علیرضا دقیقی، حقوقدان حوزهی سایبری در گفتوگو با انصاف نیوز به دیتاها و اطلاعاتی میپردازد که روزانه در فضای مجازی و حقیقی آنها را از دست میدهیم. از انحصار آمریکا روی اطلاعات سایبری تا اثرانگشت برای خرید یک سیمکارت. فضایی که به نظر میرسد امکان ایجاد هرگونه حریم خصوصی را از ما سلب کرده است و امکان کنترل فضا از سمتی و جرم سابری را از سمت دیگر تقویت میکند. در ادامه متن کامل گفتوگوی انصاف نیوز با علیرضا دقیقی را میخوانید:
انصاف نیوز: به طور کلی چه اطلاعاتی دارای ارزش هستند؟
دقیقی: در موضوع ارزشگذاری یک کالا یا خدمت، باید دید که این کالا فیالنفسه دارای ارزش است یا نه. طلا، خاک و داده؛ فیالنفسه دارای هیچ ارزشی نیستند. شیوهی استفاده و همچنین نیاز ما بسته به اینکه چه مقدار از کالا موجود باشد و چطور میشود از آن استفاده کرد و اصولا میزان تقاضای کالا چقدر است قیمت را مشخص میکند. در خصوص ارزش دادهها اصلیترین شاخص این است که متعلق به چه شخص یا شرکت و موسسه یا حکومت قدرتمندی است و بنا بر سطح تاثیر و ارتباطات آن، ارزش داده ها فزونی پیدا میکند.
در شکل گیری و ادارهی کشور یک سری اطلاعات نقش کلیدی دارد. مثلا اسم افراد که فینفسه داده است و ارزشی ندارد اما بسته به شخص شما و اینکه متقاضی این داده کجاست، دارای ارزش میشود و یا فرضا تاریخ تولد شما برای تمیز اسم فرد از دیگر کسانی که این نام را دارند ارزش پیدا میکند. اعتبار دادهی یک نفر مربوط به منابع مالی، روابط سیاسی و پارامترهای دیگر متغیر است. ما از دادههایی صحبت میکنیم که فینفسه ارزشی ندارند اما بسته به اینکه چه کسی میخواهد به این داده برسد و چه منافعی پشت این داده است. دادههایی که ما فکر میکنیم بیارزش است در جای خود اعتبار پیدا میکند. من هیچ ارتباطی با همسایهی خود ندارم اما اگر یک گوشی اپل داشته باشم و کنار دیوار همسایه باشم میتوانم تحت شرایطی دادههای او را به سرقت ببرم. اینجا است که گوشی من و محل مسکونی من اعتبار پیدا میکند.
گوشیها بدون اینکه شما بخواهید دادهها را جمعآوری میکنند، برای توضیح بهتر به عقب برمیگردم، تمام دیتاهایی که در تلویزیون، رادیو، رادیوهای اینترنتی و کلا رسانههای صوتی و تصویری و هر دیتایی که از اینترنت مخابره میشود همه ذخیره میشوند. آمریکا، کانادا، آلمان و فرانسه این کار را میکنند. حتی اگر این اطلاعات را پاک کنید باز نگهداری میشوند. در دنیایی که من میشناسم هیچ دیتایی قفل ندارد.
پس به نوعی با یک نوع انحصار مواجه هستیم؟
میدانید که کشورها قادر به تولید cpu نیستند، چرا که من معتقدم چنین اجازه و دانشی را ندارند -جز امریکا جای دیگری حق تولید cpu ندارد- (یعنی یا شرکت در آمریکا است یا آمریکایی است)، شرکتهایی مثل سامسونگ هم که در بستر کار خود cpu تولید میکنند تحت لیسانس آمریکا این کار را میکنند. و از طرفی وسایل الکترونیکیای که میتوانند به اینترنت وصل شوند اگر بخواهد کار کند باید آدرس یکتای جهانی داشته باشد و از طرفی همه اطلاعات در کامپیوتر برای تحلیل حتما باید به زبان کامپیوتر تبدیل به صفر و یک شود. وقتی چیزی سرچ میکنید کامپیوتر یا هر دیوایسی آن را به کمپایلر میفرستد و از آنجا بدون رمزگذاری به cpu میرود. Cpuها دست کیست؟ همه دست آمریکا است امروزه کامپیوترها طوری طراحی شدهاند که باید آن را وصل کنیم تا کار کند، اینجاست که اشکالات به وجود میآید.
با این اوصاف اطلاعات و دیتاها یا در انحصار آمریکا هستند یا در مسیر انتقال اگر کسی دانش آن را داشته باشد که در مسیر تبادل آن را بدزدد، میتواند از آن داده استفاده کند. به طور کلی شبکه جهانی اطلاعات سه بخش دارد؛ یک بخش آن را همه میبیند که این میتواند تا پنج درصد این اطلاعات باشد(همان جایی که مردم توسط موتورهای جستجویی مثل گوگل و یاهو و… جستجو میکنند) یک بخش مربوط به قسمت تاریک اینترنت میشود و بخشی هم مربوط به بخش عمیق آن. این دو بخش ۹۵ درصد از اطلاعات را در بر میگیرد؛ شرکتهایی و یا حکومتها و یا اشخاصی هستند که اطلاعات قسمت تاریک و قسمت عمیق را در اختیار قرار دارند یا آن اطلاعات را بنا بر منافع خود میفروشند یا در اختیار دیگری قرار میدهند. یعنی یک شرکت حتی اگر سایت نداشته باشد و اطلاعاتش را به اشتراک نگذارند وقتی به اینترنت وصل میشود تا اطلاعاتی را بگیرد میتوانند به اطلاعات آن دسترسی پیدا کنند.
در موضوع هواپیمای اوکراینی من معتقد بودم که دادههای جی پی اس از طریق اختلال در سیگنالینگ توسط خرابکار، دستکاری شده بود؛ یعنی این پیام به همه دنیا داده شد که من میتوانم دادههای چی پی اس را دستکاری کنم و اگر این کار را کنم چه اتفاقی میافتد. بر همین اساس قبلا اروپاییها برای خودشان یک شبکه جی پی اس مستقل راه انداخته بودند. هرچند که کل دنیا از شبکه جی پی اس آمریکا استفاده میکند (ایران هم باید به این سمت برود نمیشود که جی پی اس را به یک کشور دیگر داد و همه چیز را با آن هماهنگ کرد اگر جی پی اس را به صورت یک خوشه انگور ببینیم در جاهای مختلفی از خوشه انگور از سیگنال جی پی اس استفاده میشود مثلا در حمل و نقل دریایی در سیستم موشکی، در سیستم حمل و نقل شهری و …). اگر کسی دادهها را مختل کند فاجعه به بار میآید ارزش این اطلاعات زمانی که نباشد خودش را نشان میدهد. شما هزینههای زیادی برای سیستم موشکی، سیستم اتمی، حمل و نقل عمومی و غیره انجام دادهاید، میبینید که در شرایط بحرانی اگر این جی پی اس دچار مشکل شود فاجعه به بار میآید، فاجعهای که میتواند منجر به انقلاب و تغییر رژیم در کشورها شود یا اینکه منجر به متغیر مدیران یک شرکت شود و حتی ورشکستگی یک شرکت. (فعلا آمریکاییها این قدرت را دارند اما به ندرت از آن استفاده میکند چون اگر از آن زیاد استفاده کند جامعه جهانی واکنش نشان میدهد.) میتواند در کشورها مولد جرم را کاهش یا افزایش دهد یا میتواند مسائل امنیتی به وجود بیاورد و جلوی آن را بگیرد، میتواند فرهنگسازی کند و فرهنگ یک کشور را از بین ببرد، میتواند اقتصاد یک کشور را فلج کند یا نجات دهد، همه این توانمندیها مبنای دادهای دارد.
اگر تا دیروز من جلوی یک خانم یا بچه را میگرفتم تا دزدی کنم، امروز شیوهی کارم را تغییر دادهام و از دادهها استفاده میکنم تا بدانم این خانم به چه چیزهایی علاقه دارد چه عکسی را فالو میکند، چه کسانی او را فالو میکنند. اینها چیزهایی هستند که من میتوانم به عنوان یک یوزر ثالث ببینم پس صاحبان سیستمها چیزهایی را میبیند که کس دیگری نمیبیند من با فرض محرمانه بودن چتم، چت میکنم غافل از محرمانه بودن و نبودن آن.
با این اوصاف آیا میتوانیم بگوییم که از اطلاعاتی که در فضای مجازی داریم نمیتوانیم به صورت محرمانه نگهداری کنیم؟
هر چقدر هم بگوییم سکرت و محرمانه است ولی باز چت ما برای شرکت من مثلا فیسبوک سکرت نیست چون خود سازنده قفل است. از راه دیگری هم میشود از این دادهها استفاده کرد برای مثال به شرکتی که میتواند وارد حفره فیسبوک شود، راه نشان داده شود که وارد حفره شود و دیتاها را جمع کند یعنی همان اتفاقی که در توییتر افتاد.
این دادهها به حدی ارزشمند هستند که صدها ماهواره در سطح جهان به اشتراک گذاشته شده است فقط برای اینکه این دادهها با رایگان در اختیار گذاشتن اینترنت جهانی، جمع آوری شود. گوگل سابقهی ما را میفهمد گذشتهی ما را در میآورد میتواند بفهمد که ما بیماری داریم یا نه! میتواند بفهمد که علاقهی شما امروز چیست! می تواند بفهمد که شما ۱۰ سال پیش به چه علاقه داشتید امروز علایقتان تغییر کرده است یا نه! گوگل میتواند متوجه شود که شما از اشخاصی که مثلا موی مشکی دارند خوشتان میآید یا بلوند یا… شما ممکن است به من یک موضوع را راست نگویید یا علاقه تان را کتمان کنید اما در گوگل آن را درست سرچ میکنید.چون گوگل شما را قضاوت نمیکند. امروز در بسیاری از آمارگیریها از داده های الگوریتمی گوگل استفاده می شود. برای مثال اینکه یک کلمه مثل کرونا چند بار سرچ شده است. چند نفر دنبال عوارض آن بودند یا چند نفر دنبال جزئیات این عوارض بودند؟ با این اطلاعات مشخص میشود که چند نفر در دنیا با مشکلات خاص کرونا درگیر هستند.
اگر قوهی قضاییه در ایران میخواهد اصلاح شود راه اصلاح آن از الگوریتم میگذرد، البته این نیاز به بحث جداگانه دارد و جایش اینجا نیست ولی این را بارها گفتهایم اما صدای ما به جایی نرسیده است. متخصصان زیادی در این حوزهها وجود دارند که ما تربیت کننده آنا بودیم و از طرفی صادرکننده متخصصان این حوزه به اروپا و امریکا هستیم، در حالی که میتوانیم از آنها استفاده کنیم.
در حوزهی اپل، همه وسایل الکترونیکی بدون آنکه بخواهید اطلاعات را از دیوایسهای دیگر حتی اگر نزد همسایهها باشد، جمع آوری میکند. وقتی یک گوشی را روشن میکنیم بدون کسب اجازه، به دستگاه های اطرافت اتصال پیدا میکند. بعد از اتصال و شناسایی دیوایس هم جوار میپرسد نزدیک شما یک گوشی است میخواهید اطلاعات را از آن کپی کنیم؟ اگر من لوکیشنم را ببندم و نخواهم بگویم کجا هستم، وقتی که گوشی را تازه راه میاندازم اگر جی پی اس کار نکند هم به اولین وسیله الکترونیکی که نزدیکم است وصل میشود و دادهها را از آن میگیرد، پس به این شکل من نقطهی مکانی خود را به آیفون یا هر گوشی دیگری اعلام کرده ام. اگر شما یک گوشی اپل خریده باشید و به دوربین آن چسب بزنید نمیتوانید آن را به راه بیاندازید. دوربین چهرهی شما را میبیند و بدین بهانه تشخیص می دهد که شما در هر لحظهای در چه حالتی هستید. دادهها ریپورت میشوند و در یک طبقه بندی به نام مک آدرس دیوایس قرار میگیرند بعدها اطلاعات این طبقه بندی با داده های دیگری با نظام الگوریتمی تکمیل و اسم و مشخصات صاحب تلفن و عکس و تماس ها و شماره تلفن ها و… بدان افزوده می شود و همین تکامل میشود یک پیکربندی عظیم که می شود هزاران هزار کار باهاش کرد. در نهایت این اطلاعات تبدیل به کالا میشود و به هر کسی که متقاضی آن باشد فروخته میشود مثلا اگر یک کشور بخواهد این اطلاعات را بخرد و نتواند از فروشنده این اطلاعات خریداری کند. یک محلل وارد موضوع میشود که شرکتهای حوزه دارک وب و دیپ وب هستند که می توانند اطلاعات را در مسیر انتقال به دست بیاورند و بفروشند. اصلا مشخص نیست چه کسانی پشت این دارک وبها نشستهاند و کجا هستند و از چه سیستمی استفاده میکنند و چه طور به اشتراک میگذارند.
این شبکهها چطور ایجاد میشوند؟
مگر شرکتهای وی پی ان دیوانه هستند که خدمات رایگان دهند؟ اطلاعات شما را هم میگیرند و به یک نفر دیگر رایگان میدهند و به همین شکل یک شبکهی منحصر به فرد کوچک می سازند که در آن شبکه ای ساخته شده انتخاب شده تر می توان به داده ها دسترسی داشت. از طرفی همه وسایل الکترونیکی حداقل برای همگام سازی زمانشان یا هر کار دیگری مانند ایمیل و غیره، مجبور به اتصال به شبکه جهانی هستند و با مکادرس واحدی که دارند (مرجع صدور مک آدرس برای هر وسیلهی الکترونیکی آمریکا است یعنی هر جای دنیا هم بخواهند یک وسیلهی الکترونیکی بسازند باید مک آدرس آن را از آمریکا بگیرند تا تداخل ایجاد نشود)، وارد شبکه میشوند و اینجاست که را باز شده است.
اصطلاحی داریم به نام هایستیک که یک سوزن در انبار کاه است. داشتن اطلاعات به خودی خود ارزش ندارد و طبقه بندی این اطلاعات است که نشان میدهد چه استفادهای از آن میشود. شما ممکن است اطلاعات زیادی روی کامپیوتر شخصی خود داشته باشید که نگه داشتهاید تا یک روز از آن استفاده کنید و در آخر هم پاک میکنید. حالا اگر طبقهبندی درستی داشته باشند میبینید که میتوانید استفادهی درستی کنید. من وقتی داشتم دادههای یک شرکت مخابراتی را بررسی میکردم متوجه شدم که میتوانم از اطلاعات آن شرکت استفاده کرد یعنی با دادن شماره؛ نام و شماره پرونده شما دسترسی پیدا کنم می توان خیلی از آن سواستفاده کرد. در یک اداره برای پروانه وکالت اطلاعاتی را میگیرند که نیازی به آن نیست، این اشتباه بزرگی است. آن هم در سایتی که هیچ اعتمادی به امنیت آن وجود ندارد و اگر کسی سوءنیت داشته باشد و به این اطلاعات دسترسی پیدا کند سواستفادههای زیادی می تواند از آنها بکند.
هر شماره ثابتی یک شماره متناظر موبایل همراه دارد و پیامکها مخابرات به آن شماره موبایل ارسال می شود. متوجه شدم که شماره موبایل متناظر شرکت مخابرات به هم خورده است، این یعنی فاجعه! فکر کنید هر کاری میکنید به جای اینکه اس ام اس به شما بیاید به یک شماره دیگر میرود شنیدم یک کارشناس از روی لجبازی این کار را کرده بود. این موضوع میتواند باعث ورشکستگی یک شرکت شود، یکی مثل من هم میرود میگوید چرا پیامها درست نیامده میگویند درست است حالا باید پیگیری کند تا بفهمد چه افتضاحی رخ داده است.
اینها مسائل پیچیدهای هستند که هزینه رو بار کشور میگذارند. من به یک مامور امنیتی گفتم که میتوانم سیستمی در اختیار شما بگذارم که هر کسی که سیم کارت دومی دارد، حتی به نام خودش نیست شناسایی کنید ولی با شما قرار میگذارم که این فقط برای جرایمی که موجب فساد میشود، استفاده شود. میدانید کسانی که در سیستم دولتی فساد میکند با گوشی خودشان این کار را نمیکند، گفتم من به شما میگویم که چطور آنها را تشخیص دهید. نخواستند این را از من بخرند و عملیاتی کنند. من میتوانم در ذهنم تصور کنم که ممکن است خودش همه گوشی ثانویه داشته باشد که از آن استفاده میکند اگر در یک کشوری بخواهید جرایم اقتصادی را سد کنید، میتوانید از ابزارهای الگوریتم استفاده کنند.
یک بار یک سیمکارت ایرانسل خریدم آن را با پیک فرستادند کسی که سیم کارت را آورده بود گفت انگشت بزنید گفتم یعنی چه انگشت بزنم؟ لزومی ندارد انگشت بزنم و اگر این طور است این کارت را برگردانید کارشناس به من زنگ زد و گفت شما سیم کارت خرید کردید و آن را تحویل نگرفتهاید، مشکل کجا بود گفتم مشکل آنجاست که از من اثر انگشت میخواهند، دلیلی ندارد اثر انگشت را در اختیار شرکت ایرانسل قرار دهم. وقتی این اثر انگشتها را جمع میشود، برای نگه داری حتما آنها را اسکن میکنید. خوب اینجا اهمیت هایستیک پیش می آید. یعنی کسی اثر انگشت من را ندارد با اسکن برگه نشان داده میشود که این اثر انگشت برای علیرضا دقیقی است فکر کنید یکی از نیروهای امنیتی یک کشور سازمانهای امنیتی نامهای آنها را تغییر دادهاند میخواهد سیمکارت بخرد یک سیمکارت را که سازمان به وی داده و اطلاعاتی در آن ثبت نشده است ولی این همسر و فرزند و مراوداتی دارد وقتی این افراد اثر انگشت داده اند و مشخصات ثبت شده دارند به تبع آن اطلاعات همه در دست است و قابلیت یکپارچه سازی دارد. ولی اطلاعات این طیف از افراد نیست و این نشان میدهد که اینها در چه طبقه و الگویی فامیلی و ارتباطی قرار میگیرند. با این روش میشود تمامی نیروهای امنیتی یک کشور را شناسایی کرده و این زنگ خطر است. تصور کنید شماره و مشخصات همهی افرادی که در یک وزارتخانه کار میکنند را بشود جمع کرد خب به موقع خیلی میتوان از این اطلاعات استفاده کرد. مثلاً یک اس ام اس را در موقعیت حساس برای آنها ارسال کرد.
ما نباید به شرکتها این اجازه را بدهیم که دادههای افراد را جمعآوری کنند، نیازی نیست من از شما فتوکپی شناسنامه بگیرم، این فاجعه است. فکر کنید من یک آگهی استخدام با مبلغ ۲۰ میلیون تومان حق و ماهانه بدهم، چقدر میتوانم داده جمع کنم؟ درنهایت هم بگویم شما پذیرفته نشدید. اینکه افراد به جایی مراجعه میکنند و کپی کارت ملی یا شناسنامهی خود را میدهند، یک فاجعه است. با جلوگیری از چنین کارهایی، میتوانیم جلوی خیلی از جرایم را بگیریم. راههای پیشگیری از جرمی که در آینده میتواند اتفاق بیافتد وجود دارد.
الان اگر شما به یک بانک مراجعه کنید ظرف یک ربع به شما یک شماره حساب و کارت میدهد این فاجعه است. ولی در آلمان این پروسه حدود یک ماه طول میکشد تا اعتبارسنجی شود. دیگر نمیشود حساب الکی ساخت و با آن کلاهبرداری کرد. میشود جلوی پولشویی را گرفت. ممکن است صدها پروندهی کلاهبرداری یا پولشویی شکل بگیرد.
شما چه پیشنهادی برای حفاظت از اطلاعات دارید؟
پیشنهاد من به سازمان تنظیم مقررات این بود که این سازمان دیتاها را از شرکتها جمع کند، وقتی افراد در دستگاه بارکدخوان کارت ملی خود را میکشند بدون اینکه بستر اینترنت اطلاعات من را داشته باشد یک شناسه به ادارهی ثبت احوال میفرستد، اطلاعات از اداره ثبت احوال به سازمان تنظیم مقررات میرود، این سازمان تایید میکند که تقاضای یک کالا یا خدمت از یک شرکت مثل ایرانسل آمده، شرکت هم اطلاعات سیمکارت را به سازمان تنظیم مقررات میفرستد، اگر این اطلاعات با هم همخوانی داشتند سیمکارت صادر میشود و در اختیار شبکه پست قرار میگیرد، پست به فرد میرساند و احراز هویت میکند، کارت ملی در دستگاه کشیده میشود و اطلاعات در سازمان تنظیم مقررات رجیستری میشود. این کار اطلاعات را به دولت یا حاکمیت انتقال میدهد و او موظف است از این دیتاها محافظت کند. البته در مقابل سیستم جهانی نمیتواند محافظت موثری بکند اما در مقابل سارقین، چرا میتواند.
این کار به راحتی انجام میشود ما بستر و زیرساخت را داریم. قوهی قضاییه یک بستر تهیه کرد که همه میگفتند چرا قوهی قضاییه این همه هزینه میکند؟ در بحث کرونا در حوزه دادگاه و دادگستری از همان زیرساختها استفاده شد و مشکلات حداقلی بود. خیلی راحت قابل انجام است اگر در جایی انجام نمیشود به این خاطر است که منفعت عده ای از قبل آن تامین نمیشود.
در فضای سایبری چطور؟
در فضای سایبری عملا نمیشود از دادها و اطلاعات شخصی محافظت کرد مگر آنکه از گوشیهای سبک قدیم که باطری آنها خارج میشود و قابلیت نصب برنامه ندارد، استفاده شود. اگر منبع تغذیه جدا شود، اطلاعات منتقل نمیکند. وقتی گوشیها همیشه در دسترس است حتی در اتاق خواب هم میتوان میکروفون را به نوعی باز کرد.
اگر من شرکت فراهم کننده اپلیکیشن، بخواهم در متن همهی چتها سرچ کنم، در عمل سردرگم می شوم؛ اما میتوانم فضایی را به نام سکرتچت باز کنم، از این فضا میتوانم همهی اطلاعاتی که افراد فکر میکنند اهمیت بیشتری دارد را به دست بیاورم. اگر از من بپرسند فکر میکنی امنیت چه برنامهای بالاست از تریما Threema نام میبرم چون حتی سیم کارت بیس و ایمیل بیس هم نیست ولی اگر بپرسند آیا این امنیت دارد یا نه میگویم تریما هم امنیت ندارد چون آنهم مک آدرس بیس است، داخل کشور امنیت دارد ولی در شبکه جهانی خیر! باعث تعجب است در کشور واتس آپ که اینهمه غیرامن است و بارها حفرههای مختلف از آن درآمده، فیلتر نیست اما اپلیکیشنهای دیگر که میتوانند مثل تریما باشند فیلتر است.
انتهای پیام