نگرانی از هک اسنپفود؛ چطور ممکن است از اطلاعات لو رفته ما سوء استفاده شود؟
این همه هک و حمله سایبری و نشت اطلاعات چطور اتفاق میافتد و چه تبعاتی برای کاربران دارد؟
تعداد حملات سایبری به سازمانها و کسبوکارها بیشتر شده اما اهمیت این موضوع و توجه به امنیتی که با هر حمله و نشت اطلاعات به مخاطره میافتد نباید از نظر دور بماند. در چند ماه اخیر از یک سو موارد حمله سایبری به سامانهها و پلتفرمها افزایش پیدا کرده، و از سوی دیگر عدم واکنش صحیح به این موضوع از طرف مراجع قانونگذار باعث شده حمله سایبری را یک اتفاق معمولی بدانیم.
برای این که حمله سایبری، نشر اطلاعات کاربران و نقض امنیت و حقوق شهروندان تبدیل به یک موضوع عادی نشود لازم است تبعات این اتفاق از بعد امنیتی بازگو شود. حالا که اسنپفود مورد حمله گروه هکری IRLeaks قرار گرفته، که پیشتر تپسی را هک کرده بود، و دادههای فراوان با جزئیات بسیاری از ۲۰ میلیون کاربر این پلتفرم و مشخصات کسبوکارهایی که در آن فعال بودهاند به دست هکرها افتاده بد نیست به این موضوع پرداخته شود که چرا این حملات سایبری گسترده رخ میدهد و این حملهها چه پیامدهایی دارد.
البته حملههای سایبری در چند ماه اخیر فقط به کسبوکارها محدود نبوده و حمله سایبری به پمپبزنینها و کل سامانه سوخترسانی کشور، حمله به سامانه ثبت احوال و لو رفتن اطلاعات مردم و حمله به سرورهای بنیاد شهید هم از موارد اخیر هک سازمانها و نهادهای دولتی بوده است.
سعید سوزنگر، کارشناس امنیت سایبری، در گفتوگو با زومیت این نوع حملهها را از نوع مهندسی اجتماعی یا Social Engineering میداند که تبدیل به رویه عمده حملات سایبری در دنیا شده است. مهندسی اجتماعی یک شیوه کلاهبرداری و سوءاستفاده از اطلاعات کاربران از نوع غیر فنی است که بیشتر با سوءاستفاده از دیتا و اطلاعات شخصی و جزئی افراد انجام میشود. سوزنگر در توضیح این موضوع گفت:
پیش از این، کلاهبرداریهای سایبری که امنیت کاربران را تهدید میکرد به شکل فیشینگ انجام میشد و مثلا با هک اطلاعات کارت بانکی حساب آنها را خالی میکرد اما بخش عظیمی از حملات سایبری امروز در دنیا به شیوه مهندسی اجتماعی (social engineering) است. یعنی اگر برای حملات و کلاهبرداریهای قبلی من مجبور بودم تکنیکی عمل کنم و با تهیه ابزار خاصی اقدام به سوء استفاده از اطلاعات کنم، الان با مهندسی اجتماعی به شیوهای غیر فنی این کار را انجام میدهم.
به گفته او، هک اسنپفود از این نوع است؛ «گروه هکری اطلاعات مختلفی از کاربران را در اختیار دارد. میداند کاربر کجا غذا خورده، چه خورده است و… با داشتن همین اطلاعات دقیق با کاربر تماس میگیرد، با دادن همین جزئیات اعتمادش را جلب میکند و با گرفتن اندک اطلاعاتی که برای کلاهبرداری نیاز دارد از خود افراد اقدام به کلاهبرداری از آنها میکند.»
با کمبود امنیت سایبری این شیوه کلاهبرداری که پیش از این بسیار سخت میتوانست انجام شود حالا با در دسترس قرار گرفتن این اطلاعات بسیار آسان شده و هر کسی ممکن است: «با داشتن این اطلاعات فقط یک تلفن بردارد و با چربزبانی و ترغیب افراد و با استفاده از این اطلاعات اقدام به کلاهبرداری یا هر نوع سوءاستفاده دیگری کند.»
این کارشناس امنیت شبکه پیشبینی میکند که با تکرار مواردی مثل هک شدن سامانه ثبت احوال، پلتفرم تپسی و پلتفرم اسنپفود شاهد چند برابر شدن این دست ناامنیها، نشت اطلاعات و کلاهبرداری از افراد خواهیم بود. بنابراین، این تصور که اطلاعات افشاشده کاربران اهمیتی ندارد و تاثیر خاصی نخواهد داشت، تصور اشتباهی است. دادهها و اطلاعات جزئی مربوط به افراد جزء حریم خصوصی آنها محسوب میشود که حاکمیت موظف به حفاظت از آن است.
کجاست قانونی که از دادههای کابران حفاظت کند؟
یکی دیگر از کارشناسان حوزه امنیت سایبری به عدم وجود قانونی برای حفاظت از دادهها و اطلاعات اشاره کرده و آن را یکی از مهمترین دلایل پایین بودن سطح امنیت سایبری در کشور میداند. در کشور قانونی وجود ندارد که شرکتها را موظف و ملزم به پاسخگویی در قبال نشر اطلاعات کاربران و مشتریان خود کند.
البته در چند سال گذشته تلاشهایی برای تدوین لایحه حمایت و حفاظت از دادههای شخصی صورت گرفته اما این لایحه به اندازه لوایح و قوانینی مانند صیانت اهمیت نداشته که به تصویب برسد و اجرای آن با جدیت پیگیری شود.
ایرنا گزارش داده است که وزیر ارتباطات پس از انتشار خبر هک اسنپفود و افشای اطلاعات کاربران بار دیگر به این لایحه اشاره کرده و البته مسئولیت رسیدگی به موضوع حملات سایبری را با پلیس فتا دانسته است: مسئول رسیدگی به امنیت کسبوکارها پلیس فتا است. لایحه حریم خصوصی به کمیسیون حقوقی و قضایی دولت ارجاع داده شده است. به این ترتیب حقوق و تکالیف مردم و پلتفرمها مشخص خواهد شد.
سعید سوزنگر عدم واکنش قانونگذار به موضوع نشت اطلاعات شهروندان را یکی از دلایل اصلی افزایش آسیبپذیری پلتفرمها و در نتیجه، بالا رفتن میزان حملات سایبری میداند: «در خصوص مساله سرویسهای امنیتی اسنپ هم بیمسئولیتیهای زیادی را انجام داده که البته همین موضوع هم به سیاستگذار بازمیگردد. سیاستگذار به جای این که حامی حقوق شهروندی باشد علاوه بر این که خودش این حقوق را نقض میکند به دیگران و پلتفرمها هم اجازه میدهد که حقوق شهروندی را نقض کنند. چون برای پلتفرمها بابت نشت و لو رفتن این اطلاعات جریمهای را در نظر نمیگیرد.»
تا حاکمیت کسبوکارها را مجبور نکند، برای تقویت امنیتشان اقدام نمیکنند
به گفته این کارشناس حوزه امنیت سایبری، اگر جریمه وجود داشته باشد کسبوکارها مواردی مثل باگ بانتی (کشف ضعف و باگ در پلتفرمها) را در نظر میگیرند یا به اشکال دیگر سیاستگذاری میکنند تا امنیت خود را ارتقا دهند اما «وقتی کسبوکارها میبینند اطلاعات مردم افشا میشود و کسی هم بابت این اتفاق بازخواستشان نمیکند، هزینه پنج یا ۱۰ میلیارد تومانی برای تقویت سطح امنیتیشان صرف نمیکنند.»
او در ادامه توضیح میدهد که جهان برای حفظ امنیت اطلاعات و حفاظت از دادههای آنها سختگیری دارد اما در کشور ما این موضوع اصلا مورد توجه قرار نمیگیرد: در یک جهان نرمال کسبوکارها ملزم هستند که حامی حقوق کاربرانشان باشند اما در شرایط کشور ما کسبوکار میبیند که به واسطه سهام و پشتوانههایی که دارد از انحصار برخودار است و برای هیچ نهادی هم مهم نیست که این اطلاعات منتشر شود پس وارد فرایند هزینهبر ارتقای سطح امنیت خود نمیشود.
این کارشناس در ادامه به سیاستهای کلان حاکمیتی در حوزه اینترنت اشاره میکند که باعث به وجود آمدن این وضعیت شده است: «نهادهای رگولاتور و قانونگذار به جای این که تمرکزشان را روی جلوگیری از نقض قوانین و حقوق شهروندی بگذارند، خودشان با قطع و فیلتر کردن این حقوق را نقض میکنند و با این کار سطح امنیت را هم کاهش میدهند. مردم هم این وسط اهمیتی ندارند که این نهادها برای حفظ امنیت اطلاعاتشان تلاش کنند در حالی که حاکمیت موظف است از دادههای شهروندانش محافظت کند.»
چرا این همه هک میشویم؟
هرچند به اعتقاد کارشناسان مواردی مانند فیلترینگ سطح امنیت کاربران و پلتفرمها را کاهش داده و میزان آسیبپذیری آنها را بالا برده است اما کارشناسان حوزه امنیت اعتقاد دارند پیش از فیلترینگ هم امنیت سایبری در کشور در سطح پایینی قرار داشته است.
آنها اعتقاد دارند علت افزایش حملههای سایبری یکی این است که تمرکز تیمهای هکری به سمت ایران بیشتر شده و دلیل دیگر رسانهای شدن و انتشار اخبار بیشتر در مورد حملههای سایبری است. پیش از این، عدم رسانهای شدن یا عدم انتشار گزارش از حملات سایبری باعث میشد چگونگی این حملات مشخص نشود تا سایر سازمانها و مجموعهها هم از آن مطلع شوند و برای مقابله راهکارهایی را در نظر بگیرند و نقطه ضعفهایشان را برطرف کنند.
سوزنگر نیز در تشریح دلایل دیگر افزایش حملات سایبری و لو رفتن اطلاعات این طور توضیح میدهد: «امنیت یک فرایند مداوم است و باید یک چرخه طراحی، ممیزی، پایش و… به طور مداوم انجام شود. در مورد کشور ما به دلیل تحریم ابزارها، عدم استفاده از پروتکلهای امنیتی رایگان و متنباز بینالمللی، موضوع فیلترینگ و… امنیت به طور کلی پایین است.»
البته انتظار میرود که هرچه جلوتر میرویم، با ورود نیروی انسانی بیشتر و متخصصتر به بازار کار و ابزارهای بهروزتری که برای موضوع امنیت سایبری ارائه میشود وضعیت بهتر میشود اما شواهد نشان میدهد که در کشور ما از این پتانسیل و ظرفیتها استفاده مناسبی نمیشود.
انحصار پلتفرمها آنها را نسبت به تقویت امنیت بیتفاوت کرده است
سعید سوزنگر در توضیح چرایی بیتوجهی به موضوع امنیت سایبری به نکته مهم دیگری هم اشاره میکند: در کشور ما اسنپفود میداند که حتی اگر دیتای مشتری از پلتفرمش لو برود جایگزینی ندارد و بنابراین اتفاق خاصی برایش رخ نمیدهد و چیزی از دست نمیرود. این موضوع باعث میشود به فکر مقاومسازی خود در برابر تهدیدهای امنیتی نباشد. اسنپ هم یک کسبوکار است و قاعدتا به فکر سود بیشتر و هزینه کمتر است؛ بنابراین با خود میگوید وقتی حاکمیت از من نمیخواهد اقدامی انجام دهم چرا خودم باید برای آن هزینه کنم؟
– سعید سوزنگر، کارشناس حوزه امنیت سایبری
به گفته این کارشناس حوزه امنیت سایبری، این انحصار باعث میشود که کاربر هم چون گزینه و انتخاب دیگری جز اسنپفود ندارد، حتی با وجود این اتفاقات مجبور به استفاده از آن شود. «در یک جهان نرمال بعد از چنین اتفاقاتی، کاربر دیگر از اسنپفود خرید نخواهد کرد اما در این فضای انحصاری چارهای جز استفاده ندارد.»
همه این موارد دست به دست هم داده است تا امنیت سایبری سازمانها، کسبوکارها و کاربران به مخاطره بیفتد. این موضوع هرچند از چشم مسئولین پنهان میماند و نه توضیح درباره آن داده میشود و نه اقدام موثری برای مواجهه با آن انجام میشود اما حالا وضعیت امنیت سایبری و نشت اطلاعات کاربران به جایی رسیده که مطالبه برای حفاظت از دادهها تبدیل به یک مطالبه اولویتدار شده است.