پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
بررسی پیامدهای ایراناکسس اجباری بهعنوان یک راهکار امنیتی / چارهای موقت در شرایط بحران
ایراناکسس یعنی محدود کردن ترافیک به سمت یک آیپی خاص فقط برای کاربران داخل ایران. این اتفاق معمولاً هنگامی که حملات سایبری صورت میگیرد، اولین راه برای دفع حملات و جلوگیری از تخریب بیشتر داخل شبکه به حساب میآید. پس از سلسلهحملات سایبری علیه سامانههای ایران و تهدید شدنهای پیدرپی زیرساختهای صنعتی و مالی کشور، سیاستگذاران حوزه امنیت تصمیم گرفتند سامانههای مالی و غیرمالی کشور را با وجود تبعات جبرانناپذیرش ایراناکسس کنند و این در حالی است که فعالان حوزه امنیت و صاحبان کسبوکارهایی که حیاتشان به امنیت وابسته شده، بر ناکارآمدی ایراناکسس بهعنوان راهکاری امنیتی اتفاق نظر دارند و معتقدند این راهکار علاوه بر اینکه به خودسانسوری در سطح بینالملل و نابودی اقتصاد دیجیتال کشور منجر میشود، محرک اصلی خروج سرمایه از کشور نیز هست.
نقض ماده ۳ قانون تجارت الکترونیکی
محمدجعفر نعناکار، وکیل دادگستری و فعال حقوق فناوری، ایراناکسس را نقض قانون کشور و حقوق شهروندی میداند و میگوید: «به استناد ماده ۳ قانون تجارت الکترونیکی که در واقع جامعترین قانون حال حاضر در خصوص فعالیتهای سایبری کشور است، در تفسیر این قانون همیشه باید به خصوصیت بینالمللی ضرورت توسعه هماهنگی بین کشورها در کاربرد آن و رعایت حسننیت توجه کرد. این در حالی است که با ایراناکسسکردن شبکه و خدمات داخلی، این ماده قانونی که خود زیرساخت فعالیتهای الکترونیکی است، از مناظر مختلفی نقض میشود، زیرا با ایراناکسسکردن خدمات که توجیه و دلیل محکمهپسندی برای آن وجود ندارد، مانند عدم دسترسی صاحبان حساب بانکی به درگاههای اینترنتی؛ کاربرد خدمات و حسننیت و کمک به توسعه نقض میشود. ایراناکسسکردن به معنای نقض حقوق شهروندی ایرانیان است. این نقض میتواند مخاطرات مالی، جانی و آبرویی را برای شهروندان و تابعان ایجاد کند. کافی است یک ایرانی برای یک سفر سیاحتی، زیارتی یا تجاری از ایران خارج شود. بر اساس ایراناکسسشدن، بسیاری از دسترسی خدمات داخلی او به منابع مالی، درمانی، دولتی و حتی تلویزیونهای داخلی (اخبار و محتوای داخلی) با چالشهای متنوعی مواجه خواهد شد.»
از نگاه او، ایراناکسس که شهروندان را در یک زندان بزرگ داخلی محبوس میکند، بهصورت مستقیم با سیاستهای بینالمللی دسترسی آزاد (Open access) نیز در تناقض آشکار است و این امر خود میتواند تبعات بینالمللی مختلفی را برای ایران ایجاد کند. این مشکلات بینالمللی میتواند خود را در تحریمهای بینالمللی یا محدودسازی خدمات بینالمللی نمایان سازد.
کاهشنیافتن تهدیدات داخلی
به گفته پویا پوراعظم، متخصص فناوری و امنیت اطلاعات، ایراناکسسشدن به معنای مسدودسازی دسترسی به منابع شبکه مانند یک سرویس یا وبسایت از مبداء اینترنت خارج از ایران است. او در اینباره میگوید: «این راهکار عموماً از طرف مراجع حاکمیتی مانند مرکز افتا و پدافند غیرعامل برای کاهش و مقابله با ریسکهای امنیت سایبری در مواقع و بازههای زمانی بحرانی و بهصورت موقتی به کار گرفته شده است. اما در یکی، دو سال اخیر تعداد دفعات این نوع محدودسازی از طریق ارسال بخشنامه یا مکاتبه با ارگانها، سازمانها و شرکتها در بخشهایی مانند بانکها و شرکتهای پرداخت، به یک محدودیت دائمی تبدیل شده است. این راهکار ممکن است بیاثر نباشد و بههرحال تا حدودی احتمال وقوع رخدادهای امنیتی را کاهش دهد، اما تهدیدات داخلی، عموماً از طریق راهکار ایراناکسس به صفر نمیرسد؛ چراکه نفوذ یا دسترسی غیرمجاز نه از شبکه اینترنت خارج از کشور، بلکه از داخل سازمان یا از طریق شرکای تجاری صورت میگیرد.»
او اضافه میکند: «در بررسی جنبههای دیگر این اقدام، دسترسی افراد و ایرانیهای خارج کشور به خدمات داخلی مانند دسترسی به زیرساختهای بانکی و مالی قطع میشود و آنها برای اتصال به شبکه داخل کشور ناچارند از ویپیان بهاصطلاح سرور ایرانی استفاده کنند که این موضوع خود باعث تضعیف امنیت اطلاعات کاربران میشود. در واقع ممکن است اطلاعات حریم خصوصی و محرمانه آنها بهصورت غیرمجاز در اختیار تأمینکنندگان این ویپیانها قرار گیرد.»
پوراعظم معتقد است محدودیت ایراناکسس شاید تنها بهعنوان یک راهکار موقتی، آن هم برای شرایط بحران و زیرساختهای حیاتی، کارساز باشد، ولی واقعیت این است که در بلندمدت و بهعنوان یک راهکار قطعی و همیشگی، مناسب نیست و اثربخشی لازم را نخواهد داشت.
داخلیبودن اکثر حملات سایبری
حامد سنجری، رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه نیز صراحتاً میگوید که تنظیم ایراناکسس قطعاً نمیتواند بهصورت کامل نفوذ یا حمله سایبری را از بین ببرد؛ چهبسا که اکثر حملات سایبری امروزه از داخل شبکههای سازمانها و با آلودهسازی سیستمهای داخلی با APTها و بدافزارها انجام میگیرد، اما این موضوع میتواند برخی حملات سایبری را تا حدود زیادی کاهش دهد؛ حملاتی مانند DDoS یا DOS. او میگوید: «اجرای ایراناکسس باید با بررسی نیاز ذینفعان سامانه، تعداد ذینفعان سامانه در خارج از کشور و دستاوردهای ایراناکسسشدن برای آن سامانه صورت بگیرد.»
او استفاده همزمان از سرویسهای شبکههای اجتماعی فیلترشده و سامانههای ایراناکسسشده را موضوعی میداند که برخی کاربران را از مسدود بودن دسترسی به یک سامانه آزردهخاطر کرده: «کاربر همزمان میخواهد هم به شبکههای اجتماعی دسترسی داشته باشد، هم در سامانه یا وبسایت مورد نظر خود فعالیت کند، اما به علت فیلتر بودن شبکههای اجتماعی از ویپیان یا ابزارهایی برای دور زدن فیلتر استفاده میکند و به علت تغییر آدرس آیپی خود به یک کشور خارجی دیگر، نمیتواند با سامانه مورد نظر خود کار کند. به نظر بنده، مبحث ایراناکسس برای سامانهای که مشتری یا ذینفع خارج از کشور ندارد، باید بهصورت همیشگی وجود داشته باشد، اما در مورد حفظ امنیت برای سامانههای دیگر قطعاً راهکار بلندمدتی بهحساب نمیآید و این یک ضعف امنیتی برای یک شرکت یا سازمان به حساب میآید.»
به اعتقاد سنجری، متولیان سامانهها وظیفه دارند با برطرفسازی مشکلات امنیتی سامانهها در تمامی لایهها و استفاده از ابزارهای امنیتی با تنظیم مناسب و همچنین ارتقای امن زیرساخت ارتباطی، سامانههای خود را در دسترس تمامی ذینفعان در دنیا قرار دهند.
ایراناکسس و عدم امکان شناسایی آیپی هکر
از نظر فرشاد اسماعیلیان، مدیرعامل هاست ایران، ارتباط ایراناکسس با امنیت سایبری صرفاً بهعنوان راحتترین راه جلوگیری از حملات DDoS (ممانعت از دسترسی) میتواند کاربرد داشته باشد؛ ولاغیر. آن هم در شرایطی که سرویسهای DDoS Mitigate وجود دارد و در دسترس ما (دیتاسنترها) هستند و میتوانیم در زمان حملات از این سرویسها استفاده کنیم. او میافزاید: «البته ناگفته نماند که این سرویسها ممکن است کیفیت مدنظر را نداشته باشند یا به دلیل پیچیدگیهای فنی، اصلاً نخواهیم خودمان را وارد این موضوع کنیم که از این حجم حملات جلوگیری کنیم؛ در این حالت راحتترین راه در این حملات، ایراناکسسکردن است. اما در خصوص حملاتی غیر از حملات DDoS یا هک و نفوذ، این موضوع با ایراناکسسکردن برطرف نمیشود و هکر خیلی راحت میتواند به سامانه شما از طریق یکی از سرورهای داخل کشور نفوذ و حمله کند و طبیعتاً این روش مناسبی برای جلوگیری از حملات هکری و برقراری امنیت نیست، ولی بهاشتباه مرسوم شده است.»
به گفته او، ایراناکسس، امکان شناسایی آیپی اصلی هکر را یک مرحله دشوارتر میکند؛ زیرا نهایتاً به یک آیپی داخل کشور میرسیم که احتمالاً همان آیپی مورد سوءاستفاده قرار گرفته و عملاً با این روش نمیشود جلوی حمله را گرفت.
خودسانسوری با ایراناکسس
محسن زادمهر، مدیر ارشد بانکداری دیجیتال بانک خاورمیانه ایراناکسس را فقط در مواقع بحرانی و برای مجموعههایی که از ضعفهای امنیتی خود آگاهاند و اطمینان دارند تیم امنیتشان از پس حملات سایبری برنمیآیند، آن هم بهصورت موقتی قابل اجرا میداند. او در اینباره میگوید: «ارتقای لاگها، سرمایهگذاری روی تیم امنیت، افزایش مانیتورینگها و… اقداماتی هستند که امنیت را افزایش میدهند و میتوانند بهترین جایگزین ایراناکسس باشند. با این راهکارها زیرساختهای امنیتی کسبوکارها تأمین میشود و آنها میتوانند در مواقع آییننامهایشدن ایراناکسس، با ارائه مستندات رگولاتور را در اینباره توجیه کرده و میزان امنیت زیرساختهایشان را اثبات کنند، اما سرمایهگذاریهای حفظ امنیت از سمت کسبوکارها و ارگانها انجام نمیشود و ایراناکسس تا شبکه بانکی کشور انشعاب یافته است.»
او صراحتاً میگوید: «ایراناکسس شاید در کوتاهمدت امنیت را بالا ببرد، اما هیچ مزیت دیگری ندارد و در نهایت به قطع ارتباط با جامعه بینالملل منجر میشود. ما با خودسانسوری، مفهوم دنیای دیجیتال (دسترسی به زیرساختها در هر زمان و مکان) را زیر سؤال میبریم. خودسانسوری برای سازمانها و شرکتها هزینه دارد و به نام امنیت، آنها را از دستیابی به فرصتها و مزیتهای دنیای دیجیتال محروم میکند.»
محرومیت از مزایای درهمتنیدگی بینالمللی
از نظر عباس آشتیانی، مدیرعامل انجمن بلاکچین ایران نیز ایراناکسس یک راهحل تأثیرگذار برای حفظ امنیت سایبری است، اما تبعاتی دارد که مهمترین آن نابودی اقتصاد دیجیتال کشور است: «امروزه خدمات نرمافزاری داخلی پتانسیل و ظرفیت صادراتی بالایی دارند و ما با محدودکردن دسترسیها این ظرفیتها را در حصاری غیرفیزیکی زندانی کرده و کسبوکارها را از دیدهشدن در سطح بینالملل محروم میکنیم و امکان فروش و ارزآوری را به دست خودمان از بین میبریم. در این شرایط اقتصاد دیجیتال یا همان اقتصاد بدون مرز تحتالشعاع قرار میگیرد و ارتباطمان با دنیای بینالملل قطع خواهد شد. این میشود که درآمدزایی کسبوکارها در سراشیبی قرار میگیرد و نیروهای انسانی بهتدریج کشور را ترک میکنند. در واقع ایراناکسس چرخه بستهای است که ایران را از مزایای درهمتنیدگی بینالمللی برای این جنس از داراییها محروم میکند.»
او میگوید: «تبعات ایراناکسس علاوه بر کسبوکارهای مقیم ایران، به ایرانیان ساکن کشورهای خارجی که تا حدودی با ایران تعامل دارند هم آسیب میزند و علاوه بر کاهش نرخ تولید ناخالص داخلی، از تولید ناخالص ملی هم میکاهد. ایراناکسس یک راهکار امنیتی است که معایبش از مزایایی که باید داشته باشد، بیشتر است. یکی دیگر از آسیبهای ایراناکسس، نابودی سئوی سایتهاست. زمانی که دسترسی به سایتها محدود شود، یقیناً موتورهای جستوجوی بینالملل که مهمترین ابزار دسترسی به سرمایه خارج از کشور هستند، رتبه سایت را پایین میآورند و بار دیگر سدی میشویم برای پیشرفت و ارزآوری.»
کوچکشدن بازار مالی ایران
از نگاه حمید حسنآبادی، مشاور ارشد تحول دیجیتال و مدیر سابق فناوری اطلاعات سازمان بورس، ایراناکسس یک راهکار امنیتی است، اما نمیتوان آن را بهترین و مناسبترین راهکار دانست. او در این خصوص میگوید: «ارتقای زیرساختهای امنیتی سازمانها، بهکارگیری تجهیزات امنیتی مانند وباپلیکیشن فیلترها (WAF)، افزایش پهنای باند و پیادهسازی شبکه ملی اطلاعات، بهروز نگهداشتن زیرساختها و مجهز شدن به متدهای جلوگیری از حملات خاص از جمله اقداماتی است که میتواند جایگزین ایراناکسس و تبعات آن شود.»
به گفته حسنآبادی، معضلات ایراناکسس به تمام شاخههای صنعت مالی آسیب وارد کرده و بخش بانکی را هم با معضلاتی روبهرو ساخته، اما این آسیب با آسیبهای واردشده به کاربران بازار سرمایه قابل مقایسه نیست. او میگوید: «سرمایه بخش قابل توجهی از ایرانیان خارج از کشور هم در داخل کشور است و افراد مجبورند با فیلترشکن وارد سایتها شوند که خود استفاده از فیلترشکن در کشورهای اروپایی با مشکلات حقوقی روبهروست. در این شرایط آنها بازار مالی ایران را ترک میکنند و این بازار هر روز کوچکتر خواهد شد. این وضعیت نشانگر ضعف ماست و باعث خروج سرمایه از کشورمان میشود.»
پدافند غیرعامل، افتای ریاستجمهوری، مرکز ماهر و… ارگانهایی هستند که هر کدام بهصورت مجزا تصمیمگیری و سیاستگذاری میکنند. او چندمرجعیبودن مسئله امنیت در ایران را یکی از بزرگترین چالشهای این حوزه معرفی میکند و معتقد است تعدد این مراکز و مشخصنبودن اینکه کدامیک مرجع اصلی است، سازمانها را سردرگم و کار را برای فعالان حوزه امنیت سخت کرده است.
لزوم پیادهسازی امنیت در لایههای گوناگون
به عقیده مجید جعفریان، معاون فناوری اطلاعات بانک سرمایه، ایراناکسسکردن سامانهها کمک چندانی به امنیت آنها نمیکند، اما چنانچه منظور از امنیت، مقابله با نوع خاصی از حمله اینترنتی است، این راهکار میتواند بهصورت کوتاهمدت در مقابله با حملات منع گسترده ارائه سرویس از مبداء خارج از کشور مؤثر باشد: «راهکار قطعی جهت مقابله با حملات DDoS در دنیا وجود ندارد و بهترین راهکار استفاده از تجهیزات DDoS Mitigation در زیرساختهای ارتباطی و در مرحله بعد استفاده از سرویسهای ابری و توزیعشده بهعنوان یک روش کارآمد و تأثیرگذار است.»
جعفریان راهکار بلندمدت جلوگیری از حملات سایبری را پیادهسازی امنیت در لایههای گوناگون هنگام ارائه سرویس و خدمات میداند و در اینباره میگوید: «راهکار طولانیمدت مقابله با این نوع تهدیدات، پیادهسازی سامانههای کاهشدهنده ترافیکهای ناخواسته و مخرب در زیرساخت ترافیک ورودی به داخل کشور است. در این خصوص خدماتی توسط برخی شرکتها ارائه میشود که البته این خدمات در حال حاضر جوابگوی نیاز کسبوکارها نیست و نیازمند سیاستگذاری به همراه سرمایهگذاری و بهبود فنی در زمینه ارائه این خدمات است.»
توهم امنیت
شاهین نورصالحی، مشاور و طراح سیستمهای پیشرفته علم و فناوری نیز درباره مسئله حیاتی لزوم انتخابیبودن در ایراناکسسشدن توضیح میدهد: «ممکن است بخشی از شبکه بانکی به این نتیجه برسد که ایراناکسسشدن برایش بهتر است، اما بخشی دیگر، بهخصوص فینتکها که ریسکپذیری و البته دانش سایبری بالاتری دارند، به توسعه و افزایش دسترسپذیر بودن ریال در سطح بینالمللی تمایل داشته باشند؛ به این ترتیب با اجبار در امور، تیشه دیگری بر اقتصادمان میزنیم.»
ایراناکسس دسترسی افراد خارج از ایران را به حسابهای بانکی و سرمایهها محدود کرده، اما نورصالحی معتقد است ماجرا به قطع دسترسی ایرانیان خارج از کشور به حسابهای بانکی و سرمایهها محدود نمیشود؛ مقوله سرمایهگذاری صرفاً درباره پول نیست و شامل طیف وسیعی از منابع اعم از زمان، انرژی، نیروی کار، سلامت، استهلاک تجهیزات فنی، نرخ ROI پایینتر نسبت به سایر کشورها و… نیز میشود. او میگوید: «از درسهای بزرگی که باید تابهامروز از مشاهده و تحلیل سیر تکاملی رمزارزهایی مانند بیتکوین آموخته باشیم، همین مسئله ساده ارزشمند شدن به شرط دسترسپذیر بودن است. اگر قرار بود بیتکوین فقط در استرالیا قابل دسترس باشد، به چه دردی میخورد؟»
به اعتقاد نورصالحی، سلسلهاتفاقات ناگواری که بدعت «ایراناکسس» میتواند بهصورت دومینووار رقم بزند، فراتر از عدم دسترسی به کدال و حساب بانکی است. او میگوید: «حتی گاهی فکر میکنیم سرمایه ممکن است بهدلیل عدم دسترسی از کشور خارج شود، اما بدتر از آن حالتی است که باعث میشود دیگر هیچ سرمایهای به کشور وارد نشود.»
واداشتن دولت به اجرای ایراناکسس
از نگاه امیرحسین جلالی فراهانی، پژوهشگر حقوق سایبری، ایراناکسس یک نگاه چندوجهی حقوقی دربر دارد که همگی در حکمرانی ملی ریشه دارند. او میگوید: «از نگاه شهروندی دیجیتال، نفوذ انکارناپذیر شبکههای اجتماعی در توسعه و ارتقای کمی و کیفی مناسبات شهروندان ایرانی، فصل نوینی از تعارفات و تعاملات ایرانیان را در پهنه جهانی به تصویر کشیده و ظرفیت قابل توجهی برای تحقق اهداف و آرمانهای نظام مردمسالاری دینی در پرتو اصول و ارزشهای اسلامی ـ ایرانی فراهم آورده است. نیل به چنین دستاورد ارزشمندی در گرو تحکیم و تقویت روزافزون شبکهها و شریانهای ارتباطی ایرانیان با خارجیها خواهد بود. برای نمونه، آنچه امروز از آن با عنوان دیپلماسی سایبری به مثابه رکن سیاست خارجی سایبری کشورها و همچنین کشورمان یاد میشود، بار اصلیاش به دوش شهروندان آگاه و آماده برای حضور در عرصههای مختلف دیجیتال است که زیرساختها، سازوکارها و سامانههای سختافزاری و نرمافزاری آن باید از سوی نظام حاکمیت ملی فراهم آید.»
او میگوید: «پیوند کاربران ایرانی با همتایان خارجی، از گستره تعابیر سوءاستفادهآمیزی همچون حق بر آزادی بیان و آزادی اطلاعات فراتر رفته و به یک تکلیف ملی برای یکایک آنهایی تبدیل میشود که میتوانند در این زمینه نقشآفرینی کنند؛ بنابراین باید برنامهریزی هدفمندی جهت تأثیرگذاری بیشینه آنها صورت پذیرد. شاید مکر دشمنان این ملت بر این مدار قرار گرفته که با واداشتن دولت به اجرای تدابیری همچون ایراناکسس، فاجعه ناتاکسسشدن ایران را، آن هم به دست خودش به بار آورد. رهایی از این فتنه، در کنار مصونماندن از تهدیدها و تعرضهای روزافزون سایبری، در گرو پایبندی تدابیر و تمهیدات کاربردی به اصول و موازین بنیادی ـ راهبردی نظام حکمرانی سایبری جمهوری اسلامی ایران است که با تبیین دقیق و درست آن، از اتخاذ و اجرای راهکارهای مخل و مخرب دارای تبعات فراملی جلوگیری میکند.»