اطلاع‌رسانی حملات سایبری به شوخی تبدیل‌شده است

در اواسط دی‌ماه سال گذشته بود که در مطلبی در افتانا با عنوان «ما هک شدیم اما شما نگران نباشید» اشاره کردیم که هر بار با انتشار اخبار هک، نفوذ یا نشت اطلاعات، یک روایت آشنا تکرار می‌شود: همه چیز امن است و عبارات کلیشه‌ای «سامانه‌ها بدون کوچک‌ترین اختلال در حال خدمت‌رسانی هستند» و یا اصلاً هک اتفاق نیفتاده تکرار می‌شود. اما چرا چنین است؟

این موضوع را از چند منظر می‌توان بررسی کرد.

1) تنها انتظاری که سازمان از روابط عمومی خود دارد این است که عجولانه، سردستی و ناشیانه بیانه بدهد، همه‌چیز را تکذیب کند و حتی در تازه‌ترین اقدام (بانک سپه) رسانه‌ها را تهدید کند. چرا؟ چون روابط عمومی صرفاً به‌عنوان بلندگویی برای تکذیب دیده‌شده و عملاً هیچ نقشی در مدیریت بحران ندارد. بحرانی که واقعا در سازمان اتفاق افتاده و باید مدیریت شود. در مواردی که هک صد درصد تأیید شده نیز روابط عمومی‌ها به خود زحمت دادن بیانیه جدید، شرح اتفاقات، عذرخواهی از اتفاقی که افتاده و مسیر ترمیم اعتمادسازی را به خود نمی‌دهند.

2) هک شدن امری درون‌سازمانی تلقی می‌شود که ارتباطی با دیگران، اعم از ذینفعان، صاحبان داده، صاحبان سامانه‌ها و مخاطبان سازمان ندارد. درنتیجه هیچ‌گاه سازمان خود را موظف به پاسخگویی عمومی نمی‌داند و حداکثر خود را پاسخگوی سازمان‌های نظارتی یا امنیتی می‌داند. با همین دیدگاه است که سازمان (مانند بانک سپه) خود را در مقام تهدید رسانه‌ها می‌بیند و برایشان تعیین تکلیف می‌کند.

3) سازمان‌های نظارتی نیز هک شدن را امری درون‌سازمانی تلقی می‌کنند و نه خود و نه سازمان تحت حمله را موظف به پاسخگویی نمی‌دانند. نمونه آن هک اخیر بانک‌ها و بدتر از آن هک شدن شرکت توسن بود که نهاد نظارتی مانند بانک مرکزی یا بازوی امنیتی سایبری آن یعنی شرکت کاشف خود را ملزم به اعلام موضوع، انتشار بیانیه یا تهیه هیچ گزارشی برای روشن شدن افکار عمومی ندیدند. تقریباً در هک شدن (به معنای عام) هیچ‌کدام از نهادهای مالی، بانک مرکزی یا کاشف عکس‌العمل مشخص و واضحی نشان ندادند. این امر البته فقط به نهادهای مالی محدود نمی‌شود و وزارت‌خانه‌هایی که هک شدند نیز در همین مسیر حرکت کرده و می‌کنند.

4) هک شدن یا نشت اطلاعات تبعات اقتصادی خاصی ندارند. ازآنجایی‌که نقض امنیت اطلاعات و امنیت داده‌ها، اصولاً تأثیرات کسب‌وکاری بر سازمان‌ها ندارد، هیچ سازمانی خود را موظف به شفاف‌سازی و انتشار گزارش آنچه اتفاق افتاده و آنچه که قرار است انجام شود نمی‌داند. درنتیجه نقض اطلاعات یکی از اتفاقات روزمره‌ای تلقی می‌شود که در مسیر حرکت سازمان پیش می‌آید و کسی هم‌چندان نگران تبعات آن نیست.

5) عزل و نصب‌هایی که به دلیل وجود حفره‌های امنیتی در سازمان یا هک و نفوذ انجام می‌شود، جایی انعکاس پیدا نمی‌کند و اساساً امری داخلی محسوب می‌شود. یعنی قرار نیست که مشخص شود فلان مدیر به دلیل افشای اطلاعات برکنار شده یا فلان معاون به دلیل بروز رخداد امنیتی از کار معلق شده‌است. درنتیجه از دیدگاه عمومی به نظر می‌رسد که هک شدن تبعات خاصی برای مسئولان سازمان ندارد.

6) هیچ قانونی سازمان‌ها را موظف به انتشار اخبار هک و نشت داده‌ها و جبران خسارات وارده به ذی‌نفعان نمی‌کند پس سازمان‌ها دلیلی نمی‌بینند که در این زمینه پاسخگو باشند یا شفاف‌سازی کنند.

این فهرست را می‌توان ادامه داد و گزینه‌های مهم دیگری را هم مطرح کرد. ولیکن چون در سطح کشور و به‌تبع آن در سطح سازمان‌ها «حکمرانی امنیت سایبری» موضوعیتی ندارد لذا سازمان‌ها سری که درد نمی‌کند را دستمال نمی‌بندند و هیچ داده‌ای را منتشر نمی‌کنند. از طرف دیگر داده‌های هک و نفوذ قبلی نیز بین سازمان‌ها به اشتراک گذاشته نمی‌شود و نهاد نظارتی و نهاد امنیتی هم گزارش‌های مربوطه را تولید نمی‌کند یا بین ذی‌نفعان به اشتراک نمی‌گذارد.

پس بی‌دلیل نیست که این اطلاع‌رسانی‌ها به شوخی تلخی تبدیل‌شده‌اند که با انکار شروع می‌شوند و با تهدید به پایان می‌رسند.