ابرآروان؛ حافظ منافع کاربران یا دولت؟/ مردم به دیتاسنترهای داخلی اعتماد ندارد

به گزارش تجارت نیوز ، گذار از دیتاسنترهای سنتی و اتصال به دیتاسنترهایی که بر پایه ساختارهای اَبرزی (cloud) کار می کنند، نیاز تمام شرکت‌ها و کسب و کارهایی است که باید در شرایط دشوار نگهداری اطلاعات بر روی دیسک‌های سخت سنتی، جامد و حتی هیبریدی آن را سامان دهند.

تا همین ۱۰ سال پیش هم بسیاری از کسب و کارها چندان از اهمیت استفاده از دیتاسنترهای ابری آگاهی نداشتند و اطلاعات خود را به صورت سنتی ذخیره می‌کردند تا اینکه با همه شمول شدن جاگذاری فضای ابری بر روی نرم افزارهای اندرویدی و دیگر سیستم عامل‌ها، به تدریج جا اُفتاد که نگهداری سنتی از اطلاعات، دیگر جایی ندارد.

از طرفی در ساختارهای که فناوری‌های ایرانی را مورد حمایت و توسعه قرار می‌دهند و عمده آنها هم وابسته به دولت هستند، چندان به توسعه فضای ابری و تامین نیاز کسب و کارها توجه نشد؛ چرا که از یک طرف دیتاسنترهای دولتی ضعیف باقی مانده بودند و از طرفی سرمایه گذاری در قالب کنسرسیوم تجاری برای بخش خصوصی جذاب نبود.

دغدغه امنیت کاربران

نیمه دوم دهه ۹۰ زمانی بود که دولت تصمیم گرفت برای توسعه دیتاسنترهایی سنتی و ناکارآمد خود از بخش خصوصی شریک تجاری پیدا کند. برهمین اساس در سال ۹۸ اولین مزایده برگزار شد و پس از چند نوبت تکرار، شریک تجاری دولت در قالب دو کنسرسیوم آسیاتک (دیتاسنترهای شمال کشور) و ابرآروان (دیتاسنترهای جنوب کشور) مشخص شد.

این قرارداد کمک کرد که زمینه مشارکت و توسعه دیتاسنترهای دولتی فراهم شود و نام ابرآروان به عنوان تامین کننده خدمات برای سازمان‌ها و موسسه‌های دولتی و شرکت‌های خصوصی شنیده شود. در حال حاضر، ابرآروان به سازمان‌های پرمخاطبِ بیمه سلامت، تامین اجتماعی، وزارتخانه فرهنگ و ارشاد، شرکت‌های فروشگاه رفاه، ایران خودرو، اسنپ، تپسی و ده‌ها مجموعه دیگر خدمات ابری و غیره ارائه می‌کند.

با وجود اینکه خدمات ابری، نیازِ امروزِ کسب و کارها و سازمان‌هاست با این حال امنیت کاربران و نگهداری دائمی از اطلاعات آنها، موضوعی است که باید "اصل" گرفته شود. در روزهای گذشته کاربران شبکه های اجتماعی که نگران امنیت اطلاعات و امنیت شخصی خود هستند، گلایه هایی را از ابرآروان و به طور کلی CDN-های ایرانی مطرح کردند.

این کاربران از یک طرف نگران از دست رفتن اطلاعات خود در حملات DDoS هستند که به از بین رفتن بخشی از اطلاعات آنها برروی ابرآروان انجامیده و از طرفی دیگر، نگران همکاری این مجموعه برای قطع سراسری اینترنت و افشای اطلاعات شخصی هستند. یکی از نگرانی‌هایی که در روزها اخیر در میان کاربران بازتاب داشت، اخباری است که در مورد ضرورت برقراری همکاری‌های الزامی میان خدمات‌دهندگان با سازمان فناوری اطلاعات منتشر شده است.

شروط همکاری عمومی-خصوصی

این همکاری، در قالب موافقت‌‌نامه‌های مشارکت عمومی-خصوصی شرایطی دارد؛ از جمله «مدیریت قطع یا وصل، و یا ایجاد محدودیت و اعمال سیاست‌های کوتاه مدت و بلند مدت»، اجرای دستور طرف اول (مشارکت‌کننده عمومی-دولت) یا «سایر مراجع ایرانی ذی‌صلاح» در مورد قطع یا ارائه خدمات پروژه و "شنود قانونی" Lawful interception)) یا همان LI در چارچوبِ دفاع ملی و امنیت عمومی.

در واقع همکاری با دولت‌ها الزام‌های حقوقی دارد که آنها در شروط مربوط به موافق‌نامه‌های خود با مشارکت‌کننده می‌گنجانند. در این میان ابرآروان یا هر شرکت دیگری که به واسطه‌‌ فعالیت در حوزه‌ CDN (توزیع محتوا)، فضای ابری و دیگر خدمات ابری به اطلاعات کاربران دسترسی دارد، دارای موقعیت حساسی است که میزبانی آنها از داده‌ها را مهم می‌سازد. از طرفی قرارداد مشارکت در حوزه اینترنت که تامین آن به صورت انحصاری توسط دولت انجام می‌‌شود، ایجاب می‌کند که مشارکت‌کننده خصوصی پاسخگوی انتظارهای دولت باشد.

پاسخ ابرآروان به منتقدان

در این میان ابرآوران در گزارش شفافیت خود تاکید دارد که «مطابق سیاست حفظ حریم خصوصی ابرآروان، محافظت از داده‌های شخصی مشتریان یکی از تعهدات ما است. ابرآروان تمامی درخواست‌های رسیده را با دقت بررسی و مواردی که نامعتبر یا فاقد مبنای حقوقی هستند را رد می‌کند. ابرآروان پیش از پذیرش هر درخواست، مشتریان خود را نسبت به دریافت درخواست‌های معتبر و قانونی برای توقف سرویس، تعلیق اکانت یا ارایه اطلاعات‌شان مطلع می‌کند، مگر این‌که این موضوع در حکم قضایی «محرمانه» ذکر شده باشد، موضوعی که به هیچ‌وجه در چنین احکامی مرسوم نیست.»

این شرکت همچنین مشارکت خود در شنود کاربران را رد می‌کند:«هیچ نرم‌افزار یا تجهیزاتی وابسته به مراجع امنیتی یا قضایی، با هدف ذخیره‌سازی یا شنود اطلاعات، در هیچ نقطه از شبکه ابرآروان وجود ندارد. ابر آروان، کلید رمزنگاری و تایید هویت خود یا مشتریان خود را در اختیار هیچ شخص یا نهادی نمی‌گذارد و مشتریان را به استفاده از رمزنگاری داده‌ها و ارتباطات رمزنگاری شده تشویق می‌کند». ابرآروان برای تعریف وضعیت رسیدگی خود به درخواست‌های قضایی، امنیتی و غیره ۴ طبقه‌بندی را ایجاد کرده است: سواستفاده، حق مالکیت، دستور قضایی و رد درخواست.

در چارچوب تعریف سواستفاده، ابرآوران درخواست‌های مراجع دولتی، رگولاتوری‌ها،‌ آژانس‌های امنیتی یا گزارش‌های شخصی (اشخاص حقیقی یا حقوقی مستقل) به دلیل سواستفاده (مانند حملات DDoS، فیشینگ، ارسال اسپم، پورنوگرافی کودکان و… ) را دریافت و بررسی می‌‌کند. حق مالکیت، مربوط به رعایت حقوق مالک محتوا و دستور قضایی هم "به شکل حکم" و یا "دستور قضایی" از سوی پلیس و مراجع قضایی داخلی یا بین‌المللی به دلیل وقوع جرم یا انجام تحقیقات قضایی توسط این شرکت دریافت می‌شود.

رد ۱۲۵ درخواست

برای نمونه ابرآوران مدعی است در زمستان ۱۴۰۰، ۱۲۵ درخواست را رد کرده است. اوج درخواست‌های رد شده در سال گذشته مربوط به بهار با ۳۳۰ درخواست است. با وجود اینکه این شرکت، تعاریف خود را استخراج و طبقه‌بندی کرده تا در گزارش شفافیت بگنجاند اما این طبقه‌بندی هم نمی‌‌تواند معرف تمام موارد و ابهاماتی باشد که از باب نگرانی در مورد دسترسی به اطلاعات کاربران و همکاری CDN-ها با کلان پروژه‌ «شبکه ملی اطلاعات» به وجود آمده است؛ پروژه‌ای که در قالب پیوستِ طرح صیانت از حقوق کاربران و در قانون بودجه ۱۴۰۱ نمود یافته است.

مرتبط دانستن ابرآوران به همکاری با دستورهای بالادستی مربوط به کاهش پنهای باند پس از وقایع ۸۸، ۹۶ و ۹۷ ناشی از بی‌اعتمادی است که به طرح صیانت وجود دارد. ابرآروان ضمن تایید «گسترش بستر بی‌اعتمادی جمعی» اعلام کرده که« تجربه‌ تلخ قطع ارتباط با دنیا در آبان ۹۸ و سال ۸۸» موحب این وضعیت شده است اما بنابر اعلام شرکت «سامانه رادار» در زمستان ۹۸ ایجاد شد تا کاربران اختلالات اینترنت را رصد کنند.

با وجودهای پاسخ‌های ابرآروان، محدود شدن سرعت اینترنت و توقف روند گردش آزاد اطلاعات در زمان‌های حساس، موجب شده که کاربران دیگر به سازِکارهای داخلی اعتمادی نداشته باشند و این روزها که صحبتِ راه‌اندازی "اینترنت ماهواره‌ای" در جهان و به طور خاص در کشور جنگ‌ زده اوکراین داغ است، سراغ خرید تجهیزات آن را بگیرند.