متاسفانه در فضای مجازی کنونی (مرتبط با کشور) به واسطه رشد فناوری اطلاعات در سازمان های مختلف کشور و از سویی عدم رشد متوازن امنیت سایبری با آن شاهد چالش هایی متعدد امنیتی در این فضا هستیم. یکی از چالش هایی که این سالها به وفور در سامانه های سازمان ها ،پرتال های وب مختلف به ویژه پرتال های مرتبط با سازمان های دولتی و غیردولتی (از نهادهای دانشگاهی گرفته تا سازمان های بانکی، موسسات تبلیغاتی و غیره) گاهی شاهد نقض اشکارحریم خصوصی کاربران و افشای اطلاعات خصوصی مردم در این فضاها است.
حریم خصوصی در حقیقت از میان اصول امنیتی سه گانه(محرمانگی، صحت و دسترس پذیری) زیرمجموعه اصل محرمانگی قلمداد می شود که در آن این مسئله مورد توجه است که اطلاعاتی را که یک فرد در اختیار یک مرکز قرار می دهد و این مرکز از آن اطلاعات استفاده می کند و یا آنها را معرض عموم(اعلام عمومی) قرار میدهد باید بر اساس توافقنامه ای باشد که با آن فرد داشته است؛ یعنی که اگر یک فرد در برابر افشای برخی اطلاعاتش مثلا در محیط های عمومی رضایت نداشته باشد، این مرکز مجاز نیست که این نوع اطلاعات فرد را افشا کند.
اگر به عنوان یک کارشناس امنیت دغدغه مند فضای سایبری هر سازمانی را رصد کنید اندک سازمانی را در کشور می یابید که با طرق مختلف با نقض آشکار حریم خصوصی افراد درگیر نباشد؛ یکی از مهمترین دلایل این امر آگاه نبودن دستندکاران بخش انفورماتیک یا فاوای سازمانهای مختلف با مفهوم حریم خصوصی است و پیامدهای نقض آن است. عمدتا در کشور توافق نامه ای میان مراکز(سازمان ها) و افراد(کاربران) مبتنی بر معین نمودن حریم خصوصی وجود ندارد و یا اگر هم وجود داشته باشد از سوی دست اندرکاران و یا کاربران جدی گرفته نمی شود و یا آموزش های لازم داده نمی شود.
اگر بخواهیم مثالی آشکار از یک نقض حریم خصوصی بسیار تاسف بار و فراگیر بزنیم می توانیم به نتایج پذیرفته شدگانحوزه های مختلف در سازمانهای مختلف اشاره کنیم که به راحتی و با فراغ بال اطلاعات خصوصی افراد قبول شده را در معرض دید عموم قرار داده اند. با اندکی جست و جو در اینترنت می توانید نمونههای زیادی از این لیستها را مشاهده کنید که از قبولی دانشگاهها گرفته تا برندگان قرعه کشی ها را در برمی گیرد.خوب می دانیم که مهاجمین سایبری در مرحله جمع آوری اطلاعات با تکنیکی هایی نظیر Google dorking به دنبال اطلاعات بسیاری نظیر این نمونه ها در برخی حملات می گردند. در ذیل برخی از این نمونه ها(البته بنده اطلاعات محرمانه افراد را در این تصاویر حذف کردم) را مشاهده می کنید:
چندی پیش در ابتدای اعلام نتایج دکتری تخصصی 95 در اوج ناباوری مشاهده کردم که حتی دانشگاههای برتر کشور که خود نیروهای متخصص امنیت سایبری را تربیت می کنند نیز با این چالش درگیر هستند. این دانشگاه ها به راحتی اطلاعات خصوصی افراد نظیر شماره شناسنامه ،کد ملی ، نام پدر ، تاریخ تولد و غیره را منتشر کردند؛ در صورتی که می توانند به جای افشای این اطلاعات با اختصاص یک شماره پرونده منحصر به فرد در زمان اعلان چنین نتایجی از آن استفاده کنند و این اطلاعات خصوصی افراد را که حتی به اشتباه در برخی سامانه ها مبتنی بر آنها و یا به کمک آنها احراز اصالت صورت می گیرد را فاش نکنند؛ چرا که بسیاری از مهاجمین و سارقین سایبری همیشه به دنبال یافتن چنین اطلاعات خصوصی و سوء استفاده از آنها هستند. خوشبختانه در زمان نگارش این مقاله متوجه شدم که این دانشگاه ها سبک اعلام نتایج را تغییر داده و از افشای اطلاعات خصوصی افراد خودداری کردند که بسیار جای خوشنودی دارد.
یا باید در کشور فکری به حال سامانه هایی کنیم که مبتنی بر شماره شناسنامه یا کد ملی احراز اصالت می کنند و یا باید از افشای ساده انگارانه آنها در هر فضایی و هر سازمانی که نقض آشکار حریم خصوصی است جلوگیری کنیم. ناگفته نماند که تصویر شناسنامه و کارت ملی و حتی دفترچه بیمه بسیاری از بزرگان و مشاهیر کشور نیز به راحتی در فضای سایبری قابل دسترسی است که تهدیداتی را می تواند برای آنها دامن بزند . به عنوان مثال در برخی پرتالها که در اینجا به دلیل امکان سوء استفاده از آنها و دسترسی به اطلاعات محرمانه افراد سرشناس از بردن نام آنها خودداری می کنم به راحتی با اطلاعاتی که یافتن آنها در مورد افراد سرشناس کار ساده ای است می توان سوء استفاده نمود که جای بازنگری در طراحی و پیاده سازی این سامانه های احراز اصالت کاملا احساس می شود.
راهکارهای پیشنهادی :
-
تدوین یک توافقنامه میان کابران و هر سازمان یا نهادی شرط اول حفظ حریم خصوصی کاربران مبتنی بر خط مشی حفظ حریم خصوصی1 است، پس در تدوین و تصویب خط مشی حفظ حریم خصوصی و تایید توافقنامه توسط کاربران توجه لازم را داشته باشید.
- جهت اعلام نتایج می توان مانند بسیاری از پرتال ها(نظیر سازمان سنجش) از سامانه ثبت نام و گزارش قبولی یا عدم قبولی ، تنها به خود فرد (با احراز اصالت فرد) استفاده کرد.
- در صورت نیاز به اعلام عمومی می توان از تکنیک های گمنامی یا بینامی2 استفاده کرد به عنوان مثال نیاز نیست تمام کد ملی یا شماره شناسنامه فرد اعلام شود تنها کافی است چند رقم از آن اعلام شود (البته برای شماره های شناسنامه کوچک چالشهایی وجود دارد)
- سامانه های احراز اصالت نباید به گونه ای طراحی و پیاده سازی شوند که صرفا از این گونه اطلاعات برای تصدیق اصالت کاربران استفاده کنند.بسیار شاهد این هستیم که به جای گذرواژه از کدملی افراد استفاده می شود که ریسک بسیار بالایی دارد.
- هرگز نباید اطلاعات خصوصی نظیر تصویر شناسنامه،کارت ملی، گواهی نامه رانندگی، دفترچه بیمه، کارت های بانکی و غیره که حاوی اطلاعات حساس اند در معرض عموم قرار گیرد که این مسئله بیشتر در مورد مشاهیر کشور بروز پیدا کرده است اما همگان باید نسبت به آن آگاه باشند.
مشاهده تصویر مطلب در اندازه بزرگتر
مواظب خودت باش دکتر ;)