نویسنده: حامد اکبری، پژوهشگر سیاستگذاری دولت الکترونیک و اقتصاد استارتآپها
در هفته گذشته خبری مبنی بر درز اطلاعات تعدادی از افراد شرکت حملونقل معروفی، فضای خبری کشور علیالخصوص فضای مجازی را مدتی به خود مشغول کرد. این خبر که به نظر نگارنده ارزش خبری چندانی ندارد و نگرانی پیرامون ضربه خوردن به یکی از استارتآپهای موفق کشور بیشتر است، برآنم داشت تا در حوالی موضوع درز اطلاعات و بهطور کلی امنیت اطلاعات، سؤالات و همچنین راهحلهایی که مدتهاست دنیا درحال بهرهگیری از آن است را در این یادداشت مطرح کنم و از آنجایی که پیگیری وزیر موفق و جوان ICT به گسترش بیشتر این خبر دامن زد، شاید بتوان به نوعی مخاطب این یادداشت را حوزه سیاستگذاری و نظارت بر فضای دادهای کشور تلقی کرد.
طرح مسأله
با چند عنوان و طرح مسأله میتوان بحث را به پیش برد و سرانجام راهحلهایی را اندیشید.
نخست اینکه روشهای حفاظت دادهها و اطلاعات در کسب وکارهای اینترنتی و استارتآپها کمابیش مشابه هم هست که هشدار وزیر ICT به نوعی همین نگرانی را نشانه رفته بود.
دوم اینکه عناوین دیتا و اطلاعات دریافت اطلاعات در استارتآپ و کسبوکارها هم کمابیش مشابه هم هستند و عملاً نه ریز اطلاعات افراد بلکه شاید صرفاً شماره تماس آنها برای مقاصد تجاری موضوع این نشت اطلاعاتی مورد توجه باشد که البته همچنان فرض یک سوءقصد اعتباری و برندی محل نظر جدی است.
سوم اینکه هیچ اطمینانی از ارزش اطلاعاتی اینگونه اطلاعات و دادهها که نزد کسب وکارهاست وجود ندارد. چرا که به طور کلی هیچ روش راستیآزمایی و روزآمدگری و پالایش اطلاعات در میان کسب وکارهای مجازی جا نیافتاده و نمیتوان به قطعیت گفت اساساً این اطلاعات صحیح و با کیفیت و روزآمد باشد. فلذا جوسازی رسانهای احتمالاً میتواند بیش از هدف قرار دادن اهمال و سهلانگاری کسب وکار موردنظر به آنها ضربه تجاری و اعتباری بزند و البته شرکت مزبور میتواند از همین فرصت خبری برای اطلاعرسانی بیشتر و برندینگ و تولید محتوا بر روی تغییرات امنیتی فعالیت خود مانور کرده و راهی طولانی را در زمان نسبتاً کوتاهی طی کند.
چهارم اینکه، بیشتر اطلاعاتی که از اعضا و مشتریان یک کسب وکار اینترنتی اخذ میشود، اساساً برای فرایند احراز هویت گرفته میشود که به دلایل متعددی هیچکدام از آنها نه به کار احرازهویت میآید و نه اساساً قابلیت صحتسنجی و راستیآزمایی آن نزد استارتآپها وجود دارد.
پنجم اینکه، اطلاعات دریافت شده از مخاطبین کسب وکارهای اینترنتی، بیشتر به دلیل تشکیل پروندههایی است که یا جزیی از قوانین تجارت و کار کشور است و یا جزء الزامات نهادهای مختلف نظارتی است که آن هم عملاً از وحدت رویه و توضیح و تفسیر روشنی برخوردار نبوده و در مواقع بروز fraud و یا تقلب و بروز مشکل هم آن اطلاعات مورد استفاده نبوده و روشهای استعلام اطلاعات حقوقی مورد نیاز محاکم، از مجاری دیگری تأمین و مورد تأیید میباشد.
ششم اینکه، در زمان دریافت اطلاعات از اعضا و مخاطبان یک استارتآپ، هیچ راهحل و روش جایگزینی برای آن، نه برای کسب وکار و نه برای اعضا وجود ندارد.
و هفتم اینکه، هر دیتا و اطلاعاتی مادامی که بر روی فضای اینترنت مستقر هستند به طور تئوریک و فنی، ظرفیت نشتپذیری و هک شدن دارند. به هرحال هر قفلی یک سازنده دارد و همین دلیل برای احتمالات برشمرده ی فوق کافیست!
راه حل
حال که تا حدی ابعاد مسأله برای خواننده محترم روشن شد وقت آن است که بتوان در حوالی راهحلهای احتمالی موجود برای این مسأله و مسائل مشابه پرسه زد و بنابر موضوع، بهترین راهحلها را عملیاتی کرد.
راهحل اول که از سطح پایینترینهاست، افزایش سطح امنیت نهادی و تکنیکال کسب وکارهای اینترنتی است که قطعاً کسب وکارها هر روز با آن درگیرند و خود را در آنها مسلحتر میکنند.
راه حل دوم، بلاکچینی کردن ثبت و ضبط اطلاعات موجود است. الگوی بلاکچین بهطور خلاصه و بسیار غیرفنی عبارتست از توزیع کردن اطلاعات بر روی سرورها و پذیرندههای متعدد است و به عبارتی غیر متمرکز کردن الگوی ثبت اطلاعات است که عملاً هک کردن و نشت فنی اطلاعاتی را منتفی میکند. البته بلاکچین در ابتدای مسیر توسعهای خود در دنیا و در مراحل بسیار ابتدایی و غیر تجاری در ایران قرار دارد.
راهحل سوم، نوعی روش سیاستگذارانه است که محدودیت اخذ اطلاعات از کاربران را هدف قرار داده است. قانون اروپایی GDPR بر این مسأله تمرکز کرده و کسب وکارها و مراکز خدماتدهنده اینترنتی را در گرفتن اطلاعات از کاربران به شدت محدود میکند و فقط اجازه اخذ اطلاعات ضروری از کاربران را داده و همچنین مدیریت و اجازه هرگونه استفاده و انتقال و تغییر اطلاعات را فقط در اختیار صاحب اطلاعات یعنی کاربر موردنظر قرار میدهد و در سیاست مکمل دیگری ارائهدهندگان سرویسها را موظف به حذف و معدوم کردن هرگونه اطلاعاتی از کاربران میکند که به هر دلیلی مدتی بلااستفاده باقی میماند. جالب است که قوانین سختگیرانه و جریمههای سرسامآوری منتظر نقضکنندگان این قانون در اروپا است.
راهحل چهارم، نوعی همکاری اطلاعاتی و داده ای است که کسب وکارها میتوانند از آنها استفاده کنند. بهعنوان مثال اگر فرایند ثبتنام و احراز هویت در یک کسب وکار، A باشد (هم از نظر کمی و هم از نظر کیفی) و فرایند ثبتنام و احراز هویت کسب وکار دیگری، B باشد و اگر A ≤ B باشد معقول است، کسب وکار اول، اعضا و دارندگان اکانت کسب وکار دوم را به مثابه فرایند احراز هویت، پذیرفته و از دریافت مجدد اطلاعات کاربران بپرهیزد. این راهحل که به همکاری نهادی و فنی کسب وکارها نیاز دارد حجم زیادی از احتمال نشتهای اطلاعاتی را میکاهد.
راهحل پنجم و عملیاتیترین راهحل موجود در دنیا که به نوعی الگوی توسعهیافته راهحل چهارم است استفاده از ظرفیتUID (Unique Identification) یا «هویت یکتای دیجیتال» است. UID( Uniqe Identification) یا «هویت یکتای دیجیتال» این ظرفیت را ایجاد میکند که کاربران برای استفاده از سرویسهای مختلف بر بستر فضای مجازی به هیچ عنوان اطلاعات خود را بهطور چندباره در سایتها و اپلیکیشنهای کسب وکارهای مختلف ارائه نکرده و صرفاً با استفاده از سرویس UID (هویت یکتای دیجیتال) استفاده کنند. لازم به ذکر است استفاده از ظرفیت UID و هرگونه هویت یکتای دیجیتال، هم از ریسک اطلاعاتی کاربران میکاهد و هم هزینه عملیاتی توسعه فرایند احراز هویت و همچنین حفاظت و نگهداری از اطلاعات کاربران را برای صاحبان کسب و کارها حذف و یا به شدت میکاهد. استفاده از هویت دیجیتال در دنیا از موفقترین روشهای مقابله با نشت اطلاعاتی است.