مجادله بر سر امنیت شبکههای اجتماعی داخلی
طی چند روز گذشته یکی از بحثهای داغ حوزه فناوری اطلاعات مربوط به «امنیت شبکههای اجتماعی داخلی» بوده است. برخی رسانهها طی روزهای اخیر به بهانه انتشار خبری مبنی بر «امنیت پایین شبکههای اجتماعی داخلی» سازمان فناوری اطلاعات را به خاطر انتشار این گزارش مورد انتقاد قرار دادند. از سوی دیگر سازمان فناوری اطلاعات نیز در پاسخی با اشاره به انتشار گزینشی این گزارش در این رسانهها واکنش نشان داد و آنها را جریانی همسو علیه دولت خواند.
نکته قابل توجه اینکه منتقدان همسو تیغ انتقاد را نه به سمت امنیت پایین شبکههای اجتماعی داخلی، بلکه به سمت انتشاردهنده این گزارش گرفتند و مدعی شدند که وزارت ارتباطات با این گزارش به دنبال تضعیف این شبکههای بومی در کشور است. در مقابل سازمان فناوری اطلاعات نیز با انتشار کامل این گزارش که برگرفته از کارگاهی در غرفه کارگروه امنیت تلکام 2015 بود به این منتقدان پاسخ گفته است. در حالی انتشار یک گزارش درخصوص امنیت پایین شبکههای اجتماعی داخلی به موضوع بحث چند هفته اخیر و انتشار جوابیههای مختلف شده که هک و حملات سایبری به شبکههای اجتماعی بزرگ دنیا یک موضوع عادی است.
یک جستوجوی ساده در گوگل شما را به خبرهای مختلفی درخصوص حمله هکرها یا نفوذ یک ویروس به سرویسهایی مانند فیسبوک، توییتر، فلیکر و… میرساند که اطلاعات کاربران را به خطر میاندازد. حتی مدیران و کارشناسان این شبکههای اجتماعی بهصورت شفاف کاربران این شبکهها را از حملات احتمالی یا هک شدن این سرویسها با خبر میکنند و با ارائه راهکارهای آموزشی سعی در جلوگیری مجدد از وقوع چنین اتفاقهایی دارند. اما چرا انتشار گزارشی درخصوص امنیت شبکههای اجتماعی در دنیا و اعلام امنیت پایین 9 شبکه اجتماعی داخلی که توسط سازمان فناوری اطلاعات و یکی از پیمانکارانش منتشر شده، حالا زمینه ساز بحثهای انتقادی مختلف در این خصوص شده است؟
تشویق برای استفاده از شبکه اجتماعی داخلی
یکی از برنامههایی که وزارت ارتباطات دولت یازدهم و در راس آن وزیر ارتباطات در اولویت کاری خود قرار داده است، فراهم کردن شرایط برای فعالیت بیشتر شبکههای اجتماعی داخلی و تشویق کاربران به استفاده از این سرویسها بوده است. در همین راستا نیز محمود واعظی وزیر ارتباطات، در چند شبکهاجتماعی داخلی عضو است و گزارشهای کاری و برنامههای توسعه حوزه فاوا را نیز از این طریق در اختیار کاربران اینترنت کشور میگذارد. محمود واعظی در اکثر گفتوگوهای خود و در واکنش به فیلتر شدن شبکههای اجتماعی محبوب دنیا اعلام کرده است که با فیلتر شدن تمام سرویسهای اینترنتی موافق نیست، اما کاربران میتوانند بهعنوان یک جایگزین برای سرویسهای اجتماعی خارجی از سرویسهای اینترنتی داخلی استفاده کنند.
تشویق همیشگی وزیرارتباطات به استفاده کاربران از شبکههای اجتماعی داخلی در حالی رخ میدهد که برخی خبرها حکایت از امنیت پایین چند شبکهاجتماعی داخلی دارند. هادی سجادی، معاون امنیت فضای تبادل اطلاعات سازمان فناوری اطلاعات، حدود یک ماه پیش در گفتوگو با خبرگزاری فارس از تحقیقی روی شبکه اجتماعی داخلی خبر داده بود و اینکه نتایج این تحقیق چندان رضایتبخش نبوده است. به گفته سجادی، با بررسی 10 شبکه اجتماعی برتر داخلی مشخص شده که سطح امنیت در بسیاری از این شبکهها پایین است و این شبکهها از نظر حفظ امنیت کاربران دارای نقصهای متعددی هستند. وی حتی به هک اطلاعات 2 میلیون نفر از کاربران یکی از این شبکههای اجتماعی پربازدید و داخلی اشاره و تصریح کرده است که اطلاعات حساب کاربری و کلمه عبور این کاربران در اینترنت نیز منتشر شده است.
محمود واعظی در حاشیه یکی از نشستهای خبری خود در پاسخ به این سوال «دنیای اقتصاد» که کدام شبکههای اجتماعی داخلی نا امن هستند و چرا با این وجود وزارت ارتباطات کاربران را به استفاده از این سرویسها تشویق میکند از اعلام نظر معاون امنیت فضای تبادل اطلاعات سازمان فناوری اطلاعات اظهار بیاطلاعی میکند و میگوید: «گزارشی در این خصوص به دست من نرسیده است اما آنچه مسلم است این موضوع است که هک و حملات سایبری به سرویسهای مختلف اینترنتی چیز عجیبی نیست و در حال حاضر خبرهای مختلفی درخصوص هک یا نفوذ خرابکاران به شبکههای اجتماعی محبوب دنیا مانند فیسبوک و.. را میشنویم.» واعظی تاکید میکند که صاحبان شبکههای اجتماعی داخلی در تلاش برای افزایش امنیت سرویسهای خود هستند و استفاده کاربران از این شبکهها یا همین حملههای اینترنتی میتواند به رشد و بهبود امنیت آنها کمک شایانی کند.
انتقاد از معرفی شبکههای اجتماعی ناامن؟!
در حالی که وزیر ارتباطات انتشار یا نام بردن از شبکههای اجتماعی داخلی ناامن را راهی برای بهبود سیستم امنیتی این شبکهها و همچنین شفافسازی و ایجاد اعتماد در بین کاربران میداند، اما یکی از مدیران این شبکههای اجتماعی نظر متفاوتی دارد و معتقد است که گزارش سازمان فناوری اطلاعات درخصوص امنیت شبکههای اجتماعی ایرانی، فنی و حرفهای نیست. امیر قاسمی، موسس شبکه اجتماعی هممیهن، در گفتوگو با «دنیای اقتصاد»، در این خصوص میگوید: «گزارش اخیر سازمان فناوری اطلاعات درخصوص امنیت شبکه اجتماعی ایرانی فنی نبوده و دارای جزئیات دقیق و شفاف هم نیست. در حالی که ما در شرایط سخت و پیچیدهای با طیف وسیعی از مشکلات داخلی و خارجی روبهرو هستیم چنین گزارشی آن هم از سوی یک سازمان دولتی که تعمیم شتابزدهای به کل شبکههای اجتماعی داخلی داشته است بیش از هر چیز جای تعجب دارد. انتقاد من نسبت به اعلام نام شبکههای ناامن نیست انتقاد من اعلام گزارشی بدون جزئیات دقیق و شفاف است. »
وی در ادامه با انتقاد به اینکه در این گزارش نامی از شبکههای اجتماعی پربازدید و مطرح برده نشده میافزاید: «در این بررسی تعدادی از شبکههای پربازدید به هر دلیلی حذف شدهاند و در مقابل تعدادی شبکه ناشناس و غیرمطرح در لیست قرار گرفتهاند. همچنین چرا سرویسی که در جشنواره رسانههای دیجیتال از دولت جایزه گرفته، در این بررسی گنجانده نشده است یا حتی شبکه اجتماعی که وزیر ارتباطات در آن عضو است مانند «زیگور» مورد بررسی قرار نگرفته است. به اعتقاد من این رفتارها شکبرانگیز است.»
قاسمی با اشاره به بالا بودن و اهمیت امنیت در شبکههای اجتماعی داخلی پربازدید و مطرح اعلام میکند که نظارت فعالان این حوزه روی سرویسهایشان یک کار پیدرپی و تمام نشدنی است. قاسمی در پاسخ به این سوال که شبکه اجتماعی هممیهن تاکنون مورد حمله اینترنتی یا هک قرار گرفته است، میگوید: «حملات ناموفق برای بررسی امکان نفوذ بسیار عادی و روتین هستند، از کشورهای مختلف این حملات به شکل شبانهروزی صورت میگیرد و ساعتی نیست که این شرایط وجود نداشته باشد. این حملات حتی به بالا بردن امنیت شبکه ما کمک میکند چراکه باعث پیدا کردن راههای نفوذ و اشکالات نرمافزاری شبکهمان میشود.» به اعتقاد وی، هیچ شبکه و سایتی از حملات در امان نیست و لازمه حفظ امنیت مطالعه، توسعه، بهروزرسانی و نظارت دائم است.
پاسخ به یک انتقاد
سازمان فناوری اطلاعات که تا پیش از مطرح شدن انتقاد از سوی یکی از مدیران شبکههای اجتماعی داخلی نسبت به این گزارش، حاضر به ارائه اطلاعات دقیق و منتشر کردن گزارش تحقیقاتی خود نبود در نهایت هفته گذشته و برای شفافسازی فایل پیدیاف گزارش تحقیقاتی درخصوص بررسی امنیت شبکههای اجتماعی داخلی و خارجی را روی سایت خود قرار داد. سازمان فناوری اطلاعات دلیل انتقاد از این گزارش را انتشار ناقص اطلاعات فایل پیدیاف این گزارش توسط برخی خبرگزاریهای داخلی عنوان میکند و بر این باور است که خبرگزاریها با درک غلط از نتایج این گزارش و انتشار گزینشی اطلاعات آن زمینهساز هجمه گسترده علیه سازمان فناوری اطلاعات شدهاند. سازمان فناوری اطلاعات در بیانیه رسمی خود در پاسخ به این انتقادها اعلام کرد که گزارش منتشر شده در چند خبرگزاری از مطالب ارائه شده در یک کارگاه در نمایشگاه تلهکام 94 با عنوان تبیین و بررسی مولفههای امنیت شبکههای اجتماعی داخلی و خارجی گرفته شده است. گزارشی که هدف آن حفظ حریم خصوصی و افزایش ضریب امنیت و حقوق کاربران ایرانی بوده است.
به گفته سازمان فناوری اطلاعات این پژوهش کار مشترک معاونت امنیت فضای تولید و تبادل اطلاعات سازمان و مرکز راهکارهای اطلاعاتی هوشمند دانشگاه صنعتی شریف بوده است. از جمله مباحث عنوان شده در این کارگاه که از طریق فایل پیدیاف در سایت سازمان فناوری اطلاعات نیز قابل دسترس است، میتوان به تعریف شبکههای اجتماعی و ذینفعان آن، مباحث امنیتی در جهت حفظ حریم خصوصی و جلوگیری از دسترسیهای نادرست، تهدیدهای شبکههای اجتماعی خارجی و مقابله اتحادیه اروپا با آن بر اساس قوانین و مقررات حاکم و همچنین اصول OECD در جهت حفظ حریم خصوصی اشاره کرد. نحوه مناسب و ایدهآل استفاده از شبکههای اجتماعی و نقاط خطر احتمالی و حملههای امنیتی قابل وقوع در این شبکهها و همچنین بررسی شبکههای اجتماعی داخلی، نقاط قوت و ضعف آنها، گامهای اساسی برای ایجاد فضای امن در شبکههای اجتماعی داخلی از دیگر عناوینی است که میتوان در این پیدی اف مشاهد کرد.
برخی کارشناسان جو ایجاد شده از انتشار چنین گزارشی از سوی سازمان فناوری اطلاعات را بیمورد میدانند و معتقدند انتشار چنین گزارشهایی نه تنها باعث ضعف و بدبینی کاربران به این شبکهها نمیشود بلکه شفافسازی هر چه بیشتر در این خصوص میتواند به بالابردن سطح آگاهی جامعه نسبت به فعالیت این شبکهها کمک کند. علی فتاحی، کارشناس امنیتی با اعلام اینکه هک و حملات سایبری بخش جدا ناپذیر فعالیت در دنیای اینترنت است، میگوید: «مشکل امنیتی مختص به شبکههای اجتماعی داخلی نیست و در تمام دنیا سرویسهای مختلف اینترنتی با این مشکل روبهرو هستند. همچنین بخشی از پایین بودن امنیت شبکههای اجتماعی به این موضوع باز میگردد که اصولا در کشور به مسائل امنیتی توجه ویژهای نمیشود و این مشکل باید از پایه حل شود.» به باور وی آموزش و استفاده برنامهنویسان حرفهای در ایجاد یک شبکه اینترنتی یکی از نیازهای اساسی برای بالا بردن امنیت سرویسهای اینترنتی در ایران است.
در همین زمینه نیماشایافر، برنامهنویس وب در گفتوگویی مشکل امنیت پایین شبکههای اجتماعی داخلی و دلیل عدم تمایل کاربران ایرانی به استفاده از این شبکهها را به برنامهنویسی غیر حرفهای این شبکههای اجتماعی ارتباط میدهد و میگوید: «برخی از برنامهنویسان ایرانی برای ایجاد یک سرویس اینترنتی از ساختارهای برنامهنویسی از پیش آماده شده و متن باز استفاده میکنند که این انتخاب در طول زمان باعث بروز مشکلات امنیتی میشود. درست است که استفاده از چنین ساختارهای برنامه نویسی باعث کاهش هزینهها میشود، اما برای جلوگیری از بروز مشکلات امنیتی، استفاده از چنین برنامههایی نیاز به نگهداری و به روزرسانی دارد.» شایافر معتقد است برای جلب نظر کاربران به سرویسهای اینترنتی داخلی باید برنامهنویسان ایرانی نسبت به خواسته کاربران آگاه باشند و از برنامههای به روز و امن دنیا برای کد نویسی استفاده کنند.