کمیته رکن چهارم – شواهد نشان میدهد اگر پایگاه اطلاعات کسبوکاری فاش شود، معمولا کارش به دادگاه نمیرسد، این شرکتها هم ترجیح میدهند اتفاقات مشمول گذر زمان شود، درحالی که بحث حریم شخصی با دلجویی هم حل نمیشود، بلکه نیازمند قانون است و نشت اطلاعات باید تبعاتی داشته باشد.
اولین اخبار مربوطبه انتشار و نشت اطلاعات کاربران، به نام کاربری و شماره کاربران تلگرام برمیگردد که اعلام شد به دلیل استفاده از نسخههای غیررسمی تلگرام رخ داده است. پس از آن اعلام شد یکی از فروشگاههای آنلاین فروش اپلیکیشن، دچار مشکل مشابه شده و اطلاعات پنج میلیون از کاربرانش فاش شده و در آخرین نشت اطلاعات، خبر قرار گرفتن اطلاعات ثبت احوال در یک روبات تلگرامی منتشر شد. روز گذشته هم خبری از فروش اطلاعات فروشگاه آنلاین اندرویدی ایرانی به گوش رسید.
البته پس از نگرانیهای کاربران درباره انتشار اطلاعاتشان، مرکز ماهر زیرمجموعه سازمان فناوری اطلاعات، اعلام کرد با رصد جهت کشف بانکهای اطلاعاتی حفاظتنشده، به صاحبان آنها هشدار داده خواهد شد و در صورتی که ظرف مدت ۴۸ ساعت، همچنان مشکل به قوت خود باقی باشد، بهمنظور حفظ دادهها و حفاظت از حریم خصوص شهروندان، به مراجع قضایی معرفی میشود.
در این زمینه میلاد نوری -کارشناس فناوری اطلاعات- با بیان اینکه درزمینه جلوگیری از نشت اطلاعات کاربران و حمایت از اطلاعات کاربران در کشور ما قانونی جهت پیشگیری و پیگیری وجود ندارد، گفت: وقتی دیتابیس یک اپراتور فاش میشود، با یک تکذیبیه داستانش تمام میشود، وقتی دیتابیس پذیرندههای یک بانک فاش میشود هم میگویند بررسی میکنیم و گزارش میدهیم اما با گذشت دو سال هنوز نه گزارشی دادند و نه عذرخواهی کردند، وقتی دیتابیس سایت فروش بلیت فاش میشود، میگویند مسئولیتش را پذیرفتیم بدون اینکه به کاربران اخطار دهند چه دیتایی منتشر شده و چه کار باید بکنند.
وی ادامه داد: اتفاقات امنیتی اینچنینی ممکن است در سطح گوگل و فیسبوک هم رخ دهد و موضوع جدید و عجیبی نیست، اما آنها کاربران را آگاه میکنند و اطلاع میدهند که اطلاعات شما در معرض خطر است تا اگر نیاز به تغییر رمز عبور یا اقدام خاصی است، این کار را انجام دهند و یا اگر اطلاعات حساسی فاش شده، فکر دیگری کنند. این شرکتها سعی میکنند با توضیح جزییات به کاربران این اطمینان خاطر را بدهند که دیگر این اتفاق تکرار نمیشود و حتی قانون با پیگیری، جلوی آنها میایستد.
قانون برای نشت اطلاعات تبعاتی ایجاد نمیکند
این کارشناس فناوری اطلاعات با بیان اینکه به نظر میرسد در ایران اینکه دیتابیس یک سیستم منتشر شود، اهمیتی ندارد، افزود: هیچکدام از کسبوکارهایی که تاکنون پایگاه دادهشان فاش شده به دادگاه نرسیدند، زیرا قانونی نداریم که تبعاتی برای آنها ایجاد کند. به همین دلیل شرکتها هم ترجیح میدهند این اتفاقات مشمول گذر زمان شود تا کاربران هم موضوع را به فراموشی بسپارند و این خیلی خطرناک است.
نوری با اشاره به نشت اطلاعات کاربران ایرانی در یک سال گذشته که بیشتر از سوی افراد خارجی اتفاق افتاده است، گفت: این موضوع نشان میدهد خارجیها بازار خوبی پیدا کردند، در ایران قانونی وجود ندارد و خیلی از شرکتها هم امنیت را رعایت نمیکنند. سارقان اطلاعات گاهی قبل از انتشار این اطلاعات، از کسبوکارها درخواست باج کرده و این باج را از طریق بیتکوین و دیگر ارزهایی که ردی از آنها نمیگذارد، دریافت میکنند.
وی ادامه داد: انتشار اطلاعات اپلیکیشن تاکسییاب به این خاطر بود که روی دیتابیس اطلاعاتش رمزی نگذاشته بودند، در حالی که این موضوع از ابتداییترین اصول امنیت است. یا اکانتی منتسب به اپلیکیشنی که اطلاعات کابرانش فاش شده توییت میکند که اطلاعات خاصی منتشر نشده و صرفا شماره تلفن بوده است. این نشان میدهد این شرکتها نه کارشناس امنیتی دارند و نه به مساله امنیت اهمیت میدهند، در حالی که این موضوع تبعات زیادی دارد.
صیانت از دادههای شخصی راه به جایی نبرده است
این کارشناس فناوری اطلاعات درباره لایحه صیانت از دادههای شخصی که هنوز به تصویب نرسیده است، گفت: این موضوع سالها مسکوت مانده است. سه سال پیش در زمان وزارت محمود واعظی، در جلسهای در سازمان فناوری اطلاعات که با حضور مسعود پزشکیان، نایبرئیس مجلس برگزار شد، گوشزد کردیم که از طریق قانونگذاری به این موضوع بپردازند. چندی پیش در جلسه سازمان نظام صنفی رایانهای با حضور جواد جاویدنیا، معاون دادستانی کل کشور، هم این موضوع را مطرح کردیم. درواقع این موضوع اکنون به اطلاع قوای مجریه، مقننه و قضاییه رسیده اما هنوز در این زمینه کاری از پیش نرفته است.
نوری با اشاره به اصرار برخی از مسئولان به اینکه اطلاعات کاربران نباید از کشور خارج شود، گفت: ما مشکل قانونگذاری داریم و یکی از دلایلی که افراد به اپلیکیشنهای ایرانی اعتماد نمیکنند، همین است. اطلاعات کاربران اگر بخواهد در ایران باشد، باید قانونی وجود داشته باشد که از این اطلاعات و مالک آنها حمایت کند. درحال حاضر اگر چت کاربران در یکی از اپلیکیشنهای ایرانی هم لو برود، حتی درصورتیکه هویت اپلیکیشن مشخص باشد و مسئولیت هم بپذیرد، باز هم قانونی وجود ندارد که با این اتفاق برخورد شود.
وی همچنین خاطرنشان کرد: مدتی پیش پیامرسان سروش را برای فروش گذاشتند و دیتایی که تا چند وقت پیش در اختیار یک نهاد بوده، اکنون میتواند با خرید این پیامرسان توسط یک شخص، در اختیارش قرار گیرد. نشت اطلاعات هر یک از اپلیکیشنها ممکن است پس از مدتی فراموش شود، اما درنهایت به اعتماد عمومی ضربه میزند و باعث میشود حتی اگر یک اپلیکیشن ایرانی وظایف امنیتی خود را هم بهدرستی انجام دهد، بهدلیل نبود اعتماد کاربران آسیب ببیند. بحث حریم شخصی با دلجویی رفع نمیشود، بلکه نیازمند قانون است و باید تبعاتی داشته باشد.
دریافت اطلاعات ایرانیها از دیتابیس ثبت احوال
این کارشناس فناوری اطلاعات درباره موضوع نشت اطلاعات ثبت احوال بیان کرد: نشت اطلاعاتی که چند وقت اخیر اتفاق افتاده، اکثرا بهدلیل ضعف امنیتی روی نرمافزار و یا سرورها بوده اما در مورد ثبت احوال موضوع کمی متفاوت است. ثبت احوال یک سری وبسرویس دارد که آنها را از پیش تعریف کرده و در اختیار شرکتها و نهادهای دولتی و سازمانها میگذارد که بتوانند نیازهایشان را رفع کنند. مثلا زمانیکه یک بانک هنگام افتتاح حساب نیاز دارد با دریافت کد ملی، مشخصات شما را ببیند و این یک فرآیند روتین است.
نوری ادامه داد: ثبت احوال برای رفع یک سری نیازها در شرایط گسترش کرونا در کشور، این وبسرویس را در اختیار وزارت بهداشت قرار داده، اما پروتکلهای امنیتی رعایت نشده و مشخص نیست این وبسرویس و اطلاعاتش به دست چه کسانی افتاده است که یک روبات تلگرامی برای در اختیار قرار دادن اطلاعات طراحی کردند. آنها همانطور که این اطلاعات در اختیار افرادی است که از این بات استفاده میکنند، میتوانند با یک روبات نرمافزاری کل اطلاعات ۸۰ کاربر ایرانی را استخراج کرده باشند.
وی با بیان اینکه این اطلاعات ثبت احوال هم اطلاعات حساسی است، گفت: این اطلاعات هم شامل اسم و فامیل و کد ملی است و همین اطلاعات را میتوان در کنار سایر اطلاعاتی که از سرویسهای دیگر نشت پیدا کرده قرار داد و به دیتابیس بزرگی دست پیدا کرد که اگر در اختیار افراد کلاهبردار و فیشر و هکر قرار بگیرد، میتواند خطرات زیادی ایجاد کند و باعث کلاهبرداریهای بیشتری شود.
منبع: ایسنا