اخطار قانونی یا نصیحت دوستانه؟
زهرا میرخانی - هفته قبل پیرو حمله به سایت سازمان تامین اجتماعی، رییس سازمان فناوری اطلاعات در مصاحبهای به نکاتی اشاره کرد که قابل تامل بود. در بخشی از این گفتوگو 2 موضوع قابل توجه از زبان وی مطرح شد:
1- " قبل از اینکه دسترسی به اطلاعات برخی از صورتحسابهای تپسی رخ دهد، با روش پایش از طریق ایمیل به آنها هشدار داده بودیم، اما مدیر امنیت ایمیل خود را چک نکرده بود و متأسفانه آن نفوذ اتفاق افتاد.
2- سازمان فناوری طی دو مرحله، یکبار یک ماه قبل و یک بار دو روز قبل از هک شدن سایت تامین اجتماعی، به آنها در نامهای گوشزد کرد، مشکلاتی وجود دارد که ممکن است منجر به آسیبپذیری سایتشان شود!"
نظر به اهمیت موضوع و قابلیت بالای تکرارشوندگی این حملات از طرفی و ارزش بالای دادههای مردم در نهادهای ارایهدهنده خدمات عمومی از دیگر سو، باید گفت، اظهارات این مقام مسوول مایه تاسف و نگرانی است. در این خصوص اما میتوان 2 فرضیه را در نظر گرفت: اول آنکه صرفا این مقام مسوول ادعایی را مطرح کرده است و دوم آنکه این ادعا واقعیت دارد اما اهمیتی به آن داده نشده است.
کاری به فرضیه نخست نداریم اما گر فرض را بر صحت فرضیه دوم قلمداد کنیم، قضیه تاسفبار میشود؛ با این توضیح که یک نهاد مسوول تامین امنیت فضای سایبری که با بودجه و امکانات کشور احیا شده و از قضا مشکلاتی را شناسایی کرده و به دستگاههای ذیٌربط اعلام میکند، اما کسی توجهی به موضوعی با این درجه از اهمیت، نمیکند. نکته تلختر ماجرا این که از قضا هیچ برخورد و بازخواست قانونی هم در کار نیست!
فارغ از این که چه نهاد یا سازمانی ضعفها را شناسایی کرده و این کار به شکل خودجوش بوده یا وظیفه قانونی آن سازمان به شمار میرفته، باید اذعان کنیم که متاسفانه این ماجراها نشان میدهد که ما با نقصهای زیادی آن هم درست در جایی که پای امنیت مردم در میان است، مواجهیم. به این مفهوم که یا جایگاه قانونی نهاد گزارشدهنده مشکلات و نقایص سایتها زیر سوال است و وجاهت قانونی ندارد که در آن صورت خروجیاش در حد همان اخبار و هشدارهایی است که شرکتهای آنتیویروس ارایه میدهند که بعید به نظر میرسد، چنین جایگاهی داشته باشد. ( هرچند که فعلا و در عمل ظاهرا همینطور است.)
اما نقص بعدی قانون این است که نهاد خاطی که به این گزارش عمل نکرده از نظر قانونی مستوجب هیچ مجازاتی نیست. کمااینکه به راحتی و در رسانههای رسمی کشور گفته میشود مشکل را دیده و گزارش دادهایم اما در عمل به آن اهمیتی داده نشده و به فاصله چند روز به سایت تامین اجتماعی حمله شده و حالا هم مشخص نیست که نتیجه کار چه میشود.
سوال مهم این است که چنانچه اطلاعات بیش از 40 میلیون بیمهشونده تامین اجتماعی مورد سوءاستفاده و دستبرد قرار میگرفت هم میتوانستیم به راحتی از کنار این قضیه عبور کنیم؟ به راستی نهادهای مسوول امنیت فضای سایبری کشور جایگاهشان در حد پند و اندرز امنیتی است یا اخطار با پشتوانه قانونی؟(منبع:عصر ارتباط)
- ۹۸/۰۳/۲۲