلیلی از این نشت‌ها دارید؟
آسیب‌پذیری‌های سازمان‌ها و شرکت‌ها مثل یک کوه یخی است و این اخبار نشت اطلاعات فقط بخش‌هایی از کوه یخی ‏است که از آب بیرون آمده‌است. این اخبار برای کارشناسان امنیتی چیز عجیبی نیست چون وضعیت امنیت سازمان‌ها خیلی ‏بحرانی‌تر از این حرف‌هاست. ‏

‏یعنی معتقدید این اخبار نشت اطلاعات کماکان ادامه خواهد داشت؟
اگر با همین فرمان جلو برویم قطعا! ببینید، امکان نفوذ و دسترسی به اطلاعات از قبل هم وجود داشته و چه بسا ‏سوءاستفاده‌های زیادی هم شده‌باشد. خود ما بارها آسیب‌پذیری‌هایی را به مسئولان سازمان‌های بزرگ و کوچک اطلاع ‏دادیم اما واقعا عکس‌العمل مناسب ندیدیم. به نظر می‌رسد یا تهدیدها جدی گرفته نمی‌شوند و یا واقعا در لایه مدیریت، ‏درکی از خطرات و پیامدهای نشت اطلاعات وجود ندارد. ‏

به عنوان یک مثال کوچک حدودا ۶ ماه پیش یک آسیب‌پذیری در پورتال یکی از مدارس زنجیره‌ای کشور پیدا شد که ‏امکان دسترسی کامل به پرونده چندهزار دانش آموز و کارنامه آنها را می‌داد. مشکل به آنها گزارش شد. اما بعد از ۶ ماه ‏این آسیب‌پذیری برطرف نشد. حتی به مرکز ماهر هم اعلام شد، اما متاسفانه پیگیری لازم صورت نگرفت. اخیرا به پلیس ‏فتا گزارش کردیم خوشبختانه سریع اقدام و پیگیری کردند. در مثال‌های دیگر آسیب‌پذیری‌های بحرانی در برخی ‏استارتاپ‌ها و سازمان‌های دولتی کشف شد که برخی از آنها همچنان پابرجاست. حتی آسیب‌پذیری‌هایی در نرم‌افزارهای ‏ایرانی کشف شد که در کسب‌وکارهای مختلف در سطح کشور مورد استفاده قرار می‌گیرند و هم‌اکنون اطلاعات خصوصی ‏شهروندان از طریق این نرم‌افزارها قابل نشت است. اما واقعا عجیب است که با وجود این همه سرنخ، موضوعات امنیتی ‏پیگیری نمی‌شود.

گاهی احساس می شود که دوستان مسئول، تحت فشار کاری بیش از حد نمی توانند همه این موارد را ‏بررسی کنند. این موارد تنها زمانی اهمیت پیدا می‌کنند که اخبار نشت اطلاعات رسانه‌ای می شود و مدیران را به واکنش ‏وامی‌دارد. مثلا هم‌زمان با روزهایی که خبر هک شدن سایت تامین اجتماعی رسانه‌ای شده‌بود ما یک آسیب‌پذیری در ‏سرورهای سازمان فناوری اطلاعات کشف کردیم که بلافاصله موضوع به سازمان گزارش شد بعد از چند روز مشکل ‏برطرف شد. در آخر هم گفتند که چیز مهمی نبوده! واقعیت این است که مسئولان دو نوع واکنش در خصوص ‏آسیب‌پذیری‌هایشان دارند. دسته اول انکار می‌کنند و یا پشت گوش می‌اندازند. دسته دوم هم یک تشکر خشک و خالی ‏می‌کنند و می‌گویند چیز مهمی نبوده! البته دسته سومی هم وجود دارد که تعدادشان بسیار اندک است. مثل سازمان فناوری ‏اطلاعات شهرداری تهران که نه تنها آسیب‌پذیری‌هایش را انکار نمی‌کند بلکه برای گزارش کردن آنها جایزه هم می‌دهد. ‏

‏شما ریشه اصلی این مشکلات و نشت‌های اطلاعات مردم را چه می دانید؟
به نظر من ریشه اصلی مشکلات، ضعف در قوانین و ضعف در سیستم‌های نظارتی است. طبق قوانین فعلی، سازمان‌ها به ‏سه دسته تقسیم شده‌اند. دسته اول؛ سازمان‌های حساس و حیاتی هستند که مسئولیت رسیدگی به مسائل امنیتی آنها ‏برعهده افتای ریاست جمهوری است. دسته دوم؛ کسب‌وکارها هستند که رسیدگی به جرایمی که در خصوص آنها رخ ‏می‌دهد، برعهده پلیس فتاست. رسیدگی به رخدادهای امنیتی سایر سازمان‌های دولتی نیز بر عهده وزارت ارتباطات و مرکز ‏ماهر است. من معتقدم این دسته‌بندی تا حد زیادی اشتباه است و باعث موازی‌کاری و اختلاف‌نظر می شود. این اختلافات ‏از دور هم قابل تشخیص است. مثلا مرکز ماهر ساعت ۲ نیمه شب اطلاعیه‌ای در مورد نشت اطلاعات سازمان ثبت احوال ‏منتشر می‌کند و تلویحا مشکل را به زمین افتا می اندازد و صبح روز بعد مجبور به حذف اطلاعیه می‌شود. به عقیده من، نیاز ‏به یک «سازمان امنیت اطلاعات» واحد داریم که تمام مسائل را زیر یک چتر و تحت مدیریت واحد به پیش ببرد. ‏

علاوه بر این، ما در تدوین قوانین نیز به‌شدت ضعف داریم. لایحه صیانت از داده‌های خصوصی شهروندان ۲ سال است که ‏تقدیم مجلس شده اما بلاتکلیف مانده‌است. قوانین موجود هم به هیچ وجه بازدارنده نیستند. فرض کنید شما به عنوان یک ‏هکر کلاه‌سفید یک آسیب‌پذیری در یک دستگاه دولتی پیدا می‌کنید و آن را گزارش می‌کنید. طبق قوانین فعلی و بسته به ‏نظر مدیران آن سازمان ممکن است از شما تقدیر شود و یک چک بانکی هم به عنوان پاداش در وجه شما کشیده‌شود و یا ‏ممکن است علیه شما به جرم تلاش برای ورود به سیستم‌های اطلاعاتی سازمان شکایت شود و بازداشت شوید! این ضعف ‏قانونی باعث می‌شود افرادی که روزنه‌های نفوذ به شبکه‌های حساس و اطلاعات خصوصی مردم را کشف می‌کنند سکوت ‏کنند و جرات مطرح کردن آن را نیابند. چون هیچ قانونی وجود ندارد که از هکرهای کلاه‌سفید حمایت کند. ‏

‏ولی سازمان فناوری اطلاعات یک سامانه به نام «کلاه‌سفید» را راه‌اندازی کرده‌است و برای کشف ‏آسیب‌پذیری‌ها جایزه هم تعیین کرده‌است. ‏
سامانه کلاه‌سفید به هیچ وجه موثر و پاسخگوی چالش‌های فعلی نیست. شما در سایت کلاه‌سفید ثبت‌نام می‌کنید و از شما ‏خواسته می‌شود تلاش کنید صرفا به چند سایت محدود که نه بازدیدکننده زیادی دارند و نه اطلاعات مهمی در آنها وجود ‏دارد نفوذ کنید و بر اساس سطح نفوذ و کشف آسیب‌پذیری هم جایزه می‌گیرید. خب! این چه مشکلی را حل می‌کند؟ ‏درحالی که هم‌زمان به سامانه‌های دولتی حساس ما ظرف چند ساعت می‌شود یک نفوذ عمیق و اساسی داشت! همین ‏الان تنها با ۴ ساعت زمان می‌توانید بیش از ۳۰ سازمان دولتی را پیدا کنید و تا عمق آنها نفوذ کنید! چرا چنین چیزی ‏ممکن است؟ چون ما امنیت را صرفا در گرفتن چند گواهی‌نامه ‏ISMS‏ و روال‌های فرمالیته می‌دانیم. افراد متخصص را ‏جذب نمی‌کنیم چون نمی‌توانیم حقوق درخواستی آنها را مطابق با نظام پرداخت هماهنگ سازمان پرداخت کنیم!

انتظار ‏داریم حقوق یک متخصص امنیت به اندازه حقوق یک کارمند در واحد اداری یا مالی باشد! نتیجه می‌شود وضعیت فعلی. ‏ولی هکرهای حرفه‌ای دولت‌های بیگانه، هم کار خودشان را خوب بلدند و هم خوب حقوق می‌گیرند! بی‌سروصدا، نفوذ و ‏سوءاستفاده می‌کنند بدون اینکه کسی متوجه شود. بهتر است راه‌های قانونی را برای هکرهای کلاه‌سفید که تعدادشان در ‏کشور کم هم نیست باز کنیم. ‏

‏نشت اطلاعات علاوه‌بر نگرانی‌های شخصی چه عواقبی در سطح ملی می‌تواند به همراه ‏داشته‌باشد؟
اگر اطلاعات هویتی من به عنوان یک شهروند در اینترنت نشت شود به حریم خصوصی من تجاوز شده‌است اما این یک ‏بعد کوچک از ماجراست. وقتی اطلاعات سجلی من در یک دیتابیس و اطلاعات سفرهای درون شهری من، اطلاعات ‏پروازهای من، متن‌های گفت‌وگوی خصوصی من، اطلاعات نرم‌افزارهای نصب‌شده روی موبایل من، اطلاعات تحصیلی ‏من و فرزندانم و ... هریک در دیتابیس‌های جداگانه‌ای نشر و نشت شود یک پایگاه عظیم و باارزش برای تحلیل اطلاعات ‏میلیون‌ها شهروند به‌وجود می‌آید که تحلیل آن می‌تواند عواقب سنگینی داشته‌باشد. از تجمیع این اطلاعات می‌‌توان فهمید ‏ما که هستیم؟ چه می کنیم؟ اعتقادات ما چیست؟ با که دوست و فامیل هستیم؟ وضع فعلی ما چیست؟ اطلاعات تجمیعی ‏ما در مقایسه با اطلاعات دیگران چقدر است؟ به چه فکر می‌کنیم؟ اطلاعات ما چیست؟ (یعنی داشتن اطلاعات در مورد ‏میزان و نوع اطلاعات ما). استخراج و تحلیل این اطلاعات در مورد میلیون‌ها ایرانی می‌تواند فاجعه‌بار باشد.‏‎ ‎در دنیای فعلی، ‏دولتی که سلاح‌های جنگی بیشتری داشته‌باشد لزوما قدرتمندتر نیست بلکه دولتی قوی‌تر است که اطلاعات بیشتری در ‏اختیار داشته باشد. اطلاعات موجب تسلط بر مردم و تاثیر در سرنوشت آنها می‌شود. حتی بر حاکمیت کشورها و مدیریت‌ها ‏تاثیر می‌گذارد. بنابراین در سطح ملی باید برای این وضعیت نابه‌سامان امنیتی فکری کرد. راهکار اتحادیه اروپا برای دفاع از ‏حریم خصوصی شهروندان تدوین قانون ‏GDPR‏ در سال ۲۰۱۶ و اجرایی کردن آن از سال ۲۰۱۸ بوده‌است.‏

طبق قانون ‏GDPR‏ اگر یک شرکت در حراست از حریم خصوصی شهروندان سهل‌انگاری کرده و امنیت شهروندان را به ‏خطر بیندازد باید ۴ درصد از سود سالیانه خود و یا ۲۰ میلیون یورو (هرکدام که بیشتر باشد) را به عنوان جریمه پرداخت ‏کند. این جریمه آن‌قدر سنگین و بازدارنده است که کسب‌و‌کارهای استارتاپی را وادار می‌کند که حفاظت از اطلاعات ‏شهروندان را واقعا جدی بگیرند. زیرا می‌دانند سهل‌انگاری در این حوزه به معنای نابودی آنهاست. اما در ایران نه تنها ما ‏چنین قانونی نداریم بلکه سازمان فناوری اطلاعات هم نگاه سخت‌گیرانه‌ای به این موضوع ندارد و استدلال می‌کند که ‏نباید برای استارتاپ‌ها خیلی مانع بتراشیم و اجازه بدهیم که رشد کنند. شاید این استدلال تا حدی قابل درک باشد اما ‏نتیجه آن می‌شود انبوه نفوذها و نشت‌هایی که خبرهای آن یکی در میان رسانه‌ای می‌شود و کاری هم از دست هیچ‌کس ‏ساخته نیست. ‏

‏آیا صرفا تدوین قانونی مثل ‏GDPR‏ می‌تواند جلوی چنین نشت‌هایی را بگیرد؟
قانون ‏GDPR‏ فقط شامل جرائم نیست. این قانون ۱۱ فصل است که بخش اصلی آن تعریف چارچوب‌هایی برای ‏نگهداری اطلاعات و نحوه دسترسی به آنهاست. این چارچوب به‌گونه‌ای تدوین شده‌است که اجرا شدن آن سطح امنیت ‏اطلاعات را افزایش می‌دهد و نفوذ به یک سیستم منجر به نشت اطلاعات شهروندان نمی‌شود. به عنوان مثال در قانون ‏GDPR‏ تاکید شده اطلاعات هنگام ذخیره‌سازی در دیتابیس باید ‏Pseudonymized ‎‏ شوند. به عبارت بهتر، اطلاعات ‏فیلدهای حساس به‌گونه ای در دیتابیس رمزنگاری می‌شوند. این کمک می‌کند که لو رفتن دیتابیس خطر زیادی را ایجاد ‏نکند. بحث در مورد قانون ‏GDPR‏ بسیار گسترده است. در صورت لزوم می‌توانیم در موقعیت دیگری بیشتر در مورد آن ‏گفت‌وگو کنیم.‏

‏اگر این گفت‌وگو را جمع‌بندی کنیم باید بگوییم که در سطح قانون و سازو‌کار اجرایی و نظارت بر ‏استارتاپ‌ها مشکلات و نقایصی داریم؟
بله. شورای عالی فضای مجازی به عنوان بالاترین نهاد سیاست‌گذار باید نقش پررنگ‌تری در تصویب قانون صیانت از ‏حقوق شهروندان داشته‌باشد. قانون ‏GDPR‏ محصول هزاران ساعت کار کارشناسی دقیق حقوقی است که اکنون مستند ‏آن در اختیار ماست. می‌توانیم از این سند استفاده کرده و آن را بومی‌سازی کنیم. بومی‌سازی فقط در محصولات نیست. ‏می‌توانیم قوانین فضای مجازی را هم بومی‌سازی کنیم. ریل‌های قانونی و ضوابط اجرایی آن که شفاف شود استارتاپ و ‏شرکت‌ها ها هم حساب کار دست‌شان می‌آید و دغدغه‌های امنیتی را جدی‌تر می‌گیرند.

مدیریت شرکت‌ها و سازمان‌ها هم ‏اگر ببینند نشت اطلاعات می‌تواند جرائم سنگین برای آنها به همراه داشته‌باشد قطعا برای امنیت هزینه خواهندکرد و ‏بی‌تفاوت از کنار آن نخواهندگذشت و درنهایت شاهد نشت‌های کمتری خواهیم‌بود.‏