چرا هک می‌شویم؟

اعتماد نوشت: پس از هک شدن ثبت احوال، تپسی، اسنپ، هفت‌هشتاد و چندین مثال دیگر و درز شخصی‌ترین اطلاعات ایرانیان و تبدیل آن به یک جریان اقتصادی و درآمدزایی، اینکه چرا هک می‌شویم پرسش مهمی است.

«معمولا شرکتِ رسوا شده بعد از هک یک بیانیه عذرخواهی صادر کرده و همه چیز بخشیده می‌شود. این فراموشی و بخشیدن ممکن است به صراحت نباشد، اما زمانی که ما تجاوز به حریم شخصی خود را فراموش کنیم یا به رویداد‌های توهین‌آمیز عادت کنیم شرکت هک شده مثل همیشه به جایگاه خود بازگشته و از ما انتظار می‌رود مطابق قبل به خرید، استفاده و ارتقا از این فناوری ادامه دهیم»؛ این جملات را «جیتان سادووفسکی» در ابتدای کتاب خود با عنوان «سرمایه‌داری دیجیتال» آورده است.

رویداد‌هایی که برای ما نیز در همین شش ماه گذشته اتفاق افتاده و شاید حالا فراموش کرده باشیم. در سالی که گذشت ما روز‌های زیادی را با خبر هک شدن سایت‌ها، اپلیکیشن‌ها و حتی وزارتخانه‌ها از خواب بیدار شدیم. همان‌طور که در روز‌های گذشته و به دنبال هک اسنپ فود «امین تویسرکانی» بازپرس رسیدگی به جرایم رایانه‌ای اعلام کرد این اتفاق در حوزه‌های دیگر هم اعم از نهاد‌های عمومی، دولتی و خصوصی رخ داده است. یادتان هست نهم شهریور ماه اپلیکیشن هفت‌هشتاد هک شد و حوالی ساعت ۹ شب کاربران با پیام‌های غیرمعمولی مواجه شدند؟ دو روز بعد خبر هک تپسی منتشر شد و اطلاعات بیش از ۲۷ میلیون مسافر و شش میلیون راننده برای فروش منتشر شد.

هک تپسی درحالی رخ داد که این شرکت در سال ۱۳۹۸ نیز مورد حمله سایبری قرار گرفته بود و محمدجواد آذری جهرمی، وزیر وقت ارتباطات، آسیب‌پذیری تپسی در ‏نگهداری از اطلاعات رانندگان را تایید کرده بود. تنها یک روز بعد همان گروه هکری اطلاعات مشتریان ۱۸ شرکت بیمه را نیز هک و برای فروش در کانال‌های خود قرار داد. درحالی که گمان می‌رفت پس از این اتفاقات تدابیر ویژه‌ای برای محافظت بیشتر داده‌ها لحاظ شود، در روز‌های پایانی شهریور ماه ثبت احوال و وزارت علوم نیز مورد حملات سایبری قرار گرفتند. گرچه سازمان ثبت احوال این ادعا را رد کرد، اما وزارت علوم طی بیانیه‌ای این حمله هکری را تایید کرد.

در راستای این هک‌های سریالی روز‌های گذشته هم هک اسنپ‌فود بسیار خبرساز شد و پس از آن اطلاعات بسیاری از مشتریان اعم از آدرس، مشخصات تلفن همراه، سفارش‌ها، اطلاعات پیک‌ها و... درز پیدا کرد و به قیمت ۳۰ هزار دلار برای فروش گذاشته شد. بعد از همه این اتفاقات و هک‌های کوچک و بزرگ دیگر و درز شخصی‌ترین اطلاعات ما و تبدیل آن به یک جریان اقتصادی و درآمدزایی اینکه چرا هک می‌شویم سوال مهمی است. باید از خود بپرسیم و پس از آن به این موضوع فکر کنیم که چه راه‌هایی برای مقابله و مواجهه با چنین اتفاقاتی وجود دارد؟ یکی از مهم‌ترین علل برای دست یافتن به چنین داده‌هایی که گاهی از مسیر هک و بسیاری مواقع از مسیر‌های به ظاهر قانونی در فروش اطلاعات مشتریان و کاربران اتفاق می‌افتد، نشان از ارزشِ اقتصادی نهفته در این مجموعه از داده‌ها است.

جهان پس از کلان داده‌ها

«نبرد‌های زیادی بر سر اینکه چه کسی باید داده‌ها را داشته و از آن‌ها بهره‌مند شود، شکل گرفته است»؛ این تیتری است که اکونومیست در سال ۲۰۱۷ برای توضیح جهانِ جدید پس از کلان داده‌ها انتخاب کرده بود. به همین علت است که آمازون در همان سال شرکت هول‌فودز را به قیمت بیش از ۱۳ میلیارد دلار خریداری کرد تا ضمن دراختیار داشتن رفتار آنلاین مشتریان، رفتار آفلاین خرید مردم را از طریق مغازه‌های خرده‌فروشی این شرکت را دراختیار داشته باشد.

IBM هم در سال ۲۰۱۷ به قیمت ۲ میلیارد دلار یک شرکت هواشناسی را خریداری کرد و این درحالی است که طبق نظر کارشناسان ارزش این شرکت بسیار کمتر از این میزان بوده است. اینکه چرا یک شرکت فناوری دست به خرید یک شرکت هواشناسی می‌زند تا داده‌های آن را دراختیار داشته باشد به نوعی نشان‌دهنده اهمیت تسری داده‌های حوزه‌های مختلف به یکدیگر است. در نوامبر ۲۰۱۸ نیز مدیرعامل «فورد» رسما اعلام کرد به زودی درآمدزایی این شرکت از بخش فروش داده‌های بیش از ۱۰۰ میلیون نفر از مشتریان خود خواهد بود. شاید با مرور این معاملاتی که حول داده شکل گرفته، این توییت یکی از فعالان اکوسیستم استارتاپی کشور در ارتباط با داده‌های اسنپ‌فود بسیار قابل فهم‌تر باشد: «آقا بیاید ۵ نفر بشیم نفری ۶۰۰۰ دلار بدیم بخریم. من تضمین می‌کنم بازگشت سرمایه هزار درصدی رو ظرف کمتر از ۶ ماه. الان نقد ۳۰ هزار تا ندارم وگرنه تنهایی می‌خریدم.»

اقتصاد مبتنی بر داده

این موارد نشان می‌دهد که چطور جریان‌های اقتصادی به سمت داده گرایش پیدا کردند و کلان داده‌ها نیز در یک رابطه متقابل چطور می‌توانند با کمک به تحلیل و شناخت رفتار مشتریان سود شرکت‌ها و سرمایه‌گذاری آن‌ها را تقویت کنند، اما بینش‌های حاصل از دراختیار داشتن ثروت بزرگی مانند داده صرفا به این‌گونه مسائل خلاصه نمی‌شود و حتی مسائل اجتماعی و سیاسی را نیز شامل می‌شود. برای درک این موضوع که اتفاقا ارتباط مستقیمی با هک اسنپ‌فود دارد به توضیح شاخصی به نام «پیتزا» یا «پیتزاسنج» می‌پردازم. در شب یکم آگوست ۱۹۹۰، شب پیش از حمله عراق به کویت، کارکنان نظامی پنتاگون گرد هم آمده بودند تا درباره مسائل خاورمیانه گفتگو کنند. از آنجایی که قصد داشتند همه شب را بیدار بمانند تا با هم گفتگو کنند، آن‌ها چندین پیتزا بیشتر از آنچه که معمولا سفارش می‌دادند از «دومینوز» که یک رستوران زنجیره‌ای است، سفارش دادند. مدیر رستوران متوجه انبوهی از سفارش‌ها از ادارات دولتی ایالات‌متحده (مانند پنتاگون) پیش از وقایعی نظیر جنگ کویت شد و این موضوع را با رسانه‌ها در میان گذاشت. مردم این اطلاعات را به خوبی دریافت کردند و این رویداد را «شاخص پیتزا» نامیدند. این مسائل اتفاقی نیستند و سرمایه‌گذاران و اهالی سیاست امروزه به خوبی فهمیده‌اند داده‌های افراد وقتی کنار هم قرار می‌گیرد چه میزان از تشخیص، اندازه‌گیری و پیش‌بینی را رقم می‌زند.

سوءاستفاده و استفاده‌های تجاری و اقتصادی از داده مساله‌ای است که باعث شده به طور مثال اطلاعات بانکی کاربران اصلا در دیتابیس شرکتی مانند اسنپ‌فود ذخیره نشود که اگر این اطلاعات هم دراختیار اسنپ‌فود قرار داشت امروز تمام حساب‌های بانکی ما در معرض کلاهبرداری‌های متنوع قرار می‌گرفت. حال سوال اینجاست که اگر این اطلاعات هم هک و دراختیار یا در معرض دسترسی همگان قرار می‌گرفت چطور می‌توانستیم با پیامد‌های بسیار خطرناک این موضوع مواجه شویم؟ نکته بسیار حائزاهمیت این است که اطلاعات دیگر ما نیز اگر ارزشی بیشتر از موجودی حساب‌های بانکی ما نداشته باشد، کمتر نیست و سوال مهم دیگر این است که چنین اطلاعات مهمی اگر هک هم نمی‌شد از کجا می‌توانستیم بر حفاظت از آن‌ها نظارت داشته باشیم که شرکت‌ها خودشان در تبادلات مالی از آن استفاده نکرده یا آن را به فروش نرسانده باشند. این موارد دغدغه‌های مهمی هستند که باید به آن‌ها فکر کنیم.

ضرورتِ پاسخگویی دولت در مالکیت داده

«مارک آندریویچ» محقق سیاست فناوری در پژوهشی شامل یک نظرسنجی از ۱۱۰۶ نفر شرکت‌کننده، سوالاتی در مورد افکار آن‌ها درباره جمع‌آوری داده‌ها و حفظ حریم خصوصی پرسید. یافته‌های او نشان می‌دهد مردم نسبت به نگرانی‌های مربوط به حریم خصوصی بی‌تفاوت نبودند، بلکه اغلب احساس می‌کردند که «ناتوان» برای انجام هر کاری در مورد جمع‌آوری و حفاظت از داده‌ها هستند. یکی از شرکت‌کنندگان به او این‌گونه پاسخ داده است: «بزرگ‌ترین مساله من در از دست دادن حریم خصوصی این نیست که دیگران اطلاعاتی درباره من بدانند، بلکه به نوعی مجبور می‌شویم تا اطلاعات را به اشتراک بگذاریم.»

این نگرانی در جامعه ایران نیز مشهود است. بعد از هک اسنپ‌فود شاهد بودیم بسیاری از کاربران به شوخی و کنایه روی آوردند و بعضی از اطلاعات مانند سفارش شیرموز در ساعاتِ پایانی شب را دست‌مایه طنز قرار دادند؛ طبق داده‌کاوی‌های انجام شده ۳۴ درصد از محتوای کاربران در ارتباط با هک اسنپ‌فود شوخی، طنز و کنایه بوده است. بسیاری به غلط این موضوع را به جدی نگرفتن اهمیت مساله از سمت کاربران تفسیر کردند. اما باید شوخی را بازنمایی یک ناتوانی از سمت کاربران بدانیم.

در راستای حفظ و صیانت از حریم شخصی دولت باید پاسخگو باشد و این پاسخگویی زمانی تحقق می‌یابد که قوانین مربوط به مالکیت داده تدوین شود. در حال حاضر مطابق با قوانین موجود، هر شرکتی که داده‌ای دراختیار داشته باشد در صورت درخواست یا صلاحدید نهاد‌های مختلف باید داده‌های موردنظر را دراختیار آن‌ها قرار دهد. در واقع درحالی که دولت از داده‌های ما استفاده می‌کند، اما مسوولیت آن را نمی‌پذیرد. فرض کنید مانند اطلاعات بانکی که دراختیار اسنپ‌فود قرار نداشت و به همین علت مورد سوءاستفاده نیز قرار نگرفت، دیگر اطلاعات مشتریان مانند آدرس منزل نیز دراختیار شرکت نبود و این می‌توانست مصونیت بیشتری به همراه داشته باشد.

گرچه در این زمان شاهد هک سازمان‌های دولتی نیز بوده‌ایم، شاید به ذهن مخاطب خطور کند که امنیت اطلاعات در این حالت که داده‌ها دراختیار دولت هم قرار بگیرد هم حفاظت از آن‌ها به درستی انجام نمی‌شود، اما باید توجه کرد که اولا پاسخگو دانستن دولت باتوجه به قوانین و نظارت می‌تواند سهولت بیشتری داشته باشد و ثانیا وجه اقتصادی و درآمدزایی در آن وجود ندارد و به همین سبب تمایل کمتری برای دست به دست شدن آن وجود خواهد داشت. در همین راستا اتحادیه اروپا نیز قوانین سفت و سختی را تصویب کرده است. مهم‌ترین آن در سال ۲۰۱۶ تحت عنوان «قوانین محافظت از داده‌های شخصی» است که در ۱۱ بخش و ۹۹ صفحه ابلاغ شد. گرچه در ایران نیز گام‌هایی برای نگارش آیین‌نامه‌ها و قوانینی در این رابطه برداشته شده است، اما تفاوت‌هایی مهم وجود دارد. به طور مثال درحالی که در قوانین ملی ایران صرفا اشارات و کلیات آمده است، در اسناد جهانی با رویکردی پیشگیرانه به مواردی نظیر الزام سازمان‌ها به عدم دریافت اطلاعات شخصی شهروندان یا حذف آن‌ها در صورت عدم نیاز و به صورت دوره‌ای وجود دارد. همچنین مطابق با این قوانین اگر شرکتی الزاماتی را رعایت نکرده یا تخلفی داشته باشد و داده‌هایش به صورت غیرقانونی درز کند، تا سقف ۲۰ میلیون یورو جریمه می‌شود.

در ایران ما نیاز داریم تا با شکل‌گیری حوزه پژوهشی مستقلی در ارتباط با سیاست‌گذاری فناوری، موارد مرتبط با رگولاتوری، حقوقی، سیاسی و اقتصادی شرکت‌های مبتنی بر داده را ارزیابی و مورد پرسش قرار دهیم. همچنین نیاز است تا با تلاش برای فراموش نکردن چنین رخداد‌های تلخی برای پاسخگو بودن سازمان‌های نظارتی و در راس آن دولت، در مقابل شخصی‌ترین داده‌های خود برنامه ریزی کنیم.

نویسنده: محمدعلی دادگسترنیا جامعه‌شناس و پژوهشگر سیاست فناور