حفاظت از اطلاعات سری و تبعات آن/ چرا باید از داده‌های افراد محافظت کرد

در دومین حمله سایبری در چند هفته گذشته، اطلاعات 20 میلیون کاربر یک برنامه تلفن همراه سفارش غذا در ایران لو رفت. این حادثه نشان می‌دهد که ضعف زیرساخت‌ها و نبود الزامات قانونی برای حفاظت از اطلاعات و داده‌های شهروندان، موضوعی جدی و واقعی است. با پیشرفت تکنولوژی، احتمال جرایم سایبری در تمام کشورها افزایش یافته است. با نداشتن دستورالعمل‌ها و الزامات امنیتی قوی، کاربران نمی‌توانند از این حملات سایبری محافظت کنند. علاوه بر این، نشر اطلاعات کاربران در فضای دارک وب نیز می‌تواند عواقب جدی‌ای به دنبال داشته باشد. در صورتی که اطلاعات به دست سرویس‌های جاسوسی یا حاکمیت کشورهای دیگر برسد، تاثیرات منفی زیادی خواهد داشت و می‌تواند باعث تغییراتی در بازار و دانش مالی کشور شود. در نهایت، برای حفاظت از اطلاعات و جلوگیری از نشر اطلاعات در سطح آنلاین، لازم است قوانین و دستورالعمل‌های قابل اجرا تدوین شود و به تمامی کسب و کارها ابلاغ شود.

به گزارش خبرنگار دیجیاتور، ۲ روز گذشته مردم برای دومین بار طی چند هفته گذشته شاهد یک اتفاق سایبری ناخوشایند در کشور بودند. اتفاقی که به نشر اطلاعات ۲۰ میلیون کاربر یک برنامه تلفن همراه سفارش غذا منجر شد. پیش از آن نیز حمله سایبری به جایگاههای سوخت کار سرویس رسانی را با اختلال مواجه کرد.

با پیشرفت روزافزون تکنولوژی مخابرات و توسعه داده بر بستر فضای مجازی، احتمال جرایم سایبری در تمام کشورها افزایش یافته است و به تبع آن در کشور ما نیز می توان چنین وقایعی را پیش بینی کرد اما تکرار چنین رخدادهایی حاکی از ضعف زیرساختها و نبود الزامات قانونی دستگاهها برای حفاظت از اطلاعات و داده های شهروندان است. قانونی نظیر مقررات حفاظت از داده های عمومی (GPDR) که اتحادیه اروپا از آن تبعیت می کند.

در این میان کاربرانی که اطلاعات آنها نشر داده شده است حق دارند بدانند از این اطلاعات چه استفاده ها و سوءاستفاده هایی ممکن است بشود. در همین رابطه رضا جعفر قلی زاد کارشناس حفاظت دیجیتال در گفتگو با خبرنگار دیجیاتور گفت: اگر سازمان‌ها نظارت و کنترل کافی نسبت به مبادی ورودی و خروجی اطلاعاتشان داشته باشند و از مکانیزم‌های امنیتی استفاده و پیاده سازی کنند و سپس آن را ارزیابی کنند، موضوع نشر اطلاعات در سازمان به شدت کاهش پیدا می‌کند.

مبادی سوءاستفاده از اطلاعات کاربران پس از نفوذ اینترنتی شدن

وی به نشر اطلاعات اسنپ فود اشاره کرد و افزود: اسنپ فود جایی است که با نشر اطلاعات در آن روبرو هستیم وقتی این اطلاعات لو می‌رود ممکن است به دست سرویس‌های جاسوسی نیز برسد که عواقب زیادی در بر خواهد داشت از جمله اینکه سبک زندگی کاربران ایرانی همانند نوع خوردن، نوع پوشیدن، زمان پول خرج کردن، زمان غذا خوردن و …از روی دیتاها و اطلاعات فاش شده به دست می‌آید. همه‌ این اطلاعات در کنار هم ممکن است به خروجی‌هایی برسد و بشود از آن نتایجی را استخراج کرد. به طور مثال اگر مردم ایران از این سبک غذایی خوششان می‌آید ممکن است مواد اولیه آن که مایحتاج مردم است در لیست محدودیت‌های بین‌المللی‌ قرار گیرد.

وی افزود: یکی دیگر از عواقب اینگونه نشر اطلاعات، ایجاد آلاینده‌ها محیط زیستی است. یعنی از اقدامات خشونت‌آمیز محیطی برای فروختن داروی خودشان و یا بازار سیاه دارو استفاده می‌کنند و سلامتی مردم را تحت تأثیر قرار می‌دهند.

قلی زاد با اشاره به یکی دیگر از مبادی سوءاستفاده از اطلاعات کاربران ادامه داد: با سوء استفاده از اطلاعات می توان این را استخراج کرد که مردم از کالا یا محصول خاصی استقبال می‌کنند پس قطعاً می شود بازار سیاه آن را تقویت کرد تا بازار اصلی خالی بماند. این موضوع نیز از عواقب نشر اطلاعات است که متأسفانه در کشور در جاهای مختلف با آن رو به رو هستیم.

نشر اطلاعات برای بزرگان سایبری در ایران اهمیت ندارد

وی با بیان اینکه با همه اینها گویا نشر اطلاعات برای بزرگان سایبری ایران اهمیتی ندارد، گفت: پرداختن به این موضوع اهمیت دارد چرا که از این اطلاعات می‌توان بهره برداری و آنالیز کرد و برای مردم یک کشور تصمیم‌های بدی گرفت.

قلی زاد گفت: نهادهای بالادستی ایران تا کنون نتوانسته اند در زمینه بایدها و نبایدهای حفاظت از داده و عدم نشر اطلاعات کاری کنند این در حالی است که در حال حاضر کشورهای آمریکایی و اروپایی از استانداردهای GPDRاستفاده و بهره گیری می‌کنند و تا جایی که امکانش باشد از نشر اطلاعات یا دستیابی به اطلاعات کاربران جلوگیری می‌کنند.

وی افزود: علاوه بر این کشور آمریکا به همراه ۲۰ کشور دیگر تا سال ۲۰۲۴ کمیسیونی تشکیل می‌دهند که این کمیسیون با نشر اطلاعات مقابله می‌کند و هم کنترل دسترسی‌ها را نسبت به اطلاعات سازمان‌ها تقویت می کند تا از نفوذ باج افزارها در سازمان ها جلوگیری شود. همچنین از طریق این کمیسیون تمام اطلاعات رمز گذاری می شود تا از باج خواهی هکرها جلوگیری شود. فکر می‌کنم در سال ۲۰۲۴ الزامات اولیه این موضوع منتشر شود.

این کارشناس حفاظت دیجیتال با ابراز امیدواری از اینکه ایران هم بتواند به چنین کمیسیون هایی بپیوندد، گفت: تا الان در موضوع حفاظت از اطلاعات و جلوگیری از نشر اطلاعات سند قوی نداشته ایم.

وی به اهمیت مقررات حفاظت از داده اشاره کرد و گفت: مقررات حفاظت از داده می‌تواند به جلوگیری از نشت اطلاعات کمک کند. تمام این قوانین حفاظت از داده قبلاً در شورای عالی فضای مجازی به تصویب رسیده ولی اینکه به الزامات امنیتی و یک سند جامع تبدیل شده باشد که همه بتوانند از آن استفاده کنند، هنوز تحقق نیافته است. اگر دستورالعملی در این زمینه تدوین و به مرحله اجرا برسد و به تمام کسب و کارها ابلاغ شود، قطعا اتفاقاتی نظیر نفوذ اینترنتی کاهش پیدا می‌کند.

نتیجه فروش اطلاعات در دارک وب

قلی زاد در خصوص نشر و فروش اطلاعات در دارک وب نیز گفت: فضای دارک وب یک فضای پنهان در وب است. فضایی که تمام عملیات فناوری یا سایبری که در آنجا اتفاق می‌افتد غیر قانونی است. یعنی از بحث قوانین بین‌الملی یا حاکمیتی یک کشور تبعیت نمی‌کنند. معمولاً سرویس‌های جاسوسی از این فضا استفاده می‌کنند.

وی افزود: وقتی اطلاعات در فضای دارک وب به دست سرویس‌های جاسوسی یا حاکمیت‌ کشورهای دیگر بیافتد، تاثیرات منفی زیادی به جا خواهد گذاشت به طوریکه می شود با آنالیزهای پیش پا افتاده‌ براساس داده های نشر داده شده و از طریق AI، سه یا چهار سال بعد را به نوعی پیش بینی کرد.

نشر اطلاعات کاربران در فضای سایبری به مشکلات جدی منجر می‌شود. این اطلاعات می‌تواند توسط سرویس‌های جاسوسی به دست بیافتد و بازار سیاه را تقویت کند. همچنین، نشر اطلاعات می‌تواند آسیب‌های محیطی و آلاینده‌ها زیست محیطی را نیز ایجاد کند. در کشورهای دیگر قوانین و استانداردهای قوی‌تری جهت حفاظت از داده ها و سلامت اطلاعات کاربران به کار گرفته می شود. در ایران نیاز به توسعه قوانین و استانداردهای حفاظت از داده و جلوگیری از نشر اطلاعات بیشتر است. علاوه بر این، نیاز به تشکیل کمیسیون‌های حفاظت از داده و استفاده از راهکارهای فنی برای جلوگیری از حملات سایبری و سرقت اطلاعات وجود دارد. نیاز به تمرکز بر آموزش کاربران و آگاهی آنها درباره خطرات سایبری و استفاده از ابزارها و سرویس‌های امنیتی نیز احساس می‌شود. همچنین، ضرورت رمزنگاری اطلاعات و استفاده از مکانیزم‌های امنیتی را در سازمان‌ها تاکید می‌شود.