یکی از بحث‌هایی که با ظهور و توسعه‌ی تکنولوژی دیجیتال اهمیت پیدا کرده، یا شاید هم باید گفت اهمیت خود را از دست داده، «حریم خصوصی» افراد است. بارها شاهد نقض این حریم خصوصی به صورت‌های گوناگون بوده‌ایم.

تقریباً روزی نیست که خبری درباره‌ی نقض حریم خصوصی افراد در دنیای دیجیتال یا فاش شدن اطلاعات از سرویس‌های اطلاعاتی نبینیم و نشنویم. این موضوع، حتی به اسم و رسم شرکت‌ها هم رحم نمی‌کند. خواه فاش شدن پسورد ۳۲ میلیون کاربر توییتر باشد، خواه فاش شدن پسورد ۱۱۷ میلیون کاربر در لینکدین، و خواه لو رفتن اطلاعات چندین میلیون کاربر از یکی از بزرگترین اپراتورهای کشور.

در این‌باره سوالاتی مطرح است که البته مبهم به نظر می‌رسند.

آیا امروز حریم خصوصی در دنیای دیجیتال وجود دارد؟

آیا امروز حریم خصوصی در دنیای دیجیتال معنا دارد؟

مسئول حفظ و حراست از اطلاعات خصوصی کاربران چه کسی است؟

و سوالاتی از این دست که ساعت‌ها بحث و بررسی می‌طلبد. در سوال اول و دوم، در نگاه من، وجود داشتن و معنا داشتن، دو مقوله‌ی جدا هستند و به عمد دو سوال جدا مطرح کردم. و اِلا قصدم طولانی‌تر شدن مطلب نبود. شاید بهتر باشد مثالی بزنم.

یک شبکه‌ی اجتماعی، تمام سیاست‌های حریم خصوصی کاربران را اندیشیده و تمهیداتی را نیز پیاده سازی کرده است. تمهیداتی از قیبل استفاده از پسوردهای قوی، احراز هویت دو مرحله‌ای (two factor authentication)، امکان خصوصی (Private) کردن حساب کاربری و چیزهای دیگر. حالا کاربری به نام «محمدرضا»، از تمامی این امکانات استفاده می‌کند تا حریم خصوصی او محفوظ باقی بماند. او تنها به افراد مشخصی اجازه‌ی دیدن اطلاعات حساب کاربری خود را می‌دهد و حالا شادمان است از اینکه همه چیز برای او امن است. تا اینجا ممکن است به این نتیجه برسیم که حریم خصوصی در این سیستم وجود دارد. یا بهتر بگویم، امکانات آن در سیستم تعبیه شده و وجود دارد. محمدرضا به فردی به نام A که دوست اوست، اجازه‌ی دسترسی و دیدن اطلاعات خود را می‌دهد. حال تصور کنید فرد A، در کنار یکی از دوستان خود، مثلاً فرد B می‌نشیند و به تصاویر، فیلم‌ها و اطلاعات محمدرضا نگاه می‌کند. محمدرضا فرد B را نمی‌شناسد. و حتی ممکن است نخواهد اطلاعاتش را او ببیند. حالا می‌توانید این قضیه را به صورت کلی‌تر در نظر بگیرید. مثلاً فرد A و C و D و غیره که دوستان مححمدرضا هستند، هر کدام در کنار دوستانشان بنشینند و به تماشای اطلاعات محمدرضا بپردازند. حالا می‌توانیم بهتر به این سوال فکر کنیم: آیا حریم خصوصی در این سیستم معنا دارد؟

با شواهد و قرائن موجود، شاید این دیدگاه خیلی غیرمنطقی به نظر نرسد: هر کسی قصد قرار دادن اطلاعات خود در فضای دیجیتال را دارد، باید با این پیش‌فرض اطلاعات خود را قرار دهد که همه‌ی افراد در دنیا، آن فیلم، عکس، متن و غیره را می‌بینند. اگر کاربر توانست این پیش‌فرض را بپذیرد و آن را در ذهن خود هضم و جذب کند، آنگاه اطلاعات خود را در این فضا قرار دهد.

به نوعی می‌توان گفت که قبل از هر چیز و هر کس، خود کاربران (صاحبان اطلاعات) مسئول حفظ و حراست از اطلاعات حساس خود هستند. شاید گفته‌ی زیبای «خیام» این را به ما یادآوری کند:

هر راز که اندر دل دانا باشد

باید که نهفته‌تر ز عنقا باشد

کاندر صدف از نهفتگی گردد در

آن قطره که راز دل دریا باشد

شاید من خیلی نا امید کننده در این باره صحبت کردم. اما نه به این خاطر که من به تکنولوژی ایمان ندارم. من به تکنولوژی ایمانِ کامل دارم. تاکید می‌کنم: «ایمانِ کامل». اما، به همان اندازه به خطاهای انسانی هم ایمان دارم. خطاهایی که در حین توسعه‌ی تکنولوژی نمایان می‌شوند. عمده (اگر نگوییم همه) خطاهایی که ما در دنیای دیجیتال شاهد آن هستیم – در اینجا مشخصاً منظورم خطاهایی که منجر به نقض حریم خصوصی می‌شوند است –  خطاهای انسانی هستند. آنها گاه خطاهای فنی هستند که در خلال توسعه‌ی سیستم‌ها از سوی توسعه‌دهندگان ایجاد می‌شوند، مانند انواع باگ‌ها و آسیب‌پذیری‌های نرم‌افزاری (software vulnerability) و سخت‌افزاری، و گاه خطاهایی هستند که به طور مستقیم یا غیر مستقیم به نیروی انسانی باز می‌گردند. مانند نفوذهایی که با استفاده از مهندسی اجتماعی (Social Engineering) صورت می‌گیرند.

گاوین واتسون، در کتاب مهندسی اجتماعی توضیح می‌دهد که چگونه با تکنیک‌های مهندسی اجتماعی می‌توان افراد را فریب داد تا اطلاعات مورد نیاز را آشکار کنند و هکرها و نفوذگران به اطلاعات مورد نیاز خود دسترسی پیدا کنند. او توضیح می‌دهد که چرا عامل انسانی، می‌تواند در ایجاد ضعف در امنیت سیستم‌ها بسیار موثر باشد. قسمتی از این کتاب را با هم مرور می‌کنیم:

چرا سازمان‌­ها بودجه امنیتی را روی نواحی اشتباه سرمایه­‌گذاری می­کنند؟ زیرا زمانی که مهاجم یک شیشه را می‌­شکند، راه‌حل ساده است. اجرای یک راه‌حل فیزیکی مانند پنجره محکم­‌تر. اما، زمانی که یک مهاجم، کارمندی را به منظور آشکار کردن اطلاعات فریب می‌­دهد، یا زمانی که به مهاجم، اجازه دسترسی به نواحی محدود شده داده می‌­شود [به صورت ناخودآگاه] ، دیگر راه حل مشخصی وجود ندارد. مسئله این است که آسیب‌پذیری‌های امنیت فیزیکی، نهادها و موجودیت­‌های ملموس هستند. آنها می‌­توانند به صورت مستقیم حل و فصل شوند. اما، حفره‌­های امنیتی مهندسی اجتماعی، غیرملموس هستند. مانند روش­‌هایی که با ماهیت و طبیعت انسان سر و کار دارند و از طبیعت انسان سوء استفاده می­‌کنند. اغلب کسب­ وکارها با روش­ها و راه‌حل­‌های برخورد با مسائل امنیتی غیرملموس، نا آشنا هستند.

 

اطلاعات حساسِ ذخیره شده بر روی یک سیستم، هرگز به صورت کامل نمی­‌تواند امن باشد. به منظور کاوش مفهوم کاربران آسیب‌­پذیر، اجازه دهید فرض کنیم که یک پایگاه داده اختراع شده که کاربران غیر مجاز نمی‌­توانند در آن نفوذ کنند. همچنین نفوذگران هر چه قدر تلاش کنند، قادر نخواهند بود به این پایگاه داده نفوذ کرده و به اطلاعات دسترسی پیدا کنند. بنابراین حمله کردن به این پایگاه داده به صورت مستقیم، فایده­‌ای نخواهد داشت. پس به جای حمله کردن به طور مستقیم به پایگاه داده، تنها رویکرد این است که به موجودیت‌­هایی که با پایگاه داده تعامل دارند، حمله شود. [مانند اشخاصی که از سیستم استفاده می­‌کنند.]

بنابراین، اغلب نفوذهایی که به سیستم‌ها می‌شود و موجب نقض امنیت اطلاعات یا حریم شخصی افراد می‌گردد، ناشی از خطاهای انسانی و سوء استفاده از این خطاها است.

پی‌نوشت: امیدوارم خیلی درهم و برهم ننوشته باشم. اگر چه معتقدم «امنیت اطلاعات» و «حریم خصوصی» جدا از همپوشانی‌هایی که با هم دارند، نا همپوشانی‌هایی نیز دارند. اما من در متن، به آن تفاوت‌ها نپرداختم.