مسئله نشت اطلاعات و درسهايي برای استارتاپها
يک محقق امنيتي به اسم باب دياچنکو در آخر هفته گذشته مطلبي را در وبلاگش منتشر کرد که در ايران سروصدا بهپا کرد و واکنشهاي متنوعي هم در پي داشت و کار تا عذرخواهي رسمي مديرعامل شرکت تپسي پيش رفت. موضوع مقاله دياچنکو مربوط به يک بانک اطلاعاتي (Database) با دسترسي عمومي روي اينترنت بود که حدود هفت ميليون واحد اطلاعاتي را شامل ميشد که مربوط به رانندههاي يک شرکت تاکسي اينترنتي بود. اين اطلاعات شامل نام و نامخانوادگي، شماره ملي يا شناسنامه، تلفن و مبالغ کميسيون پرداختشده بود؛ تقريبا ۶۰۰ هزار واحد اطلاعاتي مربوط به سال ۱۳۹۵ و بقيه مربوط به سال ۱۳۹۶.
اولين واکنشها به تأييد کليت مسئله از سوي وزير ارتباطات و سپس نفي مرتبطبودن آن به سرويسهاي اسنپ از طرف اين شرکت مربوط بود، اما چندساعت بعد شرکت تپسي با پذيرفتن ارتباط مقاله به دادههاي اين شرکت، در بيانیهاي اعلام کرد که بالاترين اولويت حفظ اطلاعات کاربران است، سيستمهاي پيشرفته شرکت جلوي نفوذ بيشتر را گرفتهاند و اين شرکت با وجود تحريمها همچنان در حال فعاليت است. اين بيانيه با واکنشهاي کنايهآميزي از سوي کاربران توييتر مواجه شد تا جايي که در نهايت مسئولي ديگر از تپسي بدون سنگرگرفتن در پشت تحريمها و ادعاهاي بيانيه قبلي، در يک توييت مسئوليت را به طور کامل پذيرفت و نوشت که اين شرکت تلاش ميکند این مسئله تکرار نشود.
آنچه بايد آموخت:
آنچه رخ داد، درسهايي براي استارتاپها و قانونگذاران ما دارد. مسئله اول اين است که هيچ نفوذي به شرکت انجام نشده و هيچ سيستم امنيتيای درگير مسئله نبوده است. ظاهرا يک کارمند داخلي تپسي، به هر دليلي - شايد گزارشگيري - يک نسخه از ديتابيس مربوط به سالهاي ۹۵ و ۹۶ را بدون هيچ پروتکل امنيتي روي سروري متصل به اينترنت کپي کرده و بعد از استفاده، آن را به حال خود رها کرده است! جستوجوگرهاي ديتابيسهاي ناامن روي اينترنت مانند «شودان» و «باينرياج» بعد از مدتي اين ديتابيس را پيدا کرده و آن را در نتايج جستوجوي «ديتابيسهاي بدون پسورد کشور ايران» به آقاي باب دياچنکو نشان دادهاند و او هم مطلبش را بر اساس اطلاعات درون ديتابيس نوشته است. يک پروتکل ساده داخل شرکتي مشابه اينکه «هر کسي که به ديتايي نياز داشته باشد بايد از فلان روند مربوطه پيروي کند» ميتوانست به طور کامل جلوي اين مسئله را بگيرد. مشکل ديگر ماجرا، واکنش زودهنگام و غيرحرفهاي تپسي به مسئله بود. ما هنوز در اول راه توسعه شرکتهاي استارتاپي هستيم و دور از ذهن نيست که براي چنين شرايطي آمادگي کافي نداشته باشيم، اما لازم است بدانيم که نشت اطلاعات دير يا زود در
شرکتهاي اطراف ما اتفاق خواهد افتاد. لازم است براي چنين شرايطي پروتکل مشخصي داشته باشيم و با پذيرفتن اشکالات، بدون مخفيشدن پشت ادعاهاي بزرگ و از طريق شفافيت، اعتماد کاربران به خودمان را حفظ کنيم. اين مسئله بايد در کنار قوانيني اتفاق بيفتد که شرکتها را ملزم به داشتن پروسههاي حفظ اطلاعات ميکند؛ مثلا يک قانون خوب ميتواند تضمين کند که در صورت نشت اطلاعات يک کاربر در يک سيستم، آن سيستم موظف است مسئله را به کاربر اطلاع دهد و در غير اين صورت جريمههاي سنگيني متوجه شرکت خواهد بود. اين «جريمه در صورت عدم افشاي درز اطلاعات» يکي از شناختهشدهترين مکانيسمها براي اجبار شرکتها به رعايت امنيت اطلاعات کاربران است. در سطحي بالاتر قوانينی مثل GDPR شرکتها را ملزم ميکنند که به تکتک کاربران اجازه دريافت کامل اطلاعات خودشان و حذف اطلاعاتشان از سرور را بدهند.
در دنياي جديد، اطلاعات - هويتي و ... - ارزشمندترين داراييهاي افراد و شرکتها هستند. اصلا عجيب نيست که يک نفر با داشتن شماره شناسنامه، شماره تلفن، آدرس، کد ملي، نام پدر و مادر، محل تولد و ... بتواند در بسياري از سيستمها خودش را جاي من جا بزند يا در صورت لورفتن پسورد من در يک سيستم، لازم است بدانم که کلمه عبورم اکنون در اختيار ديگران هم هست تا بتوانم آن را در هرجايي که لازم است تغيير دهم. در گذشته نشتهاي بسيار بزرگتر اطلاعات اتفاق افتادهاند و در آينده هم تکرار خواهند شد. بهخصوص حالا با فشار دولتها براي احراز هويت افراد براي فعاليتهاي آنلاين، اين مسئله حادتر هم خواهد شد. در اين شرايط لازم است با تفويض کنترل روي اطلاعات شخصي به کاربران، با ايجاد پروسههاي شفاف و قانوني براي دسترسي به اطلاعات - چه از داخل سازمان و چه خارج از آن - با گزارشهاي دورهاي در مورد اين دسترسيها و دلايل آن و با داشتن پروسههاي تعريفشده در مواجهه با اينگونه اتفاقات، جلوي ضررهاي طولانيمدت به اطلاعات کاربران و اعتبار شرکتها گرفته شود.
يک محقق امنيتي به اسم باب دياچنکو در آخر هفته گذشته مطلبي را در وبلاگش منتشر کرد که در ايران سروصدا بهپا کرد و واکنشهاي متنوعي هم در پي داشت و کار تا عذرخواهي رسمي مديرعامل شرکت تپسي پيش رفت. موضوع مقاله دياچنکو مربوط به يک بانک اطلاعاتي (Database) با دسترسي عمومي روي اينترنت بود که حدود هفت ميليون واحد اطلاعاتي را شامل ميشد که مربوط به رانندههاي يک شرکت تاکسي اينترنتي بود. اين اطلاعات شامل نام و نامخانوادگي، شماره ملي يا شناسنامه، تلفن و مبالغ کميسيون پرداختشده بود؛ تقريبا ۶۰۰ هزار واحد اطلاعاتي مربوط به سال ۱۳۹۵ و بقيه مربوط به سال ۱۳۹۶.
اولين واکنشها به تأييد کليت مسئله از سوي وزير ارتباطات و سپس نفي مرتبطبودن آن به سرويسهاي اسنپ از طرف اين شرکت مربوط بود، اما چندساعت بعد شرکت تپسي با پذيرفتن ارتباط مقاله به دادههاي اين شرکت، در بيانیهاي اعلام کرد که بالاترين اولويت حفظ اطلاعات کاربران است، سيستمهاي پيشرفته شرکت جلوي نفوذ بيشتر را گرفتهاند و اين شرکت با وجود تحريمها همچنان در حال فعاليت است. اين بيانيه با واکنشهاي کنايهآميزي از سوي کاربران توييتر مواجه شد تا جايي که در نهايت مسئولي ديگر از تپسي بدون سنگرگرفتن در پشت تحريمها و ادعاهاي بيانيه قبلي، در يک توييت مسئوليت را به طور کامل پذيرفت و نوشت که اين شرکت تلاش ميکند این مسئله تکرار نشود.
آنچه بايد آموخت:
آنچه رخ داد، درسهايي براي استارتاپها و قانونگذاران ما دارد. مسئله اول اين است که هيچ نفوذي به شرکت انجام نشده و هيچ سيستم امنيتيای درگير مسئله نبوده است. ظاهرا يک کارمند داخلي تپسي، به هر دليلي - شايد گزارشگيري - يک نسخه از ديتابيس مربوط به سالهاي ۹۵ و ۹۶ را بدون هيچ پروتکل امنيتي روي سروري متصل به اينترنت کپي کرده و بعد از استفاده، آن را به حال خود رها کرده است! جستوجوگرهاي ديتابيسهاي ناامن روي اينترنت مانند «شودان» و «باينرياج» بعد از مدتي اين ديتابيس را پيدا کرده و آن را در نتايج جستوجوي «ديتابيسهاي بدون پسورد کشور ايران» به آقاي باب دياچنکو نشان دادهاند و او هم مطلبش را بر اساس اطلاعات درون ديتابيس نوشته است. يک پروتکل ساده داخل شرکتي مشابه اينکه «هر کسي که به ديتايي نياز داشته باشد بايد از فلان روند مربوطه پيروي کند» ميتوانست به طور کامل جلوي اين مسئله را بگيرد. مشکل ديگر ماجرا، واکنش زودهنگام و غيرحرفهاي تپسي به مسئله بود. ما هنوز در اول راه توسعه شرکتهاي استارتاپي هستيم و دور از ذهن نيست که براي چنين شرايطي آمادگي کافي نداشته باشيم، اما لازم است بدانيم که نشت اطلاعات دير يا زود در
شرکتهاي اطراف ما اتفاق خواهد افتاد. لازم است براي چنين شرايطي پروتکل مشخصي داشته باشيم و با پذيرفتن اشکالات، بدون مخفيشدن پشت ادعاهاي بزرگ و از طريق شفافيت، اعتماد کاربران به خودمان را حفظ کنيم. اين مسئله بايد در کنار قوانيني اتفاق بيفتد که شرکتها را ملزم به داشتن پروسههاي حفظ اطلاعات ميکند؛ مثلا يک قانون خوب ميتواند تضمين کند که در صورت نشت اطلاعات يک کاربر در يک سيستم، آن سيستم موظف است مسئله را به کاربر اطلاع دهد و در غير اين صورت جريمههاي سنگيني متوجه شرکت خواهد بود. اين «جريمه در صورت عدم افشاي درز اطلاعات» يکي از شناختهشدهترين مکانيسمها براي اجبار شرکتها به رعايت امنيت اطلاعات کاربران است. در سطحي بالاتر قوانينی مثل GDPR شرکتها را ملزم ميکنند که به تکتک کاربران اجازه دريافت کامل اطلاعات خودشان و حذف اطلاعاتشان از سرور را بدهند.
در دنياي جديد، اطلاعات - هويتي و ... - ارزشمندترين داراييهاي افراد و شرکتها هستند. اصلا عجيب نيست که يک نفر با داشتن شماره شناسنامه، شماره تلفن، آدرس، کد ملي، نام پدر و مادر، محل تولد و ... بتواند در بسياري از سيستمها خودش را جاي من جا بزند يا در صورت لورفتن پسورد من در يک سيستم، لازم است بدانم که کلمه عبورم اکنون در اختيار ديگران هم هست تا بتوانم آن را در هرجايي که لازم است تغيير دهم. در گذشته نشتهاي بسيار بزرگتر اطلاعات اتفاق افتادهاند و در آينده هم تکرار خواهند شد. بهخصوص حالا با فشار دولتها براي احراز هويت افراد براي فعاليتهاي آنلاين، اين مسئله حادتر هم خواهد شد. در اين شرايط لازم است با تفويض کنترل روي اطلاعات شخصي به کاربران، با ايجاد پروسههاي شفاف و قانوني براي دسترسي به اطلاعات - چه از داخل سازمان و چه خارج از آن - با گزارشهاي دورهاي در مورد اين دسترسيها و دلايل آن و با داشتن پروسههاي تعريفشده در مواجهه با اينگونه اتفاقات، جلوي ضررهاي طولانيمدت به اطلاعات کاربران و اعتبار شرکتها گرفته شود.