فرصتهای تجاری باارزش در عصر دادهها
مزدک پاکزاد / مدیرعامل و همبنیانگذار شرکت اسمارتک
در طول تاریخ داده و اطلاعات همیشه برای دارنده خود قدرت به همراه آورده، اما تا حالا کمتر بهطور صریح به آن پرداخته شده است. با دیجیتالیزه شدن جهان دسترسی به دادهها سادهتر و عمومیتر شد و از همین رو ارزش بیشتری پیدا کردند. همزمان با این روند، دادهها بزرگتر شدند، اثراتشان گستردهتر و بیشتر شد و طبیعتا کاربردهای متنوعی ایجاد کردند. دادهها از طرفی میتوانند در بخشهای علمی با نگاهی آیندهمحور به پیشبینی دقیق رفتارها و رویکردها کمک کنند و از طرف دیگر میتوانند به تحلیل عمیق وقایع و اتفاقات گذشته بپردازند.
با این اوصاف حفظ داده در سامانههای دولتی، پلتفرمها و هر جایی که داده در آن ذخیره میشود، اهمیت زیادی دارد. در موضوع حفظ داده مباحث تکنیکال و قانونی مطرح هستند. بحث تکنیکال از لایه سختافزار شروع میشود که زیرساختی است و به استفاده از فایروالهای مناسب، بکآپهای منظم و لایههای امنیتی مختلف ارتباط دارد. لایه نرمافزار شامل موارد مختلفی میشود، از آنتی ویروس گرفته تا بهروز نگه داشتن سیستم عامل و وصلههای امنیتی که ارائه میشوند، باید مورد توجه قرار بگیرند؛ چون در غیر اینصورت احتمال آسیبپذیری بالا میرود. در بحث تکنیکال -چه در معماری سختافزار، چه نرمافزار- استفاده از روشهایی مانند رمزنگاری دادهها، پسوردهای چند عاملی و تعریف دسترسیهای مختلف برای نرمافزارها کمک میکنند تا نفوذ به سیستمها کمتر شود. درباره بحث دسترسی اپلیکیشنها و پلتفرمها به دادههای کاربران، تعاریف مختلفی وجود دارند. اما واقعیت آن است که عمر سیستم عاملهای موبایل حدود پانزده سال است و این سیستم عاملها زمانی شکل گرفتند که این دسترسیها چندان مهم نبودند یا دستکم هنوز پیادهسازی نشده بودند. به این ترتیب در آن زمان گرفتن اجازه دسترسی به اطلاعات کاربر سادهتر بود، اما در چند سال اخیر این موضوع اهمیت بیشتری پیدا کرده است. سیستم عاملهای پرطرفدار بازار، یعنی اندروید و آیاواس، پایشهای جدیتری روی دسترسی اپلیکیشنها انجام میدهند. با این حال مسوولیت خود کاربر هم بخش مهمی از فرآیند حفاظت از داده است. کاربر باید بداند که مجوز چه دسترسیهایی را میدهد. تایید مجوز بعضی دسترسیها ناگزیر است، اما اینکه اپلیکیشنی از آن استفاده ناصوابی بکند، دغدغهای است که همیشه وجود داشته است.
از منظر کسبوکارها اما استفاده از استانداردها و تعامل با قانونگذار اهمیت دارد. در کشوری که مقررات و استانداردی برای حفظ امنیت داده وجود ندارد، تکلیف کسبوکارها چیست؟ سرعت رشد تکنولوژی از سرعت قانونگذاری بیشتر است و بیشتر هم خواهد شد. باید شرکتهای پیشرو پیشقدم شوند و کمک کنند تا این موضوع در ذهن قانونگذار پررنگ شود که حفظ دادهها، صرفا یک پدیده امنیتی نیست. کاربرد تجاری دادهها بسیار متنوع و گستردهتر است. در این زمینه میتوان شاخصها و معیارهای بینالمللی را مورد مطالعه قرار داد. شرکتهایی که در زمینه حفظ داده کار میکنند یا به واسطه نوع فعالیتشان دادههای بزرگی نزد آنهاست، باید پیشقدم شوند و این بذر را در ذهن نهاد قانونگذار بکارند تا به تدریج تبدیل به لایحه و قانون شود که بر اساس آن مصوبههایی به تصویب برسند که کاربردهای مختلف داده را پوشش دهند. در واقع این فرآیند باید به شکلی انجام شود که ضمن استفاده تجاری از داده، امنیتش هم حفظ شود. داده ذینفعهای مختلفی دارد و باید مشخص شود که مالک داده کیست؟ کاربر یا کسبوکار؟ هنوز جواب دقیقی برای این سوال وجود ندارد؛ اما واضح است که مالک داده نسبت به بهرهبرداری از آن اختیار دارد. آیا این اختیار به رسمیت شناخته شده است؟ با قاطعیت میگویم که در پلتفرمهای ایرانی این مالکیت و اختیار به رسمیت شناخته نمیشود؛ چنانکه تقریبا امکان ندارد حساب کاربری خود در یکی از پلتفرمهای ایرانی را پاک کنید، درحالیکه در قانون GDPR اتحادیه اروپا چنین حقی به وضوح تعریف شده است. برای تمام این موارد میشود قانون گذاشت و سپس مراحل فنی پیادهسازی شود.
در ایران متولی این کار میتواند نهاد قانونگذار و بهطور مشخص قوه مقننه باشد و قوانین را در تعامل با بخش خصوصی بهعنوان نماینده کسبوکار و نمایندگانی تدوین کند که همانطور که از جنس مردم هستند، در حوزه داده هم متخصص باشند تا به حفظ حقوق مردم در این زمینه کمک کنند. کلید این موضوع شفافیت است؛ به این معنا که همه بدانند مالک داده کیست، چه کسی داده را پردازش میکند، چه کسی از داده درآمدزایی میکند و چه کسی حق نظارت بر این فرآیند را دارد. اگر این موارد مشخص باشند، هرچند سخت، اما میشود اعتماد را ساخت.
در ایران الگوی متداول ذخیره داده به شکلی است که دادهها کاملا در دسترس هستند؛ یعنی میتوان رفتار یک کاربر را شناسایی و آن را به یک کاربر حقیقی نسبت داد. خطر از همین جا نشأت میگیرد. برای جلوگیری از این خطر و جدا کردن چنین مواردی باید سرمایهگذاری انجام شود. اتفاقی که در کشور ما میافتد -مثل بسیاری از بخشهای دیگر- این است که میخواهیم با سرمایهگذاری کم، نتیجه سریع بگیریم. با این اوصاف است که یک تیم همیشه تحت فشار یک معماری دمدستی را انجام میدهد برای اینکه به یک نتیجه خاص برسد. باید کسبوکارها بهصورت مستقل در این زمینه سرمایهگذاری کنند. اما بخشی از سرمایهگذاری زمان و نیروی انسانی متخصص و باانگیزه است و بخشی از آن هزینه. اگر سرمایهگذاری بزرگتری در کسبوکارها انجام شود و فرصت کافی داشته باشند، منابع بیشتری در اختیار دارند و توان توسعه بیشتری هم خواهند داشت. اینها باعث میشود که کسبوکار به سراغ راهکارهای پرهزینهتر اما امنتر برود. اما در حال حاضر کسبوکارهای ما امنیت خودشان را فدا میکنند تا عملکرد افت نکند و سرویس یا محصول نهایی ارائه شود و سپس به سراغ موضوع امنیت بروند. اما آن زمان هرگز نمیرسد و این همان جایی است که کسبوکارها ضربه میخورند. هیچوقت به اندازه کافی در صنعت دادهها سرمایهگذاری نمیکنیم، چه از نظر سختافزار مناسب (به فرض اینکه تحریم نیستیم) و چه از نظر معماری نرمافزار. معماری نرمافزار در یک اتاق بسته به دست نمیآید، بلکه انتخابهای ماست که بعضا هزینههای زیاد دارد و در مقابل سطح بالایی از امنیت به دست میآید. در این صورت در حالت نشت یا نفوذ داده، این اتفاق به صورت کنترلشده میافتد.
در کسبوکارهای ما به سادگی کل دادهها به بیرون درز میکند و آن کسبوکار بابت این اتفاق اصلا بازخواست نمیشود و پاسخگو نیست. بخشی از آن مربوط به خلأ قانونی است؛ چون در اتفاقات مشابهی که در کشورهای دیگر میافتد، شرکتها در جلسات دادگاهی محکوم و جریمه میشوند. این روند با ایجاد شفافسازی، باعث یادگیری و بروز تغییراتی در سازمانها میشود یا به شکلگیری قانون جدیدی منجر میشود. در واقع نتیجه این کار باید آن باشد که آیا در شرایط مشابه، این اتفاق تکرار میشود یا خیر؟ به نظر من معمولا تکرار میشود؛ چون اتفاق بزرگ یعنی دربرداشتن هزینه که میتواند از جنس تغییرات مدیریتی، افت ارزش سهام در بورس، جریمه و درس گرفتن از جریان از بین رفتن داده بهعنوان یک دارایی با ارزش شرکت باشد.
استفاده از کمربند ایمنی یا ایربگ به این دلیل در کشور اجباری شد که قانون بود؛ اگر نه احتمالا خودروساز خود را ملزم نمیکرد که هزینه کند. احتمالا در تمام دنیا هم همین است. در موضوع امنیت داده اما چون آماری مشهودی وجود ندارد، دیده نشده است. اما آثار مخرب آن به خوبی مشهود است. با استفاده از دادههای درز کردهی ایرانیان و پردازش آنها میتوانند برای افراد یک زندگی مجازی درست کنند و این پتانسیل ایجاد فاجعه در ابعاد شخصی و اجتماعی دارد. این را هم در نظر بگیرید که ما به واسطه جبر استفاده از انواع ابزارهای فیلترشکن و ویپیان، آلودهترین موبایلهای جهان را داریم. با این همه اما نگاه به دادهها بیشتر از آنکه تجاری باشد، امنیتی است و به همین دلیل اهمیت حفظ دادهها هنوز چندان برای قانونگذار روشن نشده است. در نگاه و رویکرد امنیتی به دادهها هم احتمالا در جاهایی غیرشفاف نسبت به پارامترهای مهم تصمیمگیری میشود. این نگاه باید اصلاح شود. ممکن است در حال حاضر این موضوع برای بعضی از نمایندگان مجلس شورای اسلامی هم اهمیت پیدا کرده باشد؛ اما هنوز اولویت اول نیست. برای حفظ داده باید زیرساختهای مناسب و لازم داشته باشیم و همه چیز را از پایه درست کنیم. این کار نیاز به یک اراده کلی و سرمایهگذاری کافی دارد.
دادهها اما فرصتهای تجاری و مزایای غیرقابل چشمپوشی هم برای شرکتها به همراه میآورند. دادهها میتوانند بهبودهایی را در تجربه کاربری برای مصرفکننده نهایی و سودآوری بیشتر برای کسبوکارها ایجاد کنند. داده باید کمک کند تا زندگی مصرفکننده بهبود پیدا کند که در دنیای امروز ما یعنی مصرفکننده به کالای متناسب با نیازش در زمانی که به آن احتیاج دارد، در دسترسش باشد. در همین راستا بررسی دادههای رفتاری میتواند به این پیشبینی کمک کند. همین کار در کسبوکار یعنی تشخیص به موقع نیاز مصرفکننده، واکنش درست و در نهایت سود بیشتر و هزینه کمتر. درست به همین دلیل هم یکی از کاربردهای مهم داده، استفاده در تبلیغات هدفمند و هوشمند است. تکنولوژیهای موجود تمام این روند را برای کسبوکار شفاف و قابل مدیریت میکند. در حوزه خدمات عمومی از حملونقل گرفته تا سلامت و کالاهای اساسی هم میتوان از دادهها استفاده صحیحی کرد. با وجود غیرشفاف بودن زیرساختهای داده در کشور و بهدلیل سرمایهگذاری ناچیز و نامناسب و نگاه امنیتی، از داده استفاده تجاری و عمومی نشده است.