اقتصاد امنیت در فضای مجازی

اکوبورس: در سالهای اخیر ورود فناوری اطلاعات و به تبع آن فضای مجازی در چرخه زندگی شهروندان ایرانی به طور چشم گیری تاثیر گذار بوده است و جامعه ایران با سرعت فزاینده ای در حال جبران عقب افتادگی خود در این حوزه است. جامعه ای که تا دو دهه گذشته بصورت جدی به این فناوری آگاه نبود و حالا زندگی خود را به آن وابسته می بیند.
به گزارش اکوبورس ،امروزه اغلب فرایند های روزمره شهری، اداری، پزشکی، مالی، حقوقی و غیره بر بستر فناوری اطلاعات انجام می گیرد. برای اینکه عمق این نفوذ را درک نمایید کافی است به فرایندی در زندگی روزمره  خود فکر کنید که در آن از کامپیوتر استفاده نشود، و یا وقتی شبکه  در جایی قطع می شود، چگونه تمام کارها متوقف می گردند. توسعه این فناوری در جامعه و وابستگی بیشتر به آن، باعث شده است که هر روزه داده های شخصی و تجاری بیشتری  بر روی این بستر ارسال و ذخیره گردد. در این بین، فرهنگ استفاده از این فناوری جدید و بخصوص داده های تجمیع شده، برای بازیگران متعدد جامعه بدرستی گسترش نیافته است. این اتفاق را می توان به عدم درک صحیح جامعه ما از ارزش داده نسبت داد. کشورهای توسعه یافته، قبل از ظهور فناوری اطلاعات، فرایند های متعددی  را برای جمع آوری و تحلیل داده داشته اند و به ارزش آن واقف بوده‌اند. برای مثال، آمار دولت آمریکا از  کشور مبدا مهاجرین و حرفه آنان از سال ۱۸۲۰ میلادی در دسترس عموم می باشد و یا تعداد خطوط تلفن و میانگین تماس های روزانه از سال ۱۸۹۶ میلادی به تفکیک تماس های محلی و غیر محلی در دسترس است. یا مثال بسیار جالب تری که در هفته گذشته خبر آن منتشر شد، یافتن آدرس خانه شکسپیر، شاعر و نمایشنامه‌نویس انگلیسی، به کمک لیست آماری پرداخت کنندگان مالیات در سال ۱۵۹۷ میلادی،  یعنی ۴۲۲ سال پیش بود! جمع آوری این داده ها از زمان های بسیار دور نشان دهنده درک عمیق ارزش این داده هادر آن جوامع می باشد، به همین دلیل از سالیان دور فرایند های متعددی برای جمع آوری، پایش، تحلیل و محافظت از این داده ها ایجاد گشته و ظهور فناوری اطلاعات باعث تسریع و تعمیق این فرایند ها گشته است. در صورتی که در جامعه ایران، توجه جدی به توسعه این فرایندها با ظهور و بکارگیری فناوری اطلاعات هم زمان شده است. علیرغم تمام مزایای حاصل از این هم زمانی، عدم درک صحیح از ارزش داده ها در جامعه باعث گردیده مخاطراتی  نیز ایجاد گردد. برای مثال، اغلب کاربران ایرانی داده های حساس خود را محدود به عکسهای شخصی خود می دانند و به راحتی تمامی اطلاعات هویتی، ملکی و غیره را در اختیار هر متقاضی قرار می دهند. تا کنون شده است که برای دریافت سرویسی از شما درخواست کپی شناسنامه و کارت ملی شود و شما کپی را سریعا ارایه نکنید!  این درحالی است که در بسیاری از کشورها، بخاطر احتمال سوء استفاده از این اطلاعات برای جعل هویت، این اطلاعات به راحتی در دسترس دیگری قرار نمی گیرد. ولی حتما مشاهده نموده اید که در کشور ما، بعضا از برگه های فتوکپی مدارک به عنوان چرکنویس استفاده می شود. همچنین به دفعات در اخبار کشور شنیده اید، که هکرها برای سودجویی به سامانه یک شرکت مالی رخنه کرده، پایگاه داده یک سازمان را دستکاری نموده‌اند و یا برای مثال، طبق اخبار  چند روز گذشته، هکرها به بخشی از اطلاعات یک شرکت حمل و نقل اینترنتی دسترسی پیدا کرده اند. با توجه به نکات ذکر شده، این سوال مطرح می شود که چرا حفاظت از داده ها در ایران آنطور که باید جدی گرفته نمی شود، تا نرخ این حملات که بعضا هم کشف و یا اعلام عمومی نمی گردند کمتر گردد. باید به این نکته توجه نمود که امنیت یک امر اقتصادی است. برای مثال فرض نمایید که بانک بدنبال امن سازی شرایط فیزیکی خود پردازهای خود برای جلوگیری از سرقت دستگاه و به تبع پول موجود در آن باشد. سرقت خودپرداز برای بانک هزینه های متعددی مانند پول سرقت شده، جایگزینی دستگاه خود پرداز، آسیب به اعتبار بانک و غیره خواهد داشت. اگر فرض نماییم که جمع این هزینه ها برای هر خود پرداز ۱۰ میلیارد ریال باشد و احتمال دستبرد به خود پرداز بانک با توجه به تعداد زیاد خود پردازها یک صدم درصد باشد، برای بانک منطق اقتصادی نخواهد داشت که بیش از یک میلیون ریال برای امنیت هر خود پرداز هزینه نماید. حال یک بنگاه اقتصادی، اعم از سازمان یا شرکت و یا غیره، را در نظر بگیرید که از کاربران خود اطلاعات زیادی را در اختیار دارد. این بنگاه هزینه‌ای که برای  امنیت و حفاظت از داده های خود می پردازد، محدود به هزینه ایجاد شده در صورت دسترسی غیر مجاز به داده ها است. ولی بر عکس بانک که باید پول نقد و دستگاه خودپرداز به سرقت رفته را جایگزین نماید، در بستر الکترونیکی، یک کپی از داده های به سرقت رفته و اصل داده ها موجود است و  تجهییزاتی نیز به سرقت نرفته است. علاوه بر آن سرقت از بانک موضوعی نیست که از دید عموم پنهان بماند، در صورتی که هیچگاه کسی متوجه سرقت اطلاعات نمی شود، مگر اینکه این موضوع توسط سارق و یا خود بنگاه رسانه ای شود. به همین خاطر، کشورهای مختلف به کمک قوانینی مساله صیانت از داده های کاربران را مورد توجه قرار می دهند. برای مثال مقررات عمومی حفاظت از اطلاعات (GDPR) که سال گذشته در اتحادیه اروپا به مرحله اجرا در آمد و جایگزین مقررات قبلی در این حوزه شد، سازمانها و شرکتها را موظف می سازد تا در صورت نشت اطلاعات کاربران پاسخگو باشند و جریمه پرداخت نمایند. هزینه ای که در بعضی موارد طبق مقررات به ۲۰ میلیون یورو  یا معادل ۴٪ گردش مالی شرکت در کل کشور های جهان، هر کدام که بیشتر باشد، رسیده است، این هزینه برای شرکتی مانند فیسبوک در هر مورد نشت اطلاعاتی بیش از یک میلیارد دلار می باشد. همچنین کاربرانی که اطلاعات آنان نشت شده است باید ظرف مدت ۷۲ ساعت از این اتفاق مطلع گردند. به کمک چنین مقرراتی است که شرکتها انگیزه اقتصادی کافی برای امن سازی داده های کاربران پیدا می کنند. واقعیت این می باشد که قوانین موجود در کشور ما، عدم وجود امنیت برای سازمانها و شرکتها را موجب هزینه نمیداند. به بیانی دیگر، عدم وجود قوانین به روز و کامل بجای این که موجب رقابت اقتصادی بین شرکتها و سازمانها در جهت امن سازی داده ها ، سامانه ها و سرویسها گردد، باعث شده است امن سازی به عنوان یک اقدام لوکس تلقی گردد و سرمایه گذاری در آن صرفه اقتصادی نداشته باشد. البته در مرداد ۱۳۹۷، وزیر محترم ارتباطات و فناوری اطلاعات و رییس مرکز پژوهشهای مجلس از لایحه صیانت و حفاظت از دادەهای شخصی که برگرفته ازسازوکارهای مقررات  GDPR اتحادیه اروپا می باشد رونمایی کردند. درصورت تصویب این لایحه و برقراری جرایم منطقی، به طوری که  ایجاد امنیت داده ها در شرکتها و سازمان ها اقتصادی شود، و فرصت واقع بینانه به سازمان ها و شرکتها برای ارتقاء وضع موجود خود داده شود، می توان امید داشت که وضیعت امنیت داده های در اختیار سازمانها و شرکت ها بهبود یافنه و همچنین افزایش تقاضای امن سازی سرویس ها و محصولات ، موجب رونق کسب و کار در این حوزه گردد.   سید مهدی خرازی عضو هیات علمی دانشگاه صنعتی شریف