راه پرداخت
رسانه فناوری‌های مالی ایران

 پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشت‌ماه ۱۳۹۰ شروع کرده و اکنون پرمخاطب‌ترین رسانه ایران در زمینه فناوری‌های مالی، بانکداری و پرداخت و استارت‌آپ‌های فین‌تک است.

یادداشت

لزوم باز تعریف امنیت اطلاعات و حریم خصوصی

به‌بهانه هک‌های اطلاعاتی اخیر

نویسنده: امیر جاویدنیا 0

حامد اکبری، پژوهشگر سیاست‌گذاری دولت الکترونیک / در دهه اخیر نشت‌های اطلاعاتی و هک‌های مهم و سازماندهی شده و غیر سازمان‌دهی‌شده بسیاری اتفاق افتاده است و هر بار موجی از بحث‌ها و اقدامات مرتبط با امنیت اطلاعات و لوازم حفظ حریم خصوصی افراد در پلتفرم‌های اینترنتی در پی داشته و هر دفعه سطح ایمنی و آمادگی مدیریت بحران و جبران خسارات ذی‌نفعان افزایش پیدا کرده است.

حال‌آنکه هک اطلاعاتی یا نشتی اطلاعات در سازمان‌ها، پلتفرم‌ها و دولت چه به‌صورت فردی یا سازماندهی شده و چه به‌صورت دستی توسط عواملی در داخل سیستم و یا به‌صورت نرم‌افزاری چیزی نیست که بتوان از آن گریخت البته هم نمی‌توان به‌هیچ‌وجه چشم به روی آن بست. امروزه فناوری‌های اطلاعاتی و ارتباطی به طور فزاینده‌ای مرزهای خود را با زندگی روزمره مردم از بین برده و می‌توان گفت تمامی ارکان و شئون زندگی شخصی و اجتماعی با فناوری‌ها نه‌تنها خو گرفته بلکه آمیخته شده است. در این میانه دوگانه بنیادین «امنیت اطلاعات و افزایش بهره‌مندی» رو در روی یکدیگر قرار می‌گیرند که به عقیده نگارنده نقطه صحیح عزیمت بحث این نقطه است و ما باید بتوانیم تکلیف‌مان را با این دوگانه روشن کنیم.

هر سطح از بهره‌مندی و دریافت و ارائه خدمات، سطحی از به‌اشتراک‌گذاری اطلاعات را لازم دارد و اطلاعات به اشتراک گذاشته شده به‌صورت بالقوه مستعد افشا، دزدی اطلاعات و نشت اطلاعات و هک اطلاعاتی است.

لازم به ذکــر است که این مسئله مختص خدمات اینترنتی و دیجیتـال نیست، بلکه خود دریافت و ارائه خدمات، «به‌اشتراک‌گذاری اطلاعات» را می‌طلبد حتی اگر خدمت موردنظر فیزیکی و حضوری باشد.

چرا از درز و نشت اطلاعات خود نگران هستیم؟

مسئله مبنایی مهم دیگری که باید بادقت آن را بکاویم، این است که بدانیم درز اطلاعات چه هزینه‌ها و ریسک‌هایی برای ذی‌نفعان اطلاعات به اشتراک گذشته شده دارد. پاسخ این سؤال استراتژی ما را در برابر امنیت اطلاعات تعیین می‌کند.

به‌عبارت‌دیگر باید بدانیم در صورت دستبرد و نشت اطلاعاتی چه خطراتی ما را تهدید می‌کند تا بر مبنای آن راه‌حل‌هایی برای محافظت از اطلاعات بسازیم.

در دهه اخیر هک‌ها و سرقت‌های بزرگ اطلاعاتی پیش‌آمده که بخش اعظمی از آنها اصلاً به رسانه‌ها راه پیدا نکرده است و اساساً بی‌اهمیت تلقی می‌شود. بررسی نمونه‌های مهمی از هک اطلاعاتی از سازمان‌ها و شرکت‌های بزرگ مشخص می‌کند که ذی‌نفعان مختلف حادثه، به دلیل ریسک‌ها و خسارات متفاوتی که برایشان در برداشته، مواضع مختلف و راهکارهای متفاوتی را در پیش گرفته‌اند.

در سال ۲۰۱۷ اطلاعات شخصی و اقتصادی بسیاری توسط بدافزار Wanncry هک و باعث یکی از بزرگ‌ترین انتشار اطلاعات تاریخ شد و به اعتماد عمومی آسیب جدی خورد و همچنین خسارات مالی مهمی به کاربران زد.

 در سال ۲۰۱۰ توسط ویروس stuxnet سیستم‌های امنیتی هسته‌ای ایران را هک کردند که افشای آسیب‌پذیری سیستم‌های مرتبط با برنامه‌های هسته‌ای ایران را به دنبال داشت و تشویش جدی در روابط بین‌المللی هسته‌ای ایجاد کرد.

 در سال ۲۰۱۷ شرکت Equifax که در حوزه جمع‌آوری و ارائه اطلاعات اعتباری و مالی افراد (reporting agency) فعالیت می‌کرد مورد یکی از بزرگ‌ترین سرقت‌های اطلاعاتی تاریخ قرار گرفت این حمله سایبری اطلاعات میلیون‌ها آدم از جمله نام، شماره‌تلفن، آدرس، تاریخ تولد، شماره‌سریال کارت‌های اعتباری و رتبه اعتباری افراد سرقت شد.

این حادثه سبب آسیب جدی به اعتماد دیجیتالی مردم شد و ارزش شرکت Equifax به‌شدت سقوط کرد.

در سال ۲۰۲۰ شرکت نرم‌افزاری solar wands که در زمینه ارائه سرویس‌های مدیریت شبکه، و مانیتورینگ اجزای سیستم و امنیت اطلاعات فعالیت می‌کرد هک شد و بسیاری از سازمان‌ها را هم درگیر کرد. از این حمله به‌عنوان یکی از بزرگ‌ترین جاسوسی‌های اطلاعاتی تاریخ نام می‌برند.

 موارد بسیار دیگری هم ازاین‌دست وجود دارد که گزارش‌های آن کم‌وبیش در رسانه‌ها منتشر شده و در دسترس است.

از خسارات سوءاستفاده‌هایی که در این هک‌ها و سرقت‌های اطلاعاتی رخ‌داده، طبیعتاً نمی‌توان گزارش دقیقی در دست داشت و اساساً قابل‌پیگیری و ردیابی چندانی هم نیستند و هزینه پیگیری و کشف جرم‌های این چنینی بسیار گزاف است. اما به طور معمول سوءاستفاده‌هایی که از اطلاعات به سرقت رفته می‌توان برشمرد عبارت است از:

  • جعل هویت
  • تخلف و تقلب (مخصوصاً مالی)
  • افشای و انتشار اطلاعات، بدون رضایت افراد
  • کشف اسرار سازمان و جاسوسی اقتصادی
  • خرابکاری
  • مبارزه سیاه اقتصادی تبلیغاتی
  • فروش اطلاعات تجاری بدون اجازه
  • آزار حکومت (پیگردهای قانونی)

پیداست که ما با گروه‌های متفاوتی از «ذی‌نفعان و ذی‌نفعان ضرر بین» مواجهیم که هر کدام سهمی از فرایند، آسیب و بهره‌مندی از اطلاعات هک شده دارند.

به‌عبارت‌دیگر افراد حقیقی و حقوقی متفاوتی از هک شدن اطلاعات سود یا ضرر می‌بینند بدیهی است که تحلیل و دسته‌بندی ذی‌نفعان عدم امنیت اطلاعاتی، ابزار دیگری برای فاهمه موضوع امنیت اطلاعات و حریم خصوصی است.

حال می‌توان دریافت که سوءاستفاده‌های احتمالی هک شدن و سرقت یا نشت اطلاعات که عناوینش در فوق رفت، هر کدام می‌توانند ذی‌نفعان حقیقی و حقوقی متعدد و متفاوت همچنین ذی‌نفعان ضرر بین حقیقی و حقوقی مختلف و چندگانه داشته باشند.

 برای روشن‌شدن بحث، موضوع امکان «جعل هویت» در صورت هک‌های اطلاعاتی و یا نشت‌های اطلاعاتی را بررسی می‌کنیم. وقتی یک پلتفرمی مثل یکی از سامانه‌های دولتی، یا اسنپ فود، یا هر پلتفرم دیگری دچار هک اطلاعاتی می‌شود عملاً یک نسخه از اطلاعات در دست ذی‌نفعان و مجریان هک قرار می‌گیرد. سارقین یا سو استفاده‌کنندگان می‌توانند در فرایندهای دیگری از اطلاعات افراد برای ایجاد هویت جعلی جدید استفاده کنند و به تخلف و تقلب بپردازند. کدام ذی‌نفعان از این تخلف و تقلب ضرر می‌بینند؟

اول کاربران که در سرویس‌های دیگر با نام و هویت آنها تخلف و تقلب یا جرمی اتفاق بیفتد.

دوم، پلتفرم میزبان اطلاعات که دچار افت اعتماد دیجیتالی و وفاداری مشتریان خواهد شد طبعاً ارزش اقتصادی‌اش به‌شدت سقوط خواهد کرد.

سوم در ادامه کاهش ارزش شرکت به سهام‌داران شرکت اعم از کارکنان سهام‌دار و سهام‌داران دیگر ضربه می‌زند.

 چهارم سایر نقش‌آفرینان، شرکت‌هایی که به نحوی با شرکت قربانی در زنجیره ارزش اطلاعاتی مرتبط بوده‌اند.

پنجم شرکت‌هایی که به نحوی از کاهش اعتماد و دیجیتال ناشی از اتفاق ضربه ببینند.

 ششم دولت و دولت الکترونیک، بدین صورت که بسیاری از پلتفرم‌های ارائه خدمات به نحوی با پایگاه‌های داده سرویس‌های پایه کشوری مثل، احراز هویت، ارتباط با شبکه بانکی و غیره متصل بوده در این گونه سرقت‌ها تا حد زیادی داده‌های دولتی نیز می‌تواند مورد سوءاستفاده قرار بگیرد.

 حال باید دقیق‌تر بررسی کنیم که دامنه این آسیب‌ها چیست و چگونه می‌توان از خسارات آن کاست؟

بسیاری از تئوری‌های امنیت اطلاعات و حریم خصوصی اساساً توجهی به الزام به‌اشتراک‌گذاری داده‌ها به‌عنوان پیش‌نیاز دریافت خدمات ندارند. به این معنا که اصل به‌اشتراک‌گذاری یک سری از اطلاعات و ارائه بسیاری از مدارک در رابطه‌های حقوقی و فرایندهای اداری و خرید محصولات و خدمات، یک ضرورت است و اگر در جایی تصمیم بگیریم این اطلاعات را به اشتراک نگذاریم نخواهیم توانست خدمت موردنظر را بگیریم. اساساً این تهدید ارتباطی به دیجیتال و اینترنتی بودن خدمات ندارد حال‌آنکه اکنون کمتر موضوعی در هر سطحی از خدمات می‌توان سراغ گرفت که بر بستر دیجیتال نباشد.

تئوری‌های کلاسیک امنیت اطلاعات و حریم خصوصی اساساً نگرانی مردم را در هک شدن‌ها و سرقت‌های اطلاعاتی هدف قرار داده و به‌نوعی ناخواسته امنیت اطلاعات و حریم خصوصی در مقابل بهره‌مندی و کاربری بهتر قرار گرفته است. حال‌آنکه به دلایل متعدد اساساً اطلاعات به اشتراک گذاشته و در فرایندها نه‌چندان مهم هستند و همچنین دسترسی به آنها چنان گران و عجیب‌وغریب نیست!

امروزه به دلیل آشفتگی‌های تنظیم‌گری و قانون‌گذاری پیرامون حکمرانی اطلاعات و داده‌ها شرایطی را به وجود آورده که دسترسی به اطلاعات افراد در هر سطحی با روش‌های بسیار ابتدایی مقدور است. به‌عنوان‌مثال اطلاعاتی که در سرقت‌های اطلاعاتی (هک) اسنپ فود به‌دست‌آمده را می‌توان به‌صورت کامل‌تر مثلاً از طریق ارتباط با مدرسه‌های فرزندان یک خانواده ازآنجاکه پروتکل‌های امنیت اطلاعات مدارس چندان محکم نیست به دست آورد و بسیاری مثال‌های دیگر. یادمان نرود هر جا از ما مدرکی خواسته‌اند، ارائه داده‌ایم!

بسیاری از اطلاعات و داده‌های فردی ما نزد انواع و اقسام شرکت‌ها، فروشگاه‌ها، مؤسسات کرایه اتومبیل، آژانس‌های مسافرتی، مدارس و آموزشگاه‌ها و دانشگاه‌ها بانک‌ها مؤسسات اعتباری و اعتبارسنجی، همه ادارات دولتی و غیره موجود و ثبت است.

باید پذیرفت که هم اکنون هم همه اطلاعات و داده‌های شخصی ما به دلایل گوناگون به‌سادگی در دسترس بوده و مستعد هرگونه تخلف و تقلب به نام ما است.

دلیل اصلی نگرانی ما از افشا و یا در دسترس قرارگرفتن اطلاعاتمان چیست؟

 در اولین حدس‌ها، موضوع تقلب و تخلف‌های مالی است که به‌نوعی به اموال ما آسیب بزند و یا جرائمی را باعث شود که ما را از نظر حقوقی با خود درگیر کند. به‌عبارت‌دیگر اگر بتوان از اطلاعات شخصی ما با روش‌هایی سوءاستفاده‌های مالی انجام داد، ما در ریسک قرار می‌گیریم.

جریان تکنولوژی‌های اطلاعاتی و ارتباطی بر اساس همین الگوها و احتمالات، پیش‌بینی‌های امنیتی در فرایندها انجام داده که از تخلف و تقلب احتمالی جلوگیری کند. مثل احراز هویت آنلاین بایو متریک، پیامک تأیید OTP ایمیل تأیید، انواع CHAPTA برای جلوگیری از تخلفات که توسط ربات‌ها انجام می‌شود.

سیستم‌ها در تعریف فرایندها، سعی می‌کنند راه را بر هر گونه تخلف و تقلبی ببندند. در واقع سیستم‌ها از حیث امنیت، همه کاربران را متخلف فرض کرده و سعی در کشف تقلب آنها دارند که به طور طبیعی از کیفیت، راحتی و سرعت دریافت خدمت می‌کاهد؛ بنابراین بر فرض که بهترین اطلاعات ما هم مورد دستبرد قرار بگیرد، عملاً باید وارد فرایندهایی بشود که پیشاپیش شکست تخلف و تقلب محرز است. وقتی خود فرد بدون گذراندن مراحل امنیتی نتواند فرایند را به پایان برساند قطعاً فرد یا افراد دیگری هم نمی‌توانند. لازم به ذکر است نسبت احتمال وجود تخلف و تقلب (نه خطا) در بیشتر فرایندها نسبت به کل خدمات بسیار جزئی است؛ ولی سطح امنیتی که یک سیستم پشتیبانی می‌کنند تماماً با فرض اینکه همگی متخلف هستند طراحی شده و هدف کشف و متوقف کردن آنهاست.

با همه این اوصاف باز هم احتمال سوءاستفاده باقی می‌ماند که با خلاقیت بزهکاران و متخلفین مرتبط است و این نزاع تا همیشه ادامه خواهد داشت. دعوای بین افزایش امنیت و افزایش سطح بهره‌مندی و سادگی این موضوع در مورد افشای اطلاعات شخصی که افراد مایل به انتشار و دسترسی به آن نیستند هم صدق می‌کند.

مثلاً در مورد اطلاعات پزشکی و بیماری و سلامت افراد و یا اطلاعات اموال منقول و غیرمنقول غالب افراد علاقه‌مند نیستند این اطلاعات در صورت دستبردها و هک‌های اطلاعاتی در دسترس دیگران قرار گیرد حال‌آنکه تصور ما از انتشار اطلاعات شخصی باید قدری تصحیح و تدقیق گردد. در صورت وقوع حمله اطلاعاتی و هک اطلاعاتی انبوهی از اطلاعات غالباً نامنظم (کدگذاری شده و دسته‌بندی شده با صلاحدید مدیر امنیت مجموعه) به دست می‌آید که پیداکردن و انتشار داده‌های منظم یک یا چند کاربر مشخص اساساً مستلزم انجام فرایند و هزینه دیگری است و اگر اطلاعات ارزشمندی از فرد خاصی، مدنظر نباشد اساساً انتشار این اطلاعات ریسک و خطری برای قربانی ندارد. حال‌آنکه به‌محض افشای دستبرد اطلاعاتی دوباره سیستم‌ها اقدام به ترمیم زیرساخت‌های امنیتی خودکرده و فرایند به روال سابق برمی‌گردد. اساساً ذات اطلاعات به‌گونه‌ای است که هم در شرایط خاصی ارزشمند است و هم برای کاربردهای مختلف ارزش‌های متفاوتی دارد و این ارزش‌ها دائماً در حال تغییر است. به همین دلیل است که بلافاصله بعد از هک‌ها و دستبردهای اطلاعاتی ظرف مدت کوتاهی گاهی کمتر از چند ساعت تیم به حالت اولیه و به مدار استفاده برمی‌گردد و گویی هیچ مشکلی نبوده است و به فراموشی سپرده می‌شود.

اگر هم قصد دسترسی به اطلاعات فرد خاصی درزمان خاصی وجود داشته باشد دسترسی‌های اطلاعاتی بسیار ارزان‌تری، باز هم به دلیل حکمرانی معوج نگهداری داده‌ها، موجود است.از دیگر مواردی که هک‌های اطلاعاتی ریسک‌هایی را برای کاربران ایجاد می‌کند فروش اطلاعات رفتار و سابقه تجاری موجود در آن سیستم است. به‌عبارت‌دیگر وقتی سیستم اطلاعاتی یک مجموعه هک می‌شود، سابقه از فعالیت‌های افراد در آن پلتفرم در دسترس سارقین خواهد بود که اگر ارزش تجاری داشته باشد می‌تواند موضوع فروش بدون اجازه اطلاعات به شرکت‌هایی که کارهای تبلیغاتی انجام می‌دهند باشد.

از جمله استفاده‌های غیرقانونی از اطلاعات تلاش مجموعه‌هایی است که با دسترسی به اطلاعات شما اقدام به فروش محصولات و خدمات دیگری به شما کنند که در بسیاری از اوقات واجد تماس‌ها و پیام‌ها آزارنده است و البته گاهی هم از حیث جامعه هدف دقیقی که انتخاب شده، محصولات و خدمات ارزشمندی هم برای افراد فراهم شده که نه‌تنها آن دسترسی اطلاعاتی به ضرر افراد تمام نشده بلکه، تولیدکنندگان خدمات و محصولات توانستند بدون دردسر، پیشنهاد فروش محصولاتشان را دقیقاً به مشتریان بالقوه مرتبط با آن محصول و خدمت معرفی کنند.

تنها موضوع غیراخلاقی و مهم در این میان این است که انتفاع فروش این اطلاعات به جیب سارقین این داده‌ها می‌رود که می‌بایست این هزینه به خود افراد صاحب اطلاعات داده شده و از آنها اجازه دسترسی به داده‌های مصرفی تجاری آنها به هدف ارائه بهترین و دقیق‌ترین پیشنهادها (OFFER) گرفته می‌شد.

به نظر می‌رسد «انتشار اطلاعات تجاری» بیهوده بسیار بزرگ‌نمایی شده است!

 در نظریه‌های کلاسیک، نگرانی از آزار و تعقیب حکومت‌های تمامیت‌خواه هم از مواردی است که ریسک شهروندان را در زمان هک‌های اطلاعاتی افزایش می‌دهد. این مورد هم باید مورد واکاوی دقیق قرار بگیرد تا صورت مشکل مشخص‌تر شود.

مگر چه تعداد افراد متخلف از (نگاه حکومت) در میان کاربران یک پلتفرم حضور دارند که به هزینه کردی چنان گزاف برای هک‌های اطلاعاتی بی ارزد؟

حال‌آنکه در حکومت‌های توتالیتر، به دلیل تمرکزگرایی ساختاری عامدانه که برای امکان نظارت و کنترل، بدون مرز به شهروندان طراحی شده دسترسی به اطلاعات افراد مورد شک حاکمیت بسیار راحت‌تر و ارزان‌تر، انجام‌شدنی است که بسط آن از ظرفیت این یادداشت نگارنده خارج است!

از دیگر ذی‌نفعان ضرربین در موضوع هک اطلاعاتی، شرکت‌ها، سازمان‌ها و پلتفرم‌هایی هستند که از این دستبرد اطلاعاتی ضرر می‌کنند. در درجه اول افت اعتماد الکترونیک به آن مجموعه نه از حیث اینکه اطلاعات ذی‌ارزش به سرقت رفته، بلکه به دلیل احتمال وجود خطاهای دیگر در آن سرویس است.

موضوع دوم کشف اسرار سازمان و جاسوسی اقتصادی از سازمان‌ها که در واقع‌نگرانی اصلی مجموعه‌ها هست، دزدیدن مشتریان یک پلتفرم از رایج‌ترین اسامی است که می‌توان برای چنین انتشارات اطلاعاتی ذکر کرد. به‌عبارت‌دیگر مجموعه‌هایی که اطلاعاتشان هک‌شده نگران‌اند که مشتریان آنها توسط رقبا دزدیده شود که البته راه‌های بسیار ارزان‌تری مثل دستبردهای داخل مجموعه برای رسیدن به این هدف موجود است.

نکته حائز اهمیت این است دستبرد به یک مجموعه اطلاعات واحد می‌تواند طرف‌های ضرر بین متعدد داشته باشد هر کدام به دلیلی که شرح آن رفت.

«خرابکاری» از پی دسترسی به اطلاعات یک مجموعه، سازمان، پلتفرم و غیره از دیگر نگرانی‌های موضوع‌های هک‌های اطلاعاتی است که مهم‌ترین حالت آن هم می‌تواند شمرده شود.

سارقین اطلاعات می‌توانند در پی دسترسی به سامانه‌های اطلاعاتی و نفوذ به آنها خرابکاری‌هایی از جمله: پرداخت‌های بیجا، برهم‌ریختن فرایندها، پاک‌کردن اطلاعات و ازبین‌بردن اکانت‌ها و سفارش‌های تقلبی، و غیره همه این‌ها ریسک‌های مهمی است که تا چند ساعت بعد از خرابکاری که سیستم به پایداری مجدد برسد می‌تواند رخ دهد.

ازاین‌حیث مدیریت شهری و حاکمیت کشورها هم می‌توانند جزء ذی‌نفعان ضرر بین این حوادث قلمداد گردند.

خرابکاری‌های مالی، حمل‌ونقلی، اداری و غیره می‌تواند تبعاتی امنیتی برای اداره شهر و حکومت ایجاد کند که در صورت همدلی شهروندان با مدیریت شهری و کلان کشور، به دلیل تمایل عمومی به برقرارشدن نظم مجدد برای دریافت خدمات، این ریسک هم قابل‌کنترل است.

در سند GDPR (general Data protection regulation) که از مهم‌ترین اسناد مرجع در حوزه امنیت اطلاعات و حریم خصوصی است، در چند ماده تنظیم‌گری‌هایی را اعلام نموده که غالباً پیرامون اتخاذ تدابیر لازم برای ایجاد امنیت کافی و لازم متناسب بااهمیت داده‌ها و لزوم اطلاع‌رسانی مسئولانه و سریع در زمان افشای اطلاعات به ذی‌نفعان است.

در آنچه شرح آن رفت سعی شد که ابعاد و مخاطرات و تبعات هک‌های اطلاعاتی را برای ذی‌نفعان و ضرر بی‌نان مختلف آن بررسی کنیم و همچنان بر لزوم ایجاد زیرساخت‌های امن برای انتقال، ثبت و نگهداری اطلاعات پای می‌فشاریم.

اما و هزار اما، آیا راه‌حل پیشگیری از این مخاطرات تنها به تمرکز بر زیرساخت‌های امنیت اطلاعات و افزایش مراحل کنترل و نظارت منحصر و خلاصه می‌شود؟

همان‌طور که پیش‌تر اشاره شد همواره افزایش سطح امنیت در فرایندها به کاهش سهولت استفاده و بهره‌مندی منجر می‌شود. حال‌آنکه رسالت اول و اصلی سیستم‌های امنیت اطلاعات به صفر رسانیدن میزان امکان تخلف و تقلب با حداکثرکردن کنترل‌ها و نظارت‌هاست.

صورت‌مسئله شفاف است

امنیت اطلاعات سهولت در کاربری با چه نسبتی به هم پیش بروند که بهترین حالت ممکن باشد؟

اولین پاسخ، متصل‌کردن نسبت میان امنیت و سهولت با نگاه بر اساس ارزش اطلاعات موجود در آن فرایند یا مجموعه است که پاسخی کلاسیک و صحیح است.

حال‌آنکه با همین متد، تاکنون، نقطه بهینه‌ای برای این مسئله پیدا نشده و معمولاً یکی فدای دیگری شده است. بسیاری از فرایندها به دلیل سطح امنیتی و پیچیدگی بالا عملاً از کارایی افتاده و در بسیاری دیگر به دلیل سادگی بیش از حد فرایند هیچ دستورالعمل امنیت و اطلاعات رعایت نشده است.

 ازآنجاکه داده‌ها و اطلاعات دارای ذی‌نفعان متعدد در فرایندها و پلتفرم‌ها هستند و هر کدام از آنها با معیار متفاوتی ارزش اطلاعات و ریسک ناشی از سرقت آن را ارزیابی می‌کنند و همین امر باعث اختلاف‌نظر در تعیین نظام امنیت اطلاعات و سهولت کاربردی کاربری خواهد بود که نمونه‌های مختلف آن را در قانون‌گذاری‌های تنظیم‌گری‌های پی‌درپی و بعضی‌اوقات متناقض شاهدیم.

از سوی دیگر غالب فرایندها برای دریافت هر خدمتی، گروگان دریافت اطلاعات و مدارکی از کاربر هست که در صورت خودداری از این «به‌اشتراک‌گذاری مدارک و اطلاعات» عملاً نمی‌توان از خدمت موردنظر استفاده کرد. اینجا هم بحث ایجاد مکانیسم‌های نظارتی حداکثری برای به‌حداقل‌رساندن ریسک مختلف و تقلب است.

دوگانه بغرنجی است. هم نمی‌توان از امنیت اطلاعات چشم پوشید و هم نمی‌توان بدون نظارت‌های زیاد و دریافت مدارک و اطلاعات و استعلام از انواع API دولتی، خدمتی را به جامعه عرضه کرد؛ چون احتمالاً فضای مساعدی برای سو استفاده بزهکاران خواهد بود. امروزه فناوری‌های اطلاعاتی و ارتباطی و هوش مصنوعی امکان بهره‌مندی از راه‌حل‌های

بسیار خلاقانه و ساده‌تری را برای مسائل موجود در اکوسیستم اطلاعاتی توسعه داده‌اند که بسیاری از آنها پلتفرم‌هایی ساده و امن در حوزه‌های مهم اطلاعاتی و دیجیتال مثل فناوری‌های مالی FINTECH فناوری‌های قانونی REGTECH و فناوری‌های نظارتی بانک مرکزی SUP TECH هستند.

نمی‌توان از نشت و هک‌های اطلاعاتی در امان ماند

به نظر می‌رسد در روزگار کنونی که بهره‌مندی‌های اقتصادی و اجتماعی و حقوقی در گرو استفاده از سامانه‌های دیجیتال قرار گرفته و به‌اشتراک‌گذاری سطحی از اطلاعات ضروری می‌نماید باید تعریف دقیق‌تر و روزامدتری از امنیت اطلاعات و حریم شخصی به دست دهیم تا بتوان بر اساس آن چارچوب حداکثر بهره‌مندی دیجیتال و حداکثر امنیت اطلاعاتی را در کنار هم جمع و به جامعه ارائه کنیم. فراموش نکنیم آن دسته از اطلاعات افراد ارزشمند است که یا بتوان بدون اجازه آنها از آن بهره‌ای برد و یا با تخلف بتوان به منافع آنها آسیب زد و یا افشای آن برای آنها تهدیدی باشد.

وگرنه نام و نام خانوادگی و بسیاری از اوراق هویتی هزاران بار در هزاران جای مختلف اطلاعات و تصاویر آنها موجود و در دسترس است و همان‌طور که قبلاً بحث شد با نظارت‌های فرایندی اساساً ریسک قابل‌اعتنایی بر دردسترس‌بودن این اطلاعات مترتب نیست.

بااین‌حال فناوری‌های دیجیتال مبتنی بر الگوهای هوش مصنوعی مثل احراز هویت بایو متریک آنلاین چنان با سرعت درحال‌توسعه هستند که اساساً به‌زودی موضوع اظهار اطلاعات و ارائه مدارک و صحت سنجی و احراز هویت آنلاین و اعتبارسنجی کاربر منتفی خواهد شد و بسیاری دیگر از زنجیره‌های اطلاعات شخصی بر بستر انواع LEGAL INTRACTION TECHها فناوری‌های ترابردپذیری حقوقی داده‌ای و DATA MOBILITY با اتکا به تکنولوژی بلاک‌چین بلاموضوع خواهد شد و همگی با اسکن یک کیو آر با دوربین پشت‌گوشی و احراز هویت توسط چهره فرد از طریق دوربین سلفی گوشی در کسری از ثانیه انجام خواهد شد. بدون اینکه مطلقاً اطلاعاتی به ارائه‌کننده خدمات تحویل شود.

بدین ترتیب حداکثر سهولت کاربری با حداکثر امنیت اطلاعاتی در دسترس خواهد بود. ابتدا این روش ممکن است به مذاق پلتفرم‌های ارائه سرویس خوش نیاید که افراد اطلاعاتشان را به پلتفرم اظهار نکنند. چون استفاده‌هایی غیر از دلائلی که برای دریافت اطلاعات کاربران ارائه کردند، مدنظر آنهاست که باز می‌توانند در صورت تمایل و ایجاد ارزش‌افزوده، با خود فرد وارد تعامل شده و بابت اظهار اطلاعاتی که به هر نحوی برای پلتفرم آورده‌ای دارد، امکان‌هایی فراهم و یا هزینه‌اش را پرداخت کنند.

اهمیت بازتعریف امنیت اطلاعات و حریم شخصی اطلاعاتی با چارچوب پیشنهادی که ارائه شد از آن روست که امروزه تکنولوژی‌های اطلاعاتی و ارتباطی با حضور در همه شئون زندگی اجتماعی و اقتصادی و همچنین مکانیزم‌ها و سیاست‌های عمومی و دولتی، هر آن سوژه‌ای اعم از اشخاص حقیقی (شهروندان) و یا کسب‌وکارها و حتی سازمان‌های دولتی که در مدار دسترسی‌ها و ارتباطات داده‌محور و اطلاعاتی نباشد را عملاً کاربر و مشتری متخلف تلقی می‌کند و اساساٌ از بهره‌مندی‌های عمومی محروم می‌کند. پس باید تمام‌وکمال حضور اطلاعاتی و داده‌ای در تمامی عرصه‌ها داشت به هدف بهره‌مندی بیشتر از خدمات و قوانین.

امیر جاویدنیا

امیر جاویدنیا هستم. در دانشگاه آزاد رشته عمران خوانده‌ام. از سال ۱۴۰۰ وارد صنعت مالی و بانکی شدم و به‌عنوان کارشناس و سپس تولیدکننده محتوا و پژوهشگر با مؤسسه‌های مختلف همکاری کردم. از دی‌ماه ۱۴۰۲ به کارخانه نوآوری رسانه راه‌‌کار پیوستم و هم‌اکنون خبرنگار پایگاه خبری راه پرداخت هستم.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.