ما هک شدیم اما شما نگران نباشید

هر بار با انتشار اخبار هک و نشت اطلاعات، یک روایت آشنا تکرار می‌شود: «همه چیز امن است». آیا این اطمینان‌بخشی‌های تکراری، پاسخ واقعی به نگرانی‌های کاربران است؟
 

به گزارش افتانا، نشت اطلاعات کاربران و سازمان‌ها در سال‌های اخیر به یکی از موضوعات حساس تبدیل شده است. با وجود تکرار این حملات سایبری و انتشار اخبار آن‌ها، رویکرد مسئولان همچنان تغییری نکرده است. مواجهه با این حملات بیشتر از جنس تکذیب، دست‌کم گرفتن یا بی‌توجهی به تبعات آن بوده است.
​​​​​​
نمونه‌های اخیر این اطلاعیه‌ها نشان می‌دهد که ادبیات و ساختار آن‌ها به شدت شبیه به هم است؛ گویی همه این سازمان‌ها از یک الگوی از پیش تعیین‌شده استفاده می‌کنند.
 

اغلب این بیانیه‌ها و تکذیبیه‌ها از عباراتی «سامانه‌ها بدون کوچک‌ترین اختلال در حال خدمت‌رسانی هستند» یا «هیچ‌گونه اختلالی در سامانه‌ها رخ نداده» استفاده می‌کنند. در این بیانیه‌ها رد کامل یا بخشی از ادعاهای هکرها با به کار بردن عباراتی مشابه «این موضوع کذب است» یا «صحت ندارد» به چشم می‌خورد. اصرار بر اطمینان‌دهی به عموم مردم با عبارات کلیشه‌ای مثل «اطلاعات کاربران در امنیت کامل قرار دارد»، «ریسک خاصی وجود ندارد» در همه آنها تکرار می‌شود. غالباً با استفاده از عباراتی مثل «ریسک خاصی ایجاد نمی‌کند» یا «قدیمی و فاقد ارزش بودن اطلاعات» سعی در کاهش حساسیت موضوع می‌شود.
 

برای مثال، در آذرماه ۱۴۰۰ وقتی خبر نشت اطلاعات ۱۱ هزار وکیل منتشر شد، مرکز رسانه قوه قضائیه اعلام کرد: «ارتباط نشت بانک اطلاعاتی وکلا با سامانه‌های مرکز آمار و فناوری اطلاعات قوه قضائیه صحت ندارد.» در همان سال، نشت اطلاعات دانشجویان دانشگاه صنعتی امیرکبیر هم با واکنش مشابهی روبه‌رو شد و مرکز فناوری اطلاعات این دانشگاه اعلام کرد: «این موضوع ریسک امنیتی خاصی برای کاربران ایجاد نمی‌کند و جای نگرانی نیست.» چندماه قبل، بلوبانک، زیرمجموعه بانک سامان، هم پس از ادعای گروه IB IT مبنی بر نفوذ به سامانه‌های خود، این مسئله را «قدیمی و فاقد ارزش»، توصیف و آن را تکذیب کرد. در بخشی از بیانیه بلوبانک آمده بود: «امنیت حساب‌های بلوبانک با به‌روزترین ابزارها و‌ تکنولوژی‌ها تامین می‌شود و هیچ اتفاقی برای هیچ‌کدام از حساب‌های کاربران بلو نیفتاده است.» همین‌طور بانک ملت، که در آبان ۱۴۰۳ با اختلال گسترده مواجه شد، دلیل این مشکل را «تراکنش‌های بالا» اعلام کرد و مدیرکل روابط عمومی این بانک تأکید کرد: «این موضوع کاملاً کذب است و هیچ‌گونه حمله هکری صورت نگرفته و اطلاعات مشتریان کاملاً امن است.»
 

در همین روزهای اخیر هم بانک آینده در واکنش به اخبار نشت اطلاعات مشتریان خود در اطلاعیه‌ای نوشت: «موضوع مذکور کذب بوده و هیچ‌گونه اختلال امنیت سایبری در خصوص سامانه‌ها و اطلاعات مشتریان بانک صورت نگرفته و تمامی شعب و سامانه‌های این بانک بدون کوچک‌ترین اختلالی در حال خدمت‌رسانی به هم‌وطنان عزیز می‌باشد.»
 

حتی در مواردی که نشت اطلاعات به وضوح اثبات شده، رویکرد اطلاعیه‌ها تغییری نکرده است. چنین رویه‌ای محدود به سازمان‌های دولتی نیست. به عنوان نمونه، پس از هک اسنپ‌فود در دی‌ماه ۱۴۰۲، این شرکت در بیانیه‌ای اعلام کرد: «شرکت اسنپ‌فود مسئولیت این اتفاق را می‌پذیرد و حتماً بررسی دقیقی در مورد دلایل وقوع آن انجام خواهد داد.» اما در عین حال تأکید کرد که «اطلاعات پرداخت بانکی کاربران در امنیت کامل قرار دارد.»
 

واکنش‌ها و ادبیات یکنواخت سازمان‌ها در مواجهه با این رویدادها جای تأمل دارد. حملات سایبری، نفوذ و هک پیچیدگی‌های فنی خاص خود را دارند و شاید نتوان در کوتاه‌مدت به عمق خسارت واردشده به یک سامانه یا میزان آسیب به داده‌های کاربران پی برد. حتی در مواردی که فرض کنیم حمله سایبری جدی رخ نداده یا اطلاعات کاربران واقعاً آسیبی ندیده است، استفاده مکرر از عباراتی تکراری و کلیشه‌ای در اطلاعیه‌ها نه تنها اعتماد عمومی را تقویت نمی‌کند، بلکه بیشتر به حس بی‌توجهی یا انکار دامن می‌زند. این الگوی ثابت در اطلاعیه‌ها، به‌جای رفع نگرانی‌ها، بیشتر شائبه کتمان یا عدم شفافیت را در ذهن مخاطبان ایجاد می‌کند.
 

سازمان‌ها به جای ارائه شفافیت و تلاش برای جلب اعتماد عمومی، تلاش می‌کنند با بی‌اهمیت جلوه دادن مسئله، نگرانی‌ها را کم‌رنگ کنند. این نوع واکنش‌ها نه تنها اعتماد عمومی را تضعیف می‌کند، بلکه به فرهنگ نادیده گرفتن اهمیت امنیت سایبری در جامعه دامن می‌زند؛ مسئله‌ای که با توجه به شرایط جامعه و افزایش حملات سایبری، می‌تواند پیامدهای جبران‌ناپذیری داشته باشد.
 

گاهی اطمینان دادن بیش از حد که «هیچ اتفاقی نیفتاده»، خود پرسشی نگران‌کننده‌ را به ذهن می‌آورد: آیا واقعاً می‌توان این‌قدر مطمئن بود؟!