چالش امنیتی قرن: امنیت در متاورس

متاورس (به انگلیسی: Metaverse) در راه است و براساس گزارش‌هایی که به تازگی انتشار یافته‌اند، شرکت‌های بزرگی مثل شرکت متا (مالک فیسبوک) این حوزه را اداره خواهند کرد. از طرفی با توجه به حجم انبوه و گستردگی دنیاهای مجازی، متاورس یک میدان مین بزرگ برای امنیت و حریم خصوصی محسوب می‌شود.

با رشد و پیشرفت متاورس، بعضی از شرکت‌ها با احتیاط اولین گام‌های خودشان را در این فناوری برمی‌دارند. برای مثال برند ورزشی محبوب نایک با پلتفرم بازی آنلاین روبلاکس همکاری نموده تا یک دنیای مجازی تحت عنوان Nikeland را خریداری کند.

با ظهور و گسترش فضاهای مجازی در ماه‌ها و سال‌های پیش رو، شرکت‌های دیگر از جمله مایکروسافت، فیسبوک و گوگل هم تجربیات گسترده‌ای از طریق متاورس فراهم می‌کنند. اکوسیستم‌های بازی آنلاین مثل زندگی دوم، روبلاکس و دی‌سنترالند هم در این زمینه نقش دارند.

بنا به گفته Roberto Schiavulli، مدیر تجربیات فراگیر و بازی‌ها در شرکت Dark Slope: «وقتی متاورس شروع به کار کرده و فراگیر شود، تبدیل به یک مجموعه بی‌پایان از تجربیات و دارایی‌های دیجیتال و محیط‌های مجازی که از فناوری‌های مجازی استفاده می‌کنند خواهد شد».

Schiavulli می‌گوید: «این تجربیات شامل واقعیت افزوده و یک اقتصاد دیجیتال مکمل خواهند بود. بهتر است متاورس را مانند اینترنت به عنوان پلتفرمی در نظر بگیریم که مجموعه‌ای از این تجربیات می‌باشد و نه صرفاً یک ابزار واحد».

متاورس به سرعت در حال گسترش است و همین موضوع منجر به ایجاد مسائل امنیتی می‌شود که نیاز به رسیدگی دارند. یکی از چالش‌های امنیتی که در اثر رشد متاورس به وجود آمده‌اند مسأله «هویت» است. باید این اطمینان ایجاد شود که افراد نمی‌توانند هویت خودشان را جعل کنند. چالش بعدی حجم انبوه داده‌های حساس مثل اطلاعات بیومتریک در این جهان است. این اطلاعات که به همراه ارزهای دیجیتال جهت خرید استفاده می‌شوند منجر به افزایش جذابیت بسیار زیاد فضای مجازی برای مجرمان سایبری می‌گردند.

همه افراد سودجو از جمله مهاجمان دولتی، هکتویسیت‌ها، مجرمان سایبری و غیره از ضعف امنیت و حریم خصوصی در متاورس سود می‌برند اما آیا امکان رفع چالش‌های امنیتی این پدیده جدید وجود دارد یا خیر؟

ارتباط از طریق دنیای متاورس

اعتبارسنجی در متاورس

اعتبارسنجی در متاورس یکی از مهم‌ترین چالش‌هایی است که باید به آن پرداخت. سیستمی که مجهز به قابلیت تنظیم قرار ملاقات بین افراد با یک وکیل یا پزشک است به شدت وابسته به اعتبارسنجی هویت واقعی این کاربران می‌باشد.

بنا به گفته Will Richmond-Coggan، کارشناس حفاظت از داده‌ها در شرکت Freeths LLP: «امکان کنترل جعل هویت در صورت عدم احراز هویت صحیح و مناسب وجود ندارد».

عدم سازوکارهای احراز هویت قوی منجر به کلاهبرداری و انتشار اخبار جعلی می‌شود. مهاجمان نیز از چنین قابلیتی سوءاستفاده نموده و ترس و تردید ایجاد می‌کنند. Alexey Khitrov مدیرعامل ID R&D نیز ضمن تأیید چنین دیدگاهی می‌گوید: «متاورس و هر محیطی که در آن افراد بتوانند پشت آواتارهای مجازی مخفی شوند، ریسک‌های امنیتی بسیار زیادی را ایجاد می‌کند».

شیوه‌های اعتبارسنجی ضعیف منجر به ارایه اطلاعات غلط می‌شود. مهاجمان نیز حساب‌های کاربری افرادی را که با هویت‌های جعلی ثبت‌نام می‌نمایند هک خواهند کرد.

Khitrov می‌گوید: «ارایه‌دهندگان سرویس‌های متاورس برای تشخیص افراد جعلی طی فرایند ثبت‌نام و همچنین در طول زمان استفاده از پلتفرم به سازوکارهایی قوی برای اعتبارسنجی هویت افراد نیاز دارند».

فناوری تشخیص چهره می‌تواند این اعتبارسنجی‌ها را برای متاورس فراهم کند. داده‌های حساس کاربران نیز باید امن و مخفی بمانند. متاورس نیاز به تعامل در بین چندین سرویس دارد. Schiavulli معتقد است چنین عملیاتی معادل با اشتراک‌گذاری حجم انبوهی از داده‌ها است. متاورس از دستگاه‌های نوری و بیوفیدخوان برای تعاملی‌تر شدن این جهان‌ها استفاده می‌کند. بنابراین باید داده‌های شخصی بیشتری مثل حالات چهره، ضربان قلب و شاخص‌های مربوط به نفس کشیدن را جمع‌آوری نماید.

کارشناسان امنیتی پیش‌بینی می‌کنند که متاورس همان تدابیر محرمانگی و امنیتی مورد استفاده در اینترنت اشیای هوشمند را بکار می‌گیرد ولی Schiavulli معتقد است که با افزایش محبوبیت متاورس بهتر است که راهکارهای امنیتی شخص ثالث اختصاصی وارد عمل ‌شوند.

با توجه به کارهای قابل انجام در متاورس، مجرمان فرصت زیادی برای بهره‌برداری از این جهان وسیع دارند.Sean Wright مدیر امنیت سازمان‌های کوچک و متاورس در Immersive Labs می‌گوید: «به احتمال زیاد افراد تمایل به انتشار زندگی شخصی خود در این پلتفرم خواهند داشت. مجرمان سایبری نیز از اطلاعات خصوصی کاربران برای دستیابی به اهداف پلیدشان سوءاستفاده می‌کنند. از آنجا که حتی امکان ازدواج کردن هم در دنیای متاورس وجود دارد، اگر یک مجرم بتواند با جعل هویت یک شخص واقعی چنین کاری را انجام دهد، امکان دسترسی به داده‌های شخصی زیادی را خواهد داشت».

سایر ملاحاظات امنیتی نیز نباید در طی توسعه و پیشرفت متاورس نادیده گرفته شوند. برای مثال اگر در آینده شرکت‌ها (از جمله متا) امکان فعالیت نرم‌افزارهای شخص ثالث را در این پلتفرم فراهم کنند، باید از همان ابتدا تدابیر امنیتی را ارزیابی نموده و اقدامات امنیتی لازم جهت حفاظت از داده‌های کاربران و مشتریان‌شان را انجام دهند. Jake Moore مشاور امنیت سایبری جهانی شرکت ESET می‌گوید: «نظارت بر روی برنامه‌های کاربردی بالقوه مخرب یا ناامن که بدون شک برای سوءاستفاده از نقطه ضعف‌های ناشناخته طراحی خواهند شد، ضروری است».

حریم خصوصی داده‌ها در متاورس

چالش‌های مربوط به حریم خصوصی داده‌های متاورس نیز باید رفع گردند. برای مثال مدیریت بخش عمده‌ای از حریم خصوصی داده‌ها در متاورس بر عهده شرکت متا با مالکیت مارک زاکربرگ است. از آنجا که این شرکت اعتبار چندان زیادی در زمینه حفاظت از حریم خصوصی ندارد، این مسأله نگرانی‌هایی را ایجاد کرده است. شرکت گوگل نیز نقش مهمی در متاورس دارد ولی مدل کسب‌وکار آن مشابه شرکت متا بر پایه تبلیغات ساخته شده و در نتیجه وابسته به حجم انبوهی از داده‌های کاربران می‌باشد.

لازم به ذکر است که متا به واسطه Oculus که یکی از زیرمجموعه‌های متاورس می‌باشد، جایگاه مهمی در این فناوری پیدا کرده است. Andrew Bosworth مدیرارشد فناوری شرکت متا در اکتبر 2021 اعلام کرد: «تغییر برند در راه است». بنا به گفته او: «قصد ساده‌سازی معماری برند خود و تغییر نام برند Oculus را برای سخت‌افزارمان داریم. از سال 2022 نام Oculus Quest از شرکت فیسبوک به Meta Quest تغییر خواهد کرد».

با توجه به این موضوع باید واقع‌گرا باشیم. Richmond-Coggan می‌گوید: «شاید اینترنت بر اساس پایه‌های بشردوستانه طراحی شده باشد اما امروزه بخش کثیری از جنبه‌های آن در اختیار شرکت‌های خصوصی است. این شرکت‌های خصوصی باید متقاعد گردند تا سرمایه‌گذاری قابل توجهی در زیرساخت متاورس جدید انجام دهند. آنها انتظار دارند که از طریق این سرمایه‌گذاری به بازده خوبی دست یابند».

بنا به گفته Richmond-Coggan: «بدون ایجاد کوچکترین تغییری در مدل کسب‌وکار فیسبوک و گوگل، تلاش اجتناب‌ناپذیری برای استفاده از محیط متاورس جهت انتشار تبلیغات هدفمند و جمع‌آوری اطلاعات رفتاری و سلایق کاربران در راستای درآمدزایی از این اطلاعات صورت خواهد گرفت».

بنابراین ممکن است متاورس به سیستم‌های پیچیده‌تر و دقیق‌تری برای مدیریت تنظیمات حریم خصوصی (از جمله اینکه رفتار یا خصوصیات یک شخص با چه دقتی به تصویر کشیده شده و چه اطلاعاتی درباره رفتارها و فعالیت‌های آنلاین آنها جمع‌آوری می‌گردد) نیاز داشته باشد.

براساس پیش‌بینی Moore حداقل در ابتدا تنظیمات حریم خصوصی متاورس در اختیار کاربران قرار خواهد گرفت اما افراد معمولاً اهمیت چندانی به شیوه مدیریت داده‌ها و به اشتراک‌گذاری آنها نمی‌دهند. او می‌گوید: «امکان کنترل داده‌های حساس و شخصی و قرار دادن‌شان در اختیار دیگران در هر زمان بر عهده خود کاربران است اما این تنظیمات در بسیاری از وب‌سایت‌ها پیچیده هستند و افراد معمولاً زحمت تغییرشان را به خود نمی‌دهند مگر اینکه با مخاطرات ناشی از واگذاری داده‌های محرمانه در اختیار سازمان‌های بزرگ آشنا شوند».

مقررات حفاظت از داده‌های عمومی اتحادیه اروپا، قوانین ایالتی و دولتی در آمریکا و سایر قوانین امنیتی به رفع این چالش‌ها کمک می‌کنند. البته پیروی از این قوانین باید دقیق باشد و نه سرسری؛ همچنین این قوانین باید در طی پیشرفت و توسعه متاورس به‌روزرسانی شوند و تغییرات لازم نیز در آنها اعمال گردد. Schiavulli می‌گوید: «شرکت‌هایی مثل گوگل و متا باید مسئولیت داده‌هایی را که با آنها کار می‌کنند چه از طریق فشارهای خود مشتریان و چه از طریق قوانین امنیتی بر عهده بگیرند».

ماهیت جهانی و سرتاسری متاورس نیز مانعی برای اقدام یکپارچه محسوب می‌شود. Richmond-Coggan می‌گوید: «در صورت عدم تنظیم مقررات بین مرزی متحد، امکان دور زدن سازوکارهای حفاظتی به راحتی وجود دارد».

Richmond- Coggan معتقد است که در آینده شرکت‌های بخش فناوری که زیرساخت‌های این حوزه را تأمین می‌کنند، نقش مهمی دارند. او می‌گوید: «به تازگی شاهد اقدامات مثبتی در زمینه امنیت و حریم خصوصی از سوی شرکت‌های اپل و گوگل بوده‌ایم. البته همچنان مشخص نیست که آیا این اقدامات در پاسخ به تقاضای مشتریان صورت گرفته‌اند یا خیر».

براساس گفته Richmond-Coggan: «در حوزه متاورس، هماهنگ‌سازی استانداردهای حفاظت از حریم خصوصی و ایمن‌سازی اطلاعات به اندازه تعامل‌پذیری در پلتفرم‌های مختلف مهم است».

در راستای تحقق چنین هدفی حامیان حریم خصوصی، قانون‌گذاران، کسب‌وکارها، دولت‌ها و کاربران باید یک گفتمان جهانی با یکدیگر برگذار کنند.

حل مشکلات حریم خصوصی و امنیت در متاورس

مشابه سایر فناوری‌های جدید، ایجاد پایه‌های امن برای متاورس بسیار مهم است. متاورس نیاز به ساخت ابزارها، دستگاه‌ها و پلتفرم‌ها و سرویس‌هایی دارد که طراحی آنها کاملاً امن باشد.

بسیاری از راهکارهای کنونی در زمینه حریم خصوصی و امنیت نیاز به ایجاد یک لایه حفاظت بر روی یکی از راهکارهای امنیتی موجود دارند. این کار در دنیای متصل به اینترنت متاورس ممکن نبوده و پیش از هر چیز باید یک طرز تفکر جدید درباره این اکوسیستم نو و ساخت اجزای آن ایجاد شود».

بنا به گفته Schiavulli: «در این مسیر، ارایه‌دهندگان راهکارهای امنیتی باید ابتکار داشته باشند، با جدیدترین تهدیدات همگام شوند و رفتار کاربران را پیش‌بینی کنند. باید بتوانیم هویت‌های مجازی را مثل هویت‌های واقعی تشخیص داده و اعتبارسنجی نماییم. این کار با فناوری تشخیص چهره، انباره‌های داده، میان‌افزار و سایر راهکارهای دیجیتال ممکن است. امنیت متاورس نیز مانند سایر فناوری‌های دیجیتالی امروزی در گرو مسئولیت‌پذیری طرف‌های مختلف است. این خبر برای افرادی که در پی پاسخ راحت هستند خوشایند نیست اما فرصت بسیار خوبی برای همکاری بهتر در راستای یک هدف مشترک محسوب می‌شود».

شرکت‌های امنیتی باید برای رفع این چالش‌ها دست به کار شوند اما متاورس هنوز ابتدای راه است. در حال حاضر Wright معتقد است شرکت‌هایی که به دنبال فعالیت در این حوزه هستند باید صبر کنند تا این پلتفرم رشد و تکامل یابد. بنا به گفته او: «این فناوری کاملاً جدید و بسیار وسیع است. با در نظر گرفتن این عوامل، پتانسیل زیادی برای ایجاد حفره‌های امنیتی و بروز مشکل در آن وجود دارد».

منبع: infosecurity-magazine

خروج از نسخه موبایل