فناوری اطلاعات

مجادله بر سر امنیت شبکه‌های اجتماعی داخلی

منبع: دنیای اقتصاد
طی چند روز گذشته یکی از بحث‌های داغ حوزه فناوری اطلاعات مربوط به «امنیت شبکه‌های اجتماعی داخلی» بوده است. برخی رسانه‌ها طی روزهای اخیر به بهانه انتشار خبری مبنی بر «امنیت پایین شبکه‌های اجتماعی داخلی» سازمان فناوری اطلاعات را به خاطر انتشار این گزارش مورد انتقاد قرار دادند. از سوی دیگر سازمان فناوری اطلاعات نیز در پاسخی با اشاره به انتشار گزینشی این گزارش در این رسانه‌ها واکنش نشان داد و آنها را جریانی همسو علیه دولت خواند.
 
نکته قابل توجه اینکه منتقدان همسو تیغ انتقاد را نه به سمت امنیت پایین شبکه‌های اجتماعی داخلی، بلکه به سمت انتشاردهنده این گزارش گرفتند و مدعی شدند که وزارت ارتباطات با این گزارش به دنبال تضعیف این شبکه‌های بومی در کشور است. در مقابل سازمان فناوری اطلاعات نیز با انتشار کامل این گزارش که برگرفته از کارگاهی در غرفه کارگروه امنیت تلکام 2015 بود به این منتقدان پاسخ گفته است. در حالی انتشار یک گزارش درخصوص امنیت پایین شبکه‌های اجتماعی داخلی به موضوع بحث چند هفته اخیر و انتشار جوابیه‌های مختلف شده که هک و حملات سایبری به شبکه‌های اجتماعی بزرگ دنیا یک موضوع عادی است.
 
یک جست‌وجوی ساده در گوگل شما را به خبرهای مختلفی درخصوص حمله هکر‌ها یا نفوذ یک ویروس به سرویس‌هایی مانند فیس‌بوک، توییتر، فلیکر و... می‌رساند که اطلاعات کاربران را به خطر می‌اندازد. حتی مدیران و کارشناسان این شبکه‌های اجتماعی به‌صورت شفاف کاربران این شبکه‌ها را از حملات احتمالی یا هک شدن این سرویس‌ها با خبر می‌کنند و با ارائه راهکارهای آموزشی سعی در جلوگیری مجدد از وقوع چنین اتفاق‌هایی دارند.  اما چرا انتشار گزارشی درخصوص امنیت شبکه‌های اجتماعی در دنیا و اعلام امنیت پایین 9 شبکه اجتماعی داخلی که توسط سازمان فناوری اطلاعات و یکی از پیمانکارانش منتشر شده، حالا زمینه ساز بحث‌های انتقادی مختلف در این خصوص شده است؟ 
 
تشویق برای استفاده از شبکه اجتماعی داخلی
یکی از برنامه‌هایی که وزارت ارتباطات دولت یازدهم و در راس آن وزیر ارتباطات در اولویت کاری خود قرار داده است، فراهم کردن شرایط برای فعالیت بیشتر شبکه‌های اجتماعی داخلی و تشویق کاربران به استفاده از این سرویس‌ها بوده است. در همین راستا نیز محمود واعظی وزیر ارتباطات، در چند شبکه‌اجتماعی داخلی عضو است و گزارش‌های کاری و برنامه‌های توسعه حوزه فاوا را نیز از این طریق در اختیار کاربران اینترنت کشور می‌گذارد. محمود واعظی در اکثر گفت‌وگوهای خود و در واکنش به فیلتر شدن شبکه‌های اجتماعی محبوب دنیا اعلام کرده است که با فیلتر شدن تمام سرویس‌های اینترنتی موافق نیست، اما کاربران می‌توانند به‌عنوان یک جایگزین برای سرویس‌های اجتماعی خارجی از سرویس‌های اینترنتی داخلی استفاده کنند.
 
تشویق همیشگی وزیرارتباطات به استفاده کاربران از شبکه‌های اجتماعی داخلی در حالی رخ می‌دهد که برخی خبرها حکایت از امنیت پایین چند شبکه‌اجتماعی داخلی دارند. هادی سجادی، معاون امنیت فضای تبادل اطلاعات سازمان فناوری اطلاعات، حدود یک ماه پیش در گفت‌وگو با خبرگزاری فارس از تحقیقی روی شبکه اجتماعی داخلی خبر داده بود و اینکه نتایج این تحقیق چندان رضایتبخش نبوده است. به گفته سجادی، با بررسی 10 شبکه اجتماعی برتر داخلی مشخص شده که سطح امنیت در بسیاری از این شبکه‌ها پایین است و این شبکه‏ها از نظر حفظ امنیت کاربران دارای نقص‏های متعددی هستند. وی حتی به هک اطلاعات 2 میلیون نفر از کاربران یکی از این شبکه‌های اجتماعی پربازدید و داخلی اشاره و تصریح کرده است که اطلاعات حساب کاربری و کلمه عبور این کاربران در اینترنت نیز منتشر شده است.
 
محمود واعظی در حاشیه یکی از نشست‌های خبری خود در پاسخ به این سوال «دنیای اقتصاد» که کدام شبکه‌های اجتماعی داخلی نا امن هستند و چرا با این وجود وزارت ارتباطات کاربران را به استفاده از این سرویس‌ها تشویق می‌کند از اعلام نظر معاون امنیت فضای تبادل اطلاعات سازمان فناوری اطلاعات اظهار بی‌اطلاعی می‌کند و می‌گوید: «گزارشی در این خصوص به دست من نرسیده است اما آنچه مسلم است این موضوع است که هک و حملات سایبری به سرویس‌های مختلف اینترنتی چیز عجیبی نیست و در حال حاضر خبرهای مختلفی درخصوص هک یا نفوذ خرابکاران به شبکه‌های اجتماعی محبوب دنیا مانند فیس‌بوک و.. را می‌شنویم.» واعظی تاکید می‌کند که صاحبان شبکه‌های اجتماعی داخلی در تلاش برای افزایش امنیت سرویس‌های خود هستند و استفاده کاربران از این شبکه‌ها یا همین حمله‌های اینترنتی می‌تواند به رشد و بهبود امنیت آنها کمک شایانی کند.
 
 انتقاد از معرفی شبکه‌های اجتماعی ناامن؟!
در حالی که وزیر ارتباطات انتشار یا نام بردن از شبکه‌های اجتماعی داخلی ناامن را راهی برای بهبود سیستم امنیتی این شبکه‌ها و همچنین شفاف‌سازی و ایجاد اعتماد در بین کاربران می‌داند، اما یکی از مدیران این شبکه‌های اجتماعی نظر متفاوتی دارد و معتقد است که گزارش سازمان فناوری اطلاعات درخصوص امنیت شبکه‌های اجتماعی ایرانی، ‌فنی و حرفه‌ای نیست. امیر قاسمی، موسس شبکه اجتماعی هم‌میهن، در گفت‌وگو با «دنیای اقتصاد»، در این خصوص می‌گوید: «گزارش اخیر سازمان فناوری اطلاعات درخصوص امنیت شبکه اجتماعی ایرانی فنی نبوده و دارای جزئیات دقیق و شفاف هم نیست. در حالی که ما در شرایط سخت و پیچیده‌ای با طیف وسیعی از مشکلات داخلی و خارجی روبه‌رو هستیم چنین گزارشی آن هم از سوی یک سازمان دولتی که تعمیم شتاب‌زده‌ای به کل شبکه‌های اجتماعی داخلی داشته است بیش از هر چیز جای تعجب دارد. انتقاد من نسبت به اعلام نام شبکه‌های ناامن نیست انتقاد من اعلام گزارشی بدون جزئیات دقیق و شفاف است. »
 
وی در ادامه با انتقاد به اینکه در این گزارش نامی از شبکه‌های اجتماعی پربازدید و مطرح برده نشده می‌افزاید: «در این بررسی تعدادی از شبکه‌های پربازدید به هر دلیلی حذف شده‌اند و در مقابل تعدادی شبکه ناشناس و غیرمطرح در لیست قرار گرفته‌اند. همچنین چرا سرویسی که در جشنواره رسانه‌های دیجیتال از دولت جایزه گرفته، در این بررسی گنجانده نشده است یا حتی شبکه‌ اجتماعی که وزیر ارتباطات در آن عضو است مانند «زیگور» مورد بررسی قرار نگرفته است. به اعتقاد من این رفتار‌ها شک‌برانگیز است.»
 
قاسمی با اشاره به بالا بودن و اهمیت امنیت در شبکه‌های اجتماعی داخلی پربازدید و مطرح اعلام می‌کند که نظارت فعالان این حوزه روی سرویس‌هایشان یک کار پی‌درپی و تمام نشدنی است. قاسمی در پاسخ به این سوال که شبکه اجتماعی هم‌میهن تاکنون مورد حمله اینترنتی یا هک قرار گرفته است، می‌گوید: «حملات ناموفق برای بررسی امکان نفوذ بسیار عادی و روتین هستند، از کشورهای مختلف این حملات به شکل شبانه‌روزی صورت می‌گیرد و ساعتی نیست که این شرایط وجود نداشته باشد. این حملات حتی به بالا بردن امنیت شبکه ما کمک می‌کند چراکه باعث پیدا کردن راه‌های نفوذ و اشکالات نرم‌افزاری شبکه‌مان می‌شود.» به اعتقاد وی، هیچ شبکه و سایتی از حملات در امان نیست و لازمه حفظ امنیت مطالعه، توسعه، به‌روزرسانی و نظارت دائم است.
 
پاسخ به یک انتقاد
سازمان فناوری اطلاعات که تا پیش از مطرح شدن انتقاد از سوی یکی از مدیران شبکه‌های اجتماعی داخلی نسبت به این گزارش، حاضر به ارائه اطلاعات دقیق و منتشر کردن گزارش تحقیقاتی خود نبود در نهایت هفته گذشته و برای شفاف‌سازی فایل پی‌دی‌اف گزارش تحقیقاتی درخصوص بررسی امنیت شبکه‌های اجتماعی داخلی و خارجی را روی سایت خود قرار داد. سازمان فناوری اطلاعات دلیل انتقاد از این گزارش را انتشار ناقص اطلاعات فایل پی‌دی‌اف این گزارش توسط برخی خبرگزاری‌های داخلی عنوان می‌کند و بر این باور است که خبرگزاری‌ها با درک غلط از نتایج این گزارش و انتشار گزینشی اطلاعات آن زمینه‌ساز هجمه گسترده علیه سازمان فناوری اطلاعات شده‌اند. سازمان فناوری اطلاعات در بیانیه‌ رسمی خود در پاسخ به این انتقاد‌ها اعلام کرد که گزارش منتشر شده در چند خبرگزاری از مطالب ارائه شده در یک کارگاه در نمایشگاه تله‌کام 94 با عنوان تبیین و بررسی مولفه‌های امنیت شبکه‌های اجتماعی داخلی و خارجی گرفته شده است. گزارشی که هدف آن حفظ حریم خصوصی و افزایش ضریب امنیت و حقوق کاربران ایرانی بوده است. 
 
به گفته سازمان فناوری اطلاعات این پژوهش کار مشترک معاونت امنیت فضای تولید و تبادل اطلاعات سازمان و مرکز راهکارهای اطلاعاتی هوشمند دانشگاه صنعتی شریف بوده است. از جمله مباحث عنوان شده در این کارگاه که از طریق فایل پی‌دی‌اف در سایت سازمان فناوری اطلاعات نیز قابل دسترس است، می‌توان به تعریف شبکه‌های اجتماعی و ذی‌نفعان آن، مباحث امنیتی در جهت حفظ حریم خصوصی و جلوگیری از دسترسی‌های نادرست، تهدید‌های شبکه‌های اجتماعی خارجی و مقابله اتحادیه اروپا با آن بر اساس قوانین و مقررات حاکم و همچنین اصول OECD در جهت حفظ حریم خصوصی اشاره کرد. نحوه مناسب و ایده‌آل استفاده از شبکه‌های اجتماعی و نقاط خطر احتمالی و حمله‌های امنیتی قابل وقوع در این شبکه‌ها و همچنین بررسی شبکه‌های اجتماعی داخلی، نقاط قوت و ضعف آنها، گام‌های اساسی برای ایجاد فضای امن در شبکه‌های اجتماعی داخلی از دیگر عناوینی است که می‌توان در این پی‌دی اف مشاهد کرد.
 
برخی کارشناسان جو ایجاد شده از انتشار چنین گزارشی از سوی سازمان فناوری اطلاعات را بی‌مورد می‌دانند و معتقدند انتشار چنین گزارش‌هایی نه تنها باعث ضعف و بدبینی کاربران به این شبکه‌ها نمی‌شود بلکه شفاف‌سازی هر چه بیشتر در این خصوص می‌تواند به بالابردن سطح آگاهی جامعه نسبت به فعالیت این شبکه‌ها کمک کند. علی فتاحی، کارشناس امنیتی با اعلام اینکه هک و حملات سایبری بخش جدا ناپذیر فعالیت در دنیای اینترنت است، می‌گوید: «مشکل امنیتی مختص به شبکه‌های اجتماعی داخلی نیست و در تمام دنیا سرویس‌های مختلف اینترنتی با این مشکل روبه‌رو هستند. همچنین بخشی از پایین بودن امنیت شبکه‌های اجتماعی به این موضوع باز می‌گردد که اصولا در کشور به مسائل امنیتی توجه ویژه‌ای نمی‌شود و این مشکل باید از پایه حل شود.» به باور وی آموزش و استفاده برنامه‌نویسان حرفه‌ای در ایجاد یک شبکه اینترنتی یکی از نیاز‌های اساسی برای بالا بردن امنیت سرویس‌های اینترنتی در ایران است.
 
در همین زمینه نیماشایافر، برنامه‌نویس وب در گفت‌وگویی مشکل امنیت پایین شبکه‌های اجتماعی داخلی و دلیل عدم تمایل کاربران ایرانی به استفاده از این شبکه‌ها را به برنامه‌نویسی غیر حرفه‌ای این شبکه‌های اجتماعی ارتباط می‌دهد و می‌گوید: «برخی از برنامه‌نویسان ایرانی برای ایجاد یک سرویس اینترنتی از ساختارهای برنامه‌نویسی از پیش آماده شده و متن باز استفاده می‌کنند که این انتخاب در طول زمان باعث بروز مشکلات امنیتی می‌شود. درست است که استفاده از چنین ساختارهای برنامه نویسی باعث کاهش هزینه‌ها می‌شود، اما برای جلوگیری از بروز مشکلات امنیتی، استفاده از چنین برنامه‌هایی نیاز به نگهداری و به روزرسانی دارد.» شایافر معتقد است برای جلب نظر کاربران به سرویس‌های اینترنتی داخلی باید برنامه‌نویسان ایرانی نسبت به خواسته کاربران آگاه باشند و از برنامه‌های به روز و امن دنیا برای کد نویسی استفاده کنند.

​​