راه پرداخت
رسانه فناوری‌های مالی ایران

بررسی پیامدهای ایران‌اکسس اجباری به‌عنوان یک راهکار امنیتی / چاره‌ای موقت در شرایط بحران

ایران‌اکسس یعنی محدود کردن ترافیک به سمت یک آی‌پی خاص فقط برای کاربران داخل ایران. این اتفاق معمولاً هنگامی که حملات سایبری صورت می‌گیرد، اولین راه برای دفع حملات و جلوگیری از تخریب بیشتر داخل شبکه به حساب می‌آید. پس از سلسله‌‌حملات سایبری علیه سامانه‌های ایران و تهدید شدن‌های پی‌درپی زیرساخت‌های صنعتی و مالی کشور، سیاست‌گذاران حوزه امنیت تصمیم گرفتند سامانه‌های مالی و غیرمالی کشور را با وجود تبعات جبران‌ناپذیرش ایران‌اکسس کنند و این در حالی است که فعالان حوزه امنیت و صاحبان کسب‌وکارهایی که حیات‌شان به امنیت وابسته شده، بر ناکارآمدی ایران‌اکسس به‌‌عنوان راهکاری امنیتی اتفاق ‌نظر دارند و معتقدند این راهکار علاوه بر اینکه به خودسانسوری در سطح بین‌الملل و نابودی اقتصاد دیجیتال کشور منجر می‌شود، محرک اصلی خروج سرمایه از کشور نیز هست.


نقض ماده ۳ قانون تجارت الکترونیکی


محمدجعفر نعناکار، وکیل دادگستری و فعال حقوق فناوری، ایران‌اکسس را  نقض قانون کشور و حقوق شهروندی می‌داند و می‌گوید: «به استناد ماده ۳ قانون تجارت الکترونیکی که در واقع جامع‌ترین قانون حال حاضر در خصوص فعالیت‌های سایبری کشور است، در تفسیر این قانون همیشه باید به خصوصیت بین‌المللی ضرورت توسعه هماهنگی بین کشورها در کاربرد آن و رعایت حسن‌نیت توجه کرد. این در حالی است که با ایران‌اکسس‌کردن شبکه و خدمات داخلی، این ماده ‌قانونی که خود زیرساخت فعالیت‌های الکترونیکی است، از مناظر مختلفی نقض می‌شود، زیرا با ایران‌اکسس‌کردن خدمات که توجیه و دلیل محکمه‌پسندی برای آن وجود ندارد، مانند عدم دسترسی صاحبان حساب بانکی به درگاه‌های اینترنتی؛ کاربرد خدمات و حسن‌نیت و کمک به توسعه نقض می‌شود. ایران‌اکسس‌کردن به معنای نقض حقوق شهروندی ایرانیان است. این نقض می‌تواند مخاطرات مالی، جانی و آبرویی را برای شهروندان و تابعان ایجاد کند. کافی است یک ایرانی برای یک سفر سیاحتی، زیارتی یا تجاری از ایران خارج شود. بر اساس ایران‌اکسس‌شدن، بسیاری از دسترسی خدمات داخلی او به منابع مالی، درمانی، دولتی و حتی تلویزیون‌های داخلی (اخبار و محتوای داخلی)‌ با چالش‌های متنوعی مواجه خواهد شد.»

از نگاه او، ایران‌اکسس که شهروندان را در یک زندان بزرگ داخلی محبوس می‌کند، به‌صورت مستقیم با سیاست‌های بین‌المللی دسترسی آزاد (Open access) نیز در تناقض آشکار است و این امر خود می‌تواند تبعات بین‌المللی مختلفی را برای ایران ایجاد کند. این مشکلات بین‌المللی می‌تواند خود را در تحریم‌های بین‌المللی یا محدودسازی خدمات بین‌المللی نمایان سازد.


کاهش‌نیافتن تهدیدات داخلی


به گفته پویا پوراعظم، متخصص فناوری و امنیت اطلاعات، ایران‌اکسس‌شدن به معنای مسدودسازی دسترسی به منابع شبکه مانند یک سرویس یا وب‌سایت از مبداء اینترنت خارج از ایران است. او در این‌باره می‌گوید: «این راهکار عموماً از طرف مراجع حاکمیتی مانند مرکز افتا و پدافند غیرعامل برای کاهش و مقابله با ریسک‌های امنیت سایبری در مواقع و بازه‌های زمانی بحرانی و به‌صورت موقتی به کار گرفته شده است. اما در یکی، دو سال اخیر تعداد دفعات این نوع محدودسازی از طریق ارسال بخشنامه یا مکاتبه با ارگان‌ها، سازمان‌ها و شرکت‌ها در بخش‌هایی مانند بانک‌ها و شرکت‌های پرداخت، به یک محدودیت دائمی تبدیل شده است. این راهکار ممکن است بی‌اثر نباشد و به‌هرحال تا حدودی احتمال وقوع رخدادهای امنیتی را کاهش دهد، اما تهدیدات داخلی، عموماً از طریق راهکار ایران‌اکسس به صفر نمی‌رسد؛ چراکه نفوذ یا دسترسی غیرمجاز نه از شبکه اینترنت خارج از کشور، بلکه از داخل سازمان یا از طریق شرکای تجاری صورت می‌گیرد.»

او اضافه می‌کند: «در بررسی جنبه‌های دیگر این اقدام، دسترسی افراد و ایرانی‌های خارج کشور  به خدمات داخلی مانند دسترسی به زیرساخت‌های بانکی و مالی قطع می‌شود و آنها برای اتصال به شبکه داخل کشور ناچارند از وی‌پی‌ان به‌اصطلاح سرور ایرانی استفاده کنند که این موضوع خود باعث تضعیف امنیت اطلاعات کاربران می‌شود. در واقع ممکن است اطلاعات حریم خصوصی و محرمانه آنها به‌صورت غیرمجاز در اختیار تأمین‌کنندگان این وی‌پی‌ان‌ها قرار گیرد.»

پوراعظم معتقد است محدودیت ایران‌اکسس شاید تنها به‌عنوان یک راهکار موقتی، آن هم برای شرایط بحران و زیرساخت‌های حیاتی، کارساز باشد، ولی واقعیت این است که در بلندمدت و به‌عنوان یک راهکار قطعی و همیشگی، مناسب نیست و اثربخشی لازم را نخواهد داشت.


داخلی‌بودن اکثر حملات سایبری 


حامد سنجری، رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه نیز صراحتاً می‌گوید که  تنظیم ایران‌اکسس قطعاً نمی‌تواند به‌صورت کامل نفوذ یا حمله سایبری را از بین ببرد؛ چه‌بسا که اکثر حملات سایبری امروزه از داخل شبکه‌های سازمان‌ها و با آلوده‌سازی سیستم‌های داخلی با APT‌ها و بدافزار‌ها انجام می‌گیرد، اما این موضوع می‌تواند برخی حملات سایبری را تا حدود زیادی کاهش دهد؛ حملاتی مانند  DDoS یا DOS. او می‌گوید: «اجرای ایران‌اکسس باید با بررسی نیاز ذی‌نفعان سامانه، تعداد ذی‌نفعان سامانه در خارج از کشور و دستاورد‌های ایران‌اکسس‌شدن برای آن سامانه صورت بگیرد.»

او استفاده همزمان از سرویس‌های شبکه‌های اجتماعی فیلترشده و سامانه‌های ایران‌اکسس‌شده را موضوعی می‌داند که برخی کاربران را از مسدود بودن دسترسی به یک سامانه آزرده‌خاطر کرده: «کاربر همزمان می‌خواهد هم به شبکه‌های اجتماعی دسترسی داشته باشد، هم در سامانه یا وب‌سایت مورد نظر خود فعالیت کند، اما به علت فیلتر بودن شبکه‌های اجتماعی از وی‌پی‌ان یا ابزارهایی برای دور زدن فیلتر استفاده می‌کند و به علت تغییر آدرس آی‌پی خود به یک کشور خارجی دیگر، نمی‌تواند با سامانه مورد نظر خود کار کند. به نظر بنده، مبحث ایران‌اکسس برای سامانه‌ای که مشتری یا ذی‌نفع خارج از کشور ندارد، باید به‌صورت همیشگی وجود داشته باشد، اما در مورد حفظ امنیت برای سامانه‎‌های دیگر قطعاً راهکار بلندمدتی به‌حساب نمی‌آید و این یک ضعف امنیتی برای یک شرکت یا سازمان به ‌حساب می‌آید.»

به اعتقاد سنجری، متولیان سامانه‌ها وظیفه دارند با برطرف‌سازی مشکلات امنیتی سامانه‌ها در تمامی لایه‌ها و استفاده از ابزار‌های امنیتی با تنظیم مناسب و همچنین ارتقای امن زیرساخت ارتباطی، سامانه‌های خود را در دسترس تمامی ذی‌نفعان در دنیا قرار دهند.


ایران‌اکسس و عدم امکان شناسایی آی‌پی هکر


از نظر فرشاد اسماعیلیان، مدیرعامل هاست ایران، ارتباط ایران‌اکسس با امنیت سایبری صرفاً به‌عنوان راحت‌ترین راه جلوگیری از حملات DDoS (ممانعت از دسترسی) می‌تواند کاربرد داشته باشد؛ ولاغیر. آن هم در شرایطی که سرویس‌های DDoS Mitigate وجود دارد و در دسترس ما (دیتاسنترها) هستند و می‌توانیم در زمان حملات از این سرویس‌ها استفاده کنیم. او می‌افزاید: «البته ناگفته نماند که این سرویس‌ها ممکن است کیفیت مدنظر را نداشته باشند یا به دلیل پیچیدگی‌های فنی، اصلاً نخواهیم خودمان را وارد این موضوع کنیم که از این حجم حملات جلوگیری کنیم؛ در این حالت راحت‌ترین راه در این حملات، ایران‌اکسس‌کردن است. اما در خصوص حملاتی ‌غیر از حملات DDoS یا هک و نفوذ، این موضوع با ایران‌اکسس‌کردن برطرف نمی‌شود و هکر خیلی راحت می‌تواند به سامانه شما از طریق یکی از سرورهای داخل کشور نفوذ و حمله کند و طبیعتاً این روش مناسبی برای جلوگیری از حملات هکری و برقراری امنیت نیست، ولی به‌اشتباه مرسوم شده است.»

به گفته او، ایران‌اکسس، امکان شناسایی آی‌پی اصلی هکر را یک مرحله دشوارتر می‌کند؛ زیرا نهایتاً به یک آی‌پی داخل کشور می‌رسیم که احتمالاً همان آی‌پی مورد سوءاستفاده قرار گرفته و عملاً با این روش نمی‌شود جلوی حمله را گرفت.


خودسانسوری با ایران‌اکسس


محسن زادمهر، مدیر ارشد بانکداری دیجیتال بانک خاورمیانه ایران‌اکسس را فقط در مواقع بحرانی و برای مجموعه‌هایی که از ضعف‌های امنیتی خود آگاه‌اند و اطمینان دارند تیم امنیت‌شان از پس حملات سایبری برنمی‌آیند، آن هم به‌صورت موقتی قابل ‌اجرا می‌داند. او در این‌باره می‌گوید: «ارتقای لاگ‌ها، سرمایه‌گذاری روی تیم امنیت، افزایش مانیتورینگ‌ها و… اقداماتی هستند که امنیت را افزایش می‌دهند و می‌توانند بهترین جایگزین‌ ایران‌اکسس باشند. با این راهکارها زیرساخت‌های امنیتی کسب‌وکارها تأمین می‌شود و آنها می‌توانند در مواقع آیین‌نامه‌ای‌شدن ایران‌اکسس، با ارائه مستندات رگولاتور را در این‌باره توجیه کرده و میزان امنیت زیرساخت‌هایشان را اثبات کنند، اما سرمایه‌گذاری‌های حفظ امنیت از سمت کسب‌وکارها و ارگان‌ها انجام نمی‌شود و ایران‌اکسس تا شبکه بانکی کشور انشعاب یافته است.»

او صراحتاً می‌گوید: «ایران‌اکسس شاید در کوتاه‌مدت امنیت را بالا ببرد، اما هیچ مزیت دیگری ندارد و در نهایت به قطع ارتباط با جامعه بین‌الملل منجر می‌شود. ما با خودسانسوری، مفهوم دنیای دیجیتال (دسترسی به زیرساخت‌ها در هر زمان و مکان) را زیر سؤال می‌بریم. خودسانسوری برای سازمان‌ها و شرکت‌ها هزینه دارد و به نام امنیت، آنها را از دستیابی به فرصت‌ها و مزیت‌های دنیای دیجیتال محروم می‌کند.»


محرومیت از مزایای درهم‌تنیدگی بین‌المللی


از نظر عباس آشتیانی، مدیرعامل انجمن بلاکچین ایران نیز ایران‌اکسس یک راه‌حل تأثیرگذار برای حفظ امنیت سایبری است، اما تبعاتی دارد که مهم‌ترین آن نابودی اقتصاد دیجیتال کشور است: «امروزه خدمات نرم‌افزاری داخلی پتانسیل و ظرفیت صادراتی بالایی دارند و ما با محدودکردن دسترسی‌ها این ظرفیت‌ها را در حصاری غیرفیزیکی زندانی کرده و کسب‌وکارها را از دیده‌شدن در سطح بین‌الملل محروم می‌کنیم و امکان فروش و ارزآوری را به دست خودمان از بین می‌بریم. در این شرایط اقتصاد دیجیتال یا همان اقتصاد بدون مرز تحت‌الشعاع قرار می‌گیرد و ارتباط‌مان با دنیای بین‌الملل قطع خواهد شد. این می‌شود که درآمدزایی کسب‌وکارها در سراشیبی قرار می‌گیرد و نیروهای انسانی به‌تدریج کشور را ترک می‌کنند. در واقع ایران‌اکسس چرخه بسته‌ای است که ایران را از مزایای درهم‌تنیدگی بین‌المللی برای این جنس از دارایی‌ها محروم می‌کند.»

او می‌گوید: «تبعات ایران‌اکسس علاوه بر کسب‌وکارهای مقیم ایران، به ایرانیان ساکن کشورهای خارجی که تا حدودی با ایران تعامل دارند هم آسیب می‌زند و علاوه بر کاهش نرخ تولید ناخالص داخلی، از تولید ناخالص ملی هم می‌کاهد. ایران‌اکسس یک راهکار امنیتی است که معایبش از مزایایی که باید داشته باشد، بیشتر است. یکی دیگر از آسیب‌های ایران‌اکسس، نابودی سئوی سایت‌هاست. زمانی که دسترسی به سایت‌ها محدود شود، یقیناً موتورهای جست‌وجوی بین‌الملل که مهم‌ترین ابزار دسترسی به سرمایه خارج از کشور هستند، رتبه سایت را پایین می‌آورند و بار دیگر سدی می‌شویم برای پیشرفت و ارزآوری.»


کوچک‌شدن بازار مالی ایران


از نگاه حمید حسن‌آبادی، مشاور ارشد تحول دیجیتال و مدیر سابق فناوری اطلاعات سازمان بورس، ایران‌اکسس یک راهکار امنیتی است، اما نمی‌توان آن را بهترین و مناسب‌ترین راهکار دانست. او در این خصوص می‌گوید: «ارتقای زیرساخت‌های امنیتی سازمان‌ها، به‌کارگیری تجهیزات امنیتی مانند وب‌اپلیکیشن فیلترها (WAF)، افزایش پهنای باند و پیاده‌سازی شبکه ملی اطلاعات، به‌روز نگه‌داشتن زیرساخت‌ها و مجهز شدن به متدهای جلوگیری از حملات خاص از جمله اقداماتی است که می‌تواند جایگزین ایران‌اکسس و تبعات آن شود.»

به گفته حسن‌آبادی، معضلات ایران‌اکسس به تمام شاخه‌های صنعت مالی آسیب وارد کرده و بخش بانکی را هم با معضلاتی روبه‌رو ساخته، اما این آسیب با آسیب‌های واردشده به کاربران بازار سرمایه قابل مقایسه نیست. او می‌گوید: «سرمایه بخش قابل ‌توجهی از ایرانیان خارج از کشور هم در داخل کشور است و افراد مجبورند با فیلترشکن وارد سایت‌ها شوند که خود استفاده از فیلترشکن در کشور‌های اروپایی با مشکلات حقوقی روبه‌روست. در این شرایط آنها بازار مالی ایران را ترک می‌کنند و این بازار هر روز کوچک‌تر خواهد شد. این وضعیت نشانگر ضعف ماست و باعث خروج سرمایه‌ از کشورمان می‌شود.»

پدافند غیرعامل، افتای ریاست‌جمهوری، مرکز ماهر و… ارگان‌هایی هستند که هر کدام به‌صورت مجزا تصمیم‌گیری و سیاست‌گذاری می‌کنند. او چندمرجعی‌بودن مسئله امنیت در ایران را یکی از بزرگ‌ترین چالش‌های این حوزه معرفی می‌کند و معتقد است تعدد این مراکز و مشخص‌نبودن اینکه کدام‌‌یک مرجع اصلی است، سازمان‌ها را سردرگم و کار را برای فعالان حوزه امنیت سخت کرده است.


لزوم پیاده‌سازی امنیت در لایه‌های گوناگون


به عقیده مجید جعفریان، معاون فناوری اطلاعات بانک سرمایه، ایران‌اکسس‌کردن سامانه‌ها کمک چندانی به امنیت آنها نمی‌کند، اما چنانچه منظور از امنیت، مقابله با نوع خاصی از حمله اینترنتی است، این راهکار می‌تواند به‌صورت کوتاه‌مدت در مقابله با حملات منع گسترده ارائه سرویس از مبداء خارج از کشور مؤثر باشد: «راهکار قطعی جهت مقابله با حملات DDoS در دنیا وجود ندارد و بهترین راهکار استفاده از تجهیزات DDoS Mitigation در زیرساخت‌های ارتباطی و در مرحله بعد استفاده از سرویس‌های ابری و توزیع‌شده به‌عنوان یک روش کارآمد و تأثیرگذار است.»

جعفریان راهکار بلندمدت جلوگیری از حملات سایبری را پیاده‌سازی امنیت در لایه‌های گوناگون هنگام ارائه سرویس و خدمات می‌داند و در این‌باره می‌گوید: «راهکار طولانی‌مدت مقابله با این نوع تهدیدات، پیاده‌سازی سامانه‌های کاهش‌دهنده ترافیک‌های ناخواسته و مخرب در زیرساخت ترافیک ورودی به داخل کشور است. در این ‌خصوص خدماتی توسط برخی شرکت‌ها ارائه می‌شود که البته این خدمات در حال حاضر جوابگوی نیاز کسب‌وکارها نیست و نیازمند سیاست‌گذاری به همراه سرمایه‌گذاری و بهبود فنی در زمینه ارائه این خدمات است.»


توهم امنیت


شاهین نورصالحی، مشاور و طراح سیستم‌های پیشرفته علم و فناوری نیز درباره مسئله حیاتی لزوم انتخابی‌بودن در ایران‌اکسس‌شدن توضیح می‌دهد: «ممکن است بخشی از شبکه بانکی به این نتیجه برسد که ایران‌اکسس‌شدن برایش بهتر است، اما بخشی دیگر، به‌خصوص فین‌تک‌ها که ریسک‌پذیری و البته دانش سایبری بالاتری دارند، به توسعه و افزایش دسترس‌پذیر بودن ریال در سطح بین‌المللی تمایل داشته باشند؛ به ‌این ‌ترتیب با اجبار در امور، تیشه دیگری بر اقتصادمان می‌زنیم.»

ایران‌اکسس دسترسی افراد خارج از ایران را به حساب‌های بانکی و سرمایه‌ها محدود کرده، اما نورصالحی معتقد است ماجرا به قطع دسترسی ایرانیان خارج از کشور به حساب‌های بانکی و سرمایه‌ها محدود نمی‌شود؛ مقوله سرمایه‌گذاری صرفاً درباره پول نیست و شامل طیف وسیعی از منابع اعم از زمان، انرژی، نیروی کار، سلامت، استهلاک تجهیزات فنی، نرخ ROI پایین‌تر نسبت به سایر کشورها و… نیز می‌شود. او می‌گوید: «از درس‌های بزرگی که باید تابه‌امروز از مشاهده و تحلیل سیر تکاملی رمزارزهایی مانند بیت‌کوین آموخته باشیم، همین مسئله ساده ارزشمند شدن به ‌شرط دسترس‌پذیر بودن است. اگر قرار بود بیت‌کوین فقط در استرالیا قابل‌ دسترس باشد، به چه دردی می‌خورد؟»

به اعتقاد نورصالحی،‌ سلسله‌اتفاقات ناگواری که بدعت «ایران‌اکسس» می‌تواند به‌صورت دومینووار رقم بزند، فراتر از عدم دسترسی به کدال و حساب بانکی است. او می‌گوید: «حتی گاهی فکر می‌کنیم سرمایه ممکن است به‌دلیل عدم دسترسی از کشور خارج شود، اما بدتر از آن حالتی است که باعث می‌شود دیگر هیچ سرمایه‌ای به کشور وارد نشود.»


واداشتن دولت به اجرای ایران‌اکسس


از نگاه امیرحسین جلالی فراهانی، پژوهشگر حقوق سایبری، ایران‌اکسس یک نگاه چندوجهی حقوقی دربر دارد که همگی در حکمرانی ملی ریشه دارند. او می‌گوید: «از نگاه شهروندی دیجیتال، نفوذ انکارناپذیر شبکه‌های اجتماعی در توسعه و ارتقای کمی و کیفی مناسبات شهروندان ایرانی، فصل نوینی از تعارفات و تعاملات ایرانیان را در پهنه جهانی به تصویر کشیده و ظرفیت قابل ‌توجهی برای تحقق اهداف و آرمان‌های نظام مردم‌سالاری دینی در پرتو اصول و ارزش‌های اسلامی ـ ایرانی فراهم آورده است. نیل به چنین دستاورد ارزشمندی در گرو تحکیم و تقویت روزافزون شبکه‌ها و شریان‌های ارتباطی ایرانیان با خارجی‌ها خواهد بود. برای نمونه، آنچه امروز از آن با عنوان دیپلماسی سایبری به ‌مثابه رکن سیاست خارجی سایبری کشورها و همچنین کشورمان یاد می‌شود، بار اصلی‌اش به دوش شهروندان آگاه و آماده برای حضور در عرصه‌های مختلف دیجیتال است که زیرساخت‌ها، سازوکارها و سامانه‌های سخت‌افزاری و نرم‌افزاری آن باید از سوی نظام حاکمیت ملی فراهم آید.»

او می‌گوید: «پیوند کاربران ایرانی با همتایان خارجی، از گستره تعابیر سوءاستفاده‌آمیزی همچون حق بر آزادی بیان و آزادی اطلاعات فراتر رفته و به یک تکلیف ملی برای یکایک آنهایی تبدیل می‌شود که می‌توانند در این زمینه نقش‌آفرینی کنند؛ بنابراین باید برنامه‌ریزی هدفمندی جهت تأثیرگذاری بیشینه آنها صورت پذیرد. شاید مکر دشمنان این ملت بر این مدار قرار گرفته که با واداشتن دولت به اجرای تدابیری همچون ایران‌اکسس، فاجعه نات‌اکسس‌شدن ایران را، آن‌ هم به دست خودش به بار آورد. رهایی از این فتنه، در کنار مصون‌ماندن از تهدیدها و تعرض‌های روزافزون سایبری، در گرو پایبندی تدابیر و تمهیدات کاربردی به اصول و موازین بنیادی ـ راهبردی نظام حکمرانی سایبری جمهوری اسلامی ایران است که با تبیین دقیق و درست آن، از اتخاذ و اجرای راهکارهای مخل و مخرب دارای تبعات فراملی جلوگیری می‌کند.»

منبع عصر تراکنش
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.