پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
حامد اکبری، پژوهشگر سیاستگذاری دولت الکترونیک / در دهه اخیر نشتهای اطلاعاتی و هکهای مهم و سازماندهی شده و غیر سازماندهیشده بسیاری اتفاق افتاده است و هر بار موجی از بحثها و اقدامات مرتبط با امنیت اطلاعات و لوازم حفظ حریم خصوصی افراد در پلتفرمهای اینترنتی در پی داشته و هر دفعه سطح ایمنی و آمادگی مدیریت بحران و جبران خسارات ذینفعان افزایش پیدا کرده است.
حالآنکه هک اطلاعاتی یا نشتی اطلاعات در سازمانها، پلتفرمها و دولت چه بهصورت فردی یا سازماندهی شده و چه بهصورت دستی توسط عواملی در داخل سیستم و یا بهصورت نرمافزاری چیزی نیست که بتوان از آن گریخت البته هم نمیتوان بههیچوجه چشم به روی آن بست. امروزه فناوریهای اطلاعاتی و ارتباطی به طور فزایندهای مرزهای خود را با زندگی روزمره مردم از بین برده و میتوان گفت تمامی ارکان و شئون زندگی شخصی و اجتماعی با فناوریها نهتنها خو گرفته بلکه آمیخته شده است. در این میانه دوگانه بنیادین «امنیت اطلاعات و افزایش بهرهمندی» رو در روی یکدیگر قرار میگیرند که به عقیده نگارنده نقطه صحیح عزیمت بحث این نقطه است و ما باید بتوانیم تکلیفمان را با این دوگانه روشن کنیم.
هر سطح از بهرهمندی و دریافت و ارائه خدمات، سطحی از بهاشتراکگذاری اطلاعات را لازم دارد و اطلاعات به اشتراک گذاشته شده بهصورت بالقوه مستعد افشا، دزدی اطلاعات و نشت اطلاعات و هک اطلاعاتی است.
لازم به ذکــر است که این مسئله مختص خدمات اینترنتی و دیجیتـال نیست، بلکه خود دریافت و ارائه خدمات، «بهاشتراکگذاری اطلاعات» را میطلبد حتی اگر خدمت موردنظر فیزیکی و حضوری باشد.
چرا از درز و نشت اطلاعات خود نگران هستیم؟
مسئله مبنایی مهم دیگری که باید بادقت آن را بکاویم، این است که بدانیم درز اطلاعات چه هزینهها و ریسکهایی برای ذینفعان اطلاعات به اشتراک گذشته شده دارد. پاسخ این سؤال استراتژی ما را در برابر امنیت اطلاعات تعیین میکند.
بهعبارتدیگر باید بدانیم در صورت دستبرد و نشت اطلاعاتی چه خطراتی ما را تهدید میکند تا بر مبنای آن راهحلهایی برای محافظت از اطلاعات بسازیم.
در دهه اخیر هکها و سرقتهای بزرگ اطلاعاتی پیشآمده که بخش اعظمی از آنها اصلاً به رسانهها راه پیدا نکرده است و اساساً بیاهمیت تلقی میشود. بررسی نمونههای مهمی از هک اطلاعاتی از سازمانها و شرکتهای بزرگ مشخص میکند که ذینفعان مختلف حادثه، به دلیل ریسکها و خسارات متفاوتی که برایشان در برداشته، مواضع مختلف و راهکارهای متفاوتی را در پیش گرفتهاند.
در سال ۲۰۱۷ اطلاعات شخصی و اقتصادی بسیاری توسط بدافزار Wanncry هک و باعث یکی از بزرگترین انتشار اطلاعات تاریخ شد و به اعتماد عمومی آسیب جدی خورد و همچنین خسارات مالی مهمی به کاربران زد.
در سال ۲۰۱۰ توسط ویروس stuxnet سیستمهای امنیتی هستهای ایران را هک کردند که افشای آسیبپذیری سیستمهای مرتبط با برنامههای هستهای ایران را به دنبال داشت و تشویش جدی در روابط بینالمللی هستهای ایجاد کرد.
در سال ۲۰۱۷ شرکت Equifax که در حوزه جمعآوری و ارائه اطلاعات اعتباری و مالی افراد (reporting agency) فعالیت میکرد مورد یکی از بزرگترین سرقتهای اطلاعاتی تاریخ قرار گرفت این حمله سایبری اطلاعات میلیونها آدم از جمله نام، شمارهتلفن، آدرس، تاریخ تولد، شمارهسریال کارتهای اعتباری و رتبه اعتباری افراد سرقت شد.
این حادثه سبب آسیب جدی به اعتماد دیجیتالی مردم شد و ارزش شرکت Equifax بهشدت سقوط کرد.
در سال ۲۰۲۰ شرکت نرمافزاری solar wands که در زمینه ارائه سرویسهای مدیریت شبکه، و مانیتورینگ اجزای سیستم و امنیت اطلاعات فعالیت میکرد هک شد و بسیاری از سازمانها را هم درگیر کرد. از این حمله بهعنوان یکی از بزرگترین جاسوسیهای اطلاعاتی تاریخ نام میبرند.
موارد بسیار دیگری هم ازایندست وجود دارد که گزارشهای آن کموبیش در رسانهها منتشر شده و در دسترس است.
از خسارات سوءاستفادههایی که در این هکها و سرقتهای اطلاعاتی رخداده، طبیعتاً نمیتوان گزارش دقیقی در دست داشت و اساساً قابلپیگیری و ردیابی چندانی هم نیستند و هزینه پیگیری و کشف جرمهای این چنینی بسیار گزاف است. اما به طور معمول سوءاستفادههایی که از اطلاعات به سرقت رفته میتوان برشمرد عبارت است از:
- جعل هویت
- تخلف و تقلب (مخصوصاً مالی)
- افشای و انتشار اطلاعات، بدون رضایت افراد
- کشف اسرار سازمان و جاسوسی اقتصادی
- خرابکاری
- مبارزه سیاه اقتصادی تبلیغاتی
- فروش اطلاعات تجاری بدون اجازه
- آزار حکومت (پیگردهای قانونی)
پیداست که ما با گروههای متفاوتی از «ذینفعان و ذینفعان ضرر بین» مواجهیم که هر کدام سهمی از فرایند، آسیب و بهرهمندی از اطلاعات هک شده دارند.
بهعبارتدیگر افراد حقیقی و حقوقی متفاوتی از هک شدن اطلاعات سود یا ضرر میبینند بدیهی است که تحلیل و دستهبندی ذینفعان عدم امنیت اطلاعاتی، ابزار دیگری برای فاهمه موضوع امنیت اطلاعات و حریم خصوصی است.
حال میتوان دریافت که سوءاستفادههای احتمالی هک شدن و سرقت یا نشت اطلاعات که عناوینش در فوق رفت، هر کدام میتوانند ذینفعان حقیقی و حقوقی متعدد و متفاوت همچنین ذینفعان ضرر بین حقیقی و حقوقی مختلف و چندگانه داشته باشند.
برای روشنشدن بحث، موضوع امکان «جعل هویت» در صورت هکهای اطلاعاتی و یا نشتهای اطلاعاتی را بررسی میکنیم. وقتی یک پلتفرمی مثل یکی از سامانههای دولتی، یا اسنپ فود، یا هر پلتفرم دیگری دچار هک اطلاعاتی میشود عملاً یک نسخه از اطلاعات در دست ذینفعان و مجریان هک قرار میگیرد. سارقین یا سو استفادهکنندگان میتوانند در فرایندهای دیگری از اطلاعات افراد برای ایجاد هویت جعلی جدید استفاده کنند و به تخلف و تقلب بپردازند. کدام ذینفعان از این تخلف و تقلب ضرر میبینند؟
اول کاربران که در سرویسهای دیگر با نام و هویت آنها تخلف و تقلب یا جرمی اتفاق بیفتد.
دوم، پلتفرم میزبان اطلاعات که دچار افت اعتماد دیجیتالی و وفاداری مشتریان خواهد شد طبعاً ارزش اقتصادیاش بهشدت سقوط خواهد کرد.
سوم در ادامه کاهش ارزش شرکت به سهامداران شرکت اعم از کارکنان سهامدار و سهامداران دیگر ضربه میزند.
چهارم سایر نقشآفرینان، شرکتهایی که به نحوی با شرکت قربانی در زنجیره ارزش اطلاعاتی مرتبط بودهاند.
پنجم شرکتهایی که به نحوی از کاهش اعتماد و دیجیتال ناشی از اتفاق ضربه ببینند.
ششم دولت و دولت الکترونیک، بدین صورت که بسیاری از پلتفرمهای ارائه خدمات به نحوی با پایگاههای داده سرویسهای پایه کشوری مثل، احراز هویت، ارتباط با شبکه بانکی و غیره متصل بوده در این گونه سرقتها تا حد زیادی دادههای دولتی نیز میتواند مورد سوءاستفاده قرار بگیرد.
حال باید دقیقتر بررسی کنیم که دامنه این آسیبها چیست و چگونه میتوان از خسارات آن کاست؟
بسیاری از تئوریهای امنیت اطلاعات و حریم خصوصی اساساً توجهی به الزام بهاشتراکگذاری دادهها بهعنوان پیشنیاز دریافت خدمات ندارند. به این معنا که اصل بهاشتراکگذاری یک سری از اطلاعات و ارائه بسیاری از مدارک در رابطههای حقوقی و فرایندهای اداری و خرید محصولات و خدمات، یک ضرورت است و اگر در جایی تصمیم بگیریم این اطلاعات را به اشتراک نگذاریم نخواهیم توانست خدمت موردنظر را بگیریم. اساساً این تهدید ارتباطی به دیجیتال و اینترنتی بودن خدمات ندارد حالآنکه اکنون کمتر موضوعی در هر سطحی از خدمات میتوان سراغ گرفت که بر بستر دیجیتال نباشد.
تئوریهای کلاسیک امنیت اطلاعات و حریم خصوصی اساساً نگرانی مردم را در هک شدنها و سرقتهای اطلاعاتی هدف قرار داده و بهنوعی ناخواسته امنیت اطلاعات و حریم خصوصی در مقابل بهرهمندی و کاربری بهتر قرار گرفته است. حالآنکه به دلایل متعدد اساساً اطلاعات به اشتراک گذاشته و در فرایندها نهچندان مهم هستند و همچنین دسترسی به آنها چنان گران و عجیبوغریب نیست!
امروزه به دلیل آشفتگیهای تنظیمگری و قانونگذاری پیرامون حکمرانی اطلاعات و دادهها شرایطی را به وجود آورده که دسترسی به اطلاعات افراد در هر سطحی با روشهای بسیار ابتدایی مقدور است. بهعنوانمثال اطلاعاتی که در سرقتهای اطلاعاتی (هک) اسنپ فود بهدستآمده را میتوان بهصورت کاملتر مثلاً از طریق ارتباط با مدرسههای فرزندان یک خانواده ازآنجاکه پروتکلهای امنیت اطلاعات مدارس چندان محکم نیست به دست آورد و بسیاری مثالهای دیگر. یادمان نرود هر جا از ما مدرکی خواستهاند، ارائه دادهایم!
بسیاری از اطلاعات و دادههای فردی ما نزد انواع و اقسام شرکتها، فروشگاهها، مؤسسات کرایه اتومبیل، آژانسهای مسافرتی، مدارس و آموزشگاهها و دانشگاهها بانکها مؤسسات اعتباری و اعتبارسنجی، همه ادارات دولتی و غیره موجود و ثبت است.
باید پذیرفت که هم اکنون هم همه اطلاعات و دادههای شخصی ما به دلایل گوناگون بهسادگی در دسترس بوده و مستعد هرگونه تخلف و تقلب به نام ما است.
دلیل اصلی نگرانی ما از افشا و یا در دسترس قرارگرفتن اطلاعاتمان چیست؟
در اولین حدسها، موضوع تقلب و تخلفهای مالی است که بهنوعی به اموال ما آسیب بزند و یا جرائمی را باعث شود که ما را از نظر حقوقی با خود درگیر کند. بهعبارتدیگر اگر بتوان از اطلاعات شخصی ما با روشهایی سوءاستفادههای مالی انجام داد، ما در ریسک قرار میگیریم.
جریان تکنولوژیهای اطلاعاتی و ارتباطی بر اساس همین الگوها و احتمالات، پیشبینیهای امنیتی در فرایندها انجام داده که از تخلف و تقلب احتمالی جلوگیری کند. مثل احراز هویت آنلاین بایو متریک، پیامک تأیید OTP ایمیل تأیید، انواع CHAPTA برای جلوگیری از تخلفات که توسط رباتها انجام میشود.
سیستمها در تعریف فرایندها، سعی میکنند راه را بر هر گونه تخلف و تقلبی ببندند. در واقع سیستمها از حیث امنیت، همه کاربران را متخلف فرض کرده و سعی در کشف تقلب آنها دارند که به طور طبیعی از کیفیت، راحتی و سرعت دریافت خدمت میکاهد؛ بنابراین بر فرض که بهترین اطلاعات ما هم مورد دستبرد قرار بگیرد، عملاً باید وارد فرایندهایی بشود که پیشاپیش شکست تخلف و تقلب محرز است. وقتی خود فرد بدون گذراندن مراحل امنیتی نتواند فرایند را به پایان برساند قطعاً فرد یا افراد دیگری هم نمیتوانند. لازم به ذکر است نسبت احتمال وجود تخلف و تقلب (نه خطا) در بیشتر فرایندها نسبت به کل خدمات بسیار جزئی است؛ ولی سطح امنیتی که یک سیستم پشتیبانی میکنند تماماً با فرض اینکه همگی متخلف هستند طراحی شده و هدف کشف و متوقف کردن آنهاست.
با همه این اوصاف باز هم احتمال سوءاستفاده باقی میماند که با خلاقیت بزهکاران و متخلفین مرتبط است و این نزاع تا همیشه ادامه خواهد داشت. دعوای بین افزایش امنیت و افزایش سطح بهرهمندی و سادگی این موضوع در مورد افشای اطلاعات شخصی که افراد مایل به انتشار و دسترسی به آن نیستند هم صدق میکند.
مثلاً در مورد اطلاعات پزشکی و بیماری و سلامت افراد و یا اطلاعات اموال منقول و غیرمنقول غالب افراد علاقهمند نیستند این اطلاعات در صورت دستبردها و هکهای اطلاعاتی در دسترس دیگران قرار گیرد حالآنکه تصور ما از انتشار اطلاعات شخصی باید قدری تصحیح و تدقیق گردد. در صورت وقوع حمله اطلاعاتی و هک اطلاعاتی انبوهی از اطلاعات غالباً نامنظم (کدگذاری شده و دستهبندی شده با صلاحدید مدیر امنیت مجموعه) به دست میآید که پیداکردن و انتشار دادههای منظم یک یا چند کاربر مشخص اساساً مستلزم انجام فرایند و هزینه دیگری است و اگر اطلاعات ارزشمندی از فرد خاصی، مدنظر نباشد اساساً انتشار این اطلاعات ریسک و خطری برای قربانی ندارد. حالآنکه بهمحض افشای دستبرد اطلاعاتی دوباره سیستمها اقدام به ترمیم زیرساختهای امنیتی خودکرده و فرایند به روال سابق برمیگردد. اساساً ذات اطلاعات بهگونهای است که هم در شرایط خاصی ارزشمند است و هم برای کاربردهای مختلف ارزشهای متفاوتی دارد و این ارزشها دائماً در حال تغییر است. به همین دلیل است که بلافاصله بعد از هکها و دستبردهای اطلاعاتی ظرف مدت کوتاهی گاهی کمتر از چند ساعت تیم به حالت اولیه و به مدار استفاده برمیگردد و گویی هیچ مشکلی نبوده است و به فراموشی سپرده میشود.
اگر هم قصد دسترسی به اطلاعات فرد خاصی درزمان خاصی وجود داشته باشد دسترسیهای اطلاعاتی بسیار ارزانتری، باز هم به دلیل حکمرانی معوج نگهداری دادهها، موجود است.از دیگر مواردی که هکهای اطلاعاتی ریسکهایی را برای کاربران ایجاد میکند فروش اطلاعات رفتار و سابقه تجاری موجود در آن سیستم است. بهعبارتدیگر وقتی سیستم اطلاعاتی یک مجموعه هک میشود، سابقه از فعالیتهای افراد در آن پلتفرم در دسترس سارقین خواهد بود که اگر ارزش تجاری داشته باشد میتواند موضوع فروش بدون اجازه اطلاعات به شرکتهایی که کارهای تبلیغاتی انجام میدهند باشد.
از جمله استفادههای غیرقانونی از اطلاعات تلاش مجموعههایی است که با دسترسی به اطلاعات شما اقدام به فروش محصولات و خدمات دیگری به شما کنند که در بسیاری از اوقات واجد تماسها و پیامها آزارنده است و البته گاهی هم از حیث جامعه هدف دقیقی که انتخاب شده، محصولات و خدمات ارزشمندی هم برای افراد فراهم شده که نهتنها آن دسترسی اطلاعاتی به ضرر افراد تمام نشده بلکه، تولیدکنندگان خدمات و محصولات توانستند بدون دردسر، پیشنهاد فروش محصولاتشان را دقیقاً به مشتریان بالقوه مرتبط با آن محصول و خدمت معرفی کنند.
تنها موضوع غیراخلاقی و مهم در این میان این است که انتفاع فروش این اطلاعات به جیب سارقین این دادهها میرود که میبایست این هزینه به خود افراد صاحب اطلاعات داده شده و از آنها اجازه دسترسی به دادههای مصرفی تجاری آنها به هدف ارائه بهترین و دقیقترین پیشنهادها (OFFER) گرفته میشد.
به نظر میرسد «انتشار اطلاعات تجاری» بیهوده بسیار بزرگنمایی شده است!
در نظریههای کلاسیک، نگرانی از آزار و تعقیب حکومتهای تمامیتخواه هم از مواردی است که ریسک شهروندان را در زمان هکهای اطلاعاتی افزایش میدهد. این مورد هم باید مورد واکاوی دقیق قرار بگیرد تا صورت مشکل مشخصتر شود.
مگر چه تعداد افراد متخلف از (نگاه حکومت) در میان کاربران یک پلتفرم حضور دارند که به هزینه کردی چنان گزاف برای هکهای اطلاعاتی بی ارزد؟
حالآنکه در حکومتهای توتالیتر، به دلیل تمرکزگرایی ساختاری عامدانه که برای امکان نظارت و کنترل، بدون مرز به شهروندان طراحی شده دسترسی به اطلاعات افراد مورد شک حاکمیت بسیار راحتتر و ارزانتر، انجامشدنی است که بسط آن از ظرفیت این یادداشت نگارنده خارج است!
از دیگر ذینفعان ضرربین در موضوع هک اطلاعاتی، شرکتها، سازمانها و پلتفرمهایی هستند که از این دستبرد اطلاعاتی ضرر میکنند. در درجه اول افت اعتماد الکترونیک به آن مجموعه نه از حیث اینکه اطلاعات ذیارزش به سرقت رفته، بلکه به دلیل احتمال وجود خطاهای دیگر در آن سرویس است.
موضوع دوم کشف اسرار سازمان و جاسوسی اقتصادی از سازمانها که در واقعنگرانی اصلی مجموعهها هست، دزدیدن مشتریان یک پلتفرم از رایجترین اسامی است که میتوان برای چنین انتشارات اطلاعاتی ذکر کرد. بهعبارتدیگر مجموعههایی که اطلاعاتشان هکشده نگراناند که مشتریان آنها توسط رقبا دزدیده شود که البته راههای بسیار ارزانتری مثل دستبردهای داخل مجموعه برای رسیدن به این هدف موجود است.
نکته حائز اهمیت این است دستبرد به یک مجموعه اطلاعات واحد میتواند طرفهای ضرر بین متعدد داشته باشد هر کدام به دلیلی که شرح آن رفت.
«خرابکاری» از پی دسترسی به اطلاعات یک مجموعه، سازمان، پلتفرم و غیره از دیگر نگرانیهای موضوعهای هکهای اطلاعاتی است که مهمترین حالت آن هم میتواند شمرده شود.
سارقین اطلاعات میتوانند در پی دسترسی به سامانههای اطلاعاتی و نفوذ به آنها خرابکاریهایی از جمله: پرداختهای بیجا، برهمریختن فرایندها، پاککردن اطلاعات و ازبینبردن اکانتها و سفارشهای تقلبی، و غیره همه اینها ریسکهای مهمی است که تا چند ساعت بعد از خرابکاری که سیستم به پایداری مجدد برسد میتواند رخ دهد.
ازاینحیث مدیریت شهری و حاکمیت کشورها هم میتوانند جزء ذینفعان ضرر بین این حوادث قلمداد گردند.
خرابکاریهای مالی، حملونقلی، اداری و غیره میتواند تبعاتی امنیتی برای اداره شهر و حکومت ایجاد کند که در صورت همدلی شهروندان با مدیریت شهری و کلان کشور، به دلیل تمایل عمومی به برقرارشدن نظم مجدد برای دریافت خدمات، این ریسک هم قابلکنترل است.
در سند GDPR (general Data protection regulation) که از مهمترین اسناد مرجع در حوزه امنیت اطلاعات و حریم خصوصی است، در چند ماده تنظیمگریهایی را اعلام نموده که غالباً پیرامون اتخاذ تدابیر لازم برای ایجاد امنیت کافی و لازم متناسب بااهمیت دادهها و لزوم اطلاعرسانی مسئولانه و سریع در زمان افشای اطلاعات به ذینفعان است.
در آنچه شرح آن رفت سعی شد که ابعاد و مخاطرات و تبعات هکهای اطلاعاتی را برای ذینفعان و ضرر بینان مختلف آن بررسی کنیم و همچنان بر لزوم ایجاد زیرساختهای امن برای انتقال، ثبت و نگهداری اطلاعات پای میفشاریم.
اما و هزار اما، آیا راهحل پیشگیری از این مخاطرات تنها به تمرکز بر زیرساختهای امنیت اطلاعات و افزایش مراحل کنترل و نظارت منحصر و خلاصه میشود؟
همانطور که پیشتر اشاره شد همواره افزایش سطح امنیت در فرایندها به کاهش سهولت استفاده و بهرهمندی منجر میشود. حالآنکه رسالت اول و اصلی سیستمهای امنیت اطلاعات به صفر رسانیدن میزان امکان تخلف و تقلب با حداکثرکردن کنترلها و نظارتهاست.
صورتمسئله شفاف است
امنیت اطلاعات سهولت در کاربری با چه نسبتی به هم پیش بروند که بهترین حالت ممکن باشد؟
اولین پاسخ، متصلکردن نسبت میان امنیت و سهولت با نگاه بر اساس ارزش اطلاعات موجود در آن فرایند یا مجموعه است که پاسخی کلاسیک و صحیح است.
حالآنکه با همین متد، تاکنون، نقطه بهینهای برای این مسئله پیدا نشده و معمولاً یکی فدای دیگری شده است. بسیاری از فرایندها به دلیل سطح امنیتی و پیچیدگی بالا عملاً از کارایی افتاده و در بسیاری دیگر به دلیل سادگی بیش از حد فرایند هیچ دستورالعمل امنیت و اطلاعات رعایت نشده است.
ازآنجاکه دادهها و اطلاعات دارای ذینفعان متعدد در فرایندها و پلتفرمها هستند و هر کدام از آنها با معیار متفاوتی ارزش اطلاعات و ریسک ناشی از سرقت آن را ارزیابی میکنند و همین امر باعث اختلافنظر در تعیین نظام امنیت اطلاعات و سهولت کاربردی کاربری خواهد بود که نمونههای مختلف آن را در قانونگذاریهای تنظیمگریهای پیدرپی و بعضیاوقات متناقض شاهدیم.
از سوی دیگر غالب فرایندها برای دریافت هر خدمتی، گروگان دریافت اطلاعات و مدارکی از کاربر هست که در صورت خودداری از این «بهاشتراکگذاری مدارک و اطلاعات» عملاً نمیتوان از خدمت موردنظر استفاده کرد. اینجا هم بحث ایجاد مکانیسمهای نظارتی حداکثری برای بهحداقلرساندن ریسک مختلف و تقلب است.
دوگانه بغرنجی است. هم نمیتوان از امنیت اطلاعات چشم پوشید و هم نمیتوان بدون نظارتهای زیاد و دریافت مدارک و اطلاعات و استعلام از انواع API دولتی، خدمتی را به جامعه عرضه کرد؛ چون احتمالاً فضای مساعدی برای سو استفاده بزهکاران خواهد بود. امروزه فناوریهای اطلاعاتی و ارتباطی و هوش مصنوعی امکان بهرهمندی از راهحلهای
بسیار خلاقانه و سادهتری را برای مسائل موجود در اکوسیستم اطلاعاتی توسعه دادهاند که بسیاری از آنها پلتفرمهایی ساده و امن در حوزههای مهم اطلاعاتی و دیجیتال مثل فناوریهای مالی FINTECH فناوریهای قانونی REGTECH و فناوریهای نظارتی بانک مرکزی SUP TECH هستند.
نمیتوان از نشت و هکهای اطلاعاتی در امان ماند
به نظر میرسد در روزگار کنونی که بهرهمندیهای اقتصادی و اجتماعی و حقوقی در گرو استفاده از سامانههای دیجیتال قرار گرفته و بهاشتراکگذاری سطحی از اطلاعات ضروری مینماید باید تعریف دقیقتر و روزامدتری از امنیت اطلاعات و حریم شخصی به دست دهیم تا بتوان بر اساس آن چارچوب حداکثر بهرهمندی دیجیتال و حداکثر امنیت اطلاعاتی را در کنار هم جمع و به جامعه ارائه کنیم. فراموش نکنیم آن دسته از اطلاعات افراد ارزشمند است که یا بتوان بدون اجازه آنها از آن بهرهای برد و یا با تخلف بتوان به منافع آنها آسیب زد و یا افشای آن برای آنها تهدیدی باشد.
وگرنه نام و نام خانوادگی و بسیاری از اوراق هویتی هزاران بار در هزاران جای مختلف اطلاعات و تصاویر آنها موجود و در دسترس است و همانطور که قبلاً بحث شد با نظارتهای فرایندی اساساً ریسک قابلاعتنایی بر دردسترسبودن این اطلاعات مترتب نیست.
بااینحال فناوریهای دیجیتال مبتنی بر الگوهای هوش مصنوعی مثل احراز هویت بایو متریک آنلاین چنان با سرعت درحالتوسعه هستند که اساساً بهزودی موضوع اظهار اطلاعات و ارائه مدارک و صحت سنجی و احراز هویت آنلاین و اعتبارسنجی کاربر منتفی خواهد شد و بسیاری دیگر از زنجیرههای اطلاعات شخصی بر بستر انواع LEGAL INTRACTION TECHها فناوریهای ترابردپذیری حقوقی دادهای و DATA MOBILITY با اتکا به تکنولوژی بلاکچین بلاموضوع خواهد شد و همگی با اسکن یک کیو آر با دوربین پشتگوشی و احراز هویت توسط چهره فرد از طریق دوربین سلفی گوشی در کسری از ثانیه انجام خواهد شد. بدون اینکه مطلقاً اطلاعاتی به ارائهکننده خدمات تحویل شود.
بدین ترتیب حداکثر سهولت کاربری با حداکثر امنیت اطلاعاتی در دسترس خواهد بود. ابتدا این روش ممکن است به مذاق پلتفرمهای ارائه سرویس خوش نیاید که افراد اطلاعاتشان را به پلتفرم اظهار نکنند. چون استفادههایی غیر از دلائلی که برای دریافت اطلاعات کاربران ارائه کردند، مدنظر آنهاست که باز میتوانند در صورت تمایل و ایجاد ارزشافزوده، با خود فرد وارد تعامل شده و بابت اظهار اطلاعاتی که به هر نحوی برای پلتفرم آوردهای دارد، امکانهایی فراهم و یا هزینهاش را پرداخت کنند.
اهمیت بازتعریف امنیت اطلاعات و حریم شخصی اطلاعاتی با چارچوب پیشنهادی که ارائه شد از آن روست که امروزه تکنولوژیهای اطلاعاتی و ارتباطی با حضور در همه شئون زندگی اجتماعی و اقتصادی و همچنین مکانیزمها و سیاستهای عمومی و دولتی، هر آن سوژهای اعم از اشخاص حقیقی (شهروندان) و یا کسبوکارها و حتی سازمانهای دولتی که در مدار دسترسیها و ارتباطات دادهمحور و اطلاعاتی نباشد را عملاً کاربر و مشتری متخلف تلقی میکند و اساساٌ از بهرهمندیهای عمومی محروم میکند. پس باید تماموکمال حضور اطلاعاتی و دادهای در تمامی عرصهها داشت به هدف بهرهمندی بیشتر از خدمات و قوانین.