«اسنپ» باید تاوان پس دهد

 هنوز جوهر رسانه‌ای‌شدن هک اسنپ‌فود و لو رفتن اطلاعات حیاتی شهروندان در این سکوی (پلتفرم) فروش غذا خشک نشده و هک جایگاه سوخت کشور برای دومین بار از یاد‌ها نرفته که هک دیگری رسانه‌ای شده است، آن هم در سامانه معاینه فنی خودروها! به گفته رسانه‌ها این حمله صبح روز گذشته رخ داد و به دلیل حمله سایبری، این مراکز از دسترس خارج و در برخی شهر‌ها تعطیل شده‌اند! هک‌هایی که تنها به شنیدن اخبار آن عادت کرده‌ایم و از خطرات این دسته از حمله‌ها به دلیل نداشتن اطلاع از خطراتش، آن هم به راحتی از کنار آن می‌گذریم و آن‌هایی هم که از خطرات این دسته از هک‌ها مطلع هستند، گویی سر خود را مانند کبک در برف فرو برده و سکوت کرده‌اند و دریغ از شکایت، پیگیری قضایی، تدارکات پیشگیرانه، اقدام‌ها و حتی پیگیری‌ها!

کاظم فلاحی، کارشناس امنیت سایبری در گفتگو با «جوان» می‌گوید: «در زمینه اسنپ‌فود اطلاعات منتشر‌شده فراتر از اطلاعات خود کاربر است و در این بین اطلاعات آشنایان، دوستان و اقوام هر کاربر که از مکان آن‌ها سفارش غذا داده شده، در خطر است. وی می‌افزاید: «با لو رفتن اطلاعات کاربران جدی برخورد نمی‌شود، چون شهروندان با خطراتی که در سطح امنیت ملی است، آگاهی ندارند و اگر این بحث را بدانند که چه خطراتی دربردارد، همه از این پلتفرم‌ها شکایت می‌کنند، از شهروندان گرفته تا مدعی‌العموم و حتی نهاد‌های مردم‌نهاد.»

این کارشناس امنیت سایبری می‌افزاید: «به هر کسی آدرس خانه و محل کار خود را نمی‌دهیم و در هک اسنپ‌فود آدرس ۲۰ میلیون کاربر فاش شده است. اگر کاربری هر شب در یک ساعت خاص سفارش غذا بدهد، هکر با اطلاعات دریافتی از آن مطلع می‌شود، بنابراین می‌تواند وقتی فرد سفارش غذا می‌دهد، در همان ساعت به در منزل این کاربر مراجعه کند و به عنوان پیک زنگ در را بزند و وی را خفت کند، دزدی کند و الخ».

به گفته وی در این حمله علاقه‌مندی‌های غذایی کاربران از اینکه چه غذایی دوست دارند؟ از کدام رستوران‌ها سفارش می‌دهند؟ چه ساعت‌هایی غذا سفارش می‌دهند؟ کدام مناطق بیشتر غذا سفارش می‌دهند؟ و... تماماً لو رفته است، ولی باید وسعت خطرات را بیشتر لمس کرد. با آنالیز (تحلیل) اطلاعات می‌توان خطراتی ایجاد کرد.» وی با بیان اینکه به عنوان کارشناس امنیت سایبری نمی‌دانم برای کشوری که این همه دشمن داخلی و خارجی دارد، چرا بحث امنیت سایبری را که دارای خطراتی به گستردگی امنیت ملی است، جدی نمی‌گیرند، تأکید می‌کند: «خاکریز‌ها یکی‌یکی از سوی دشمن داخلی و خارجی فتح می‌شود و هیچ تدارکات امنیتی برای اینکه دشمن از سد خاکریز‌های ما که اکنون فضای مجازی و سد‌های امنیتی است، عبور نکند، دیده نشده و اگر هم دیده شده به قدری شکننده است که به راحتی عبور می‌کنند.»

ضعف امنیت سایبری

به اعتقاد این کارشناس، امنیت سایبری در پلتفرم‌ها بسیار پایین است و کسی که اسنپ‌فود را هک کرده کار راحتی داشته است، چون اینطور که مشخص شده کمتر از یک هفته زمان برده، پس مشخص است امنیت بسیار پایینی داشته است و این موضوع درباره سایر دستگاه‌ها هم صدق می‌کند.

فلاحی با بیان اینکه اسنپ جزو پنج نرم‌افزار برتر کشور قلمداد می‌شود و ۲۰ میلیون کاربر اندک نیست، تصریح می‌کند: «باید امنیت این پلتفرم‌ها، سایت‌ها و دستگاه‌های اجرایی بار‌ها و بار‌ها ارزیابی می‌شد، در حالی که ارزیابی نشده و هک صورت گرفته است. من به عنوان کارشناس امنیت سایبری اطمینان دارم اسنپ‌فود و دیگر دستگاه‌ها از ساده‌ترین باگ هک شده‌اند، چون کار خاص امنیتی برای پلتفرم، سایت و سامانه خود انجام نداده‌اند و گفته پلیس فتا هم ادعای مرا تأیید می‌کند، چون بعد از هک اسنپ‌فود پلیس فتا در رسانه‌ها اعلام کرد در بازبینی از امنیت سایبری این پلتفرم اعلام شده است مشکل امنیتی دارند و باید رفع کنند!»

وی می‌افزاید: «جای سؤال است که چرا متولیان امر این موضوع را پیگیری نکرده‌اند. در این میان باید مراکز مربوط بعد از این موضوع سفت و سخت پیگیری می‌کردند که آیا امنیت سایبری خود را ارتقا داده‌اند یا خیر، پس مراکز متولی هم در این زمینه کوتاهی کرده‌اند. اگر امنیت آن به درستی انجام نشده است، چرا اپلیکیشن را تعطیل نکرده‌اند؟ چرا ادامه فعالیت داده‌اند؟ چرا در گوش این پلتفرم، دیگر سامانه‌هایی از این دست که امنیت سایبری را رعایت نکرده‌اند، نزده‌اند که چک‌لیست‌ها را به درستی رعایت نکرده‌اید؟ باید متولیان امر هم از سوی نهاد‌های قضایی تحت پیگرد قانونی قرار بگیرند، از این رو در عجبم که چرا هیچ نهاد مردم‌نهاد و قضایی ورود نمی‌کند، چون امنیت ملی به خطر افتاده است و با این فرصت خطر آن‌ها تنها به عذرخواهی و تأیید و تکذیب تن داده‌اند.»

نبود جریمه‌های سنگین

این کارشناس امنیت سایبری علت عذرخواهی و تنها تأیید هک را نبود مسئولیت‌پذیری در پلتفرم‌های خصوصی و دستگاه‌های اجرایی می‌داند و می‌گوید: «قانون آن‌ها را پاسخگو نکرده است. از سوی دیگر حتی اگر جریمه‌ای هم در نظر بگیرند، آنقدر اندک است که جریمه برای پلتفرم‌هایی به این وسعت عدد و رقمی محسوب نمی‌شود. اگر فقط و فقط یک بار هک‌هایی به این گستردگی از سوی مقامات قضایی پیگیری می‌شد و جریمه‌های بسیار‌بسیار سنگین در حد بودجه مملکتی می‌شدند، کمتر شاهد چنین هک‌هایی بودیم و برای اطلاعات کاربران ارزش قائل می‌شدند و از آن سفت و سخت محافظت می‌کردند.»

فلاحی می‌افزاید: «بار‌ها گفته شده است در کشور ما متولیان امنیت سایبری زیاد هستند و باید یک دستگاه با قدرت اجرایی بالا متولی امر باشد. وقتی هکی صورت گرفت، ورود کنند و مسئولان را به دادگاه بکشانند و جریمه‌ای فوق‌العاده سنگین تعیین کنند که از سود روزانه آن‌ها بیشتر باشد. وقتی در کشور‌های دیگر هکی رخ می‌دهد، در حد بودجه یک کشور جریمه می‌شوند و اگر پلتفرم و کسب و کاری امنیت را فراهم نکند، حذف می‌شود، البته در کشور ما اپلیکیشن‌های برتر انحصاری شده‌اند و رقیب ندارند، بنابراین اگر حاکمیت هم بخواهد آن‌ها را حذف کند، مردم معترض می‌شوند و این هم از تبعات انحصار است.» به گفته وی، در کشور کلی نهاد امنیت موازی داریم که قدرت اجرا ندارد، بنابراین به یک متولی با قدرت بالا نیاز است تا تمام دستگاه‌ها و پلتفرم‌ها را به مسئولیت‌پذیری وادارد و جریمه و مدیر امنیت را جابه جا کند و باید بتواند اپلیکیشن را حذف کند. اگر این اتفاق در اروپا رخ می‌داد، اپلیکیشن را حذف می‌کردند، ولی از آنجا که پلتفرم‌های داخلی انحصاری شده‌اند، امکان حذف وجود ندارد و در صورت حذف باعث می‌شود مردم هم معترض شوند.»

فلاحی به نبود سواد امنیت سایبری در بین مدیران دستگاه‌ها اشاره می‌کند و می‌گوید: «فرهنگ ایجاد امنیت سایبری هم ضعف دارد. تمام نهاد‌ها باید متخصصان امنیت سایبری را استخدام و حقوق بالایی پرداخت کنند، ولی آن‌ها حاضر نیستند به این افراد حقوق بالایی بپردازند. هکر کلاه سفید استخدام کنند و پول هنگفتی بپردازند، نه مانند اسنپ که در برابر پیدا‌کردن باگ‌ها ۱۵ میلیون پاداش تعیین کرده بود. اگر همان موقع در باگ‌بانتی‌اش پاداش کلان گذاشته بود، اکنون به این مشکل برخورد نمی‌کرد.»

فقر فهم حقوقی در شکایت از لو رفتن اطلاعات کاربران

معمولاً وقتی اطلاعات کاربران در پلتفرم‌ها لو می‌رود، از پلتفرم‌هایی که مسئول محافظت از اطلاعات کاربران بودند، شکایت می‌شود و نه تنها جریمه‌های سنگین برای آن‌ها در نظر گرفته می‌شود بلکه اپلیکیشن‌ها حذف می‌شوند، ولی با فاش‌شدن اطلاعات کاربران روی پلتفرم‌های مختلف از جمله اسنپ‌فود که به تازگی هک شده است یا نشر اطلاعات از سوی هک‌هایی که چندی قبل مانند تپسی اتفاق افتاد، شهروندان چه اقدام‌های حقوقی می‌توانند انجام دهند و اصلاً چرا تاکنون شاهد شکایت و جریمه‌های سنگین برای پلتفرم‌ها و سامانه‌هایی که در نگهداری از اطلاعات کاربران نکوشیده‌اند، نبوده‌ایم.

محمدجواد نعناکار، کارشناس حقوقی فناوری اطلاعات درباره این موضوع به «جوان» می‌گوید: «فاش‌شدن اطلاعات کاربران روی پلتفرم‌های مختلف از جمله اسنپ‌فود که به تازگی هک شده است یا نشر اطلاعات از سوی هک‌هایی که چندی قبل مانند تپسی اتفاق افتاد، با داده‌کاوی مشخص می‌شود کاربران در کجا زندگی می‌کنند، سلایق آن‌ها چگونه است، چه چیز‌های را مصرف می‌کنند؟ در کجا‌ها تردد دارند، شماره تلفن آن‌ها و اطلاعات شناسنامه‌شان چیست؟ و این اطلاعات در دسترس عده‌ای قرار می‌گیرد که با اقدام‌های ثانویه می‌توانند از آن کلاهبرداری تجسسی و آن‌ها را شناسایی کنند، بنابراین همانطور که مشاهده می‌شود، آن‌ها در برابر انواع زیادی از خطرات قرار دارند، مخصوصاً اگر اطلاعات برای کاربران با سطوح بالا مانند افرادی سیاسی، امنیتی، قضایی و در کل مشاغل حساس باشد، دارای خطرات بیشتری است.

وی در پاسخ به این سؤال که حالا که اطلاعات کاربران فاش شده است، به چه شیوه‌هایی می‌توان این موضوع را پیگیری کرد، می‌گوید: «با فاش‌شدن اطلاعات، افراد می‌توانند به شیوه‌های مختلف این موضوع را پیگیری کنند. اول اینکه شهروند می‌تواند از پلتفرم و کسب‌و‌کاری که اطلاعاتش لو رفته است، خود در دادگاه اقامه دعوی کند و بر اساس قوانین تجارت الکترونیکی (با استناد به اینکه پردازش و جمع‌آوری ارسال داده‌های شخصی ممنوع است، مگر اینکه افراد صراحتاً رضایت خود را اعلام کنند، پیگیری کند) یا اینکه می‌تواند مطابق ماده ۷۸ قانون تجارت الکترونیکی مبنی بر اسرار تجاری اگر در اثر ضعف سیستم‌های ارتباطی خسارتی ایجاد شود، باید جبران شود، مطالبه خسارت کند یا اینکه با استناد به قانون مدنی می‌تواند اقدام کند. اگر نشر اطلاعات کاربران در حد وسیعی مانند آنچه در هک اسنپ‌فود اتفاق افتاد، رخ دهد، در این صورت طبق قانون دادستان باید به عنوان مدعی‌العموم ورود کند یا اینکه نهاد‌ها و انجمن‌های مردم‌نهاد و غیردولتی مانند نظام صنفی رایانه‌ای کشور یا اتحادیه مربوط در این زمینه شکایت و موضوع را به صورت جدی پیگیری کنند.

به گفته این کارشناس حقوقی فناوری اطلاعات بخش‌های مختلف دیگری مانند مرکز ملی فضای مجازی، پدافند غیرعامل، پلیس فضای تبادل اطلاعات و امنیتی می‌توانند در این زمینه ورود و علت وقوع این اتفاق را به جدیت پیگیری کنند، چون هر پلتفرمی در کشور برای فعالیت باید مجوز‌های زیادی را از مرکز توسعه تجارت الکترونیک گرفته تا قانون سلامت اداری و مبارزه با مفاسد اجتماعی و مرکز ماهر متعلق به سازمان فناوری اطلاعات دریافت کند.

مشکل در فرایند‌ها

به اعتقاد وی، جای سؤال است پلتفرم‌هایی که با این عظمت در حال فعالیت هستند و اطلاعات کاربران زیادی در آن دریافت، پردازش و ذخیره می‌شود، چگونه است این اتفاق می‌افتد و ۲۰ میلیون کاربر هک می‌شود و در اختیار کسانی قرار می‌گیرد که صلاحیت دسترسی به آن اطلاعات را ندارند. به نظر ما فرایند‌ها مشکل دارد و این فرایند‌ها باید با ورود ضابطان قضایی در آن تجدیدنظر و اصلاح شود.

نعناکار با تأکید بر اینکه به نظر می‌رسد فرایند‌های پلتفرم‌ها دچار مشکل است، می‌افزاید: «باید بیشتر تمرکز خود را روی فرایند‌ها و سیستم‌ها متمرکز کنیم، چراکه وقتی پلتفرمی رشد می‌کند و بزرگ می‌شود، باید مشخص شود تا چه حد می‌تواند اطلاعات کاربران را دریافت، ذخیره و پردازش کند. باید از سوی متولیانی که بالاتر نامبرده شد، پیگیری شود که اطلاعات مازاد دریافت نکند، وقتی کاربر حذف اطلاعات خود را از روی پلتفرم درخواست کرد، امکان حذف آن وجود داشته باشد. از سوی دیگر امکان حذف اکانت‌ها مهیا شود و ذخیره اطلاعات دارای تاریخ انقضا باشد و بعد مدتی خودکار حذف شود و تجمیع و رسوب اطلاعات در پلتفرم‌ها رخ ندهد.»

وی ادامه می‌دهد: «ما به قانون و لایحه جدید نیاز نداریم و آنچه بیشتر از قبل مشهود است، بحث ضعف در حکمرانی سایبری و نبود سیاست‌های کلان درست در این حوزه است. باید این نوع ضعف‌ها را رفع کنیم، چون برای اقدام‌های قضایی مسئولیت مدنی، قانون مجازات اسلامی تجارت الکترونیکی، جرائم رایانه‌ای و قابلیت صیانت از حفاظت اطلاعات کاربران، خدمات‌دهندگان و گیرندگان وجود دارد، بنابراین چیزی که بیش از همه عیان است، فقر فهم حقوقی در این زمینه است؛ اینکه وقتی چنین اتفاقی می‌افتد، چگونه باید عمل شود، بموقع عمل شود و متولیان در مکان و زمان درستی مسئولیت‌های خود را انجام دهند، ولی این اتفاق نمی‌افتد.»

به اعتقاد این کارشناس حقوقی فناوری اطلاعات، پلتفرم‌ها محصولات نرم‌افزاری و پویا هستند، بنابراین باید همواره پایش شوند و امنیت آن‌ها به صورت مداوم بازنگری شود. به هر حال خطای انسانی هم می‌تواند مشکل‌ساز شود. با اینکه فراهم کردن و امنیت سایبری نسبی است، ولی سازمان‌های متولی باید به گونه‌ای عمل کنند که کمترین آسیب متوجه پلتفرم‌ها و کاربران آن‌ها شود و جنبه کمک‌کننده داشته باشد، مهم‌تر اینکه اطلاعات پایه در مکانی خارج از پلتفرم نگهداری شود. نعناکار برخورد با این پلتفرم‌ها را منوط به کار کارشناسی می‌داند و می‌گوید: باید بررسی شود که هک به دلیل خطای عمدی، سهوی، انسانی یا سیستمی رخ داده است یا خیر و آیا اختلالاتی که در شبکه ارتباطی وزارت ارتباطات و فناوری اطلاعات ایجاد شده عامل مؤثری بوده است، بعد می‌توان درباره برخورد قانونی با این پلتفرم‌ها اقدامی انجام داد.»

وی در پاسخ به این سؤال که دنیا چگونه با این موضوع برخورد می‌کند، تصریح می‌کند: «باید دید دنیا با این نوع قضایا با چه سیستم حقوقی کدمحور یا عرف‌محور برخورد می‌کند، چون همانطور که گفته شد، هک و حملات سایبری برای پلتفرم‌های بزرگ دنیا مانند فیس‌بوک، توئیتر و واتس‌آپ هم اتفاق افتاده و اطلاعات کاربران آن‌ها لو رفته است، ولی با حکمرانی سایبری آن‌ها و تسلطی که روی شبکه ارتباطی دارند، معمولاً عوامل سریع شناسایی و دستگیر می‌شوند یا در واقع داده‌هایی که در شبکه خرید و فروش و دانلود می‌شوند سریع جلوی آن‌ها گرفته می‌شود.»

منبع: روزنامه جوان