در این نشست، جمعی از متخصصان و فعالان حوزه فناوری اطلاعات و امنیت سایبری به بررسی وضعیت کنونی امنیت سایبری در ایران و چالشهای پیشِروی آن پرداختند.
حامد بیدی یکی از کارشناسان نشست، با تأکید بر اهمیت امنیت سایبری در زندگی روزمره، گفت:امروزه دیگر مرزی بین زیست دیجیتال و زیست فیزیکی وجود ندارد. استفاده از اصطلاحاتی مانند "فضای مجازی" و "فضای واقعی" میتواند باعث درک نادرست مسئله شود. امنیت سایبری مستقیماً به زندگی تکتک ما وابسته است و نیازمند توجه ویژهای است. در کشور ما، امنیت موضوعی است که درباره آن زیاد صحبت میشود اما آیا در حوزهٔ امنیت سایبری نیز میتوانیم بگوییم امنیت داریم؟
جلسهای درخصوص تشکیل ستاد هماهنگی پیشرفت و امنیت فضای سایبری به محمدرضا عارف ریاست معاون اول رئیسجمهور برگزار و در زمینه سازوکارهای تشکیل این ستاد با هدف هماهنگی و تقسیم کار ملی در حوزه امنیت و پیشرفت فضای سایبری بحث، بررسی و تصمیمگیری شد.
او ادامه داد: شهروند امروز شاید بیش از هر زمانی احساس بیپناهی میکند؛ احساس میکند دادههایش در حال از دست رفتن و عمومی شدن است. به طنز میگویند که ما تنها کشوری یا ملتی هستیم که دادههایمان "اوپن سورس" است؛ در واقع تمام دادههایمان در اینترنت پخش شده است. از این مسئله تا موضوع اینترنت، فیلترینگ و ویپیان، بحثهای نرمافزار، توزیع سختافزار و ساحتهای مختلفی وجود دارد. فکر میکنم یک شهروند غیرمتخصص در حوزه فناوری هم امروز متوجه شده که یک جای کار میلنگد. از طرف دیگر، کارشناسان و کنشگران حوزه امنیت شبکه و امنیت سایبری نیز به مرز هشدار رسیدهاند؛ زنگ خطر را به صدا درآوردهاند، زیرا وضعیت اصلاً مطلوب نیست. بنابراین، ما امروز در مورد یک بحران جدی صحبت میکنیم که فراتر از جامعه متخصصان فناوری است؛ امروز هر شهروندی درگیر آن شده است.
به گفته او یکی از موضوعات اصلی در حوزه امنیت سایبری، مسئله دادههاست؛ دادههایی که ممکن است مربوط به شهروندان، شرکتها، تجارت یا دادههای دولتی باشد. امروز هم مشخص است که دنیا، دنیای دادههاست و با این دادهها تصمیمگیری و سیاستگذاری میشود و حتی از آنها درآمدزایی میشود. اهمیت دادهها در برخی موارد از پول هم بیشتر است.
بیدی با بیان اینکه طبیعی است که بخش خصوصی، دولتها و شهروندان نگران باشند، ادامه داد:« اما یک رویکرد این است که وضعیت اسفباری داریم؛ حالا من بهعنوان شهروند چه کار کنم؟ یک رویکرد دیگر این است که ببینیم مشکل کجاست؛ چرا شرکتها و دولتها ضعیف هستند؟ و رویکرد دیگر این است که خود من بهعنوان یک شهروند چه میتوانم بکنم؟ آیا راهحلهایی برای این موضوع وجود دارد یا نه؟ کمپین حق فراموشی را اینگونه میفهمم که میگوید در گام اول، شهروند چه میتواند بکند برای حفاظت از خود. ابتدا آگاه باشد که برخی پلتفرمها این امکان را میدهند که دادههایش را حذف کنند. در گام دوم، مطالبه کند که چرا بقیه این کار را نمیکنند.»
حق دسترسی به اطلاعات برای همه انسانها
در ادامه حسین شیخ رضایی، عضو هیئت علمی گروه مطالعات علم، با اشاره به حق دسترسی همه انسانها به اطلاعات، گفت:
حالا که اطلاعات دیجیتال است، حق دسترسی به اطلاعات یکی از حقوق دیجیتال ماست. حق آزادی بیان داریم که قبل از مسئله دیجیتال نیز بوده است. حق برخورداری از حریم خصوصی داریم؛ همانطور که در زندگی قبل از دیجیتال وجود داشته است. و حقوق جدیدی مانند حق ناشناس بودن، حق فراموش شدن، حق محافظت از کودکان در برابر محتوای نامطلوب و انواع این حقوق.به نظرم در این چهارچوب میتوان دید که امنیت یکی از مؤلفههای این حقوق بهصورت کلی است؛ یعنی ما حقوق شهروندی داریم و متناظر با آنها در فضای سایبر یا دیجیتال، حقوق دیجیتال یا حقوق سایبری داریم. جایی دیدم که به جای "حقوق بشر" میگویند "حقوق بشر دیجیتال"؛ یعنی حقوق بشر متناسب با فضای دیجیتال شده است. از جمله این حقوق، حق امنیت سایبری است.
خط قرمزی برای حق دسترسی به اطلاعات نداریم
سعید سوزنگر، کارشناس امنیت سایبری نیز در بخش دیگری از این نشست، با تاکید بر اینکه نمیتوان بر حق دسترسی به شبکههای دیجیتال خط قرمز گذاشت، گفت: همانطور که میتوانیم نفس بکشیم و در خیابان راه برویم، در دنیای مجازی نیز حق دسترسی دیجیتال داریم. حق فراموشی که متأسفانه در کشورمان به آن پرداخته نمیشود. دوستی داریم که کمپین حق فراموشی را پیش بردهاند و از ایشان ممنونیم. اما واقعیت این است که مثلاً یک نمونه سادهاش "لغو ۱۱" که در انتهای پیامها وجود دارد و اثر نمیکند. حاکمیت حق فراموشی در پلتفرمها را اعمال نکرده و باید به این مسئله پرداخته شود.
او ادامه داد: حق حفظ حریم شخصی ماست. مسئلهای که با مردممان داریم این است که نگاهی اشتباه به مسئله دارند؛ میگویند: "من چه دارم که ببینند؟ بگذار حکومت ببیند، بگذار هکر ببیند، چیزی در گوشی ندارم." این حق شماست؛ حفظ حریم خصوصی، حق شهروندی است و جز با آگاهیرسانی اتفاق نمیافتد. حق آگاهی عمومی و آموزشی بر عهده حاکمیت و ذینفعان حوزه دیجیتال است؛ یعنی وزارت فناوری و هر وزارتی که درگیر این مسئله است یا بخش آموزش کشور. ما باید آگاهیرسانی عمومی را بالا ببریم، ولی چون در جایی کارمان میلنگد و خودمان دوست داریم به دادههای مردم نفوذ کنیم و آنها را بررسی کنیم، به این حقوق نمیپردازیم و مردم ناآگاهانه مسئله را پیش میبرند.
مسئله حق بهرهبرداری از داده یا حکمرانی داده است؛ اینکه مالک آن داده کیست؟ چه کسی حق دارد از داده من استفاده کند؟ اینکه من بیمار هستم، مالک دادهای هستم که بیمه یا بیمارستان روی آن کار میکند و این حق من است. یا وقتی در پلتفرمی کار میکنم، حق مالکیت داده متعلق به من است و باید در مورد آن آگاهیرسانی و مطالبه صورت بگیرد.
سوزنگر با تاکید بر حق امنیت کودکان در فضای مجازی.، ادامه داد: ما ۸۵ میلیون کودک انگاشته شدهایم به دلیل سیاستهای نادرست حاکمیت که سیستمی را پیادهسازی کرده که در آن تشخیص کودک از بزرگسال مشخص نیست. اگر این خط و مرزها مشخص بود، میتوانستیم سیاستهایی برای کودکان داشته باشیم و حداقل در مبارزه با پورنوگرافی، کودکآزاری و موارد اینچنینی اثربخش عمل کنیم. امروز نمیتوانیم اثربخش عمل کنیم چون امنیت کودکان با بزرگسالانی که کودک انگاشته شدهاند، ترکیب شده است.
در ادامه فاطمه مشرفی، مدیرعامل شرکت دمسان رایانه نیز با بیان اینکه همه افرادی که از ابزارهای دیجیتالی استفاده میکنند، حق دارند دادههایی که به هر سازمانی میدهند، واقعاً محفوظ و امن باقی بماند، ادامه داد: اما این اتفاق نمیافتد. چرا رخ نمیدهد؟ زیرا ما بهراحتی هک میشویم، حملات سایبری بهراحتی شکل میگیرد و این باعث میشود بسیاری از دادهها و اطلاعاتی که مردم با خیال راحت به ما سپردهاند، از بین برود. این مسئله میتواند در انواع سازمانها رخ دهد؛ جاهایی که افراد مختلفی با آنها کار میکنند، مانند بانکها. واقعاً از بانک بزرگتر فکر نمیکنم داشته باشیم که بسیاری از افراد دادههای اصلیشان را به آنها میدهند. در سازمانهایی که بهتر است نام نبریم، اما به هر حال دادهها و اطلاعاتی به آنها میدهیم و به آنها اطمینان میکنیم.
به گفته او وقتی حملات سایبری به این سازمانها میشود—که گاهی حتی زمان شروع این حملات هم برایشان مشخص نیست—اطلاعات و دادههایی هک شده و از دسترسشان خارج میشود. ممکن است امروز دادههایی با واژههایی به آنها بازگردانده شود، و برخی دیگر را حتی ندیدهایم که کدام دادهها از دست رفته و بازگشتی نداشته است.
مشرفی اضافه کرد: در مراحل بعدی، باجگیریهای بعدی رخ میدهد. حتی بودجههایی نیز داده میشود برای پرداخت این باجها که شاید در بسیاری موارد اصلاً دیده نمیشود. اما وقتی سازمانها درباره امنیت خود صحبت میکنند، میبینید که در حاشیهترین قسمت قرار دارد و بسیاری از مسائل برایشان مهم نیست. مثلاً در سامانه مناقصات؛ آیا میشود امنیت یک سازمان بزرگ را واقعاً با مبلغی سنجید؟ فارغ از اینکه ما بودجههایی را برای این منظور در نظر میگیریم، به نظر من بسیار مهم است که از چه ابزارهای امنیت سایبری استفاده میکنند و چه مشاورانی در این زمینه به آنها راهنمایی میدهند.
ابزارها، صرفاً بودنشان شاید خیلی مهم نباشد، ولی آنچه باید باشد، نیست. در بسیاری موارد میبینید متخصصینی که در بخشهای آیتی آن سازمانها قرار دارند، واقعاً خستهاند از اینکه بخواهند تلاش کنند و مبارزه کنند که چگونه امنیت خود را برقرار کنند.
سوپر اپلیکیشنها بازار را کنترل میکنند
در ادامه هانیه کارخانه، کارشناس امنیت شبکه با بیان اینکه ما در حوزه امنیت سه مؤلفه داریم؛ محرمانگی داده، یکپارچگی و دسترسپذیری، گفت: مسئلهای که وجود دارد، این است که فناوری جلوتر از فرهنگ ما حرکت میکند و این باعث چالشهایی شده است. ما حق و حقوقی داریم که هنوز تعریف نشده و رسیدن به آنها سخت است. سرویسدهندههای جدیدی در حوزه دیجیتال وارد شدهاند که اطلاعات مردم را جمعآوری میکنند. اگر این اطلاعات صحتسنجی نشود، ممکن است نتوانیم سرویس درستی بدهیم. مثلاً در اپلیکیشن دیوار، امنیت خریدار کجا دیده میشود؟
او تاکید کرد: ما باید قبل از اینکه بگوییم حقمان را میخواهیم، حق و حقوق خود را بشناسیم. در حوزه تولید سیستم و اپلیکیشن، نمیتوانیم امنیت صد درصدی برای کاربران ایجاد کنیم؛ زیرا هر چقدر پیشرفت کنیم، تهدیدها نیز همزمان با ما و جلوتر از ما پیش میروند. باید با آگاهیرسانی برای نسل آینده، بپذیریم که دادههای ما ممکن است مورد سوءاستفاده قرار گیرد. سوپر اپلیکیشنها بازار را کنترل میکنند و مسائل بیزینسی گستردهای وجود دارد که باید به آنها توجه کنیم.