ایران، اولین کشور آلوده به بدافزار‌های موبایل

در این نشست انواع حقوق شهروندان در فضای دیجیتال معرفی و نکات مختلفی مطرح شد؛ از آگاهی‌بخشی به جامعه درخصوص حقوق خود و شکل‌گیری خواست عمومی تا قانع‌کردن حاکمیت به اینکه از نگاه امنیتی به فضای دیجیتال دست بردارد که نتایج ضد امنیتی به دنبال دارد. همچنین مسئله تأمین امنیت کسب‌و‌کار‌ها از طریق ارائه راهکار‌های ارزان‌قیمت نیز مطرح شد. حق فراموشی و اهمیت آن نیز از دیگر مسائلی بود که کارشناسان در این نشست درباره آن به تبادل نظر پرداختند. 

تبدیل شدن نگاه امنیتی به ضد امنیت

به گزارش هم میهن، «شهروند امروز شاید بیش از هر زمانی احساس بی‌پناهی کند.» حامد بیدی، کنشگر حوزه اینترنت صحبت‌هایش را درخصوص حق امنیت سایبری چنین آغاز کرد و معتقد است این شهروند احساس می‌کند داده‌هایش در حال از دست رفتن و عمومی شدن است. او گفت: «به طنز می‌گویند که ما تنها کشور یا ملتی هستیم که داده‌هایمان «اوپن‌سورس» است. درواقع تمام داده‌هایمان در اینترنت پخش شده است. از این مسئله تا موضوع اینترنت، فیلترینگ و VPN، بحث‌های نرم‌افزاری، توزیع سخت‌افزار و ساحت‌های مختلفی وجود دارد. فکر می‌کنم یک شهروند غیرمتخصص در حوزه فناوری هم امروز متوجه شده که یک جای کار می‌لنگد.»

به گفته بیدی، کارشناسان و کنشگران حوزه امنیت شبکه و امنیت سایبری نیز بار‌ها هشدار داده و زنگ خطر را به صدا درآورده‌اند، زیرا در وضعیت مطلوبی قرار نداریم. او امنیت سایبری را دچار بحران جدی می‌داند که فراتر از جامعه متخصصان حوزه فناوری، حتی شهروندان را نیز درگیر خود کرده است. 

او افزود: «یکی از موضوعات اصلی در حوزه امنیت سایبری، مسئله داده‌هاست؛ داده‌هایی که ممکن است مربوط به شهروندان، شرکت‌ها، تجارت یا داده‌های دولتی باشد. امروز هم مشخص است که دنیا، دنیای داده‌هاست و با این داده‌ها تصمیم‌گیری و سیاست‌گذاری می‌شود و حتی از آنها درآمدزایی صورت می‌پذیرد. اهمیت داده‌ها در برخی موارد از پول بیشتر است؛ بنابراین طبیعی است که بخش خصوصی، دولت‌ها و شهروندان نگران باشند.» او با تأکید بر اینکه چند رویکرد در برخورد با این وضعیت اسف‌بار وجود دارد، می‌گوید: «یک رویکرد این است که من به‌عنوان شهروند چه کار کنم؟ آیا راه‌حل‌هایی برای این موضوع وجود دارد یا نه؟ یک رویکرد دیگر این است که ببینیم مشکل کجاست؟ چرا شرکت‌ها و دولت‌ها ضعیف هستند؟»

بیدی در ادامه درباره اقداماتی که شهروندان می‌توانند درخصوص حفاظت از داده‌هایشان انجام دهند، توضیح داد: «شهروند ابتدا باید آگاه باشد که برخی پلتفرم‌ها این امکان را می‌دهند که داده‌هایش را حذف کنند. در گام دوم، مطالبه کند که چرا سایرین این کار را نمی‌کنند.»

او در ادامه درخصوص اقدامات شرکت‌ها افزود: «بسیاری از شرکت‌ها در پیچیدگی‌های فنی سخت‌افزاری و نرم‌افزاری وارد می‌شوند و از ابزار‌های مختلف استفاده می‌کنند، کد می‌نویسند، زیرساخت خود را فراهم می‌کنند و...، اما به نظر می‌رسد بسیاری از آنها فاقد حداقل‌های امنیتی هستند. آیا راه‌حلی وجود دارد که کسب‌وکار‌های کوچک و استارتاپ‌ها بتوانند وجود دارد با صرف هزینه‌های کمتر، حداقل‌های امنیتی را تأمین کنند؟ زیرا حفظ امنیت سایبری، بعضاً بسیار پرهزینه است.» 

این کنشگر حوزه اینترنت به سیاست‌گذاری فناوری نیز به‌عنوان یک رویکرد، اشاره داشت و گفت، سیاستی که نتیجه‌اش تحریم‌های فناوری است، خود به کاهش امنیت سایبری می‌انجامد. بیدی عنوان کرد: «ما شهروندان مجبور می‌شویم از ابزار‌های کرک‌شده استفاده کنیم و از سوی دیگر، همان رویکرد به امنیتی کردن مسائلی مانند اینترنت منجر می‌شود که فیلترینگ گسترده را در پی دارد. خود فیلترینگ نیز باعث می‌شود ما همچنان ناامن‌تر شویم. شاید رویکردی که زمانی شعارش استقلال بود و با نگاه اساساً امنیتی به موضوع نگاه می‌کرد، اکنون به یک نگاه ضدامنیتی تبدیل شده باشد.»

حقی برای ناشناس بودن

حسین شیخ‌رضایی، متخصص فلسفه علم و فناوری مسئله امنیت را ذیل مفهومی بزرگ‌تر به نام حقوق دیجیتال یا حقوق سایبری قرار داد و گفت: «همان‌طور که ما به‌عنوان موجودات بیولوژیکی یک زندگی فردی و اجتماعی داریم و حقوقی برای ما تعریف می‌شود، از زمانی که تبدیل به شهروندان دیجیتال شدیم، برای تنظیم روابط در آن حوزه چیزی به‌نام حقوق دیجیتال یا حقوق سایبری تعریف شده است. امروزه این دو حوزه آن‌قدر متداخل شده‌اند که تأثیر و تأثر متقابل دارند و بسیار بر هم اثر گذاشته‌اند.»

او در توضیح این حقوق افزود: «حق دسترسی به اطلاعات یکی از حقوق دیجیتال ماست. حق آزادی بیان داریم که قبل از مسئله دیجیتال نیز بوده است. حق برخورداری از حریم خصوصی داریم؛ همان‌طور که در زندگی قبل از دیجیتال وجود داشته است. همین‌طور حقوق جدیدی مانند حق ناشناس بودن، حق فراموش شدن، حق محافظت از کودکان در برابر محتوای نامطلوب و...»

او امنیت سایبری را نیز یکی از مؤلفه‌های حقوق دیجیتال دانست و به سلسله‌مراتب ارزش‌ها اشاره کرد و گفت: «مسئله آزادی را در نظر بگیرید؛ باید ببینیم در چه چارچوبی صحبت می‌کنیم. اگر در چارچوب آنچه در کشور ما حاکم است صحبت کنیم، آزادی حق زیادی ندارد؛ یعنی پررنگ نیست؛ بنابراین اگر چیزی در تعارض با آن قرار بگیرد، قاعدتاً به‌نفع آزادی کنار نمی‌رود.

اما عمدتاً در گفتمان‌های حقوقی سکولار که در کشور‌های غربی حاکم است، آزادی حق نامشروط است. مثلاً اگر حقوق کوچک‌تر با حق آزادی بیان در تعارض قرار گیرند، آن دست بالا را دارد. ما احتیاج به یک نظام سلسله‌مراتب ارزش‌ها داریم؛ یعنی کدام ارزشش بیشتر است که اگر در تنش قرار گرفت، ما آن را دست بالا قرار دهیم. در مورد امنیت و آزادی باید راجع به این صحبت کنیم که آن نظام حقوقی چه پایه‌ای دارد؟»

شیخ‌رضایی معتقد است، در کشور ما یک نظام ارزشی پشت مسئله فناوری و به تبع آن امنیت سایبری قرار گرفته که تفکر و کلیدواژه‌های مشخصی دارد: «یکی از ویژگی‌های این نظام ارزشی این است که خود را مستقل از دنیا می‌بیند و فکر می‌کند، می‌تواند در حالت ایزوله امور خود را بگرداند؛ سعی دارد خودکفایی را ترویج کند و به‌نوعی بیگانه‌هراس است. تصور می‌کند تافته جدابافته‌ای است و لازم نیست وارد این بحث‌ها شود؛ بنابراین مسئله فقط راه‌حل فنی ندارد؛ راه‌حلش در اختیار مهندسان و شبکه‌کاران نیست؛ بخشی از آن مسئله اجتماعی است.»

ایران، اولین کشور آلوده به بدافزار‌های موبایل

سعید سوزنگر، کارشناس امنیت و کنشگر حوزه دیجیتال، امنیت سایبری را در ادامه امنیتی می‌بیند که ما به‌شکل فیزیکی و در زندگی واقعی خود لازم است آن را داشته باشیم و به همان اندازه اهمیت دارد، زیرا فناوری را در دنیای امروز جزء لاینفک زندگی می‌داند. او افزود: «آسیب‌هایی که در دنیای واقعی وجود داشته، به دنیای سایبری هم تسرّی پیدا کرده و لایه‌های بیشتری نیز به آن اضافه شده است. شما در زندگی‌تان ممکن است با جمعیتی ۱۰۰ یا ۲۰۰ هزار نفری یا در یک شهر در ارتباط باشید، اما زمانی که با موبایل‌تان به اینترنت وصل می‌شوید، می‌توانید با چند میلیارد نفر ارتباط برقرار کنید.»

او با ذکر این مسئله که ما حقوق مختلفی داریم و ازجمله آنها حق دسترسی دیجیتال است، تأکید کرد: «هیچ حکومتی نمی‌تواند برای این حق خط قرمز بگذارد یا شرایط تعیین کند. همان‌طور که حق داریم نفس بکشیم و در خیابان راه برویم، در دنیای مجازی نیز حق دسترسی دیجیتال داریم.»

سوزنگر همچنین به «حق فراموشی» اشاره کرد که در کشور ما چندان به آن پرداخته نمی‌شود. او گفت: «یک نمونه ساده‌اش «لغو ۱۱» که در انتهای پیام‌ها وجود دارد و اثر نمی‌کند. حاکمیت حق فراموشی در پلتفرم‌ها را اعمال نکرده و باید به این مسئله پرداخته شود.»

او در ادامه به حق حفظ حریم شخصی پرداخته و معتقد است، مردم ایران هنوز به اهمیت این حق خود واقف نیستند: «عموم مردم نگاهی اشتباه به مسئله دارند و می‌گویند من چه دارم که کسی ببیند؟ بگذار حکومت ببیند، هکر ببیند. باید به مردم آموزش داد که این حق شماست؛ حفظ حریم خصوصی، حق شهروندی است و شناخت آن جز با آگاهی‌رسانی اتفاق نمی‌افتد.»

سوزنگر حق بهره‌برداری از داده یا حکمرانی داده را نیز یکی از حقوق مطرح‌شده در حوزه دیجیتال دانست و در رابطه با آن توضیح داد: «مالک داده چه کسی است؟ چه کسی حق دارد از داده من استفاده کند؟ اگر من بیمارم، مالک داده‌ای هستم که بیمه یا بیمارستان روی آن کار می‌کنند و این حق من است. یا وقتی در پلتفرمی کار می‌کنم، حق مالکیت داده متعلق به من است و باید در مورد آن آگاهی‌رسانی و مطالبه صورت بگیرد.»

او با انتقاد از اینکه سیستمی که در اثر سیاست‌های نادرست در کشور پیاده شده، همه افراد جامعه را کودک می‌پندارد، گفت: «اگر حد و مرز‌ها مشخص بود، می‌توانستیم سیاست‌هایی برای کودکان داشته باشیم و حداقل در مبارزه با تصاویر جنسی، کودک‌آزاری و موارد این‌چنینی اثربخش عمل کنیم. امروزه نمی‌توانیم عملکردی اثربخش داشته باشیم، زیرا امنیت کودکان با بزرگسالانی که کودک انگاشته شده‌اند، ترکیب شده است.»

این کنشگر حوزه دیجیتال، به گزارش کسپرسکی اشاره کرد که به موجب آن اولین کشور آلوده به بدافزار‌های موبایل هستیم و این هم به موضوع فیلترینگ و برخورد با VPN‌ها مربوط می‌شود: «حاکمیت با محدود کردن حقوق دسترسی مردم، آنها را وادار می‌کند برای دسترسی به حق‌شان، به هر ابزاری متوسل شوند؛ ازجمله ابزار‌های آلوده‌ای که ممکن است دسترسی‌شان را به اینترنت فراهم کند. اگرچه این نرخ کم است، اما میزان اختلالی که فیلترینگ و ابزار‌های محدودکننده روی شبکه ایجاد می‌کنند، به حدی است که اکثر ارائه‌دهندگان خدمات اینترنتی به حداقل استاندارد‌های امنیتی راضی می‌شوند.»

به گفته سوزنگر، نگاه حاکمیت به مسئله امنیت، ابزاری است، درحالی‌که امنیت سه بخش عمده دارد: افراد (People)، فرآیند‌ها (Process) و فناوری (Technology). در بخش افراد، سطح دانش مطرح است؛ هم برای متخصصان و هم برای جامعه عمومی. در جامعه عمومی، آگاهی‌رسانی اهمیت دارد و در جامعه متخصصان، دانش پیشرفته مورد نیاز است که اینها را نداریم؛ یعنی متخصص خوب هم نداریم. فرآیند‌ها هم فرآیند‌هایی هستند که باید تدوین شوند، اما وجود ندارند. سازمانی به‌نام پدافند غیرعامل داریم که اگر هیچ کاری نمی‌کرد و فقط استاندارد‌های NSA را ترجمه و استفاده می‌کرد، اتفاق بزرگی می‌افتاد؛ اما این کار را انجام نمی‌دهد و فقط بودجه دریافت می‌کند.

او افزود: «بحث فناوری شامل سخت‌افزار، نرم‌افزار و ابزار‌هایی است که باید وارد شوند و نباید آن را به این تقلیل داد که یک ابزار می‌خریم و امنیت تأمین می‌شود. قبلاً اکثر حملات ما خارجی بود و راهکار ما، روش ابتدایی قطع کردن یا ایران‌اکسس کردن بود؛ کلاً ۴۵ سال است که کارمان این بوده که دسترسی را از خارج از ایران ببندیم.

اما اکنون، پس از آلودگی‌های دو سال اخیر و اختلالاتی که روی پروتکل‌ها صورت گرفته، میزان حملات داخلی و بات‌هایی که در کشور هستند، از میزان حملاتی که از خارج به ما می‌شد بیشتر شده است. یعنی مدل حملات تغییر کرده و اکنون در داخل نمی‌دانند چه کار کنند؛ ما حملات داخلی داریم و نمی‌دانیم باید چه کنیم. مردم ما دو سال است که آپدیت ابزار‌هایی را که روزانه از آ‌نها استفاده می‌کنند، دریافت نکرده‌اند.

نتیجه این فرآیند می‌شود نشت داده‌ها، مسائلی که برای کودکان اتفاق می‌افتد، منتشر شدن اطلاعات شخصی افراد، کلاهبرداری‌ها و فیشینگ‌ها. همه اینها نتیجه استفاده از ابزار‌های کرک‌شده، کمبود دانش و کم‌اهمیت بودن مسئله امنیت در کشور است.»

امنیت در حاشیه است

فاطمه اشرفی، کنشگر حوزه دیجیتال نیز معتقد است، همه افرادی که از ابزار‌های دیجیتالی استفاده می‌کنند، حق دارند از امنیت داده‌هایی که به هر سازمانی می‌دهند، مطمئن باشند. اما این اتفاق نمی‌افتد: «ما به‌راحتی هک می‌شویم، حملات سایبری به‌راحتی شکل می‌گیرد و این باعث می‌شود بسیاری از داده‌ها و اطلاعاتی که مردم با خیال راحت به ما سپرده‌اند، از بین برود. این مسئله می‌تواند در انواع سازمان‌ها رخ دهد، مانند بانک‌ها که بسیاری از افراد داده‌های اصلی‌شان را به آنها می‌سپارند یا بسیاری از سازمان‌های مهم و حساس که به آنها اطمینان می‌کنیم و داده‌های خود را در اختیارشان می‌گذاریم.»

اشرفی می‌افزاید: «وقتی حملات سایبری به این سازمان‌ها می‌شود که گاهی حتی زمان شروع این حملات هم برایشان مشخص نیست، اطلاعات و داده‌هایی هک شده و از دسترس‌شان خارج می‌شود. در مراحل بعدی باج‌گیری‌هایی رخ می‌دهد. حتی بودجه‌هایی نیز برای پرداخت این باج‌ها داده می‌شود که شاید در بسیاری موارد اصلاً دیده نشود. اما با این‌همه وقتی سازمان‌ها درباره امنیت خود صحبت می‌کنند، آن را به‌عنوان بخشی حاشیه‌ای می‌بینند.» به گفته او، این مسئله بزرگ نادیده گرفته می‌شود، زیرا حق شهروندان اهمیتی ندارد.