دنیا درحال بهره‌گیری از چه راه‌حل‌هایی برای جلوگیری از افشای اطلاعات است؟

نویسنده: راه پرداخت در تاریخ 8 اردیبهشت سال 1398 ساعت 13:27 0

حامد اکبری، پژوهشگر سیاست‌گذاری دولت الکترونیک و فضای مجازی / هفته گذشته خبری مبنی بر درز اطلاعات تعدادی از افراد شرکت حمل‌ونقل معروفی، فضای خبری کشور علی‌الخصوص فضای مجازی را مدتی به خود مشغول کرد.

این خبر که به نظر نگارنده ارزش خبری چندانی ندارد و نگرانی پیرامون ضربه خوردن به یکی از استارت‌آپ‌های موفق کشور بیشتر است، بر آنم داشت تا در حوالی موضوع درز اطلاعات و به‌طور کلی امنیت اطلاعات، سؤالات و همچنین راه‌حل‌هایی که مدت‌هاست دنیا درحال بهره‌گیری از آن است را در این یادداشت مطرح کنم و از آنجایی که پیگیری وزیر موفق و جوان فناوری اطلاعات به گسترش بیشتر این خبر دامن زد، شاید بتوان به نوعی مخاطب این یادداشت را حوزه سیاست‌گذاری و نظارت بر فضای داده‌ای کشور تلقی کرد.

طرح مسأله

با چند عنوان و طرح مسأله می‌توان بحث را به پیش برد و سرانجام راه‌حل‌هایی را اندیشید. اول اینکه روش‌های حفاظت داده‌ها و اطلاعات در کسب‌وکارهای اینترنتی و استارت‌آپ‌ها کمابیش مشابه هم هست که هشدار وزیر فناوری اطلاعات به نوعی همین نگرانی را نشانه رفته بود.

دوم اینکه عناوین دیتا و اطلاعات دریافت اطلاعات در استارت‌آپ و کسب‌وکارها هم کمابیش مشابه هم هستند و عملاً نه ریز اطلاعات افراد بلکه شاید صرفاً شماره تماس آن‌ها برای مقاصد تجاری موضوع این نشت اطلاعاتی مورد توجه باشد که البته هم‌چنان فرض یک سوءقصد اعتباری و برندی محل نظر جدی است.

سوم اینکه هیچ اطمینانی از ارزش اطلاعاتی اینگونه اطلاعات و داده‌ها که نزد کسب‌وکارهاست وجود ندارد. چراکه به طور کلی هیچ روش راستی‌آزمایی و روزآمدگری و پالایش اطلاعات در میان کسب‌وکارهای مجازی جا نیافتاده و نمی‌توان به قطعیت گفت اساساً این اطلاعات صحیح و با کیفیت و روزآمد باشد. فلذا جوسازی رسانه‌ای احتمالاً می‌تواند بیش از هدف قرار دادن اهمال و سهل‌انگاری کسب‌وکار موردنظر به آن‌ها ضربه تجاری و اعتباری بزند و البته شرکت مزبور می‌تواند از همین فرصت خبری برای اطلاع‌رسانی بیشتر و برندینگ و تولید محتوا بر روی تغییرات امنیتی فعالیت خود مانور کرده و راهی طولانی را در زمان نسبتاً کوتاهی طی کند.

چهارم اینکه، بیشتر اطلاعاتی که از اعضا و مشتریان یک کسب‌وکار اینترنتی اخذ می‌شود، اساساً برای فرایند احراز هویت گرفته می‌شود که به دلایل متعددی هیچکدام از آن‌ها نه به کار احراز هویت می‌آید و نه اساساً قابلیت صحت‌سنجی و راستی‌آزمایی آن نزد استارت‌آپ‌ها وجود دارد.

پنجم اینکه، اطلاعات دریافت شده از مخاطبین کسب‌وکارهای اینترنتی، بیشتر به دلیل تشکیل پرونده‌هایی است که یا جزیی از قوانین تجارت و کار کشور است و یا جزء الزامات نهادهای مختلف نظارتی است که آن هم عملاً از وحدت رویه و توضیح و تفسیر روشنی برخوردار نبوده و در مواقع بروز fraud و یا تقلب و بروز مشکل هم آن اطلاعات مورد استفاده نبوده و روش‌های استعلام اطلاعات حقوقی مورد نیاز محاکم، از مجاری دیگری تأمین و مورد تأیید است.

ششم اینکه، در زمان دریافت اطلاعات از اعضا و مخاطبان یک استارت‌آپ، هیچ راه‌حل و روش جایگزینی برای آن، نه برای کسب‌وکار و نه برای اعضا وجود ندارد.

و هفتم اینکه، هر دیتا و اطلاعاتی مادامی که بر روی فضای اینترنت مستقر هستند به طور تئوریک و فنی، ظرفیت نشت‌پذیری و هک شدن دارند. به هرحال هر قفلی یک سازنده دارد و همین دلیل برای احتمالات برشمردهٔ فوق کافیست!

راه حل

حال که تا حدی ابعاد مسأله برای خواننده محترم روشن شد وقت آن است که بتوان در حوالی راه‌حل‌های احتمالی موجود برای این مسأله و مسائل مشابه پرسه زد و بنابر موضوع، بهترین راه‌حل‌ها را عملیاتی کرد.

راه‌حل اول که از سطح پایین‌ترین‌هاست، افزایش سطح امنیت نهادی و تکنیکال کسب‌وکارهای اینترنتی است که قطعاً کسب‌وکارها هر روز با آن درگیرند و خود را در آن‌ها مسلح‌تر می‌کنند.

راه حل دوم، بلاکچینی کردن ثبت و ضبط اطلاعات موجود است. الگوی بلاکچین به‌طور خلاصه و بسیار غیر فنی عبارت است از توزیع کردن اطلاعات بر روی سرورها و پذیرنده‌های متعدد است و به عبارتی غیر متمرکز کردن الگوی ثبت اطلاعات است که عملاً هک کردن و نشت فنی اطلاعاتی را منتفی می‌کند. البته بلاکچین در ابتدای مسیر توسعه‌ای خود در دنیا و در مراحل بسیار ابتدایی و غیر تجاری در ایران قرار دارد.

راه‌حل سوم، نوعی روش سیاست‌گذارانه است که محدودیت اخذ اطلاعات از کاربران را هدف قرار داده است. قانون اروپایی GDPR بر این مسأله تمرکز کرده و کسب‌وکارها و مراکز خدمات دهنده اینترنتی را در گرفتن اطلاعات از کاربران به شدت محدود می‌کند و فقط اجازه اخذ اطلاعات ضروری از کاربران را داده و همچنین مدیریت و اجازه هرگونه استفاده و انتقال و تغییر اطلاعات را فقط در اختیار صاحب اطلاعات یعنی کاربر موردنظر قرار می‌دهد و در سیاست مکمل دیگری ارائه‌دهندگان سرویس‌ها را موظف به حذف و معدوم کردن هرگونه اطلاعاتی از کاربران می‌کند که به هر دلیلی مدتی بلااستفاده باقی می‌ماند. جالب است که قوانین سخت‌گیرانه و جریمه‌های سرسام‌آوری منتظر نقض‌کنندگان این قانون در اروپا است.

راه‌حل چهارم، نوعی همکاری اطلاعاتی و داده‌ای است که کسب‌وکارها می‌توانند از آن‌ها استفاده کنند. به‌عنوان مثال اگر فرایند ثبت‌نام و احراز هویت در یک کسب‌وکار، A باشد (هم از نظر کمی و هم از نظر کیفی) و فرایند ثبت‌نام و احراز هویت کسب‌وکار دیگری، B باشد و اگر A ≤ B باشد معقول است، کسب‌وکار اول، اعضا و دارندگان اکانت کسب‌وکار دوم را به مثابه فرایند احراز هویت، پذیرفته و از دریافت مجدد اطلاعات کاربران بپرهیزد. این راه‌حل که به همکاری نهادی و فنی کسب‌وکارها نیاز دارد حجم زیادی از احتمال نشت‌های اطلاعاتی را می‌کاهد.

راه‌حل پنجم و عملیاتی‌ترین راه‌حل موجود در دنیا که به نوعی الگوی توسعه‌یافته راه‌حل چهارم است استفاده از ظرفیت UID (Unique Identification) یا «هویت یکتای دیجیتال» است. UID(Uniqe Identification) یا «هویت یکتای دیجیتال» این ظرفیت را ایجاد می‌کند که کاربران برای استفاده از سرویس‌های مختلف بر بستر فضای مجازی به هیچ عنوان اطلاعات خود را به‌طور چندباره در سایت‌ها و اپلیکیشن‌های کسب‌وکارهای مختلف ارائه نکرده و صرفاً با استفاده از سرویس UID (هویت یکتای دیجیتال) استفاده کنند.

لازم به ذکر است استفاده از ظرفیت UID و هرگونه هویت یکتای دیجیتال، هم از ریسک اطلاعاتی کاربران می‌کاهد و هم هزینه عملیاتی توسعه فرایند احراز هویت و همچنین حفاظت و نگهداری از اطلاعات کاربران را برای صاحبان کسب‌وکارها حذف و یا به شدت می‌کاهد. استفاده از هویت دیجیتال در دنیا از موفق‌ترین روش‌های مقابله با نشت اطلاعاتی است.