جمعه ۳۱ فروردين ۱۴۰۳ - 2024 April 19 
در حالی که لایحه «صیانت از داده های شخصی» از سال 96 تدوین شده و در پیچ و خم های تبدیل شدن به قانون بین قوه قضائیه، دولت و مجلس سرگردان است، هر روز شاهد هستیم اخباری از درز اطلاعات شخصی مردم منتشر می شود.
شعارسال:چند روز پیش اخباری در شبکه های مجازی دست به دست شد مبنی بر اینکه اطلاعات 5/5 میلیون کاربر یکی از اپراتورهای تلفن همراه هک و به معرض فروش گذاشته شده است. این موضوع ضمن در بر داشتن نگرانی هایی برای مردم، این نکته مهم را در ذهن ها متبادر کرد که چه برخوردی با این هکرها و اپراتورهایی که امنیت شبکه خود را نمی توانند تأمین کنند، خواهد شد.
حسین فلاح جوشقانی، معاون وزیر ارتباطات و رئیس سازمان تنظیم مقررات و ارتباطات رادیویی در این رابطه در حساب توئیتری خود نوشت: «مرکز ماهر درز اطلاعات رایتل را تأیید کرده است. گزارش ها نشان می دهد اطلاعات لورفته متعلق به 4 سال پیش بوده و توسط عامل انسانی رخ داده است. در هر حال رایتل مسئول حفاظت از داده ی مشترکین است و باید برخورد مسئولانه ای از خود نشان دهد. طبق ضوابط پروانه برخورد جدی خواهیم کرد.»
مجتبی رضاخواه، نماینده مردم تهران در مجلس یازدهم نیز در واکنش به این خبر در توئیتر نوشت: «یکی از دلایل پیشنهاد تشکیل «کمیسیون ویژه فناوری اطلاعات، فضای مجازی و اقتصاد دیجیتال» نظارت بر وزارت ICT جهت تأمین منافع مردم است. اخباری منشر شده که اطلاعات 5/5 میلیون مشترک اپراتور رایتل هک و برای فروش منتشر شده! پاسخگویی وزیر و ارائه راهکار عدم تکرار مشکل را پیگیری می کنیم.»
اما این اولین بار نیست که در ایران این قضیه پیش می آید. بهمن ماه سال گذشته هکرها به تعدادی از سرورهای علی بابا حمله کردند. حمله ای که به سرقت اطلاعات کاربرها و «سورس کدها» منجر شد. مسعود طباطبایی، مدیرعامل علی بابا پس از انجام این حمله هکری در توئیتر خود ضمن اعلام این خبر گفت: «متأسفانه تعدادی از سرورهای علی بابا مورد حمله هکرها قرار گرفته و به برخی از اطلاعات کاربران و سورسکدها دسترسی پیدا کردند.»
اواسط فروردین ماه امسال نیز نشت اطلاعات شناسنامه ای 80 میلیون کاربر ایرانی تلگرام و شماری از کاربران یکی از بازارهای ایرانی نرم افزارهای آیفون، از طریق سرورهای سازمان ثبت احوال و وزارت بهداشت، خبرساز شده بود. این ربات با استعلام کد ملی هر شخص، اطلاعات کامل شناسنامه ای وی را اعلام کرده و مدعی شده بود که این اطلاعات را به طور مستقیم از دیتابیس سازمان ثبت احوال استخراج می کند و حتی این باگ را پیش از این نیز به صورت کتبی و شفاهی به مرکز افتا گزارش داده است.
چند روز قبل از آن نیز رسانه های خارجی منتشر کردند و گفتند که اطلاعات 42 میلیون کاربر ایرانی تلگرام توسط یک نسخه غیر رسمی تلگرام و نه خود تلگرام با قیمت 500 دلار در اینترنت فروخته می شود که این اطلاعات شامل آی دی، نام کاربری، شماره تماس، رمز عبور و کلیدهای دیجیتالی می شود.
پس از اتفاقات مرکز ماهر وزارت ارتباطات بیانیه ای صادر کرد و با تکید بر اینکه این موضوع و امثال آن علاوه بر نقض حریم خصوصی شهروندان، منجر به بروز تهدیدات مختلفی علیه افراد، سازمان ها، کسب و کارها و … می شود، نوشت: منشأ مشترک اتفاقات اخیر، وجود بانک های اطلاعات کاملا حفاظت نشده یا دارای حفاظت خیلی ضعیف در سطح اینترنت است که باعث می شود افراد سوء استفاه گر بتوانند به راحتی به این بانک ها دسترسی پیدا کرده و باعث بروز مشکلات جدی برای مردم و کسب و کارها شوند. این نوع از سهلانگاریها به دلیل پیامدهای گستردهاش قابل چشم پوشی نیست و لازم است تا جدیتر از گذشته مورد توجه قرار گیرند.
امیر ناظمی، رئیس سازمان فناوری اطلاعات، نیز در حاشیه نشست خبری «همکاری مشترک برای صدور گواهینامه ارزیابی امنیتی محصولات بومی حوزه فناوری اطلاعات» گفت: لایحه مخصوص به صیانت از دادههای شخصی از آن دست لایحه هایی است که موضوع قضایی دارد. در این لوایح باید جرم تعریف شود و جرم انگاری صورت بگیرد. اما تبدیل این لایحه به قانون مشکلات زیادی را در حوزه افشای اطلاعات حل می کند.
وی افزود: در موارد اینچنینی سازمان فناوری به عنوان دولت نمی تواند ورود کند. این لایحه یا باید توسط مجلس طرح شود یا قوه قضاییه آن را ابلاغ کند. لذا فرآیند طولانی که در این بین شکل می گیرد باعث شده لایحه صیانت همچنان در مراحل اولیه باقی بماند.
لذا به نظر می رسد تا زمانی که این لایحه تبدیل به قانون و ابلاغ نشود، ضمانت اجرایی برای برخورد با هکرهایی که اطلاعات شخصی مردم را به سرقت برده اند و یا اپراتورهایی که نتوانسته اند امنیت شبکه خود را به درستی تأمین کنند، وجود ندارد و در قانونی که فعلا اجرا می شود جرمی برای آنها در نظر گرفته نشده است. بنابر این در چنین مواردی تنها به یک بیانیه و وعده عدم تکرار بسنده می شود و هیچ کس دیگر به سراغ خاطیان و برخورد قضایی با آنها نمی رود.
امیدواریم به زودی روزی را شاهد باشیم که با تصویب و ابلاغ قانون «صیانت از داده های شخصی» جرم انگاری برای هکرها و افرادی که اطلاعات شخصی مردم را به سرقت می برند در نظر گرفته شود تا شاید این افراد به دلیل ضمانت اجرایی و قضایی این قضیه کمتر به سراغ این موضوع بروند. البته همان طور که اشاره شد، نباید عدم امنیت و یا امنیت پایین شبکه ها را هم نادیده گرفت. اپراتورها و کسانی که خدماتی در بستر IT به مردم ارائه می دهند باید هرچه بیشتر تلاش کنند که امنیت اطلاعات خود را بالا ببرند.
در حال حاضر هیچ قانونی برای برخورد با هکرها و یا کسانی که با سهل انگاری در امنیت دیتابیس باعث درز اطلاعات شخصی مردم می شوند وجود ندارد. این امر باعث بروز مشکلات فراوانی شده که هک شدن های مکرر اطلاعات مردم یکی از آنها است و تا روزی که قانون برخورد با خاطیان تصویب و اجرا نشود، علی الظاهر هیچ کس نمی تواند برخوردی با این مجرمان داشته باشد.
حسین فلاح جوشقانی، معاون وزیر ارتباطات و رئیس سازمان تنظیم مقررات و ارتباطات رادیویی در این رابطه در حساب توئیتری خود نوشت: «مرکز ماهر درز اطلاعات رایتل را تأیید کرده است. گزارش ها نشان می دهد اطلاعات لورفته متعلق به 4 سال پیش بوده و توسط عامل انسانی رخ داده است. در هر حال رایتل مسئول حفاظت از داده ی مشترکین است و باید برخورد مسئولانه ای از خود نشان دهد. طبق ضوابط پروانه برخورد جدی خواهیم کرد.»
مجتبی رضاخواه، نماینده مردم تهران در مجلس یازدهم نیز در واکنش به این خبر در توئیتر نوشت: «یکی از دلایل پیشنهاد تشکیل «کمیسیون ویژه فناوری اطلاعات، فضای مجازی و اقتصاد دیجیتال» نظارت بر وزارت ICT جهت تأمین منافع مردم است. اخباری منشر شده که اطلاعات 5/5 میلیون مشترک اپراتور رایتل هک و برای فروش منتشر شده! پاسخگویی وزیر و ارائه راهکار عدم تکرار مشکل را پیگیری می کنیم.»
اما این اولین بار نیست که در ایران این قضیه پیش می آید. بهمن ماه سال گذشته هکرها به تعدادی از سرورهای علی بابا حمله کردند. حمله ای که به سرقت اطلاعات کاربرها و «سورس کدها» منجر شد. مسعود طباطبایی، مدیرعامل علی بابا پس از انجام این حمله هکری در توئیتر خود ضمن اعلام این خبر گفت: «متأسفانه تعدادی از سرورهای علی بابا مورد حمله هکرها قرار گرفته و به برخی از اطلاعات کاربران و سورسکدها دسترسی پیدا کردند.»
اواسط فروردین ماه امسال نیز نشت اطلاعات شناسنامه ای 80 میلیون کاربر ایرانی تلگرام و شماری از کاربران یکی از بازارهای ایرانی نرم افزارهای آیفون، از طریق سرورهای سازمان ثبت احوال و وزارت بهداشت، خبرساز شده بود. این ربات با استعلام کد ملی هر شخص، اطلاعات کامل شناسنامه ای وی را اعلام کرده و مدعی شده بود که این اطلاعات را به طور مستقیم از دیتابیس سازمان ثبت احوال استخراج می کند و حتی این باگ را پیش از این نیز به صورت کتبی و شفاهی به مرکز افتا گزارش داده است.
چند روز قبل از آن نیز رسانه های خارجی منتشر کردند و گفتند که اطلاعات 42 میلیون کاربر ایرانی تلگرام توسط یک نسخه غیر رسمی تلگرام و نه خود تلگرام با قیمت 500 دلار در اینترنت فروخته می شود که این اطلاعات شامل آی دی، نام کاربری، شماره تماس، رمز عبور و کلیدهای دیجیتالی می شود.
پس از اتفاقات مرکز ماهر وزارت ارتباطات بیانیه ای صادر کرد و با تکید بر اینکه این موضوع و امثال آن علاوه بر نقض حریم خصوصی شهروندان، منجر به بروز تهدیدات مختلفی علیه افراد، سازمان ها، کسب و کارها و … می شود، نوشت: منشأ مشترک اتفاقات اخیر، وجود بانک های اطلاعات کاملا حفاظت نشده یا دارای حفاظت خیلی ضعیف در سطح اینترنت است که باعث می شود افراد سوء استفاه گر بتوانند به راحتی به این بانک ها دسترسی پیدا کرده و باعث بروز مشکلات جدی برای مردم و کسب و کارها شوند. این نوع از سهلانگاریها به دلیل پیامدهای گستردهاش قابل چشم پوشی نیست و لازم است تا جدیتر از گذشته مورد توجه قرار گیرند.
امیر ناظمی، رئیس سازمان فناوری اطلاعات، نیز در حاشیه نشست خبری «همکاری مشترک برای صدور گواهینامه ارزیابی امنیتی محصولات بومی حوزه فناوری اطلاعات» گفت: لایحه مخصوص به صیانت از دادههای شخصی از آن دست لایحه هایی است که موضوع قضایی دارد. در این لوایح باید جرم تعریف شود و جرم انگاری صورت بگیرد. اما تبدیل این لایحه به قانون مشکلات زیادی را در حوزه افشای اطلاعات حل می کند.
وی افزود: در موارد اینچنینی سازمان فناوری به عنوان دولت نمی تواند ورود کند. این لایحه یا باید توسط مجلس طرح شود یا قوه قضاییه آن را ابلاغ کند. لذا فرآیند طولانی که در این بین شکل می گیرد باعث شده لایحه صیانت همچنان در مراحل اولیه باقی بماند.
لذا به نظر می رسد تا زمانی که این لایحه تبدیل به قانون و ابلاغ نشود، ضمانت اجرایی برای برخورد با هکرهایی که اطلاعات شخصی مردم را به سرقت برده اند و یا اپراتورهایی که نتوانسته اند امنیت شبکه خود را به درستی تأمین کنند، وجود ندارد و در قانونی که فعلا اجرا می شود جرمی برای آنها در نظر گرفته نشده است. بنابر این در چنین مواردی تنها به یک بیانیه و وعده عدم تکرار بسنده می شود و هیچ کس دیگر به سراغ خاطیان و برخورد قضایی با آنها نمی رود.
امیدواریم به زودی روزی را شاهد باشیم که با تصویب و ابلاغ قانون «صیانت از داده های شخصی» جرم انگاری برای هکرها و افرادی که اطلاعات شخصی مردم را به سرقت می برند در نظر گرفته شود تا شاید این افراد به دلیل ضمانت اجرایی و قضایی این قضیه کمتر به سراغ این موضوع بروند. البته همان طور که اشاره شد، نباید عدم امنیت و یا امنیت پایین شبکه ها را هم نادیده گرفت. اپراتورها و کسانی که خدماتی در بستر IT به مردم ارائه می دهند باید هرچه بیشتر تلاش کنند که امنیت اطلاعات خود را بالا ببرند.
در حال حاضر هیچ قانونی برای برخورد با هکرها و یا کسانی که با سهل انگاری در امنیت دیتابیس باعث درز اطلاعات شخصی مردم می شوند وجود ندارد. این امر باعث بروز مشکلات فراوانی شده که هک شدن های مکرر اطلاعات مردم یکی از آنها است و تا روزی که قانون برخورد با خاطیان تصویب و اجرا نشود، علی الظاهر هیچ کس نمی تواند برخوردی با این مجرمان داشته باشد.
شعارسال،با اندکی تلخیص و اضافات برگرفته از پایگاه خبری جماران ،تاریخ انتشار: 20خرداد 1399،کدخبر: 1447665،www.jamaran.news
برگزیده ها