کاربران بی دفاع ايرانی

نام نویسنده: على شميرانى

شرق – آيا از ISP خود كه با آن به اينترنت متصل مى شويد رضايت داريد؟ چه سئوال مضحكى! چطور مى توان از يك ISP كه انواع آگهى هاى تبليغاتى، تروجان، تصاوير غيراخلاقى، نرم افزار هاى مخصوص هك، برنامه هاى آزاردهنده، سارقان اينترنتى، نرم افزار هاى جاسوسى و از همه مهم تر انواع و اقسام ويروس ها و كرم ها را به سمت شما سرازير مى كند رضايت داشت؟ يك ISP يا همان ارائه دهنده خدمات اينترنتى، همانگونه كه مجرا و نقطه اتصال كاربران به دنياى مجازى اينترنت محسوب مى شود به همان ترتيب عامل انتقال انواع تهديد هاى اينترنتى همچون ويروس ها و كرم ها نيز به شمار مى رود. اين موضوعى است كه در مورد بيشتر ISP هاى كشور صدق مى كند. اگرچه تلاش براى يافتن هرگونه آمار در اين خصوص بى نتيجه است ولى اظهارات كارشناسان و ميزان آلودگى كاربران ايرانى پس از حمله هر كرم يا ويروس اينترنتى مى تواند گوياى وضعيت خطرناك حريم مجازى كشور باشد.

• نقش ISP ها در حفاظت از كاربران

در حال حاضر بسيارى از ISPها به علت عدم استفاده از نرم افزار هاى فيلترينگ، فايروال ها و نرم افزار هاى امنيتى، مراقبتى و ضدويروس بسيار آسيب پذير بوده و براى كاربران تهديد جدى به حساب مى آيند. اين در حالى است كه گاه برخى از ISP ها حتى در صورت اطلاع از وجود يك ويروس در سيستم هاى خود نيز قادر به انجام كارى نيستند، چه رسد به زمانى كه… براساس جديدترين تحقيقات Message labs (يكى از شركت هاى بزرگ ارائه كننده راهكار هاى امنيتى) ISP ها نقش بسيار تعيين كننده اى در تامين امنيت كاربران نهايى دارند. مسئولان اين موسسه مى گويند: تهديد هاى امنيتى در جهان و به ويژه در خصوص كشور هايى كه نفوذ اينترنت در آنها رو به رشد است افزايش داشته و علاوه بر لزوم افزايش ميزان آگاهى كاربران، ISP ها نيز نبايد حفاظت از آنها را رها كنند. اين موسسه مى افزايد: ISP ها مى توانند با سرمايه گذارى و ارتقاى امنيت خود تهديد هاى اينترنتى را كاهش داده و حتى متوقف كنند.

• دسترسى پاك به اينترنت

نتايج يك تحقيق جديد در آمريكا نشان مى دهد كه ميزان امنيت ISP ها رشد متناسبى با افزايش جهشى تهديد هاى مجازى نداشته است. اين در حالى است كه هم اكنون بسيارى از ISP هاى بزرگ دنيا تدابير فورى و خاصى براى مقابله با اين تهديد ها انديشيده اند. پس از افزايش ميزان تخريب ويروس ها و ساير كد هاى مخرب دو سال گذشته بود كه موضوع «امنيت» در كنار قيمت و سرعت اتصال به اينترنت در تبليغات ISP هاى آمريكايى به يك عامل مهم و تعيين كننده براى كاربران مطرح شد. اما اهميت تامين امنيت كاربران تا آنجا پيش رفت كه موضوع مسئوليت و پرداخت هزينه خسارت كاربران از سوى ISP ها طرح شد.

• وضعيت امنيت ISP ها در ايران

محمدجواد صمدى راد كارشناس امنيت شبكه مى گويد: ISP هاى زيادى هم اكنون در كشور مشغول ارائه خدمات هستند كه با حداقل هاى ساده و ابتدايى امنيت شبكه نيز آشنايى ندارند. وى به تجربه خود در زمان حمله كرم بلستر به كاربران ايرانى اشاره مى كند و مى افزايد: در آن زمان حدود شانزده ISP كه آلوده و سردرگم شده بودند با ما تماس گرفتند كه چه بايد بكنند. در حالى كه مشكل با يك خط (Configuration) تغيير ساده حل مى شد.

وى حتى با ISP هايى برخور كرده كه با استفاده از ابزار ساده، موثر و بدون هزينه Access Control نيز در شبكه خود آشنا نبوده اند. به گفته اين كارشناس ISP ها با صرف حدود ۲ ميليون تومان مى توانند از سطح امنيتى قابل قبولى برخوردار شوند اگرچه موضوع آموزش آنها نيز بايد به طورى جدى پيگيرى شود. وى با اشاره به لزوم توجه زياد ISP ها به موضوع Caching مى گويد: حتى در حال حاضر نرم افزارهاى امنيتى قفل شكسته زيادى در بازار وجود دارد كه تنها با حدود ۲ هزار تومان قابل خريد و استفاده در ISP ها است.

• مسئوليت ما مشخص نيست

رضا پارسا دبير انجمن كارفرمايان شبكه هاى اينترنتى نيز اين موضوع را قبول دارد كه يك ISP هم به عنوان نقطه اتصال كاربر به اينترنت عمل مى كند و هم مى تواند مجرايى براى ورود انواع كد هاى مخرب از اينترنت به كاربر باشد. او از جمله افرادى است كه وجود ضعف هاى امنيتى متعدد در بسيارى از ISP ها را مى پذيرد و اعتقاد دارد كه در تمام دنيا حداقل استاندارد هايى براى امنيت ISP ها تمهيد شده كه در ايران چنين چيزى را نداريم.وى مى افزايد: در اين خصوص شركت ارتباطات ديتا مخابرات مسئول است، اگرچه خلاء قانونى نيز در اين مورد داريم و به هر حال بايد آ ئين نامه و قانونى تدوين شود تا معلوم شود يك ISP تا كجا مسئول است و يك ICP (ارائه كننده ارتباط اينترنتى) كه در سطح بالاتر از ISPها قرار دارد نيز تا كجا مسئول است؟

دبير انجمن صنفى ISP ها در پاسخ به اين سئوال كه اصلاً ISP ها چه تعهدى نسبت به يك كاربرد دارند مى گويد: در اين خصوص چيز مشخص و شسته رفته اى نداريم و بايد نظارت دقيق ترى صورت بگيرد. در اين جا اين سئوال پيش مى آيد، در شرايطى كه يك كاربر كم تجربه براى مثال يك كارت اينترنتى ده ساعته مى خرد كه تنها ۲ ساعت عذاب دهنده مى تواند از آن استفاده كند و احتمالاً آلوده هم مى شود، اين كاربر چگونه و با صرف چه ميزان هزينه مى تواند طرح دعوى كند. اگرچه اين را نيز مى دانيم كه قبل از ISP ها در اتصال به اينترنت ICP ها وجود دارند و قبل از ICP ها نيز يك طرف چشم آبى وجود دارد ولى در اين گزارش از گاه يك كاربر كه نقطه اتصال وى به اينترنت، يك ISP محسوب مى شود به موضوع امنيت پرداخته شده و قطعاً موضوع ناامن بودن ICP ها نيز از سوى ISP ها قابل طرح و بررسى است. كما اين كه يك ISP قطعاً در انتخاب يك ICP ايمن، تصميم گير نهايى محسوب مى شود.

• حداقل اجبارى استاندارد

محمد حسن دزيانى حقوقدان متخصص جرايم سايبر در مورد نقش و مسئوليت ISP ها در ساير كشور هاى دنيا مى گويد: برخى از كشور ها قانون و كد هاى رفتارى مشخص دارند. براى مثال در قانون كيفرى سوئيس و در خصوص مطالب غير اخلاقى و پورنوگرافى كودكان، براى ناشر، توزيع كننده و ISP ها مسئوليت در نظر گرفته شده و به ويژه در مورد پورنگرافى كودكان يك ISP بلافاصله پس از شناسايى چنين محتوايى بايد آن را حذف كرده و مراتب را به پليس گزارش كند.

وى مى افزايد: در دنياى ISP يا ICP بسته به نوع فعاليتى كه دارند مسئول شناخته مى شوند و در برخى از كشور ها از آنها خواسته شده كه حتماً از فيلترينگ استفاده كرده و با پليس همكارى كنند و در مورد پورنوگرافى كودكان به شدت حساس باشند. اين حقوقدان اعتقاد دارد: در برخى كشورها و در آئين نامه صنفى ISP ها و در صورت احراز قصور ارائه كننده خدمات اينترنتى در وارد آمدن خسارت به كاربر ضمانت اجرايى در نظر گرفته شده است. به گفته وى، امروزه در بسيارى از كشور هاى دنيا رعايت حداقل استاندرد هاى امنيتى به يك اجبار تبديل شده است.

• خلاء قانونى داريم

براساس قانون مسئوليت مدنى هر اقدامى حتى مباح و قانونى كه موجب ورود خسارت مادى و معنوى به كسى شود، امكان شكايت فرد آسيب ديده را بازمى گذارد. رضا پرويزى دبير كميته مبارزه با جرايم اينترنتى ضمن بيان اين مطلب مى افزايد: در آئين نامه شوراى عالى انقلاب فرهنگى و همچنين در قرارداد ديتا با ISP ها خواسته شده تا تمهيدات لازم براى حفاظت از كاربران انجام دهند. ولى موضوع اينجا است كه چه در آئين نامه شوراى عالى انقلاب فرهنگى و چه در قرارداد واگذارى مجوز ISP از سوى شركت ارتباطات ديتا مخابرات اين مهم به شكل كلى طرح شده و جزئيات دقيقى در اين خصوص وجود ندارد.

دبيركميته مبارزه با جرايم اينترنتى نيز با اين مسئله هم نظر بوده و معتقد است بايستى در اين مورد قانونى وجود داشته باشد. اما وى به طرح استفاده از شبكه هاى اطلاع رسانى رايانه اى كه يك فوريت آن در مجلس ششم تصويب شد اشاره كرده و مى گويد: در آنجا مواردى پيش بينى شده و گفتيم كه شرايط تاسيس يك ISP و يا يك ICP مشخصاً چيست، ولى بايد در آئين نامه اى استاندارد هاى سخت افزار، نرم افزار، راهبرد هاى امنيتى و حتى مشخصات پرسنل يك ISP تعيين شوند. وى معتقد است كه بايد روى دوش ISP ها مسئوليت گذاشته شود و براى مثال حتى مى توان مجازات صنفى همچون كاهش پهناى باند و يا روش هايى از اين دست نيز در نظر گرفت. پرويزى مى گويد: ما به انجمن حمايت از كاربران نيز نياز داريم تا در چنين مواردى و به نمايندگى از طرف كاربران پيگير حقوق آنها از نهاد هاى مختلف باشند.

• پيگيرى طرح يكپارچه سازى امنيت در ديتا

اما بسيارى از كارشناسان حمايت از كاربران و نظارت به موضوع امنيت ISPها را متوجه وزارت فناورى اطلاعات و ارتباطات، شركت مخابرات و مشخصاً ديتا مى دانند. اين كارشناسان مى گويند: چگونه است كه شركتى همچون ديتا و ساير نهادهاى ذيربط در خصوص مسئله اى همچون مسدودسازى سايت هاى اينترنتى و يا موضوع ارائه خدمات ترمينيشن (تلفن ينترنتى خارج به داخل) آن گونه كه شاهد آن بوديم برخورد و نظارت كردند ولى در مورد هجوم انواع كرم، ويروس و كدهاى مخرب به سمت كاربران اين گونه و با حساسيت عمل نمى كنند. در اين خصوص يك كارشناس مسئول در شركت مخابرات كه خواستار عدم ذكر نام خود شد مى گويد: در تمام دنيا تعداد ISPهاى فعال در يك كشور بسيار محدود و مشخص هستند ولى در كشور ما بيش از پانصد ISP در حال ارائه خدمات هستند كه اين موضوع كنترل آنها را با مشكل مواجه مى كند.وى مى افزايد: ما به مشكل موردى (رندم) مسئله امنيت در ISPها را چك مى كنيم.

ولى اين در حالى است كه هيچ خبرى مبنى بر اخطار و يا جلوگيرى از ادامه فعاليت يك ISP به علت عدم رعايت مسائل امنيتى از سوى شركت مخابرات منتشر نشده است. اما اين كارشناس از اجراى طرح پايلوت (آزمايشى) در شركت ديتاى مخابرات خبر مى دهد كه طى اين طرح موضوع يكپارچه سازى امنيت در ISPها مورد بررسى و آزمايش قرار مى گيرد. وى مى گويد: با اجراى كامل اين طرح آزمايشى كه مراحل پايانى خود را پشت سر مى گذارد، كليه ISPها موظف به خريد تجهيزات امنيتى و كنترل كامل سيستم هاى خود مى شوند. قيمت اين تجهيزات نيز چيزى در حدود ۳ تا ۴ ميليون تومان خواهد بود كه با اتكا به توانمندى داخلى طراحى و توليد مى شوند. وى مى افزايد: با استفاده از اين تجهيزات، ISPهاى كشور از ضريب امنيتى بسيار بالايى برخوردار مى شوند. با تمامى اين تفاسير كارشناس مسئول شركت مخابرات نيز اين موضوع را مى پذيرد كه هنوز قانون مدونى در خصوص تعيين حيطه مسئوليت يك ISP در تامين امنيت يك كاربر در كشور وجود ندارد. اين در حالى است كه سال گذشته و در جريان قطعى ارتباطات ديتاى كشور وزير ICT طى يك مصاحبه مطبوعاتى وعده تدوين آئين نامه اى جهت حمايت از كاربران را داد كه تاكنون خبرى از تدوين آئين نامه مذكور نشده است.