تداوم هکها و سرنوشت مبهم یک آییننامه
سایت سازمان حج و زیارت در هفته جاری هک و اطلاعات و دادههای کاربران آن منتشر شد. در این شرایط، هنوز گزارش دقیقی از اجرای دستورالعمل حفاظت از حریم خصوصی کاربران در سازمانهای دولتی و خصوصی که در دیماه سال گذشته برای کاهش مخاطرات نقض حریم خصوصی کاربران و حمایت از آنها در برابر تهدیدات سایبری ابلاغ شده بود، منتشر نشده است.
این در حالی است که به اعتقاد سخنگوی مرکز ملی فضای مجازی بخش زیادی از این دستورالعمل اجرا شده است. او در گفتوگو با «دنیای اقتصاد» پایان خرداد ماه را پایان مهلت دوم اجرای دستورالعمل حفاظت از حریم خصوصی کاربران اعلام میکند و به گفته او تا آن زمان نمیتوان عدد دقیقی از درصد اجرای این دستورالعمل ارائه کرد.
سازمان حج و زیارت هک شد
موج حملات سایبری به سازمانهای دولتی و خصوصی همچنان ادامه دارد و هنوز گزارش دقیقی از اجرای دستورالعمل حفاظت از حریم خصوصی کاربران منتشر نشده است. در اوایل هفته جاری یک گروه هکری ادعا کرد که سایت سازمان حج و زیارت را هک کرده و به اطلاعاتی از کاربران دسترسی پیدا کرده است. این گروه که ادعا میکند به اطلاعات مهمی از حجاج و زائرین که از سال ۱۳۶۳ تا ۱۴۰۳ در این سایت ذخیره شده بود، دست پیدا کرده است، پیش از این نیز به یک تاکسی اینترنتی و پلتفرم آنلاین سفارش غذا هم حمله سایبری کرده بود.
وزارت ارشاد پس از اعلام رسانهها در این خصوص، با تاخیر حمله سایبری به سازمان حج و زیارت را تایید و در اطلاعیهای اعلام کرد که پس از بروز اختلال در سامانه حج و زیارت بررسیهای لازم از سوی مسوولان انجام شده و به این نتیجه رسیدند که سایت سازمان حج و زیارت هک شده است. این وزارتخانه هیچ توضیحی درباره اقدام مقتضی برای صیانت از دادههای مردم نداده است.
با این اوصاف، سازمان حج و زیارت نیز به فهرست بلند هکهایی پیوسته که از سال پیش شروع شده است و بهنظر میرسد ادامه خواهد داشت. در سال گذشته هر چند وقت یکبار نام یک نهاد دولتی یا خصوصی به فهرست قربانیان حملات سایبری اضافه میشد؛ اپلیکیشن بهنما، اپلیکیشن هفهشتاد، ۱۸ شرکت بیمه، تپسی، سرورهای مجلس، سازمان ثبت احوال، وزارت علوم، اسنپفود و سامانه مدیریت پروندههای قوهقضائیه از جمله سازمانهایی هستند که در این یک سال هک شدند و اطلاعات کاربران آن در اینترنت منتشر شد. در این شرایط، سرانجام مرکز ملی فضای مجازی دستورالعمل حفاظت از حریم خصوصی کاربران را در دی ماه سال گذشته ابلاغ کرد. طبق این دستورالعمل کلیه ارائهدهندگان خدمات که از طریق سامانهها و سکوهای فضای مجازی به مردم خدمات برخط ارائه میکنند، باید حداکثر تا دو ماه نسبت به اجرای این دستورالعمل اقدام کنند و در صورتی که این اقدام انجام نشود، مجوزهای استمرار یا تمدید فعالیت آنها صادر نخواهد شد.
پس از گذشت دو ماه از ابلاغ، مرکز ملی فضای مجازی مهلت اجرای دستورالعمل حفاظت از حریم خصوصی را به دلیل ابعاد فنی و اجرایی آن تمدید کرد. حالا حسین دلیریان، سخنگوی مرکز ملی فضای مجازی در گفتوگو با «دنیای اقتصاد» درباره آخرین وضعیت اجرای دستورالعمل حفاظت از حریم خصوصی کاربران توضیح میدهد که بخش زیادی از این دستورالعمل اجرا شده است، اما جزئیاتی در این خصوص ارائه نمیکند. او در این باره میگوید: «از زمان ابلاغ این دستورالعمل به دستگاههای متولی، فرآیند اجرای آن شروع شد. در همین راستا، جلساتی در مرکز ملی فضای مجازی تشکیل شد و فعالان بخش خصوصی در جلسات قبل از تعطیلات نوروز و شروع سال جدید مطرح کردند که به دلیل اینکه بخشهایی از دستورالعمل مربوطه به تامین زیرساختهای سختافزاری و نرمافزاری نیاز دارد، درخواست تمدید مهلت اجرای آن را دارند.»
پایان خرداد و اتمام مهلت دوم
سخنگوی مرکز ملی فضای مجازی در ادامه صحبتهای خود با بیان اینکه مهلت دوم اجرای دستورالعمل حفاظت از حریم خصوصی کاربران در اواخر خرداد ماه به پایان خواهد رسید، توضیح داد: «اجرای بخش زیادی از این دستورالعمل پیش از عید به پایان رسیده است.» او در بخش دیگری از صحبتهای خود ابراز امیدواری کرد که در پایان ماه جاری دستورالعمل حفاظت از حریم خصوصی کاربران بهصورت کامل اجرا شود.
دلیریان با بیان این مطلب مطرح کرد: «پس از پایان مهلت دوم، در یک فرآیند رفت و برگشتی اجرای دستورالعمل توسط کسب وکارها مورد ارزیابی قرار میگیرد تا در صورت اجرای ناقص پیگیری مجدد انجام شود.»
دلیریان روند اجرایی این دستورالعمل را مثبت ارزیابی میکند و در این خصوص توضیح میدهد: «کسبوکارها در حال اجرای دستورالعمل هستند و تا زمان پایان مهلت دوم نمیتوان عدد دقیقی درباره درصد اجرای این موضوع ارائه و باید تا آن زمان صبر کرد.»با این اوصاف، در شرایطی که تاکنون گزارشی از اجرای دستورالعمل حفاظت از حریم خصوصی کاربران منتشر نشده است و معلوم نیست تا پایان مهلت دوم نیز چه سرنوشتی در انتظار آن باشد، کارشناسان امنیتی معتقدند این دستورالعمل ضمانت اجرایی و بازدارندگی ندارد. پویا پوراعظم، کارشناس فناوری پیش از این در گفتوگو با «دنیای اقتصاد» مطرح کرده بود که دستورالعمل مرکز ملی فضای مجازی ضمانت اجرایی مانند قانون ندارد. او در ادامه صحبتهای خود با اشاره به قانون حفاظت از داده اتحادیه اروپا درباره لزوم تدوین جرایم سنگین برای کسبوکارها در صورت عدم اقدامات لازم برای جلوگیری از نشت دادههای مردم تاکید کرد: «زمانی که حفاظت از داده و حریم خصوصی کاربران به یک قانون تبدیل و در آن بازدارندگی و جرایم سنگینی برای کسبوکارها دیده شود، آن وقت کسبوکارها هم سرمایهگذاری جدی بر امنیت دادهها خواهند کرد.»
حمیدرضا ولیزاده، کارشناس امنیت داده نیز از هزینههای اجرای دستورالعمل حفاظت از حریم خصوصی کاربران برای کسبوکارها میگوید و معتقد است که این دستورالعمل هزینه زیادی برای کسبوکارها در بر خواهد داشت. او در این شرایط به مسوولان پیشنهاد میکند تا در کنار نظارت درست بر اجرای این دستورالعملها کمکها و تسهیلاتی برای بهبود اجرای آن در اختیار کسبوکارها قرار دهند.
فارغ از اینها، با فیلترینگ گسترده اینترنت در دو سال اخیر و افزایش محدودیتهای فضای مجازی، اکثر پروتکلهای ایمنسازی مخدوش شدهاند و به اعتقاد کارشناسان تا زمانی که فیلترینگ و استفاده از فیلترشکن همچنان پابرجا باشد، ایران برای حمله سایبری هکرها هدف آسانی خواهد بود. با این اوصاف، به نظر میرسد به دنبال هک سامانه سازمان حج و زیارت، چرخه حملات سایبری در سال جاری نیز تداوم یافته و با اینکه هنوز دستورالعمل حفاظت از حریم خصوصی کامل اجرا نشده است، نمیتوان انتظار داشت تا با وجود سلطه فیلترینگ بر شبکه اینترنت ایران، مانع جدی برای هکرها وجود داشته باشد.