سکوها و پلتفرومهای اینترنتی مانند تپسی چه وظایفی در قبال حریم خصوصی و امنیت کاربران دارند؟
در سالهای اخیر پلتفرمهای اینترنتی در حوزههای مختلف از جمله حمل و نقل گسترش قابل ملاحظهای داشتهاند و مشابه سایر کشورها در ایران نیز مورد استقبال بخش عمده ای از هموطنان قرار گرفتهاند. البته عامل کلیدی موفقیت این پلتفرمها اعتماد عمومی و قابلیت حفاظت آنها از حریم خصوصی و اطلاعات کاربران است، طبیعی است که افراد در هنگام ثبت نام و استفاده از این گونه اپلیکیشن، سکوها و خدماتشان با حسن ظن و اعتماد به رعایت اصول امنیتی و حفاظت از حریم خصوصی خود، اطلاعات شخصی مهمی را با آنها به اشتراک میگذارند که به مرور زمان و با استفاده بیشتر از خدمات نیز این اطلاعات انباشتگی و غنای بیشتری پیدا میکند و مورد توجه هکرها قرار می گیرد.
حریم خصوصی قلمرو شخصی هر فردی محسوب میشود و او انتظار دارد دیگران به اطلاعات آن حوزه بدون اجازه وی دسترسی نداشته باشند. در اینجا نیز کاربران این سکوها انتظار رعایت حریم خصوصی و حفظ دادههای شخصی خود را دارند و مسئولیت حفظ حریم خصوصی کاربران و برقراری امنیت اطلاعات ذخیره شده در سرورها و بانک های اطلاعاتی و پیشگیری از دسترسی غیرمجاز به این اطلاعات و دادهها نیز عمدتاً برعهده مالک اپلیکیشن و سکو است و باید حداکثر تلاش خود را به منظور تضمین امنیت کاربران خود انجام دهند.
هک شدن تپسی و شرکتهایی از این دست چه پیامدهایی برای کاربران این شرکتها دارد؟
اطلاعات سرقت شده از پلتفرم بزرگی مانند تپسی میتواند مورد سوءاستفاده گسترده سازمانهای جاسوسی، هکرها، کلاهبرداران اینترنتی و حتی شرکتهای تبلیغاتی قرارگیرد و موجب تسهیل جرایم مهمی علیه اشخاص حقیقی یا حقوقی و حتی از دیدگاه امنیت ملی موجب آسیب به منافع ملی کشور از جمله وجهه جهانی آن شود بویژه زمانی که اینگونه موارد بصورت مکرر صورت پذیرد. کاربران به صورت خاص پس از لو رفتن اطلاعاتشان به هدفی به مراتب سهلتر از قبل برای هکرها، مجرمین و کلاهبرداران سایبری تبدیل میشوند. به عنوان نمونه یک هکر با در اختیار داشتن شماره و اطلاعات دقیق افراد امکان ارسال پیامهای سفارشی شده و هدفمند به صورت گسترده و خودکار در شبکه های اجتماعی یا پیام رسانها را به دست میآورد و متاسفانه به این ترتیب ضریب موفقیت متخلفان برای فریب و سوءاستفاده از کاربران به شدت بالا میرود. بنابراین با توجه به حجم گسترده و تعدد موارد نشت عمومی اطلاعات از بانک های اطلاعاتی و سامانه های اینترنتی بخش خصوصی و عمومی و حتی دولتی لازم است، هشدارها و آگاهسازی عمومی به منظور پیشگیری از وقوع جرائم علیه هموطنانمان نیز استمرار و توسعه یابد.
در این بین بیتوجهی به امنیت کاربران یا سهل انگاری مدیران زمینه را برای هک شدن این شرکتها فراهم میکند؟
زنجیره امنیت در فناوری اطلاعات و فضای سایبر از حلقههای مختلفی تشکیل شده است که از زیرساخت و سخت افزار و ارتباطات، نرم افزارهای سیستمی و بانک اطلاعاتی تا وب اپلیکیشن و نرم افزارهای کاربردی و ارتباطات و تبادلات داده بین این موجودیتها را شامل میشود، عوامل انسانی نیز در طول این زنجیره از متخصصین نرم افزار و سخت افزار، طراح سیستم، برنامه نویس، مدیران بخش و لایه های مختلف سیستم و بانک های اطلاعاتی تا کاربران نهایی مانند مسافران و رانندگان تپسی حضور داشته و نقش کلیدی ایفا میکنند. وجود آسیب پذیری، سهلانگاری یا خطا در هر یک از این لایهها می تواند موجب نفوذ و دسترسی غیرمجاز به اطلاعات را در سطوح متفاوتی ایجاد کند.
در چنین رخداد و نشر اطلاعات گستردهای عموما آسیب پذیریهای نرم افزاری و یا وجود نقص امنیتی مهمی در سیستم به ویژه روی سرورها و بانک اطلاعاتی میتواند شرایط دسترسی هکرها به اطلاعات را فراهم کرده باشد. همچنین وجود یک آسیب پذیری روز صفر و یا درپشتی نصب شده توسط عوامل نفوذی میتواند زمینه ساز دسترسی گسترده غیرمجاز به سیستم و اطلاعات آن باشد. نکته مهم این است که عموماً واکشی اطلاعات در این حجم گسترده توسط هکرها نیازمند زمان موسع و تاریخچهای از اقدامات و فعالیت های غیرمجاز است که در صورت وجود سازوکارهای مناسب امنیتی قبل از وقوع رخداد و یا در حین آن قابل تشخیص و هشداردهی است. وجود لایههای امنیتی چندگانه و اجرای مدلهای دفاع در عمق و ایجاد مراکز عملیات امنیت در حمایت و حفاظت از کل سیستم و تشخیص بموقع آسیب پذیری ها و رخدادهای امنیتی در این رابطه نقش مهمی ایفا میکند و هرگونه سهل انگاری در این زمینه از سوی شرکتهای دارنده پلتفرم و مسئولان امنیت دادههای پلتفرمها میتواند زمینهساز بروز حوادث امنیتی ناگواری شود که منافع و حیات شرکت را به خطر بیندازد و کاربران آن را نیز در معرض خطرات عدیده قرار دهد.
هکرهای از اطلاعات کاربران چه سوء استفادههای دیگری میکنند؟
دادهها و اطلاعات، مبنای اولیه و نطفه انجام حملات سایبری و زمینه ساز اقدامات گسترده هک و نفوذ است و اطلاعات غیرمجاز نشت شده از پلتفرمی مانند تپسی در حجمی وسیع به صورت هدفمند کاربران را درمعرض حملات هکری و فریب قرار میدهد و اجرای شگردهای مهندسی اجتماعی را برای هکرها و کلاهبرداران تا حد زیادی ساده میکند. بعلاوه بصورت بالقوه امکان انجام حملات بروت فورس و دسترسی غیرمجاز به اکانت های کاربری افراد را بر اساس این اطلاعات فراهم و تسهیل میکند.
چه افراد یا شرکتهایی ممکن است اطلاعات کاربران را از هکرها بخرند؟
طبیعی است که منافع حاصل از دسترسی به دادههای انبوه کاربران برای بسیاری وسوسه انگیز است. لذا خرید اینگونه اطلاعات از سوی مجرمان به منظور سوء استفاده و در راستای اجرای حملات هکری ثانویه و کلاهبرداری از کاربران صورت میگیرد. یکی دیگر از مشتریان بالقوه اینگونه دادهها و اطلاعات شرکتهای تبلیغاتی هستند. در هرحال با توجه به اینکه دسترسی به دادههای غیرمجاز در فصل یکم (جرائم علیه محرمانگی داده ها و سامانه های رایانه ای و مخابراتی) و ماده یک قانون جرایم رایانهای مصوب سال 1388 جرم انگاری شده است همگی این افرد بلافاصله پس از دسترسی غیرمجاز به این اطلاعات برابر قانون مجرم تلقی میشوند.
برای پیشگیری از تکرار چنین حوادثی شرکتهای اینترنتی مانند تپسی چه نکاتی را باید رعایت کنند؟
متاسفانه امنیت اطلاعات بخشی عمدتاً مغفول مانده و در درجه دوم اهمیت سازمانها و شرکتها قرار دارد. توجه به امنیت در کنار توسعه یک سکو یا اپلیکیشن و تقویت اقدامات امنیتی همزمان با تنوع بخشی به خدمات و افزایش مخاطبان نیازمند درک اهمیت موضوع و همراهی و حمایت مادی و معنوی از سوی مدیران عالی و ذینفعان اصلی هر پلتفرم است. در صورت وجود این شرایط امکان تقویت لایههای امنیتی پلتفرم و تامین سرمایه انسانی متخصص، متعهد و با کیفیت، تجهیزات و نرم افزارهای امنیتی لازم همانند فایروالها، سامانههای تشخیص و پیشگیری از نفوذ و مراکز عملیات امنیت در کنار کد نویسی امن و همچنین نظارت و مانیتورینگ مستمر به منظور یافتن آسیب پذیری ها و تهدیدات در کل سیستم و رفع یا مدیریت آنها فراهم ساخت.
به منظور پیشگیری از تکرار چنین رخدادهایی استفاده از مشاوران امنیتی متبحر که به صورت متمرکز و مستمر اشکالات و نواقص سیستمهای بزرگ، پیچیده و پرچالشی مانند تپسی که به واسطه تعدد کاربران و گستره و عمق نفوذ بسیار زیاد در سطح جامعه در معرض تهدید و خطرات دائم قرار دارند از اهمیت زیادی برخوردار است. توجه به آموزش کارکنان در تمامی زنجیره تامین و ارائه خدمت در موضوع امنیت و ایمنی سایبری و اطمینان از اتخاذ و رعایت ملاحظات امنیتی در کل بدنه و زنجیره امنیت یک سکوی نرم افزاری اهمیت بسیار زیادی دارد. رمزگذاری دادههای و اطلاعات و اتخاذ سیاستها و خط مشی امنیتی متناسب با جایگاهها و نقشهای سازمانی و حساسیت آنها میتواند مانع بالفعل آسیب پذیری و مخاطرات شود. همچنین پیاده سازی مدلهای چند لایه امنیتی و رویکرد دفاع در عمق نیز بسیار موثر و پیشگیرانه خواهد بود. مدلها و استانداردهای تجربه شده و تائید شده بینالمللی و الزامات امنیتی و اسناد بالادستی قابل توجهی از جمله سند افتا و سند نظام ملی پیشگیری و مقابله با حوادث رایانه ای نیز وجود دارد که در صورت بکارگیری و پیاده سازی مناسب میتواند بسیار کمک کننده باشد.
سید رضا صدرالحسینی در یادداشتی اختصاصی برای جام جم آنلاین مطرح کرد
دانشیار حقوق بینالملل دانشگاه تهران در یادداشتی اختصاصی برای جام جم آنلاین مطرح کرد
یک پژوهشگر روابط بینالملل در گفتگو با جام جم آنلاین مطرح کرد
در یادداشتی اختصاصی برای جام جم آنلاین مطرح شد
در گفتوگو با امین شفیعی، دبیر جشنواره «امضای کری تضمین است» بررسی شد
محمد نصرتی در گفتوگو با جامجم مطرح کرد؛