درز اطلاعات یا هک؛ بررسی یک احتمال در ماجرای اسنپفود
/ردپای تحریم در ناامنی اطلاعاتی/
سرویس اقتصادی، انصاف نیوز: ماجرای لو رفتن اطلاعات 20 میلیون کاربر در 80 میلیون آدرس پستی در ماجرای اسنپفود هنوز ابعاد ناگفته و ناگشودهای دارد. تا کنون از هک اطلاعات و درخواست هکرها برای دریافت پول خبر داریم اما برخی از کارشناسان از احتمال درز اطلاعات هم سخن میگویند.
درز اطلاعات به معنای این است که کسی از درون یا بیرون مجموعه اسنپفود به مرکز ذخیرهسازی اطلاعات این شرکت دسترسی داشته و اطلاعات را استخراج کرده است.
برخی از کارشناسان امنیت شبکه میگویند نوع دسترسی هکرها به اطلاعات و حجم ربودهشده این فرضیه را تقویت میکند که عملیات انجام شده اساسا هک، یعنی نفوذ و شکستن سدها و قفلهای حفاظتی نبوده است بلکه شخص یا گروهی، پیش از رمزنگاری اطلاعات به آن دسترسی داشته و آن را ربودهاند.
تجربههایی که درس نمیشود
یک کارشناس امنیت شبکه در پاسخ به این پرسش خبرنگار انصاف نیوز که در ماجرای اسنپفود چقدر احتمال دارد با درز اطلاعات بهجای هک مواجه باشیم، گفت: این سوال را باید نهادهایی پاسخ دهند که در حال بررسی قضیه هستند و ما خبری از داخل اسنپفود نداریم ولی منطقا این احتمال وجود دارد. کما اینکه پیشتر و در هک نهادهای امنیتی این احتمال مطرح شد.
نوید رجاییپور ادامه داد: بالاخره 5 ترابایت دیتا را نمیتوان به راحتی از شبکه برداشت. یعنی اگر حجم سرقتشده دیتا در همین حدود باشد، با توجه به شرایط شبکه در کشور، بله در کنار سه چهار احتمال دیگر، این احتمال هم وجود دارد که با درز اطلاعات روبهرو باشیم و نه هک اما هر کدام هم که باشد در تلخی و عمق ماجرا تفاوتی نمیکند.
او گفت: از منظر کارشناسی و با اطلاعاتی که تا کنون داریم، نمیتوان به صورت گزاره خبری و قطعی گفت ماجرای اسنپفود درز اطلاعات بوده است اما همانطور که گفتم روح ماجرا به نظر من یکی است. اطلاعات قابل توجهی از ایرانیان به اصطلاح کف اینترنت ریخته است و این اصلا اتفاق کماهمیتی نیست.
این کارشناس امنیت شبکه گفت: از منظر کارشناسی، قاعدتا کسی نمیتواند فایلی در این حجم را با نفوذ بیرونی و از طریق شبکه برداشت کند و بنابراین درز اطلاعات در بالای فهرست احتمالات قرار میگیرد.
از آقای رجاییپور سوال شد: پس از این اتفاق، چه سازمانی متولی است؟ آیا وزارت اطلاعات به ماجرای اسنپفود رسیدگی میکند یا پلیس یا وزارت ارتباطات؟ او در پاسخ گفت: یکی از گرفتاریهای ما این است که معمولا اتحادیهها و انجمنهای صنفی جدی گرفته نمیشوند و به اصطلاح در بازی نیستند. در حالیکه در اکثر کشورهای دنیا، این اصناف و اتحادیهها هستند که کسب و کارها را به رعایت اصول امنیتی دعوت میکنند و شرایط را هم برایشان فراهم میکنند.
او ادامه داد: در سطوحی از این اقدامات، هم دولت و هم نهاد تنظیمگر یا رگولاتور هم درگیر میشود و استانداردهای اجباری برای حفظ امنیت اطلاعات وضع میکند. یکی از وظایف رگولاتور همین پیشگیریهاست.
رجاییپور با طرح این پرسش طعنهآمیز که شما بگویید رگولاتور ما در این حوزه کیست، ادامه داد: متاسفانه اگر هم چنین سازمانی تعریف شده بود، وظیفه خود را ایجاد محدودیت و بگیروببند میدانست و میگفت اصلا جمعش کنید!
این کارشناس امنیت شبکه، پیشگیری را یکی از وظایف سازمانهای تنظیمگر حوزه فاوا دانست و گفت: علاوه بر اینکه با فقدان سازمان و نهاد تنظیمگر مواجهیم، از اتفاقات و تجارب قبلی هم درس نمیگیریم و هیچ نهاد و سازمانی نیست که بیاید و این تجارب را تبدیل به یک دستورالعمل کند. حتی رسانههای ما هم چنین کاری نمیکنند.
رد پای تحریمها در ناامنی اطلاعاتی
رجاییپور به تعدد اتفاقات مشابه اشاره کرد و افزود: هیچکس برای منِ کسبوکار تجربههای قبلی لورفتن اطلاعات کاربران را به یک درسنامه یا شیوهنامه برای رعایت پروتکلهای امنیتی تبدیل نکرده است. همه انتظار دارند خود کسب و کار، برود و همه تجارب را جمع کند، با شرایط خود منطبقش کند، نکات مهمش را استخراج کند و…
او در پاسخ به این پرسش که شرکتهای اکوسیستم فاوا چگونه باید سازوکارهای داخلی حفظ و ارتقای امنیت شبکه را طراحی کنند که دچار مشکل نشوند، گفت: یکی دیگر از مشکلاتی که گریبان شرکتهای ایرانی فعال در این حوزه را گرفته، محدودیتهای سرمایهگذاری است. کسبوکارهای ایرانی نمیتوانند متناسب با رشد خود، از سرمایه خارجی بهره ببرند و همین باعث شده که فقط به فکر گذران روزمره خود باشند.
رجاییپور ادامه داد: از طرف دیگر تحریمها هم باعث شده شرکتهای ایرانی به سختافزارها و نرمافزارهای جدیدتر و ایمنتر دسترسی نداشته باشند. اگر اسنپفود میتوانست از سرویسهای ابری شرکتهایی در استاندارد مایکروسافت یا آمازون استفاده کند، قطعا امنیت بیشتری داشت. کما اینکه این اتفاقات در همه جهان رخ میدهد اما چرا شرکتهای خارجی آسیب کمتری میبینند، چون از سرویسهای امنتری استفاده میکنند که متاسفانه تحریم این امکان را از شرکتهای ایرانی گرفته است.
الفتنسب: مختص ایران نیست
رضا الفتنسب، عضو اتحادیه کشوری کسبوکارهای مجازی ماجرای اسنپفود را اتفاقی ناگوار دانست و گفت: شرکتی که روزی 2 تا 3 میلیون سفارش – سفر را مدیریت میکند، قطعا هزینه سنگینی برای ارتقا سیستمهای خود انجام داده است و از این منظر، من میدانم همکارانم در اسنپفود چقدر پریشانحال و ناراحت هستند.
او ادامه داد: این اتفاق مختص ایران نیست و در همهجای دنیا و برای معتبرترین شرکتها هم رخ داده است. قصدم از این یادآوری، کوچککردن اتفاق یا به قول معروف مالهکشی نیست، میخواهم بگویم کار هکرها همین است که شرکتهای بزرگ را قربانی حملات و خواستههای خود کنند.
این فعال صنفی درباره سوال خبرنگار انصاف نیوز در مورد احتمال درز اطلاعات از اسنپفود، بر پیچیدگیهای فنی لو رفتن اطلاعات در چنین شرکتهایی تاکید کرد و ضمن معرفی پلیس فتا به عنوان متولی رسیدگی و تعیین تکلیف این موضوع، گفت: من هم چنین چیزی را شنیدهام تا زمانی که اطلاعات بیشتری از این ماجرا منتشر نشود، من نمیتوانم هیچ اظهار نظر قطعی و محکمی انجام دهم.
الفتنسب ادامه داد: چیزی که میتوان با قطعیت گفت این است که شرکتهایی در اندازه اسنپفود برای حفظ امنیت اطلاعات تلاش کردهاند و به سادگی نمیتوان آنان را به سهلانگاری متهم کرد اما محتمل است که سیل مهاجرت نیروی متخصص به ویژه در حوزه امنیت شبکه که یک تخصص پیچیده و پرمتقاضی در جهان است، بر کیفیت کنترلها تاثیرگذار بوده باشد.
او در پایان ابراز امیدواری کرد ماجرای اسنپفود به موضوعی دامنهدار و بهانهای برای سلب اعتماد از کسبوکارهای اینترنتپایه نشود.
انتهای پیام
چه کسی باید در مقابل این چنین افشای اطلاعات مردم باید به مردم پاسخ بدهد ؟ اگر فردا روز برای یکی از این 20میلیون کاربر مشکلی از بابت این ماجرا پیش بیاد تکلیف چیه ؟