نگاهی به آنچه در نشست «حق امنیت سایبری؛ چالشها و راهکارها» گذشت
ایران، اولین کشور آلوده به بدافزارهای موبایل
در هفتهای که گذشت، یکی از نشستهای تخصصی هفته ترویج علم، نشست «حق امنیت سایبری؛ چالشها و راهکارها» بود که با حضور متخصصان این حوزه برگزار شد و آخرین وضعیت امنیت سایبری در ایران به بحث گذاشته شد.
گروه فناوری: در هفتهای که گذشت، یکی از نشستهای تخصصی هفته ترویج علم، نشست «حق امنیت سایبری؛ چالشها و راهکارها» بود که با حضور متخصصان این حوزه برگزار شد و آخرین وضعیت امنیت سایبری در ایران به بحث گذاشته شد.
در این نشست انواع حقوق شهروندان در فضای دیجیتال معرفی و نکات مختلفی مطرح شد؛ از آگاهیبخشی به جامعه درخصوص حقوق خود و شکلگیری خواست عمومی تا قانعکردن حاکمیت به اینکه از نگاه امنیتی به فضای دیجیتال دست بردارد که نتایج ضد امنیتی به دنبال دارد. همچنین مسئله تأمین امنیت کسبوکارها از طریق ارائه راهکارهای ارزانقیمت نیز مطرح شد. حق فراموشی و اهمیت آن نیز از دیگر مسائلی بود که کارشناسان در این نشست درباره آن به تبادل نظر پرداختند.
تبدیل شدن نگاه امنیتی به ضد امنیت
«شهروند امروز شاید بیش از هر زمانی احساس بیپناهی کند.» حامد بیدی، کنشگر حوزه اینترنت صحبتهایش را درخصوص حق امنیت سایبری چنین آغاز کرد و معتقد است این شهروند احساس میکند دادههایش در حال از دست رفتن و عمومی شدن است. او گفت: «به طنز میگویند که ما تنها کشور یا ملتی هستیم که دادههایمان «اوپنسورس» است. درواقع تمام دادههایمان در اینترنت پخش شده است. از این مسئله تا موضوع اینترنت، فیلترینگ و VPN، بحثهای نرمافزاری، توزیع سختافزار و ساحتهای مختلفی وجود دارد. فکر میکنم یک شهروند غیرمتخصص در حوزه فناوری هم امروز متوجه شده که یک جای کار میلنگد.»
به گفته بیدی، کارشناسان و کنشگران حوزه امنیت شبکه و امنیت سایبری نیز بارها هشدار داده و زنگ خطر را به صدا درآوردهاند، زیرا در وضعیت مطلوبی قرار نداریم. او امنیت سایبری را دچار بحران جدی میداند که فراتر از جامعه متخصصان حوزه فناوری، حتی شهروندان را نیز درگیر خود کرده است.
او افزود: «یکی از موضوعات اصلی در حوزه امنیت سایبری، مسئله دادههاست؛ دادههایی که ممکن است مربوط به شهروندان، شرکتها، تجارت یا دادههای دولتی باشد. امروز هم مشخص است که دنیا، دنیای دادههاست و با این دادهها تصمیمگیری و سیاستگذاری میشود و حتی از آنها درآمدزایی صورت میپذیرد. اهمیت دادهها در برخی موارد از پول بیشتر است.
بنابراین طبیعی است که بخش خصوصی، دولتها و شهروندان نگران باشند.» او با تأکید بر اینکه چند رویکرد در برخورد با این وضعیت اسفبار وجود دارد، میگوید: «یک رویکرد این است که من بهعنوان شهروند چه کار کنم؟ آیا راهحلهایی برای این موضوع وجود دارد یا نه؟ یک رویکرد دیگر این است که ببینیم مشکل کجاست؟ چرا شرکتها و دولتها ضعیف هستند؟»
بیدی در ادامه درباره اقداماتی که شهروندان میتوانند درخصوص حفاظت از دادههایشان انجام دهند، توضیح داد: «شهروند ابتدا باید آگاه باشد که برخی پلتفرمها این امکان را میدهند که دادههایش را حذف کنند. در گام دوم، مطالبه کند که چرا سایرین این کار را نمیکنند.»
او در ادامه درخصوص اقدامات شرکتها افزود: «بسیاری از شرکتها در پیچیدگیهای فنی سختافزاری و نرمافزاری وارد میشوند و از ابزارهای مختلف استفاده میکنند، کد مینویسند، زیرساخت خود را فراهم میکنند و... اما به نظر میرسد بسیاری از آنها فاقد حداقلهای امنیتی هستند. آیا راهحلی وجود دارد که کسبوکارهای کوچک و استارتاپها بتوانند وجود دارد با صرف هزینههای کمتر، حداقلهای امنیتی را تأمین کنند؟ زیرا حفظ امنیت سایبری، بعضاً بسیار پرهزینه است.»
این کنشگر حوزه اینترنت به سیاستگذاری فناوری نیز بهعنوان یک رویکرد، اشاره داشت و گفت، سیاستی که نتیجهاش تحریمهای فناوری است، خود به کاهش امنیت سایبری میانجامد. بیدی عنوان کرد: «ما شهروندان مجبور میشویم از ابزارهای کرکشده استفاده کنیم و از سوی دیگر، همان رویکرد به امنیتی کردن مسائلی مانند اینترنت منجر میشود که فیلترینگ گسترده را در پی دارد. خود فیلترینگ نیز باعث میشود ما همچنان ناامنتر شویم. شاید رویکردی که زمانی شعارش استقلال بود و با نگاه اساساً امنیتی به موضوع نگاه میکرد، اکنون به یک نگاه ضدامنیتی تبدیل شده باشد.»
حقی برای ناشناس بودن
حسین شیخرضایی، متخصص فلسفه علم و فناوری مسئله امنیت را ذیل مفهومی بزرگتر به نام حقوق دیجیتال یا حقوق سایبری قرار داد و گفت: «همانطور که ما بهعنوان موجودات بیولوژیکی یک زندگی فردی و اجتماعی داریم و حقوقی برای ما تعریف میشود، از زمانی که تبدیل به شهروندان دیجیتال شدیم، برای تنظیم روابط در آن حوزه چیزی بهنام حقوق دیجیتال یا حقوق سایبری تعریف شده است. امروزه این دو حوزه آنقدر متداخل شدهاند که تأثیر و تأثر متقابل دارند و بسیار بر هم اثر گذاشتهاند.»
او در توضیح این حقوق افزود: «حق دسترسی به اطلاعات یکی از حقوق دیجیتال ماست. حق آزادی بیان داریم که قبل از مسئله دیجیتال نیز بوده است. حق برخورداری از حریم خصوصی داریم؛ همانطور که در زندگی قبل از دیجیتال وجود داشته است. همینطور حقوق جدیدی مانند حق ناشناس بودن، حق فراموش شدن، حق محافظت از کودکان در برابر محتوای نامطلوب و...»
او امنیت سایبری را نیز یکی از مؤلفههای حقوق دیجیتال دانست و به سلسلهمراتب ارزشها اشاره کرد و گفت: «مسئله آزادی را در نظر بگیرید؛ باید ببینیم در چه چارچوبی صحبت میکنیم. اگر در چارچوب آنچه در کشور ما حاکم است صحبت کنیم، آزادی حق زیادی ندارد؛ یعنی پررنگ نیست. بنابراین اگر چیزی در تعارض با آن قرار بگیرد، قاعدتاً بهنفع آزادی کنار نمیرود.
اما عمدتاً در گفتمانهای حقوقی سکولار که در کشورهای غربی حاکم است، آزادی حق نامشروط است. مثلاً اگر حقوق کوچکتر با حق آزادی بیان در تعارض قرار گیرند، آن دست بالا را دارد. ما احتیاج به یک نظام سلسلهمراتب ارزشها داریم؛ یعنی کدام ارزشش بیشتر است که اگر در تنش قرار گرفت، ما آن را دست بالا قرار دهیم. در مورد امنیت و آزادی باید راجع به این صحبت کنیم که آن نظام حقوقی چه پایهای دارد؟»
شیخرضایی معتقد است، در کشور ما یک نظام ارزشی پشت مسئله فناوری و به تبع آن امنیت سایبری قرار گرفته که تفکر و کلیدواژههای مشخصی دارد: «یکی از ویژگیهای این نظام ارزشی این است که خود را مستقل از دنیا میبیند و فکر میکند، میتواند در حالت ایزوله امور خود را بگرداند؛ سعی دارد خودکفایی را ترویج کند و بهنوعی بیگانههراس است. تصور میکند تافته جدابافتهای است و لازم نیست وارد این بحثها شود. بنابراین مسئله فقط راهحل فنی ندارد؛ راهحلش در اختیار مهندسان و شبکهکاران نیست؛ بخشی از آن مسئله اجتماعی است.»
ایران، اولین کشور آلوده به بدافزارهای موبایل
سعید سوزنگر، کارشناس امنیت و کنشگر حوزه دیجیتال، امنیت سایبری را در ادامه امنیتی میبیند که ما بهشکل فیزیکی و در زندگی واقعی خود لازم است آن را داشته باشیم و به همان اندازه اهمیت دارد، زیرا فناوری را در دنیای امروز جزء لاینفک زندگی میداند. او افزود: «آسیبهایی که در دنیای واقعی وجود داشته، به دنیای سایبری هم تسرّی پیدا کرده و لایههای بیشتری نیز به آن اضافه شده است. شما در زندگیتان ممکن است با جمعیتی ۱۰۰ یا ۲۰۰ هزار نفری یا در یک شهر در ارتباط باشید، اما زمانی که با موبایلتان به اینترنت وصل میشوید، میتوانید با چند میلیارد نفر ارتباط برقرار کنید.»
او با ذکر این مسئله که ما حقوق مختلفی داریم و ازجمله آنها حق دسترسی دیجیتال است، تأکید کرد: «هیچ حکومتی نمیتواند برای این حق خط قرمز بگذارد یا شرایط تعیین کند. همانطور که حق داریم نفس بکشیم و در خیابان راه برویم، در دنیای مجازی نیز حق دسترسی دیجیتال داریم.»
سوزنگر همچنین به «حق فراموشی» اشاره کرد که در کشور ما چندان به آن پرداخته نمیشود. او گفت: «یک نمونه سادهاش «لغو ۱۱» که در انتهای پیامها وجود دارد و اثر نمیکند. حاکمیت حق فراموشی در پلتفرمها را اعمال نکرده و باید به این مسئله پرداخته شود.»
او در ادامه به حق حفظ حریم شخصی پرداخته و معتقد است، مردم ایران هنوز به اهمیت این حق خود واقف نیستند: «عموم مردم نگاهی اشتباه به مسئله دارند و میگویند من چه دارم که کسی ببیند؟ بگذار حکومت ببیند، هکر ببیند. باید به مردم آموزش داد که این حق شماست؛ حفظ حریم خصوصی، حق شهروندی است و شناخت آن جز با آگاهیرسانی اتفاق نمیافتد.»
سوزنگر حق بهرهبرداری از داده یا حکمرانی داده را نیز یکی از حقوق مطرحشده در حوزه دیجیتال دانست و در رابطه با آن توضیح داد: «مالک داده چه کسی است؟ چه کسی حق دارد از داده من استفاده کند؟ اگر من بیمارم، مالک دادهای هستم که بیمه یا بیمارستان روی آن کار میکنند و این حق من است. یا وقتی در پلتفرمی کار میکنم، حق مالکیت داده متعلق به من است و باید در مورد آن آگاهیرسانی و مطالبه صورت بگیرد.»
او با انتقاد از اینکه سیستمی که در اثر سیاستهای نادرست در کشور پیاده شده، همه افراد جامعه را کودک میپندارد، گفت: «اگر حد و مرزها مشخص بود، میتوانستیم سیاستهایی برای کودکان داشته باشیم و حداقل در مبارزه با تصاویر جنسی، کودکآزاری و موارد اینچنینی اثربخش عمل کنیم. امروزه نمیتوانیم عملکردی اثربخش داشته باشیم، زیرا امنیت کودکان با بزرگسالانی که کودک انگاشته شدهاند، ترکیب شده است.»
این کنشگر حوزه دیجیتال، به گزارش کسپرسکی اشاره کرد که به موجب آن اولین کشور آلوده به بدافزارهای موبایل هستیم و این هم به موضوع فیلترینگ و برخورد با VPNها مربوط میشود: «حاکمیت با محدود کردن حقوق دسترسی مردم، آنها را وادار میکند برای دسترسی به حقشان، به هر ابزاری متوسل شوند؛ ازجمله ابزارهای آلودهای که ممکن است دسترسیشان را به اینترنت فراهم کند. اگرچه این نرخ کم است، اما میزان اختلالی که فیلترینگ و ابزارهای محدودکننده روی شبکه ایجاد میکنند، به حدی است که اکثر ارائهدهندگان خدمات اینترنتی به حداقل استانداردهای امنیتی راضی میشوند.»
به گفته سوزنگر، نگاه حاکمیت به مسئله امنیت، ابزاری است، درحالیکه امنیت سه بخش عمده دارد: افراد (People)، فرآیندها (Process) و فناوری (Technology). در بخش افراد، سطح دانش مطرح است؛ هم برای متخصصان و هم برای جامعه عمومی. در جامعه عمومی، آگاهیرسانی اهمیت دارد و در جامعه متخصصان، دانش پیشرفته مورد نیاز است که اینها را نداریم؛ یعنی متخصص خوب هم نداریم. فرآیندها هم فرآیندهایی هستند که باید تدوین شوند، اما وجود ندارند. سازمانی بهنام پدافند غیرعامل داریم که اگر هیچ کاری نمیکرد و فقط استانداردهای NSA را ترجمه و استفاده میکرد، اتفاق بزرگی میافتاد؛ اما این کار را انجام نمیدهد و فقط بودجه دریافت میکند.
او افزود: «بحث فناوری شامل سختافزار، نرمافزار و ابزارهایی است که باید وارد شوند و نباید آن را به این تقلیل داد که یک ابزار میخریم و امنیت تأمین میشود. قبلاً اکثر حملات ما خارجی بود و راهکار ما، روش ابتدایی قطع کردن یا ایراناکسس کردن بود؛ کلاً ۴۵ سال است که کارمان این بوده که دسترسی را از خارج از ایران ببندیم.
اما اکنون، پس از آلودگیهای دو سال اخیر و اختلالاتی که روی پروتکلها صورت گرفته، میزان حملات داخلی و باتهایی که در کشور هستند، از میزان حملاتی که از خارج به ما میشد بیشتر شده است. یعنی مدل حملات تغییر کرده و اکنون در داخل نمیدانند چه کار کنند؛ ما حملات داخلی داریم و نمیدانیم باید چه کنیم. مردم ما دو سال است که آپدیت ابزارهایی را که روزانه از آنها استفاده میکنند، دریافت نکردهاند.
نتیجه این فرآیند میشود نشت دادهها، مسائلی که برای کودکان اتفاق میافتد، منتشر شدن اطلاعات شخصی افراد، کلاهبرداریها و فیشینگها. همه اینها نتیجه استفاده از ابزارهای کرکشده، کمبود دانش و کماهمیت بودن مسئله امنیت در کشور است.»
امنیت در حاشیه است
فاطمه مشرفی، کنشگر حوزه دیجیتال نیز معتقد است، همه افرادی که از ابزارهای دیجیتالی استفاده میکنند، حق دارند از امنیت دادههایی که به هر سازمانی میدهند، مطمئن باشند. اما این اتفاق نمیافتد: «ما بهراحتی هک میشویم، حملات سایبری بهراحتی شکل میگیرد و این باعث میشود بسیاری از دادهها و اطلاعاتی که مردم با خیال راحت به ما سپردهاند، از بین برود. این مسئله میتواند در انواع سازمانها رخ دهد، مانند بانکها که بسیاری از افراد دادههای اصلیشان را به آنها میسپارند یا بسیاری از سازمانهای مهم و حساس که به آنها اطمینان میکنیم و دادههای خود را در اختیارشان میگذاریم.»
مشرفی میافزاید: «وقتی حملات سایبری به این سازمانها میشود که گاهی حتی زمان شروع این حملات هم برایشان مشخص نیست، اطلاعات و دادههایی هک شده و از دسترسشان خارج میشود. در مراحل بعدی باجگیریهایی رخ میدهد. حتی بودجههایی نیز برای پرداخت این باجها داده میشود که شاید در بسیاری موارد اصلاً دیده نشود. اما با اینهمه وقتی سازمانها درباره امنیت خود صحبت میکنند، آن را بهعنوان بخشی حاشیهای میبینند.» به گفته او، این مسئله بزرگ نادیده گرفته میشود، زیرا حق شهروندان اهمیتی ندارد.