به بهانه خبر درز اطلاعات شرکت حمل‌و‌نقل!

نویسنده: حامد اکبری، پژوهشگر سیاست‌گذاری دولت الکترونیک و اقتصاد استارت‌آپ‌ها

در هفته گذشته خبری مبنی بر درز اطلاعات تعدادی از افراد شرکت حمل‌و‌نقل معروفی، فضای خبری کشور علی‌الخصوص فضای مجازی را مدتی به خود مشغول کرد. این خبر که به نظر نگارنده ارزش خبری چندانی ندارد و نگرانی پیرامون ضربه خوردن به یکی از استارت‌آپ‌های موفق کشور بیشتر است، برآنم داشت تا در حوالی موضوع درز اطلاعات و به‌طور کلی امنیت اطلاعات، سؤالات و همچنین راه‌حل‌هایی که مدت‌هاست دنیا درحال بهره‌گیری از آن است را در این یادداشت مطرح کنم و از آنجایی که پیگیری وزیر موفق و جوان ICT  به گسترش بیشتر این خبر دامن زد، شاید بتوان به نوعی مخاطب این یادداشت را حوزه سیاست‌گذاری و نظارت بر فضای داده‌ای کشور تلقی کرد.

طرح مسأله

با چند عنوان و طرح مسأله می‌توان بحث را به پیش برد و سرانجام راه‌حل‌هایی را اندیشید.

نخست اینکه روش‌های حفاظت داده‌ها و اطلاعات در کسب وکارهای اینترنتی و استارت‌آپ‌ها کمابیش مشابه هم هست که هشدار وزیر ICT به نوعی همین نگرانی را نشانه رفته بود.

دوم اینکه عناوین دیتا و اطلاعات دریافت اطلاعات در استارت‌آپ و کسب‌وکارها هم کمابیش مشابه هم هستند و عملاً نه ریز اطلاعات افراد بلکه شاید صرفاً شماره تماس آن‌ها برای مقاصد تجاری موضوع این نشت اطلاعاتی مورد توجه باشد که البته هم‌چنان فرض یک سوء‌قصد اعتباری و برندی محل نظر جدی است.

سوم اینکه هیچ اطمینانی از ارزش اطلاعاتی اینگونه اطلاعات و داده‌ها که نزد کسب وکارهاست وجود ندارد. چرا که به طور کلی هیچ روش راستی‌آزمایی و روزآمد‌گری و پالایش اطلاعات در میان کسب وکارهای مجازی جا نیافتاده و نمی‌توان به قطعیت گفت اساساً این اطلاعات صحیح و با کیفیت و روزآمد باشد. فلذا جو‌سازی رسانه‌ای احتمالاً می‌تواند بیش از هدف قرار دادن اهمال و سهل‌انگاری کسب وکار مورد‌نظر به آن‌ها ضربه تجاری و اعتباری بزند و البته شرکت مزبور می‌تواند از همین فرصت خبری برای اطلاع‌رسانی بیشتر و برندینگ و تولید محتوا بر روی تغییرات امنیتی فعالیت خود مانور کرده و راهی طولانی را در زمان نسبتاً کوتاهی طی کند.

چهارم اینکه، بیشتر اطلاعاتی که از اعضا و مشتریان یک کسب وکار اینترنتی اخذ می‌شود، اساساً برای فرایند احراز هویت گرفته می‌شود که به دلایل متعددی هیچکدام از آن‌ها نه به کار احراز‌هویت می‌آید و نه اساساً قابلیت صحت‌سنجی و راستی‌آزمایی آن نزد استارت‌آپ‌ها وجود دارد.

پنجم اینکه، اطلاعات دریافت شده از مخاطبین کسب وکارهای اینترنتی، بیشتر به دلیل تشکیل پرونده‌هایی است که یا جزیی از قوانین تجارت و کار کشور است و یا جزء الزامات نهاد‌های مختلف نظارتی است که آن هم عملاً از وحدت رویه و توضیح و تفسیر روشنی برخوردار نبوده و در مواقع بروز fraud و یا تقلب و بروز مشکل هم آن اطلاعات مورد استفاده نبوده و روش‌های استعلام اطلاعات حقوقی مورد نیاز محاکم، از مجاری دیگری تأمین و مورد تأیید می‌باشد.

ششم اینکه، در زمان دریافت اطلاعات از اعضا و مخاطبان یک استارت‌آپ، هیچ راه‌حل و روش جایگزینی برای آن، نه برای کسب وکار و نه برای اعضا وجود ندارد.

و هفتم اینکه، هر دیتا و اطلاعاتی مادامی که بر روی فضای اینترنت مستقر هستند به طور تئوریک و فنی، ظرفیت نشت‌پذیری و هک شدن دارند. به هرحال هر قفلی یک سازنده دارد و همین دلیل برای احتمالات برشمرده ی فوق کافیست!

راه حل

حال که تا حدی ابعاد مسأله برای خواننده محترم روشن شد وقت آن است که بتوان در حوالی راه‌حل‌های احتمالی موجود برای این مسأله و مسائل مشابه پرسه زد و بنابر موضوع،  بهترین راه‌حل‌ها را عملیاتی کرد.

راه‌حل اول که از سطح پایین‌ترین‌هاست، افزایش سطح امنیت نهادی و تکنیکال کسب وکارهای اینترنتی است که قطعاً کسب وکارها هر روز با آن درگیرند و خود را در آن‌ها مسلح‌تر می‌کنند.

راه حل دوم، بلاک‌چینی کردن ثبت و ضبط اطلاعات موجود است. الگوی بلاک‌چین به‌طور خلاصه و بسیار غیرفنی عبارتست از توزیع کردن اطلاعات بر روی سرور‌ها و پذیرنده‌های متعدد است و به عبارتی غیر متمرکز کردن الگوی ثبت اطلاعات است که عملاً هک کردن و نشت فنی اطلاعاتی را منتفی می‌کند. البته بلاک‌چین در ابتدای مسیر توسعه‌ای خود در دنیا و در مراحل بسیار ابتدایی و غیر تجاری در ایران قرار دارد.

راه‌حل سوم، نوعی روش سیاست‌گذارانه است که محدودیت اخذ اطلاعات از کاربران را هدف قرار داده است. قانون اروپایی GDPR بر این مسأله تمرکز کرده و کسب وکارها و مراکز خدمات‌دهنده اینترنتی را در گرفتن اطلاعات از کاربران به شدت محدود می‌کند و فقط اجازه اخذ اطلاعات ضروری از کاربران را داده و همچنین مدیریت و اجازه هرگونه استفاده و انتقال و تغییر اطلاعات را فقط در اختیار صاحب اطلاعات یعنی کاربر مورد‌نظر قرار می‌دهد و در سیاست مکمل دیگری ارائه‌دهندگان سرویس‌ها را موظف به حذف و معدوم کردن هرگونه اطلاعاتی از کاربران می‌کند که به هر دلیلی مدتی بلا‌استفاده باقی می‌ماند. جالب است که قوانین سخت‌گیرانه و جریمه‌های سرسام‌آوری منتظر نقض‌کنندگان این قانون در اروپا است.

راه‌حل چهارم، نوعی همکاری اطلاعاتی و داده ای است که کسب وکارها می‌توانند از آن‌ها استفاده کنند. به‌عنوان مثال اگر فرایند ثبت‌نام و احراز هویت در یک کسب وکار، A باشد (هم از نظر کمی و هم از نظر کیفی) و فرایند ثبت‌نام و احراز هویت کسب وکار دیگری، B باشد و اگر A ≤ B باشد معقول است، کسب وکار اول، اعضا و دارندگان اکانت کسب وکار دوم را به مثابه فرایند احراز هویت، پذیرفته و از دریافت مجدد اطلاعات کاربران بپرهیزد. این راه‌حل که به همکاری نهاد‌ی و فنی کسب وکارها نیاز دارد حجم زیادی از احتمال نشت‌های اطلاعاتی را می‌کاهد.

راه‌حل پنجم و عملیاتی‌ترین راه‌حل موجود در دنیا که به نوعی الگوی توسعه‌یافته راه‌حل چهارم است استفاده از ظرفیتUID (Unique Identification) یا «هویت یکتای دیجیتال» است. UID( Uniqe Identification) یا «هویت یکتای دیجیتال»  این ظرفیت را ایجاد می‌کند که کاربران برای استفاده از سرویس‌های مختلف بر بستر فضای مجازی به هیچ عنوان اطلاعات خود را به‌طور چندباره در سایت‌ها و اپلیکیشن‌های کسب وکارهای مختلف ارائه نکرده و صرفاً با استفاده از سرویس UID (هویت یکتای دیجیتال) استفاده کنند. لازم به ذکر است استفاده از ظرفیت UID و هرگونه هویت یکتای دیجیتال، هم از ریسک اطلاعاتی کاربران می‌کاهد و هم هزینه عملیاتی توسعه فرایند احراز هویت و همچنین حفاظت و نگهداری از اطلاعات کاربران را برای صاحبان کسب و کارها حذف و یا به شدت می‌کاهد. استفاده از هویت دیجیتال در دنیا از موفق‌ترین روش‌های مقابله با نشت اطلاعاتی است.