پاسخ به یک معضل بزرگ؛ دلایل مسئولیت ناپذیری سازمان‌ها نسبت به لو رفتن اطلاعات محرمانه شهروندان

مرکز ماهر اخیراً با انتشار بیانیه‌ای اعلام کرد که مسئولیت پیشگیری از لو رفتن اطلاعات شخصی کاربران در حملات سایبری به عهده بالاترین مقام سازمان مورد نظر است. در این بین این سوال پیش می‌آید که چرا مسئولان سازمان‌ها در برابر افشای اطلاعات شهروندان پاسخگو نیستند ؟ در این مطلب به جزئیات این موضوع خواهیم پرداخت.

در ماه‌های اخیر شاهد لو رفتن بخش زیادی از اطلاعات شهروندان در سازمان‌های دولتی بودیم، اما متاسفانه تا این لحظه هیچ مقام مسئولی نسبت به این موضوع واکنش نشان نداده و در خصوص لو رفتن اطلاعات هویتی اشخاص پاسخگو نبوده است. مرکز ماهر در اطلاعیه اخیر خود اعلام کرده است که باید مقابله با حوادث فضای مجازی هر سازمان به‌صورت متمرکز و کاملاً تخصصی، به یک مرکز مستقل دولتی واگذار شود.

بدون شک یکی از دلایل اصلی بی تفاوتی مسئولان نسبت به لو رفتن اطلاعات کاربران، عدم وجود ناظر قدرتمند و قانونی در حوزه حریم خصوصی شهروندان است.کاظم فلاحی کارشناس امنیت سایبری در خصوص این موضوع بیان کرد:

وقتی اطلاعات 50 درصد از جمعیت کشور در یک سازمان و شرکتی باشد، آن سازمان و شرکت ملی محسوب می‌شود و وقتی یک مسئول بلندپایه سازمان و شرکتی پاسخگو خواهد بود که سازمانی نظارتی با بازویی قدرتمند وجود داشته باشد و از او با اتکای به قوانین محکم بخواهد پاسخگو باشد و بگوید چرا اطلاعات شهروندان را جمع‌آوری کرده و نتوانسته از آنها نگهداری کند.

با اینکه در قوانین سازمان‌ها و شرکت‌ها آمده است که نباید اجازه دهند اطلاعات کاربران نشر پیدا کند ولی به‌تازگی اطلاعات یک شرکت هواپیمایی لو رفت و شکایت چند متخصص امنیت سایبری هم راه به‌جایی نبرده است؛ بنابراین با متکی به قانون قوی باید مدعی العموم ورود کند.

فلاحی در خصوص وجود یک متولی دولتی برای مقابله با نشر اطلاعات شهروندان بیان کرد که این بخش صرفا به یک ناظر قدرتمند نیاز دارد و مهم نیست که این ناظر دولتی، غیردولتی یا نهاد حاکمیتی باشد؛ زیرا نهادهایی که برای این امر در کشور وجود دارند قدرتی برای اعمال قانون ندارند و به همین دلیل سازمان‌های خاطی توجهی به آن نمی‌کنند.

به گفته این کارشناس اکثر کشورها به خصوص در حوزه اتحادیه اروپا در زمینه حفظ اطلاعات شخصی کاربران عملکرد بسیار خوبی دارند و قدرتمند عمل کرده‌اند. فلاحی در ادامه سخنان خود به شرایط کشورهای اروپایی در زمینه حفاظت از اطلاعات شخصی کاربران اشاره کرد و گفت:

اتحادیه اروپا روی حریم خصوصی شهروندان نظارت دقیقی دارد و مقام‌های قضایی آنجا به محض اینکه اطلاعات کاربران لو می‌رود، ورود می‌کنند اما در کشور ما اطلاعات 80 میلیون شهروند در ثبت احوال، 40 میلیون کاربر در پوسته‌های تلگرام و 40 میلیون اطلاعات کاربران تلفن همراه یک اپراتور و اخیراً هم اطلاعات کاربران یک شرکت هواپیمایی افشا می‌شود، گویی هیچ اتفاقی نیفتاده است. این در حالی است اتحادیه اروپا با اینکه فیس‌بوک یک شرکت آمریکایی است مؤسس آن را به دادگاه کشاند، چرا که بخشی از میلیاردها اطلاعات لو رفته کاربران مربوط به اروپا بود.

طبق نظر آقای فلاحی تا وقتی که اپراتوری به قانون توجهی ندارد و ناظر قدرتمندی نیز وجود ندارد، کاری از پیش نمی‌رود بنابراین به چارچوب‌های قوی نیاز است که سازمان‌ها به بخش امنیت سایبری خود توجه کند. به گفته این کارشناس سایبری، سازمان‌ها برای جلوگیری از نشر اطلاعات باید درک درستی از امنیت داشته باشند این در حالی است آنها امنیت را درک نمی‌کنند.

در این بین یکی دیگر از کارشناسان سایبری معتقد است در تمام دنیا مسئول نشر اطلاعات، سازمان و شرکت‌ها بالاترین مقام آن است ولی در کشور ما نهاد نظارتی که در زمینه نشر اطلاعات ورود کند، جدیت به خرج نمی‌دهد و باید مدعی‌العموم ورود کند و قوه قضائیه نیز مجازاتی برای آن تعیین کند. پارسا یوسفی در خصوص نبود قوانین و مجازات مشخص برای این موضوع بیان کرد:

نهادهای متولی که در این زمینه در کشور نیز وجود دارند، کار خود را بدرستی انجام نمی‌دهد. البته در این میان خلأ قانونی نداریم و اگر اطلاعات شهروندان منتشر شود و به فروش برسد می‌توانند طبق قانون‌های موجود مجازات شوند ولی این قانون برای نهادهای دولتی مانند وزارت بهداشت، ثبت احوال و... که اطلاعات کاربران آنها هک و افشا می‌شود، مجازاتی تعیین نمی‌کند گویی نشر اطلاعات اهمیتی ندارد که حال بخواهند خاطی را به دادگاه کشانده و جریمه کنند بنابراین مسئول هم پاسخگو نیست.

به گفته این متخصص امنیت سایبری، سازمان‌ها و نهادها حتی برای رفع آسیب‌ها اعتقادی به جذب متخصص امنیت سایبری نیز ندارند و معتقدند که چون سازمان دارای اطلاعات محرمانه‌ای است و کارشناس امنیت به آن اطلاعات دست می‌یابد، غافل از اینکه همان اطلاعات محرمانه با وجود آسیب‌ها و باگ‌هایی که در سیستم آنها وجود دارد در معرض افشا شدن است.

کارشناسان امنیت سایبری می‌توانند با کمک هکرهای کلاه سفید نقص ‌های امنیتی موجود در سیستم دستگاه‌های دولتی را شناسایی و برطرف کنند؛ در نتیجه این اطلاعات به سادگی در اختیار هکرهای کلاه سیاه قرار نخواهد گرفت و امنیتی اطلاعات شهروندان حفظ خواهد شد.

این کارشناس معتقد است که سازمان‌ها به‌دلیل نداشتن سواد کافی در حوزه امنیت هنوز همان راه حل‌های 10 سال پیش مانند ارائه فایروال را اجرا می‌کنند و از این‌رو اطلاعات آنها نشت می‌کند در حالی که امروزه این روش‌ها پیش پاافتاده است و جوابگوی دفع حملات سال 2020 نیست. در نهایت به نظر می‌رسد که سازمان‌های دولتی و خصوصی برای حفظ امنیت کاربران باید به فکر روش‌های دیگری باشند؛ البته برای اجرایی شدن این موضوع وجود یک احرم قانونی قدرتمند واجب است.