در سال تحصیلی اخیر دانشگاه آزاد سیستم آموزشیش را به طور کامل تغییر داد و شروع به استفاده از سیستم آموزشیار کرد، اینکه این سیستم قبلا چطور بوده و چقدر کاربردی بوده را نمیدانم اما در این بین و به ویژه در هفته های اخیر اتفاقی افتاد که به نظرم جای تامل بیشتری دارد.
برای ورود به سیستم آموزشیار باید یک کد تایید وارد سیستم کرد و در واقع آموزشیار تلاش کرده یک سیستم ورود دو مرحله ای را به کار گیرد تا به ادعای خود امنیت سیستم و اطلاعات آن را بالاتر ببرد. اینکه این ادعا چقدر واقعیست با توجه به اینکه سیستمشان هنوز از پروتکل http استفاده میکند به نظر قابل پرسش است اما مسئله ای که میخواهم اینجا درباره اش بنویسم و در واقع بلندتر بر رویش فکر کنم این نیست.
برای اجرای سیستم ورود دو مرحله نیاز هست که یک رمز ثانویه به یک آدرس از قبل ثبت شده در سیستم مثل ایمیل، اس ام اس یا ... ارسال بشه البته راه های ایمن دیگه ای مثل استفاده از کپچا هم وجود داره اما آموزشیار میگه میخواد از ورود دو مرحله ای استفاده کنه. حالا اینکه اصلا آموزشیار میخواد از چه اطلاعات حساسی محافظت کنه هم خودش جای سوال داره با در نظر گرفتن اینکه در سال های اخیر چندبار افشای اطلاعات گسترده تایید شده وجود داره مثل افشا اطلاعات ایرانسل و معلوم نیست چقدر هم افشای اتفاق افتاده که صداشو در نیوردن و در واقع اطلاعات بیسیک اکثر افراد مثل کد ملی، نام پدر و ... رو احتمالن میشه با یکم تلاش در دارک وب پیدا کرد.
آموزشیار در مرحله اول گفت اگه بخوام اس ام اس بفرستم برای امنیت سیستم خودم، باید پولش رو دانشجوها بدن! بعد اما یه راه دیگه رو در پیش گرفت و با پیامرسان #آیگپ وارد همکاری شد. در ابتدا نحوه کار به این شکل بود که یا شما کدی که به اکانت آیگپ شماره همراهتون ارسال میشد رو وارد میکردین یا باید 2دقیقه صبر میکردین که سیستم بهتون یک کد نشون بده و بتونید وارد بشین. این سیستم گرچه خیلی آزاردهنده بود اما اجبار مستقیمی در خودش نداشت. مسئله از اونجایی شروع شد که چند ماه قبل آموزشیار امکان ورود بدون آیگپ رو حذف کرد و شما برای دسترسی به سیستم آموزشی دانشگاهتون یا باید آیگپ رو نصب میکردین یا هیچ گزینه دیگه ای نداشتین و نمیتونستین به سیستم آموزش دسترسی پیدا کنید. بعد از این قضیه چند وقت پیش یه سری بحث ها در توییتر اتفاق افتاد و مدیر عامل و مدیر بازاریابی آیگپ منتقدین این سیستم رو "بدون سواد رسانه ای" خطاب کردن و به شکل زشتی با مغلطه و توهین از زیر جواب دادن در رفتن اما به نظرم مسئولین آیگپ از یه جهت درست میگفتن که این اجبار رو اونها ایجاد نکردن البته که ازش منتفع هستن و قطعا در این اتفاق شریک هستن اما اونی که باید پاسخگو باشه دانشگاه آزاد و سیستم آموزشیار هستن. به خاطر همین من چنتا سوالی که به نظرم دانشگاه آزاد باید بهشون پاسخ بده یا اینکه خوبه که خودمون روشون فکر بکنیم رو که به ذهنم رسیده بود اینجا مینویسیم:
سوال اول در رابطه با حدود اجباریه که یه سازمان به ویژه سازمانی که مخاطبین عمومی داره حق اعمال اونها رو بر مخاطبانش داره. اتفاقای که به نظرم در مثال آیگپ افتاد این بود که دانشگاه، دانشجویان رو مجبور به استفاده از یک برند خاص خدمات دهنده کرد. مشابه این مثال میشه به شرایطی فکر کرد که از فردا دانشگاه اعلام کنه برای ورود به دانشگاه افراد باید از کفش های برند "شیما" استفاده کنن و اگر کسی از این برند کفش استفاده نکنه اجازه ورود به دانشگاه رو نداره. اینجا یه تفاوتی هست بین اینکه دانشگاه یه قانون عمومی در رابطه با پوشش داشته باشه مثل اینکه افراد باید برای ورود به دانشگاه کفش به پا داشته باشن و مثلا فردی رو با دمپایی به دانشگاه راه نمیدن و اینکه بگه باید از چه برند کفشی استفاده کنن البته خود اینکه دانشگاه حق اجبار دانشجویان به نوع خاصی از پوشش رو هم داره قابل بحثه اما اینکه برند رو هم محدود کنه یه سطح جدیدی از اجباره. حالا در مثال آیگپ هم دانشگاه دانشجویان رو مجبور به استفاده از یک برند تجاری شخص ثالث خاص کرده وگرنه حق ورود به سیستم آموزششون و انجام امور آموزشیشون رو ندارن!
سوال دومی که مطرح میشه مسئولیت دانشگاه آزاد در قبال اطلاعاتیست که در دسترس این نهاد شخص ثالث قرار میگیرد. آیا دانشگاه آزاد مسئولیت عدم استفاده صحیح پیامرسان آیگپ از اطلاعات شخصی دانشجویان را به عهده میگیرد؟ از ابتدای پررنگ شدن پروژه پیامرسان های ملی در کشور یکی از جدی ترین نگرانی ها در رابطه با استفاده از این پیامرسان ها سواستفاده نهادهای امنیتی از اطلاعات بوده است. حتی قبل از شروع این پروژه ها نیز سواستفاده حراست دانشگاه ها از مطالب اکانتهای شخصی دانشجویان مانند فیسبوک برای پرونده سازی بر علیه دانشجویان مسبوق به سابقه است حال با وجود چنین نگرانی هایی آیا دانشگاه آزاد تضمین میکند که طرف قرارداد او یعنی پیامرسان آیگپ از اطلاعات شخصی دانشجویان سواستفاده نخواهد نمود، آنها را بدون اجازه و اطلاع دانشجویان در اختیار نهادهای دیگر از جمله نهادهای امنیتی قرار نخواهد داد و در یک کلام آیا دانشگاه آزاد مسئولیت تضمین امنیت اطلاعات دانشجویان را به عهده میگیرد؟
سوال سوم در رابطه با امنیت نرم افزار شخص ثالثیست که دانشگاه دانشجویان را مجبور میکند از آن استفاده نمایند. همانطور که در بخش قبلی نیز به آن اشاره شد یکی از جدی ترین نگرانی ها در رابطه با پیامرسان های بومی سطح بالای دسترسی هایی است که این پیامرسان ها از مخاطب درخواست میکنند و تلاش میکنند به همه اطلاعات تلفن همراه مخاطب دسترسی پیدا کنند. این مسئله تا هنگامی که این نرم افزار ها به شکل یک انتخاب آزاد در اختیار مخاطبین قرار گیرند به انتخاب مخاطب بستگی دارد و مخاطب حق دارد بین این پیامرسان و یا پیامرسان دیگری که دسترسی های کمتری طلب میکند یا به نظر مخاطب مطمئن تر است یکی را آزادانه انتخاب نماید اما حال که دانشگاه آزاد دانشجویان را مجبور به استفاده از این پیامرسان میکند، تمامی مسئولیت این دسترسی ها و سواستفاده های احتمالی این پیامرسان از اطلاعات شخصی دانشجویان همچون عکسها و فایلهای شخصی، اطلاعات شخصی و حتی مکالمات شخصی آنها همگی به عهده دانشگاه نیز خواهد بود. حال دانشگاه آزاد باید پاسخگو باشد که با توجه به اجبار دانشجویان به استفاده از پیامرسان آیگپ، آیا دانشگاه مسئولیت دسترسی هایی که این پیامرسان به دست میاورد و سواستفاده های احتمالی آن از اطلاعات شخصی دانشجویان را به عهده خواهد گرفت؟
سوال چهارم ناظر به امنیت پیامرسان آیگپ است. سیستم آموزشیار سیستمی وابسته به دانشگاه است و مسلما مسئولیت هرگونه نشت اطلاعات از آن و پیامدهای بعدی چنین رخدادی نیز بر گردن دانشگاه بوده و در صورت بروز چنین اتفاقی دانشگاه باید در قبال امنیت اطلاعات افشا شده دانشجویان پاسخگو باشد. حال در شرایطی که دانشگاه، دانشجویان را مجبور به استفاده از یک نرم افزار مستقل تجاری شخص ثالث مینماید و اطلاعات دانشجویان را از طریق پرتال های این نرم افزار انتقال میدهد مثلا ربات این پیامرسان به اطلاعات درسی و شماره تماس دانشجویان دسترسی دارد، آیا در صورت بروز نشت اطلاعات در پیامرسان آیگپ، دانشگاه آزاد نیز پاسخگو خواهد بود یا به صرف اینکه این پلتفرم یک پلتفرم مستقل است، دانشگاه مسئولیت را به گردن دیگری انداخته و از آن شانه خالی می نماید؟
سوال پنجم و انتهایی نیز آن است که دانشگاه به چه شکل از قرارداد فعلی با پیامرسان آیگپ منتفع میشود و در قبال نفعی که میبرد چه خدماتی را به دانشجویان میدهد؟ در حقیقت یکی از مسائلی که از ابتدا در رابطه با همکاری دانشگاه آزاد و پیامرسان آیگپ مطرح بوده عدم شفافیت و مشخص بوده بده بستان میان این دو نهاد است. آیا دانشگاه آزاد در قبال اجباری که بر دانشجویان اعمال نموده از پیامرسان آیگپ دریافتی و سودی دارد؟ آیا دانشگاه آزاد اطلاعات دانشجویان را به این پیامرسان فروخته است؟ آیا اساسا دانشگاه آزاد حق فروش اطلاعات یا انتقال اطلاعات دانشجویان به نهادهای شخص ثالث را دارد؟ آیا دانشگاه آزاد به واسطه افزایش ده درصدی نصب فعال پیامرسان آیگپ(حدود یک میلیون دانشجو که به اجبار مجبور شده اند برای ورود به سیستم آموزششان نرم افزار آیگپ را نصب نمایند)، سهمی از پیامرسان آیگپ دریافت نموده؟ آیا دانشگاه آزاد از تبلیغاتی که میتواند محل درآمد پیامرسان آیگپ باشد سهمی از این پیامرسان دریافت می نماید و حق و حقوق دانشجویان در این بین چگونه است و آنها هم باید بابت خدماتی که از دانشگاه آزاد دریافت میکنند شهریه بپردازند و هم دانشگاه از محل فروش اطلاعاتشان یا اجبارشان به بالا بردن درآمد یک پیامرسان شخص ثالث، درآمد کسب نماید؟
همانطور که در ابتدا گفتم نمیشود نقش پیامرسان آیگپ در این همکاری و اجبار و انحصار را نادیده گرفت که اگر این پیامرسان از این اجبار و انحصار منتفع نبود یا دلش برای آزادی عمل دانشجویان میسوخت قطعا با دانشگاه آزاد به این شکل همکاری نمینمود اما به نظر میرسد در کنار این پیامرسان، دانشگاه آزاد نیز در قبال این همکاری و قرداد، انبوهی از مسئولیت های ریز و درشت را به گردن دارد که باید در قبال آنها و ایجاد این شکل از اجبار و انحصار به دانشجویانی که به آن شهریه میپردازند پاسخگو باشد.
