هک مجموعه اسنپ‌فود چندمین هک بزرگی است که طی چند ماه تازه رخ می‌دهد. پیش از این تپسی، شرکت‌های بیمه‌ای، پمپ بنزین‌ها و چندین مجموعه دیگر مورد دعوا هکرها قرار گرفتند و به‌نظر می‌رسد که امنیت در بین شرکت‌ها، جایگاه مناسبی ندارد. کارشناسان این حوزه اعتقاد دارند که نبوده است قوانین و عدم جرم انگاری برای شرکت‌ها علتشده که این مجموعه‌ها به نوشته امنیت و دقت به آن، اهمیت ندهند.

نبوده است قانون حفاظت از داده‌های کاربر در ایران علت مهم بی‌اهمیتی به امنیت است

«میلاد نوری» برنامه‌نویس و مدیرعامل توکان در گفتگو با دیجیاتو درمورد این سوال که نوشته امنیت چه مقدار در شرکت‌های ایرانی جدی گرفته می‌بشود او گفت: «با اهمیت ترین علت عدم اهمیت به این نوشته، نبوده است قانون حفاظت از داده‌های کاربر در ایران است. به علت عدم وجود قانون و بازدید موارد قبل، می‌بینیم که گسترده‌ترین هک‌ها و نشت اطلاعات هیچ تبعات قانونی و مالی‌ برای سازمان‌ها و شرکت‌ها ندارد. تا جایی که در برخی موارد، حتی نوشته از مبنا تکذیب شده. در رابطه تپ‌سی هم چند سال پیش یک هک با ابعاد کوچک‌تر اتفاق افتاده می بود. و امسال در ابعاد بزرگ‌تری اتفاق افتاد. در نوشته تپ‌سی، آی‌دی دستگاه‌های اندرویدی (Android ID) بدون هیچ رمزنگاری‌ ذخیره شده که همین مورد سپس از ماه‌ها در اسنپ‌فود هم وجود دارد. احتمالا اگر هراس از تبعات قانونی، جریمه مالی، حمایتاز حقوق کاربر و… وجود داشت، شرکت‌ها برخی موارد ساده همانند عدم ذخیره دیتای اضافه، رمزنگاری دیتای حساس‌تر و… را مراعات می‌کردند.»

نوری باور دارد در موارد هک‌های بسیاری که رخ داده با کنار هم قرار دادن اطلاعات دیتابیس‌های گوناگون، و تطابق داده‌ها، اطلاعات کامل شخصی، هویتی، مالی و دیگر فعالیت‌های کاربر در اختیار افراد غیر قرار می‌گیرد: «حال آنکه هر فرد با دسترسی به این اطلاعات می‌تواند سواستفاده‌های مختلفی نظیر کلاهبرداری، هک اجتماعی، جعل هویت و مواردی که به ذهن ما نمی‌رسد را انجام دهد. به گفتن یک مثال ساده، در نمونه تازه، شما با تحلیل اطلاعات خواست غذای اعضای یک خانواده، می‌توانید ساعت وجود آن‌ها در محل کار و منزل را پیش‌بینی کنید. اطلاعات مربوط به این که چه افرادی اعضای یک خانواده می باشند هم از طریق نشت‌های قبلی در دسترس است. یا در مثالی ملموس‌تر اینطور در نظر بگیرید شما اگر در تلگرام به فردی یک مطلب ارسال کنید، آن فرد از شناسه عددی شما در تلگرام و تطابق با دیتابیس لو رفته تلگرام‌های غیر رسمی به شماره موبایل شما برسد. و از روی شماره موبایل شما، لیست سفرهای شما از تپ‌سی و علی‌بابا و… که قبلا مورد نشت قرار گرفتند را پرینت کرده و به آدرس شما ارسال کند. آدرس و اطلاعات پستی هم در دیتابیس‌های لو رفته دیگر در دسترس است!»

نوری در جواب به این سوال که آیا مهاجرت متخصصی در این عرصه تاثییر دارد او گفت: «حالت اقتصادی و مهاجرت نیروی متخصص و با توانایی هم یکی از دلایل زیاد مهم افت سطح امنیت سرویس‌های آنلاین و افزایش هک‌ها و به تبع آن نشت اطلاعات در این سال‌ها بوده.زیاد تر نیروهای متخصص و باتجربه در حوزه‌های برنامه‌نویسی، زیرساخت، امنیت و… در این سال‌ها مهاجرت کرده و جای آن‌ها را نیرو‌های با توانایی کمتر که آن‌ها هم در مسیر مهاجرت می باشند گرفته. به علت حالت اقتصادی، حتی زیاد از متخصصانی که مهاجرت نکرده‌اند هم با شرکت‌های ایرانی همکاری نمی‌کنند و از طریق پلتفرم‌های باگ بانتی خارجی، بازدید سرویس‌های خارجی و درآمد دلاری را ترجیح خواهند داد.»

نوری این چنین در جواب به این سوال عدم دسترسی به سرویس‌های کلاد معتبر جهانی چه مقدار در این نوشته نقش دارد او گفت: «در هک‌های گوناگون، سرویس‌ها از نقاط گوناگون زیرساختی یا نرم‌افزاری و… مورد دعوا قرار می‌گیرند. بسته به نقطه‌ای که یک سرویس از آن مورد دعوا قرار گرفته، اگر ضعف در زیرساخت و موارد مرتبط با آن در این مورد دخیل بوده، دسترسی به سرویس‌های گوناگون جهانی و تشکیل رقابت احتمالا می‌توانست به افت این اتفاق پشتیبانی کند. اما به علت تحریم و اختلال‌های داخلی، کسب‌وکارها ناچار به منفعت گیری از گزینه‌های محدود داخلی می باشند.»

حوزه امنیت در سرزمین ما متولی دقیقی ندارد

«علی کیائی‌فر» کارشناس امنیت سایبری در گفتگو با دیجیاتو باور دارد که شرکت‌های ایرانی به راحتی هک خواهد شد چرا که توجهی به امنیت در لایه‌های گوناگون ندارند: «بر پایه گزارش «گارتنر» هفتاد درصد صدمه‌پذیری‌های نه در لایه شبکه بلکه در لایه اپلیکیشن می باشند.» کیائی‌فر درمورد سطح امنیت درمورد دیدگاه سازمان‌ها در امن‌سازی لایه‌های گوناگون او گفت: «هنگامی با زیاد از سازمان‌ها در حوزه امن‌سازی سخن بگویید می‌کنیم؛ او گفت و گو امنیت در لایه زیرساخت را نقل می‌کنند و از لایه اپلیکیشن‌ها غافل می باشند. شما اگر امن‌ترین زیرساخت را فراهم کنید اما در لایه اپلیکیشن صدمه‌پذیر باشید به راحتی هک می‌شوید. ما ناظر هک‌های تعداد بسیاری هستیم که زیرساخت امن دارند اما در لایه اپلیکیشن او گفت و گو‌های امنیتی را ندیدند و استانداردهای ملزوم را مراعات نکردند.»

او درمورد نهاد متولی حوزه امنیت در بین شرکت‌های ایرانی او گفت: «حوزه امنیت در سرزمین ما متاسفانه چندین متولی دارد و در نهایت هیچ کس متولی نیست یعنی هنگامی او گفت و گو تقسیم مسئولیت‌ها و اعمال نفوذها و قسمت‌نامه‌ها می‌بشود؛ می‌بینیم که سازمان ‌های موازی بسیاری می باشند که به این حوزه نفوذ می‌کنند اما هنگامی سازمانی هک می‌بشود ومشکلی همانند اسنپ پیش می‌آید هیچ کس پاسخگو نیست. در حوزه قوانین هم وضع به همین منوال است و متاسفانه فردی متولی قانون‌گذاری در این حوزه نیست که از حقوق شهروندان دفاع کند.» 

باید مواظب فیشینگ باشیم

«جواد دادگر» کارشناس امنیت سایبری باور دارد ربط با هکرها در دنیای امروز کاری می‌کند که ربط دوسویه‌ای بین شرکت‌ها و این افراد شکل بگیرد: «روال کلی به این صورت است که هکر یا هر شخص فرد دیگر، فهمید و یابنده یک‌سری ایرادها و مشکلاتی خواهد شد که در وهله اول، به شرکت مورد نظر اظهار می‌کنند و در راستای آن، جایزه و مبلغی را دریافت می‌کنند اما در ایران برای بحرانی‌ترین صدمه‌پذیری‌های خود نیز حاضر نیستند حقوق یک ماه از نیروهای امنیتی سازمان خود را بدهند. تعداد بسیاری هم فکر می‌کنند که اگر این کار را بکنند، دقت هکرها را به خود جلب می‌کنند.»

دادگر باور دارد دارد امنیت دارای روندهای مشخصی برای کسب‌وکارها است که رویکردهای مختلفی برای آن اتخاذ می‌بشود: «شرکت‌های غیردولتی که جزو شرکت‌های بزرگ سرزمین شناخته خواهد شد، دارای MONITORING, LONGMANAGEMANT می باشند اما کارایی ملزوم را ندارد و ناکارامدی آن می‌تواند به علت مدلی که در حال فعالیت بر آن می باشند و عدم قیمت‌مندی بودجه و اهمیتی که به تیم امنیت تعلق خواهند داد باشد و علتمی‌بشود افراد فعال در این حوزه در سازمان‌ها به جست‌وجوهای مهم و بهبود زیرساخت‌های ملزوم نپردازد.»

دادگر در جواب به این سوال که سپس از این نشت‌های اطلاعاتی کاربران باید چه کنند او گفت:‌ «طبق معمول سودجویان و افرادی که در عرصه فیشینگ فعالیت دارند سپس از افشای این اطلاعات سریع عمل به تماس و فرستادن مطلب به کاربران می‌کنند تا از آن‌ها سودجویی کنند. همه کاربران باید بعد از این که این هک‌ها اظهار عمومی شد، به‌صورت مضاعف احتیاط کنند و هیچ تماس، ایمیل و پیامک مشکوکی را باز نکنند.»

وقتی که قانون نیست هیچکس فکر نمی‌کند که برای امنیت هزینه کند

«وحید فرید» فعال فضای مجازی نیز در گفتگو با دیجیاتو در جواب به این سوال که آیا شرکت‌ها در حوزه امنیت ضعیف عمل می‌کنند یا خیر او گفت: «در حوزه امنیت موارد بسیاری وجود دارد که نیاز است روی آن‌ها کار بشود همانند فرآیند تست‌های نرمال امنیتی که به حالت روتین هم باید انجام شوند همانند پنتست‌ها(تست نفوذی) و او گفت و گو جاری کردن رویه‌های امنیتی در پروسه تشکیل نرم‌افزاریعنی نرم‌افزار از ابتدا باید امن نوشته بشود و فردی که نرم‌افزار را می‌نویسد باید با مفاهیم امنیتی آشنایی داشته باشد.»

فرید پافشاری دارد نرم‌افزارها باید به دید فرد نفوذی تست گرفته بشود و صدمه‌های شناخته شده در کل فرآیند شناسایی شوند و برای آن راه‌حل اشکار بشود: «سپس از این به مفهوم باگ بانتی می‌رسیم که در ایران آن‌چنان به آن توجهی نمی‌بشود.»

فرید باور دارد به علت نبوده است قانون و عدم جریمه شرکت‌ها، نوشته امنیت توسط آن‌ها جدی گرفته نمی‌بشود. او با اشاره به هک شدن تپسی او گفت: «هنگامی تپسی هک شد، سهامش یک ریال هم کم شدن نداشت و در نهایت یک عذرخواهی ساده رقم خورد به این علت که از سمت فردی الزام نداشت. اصلا به جز الزام اخلاقی علت فرد دیگر ندارد که از داده کاربر محافظت کند و هنگامی او گفت و گو پول به بین می‌آید این الزام هم به کنار می‌رود. هنگامی پلتفرم برای هک شدن هزینه‌ای متحمل نمی‌بشود دلیلی نمی‌بیند که در او گفت و گو امنیت هزینه کند. در دنیا می‌بینیم هنگامی پلتفرمی هک می‌بشود به طور کلی بیزینس خود را از دست می‌دهد اما در ایران هیچ اتفاقی نمی‌افتد.»

 این کارشناس امنیت باور دارد وقتی که قانون نیست هیچکس فکر نمی‌کند که برای امنیت هزینه کند. او در جواب به این سوال که چرا هیچکس در رابطه این هک‌ها واکنشی نشان نمی‌دهد: «در وهله اول چون اصلا حوزه دغدغه مسئولان نیست و اصلا تخصصی در این حوزه ندارند. برخی خوشحال خواهد شد از این که تعطیلی پلتفرم‌های داخلی همانند اسنپ، تپسی، دیجی‌کالا به این بهانه‌ها رخ بدهد تا یک نمونه داخلی آن را تاسیس کنند و با ایران اکسس بودن هم فکر می‌کنند که دیگر امکان هک شدن وجود ندارد.»

جامعه IT در دولت و مجلس نماینده ندارد

فرید پافشاری دارد همه تمرکز سازمان‌های داخلی ما اکنون روی ایران اکسس شدن است و این توهم پیش آمده که اگر پلتفرم خود را ایران اکسس کنند امنیت آن‌ها ضمانت است: «این اتفاق تاثییر زیاد مقداری در عرصه ترقی امنیت دارد و زیاد تر تاثییر توهمی دارد برای همین سپس از ایران اکسس شدن دیگر روی امنیت کار نمی‌کنند و هیچ منفعت‌ای جز محدود کردن کاربر ندارد. امکان پذیر در ابتدا جلوی حملات کوچک همانند دیداس را بگیرد اما در بلند زمان اثری ندارد. به عبارتی القای این نوشته که ایران اکسس شدیم بعد امنیت داریم یکی از دلایل هک شدن است؛ در رابطه نوشته تازه یعنی اینپ‌فود هم ایران اکسس مراعات شده می بود. همین الان شما به فاوا بگویید چطور مجموعه خود را امن کنیم می‌گوید ایران اکسس کردن بهترین راه است. ما واقعا در مفاهیم پایه مشکل داریم.»

فرید باور دارد جامعه IT اصلا نماینده ندارد: «حالت نظام صنفی نصر را ببینید؛ اصلا قسمت امنیت آن چه کار می‌کند؟ هنگامی سخن بگویید از امنیت می‌بشود در سرزمین ما باید محتاط می بود چون ما مجمعی نداریم که هکرها کنار هم بنشینند و همفکری کنند. سال‌های قبل داشتیم اما همه متواری یا گوشه‌گیر شدند.»

لوایح درمورد حفاظت از داده‌ها خاک خورده است

«پارسا رحمانی» کارشناس حوزه امنیت نیز در گفتگو با دیجیاتو به نبوده است قانون در این نوشته پافشاری دارد: «شرکت‌ها تا این مدت به طور کامل از اهمیت سایبری آگاه نیستند و عمل های ملزوم را برای محافظت از داده‌ها و سیستم‌های خود انجام نمی‌دهند. »

او باور دارد برای بهبود زیرساخت امنیت توی شرکت های بزرگ داخل ایران، نیاز به همکاری همه جانبه بین شرکت ها، دولت و جامعه مدنی است. رحمانی به لزوم تدوین قوانین توسط دولت اشاره می‌کند: «وقتی که او گفت و گو مطرح صیانت نقل شده می بود، در ماده ۳۴ پیش‌نویس اولیه آن درمورد حفاظت از داده‌ها سخن بگویید شده می بود و نمایندگان ادعا داشتند که دلواپس امنیت کاربران می باشند. حال که این مطرح کنار گذاشته شد، هیچ‌کس دیگر دلواپس این نوشته نیست. چرا این اتفاق افتاد؟ چون اینستاگرام فیلتر شد و دیگر دغدغه‌ای برای پیشروی مطرح صیانت وجود ندارد.» او به خاک خوردن یک سری لوایح درمورد اهمیت حفاظت از داده کاربران اشاره می‌کند و باور دارد که هیچ‌زمان هیچ عزم جدی برای این نوشته در دولت رخ نداده است: «هر بار سر یک افشای اطلاعات، سخن بگویید‌های بسیاری در این مورد می‌بشود اما سپس مجدد همه انها، همه چیز را فراموش می‌کنند.»

پارسایی باور دارد افشای اطلاعات گوناگون در شرکت‌های گوناگون علتمی‌بشود که با ادغام پارسایی باور دارد افشای اطلاعات گوناگون در شرکت‌های گوناگون علتمی‌بشود که با ادغام این اطلاعات با یکدیگر، ریزترین جزییات همه مردم توسط هکرها آرشیو شده است. پارسایی پافشاری دارد: «عدم دسترسی به سرویس‌‌های کلاد معتبر جهانی تاثیرات منفی بسیاری در امنیت سایبری ایران دارد. او باور دارد داشتن سرویس ابری بومی جدا از مزایا، اکنون دولت ایران در حال گسترش سرویس‌های ابری بومی است اما این موارد فقط تاحدی می‌توانند جانشین سرویس‌های ابری خارجی معتبر جهانی شوند.