می‌توان هک را غیر ممکن کرد؟

پایگاه بصیرت / امیرمهدی صالحی/ گروه مجازستان

با گسترش سکوهای دیجیتال، مدیریت اطلاعات بیش از هر زمان دیگری اهمیت یافته است؛ زیرا داده‌های شخصی در واقع کالایی ارزشمند در دنیای دیجیتال امروزی به شمار می‌آیند. با این ‌حال، بی‌دقتی شرکت‌ها، خطای انسانی و تأخیر در پاسخگویی، جرایم سایبری و... به این معناست که از این داده‌ها آن‌طور که باید و شاید محافظت نمی‌شود و این مسئله ممکن است افرون بر لکه‌دارشدن اعتبار شرکت‌ها و کسب‌وکارهای دیجیتال، به خسارات مالی شدید، از‌دست‌دادن حریم خصوصی و آسیب‌های روحی و‌ جسمی منجر شود.

بر اساس تحقیقات مؤسسه Check Point، در سال ۲۰۲۲ حدود 9/1 میلیارد حمله سایبری شناسایی شد که نشان‌دهنده افزایش ۳۸ درصدی در مقایسه با سال ۲۰۲۱ بود. این روند در سال ۲۰۲۳ نیز ادامه داشت و در این سال حدود 10/8 میلیارد حمله سایبری شناسایی شد. در طول سه‌ماهه چهارم سال ۲۰۲۲، نزدیک به ۲۸ درصد از حملات سایبری در سراسر جهان مؤسسات مالی را هدف قرار دادند. افزون بر این، سرویس‌های نرم‌افزاری مبتنی بر وب و رایانامه حدود ۱۸ درصد، رسانه‌های اجتماعی با حدود ۱۰ درصد و تدارکات/ حمل‌و‌نقل ۹ درصد از حملات ثبت‌شده را به خود اختصاص داده‌اند.

بنابراین، امنیت سایبری به منزله یکی از مهم‌ترین مسائل عصر دیجیتال، آنقدر اهمیت دارد که توسعه کسب‌‌وکارها و حریم خصوصی افراد به آن گره خورده است؛ به همین دلیل در جهان، دولت‌ها به وضع قوانین و اقدامات تنظیم‌گرانه مرتبط روی آورده‌اند. در ایران با وجود نهادهای سیاست‌گذار در مرکز ملی فضای مجازی و مجلس شورای اسلامی، با وجود مقررات ناکامل، قانون یکپارچه‌ای دراین‌باره تصویب نشده و با تعدد اختیارات مراکز گوناگون (مانند مرکز ماهر زیر نظر وزارت ارتباطات، پلیس فتا، مرکز افتا ریاست‌جمهوری و سازمان پدافند غیرعامل) هنوز به طور شفاف مشخص نیست نهاد اصلی در این زمینه کدام است؟

به تازگی نیز گروه هکری IRLeaks که در تابستان 1401 اطلاعات کاربران شرکت تاکسی اینترنتی تپسی را هک کرده بود، در 9 دی‌ماه 1402 با ارائه نمونه‌هایی، اعلام کرد که اطلاعات بیش از ۲۰ میلیون کاربر و ۸۸۰ میلیون سفارش شرکت اسنپ‌فود را که در حوزه سفارش برخط غذا در ایران فعالیت می‌کند، به‌دست آورده است. هرچند اسنپ‌فود به کاربران اطمینان داده که اطلاعات بانکی و پرداختی آنها در امنیت کامل است، ولی داده‌های هک شده از کاربران شامل نام کاربری، رمز عبور، رایانامه، نام و نام‌خانوادگی، شماره موبایل، تاریخ تولد و... می‌شود و نیز اطلاعات بیش از ۵۱ میلیون آدرس کاربران شامل موقعیت GPS، آدرس کامل و شماره تلفن و همچنین اطلاعات بیش از ۱۸۰ میلیون گوشی هوشمند و تبلت مورد استفاده کاربران شامل نوع و مدل، پلتفرم، توکن، فروشگاه نصب برنامه و... هک شده است. این حجم از اطلاعات در ابعاد گوناگون که برخی از آنها در فضای مجازی نیز منتشر شد، در کمترین حالت مسائل حیثیتی و در بیشترین حد ممکن، پیامدهای امنیتی برای این کاربران خواهد داشت.

همانطور که گفتیم، امروزه شرکت‌های بزرگ فناوری در معرض هک متخاصمان قرار دارند. هکرها با نفوذ به سازمانی خصوصی و حتی دولتی، با دزدیدن اطلاعات سعی در سوءاستفاده از آن دارند. با هر میزان از مراقبت‌های فنی، باز هم هیچ سازمانی در مقابل نفوذ ایمن نخواهد بود و احتمال هک همیشه هست. برای نمونه، در یکی از تازه‌ترین هک‌ها، دادگاه ایالتی استرالیا هک شد و محتواهای ضبط شده در جلسات دادگاه به سرقت رفت یا در اقدامی دیگر اطلاعات چندین هزار نفر از شهروندان شامل مشخصات پاسپورتی و بلیط‌های مسافرتی، به دست هکرها افتاده بود. می‌توان گفت، رقابت بین هکرها و سازمان‌ها همیشگی است و سازمانی که از هکرها عقب بیفتد، سرقت اطلاعاتش حتمی است. ما اطلاعات و اخبار سازمان‌های هک شده را فقط می‌شنویم، روزانه هزاران و بلکه میلیون‌ها سازمان از گزند هکرها جان سالم به در می‌برند و اخباری از آنها منتشر نمی‌شود.

در ادبیات امنیت، اطلاعات مفهومی به نام single point of failure (تنها نقطه شکست) وجود دارد. این مفهوم توضیح می‌دهد که هرچقدر داده‌های بیشتری در یک جا جمع شود و تمرکز در ارائه داده‌ها صورت گیرد، هکرها با یک هدف روبه‌رو می‌شوند؛ آن نقطه را که هک‌کننده دیگر به همه داده‌ها هم دسترسی پیدا می‌کند. در امنیت جهانی تلاش می‌شود داده‌ها توزیع‌شده باشند. در واقع، داده‌ها باید در جاهای متفاوتی نگهداری شوند تا با یک حمله و هک از بین نروند. این موضوع فقط به داده محدود نمی‌شود، حتی در سرویس‌ها هم این ظرافت وجود دارد تا اگر یک سرور را هک کردند، کل سیستم از کار نیفتد و کل داده‌ها منتشر نشود. یکی از نکاتی که در شرکت و سازمان‌ها در ایران به درستی رعایت نمی‌شود، انباشت اطلاعات در یک‌جا است و در صورت هک شدن، تمام داده‌ها به سرقت می‌رود.

اسنپ‌فود آخرین شرکت و سازمانی نیست که اطلاعات آن لو رفت و هک و سرقت اطلاعات امری اجتناب‌ناپذیر است؛ اما این به معنای آن نیست که بی‌خیال رعایت شیوه‌نامه‌های امنیتی شویم و راه را برای هکرها باز بگذاریم. با رعایت نکات امنیتی، می‌توان صدمات وارد شده را تا حد ممکن کاهش داد.

منبع: هفته نامه صبح صادق