ماجرای افشای اطلاعات ۱۱ هزار کاربر یک کارگزار بورس
آخرهفته پیش حامد سنجری، سرپرست مرکز نظارت بر امنیت اطلاعات بازار سرمایه اعلام کرد درسال ۹۸ بند جدیدی مبنی بر راه اندازی مرکز داده پشتیبان به الزامات امنیت اطلاعات بازار سرمایه اضافه و مراتب به کارگزاری ها ابلاغ شده است تا کنترل بیشتری بر کارگزاری ها باشد. اما بررسی های «دنیای اقتصاد» نشان می دهد اکثر کارگزاری ها این ابلاغیه را دریافت نکرده یا از آن اظهار بی خبری کرده اند.
اهمیت حفظ اطلاعات مشتری، یکی از نیاز های اعتمادسازی برای فعالیت های آنلاین و کسب وکار های این حوزه است، اما خبر های درج اطلاعات روی اینترنت و لو رفتن حریم شخصی «داده های کاربری مشتریان» می تواند تمام بنیان های یک فضای کسب وکار هر چقدر با پشتیبانی و سبقه عالی از لحاظ برندسازی را از بین ببرد.
با اوج گیری ویروس کرونا و هجوم مردم به کسب و کارهای مجازی ، برخی رخنه های امنیتی باعث شده است موضوع امنیت مورد توجه رسانه ها و مردم قرار بگیرند. خبر درز اطلاعات مشتریان سامانه ها و پلت فرم های آنلاین در روز های اخیر خبرساز شد. دامنه درز اطلاعات به بازار سرمایه نیز رسید. می توان به ماجرای افشای اطلاعات ۱۱ هزار کاربر کارگزاری آگاه اشاره کرد که مورد توجه کاربران و رسانه ها قرار گرفت.
محسن احمدی، مدیرعامل سرمایه گذاری بانک ملت در گفت وگو با «دنیای اقتصاد» می گوید: شاخص ترین اطلاعاتی که باید نزد کارگزاری ها حفظ شود شامل اطلاعات شخصی افراد، اطلاعات شناسنامه ای افراد و اطلاعات حساب بانکی مشتریان است. همچنین اطلاعات حساب مشتری که از ۴ بخش خرید، فروش، دریافت و پرداخت است، تشکیل می شود.
او اضافه می کند کارگزاری ها از همان ابتدا امین مردم بوده و سعی کرده اند این اطلاعات را محرمانه نگه دارند. احمدی درخصوص نحوه حفظ اطلاعات توسط کارگزاری ها می گوید: کارگزاری ها روی یک سرور دیگر بک آپ نگه می دارند و بعضی از کارگزاری ها نیز در هفته یکبار از اطلاعات مشتریان و سیستم های کارگزاری بک آپ می گیرند و به صورت فیزیکی نگه می دارند تا اگر اتفاقی برای سرور ها رخ داد، این اطلاعات محفوظ بماند.
احمدی اعلام کرد: شرکت های خدمات برخط بازار سرمایه (oms) ها، با اجازه سازمان بورس و اوراق بهادار، در یک سرور اطلاعات کلی مشتریان کارگزاری ها را که عضو آن oms هستند، با حفظ محرمانگی اطلاعات نگهداری می کنند که اگر برای سرور های اطلاعات مشکلی پیش آمد، آن اطلاعات در جای دیگر محفوظ باشد.
او درخصوص لو رفتن اطلاعات برخی از کارگزاری ها می گوید: این اتفاق برای کارگزاری هایی ممکن است رخ دهد که omsهای جداگانه دارد، یعنی اینکه برای خود سیستم های آنلاین جداگانه طراحی کرده اند.
احمدی می گوید: با احتمال اینکه این سیستم به بقیه سیستم ها وصل نبوده و سرورها دچار نوسانات برق شده بودند، آن اتفاق برای یکی از کارگزاری ها رخ داده بود.
احمدی در پاسخ به این سوال که مسوولیت لو رفتن اطلاعات با کدام بخش است، می گوید: اینکه کدام بخش مسوول است بستگی دارد که اطلاعات از کدام بخش لو رفته است؛ اگر از طریق کارگزاری باشد مسوولیت حقوقی آن با کارگزاری است و اگر توسط شرکت های oms این اتفاق به وجود آمده، مقصر این شرکت ها هستند.
حمیدرضا مهرآور، مدیرعامل کارگزاری بانک سامان نیز درباره اطلاعات حفاظت شده در گفت وگو با «دنیای اقتصاد» می گوید: این اطلاعات شامل اطلاعات کلی مشتری، اطلاعات شناسنامه ای، اطلاعات حساب و... می شود.
او ادامه می دهد: به صورت کلی داده های ما نزد شرکت ها oms است و این شرکت های oms باید تمهیداتی بیندیشند که داده ها حفظ شوند. همچنین دسته ای از داده های معاملاتی هستند که در هسته معاملات و در شرکت های فناوری اطلاعات بورس محافظت می شوند. مهرآور اضافه می کند: شرکت های کارگزاری باید اطلاعات را از omsها بگیرند و این اطلاعات را در جای دیگر ذخیره کنند.
او با انتقاد از خلا قانونی در سازمان بورس می گوید: سازمان بورس باید شرکت های oms را ملزوم کند که به جای اینکه اطلاعات را در یک دیتاسنتر ذخیره کنند در چند دیتا سرور اطلاعات را ذخیره کنند؛ به این نحو بسیاری از ریسک های افشا شدن اطلاعات کاهش پیدا می کند.
مدیرعامل کارگزاری بانک سامان با بیان اینکه متهم اصلی در افشا شدن اطلاعات شرکت های oms هستند، می گوید: با وجود این متاسفانه سازمان بورس مقصر اصلی افشا شدن اطلاعات کاربران را کارگزاری ها می داند؛ درحالی که این گونه نیست و کارگزاری ها هیچ نقشی در گرفتن اطلاعات و افشای آن ندارند.
او ادامه می دهد: کارگزاری در لحظه ای که اطلاعات را از مشتری می گیرد، مسوولیت آن را می پذیرید؛ ولی بعد از آنکه وارد هسته معاملات و شرکت های oms شد، این اطلاعات در اختیار افراد و گروه های مختلف قرار می گیرد که هر کدام باید وظیفه شان را برعهده بگیرند.
فردین آقابزرگی، مدیرعامل کارگزاری بانک رفاه نیز می گوید: کارگزاری ها اطلاعات کاربران خود را یا در خود دیتاسنتر های کارگزاری نگهداری می کنند یا آنها را به شرکت های oms انتقال می دهند و وظیفه نگهداری آنها را به این شرکت ها محول می کنند.
او با انتقاد از قراردادهایی که بین شرکت های oms و کارگزاری ها بسته می شود، می گوید: متاسفانه قراردادهای قبول مسوولیت بین کارگزاری و oms تا حالا پیش بینی نشده است.
آقابزرگی افزود: متاسفانه هیچ قانون و قواعدی برای قبول مسوولیت از مخدوش شدن اطلاعات توسط سازمان بورس وجود ندارد و تنها ابلاغیه هایی است که هر از چند گاهی به شرکت های کارگزاری ارسال می شود و بیان می کند مسوولیت مخدوش شدن اطلاعات با کارگزاری هاست.