ITanalyze

 احمد محمدغریبان - روند هک‌ها سامانه‌ها و پلتفورم‌های دولتی و خصوصی و متعاقب آن توقف ارایه خدمات و ایجاد اختلال در امور کشور و حراج میلیونی داده‌های مردم، مساله جدیدی برای پرداختن ندارد و با وقوع هر هک عمده، مسایل، ابهامات، کاستی‌ها و وعده‌های تکراری، برای مدتی طرح شده و سپس به فراموشی سپرده می‌شود تا هک بعدی.

آنطور که از سوابق اخبار پیرامون هک‌ها پیداست، مساله تقسیم مسوولیت در حوزه امنیت سایبری ظاهرا تعیین تکلیف شده است و اگرچه طبعا اقدامات و تلاش‌های زیادی در پشت صحنه در حال اجراست، اما تکرار هک‌های گسترده و بلاتکلیفی در نتایج رسیدگی به این حملات، تا حدودی ابهام برانگیز شده است.

برای مثال بعد از هک نخست سامانه سوخت کشور، تا هک سامانه شهرداری و هک تپسی و اسنپ و بیمه‌ها و دومین هک سامانه سوخت و … گزارش دقیقی از دلایل و نتایج رسیدگی به این حملات در دست نیست.

یا در ماجرای هک اخیر اسنپ فود، وزیر کشور اعلام کرد خود پلتفورم باید پاسخگو باشد. وزیر ارتباطات پلیس فتا را متولی رسیدگی به این مساله دانست و پلیس فتا هم بدون ارایه گزارش دقیقی اعلام کرد که پرونده این ماجرا را به قوه قضاییه ارسال کرده است.

فارغ از این مساله ما با خلاء نزدیک به دو دهه‌ای در قوانین مسوولیت پلتفورم‌های ارایه‌دهنده خدمات و حفاظت از داده‌های عمومی رو به رو هستیم.

برای مثال از سال 95 لوایح 5گانه‌ای شامل حمایت از اطلاعات و حریم خصوصی افراد در فضای مجازی، مسوولیت ارایه‌دهندگان خدمات حوزه فناوری اطلاعات، شناسه‌های الکترونیکی، حکمرانی الکترونیکی و تراکنش‌های الکترونیکی، در دستور کار دولت قبلی و فعلی است که در همین رابطه وزیر ارتباطات اعلام کرده «لایحه حفاظت از داده‌های شخصی کاربران» برای بررسی به کمیسیون حقوقی دولت رفته و به احتمال زیاد این لایحه تا پایان سال به مجلس ارسال می‌شود.

برخی نمایندگان مجلس هم از سال ۹۹ به دلیل خلأ قوانین مرتبط با این حوزه، دو طرح «یکپارچه‌سازی داده و اطلاعات ملی» و «الزام به انتشار داده و اطلاعات عمومی» را در دستور کار قرار داده بودند که ظاهرا چیزی شبیه لوایح مذکور بود که آن طرح‌ها نیز به سرانجامی نرسید.

این که چرا این لوایح و طرح‌ها با وجود تاکیدات زیاد بر اهمیت آنها به سرانجام نرسیده، موضوعی است که پاسخ روشنی برای آن نداریم.

اما به جز دولت و مجلس، نهادهای دیگری نیز در عرصه فضای مجازی حضور دارند که امکان تسریع و وضع مصوبات و مقررات برای جلوگیری یا کاهش برخی از این خسارات را دارند. شورای عالی فضای مجازی و کمیسیون اقتصاد دیجیتال دولت از جمله این نهادها هستند.

مساله اینجاست که اگر وضع قوانینی در سطح قانون GDPR اروپا (که البته آن هم با توجه به سرعت و ظهور فناوری و خدمات مختلف، همواره در حال به روزرسانی‌های مستمر و کلی است)، نیازمند مطالعات دقیق و کارشناسانه و انطباق با قوانین و مقررات زیادی دارد، شاید بتوان گام‌های کوچک‌تر اما موثری از طریق دیگر متولیان این حوزه برداشت تا به این ترتیب شائبه کم‌اهمیتی به اطلاعات و داده‌های عمومی پررنگ‌تر نشود.

برای مثال کارشناسان معتقدند کاربران در دنیا «حق فراموشی» را دارند. به این ترتیب که می‌توانند بخشی از اطلاعات خود را که در پلتفرم‌های مختلف دارند، پاک کنند؛ یعنی لزومی ندارد وقتی یک خرید اینترنتی انجام می‌دهیم اطلاعات ما سال‌ها در آن سایت باقی بماند و فرد باید بتواند اطلاعات خود را پاک کند.

این موضوع برای خود پلتفرم‌ها هم راحت‌تر است و می‌توانند به جای نگهداری اطلاعات کاربران، روندهای کاربران را نگه دارند، یعنی به جای جزییات مشروح و مفصل، تراکنش کاربران را تبدیل به رویه کنند.

بدیهی است که این امر و تصمیم ساده موجب می‌شود که ریز اطلاعات کاربران در صورت هک شدن، مورد صدمه کمتری قرار گیرد.

به عبارت دیگر اگر تدوین قوانین پیچیده و مبسوط و تعیین دقیق مسوولیت‌ها و جرایم برای سامانه‌ها و پلتفورم‌ها امری زمان‌بر محسوب می‌شود، می‌توان با مصوبات کوچک‌تر، ساده‌تر و اما در عین حال بسیار موثر، حداقل عمق ذخیره اطلاعات از سوی پلتفورم‌ها را محدود کرد تا به این ترتیب با وقوع هر هک تا ریز زندگی و اطلاعات یک کاربر به فروش نرود.

لذا بار دیگر تاکید می‌شود که اگر ارسال لوایح یا طرح‌ها به مجلس و سپس تصویب، تایید، ابلاغ و بعد از آن نیز تدوین بخش‌نامه‌ها و آیین‌نامه‌ها و ارایه مهلت برای تطبیق ارایه‌دهندگان خدمات با آنها، فرایندی طولانی و زمان‌بر است، حداقل می‌توان از ظرفیت نهادهایی که ذکر شد برای برداشتن گام‌های کوچک‌تر، سریع‌تر و در عین موثر که نمونه‌ای از آنها ذکر شد، اقدام لازم را به عمل آورد.

در همین رابطه در روزهای گذشته شورای عالی فضای مجازی در همین راستا مصوبه «دستورالعمل اجرایی بهبود حفاظت از حریم خصوصی کاربران و شیوه جمع‌آوری، پردازش و نگهداری اطلاعات کاربران در سامانه‌ها و سکوهای فضای مجازی» را ابلاغ کرد که اگرچه اشاره‌ای به مسوولیت پلتفورم‌ها در زمان وقوع هک‌ها نشده و صرفا الزاماتی برای حفاظت از داده‌های کاربران تعیین کرده است که برای قضاوت دقیق‌تر باید منتظر خروجی عملیاتی آن ماند. (عصرارتباط)