هک مجموعه اسنپ‌فود چندمین هک بزرگی است که طی چند ماه اخیر رخ می‌دهد. پیش از این تپسی، شرکت‌های بیمه‌ای، پمپ بنزین‌ها و چندین مجموعه دیگر مورد حمله هکرها قرار گرفتند و به‌نظر می‌رسد که امنیت در بین شرکت‌های فعال در کشور، جایگاه مناسبی ندارد. کارشناسان این حوزه معتقدند که نبود قوانین و عدم جرم انگاری برای شرکت‌ها باعث شده که این مجموعه‌ها به موضوع امنیت و توجه به آن، اهمیت ندهند.

نبود قانون حفاظت از داده‌های کاربر در ایران دلیل اصلی بی‌اهمیتی به امنیت است

«میلاد نوری» برنامه‌نویس و مدیرعامل توکان در گفتگو با دیجیاتو در پاسخ به این پرسش که موضوع امنیت چقدر در شرکت‌های ایرانی جدی گرفته می‌شود گفت: «مهم‌ترین دلیل عدم اهمیت به این موضوع، نبود قانون حفاظت از داده‌های کاربر در ایران است. به دلیل عدم وجود قانون و بررسی موارد گذشته، می‌بینیم که گسترده‌ترین هک‌ها و نشت اطلاعات هیچ تبعات قانونی و مالی‌ برای سازمان‌ها و شرکت‌ها ندارد. تا جایی که در برخی موارد، حتی موضوع از اساس تکذیب شده. در مورد تپ‌سی هم چند سال پیش یک هک با ابعاد کوچک‌تر اتفاق افتاده بود. و امسال در ابعاد بزرگ‌تری اتفاق افتاد. در موضوع تپ‌سی، آی‌دی دستگاه‌های اندرویدی (Android ID) بدون هیچ رمزنگاری‌ ذخیره شده که همین مورد بعد از ماه‌ها در اسنپ‌فود هم وجود دارد. شاید اگر ترس از تبعات قانونی، جریمه مالی، حمایت از حقوق کاربر و… وجود داشت، شرکت‌ها برخی موارد ساده مثل عدم ذخیره دیتای اضافه، رمزنگاری دیتای حساس‌تر و… را رعایت می‌کردند.»

نوری باور دارد در موارد هک‌های متعددی که رخ داده با کنار هم قرار دادن اطلاعات دیتابیس‌های مختلف، و تطابق داده‌ها، اطلاعات کامل شخصی، هویتی، مالی و سایر فعالیت‌های کاربر در اختیار افراد غیر قرار می‌گیرد: «حال آنکه هر فرد با دسترسی به این اطلاعات می‌تواند سواستفاده‌های مختلفی نظیر کلاهبرداری، هک اجتماعی، جعل هویت و مواردی که به ذهن ما نمی‌رسد را انجام دهد. به عنوان یک مثال ساده، در نمونه اخیر، شما با تحلیل اطلاعات سفارش غذای اعضای یک خانواده، می‌توانید ساعت حضور آن‌ها در محل کار و منزل را پیش‌بینی کنید. اطلاعات مربوط به اینکه چه افرادی اعضای یک خانواده هستند هم از طریق نشت‌های قبلی در دسترس است. یا در مثالی ملموس‌تر اینطور در نظر بگیرید شما اگر در تلگرام به فردی یک پیام ارسال کنید، آن فرد از شناسه عددی شما در تلگرام و تطابق با دیتابیس لو رفته تلگرام‌های غیر رسمی به شماره موبایل شما برسد. و از روی شماره موبایل شما، لیست سفرهای شما از تپ‌سی و علی‌بابا و… که قبلا مورد نشت قرار گرفتند را پرینت کرده و به آدرس شما ارسال کند. آدرس و اطلاعات پستی هم در دیتابیس‌های لو رفته دیگر در دسترس است!»

نوری در پاسخ به این پرسش که آیا مهاجرت متخصصین در این زمینه که امنیت در شرکت‌ها رعایت می‌شود یا نه گفت: «وضعیت اقتصادی و مهاجرت نیروی متخصص و با تجربه هم یکی از دلایل بسیار مهم کاهش سطح امنیت سرویس‌های آنلاین و افزایش هک‌ها و به تبع آن نشت اطلاعات در این سال‌ها بوده.بیشتر نیروهای متخصص و باتجربه در حوزه‌های برنامه‌نویسی، زیرساخت، امنیت و… در این سال‌ها مهاجرت کرده و جای آن‌ها را نیرو‌های با تجربه کمتر که آن‌ها هم در مسیر مهاجرت هستند گرفته. به دلیل وضعیت اقتصادی، حتی خیلی از متخصصانی که مهاجرت نکرده‌اند هم با شرکت‌های ایرانی همکاری نمی‌کنند و از طریق پلتفرم‌های باگ بانتی خارجی، بررسی سرویس‌های خارجی و درآمد دلاری را ترجیح می‌دهند.»

نوری همچنین در پاسخ به این پرسش عدم دسترسی به سرویس‌های کلاد معتبر جهانی چقدر در این موضوع نقش دارد گفت: «در هک‌های مختلف، سرویس‌ها از نقاط مختلف زیرساختی یا نرم‌افزاری و… مورد حمله قرار می‌گیرند. بسته به نقطه‌ای که یک سرویس از آن مورد حمله قرار گرفته، اگر ضعف در زیرساخت و موارد مرتبط با آن در این مورد دخیل بوده، دسترسی به سرویس‌های مختلف جهانی و ایجاد رقابت شاید می‌توانست به کاهش این اتفاق کمک کند. اما به دلیل تحریم و اختلال‌های داخلی، کسب‌وکارها مجبور به استفاده از گزینه‌های محدود داخلی هستند.»

حوزه امنیت در کشور ما متولی دقیقی ندارد

«علی کیائی‌فر» کارشناس امنیت سایبری در گفتگو با دیجیاتو باور دارد که شرکت‌های ایرانی به راحتی هک می‌شوند چرا که توجهی به امنیت در لایه‌های مختلف ندارند: «بر اساس گزارش «گارتنر» هفتاد درصد آسیب‌پذیری‌های نه در لایه شبکه بلکه در لایه اپلیکیشن هستند.» کیائی‌فر درباره سطح امنیت درباره دیدگاه سازمان‌ها در امن‌سازی لایه‌های مختلف گفت: «وقتی با خیلی از سازمان‌ها در حوزه امن‌سازی صحبت می‌کنیم؛ بحث امنیت در لایه زیرساخت را مطرح می‌کنند و از لایه اپلیکیشن‌ها غافل هستند. شما اگر امن‌ترین زیرساخت را فراهم کنید اما در لایه اپلیکیشن آسیب‌پذیر باشید به راحتی هک می‌شوید. ما شاهد هک‌های بسیاری هستیم که زیرساخت امن دارند اما در لایه اپلیکیشن بحث‌های امنیتی را ندیدند و استانداردهای لازم را رعایت نکردند.»

او درباره نهاد متولی حوزه امنیت در بین شرکت‌های ایرانی گفت: «حوزه امنیت در کشور ما متاسفانه چندین متولی دارد و در نهایت هیچ کس متولی نیست یعنی وقتی بحث تقسیم مسئولیت‌ها و اعمال نفوذها و بخش‌نامه‌ها می‌شود؛ می‌بینیم که سازمان ‌های موازی متعددی هستند که به این حوزه نفوذ می‌کنند اما هنگامی سازمانی هک می‌شود ومشکلی مثل اسنپ پیش می‌آید هیچ کس پاسخگو نیست. در حوزه قوانین هم وضع به همین منوال است و متاسفانه کسی متولی قانون‌گذاری در این حوزه نیست که از حقوق شهروندان دفاع کند.» 

باید مراقب فیشینگ باشیم

«جواد دادگر» کارشناس امنیت سایبری باور دارد ارتباط با هکرها در دنیای امروز کاری می‌کند که ارتباط دوسویه‌ای بین شرکت‌ها و این افراد شکل بگیرد: «روند کلی به این صورت است که هکر یا هر شخص دیگری، متوجه و یابنده یک‌سری ایرادها و مشکلاتی می‌شوند که در وهله اول، به شرکت مورد نظر اعلام می‌کنند و در راستای آن، جایزه و مبلغی را دریافت می‌کنند اما در ایران برای بحرانی‌ترین آسیب‌پذیری‌های خود نیز حاضر نیستند حقوق یک ماه از نیروهای امنیتی سازمان خود را بدهند. بسیاری هم فکر می‌کنند که اگر این کار را بکنند، توجه هکرها را به خود جلب می‌کنند.»

دادگر باور دارد دارد امنیت دارای روندهای مشخصی برای کسب‌وکارها است که رویکردهای مختلفی برای آن اتخاذ می‌شود: «شرکت‌های غیردولتی که جزو شرکت‌های بزرگ کشور شناخته می‌شوند، دارای MONITORING, LONGMANAGEMANT هستند اما کارایی لازم را ندارد و ناکارامدی آن می‌تواند به دلیل مدلی که در حال فعالیت بر آن هستند و عدم ارزش‌مندی بودجه و اهمیتی که به تیم امنیت اختصاص می‌دهند باشد و باعث می‌شود افراد فعال در این حوزه در سازمان‌ها به جست‌وجوهای مهم و بهبود زیرساخت‌های لازم نپردازد.»

دادگر در پاسخ به این پرسش که بعد از این نشت‌های اطلاعاتی کاربران باید چه کنند گفت:‌ «معمولا سودجویان و کسانی که در زمینه فیشینگ فعالیت دارند بعد از افشای این اطلاعات فوری اقدام به تماس و فرستادن پیام به کاربران می‌کنند تا از آن‌ها سودجویی کنند. همه کاربران باید پس از اینکه این هک‌ها اعلام عمومی شد، به‌صورت مضاعف احتیاط کنند و هیچ تماس، ایمیل و پیامک مشکوکی را باز نکنند.»

زمانی که قانون نیست هیچکس فکر نمی‌کند که برای امنیت هزینه کند

«وحید فرید» فعال فضای مجازی نیز در گفتگو با دیجیاتو در پاسخ به این پرسش که آیا شرکت‌ها در حوزه امنیت ضعیف عمل می‌کنند یا خیر گفت: «در حوزه امنیت موارد زیادی وجود دارد که نیاز است روی آن‌ها کار شود مثل فرآیند تست‌های نرمال امنیتی که به حالت روتین هم باید انجام شوند مثل پنتست‌ها(تست نفوذی) و بحث جاری کردن رویه‌های امنیتی در پروسه تولید نرم‌افزاریعنی نرم‌افزار از ابتدا باید امن نوشته شود و کسی که نرم‌افزار را می‌نویسد باید با مفاهیم امنیتی آشنایی داشته باشد.»

فرید تأکید دارد نرم‌افزارها باید به دید فرد نفوذی تست گرفته شود و آسیب‌های شناخته شده در کل فرآیند شناسایی شوند و برای آن راه‌حل پیدا شود: «بعد از این به مفهوم باگ بانتی می‌رسیم که در ایران آن‌چنان به آن توجهی نمی‌شود.»

فرید باور دارد به علت نبود قانون و عدم جریمه شرکت‌ها، موضوع امنیت توسط آن‌ها جدی گرفته نمی‌شود. او با اشاره به هک شدن تپسی گفت: «وقتی تپسی هک شد، سهامش یک ریال هم افت نداشت و در نهایت یک عذرخواهی ساده رخ داد به این علت که از سمت کسی الزامی وجود نداشت. اصلا به جز الزام اخلاقی دلیل دیگری ندارد که از داده کاربر محافظت کند و وقتی بحث پول به میان می‌آید این الزام هم به کنار می‌رود. وقتی پلتفرم برای هک شدن هزینه‌ای متحمل نمی‌شود دلیلی نمی‌بیند که در بحث امنیت هزینه کند. در دنیا می‌بینیم وقتی پلتفرمی هک می‌شود به صورت کلی بیزینس خود را از دست می‌دهد اما در ایران هیچ اتفاقی نمی‌افتد.»

 این کارشناس امنیت باور دارد زمانی که قانون نیست هیچکس فکر نمی‌کند که برای امنیت هزینه کند. او در پاسخ به این پرسش که چرا هیچکس در مورد این هک‌ها واکنشی نشان نمی‌دهد: «در وهله اول چون اصلا حوزه دغدغه مسئولان نیست و اصلا تخصصی در این حوزه ندارند. برخی خوشحال می‌شوند از اینکه تعطیلی پلتفرم‌های داخلی مثل اسنپ، تپسی، دیجی‌کالا به این بهانه‌ها رخ بدهد تا یک نمونه داخلی آن را تاسیس کنند و با ایران اکسس بودن هم فکر می‌کنند که دیگر امکان هک شدن وجود ندارد.»

جامعه IT در دولت و مجلس نماینده ندارد

فرید تأکید دارد تمام تمرکز سازمان‌های داخلی ما در حال حاضر روی ایران اکسس شدن است و این توهم پیش آمده که اگر پلتفرم خود را ایران اکسس کنند امنیت آن‌ها تضمین است: «این اتفاق تاثیر بسیار کمی در زمینه ارتقای امنیت دارد و بیشتر تاثیر توهمی دارد برای همین بعد از ایران اکسس شدن دیگر روی امنیت کار نمی‌کنند و هیچ فایده‌ای جز محدود کردن کاربر ندارد. ممکن است در ابتدا جلوی حملات کوچک مثل دیداس را بگیرد اما در بلند مدت تاثیری ندارد. به عبارتی القای این موضوع که ایران اکسس شدیم پس امنیت داریم یکی از دلایل هک شدن است؛ در مورد موضوع اخیر یعنی اینپ‌فود هم ایران اکسس رعایت شده بود. همین الان شما به فاوا بگویید چطور مجموعه خود را امن کنیم می‌گوید ایران اکسس کردن بهترین راه است. ما واقعا در مفاهیم پایه مشکل داریم.»

فرید باور دارد جامعه IT اصلا نماینده ندارد: «وضعیت نظام صنفی نصر را ببینید؛ اصلا بخش امنیت آن چه کار می‌کند؟ وقتی صحبت از امنیت می‌شود در کشور ما باید محتاط بود زیرا ما مجمعی نداریم که هکرها کنار هم بنشینند و همفکری کنند. سال‌های قبل داشتیم اما همه متواری یا گوشه‌گیر شدند.»

لوایح درباره حفاظت از داده‌ها خاک خورده است

«پارسا رحمانی» کارشناس حوزه امنیت نیز در گفتگو با دیجیاتو به نبود قانون در این موضوع تأکید دارد: «شرکت‌ها هنوز به طور کامل از اهمیت سایبری آگاه نیستند و اقدامات لازم را برای محافظت از داده‌ها و سیستم‌های خود انجام نمی‌دهند. »

او باور دارد برای بهبود زیرساخت امنیت در شرکت‌های بزرگ داخل ایران، نیاز به همکاری همه جانبه بین شرکت‌ها، دولت و جامعه مدنی است. رحمانی به لزوم تدوین قوانین توسط دولت اشاره می‌کند: «زمانی که بحث طرح صیانت مطرح شده بود، در ماده ۳۴ پیش‌نویس اولیه آن درباره حفاظت از داده‌ها صحبت شده بود و نمایندگان ادعا داشتند که نگران امنیت کاربران هستند. حال که این طرح کنار گذاشته شد، هیچ‌کس دیگر نگران این موضوع نیست. چرا این اتفاق افتاد؟ چون اینستاگرام فیلتر شد و دیگر دغدغه‌ای برای پیشروی طرح صیانت وجود ندارد.» او به خاک خوردن یک سری لوایح درباره اهمیت حفاظت از داده کاربران اشاره می‌کند و باور دارد که هیچ‌وقت هیچ عزم جدی برای این موضوع در دولت رخ نداده است: «هر بار سر یک افشای اطلاعات، صحبت‌های زیادی در این مورد می‌شود اما سپس دوباره همگی، همه چیز را فراموش می‌کنند.»

پارسایی باور دارد افشای اطلاعات مختلف در شرکت‌های گوناگون باعث می‌شود که با ادغام پارسایی باور دارد افشای اطلاعات مختلف در شرکت‌های گوناگون باعث می‌شود که با ادغام این اطلاعات با یکدیگر، ریزترین جزییات همه مردم توسط هکرها آرشیو شده است. پارسایی تأکید دارد: «عدم دسترسی به سرویس‌‌های کلاد معتبر جهانی تاثیرات منفی زیادی در امنیت سایبری ایران دارد. او باور دارد داشتن سرویس ابری بومی جدا از مزایا، در حال حاضر دولت ایران در حال توسعه سرویس‌های ابری بومی است اما این موارد فقط تاحدی می‌توانند جایگزین سرویس‌های ابری خارجی معتبر جهانی شوند.»

source

توسط modekhabari.ir