هک مجموعه اسنپفود چندمین هک بزرگی است که طی چند ماه اخیر رخ میدهد. پیش از این تپسی، شرکتهای بیمهای، پمپ بنزینها و چندین مجموعه دیگر مورد حمله هکرها قرار گرفتند و بهنظر میرسد که امنیت در بین شرکتهای فعال در کشور، جایگاه مناسبی ندارد. کارشناسان این حوزه معتقدند که نبود قوانین و عدم جرم انگاری برای شرکتها باعث شده که این مجموعهها به موضوع امنیت و توجه به آن، اهمیت ندهند.
نبود قانون حفاظت از دادههای کاربر در ایران دلیل اصلی بیاهمیتی به امنیت است
«میلاد نوری» برنامهنویس و مدیرعامل توکان در گفتگو با دیجیاتو در پاسخ به این پرسش که موضوع امنیت چقدر در شرکتهای ایرانی جدی گرفته میشود گفت: «مهمترین دلیل عدم اهمیت به این موضوع، نبود قانون حفاظت از دادههای کاربر در ایران است. به دلیل عدم وجود قانون و بررسی موارد گذشته، میبینیم که گستردهترین هکها و نشت اطلاعات هیچ تبعات قانونی و مالی برای سازمانها و شرکتها ندارد. تا جایی که در برخی موارد، حتی موضوع از اساس تکذیب شده. در مورد تپسی هم چند سال پیش یک هک با ابعاد کوچکتر اتفاق افتاده بود. و امسال در ابعاد بزرگتری اتفاق افتاد. در موضوع تپسی، آیدی دستگاههای اندرویدی (Android ID) بدون هیچ رمزنگاری ذخیره شده که همین مورد بعد از ماهها در اسنپفود هم وجود دارد. شاید اگر ترس از تبعات قانونی، جریمه مالی، حمایت از حقوق کاربر و… وجود داشت، شرکتها برخی موارد ساده مثل عدم ذخیره دیتای اضافه، رمزنگاری دیتای حساستر و… را رعایت میکردند.»
نوری باور دارد در موارد هکهای متعددی که رخ داده با کنار هم قرار دادن اطلاعات دیتابیسهای مختلف، و تطابق دادهها، اطلاعات کامل شخصی، هویتی، مالی و سایر فعالیتهای کاربر در اختیار افراد غیر قرار میگیرد: «حال آنکه هر فرد با دسترسی به این اطلاعات میتواند سواستفادههای مختلفی نظیر کلاهبرداری، هک اجتماعی، جعل هویت و مواردی که به ذهن ما نمیرسد را انجام دهد. به عنوان یک مثال ساده، در نمونه اخیر، شما با تحلیل اطلاعات سفارش غذای اعضای یک خانواده، میتوانید ساعت حضور آنها در محل کار و منزل را پیشبینی کنید. اطلاعات مربوط به اینکه چه افرادی اعضای یک خانواده هستند هم از طریق نشتهای قبلی در دسترس است. یا در مثالی ملموستر اینطور در نظر بگیرید شما اگر در تلگرام به فردی یک پیام ارسال کنید، آن فرد از شناسه عددی شما در تلگرام و تطابق با دیتابیس لو رفته تلگرامهای غیر رسمی به شماره موبایل شما برسد. و از روی شماره موبایل شما، لیست سفرهای شما از تپسی و علیبابا و… که قبلا مورد نشت قرار گرفتند را پرینت کرده و به آدرس شما ارسال کند. آدرس و اطلاعات پستی هم در دیتابیسهای لو رفته دیگر در دسترس است!»
نوری در پاسخ به این پرسش که آیا مهاجرت متخصصین در این زمینه که امنیت در شرکتها رعایت میشود یا نه گفت: «وضعیت اقتصادی و مهاجرت نیروی متخصص و با تجربه هم یکی از دلایل بسیار مهم کاهش سطح امنیت سرویسهای آنلاین و افزایش هکها و به تبع آن نشت اطلاعات در این سالها بوده.بیشتر نیروهای متخصص و باتجربه در حوزههای برنامهنویسی، زیرساخت، امنیت و… در این سالها مهاجرت کرده و جای آنها را نیروهای با تجربه کمتر که آنها هم در مسیر مهاجرت هستند گرفته. به دلیل وضعیت اقتصادی، حتی خیلی از متخصصانی که مهاجرت نکردهاند هم با شرکتهای ایرانی همکاری نمیکنند و از طریق پلتفرمهای باگ بانتی خارجی، بررسی سرویسهای خارجی و درآمد دلاری را ترجیح میدهند.»
نوری همچنین در پاسخ به این پرسش عدم دسترسی به سرویسهای کلاد معتبر جهانی چقدر در این موضوع نقش دارد گفت: «در هکهای مختلف، سرویسها از نقاط مختلف زیرساختی یا نرمافزاری و… مورد حمله قرار میگیرند. بسته به نقطهای که یک سرویس از آن مورد حمله قرار گرفته، اگر ضعف در زیرساخت و موارد مرتبط با آن در این مورد دخیل بوده، دسترسی به سرویسهای مختلف جهانی و ایجاد رقابت شاید میتوانست به کاهش این اتفاق کمک کند. اما به دلیل تحریم و اختلالهای داخلی، کسبوکارها مجبور به استفاده از گزینههای محدود داخلی هستند.»
حوزه امنیت در کشور ما متولی دقیقی ندارد
«علی کیائیفر» کارشناس امنیت سایبری در گفتگو با دیجیاتو باور دارد که شرکتهای ایرانی به راحتی هک میشوند چرا که توجهی به امنیت در لایههای مختلف ندارند: «بر اساس گزارش «گارتنر» هفتاد درصد آسیبپذیریهای نه در لایه شبکه بلکه در لایه اپلیکیشن هستند.» کیائیفر درباره سطح امنیت درباره دیدگاه سازمانها در امنسازی لایههای مختلف گفت: «وقتی با خیلی از سازمانها در حوزه امنسازی صحبت میکنیم؛ بحث امنیت در لایه زیرساخت را مطرح میکنند و از لایه اپلیکیشنها غافل هستند. شما اگر امنترین زیرساخت را فراهم کنید اما در لایه اپلیکیشن آسیبپذیر باشید به راحتی هک میشوید. ما شاهد هکهای بسیاری هستیم که زیرساخت امن دارند اما در لایه اپلیکیشن بحثهای امنیتی را ندیدند و استانداردهای لازم را رعایت نکردند.»
او درباره نهاد متولی حوزه امنیت در بین شرکتهای ایرانی گفت: «حوزه امنیت در کشور ما متاسفانه چندین متولی دارد و در نهایت هیچ کس متولی نیست یعنی وقتی بحث تقسیم مسئولیتها و اعمال نفوذها و بخشنامهها میشود؛ میبینیم که سازمان های موازی متعددی هستند که به این حوزه نفوذ میکنند اما هنگامی سازمانی هک میشود ومشکلی مثل اسنپ پیش میآید هیچ کس پاسخگو نیست. در حوزه قوانین هم وضع به همین منوال است و متاسفانه کسی متولی قانونگذاری در این حوزه نیست که از حقوق شهروندان دفاع کند.»
باید مراقب فیشینگ باشیم
«جواد دادگر» کارشناس امنیت سایبری باور دارد ارتباط با هکرها در دنیای امروز کاری میکند که ارتباط دوسویهای بین شرکتها و این افراد شکل بگیرد: «روند کلی به این صورت است که هکر یا هر شخص دیگری، متوجه و یابنده یکسری ایرادها و مشکلاتی میشوند که در وهله اول، به شرکت مورد نظر اعلام میکنند و در راستای آن، جایزه و مبلغی را دریافت میکنند اما در ایران برای بحرانیترین آسیبپذیریهای خود نیز حاضر نیستند حقوق یک ماه از نیروهای امنیتی سازمان خود را بدهند. بسیاری هم فکر میکنند که اگر این کار را بکنند، توجه هکرها را به خود جلب میکنند.»
دادگر باور دارد دارد امنیت دارای روندهای مشخصی برای کسبوکارها است که رویکردهای مختلفی برای آن اتخاذ میشود: «شرکتهای غیردولتی که جزو شرکتهای بزرگ کشور شناخته میشوند، دارای MONITORING, LONGMANAGEMANT هستند اما کارایی لازم را ندارد و ناکارامدی آن میتواند به دلیل مدلی که در حال فعالیت بر آن هستند و عدم ارزشمندی بودجه و اهمیتی که به تیم امنیت اختصاص میدهند باشد و باعث میشود افراد فعال در این حوزه در سازمانها به جستوجوهای مهم و بهبود زیرساختهای لازم نپردازد.»
دادگر در پاسخ به این پرسش که بعد از این نشتهای اطلاعاتی کاربران باید چه کنند گفت: «معمولا سودجویان و کسانی که در زمینه فیشینگ فعالیت دارند بعد از افشای این اطلاعات فوری اقدام به تماس و فرستادن پیام به کاربران میکنند تا از آنها سودجویی کنند. همه کاربران باید پس از اینکه این هکها اعلام عمومی شد، بهصورت مضاعف احتیاط کنند و هیچ تماس، ایمیل و پیامک مشکوکی را باز نکنند.»
زمانی که قانون نیست هیچکس فکر نمیکند که برای امنیت هزینه کند
«وحید فرید» فعال فضای مجازی نیز در گفتگو با دیجیاتو در پاسخ به این پرسش که آیا شرکتها در حوزه امنیت ضعیف عمل میکنند یا خیر گفت: «در حوزه امنیت موارد زیادی وجود دارد که نیاز است روی آنها کار شود مثل فرآیند تستهای نرمال امنیتی که به حالت روتین هم باید انجام شوند مثل پنتستها(تست نفوذی) و بحث جاری کردن رویههای امنیتی در پروسه تولید نرمافزاریعنی نرمافزار از ابتدا باید امن نوشته شود و کسی که نرمافزار را مینویسد باید با مفاهیم امنیتی آشنایی داشته باشد.»
فرید تأکید دارد نرمافزارها باید به دید فرد نفوذی تست گرفته شود و آسیبهای شناخته شده در کل فرآیند شناسایی شوند و برای آن راهحل پیدا شود: «بعد از این به مفهوم باگ بانتی میرسیم که در ایران آنچنان به آن توجهی نمیشود.»
فرید باور دارد به علت نبود قانون و عدم جریمه شرکتها، موضوع امنیت توسط آنها جدی گرفته نمیشود. او با اشاره به هک شدن تپسی گفت: «وقتی تپسی هک شد، سهامش یک ریال هم افت نداشت و در نهایت یک عذرخواهی ساده رخ داد به این علت که از سمت کسی الزامی وجود نداشت. اصلا به جز الزام اخلاقی دلیل دیگری ندارد که از داده کاربر محافظت کند و وقتی بحث پول به میان میآید این الزام هم به کنار میرود. وقتی پلتفرم برای هک شدن هزینهای متحمل نمیشود دلیلی نمیبیند که در بحث امنیت هزینه کند. در دنیا میبینیم وقتی پلتفرمی هک میشود به صورت کلی بیزینس خود را از دست میدهد اما در ایران هیچ اتفاقی نمیافتد.»
این کارشناس امنیت باور دارد زمانی که قانون نیست هیچکس فکر نمیکند که برای امنیت هزینه کند. او در پاسخ به این پرسش که چرا هیچکس در مورد این هکها واکنشی نشان نمیدهد: «در وهله اول چون اصلا حوزه دغدغه مسئولان نیست و اصلا تخصصی در این حوزه ندارند. برخی خوشحال میشوند از اینکه تعطیلی پلتفرمهای داخلی مثل اسنپ، تپسی، دیجیکالا به این بهانهها رخ بدهد تا یک نمونه داخلی آن را تاسیس کنند و با ایران اکسس بودن هم فکر میکنند که دیگر امکان هک شدن وجود ندارد.»
جامعه IT در دولت و مجلس نماینده ندارد
فرید تأکید دارد تمام تمرکز سازمانهای داخلی ما در حال حاضر روی ایران اکسس شدن است و این توهم پیش آمده که اگر پلتفرم خود را ایران اکسس کنند امنیت آنها تضمین است: «این اتفاق تاثیر بسیار کمی در زمینه ارتقای امنیت دارد و بیشتر تاثیر توهمی دارد برای همین بعد از ایران اکسس شدن دیگر روی امنیت کار نمیکنند و هیچ فایدهای جز محدود کردن کاربر ندارد. ممکن است در ابتدا جلوی حملات کوچک مثل دیداس را بگیرد اما در بلند مدت تاثیری ندارد. به عبارتی القای این موضوع که ایران اکسس شدیم پس امنیت داریم یکی از دلایل هک شدن است؛ در مورد موضوع اخیر یعنی اینپفود هم ایران اکسس رعایت شده بود. همین الان شما به فاوا بگویید چطور مجموعه خود را امن کنیم میگوید ایران اکسس کردن بهترین راه است. ما واقعا در مفاهیم پایه مشکل داریم.»
فرید باور دارد جامعه IT اصلا نماینده ندارد: «وضعیت نظام صنفی نصر را ببینید؛ اصلا بخش امنیت آن چه کار میکند؟ وقتی صحبت از امنیت میشود در کشور ما باید محتاط بود زیرا ما مجمعی نداریم که هکرها کنار هم بنشینند و همفکری کنند. سالهای قبل داشتیم اما همه متواری یا گوشهگیر شدند.»
لوایح درباره حفاظت از دادهها خاک خورده است
«پارسا رحمانی» کارشناس حوزه امنیت نیز در گفتگو با دیجیاتو به نبود قانون در این موضوع تأکید دارد: «شرکتها هنوز به طور کامل از اهمیت سایبری آگاه نیستند و اقدامات لازم را برای محافظت از دادهها و سیستمهای خود انجام نمیدهند. »
او باور دارد برای بهبود زیرساخت امنیت در شرکتهای بزرگ داخل ایران، نیاز به همکاری همه جانبه بین شرکتها، دولت و جامعه مدنی است. رحمانی به لزوم تدوین قوانین توسط دولت اشاره میکند: «زمانی که بحث طرح صیانت مطرح شده بود، در ماده ۳۴ پیشنویس اولیه آن درباره حفاظت از دادهها صحبت شده بود و نمایندگان ادعا داشتند که نگران امنیت کاربران هستند. حال که این طرح کنار گذاشته شد، هیچکس دیگر نگران این موضوع نیست. چرا این اتفاق افتاد؟ چون اینستاگرام فیلتر شد و دیگر دغدغهای برای پیشروی طرح صیانت وجود ندارد.» او به خاک خوردن یک سری لوایح درباره اهمیت حفاظت از داده کاربران اشاره میکند و باور دارد که هیچوقت هیچ عزم جدی برای این موضوع در دولت رخ نداده است: «هر بار سر یک افشای اطلاعات، صحبتهای زیادی در این مورد میشود اما سپس دوباره همگی، همه چیز را فراموش میکنند.»
پارسایی باور دارد افشای اطلاعات مختلف در شرکتهای گوناگون باعث میشود که با ادغام پارسایی باور دارد افشای اطلاعات مختلف در شرکتهای گوناگون باعث میشود که با ادغام این اطلاعات با یکدیگر، ریزترین جزییات همه مردم توسط هکرها آرشیو شده است. پارسایی تأکید دارد: «عدم دسترسی به سرویسهای کلاد معتبر جهانی تاثیرات منفی زیادی در امنیت سایبری ایران دارد. او باور دارد داشتن سرویس ابری بومی جدا از مزایا، در حال حاضر دولت ایران در حال توسعه سرویسهای ابری بومی است اما این موارد فقط تاحدی میتوانند جایگزین سرویسهای ابری خارجی معتبر جهانی شوند.»
source