چه کسی پاسخگوی نشت داده‌هاست

گروه دانش و فن|

لو رفتن اطلاعات شخصی مربوط‌به کاربران تلگرامی به دلیل استفاده از نسخه‌های غیررسمی این اپلیکیشن و استفاده‌کنندگان از فروشگاه‌های آنلاین داخلی و اطلاعات ثبت احوالی ایرانیان در روزهای ابتدایی فروردین ماه سال جاری، به یکی از مهم‌ترین و پرجنجال‌ترین اخبار ماه گذشته تبدیل شده بود. مدتی پس از آن هم اخباری مبنی‌بر خریدوفروش اطلاعات بالغ بر ۶۰۰ هزار حساب کاربری یک شرکت حمل و نقل، نامه‌های اداری دو شرکت هواپیمایی، اطلاعات هویتی مشترکان سه اپراتور ارتباطی، اطلاعات ۹۵۰ هزار کاربر پژوهشگاه علوم و فناوری اطلاعات ایران و اطلاعات کامل سازمان امور دانشجویان وزارت علوم به دلیل هک در فضای مجازی منتشر شد. اگرچه در مواردی این صحت اخبار از سوی سازمان‌های مورد نظر زیر سوال قرار گرفت، اما نمی‌توان از روند لو رفتن اطلاعات و داده‌های سیستمی که این روزها یکی پس از دیگری شنیده می‌شود چشم‌پوشی کرد. در نهایت روز گذشته مرکز ماهر اعلام کرد مسوولیت اصلی در پاسخ به سوالات امنیت بانک‌های داده و اطلاعات، در وهله اول بر عهده بالاترین مسوول دستگاه است و مرکز ماهر براساس چارچوب‌های قانونی و ماموریت‌های محوله گزارش خود را در خصوص حوادث، صرفا برای مقامات مسوول ارسال می‌کند.

وقتی دیتابیس یک اپراتور فاش می‌شود، با یک تکذیبیه داستانش تمام می‌شود، وقتی دیتابیس پذیرنده‌های یک بانک فاش می‌شود هم می‌گویند بررسی می‌کنیم و گزارش می‌دهیم، وقتی دیتابیس سایت فروش بلیت فاش می‌شود، می‌گویند مسوولیتش را پذیرفتیم بدون اینکه به کاربران اخطار دهند چه دیتایی منتشر شده و چه کار باید بکنند. اتفاقات امنیتی این‌چنینی ممکن است در سطح گوگل و فیس‌بوک هم رخ ‌دهد و موضوع جدید و عجیبی نیست، اما آنها کاربران را آگاه می‌کنند و اطلاع می‌دهند که اطلاعات شما در معرض خطر است تا اگر نیاز به تغییر رمز عبور یا اقدام خاصی است، این کار را انجام دهند و یا اگر اطلاعات حساسی فاش شده، فکر دیگری کنند. این شرکت‌ها سعی می‌کنند با توضیح جزییات به کاربران این اطمینان خاطر را بدهند که دیگر این اتفاق تکرار نمی‌شود و حتی قانون با پیگیری، جلوی آنها می‌ایستد. این در حالی است که در ایران وقتی دیتابیس یک سیستم منتشر شود، اهمیتی ندارد. هیچ‌کدام از کسب‌وکارهایی که تاکنون پایگاه داده‌شان فاش شده به دادگاه نرسیدند، زیرا قانونی نداریم که تبعاتی برای آنها ایجاد کند. به همین دلیل شرکت‌ها هم ترجیح می‌دهند این اتفاقات مشمول گذر زمان شود تا کاربران هم موضوع را به فراموشی بسپارند و این خیلی خطرناک است. به نشت اطلاعات کاربران ایرانی در یک سال گذشته بیشتر از سوی افراد خارجی اتفاق افتاده است و این موضوع نشان می‌دهد خارجی‌ها بازار خوبی پیدا کردند، در ایران قانونی وجود ندارد و خیلی از شرکت‌ها هم امنیت را رعایت نمی‌کنند. سارقان اطلاعات گاهی قبل از انتشار این اطلاعات، از کسب‌وکارها درخواست باج کرده و این باج را از طریق بیت‌کوین و دیگر ارزهایی که ردی از آنها نمی‌گذارد، دریافت می‌کنند. گاهی انتشار اطلاعات یک اپلیکیشن به دلیل اینکه روی دیتابیس اطلاعاتش رمزی نگذاشته است، اتفاق می‌افتد،  در حالی که این موضوع از ابتدایی‌ترین اصول امنیت است. یا اکانتی منتسب‌ به اپلیکیشنی که اطلاعات کابرانش فاش شده توییت می‌کند که اطلاعات خاصی منتشر نشده و صرفا شماره تلفن بوده است. این نشان می‌دهد این شرکت‌ها نه کارشناس امنیتی دارند و نه به مساله امنیت ‌اهمیت می‌دهند، در حالی که این موضوع تبعات زیادی دارد.

    لایحه صیانت از داده‌های شخصی

مسکوت مانده

از طرفی لایحه صیانت از داده‌های شخصی هنوز به تصویب نرسیده و سال‌ها مسکوت مانده است. ما مشکل قانون‌گذاری داریم و یکی از دلایلی که افراد به اپلیکیشن‌های ایرانی اعتماد نمی‌کنند، همین است. اطلاعات کاربران اگر بخواهد در ایران باشد، باید قانونی وجود داشته باشد که از این اطلاعات و مالک آنها حمایت کند. درحال حاضر اگر چت کاربران در یکی از اپلیکیشن‌های ایرانی هم لو برود، حتی درصورتی‌که هویت اپلیکیشن مشخص باشد و مسوولیت هم بپذیرد، باز هم قانونی وجود ندارد که با این اتفاق برخورد شود. هرچند امیر ناظمی، رییس سازمان فناوری اطلاعات، درباره این موضوع معتقد است اگرچه قانون حفاظت از داده‌های عمومی یا همان GDPR در هزارتوی نظام بروکراسی محبوس مانده است، اما این به آن معنا نیست که قانونی برای اجبار سازمان‌ها و دستگاه‌ها به حفاظت از داده‌های شخصی وجود ندارد، بلکه به معنای آن است که همه نیازها را پاسخ نمی‌دهد. تک‌تک این مواد قانونی می‌تواند منجربه محکومیت هر فرد حقیقی و حقوقی شود که در محافظت از داده‌ها سهل‌انگاری کرده است.

نشت اطلاعات هر یک از اپلیکیشن‌ها ممکن است پس از مدتی فراموش شود، اما درنهایت به اعتماد عمومی ضربه می‌زند و باعث می‌شود حتی اگر یک اپلیکیشن ایرانی وظایف امنیتی خود را هم به‌درستی انجام دهد، به‌دلیل نبود اعتماد کاربران آسیب ببیند. بحث حریم شخصی با دلجویی رفع نمی‌شود، بلکه نیازمند قانون است و باید تبعاتی داشته باشد. شاید اطلاعاتی مانند نام، شماره تلفن، کد ملی و دیگر موارد به خودی خود ارزشی نداشته باشد، اما اگر همین اطلاعات را می‌توان در کنار سایر اطلاعاتی که از سرویس‌های دیگر نشت پیدا کرده قرار داد و به دیتابیس بزرگی دست پیدا کرد که اگر در اختیار افراد کلاهبردار و فیشر و هکر قرار بگیرد، می‌تواند خطرات زیادی ایجاد کند و باعث کلاهبرداری‌های بیشتری شود.

    بالاترین مسوول هر دستگاه 

باید پاسخگوی افشای اطلاعات باشد

در این راستا مرکز ماهر روز گذشته بیانیه‌ای را در رابطه با روند افشا داده‌های سازمان‌ها و کسب‌وکارها در فضای مجازی منتشر کرد که در آن آمده است: ارتقا هر سیستمی، از جمله امنیت و حفاظت از داده‌های شهروندان نیازمند دریافت بازخوردها و تصحیح آن سیستم است. همچنین مطالبه‌گری صحیح، نقطه‌ آغازین بهبود و اصلاح هر سیستمی است. پیرو پرسش‌هایی که در خصوص اخبار مربوط به افشا داده‌های شهروندان از مرکز ماهر طرح می‌شود، این مرکز ضمن استقبال از مطالبه‌گری‌ها و حساسیت‌های شهروندان در خصوص این اخبار، لازم می‌داند تا نکات زیر را یادآوری کند. مطابق بند ۵-۱ نظام ملی مقابله با حوادث فضای مجازی کشور: «مسوولیت پیشگیری و مقابله با حوادث فضای مجازی هر دستگاه، بر عهده بالاترین مقام آن دستگاه خواهد بود.» به این ترتیب مسوولیت اصلی در پاسخ به سوالات امنیت بانک‌های داده و اطلاعات، در وهله اول بر عهده بالاترین مسوول دستگاه است. مرکز ماهر بر اساس چارچوب‌های قانونی و ماموریت‌های محوله گزارش خود را در خصوص حوادث، صرفا برای مقامات مسوول ارسال می‌کند؛ هر چند پس از اتمام بحران این مرکز این حق را برای خود قائل است تا به تدوین گزارش‌هایی عمومی (با حفظ امنیت و حریم خصوصی داده‌ها) اقدام کند؛ تا به عنوان وظیفه ذاتی هر جزو از سیستم، با ارایه بازخوردهای مناسب گامی جهت ارتقاء و بهبود نظام حکمرانی داده بردارد. مرکز ماهر به این اصل اعتقاد دارد که مقابله با آن دسته از حوادث فضای مجازی کشور که منجربه افشا داده‌های شهروندان می‌شود، باید به‌صورت متمرکز و کاملا تخصصی، صرفا به یک مرکز مستقل دولتی واگذار شود تا امکان بررسی مستقل، بدون جانبداری، همراه با واکنش سریع و همچنین ایجاد زمینه مناسب برای اطلاع‌رسانی به‌موقع و باکیفیت همراه با انباشت دانش امنیت داده برای حفظ منافع ملی فراهم شود. مرکز ماهر بر اساس وظایف ذاتی و قانونی خود موارد متعددی از این دست را همواره کشف و یا از افراد دلسوزی که به صورت مسوولانه و صادقانه اطلاع‌رسانی می‌کنند دریافت می‌کند. تمام این موارد پس از بررسی‌های فنی جهت راستی‌آزمایی و استخراج شواهد و راهکار مقابله بر اساس چارچوب‌های قانونی به‌صورت محرمانه به صاحبان سرویس‌ها و داده‌ها اطلاع‌رسانی می‌شود و تلاش دارد تا در صورت نیاز برای مقابله با آن اقدام عملیاتی مناسب انجام دهد. دعوت همیشگی مرکز ماهر از تمام متخصصان و کارشناسان امنیت سایبری این است که در صورت مشاهده هرگونه افشا غیرمجاز یا آسیب‌پذیری در سامانه‌های بومی آن را از طریق کانال‌های ارتباطی مرکز ماهر اطلاع‌رسانی کنند. طبیعتا اعلام عمومی یک داده افشاشده یا یک آسیب‌پذیری امنیتی از طریق رسانه و شبکه‌های اجتماعی بدون اطلاع قبلی به خود قربانی یا به نهادهای مسوول مانند مرکز ماهر یا مرکز افتا ریاست‌جمهوری، حرکت سازنده و همراه با مسوولیت اجتماعی محسوب نمی‌شود. در انتها به سازمان‌ها و دستگاه‌های مختلف یادآور می‌شود که «سکوت، پاسخ‌گویی مناسب نیست؛ بلکه تنها سرمایه اجتماعی را کاهش می‌دهد»؛ هرچند شهروندان و مطالبه‌گران از مرجع پاسخ‌گویی آگاهی نداشته باشند. امید می‌رود صاحبان بانک‌های اطلاعاتی که داده‌ها و اطلاعات شخصی مردم به‌صورت امانت در اختیار آنها است، نه تنها نسبت به حفظ این امانت و حریم خصوصی شهروندان، هم بر اساس قانون و هم بر اساس مسوولیت اجتماعی، حساسیت لازم را داشته باشند؛ بلکه با پاسخ‌گویی مناسب بتوانند امنیت روانی عمومی را نیز فراهم آورند.