اطلاعات کاربران در اختیار میزبانان بی مسئولیت! / مقصر کیست و قانون چه می گوید؟

تابناک خراسان جنوبی: اما این روزها با سونامی افشای اطلاعات از اپلیکیشن ها، شرکت‌ها و گاه نهادهای بزرگی همچون بانک ها، ثبت احوال و. .. مواجه می‌شویم که نشان می‌دهد به دلیل ضعف‌های شدید امنیتی در سامانه‌های اینترنتی شان قابل نفوذ هستند و اطلاعات شخصی و هویتی افراد و کاربران بی دفاع، به راحتی در اختیار عده‌ای سودجو قرار می‌گیرد که می‌تواند به سوء استفاده‌های مالی، کلاهبرداری و اخاذی منجر شود. حتی بعد از این که آمریکا به برخی از هنرمندان کشورمان به دلیل این که سربازی خود را در سپاه خدمت کرده‌اند روادید نداده بود این شائبه به وجود آمد که نکند این اطلاعات به واسطه یکی از همین هک‌ها از سازمان‌های مختلف، مثلا ثبت احوال نشت کرده باشد. حالا از این‌ها که بگذریم به نکته عجیب تری می‌رسیم که نشان می‌دهد در کنار بی خیالی برخی شرکت‌ها در مقابل افشای اطلاعات کاربران، نه تنها شاهد عذرخواهی حداقلی آن‌ها نیستیم بلکه حتی از فردی هم که به خوبی از اطلاعات هویتی و شخصی کاربران، کارکنان یا. .. مراقبت نکرده، بازخواست نمی‌شود. با این حال در ادامه سعی کرده ایم در کنار معرفی برخی از مواردی که اطلاعات کاربران به دست هکرها افتاده، به این سوال هم پاسخ دهیم که مقصر این همه سهل انگاری و افشای اطلاعات شرکت ها، کدام نهاد است و قانون برای این اتفاقات چه تمهیداتی‌اندیشیده است.

نشت اطلاعات ثبت احوال

یکی از خبرهایی که در روزهای اول سال 99 با آن روبه رو بودیم، نشت اطلاعات ثبت احوال بود. این اطلاعات از طریق باتی که در تلگرام فعال شده بود، در دسترس قرار گرفت و سخنگوی سازمان ثبت احوال اعلام کرد که نشت اطلاعات مربوط به پرونده‌های سلامت الکترونیک است که در اختیار وزارت بهداشت قرار دادیم و مربوط به این سازمان نیست.

118 روی سی دی

سال‌ها پیش نیز مشخصات دارندگان شماره‌های تلفن ثابت به عنوان 118 توسط سی دی فروش‌ها و دست فروش‌ها به فروش می‌رسید. در آن سی دی نرم افزاری وجود داشت که فرد با وارد کردن کد شهر و شماره تلفن یا نام افراد به نشانی، نام صاحب خط تلفن و شماره آن دسترسی پیدا می‌کرد.

فروش اطلاعات 42 میلیون کاربر تلگرام

«باب دیاچنکو»، پژوهشگر امنیت سایبری در روز 11 فروردین سال 1399 در وب‌سایت Comparitech اعلام کرد که داده‌های دیتابیس شامل اطلاعات بیش از ۴۲ میلیون کاربر ایرانی تلگرام، مانند آی ‌دی تلگرام، نام کاربری، شماره تماس و. .. از یک نسخه شخص ثالث (غیر رسمی) اپلیکیشن تلگرام لو رفته است. نکته تاسف بار این جاست که این اطلاعات به هیچ رمز ورود و دسترسی نیاز نداشته است.همان زمان تلگرام طلایی، هات گرام و امثال آن عامل این درز گسترده اطلاعات معرفی شدند.

نشت اطلاعات 30 میلیونی بانک ملت

اردیبهشت سال گذشته بود که خبر نشت و فروش اطلاعات 30 میلیون مشتری بانک ملت رسانه‌ای شد و البته پیش از آن هم نیمه اول آذر سال 1398 پلیس فتا در ایمیلی به برخی از دارندگان حساب بانکی، از به خطر افتادن مشخصات میلیون‌ها کارت بانکی خبر داد و از دارندگان کارت‌های عضو شتاب درخواست کرد که با مراجعه به شعب بانک‌های خود، کارت بانکی جدید دریافت کنند.

اپلیکیشن‌ها و نرم افزارها

در کنار ادعاهای زیاد در شبکه‌های اجتماعی درباره لو رفتن اطلاعات مشتریان بیمه ایران، شرکت رجا، کارکنان هواپیمایی تابان، پروازهای هواپیمایی ماهان شامل محموله و وزن و مقصد پروازها و شرکت‌های مختلف دیگر، اطلاعات کاربران نرم افزارها و اپلیکیشن‌های زیادی همچون نرم افزار سیب اپ هم به دلیل کافی نبودن مراقبت‌های لازم توسط هکرها به سرقت رفته و نام، شماره تماس، ایمیل و. .. آن‌ها به سودجویانی در شبکه‌های اجتماعی فروخته شده است.

مقصر کیست؟

قطعا انگشت اتهام به سمت شرکتی است که اطلاعات از آن درز کرده، آن هم به این دلیل که طبق قانون مسئول حفظ و نگهداری داده‌هایی بوده که در اختیارش قرار گرفته است و باید شرایط سخت‌افزاری و نرم‌افزاری لازم برای حفاظت از داده‌ها را فراهم می‌کرد. البته در این میان، چند نهاد هم مسئولیت‌هایی در پایش و بررسی وجود اشکالات امنیتی و حفره‌های احتمالی در سایت‌ها و نرم افزارها به عهده دارند که عملکرد دقیق آن‌ها نیز می‌تواند از بروز این موارد پیشگیری کند.

قانون چه می‌گوید؟

بعد از افشای اطلاعات کاربران تلگرامی کشورمان مرکز ماهر وزارت ارتباطات بیانیه‌ای نوشت که در بخشی از آن آمده: «بر اساس «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» مصوب «شورای عالی فضای مجازی»، پیشگیری و مقابله با حوادث سایبری، تقسیم کار ملی شده است و حملات و نقص‌های امنیتی زیرساخت‌های حیاتی کشور مانند حوزه‌های مالی و بانکی، انرژی، حمل و نقل، ثبت احوال و. .. به «مرکز راهبردی افتای ریاست جمهوری» سپرده شده است. بر اساس همین مصوبه، مقابله با حوادث و حملات در حوزه «شهروندان و کسب و کارهای خصوصی» (شامل داده‌های مربوط به اپلیکیشن‌ها و بانک‌های داده غیردولتی) به «پلیس فتا» سپرده شده است.» البته حدود 10 روز پیش هم کلیات طرح قانون یکپارچه ‌سازی داده‌ها و اطلاعات ملی به تصویب رسید که در بخشی از آن به حفظ و حراست از پایگاه‌های اطلاعاتی اشاره دارد و مسئول حفاظتی و امنیتی از اطلاعات کاربران را بر عهده مرکز ملی تبادل اطلاعات قرار داده است.

مجازاتش چیست؟

هر چند هنوز خبری از مجازات شرکت‌ها یا سازمان‌هایی که به دلیل سهل انگاری باعث افشای اطلاعات هویتی یا کاربری افراد شده‌اند، منتشر نشده اما بهروز جوانمرد استاد دانشگاه و وکیل دادگستری به باشگاه خبرنگاران گفته: «در صورتی که افشای اطلاعات در اثر نبود رعایت نظامات یا در اثر غفلت و مسامحه حفاظت آن‌ها صورت گرفته باشد، مجازات فرد خاطی سه ماه تا شش‌ ماه حبس جنحه‌ای خواهد بود.»

راهکار چیست؟

شرکت فیس بوک وقتی اطلاعات کاربرانش منتشر می‌شود نه تنها سریع اطلاع رسانی، بلکه برای رفع مشکل به صورت ضرب الاجل اقدام می‌کند. اما متاسفانه به گفته برخی کارشناسان، این بخش در کشور ما مغفول مانده است و شرکت‌ها مسئولیت پذیر نیستند.امید توکلی، کارشناس طراح و راهبر امنیت راهکارهای فناوری اطلاعات هم بر این باور است تا زمانی که نهادهای حاکمیتی متولی امنیت فضای مجازی از ابزارهای قانونی خود برای صیانت از حریم خصوصی مردم به درستی استفاده نکنند، این شرکت‌ها همچنان بر افزایش سطح خدمات شامل تعداد سفرها و ثبت رکوردهای مختلف در رقابت با یکدیگر، متمرکز می‌شوند.

کمک از ناظران و ورود مدعی العموم

پور ابراهیمی، کارشناس امنیت نیز در گفت‌وگویی با ایران اعلام کرده است که وقتی نرم افزار یا سیستمی را ارائه می‌دهیم نباید نظارت بر امنیت آن بر عهده همان شرکت باشد و باید شرکت‌ها نظارت بر امنیت را به ناظران خارج از شرکت بسپارند تا بتوانند نقاط ضعف را شناسایی کنند و اقدام‌های لازم را انجام دهند. البته به نظر می‌رسد باید مدعی العموم هم وارد عمل شود و از شرکت‌ها به دلیل رعایت نکردن حفظ حریم خصوصی و امنیت و خسارت وارد شده به کاربران شکایت کند.

خراسان