آیا شبکههای اجتماعی داخلی ایمن است؟
بتازگی مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای اعلام کرده است که در ۲ سال گذشته بیش از 4 هزار و 800 سایت دستگاههای اجرایی که مورد هدف هکرها قرار گرفته بود، شناسایی شدند.
هادی سجادی، معاون امنیت فضای تبادل اطلاعات سازمان فناوری اطلاعات: با بررسی 10 شبکه اجتماعی برتر داخلی مشخص شده که سطح امنیت در بسیاری از این شبکهها پایین است و این شبکهها از نظر حفظ امنیت کاربران دارای نقصهای متعددی هستند. همچنین برخی شبکههای اجتماعی داخلی اقدام به فروش اطلاعات کاربران خود میکنند که درباره این موضوع در صورت داشتن شاکی میتواند اعلام جرم شود.
نیما شایافر، برنامهنویس: مشکل امنیتی تنها مختص شبکههای اجتماعی بومی نیست و سایتهای سازمانها و شرکتهای داخلی نیز از پایینترین سطح امنیتی برخوردار هستند. یکی از دلایل بروز چنین مشکلات امنیتی، ضعف در برنامه نویسی چنین سرویسهایی است. در واقع برخی از برنامهنویسان، زمان کد نویسی یک سرویس به استانداردهای لازم در این زمینه توجهی نمیکنند.
تشویق کاربران ایرانی به استفاده از شبکههای اجتماعی داخلی یکی از برنامههایی است که وزیر ارتباطات طی دوسال گذشته پیگیری کرده است. حتی محمود واعظی در این راه خود نیز در 4 شبکه اجتماعی داخلی عضو شده و برخی از برنامهها یا درخواست کاربران از وزارتخانه متبوعش را از طریق این شبکههای داخلی پیگیری میکند. وزیر طی دوسال از فعالیت خود در وزارت ارتباطات بارها اعلام کرده که دولت یازدهم با فیلتر شدن تمام سایتهای اینترنتی موافق نیست و حتی با سیاستگذاریهای ویژه خود نیز جلوی فیلتر شدن بسیاری از سرویسهای اینترنتی را گرفته است.
اما با این حال وی همواره استفاده از شبکههای اجتماعی بومی را پیشنهاد داده است. او در حالی استفاده از شبکههای اجتماعی داخلی را به نفع کاربران ایرانی میداند و از آنها میخواهد که با عضویت در این شبکهها از این سرویسهای داخلی حمایت کنند، اظهارات اخیر یکی از معاونان سازمان فناوری اطلاعات نشان میدهد این شبکهها از امنیت بالایی برخوردار نیستند و برخی از آنها در معرض حمله هکرها قرار دارند.
سرویسهایی که امن نیستند
حمله به سایتها و سرویسهای مختلف اینترنتی این روزها به یکی از خبرهای عادی دنیای وب تبدیل شده است. روزانه دهها خبر در خصوص حملههکرها و به سرقت رفتن اطلاعات میلیونها کاربر شنیده میشود. جدیدترین تحقیقات صورت گرفته توسط شرکت HP که با همکاری مرکز Ponemon Institute انجام شده نشان میدهد، میانگین هزینه جرایم سایبری برای سازمانهای مستقر در هفت کشور طی سال ۲۰۱۵ میلادی برابر با 7/7 میلیون دلار بوده است.همچنین این بررسی نشان داد هر سازمان برای آنکه بتواند مشکلات ناشی از حملات سایبری را برطرف کند، به طور میانگین ۴۶ روز با این مسأله درگیر است. ایران نیز از چرخه جرایم سایبری جدا نیست.
هرچند در خصوص حملات سایبری به سایتها و سرویسهای اینترنتی داخل کشور اطلاعات دقیق و جزئی وجود ندارد اما بتازگی مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای اعلام کرده است که در ۲ سال گذشته بیش از 4 هزار و 800 سایت دستگاههای اجرایی که مورد هدف هکرها قرار گرفته بود، شناسایی شدند. همچنین مدیرعامل شرکت ارتباطات زیرساخت نیز در گفتوگویی تعداد حملات سایبری روزانه به زیرساخت ارتباطی کشور را حدود ۱۰ میلیون سانحه امنیتی عنوان کرده است.
تا کنون برای افزایش امنیت سایبری در محیط وب کشور، برنامه ریزیها و سیاستگذاریهای مختلفی مورد توجه قرار گرفته است برنامههایی که به نتیجه مطلوبی هم نرسیده است. یکی از این برنامهها اجرای اهداف سند امنیت فضای تبادل اطلاعات است که به گفته کارشناسان امنیتی، به دلیل کمبود بودجه برای تحقیق و پژوهش در این بخش و همچنین عدم شکلگیری تعامل بین بخش دولتی و خصوصی هنوز این سند به درستی در کشور اجرا نشده است. به جز سایتها و شبکههای اینترنتی برخی سازمانها و شرکتهای داخلی، سرویسهای اینترنتی بومی نیز از گزند حملات سایبری جان سالم به در نبردهاند. آخرین اخبار منتشر شده نشان از پایین بودن سطح امنیت شبکههای اجتماعی داخلی دارد.
هادی سجادی، معاون امنیت فضای تبادل اطلاعات سازمان فناوری اطلاعات، از تحقیقی روی شبکه اجتماعی داخلی خبر داده و اینکه نتایج این تحقیق چندان رضایتبخش نبوده است. به گفته سجادی، با بررسی 10 شبکه اجتماعی برتر داخلی مشخص شده که سطح امنیت در بسیاری از این شبکهها پایین است و این شبکهها از نظر حفظ امنیت کاربران دارای نقصهای متعددی هستند. وی حتی به هک اطلاعات 2 میلیون نفر از کاربران یکی از این شبکههای اجتماعی پربازدید و داخلی اشاره و تصریح کرده است که اطلاعات حساب کاربری و کلمه عبور این کاربران در اینترنت نیز منتشر شده است.
براساس اظهارات وی با انجام این تحقیق همچنین مشخص شد که برخی شبکههای اجتماعی داخلی اقدام به فروش اطلاعات کاربران خود میکنند که درباره این موضوع در صورت داشتن شاکی میتواند اعلام جرم شود. سجادی برای کاهش این گونه مخاطرات در شبکههای اجتماعی داخلی از تدوین نظام تضمین امنیت شبکههای اجتماعی توسط مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر) با همکاری مرکز راهکارهای هوشمند دانشگاه شریف خبر داده است.
برای کسب اطلاعات تکمیلی در خصوص وضعیت فعلی شبکههای اجتماعی داخلی از نظر امنیتی و اینکه کدام شبکههای اجتماعی داخلی مورد حمله هکرها قرار گرفتهاند، با سازمان فناوری اطلاعات تماس گرفتیم اما تا زمان نگارش این گزارش مسئولان این سازمان تماسها را بیجواب گذاشتهاند.
راهی برای جبران و پیشگیری
هک و ایجاد مشکلات امنیتی برای شبکههای اجتماعی تنها مختص به سرویسهای داخلی نیست. برای مثال همین چند روز پیش بود که شبکهاجتماعی فیسبوک دلیل اختلال در شبکه خود را یک مشکل امنیتی عنوان کرد. چنین اتفاقهایی برای دیگر سرویسهای اینترنتی محبوبی مانند گوگل، یاهو، فیلیکر و… نیز افتاده است. اما آنچه در این بین مهم به نظر میرسد شفافسازی و هشدار به کاربران این سرویسهاست. این درحالی است که در ایران به طور دقیق مشخص نیست کدام شبکههای اجتماعی داخلی در خطر امنیتی و هک قرار دارد و تنها در این میان به کاربران توصیه میشود از شبکههای داخلی استفاده شود.
نیما شایافر، برنامهنویس، در گفتوگو با روزنامه ایران، مشکل امنیتی را تنها مختص شبکههای اجتماعی بومی نمیداند و اعلام میکند که سایتهای سازمانها و شرکتهای داخلی نیز از پایینترین سطح امنیتی برخوردار هستند. وی در خصوص علل این شرایط میگوید: «یکی از دلایل بروز چنین مشکلات امنیتی، ضعف در برنامه نویسی چنین سرویسهایی است. در واقع برخی از برنامهنویسان، زمان کد نویسی یک سرویس به استانداردهای لازم در این زمینه توجهی نمیکنند.»
وی در ادامه میافزاید: «همچنین برخی از برنامهنویسان ایرانی برای ایجاد یک سرویس اینترنتی از ساختارهای برنامهنویسی از پیش آماده شده و متن باز استفاده میکنند که این انتخاب در طول زمان باعث بروز مشکلات امنیتی میشود. درست است که استفاده از چنین ساختارهای برنامه نویسی باعث کاهش هزینهها میشود اما برای جلوگیری از بروز مشکلات امنیتی، استفاده از چنین برنامههایی نیاز به نگهداری و به روزرسانی دارد. اما متأسفانه به دلیل نوع برخی قراردادها، بعضی برنامهنویسان تنها یک سرویس را پیادهسازی میکنند و بعد از آن به این موضوع کاری ندارند که آیا امنیت این سرویس تأمین خواهد شد یا خیر.»
شایافر در ادامه با انتقاد از عدم شفافیت وزارت ارتباطات در معرفی شبکههای اجتماعی داخلی مورد حمله هکرها اعلام میکند: «شبکههای اجتماعی خارجی نظیر فیسبوک نیز در معرض حملات سایبری هستند و هیچ سرویس اینترنتی از چنین حملاتی در امان نیست اما آنچه در این بین و در خصوص مشکلات امنیتی شبکههای اجتماعی داخلی باعث تعجب میشود این موضوع است که چرا مسئولان به شکل شفاف نام این شبکههای مورد حمله را اعلام نمیکنند چرا که روند این کار باعث به وجود آمدن بیاعتمادی کاربران نسبت به استفاده از شبکههای داخلی را سبب میشود.»
بسیاری از کارشناسان حوزه وب بر این باورند که سرویسهای اینترنتی و شبکههای اجتماعی داخلی را نمیتوان با رقیبان خارجی آنها مقایسه کرد اما با بالا بردن سطح کیفی و امنیتی این سرویسهای داخلی میتوان باعث جلب توجه کاربران به استفاده از آنها شد.
شایافر نیز معتقد است برای جلب نظر کاربران به سرویسهای اینترنتی داخلی باید برنامهنویسان ایرانی نسبت به خواسته کاربران آگاه باشند و از برنامههای به روز و امن دنیا برای کد نویسی استفاده کنند. او همچنین پیشنهاد میکند که مسئولان نیز به جای ورود مستقیم یا تدوین قوانین خاص در این زمینه آن هم بدون مشارکت برنامهنویسان شبکههای اجتماعی، بهتر است سرویسهای آموزشی مناسبی در اختیار برنامه نویسان ایرانی بگذارد. این برنامه نویس پیشنهاد میکند که یکی از اولین قدمهایی که میتوان در این راه برداشت ترجمه اطلاعات سایت www.owasp.org است. سایتی که ماهیتی همچون ویکی پدیا دارد و در آن تمام مشکلات امنیتی سایتها و راهکارهای مقابله با آن نیز گزارش شده است.
به هرحال هک و مشکل امنیتی یک موضوع اجتنابناپذیز است و همیشه راهی برای نفوذ به سیستمها و سرویسهای اینترنتی از طرف خرابکاران سایبری وجود دارد اما به باور فعالان دنیای وب، برنامهنویسان میتوانند با آمادگی و به روز بودن خسارات چنین اتفاقهایی را کاهش دهند.