آذر ۴, ۱۴۰۳

عاشق وب

سایتی برای دوستداران وب. اخبار روز فناوری اطلاعات را در سایت عاشق وب دنبال کنید

هک اطلاعات کاربران سایت های ایرانی چه کسی پاسخگوست؟

Rate this post

عاشق وب: در صورتیکه روزهای گذشته خبرهایی در خصوص هک شدن اطلاعات کاربران همچون در وب سایت علی بابا منتشر گردید اما نه خود شرکت و نه مسوولی پاسخگوی دقیق چرایی این مساله که آیا این اتفاق به سبب بی احتیاطی و عدم اتخاذ تدابیر حفاظتی افتاده یا خیر، نبوده است؛ بار دیگر این مساله پررنگ شده که چرا با گذشت بیشتر از یک سال از تدوین لایحه ای تحت عنوان صیانت از داده های شخصی، این لایحه هنوز به تصویب و اجرا نرسیده است.
به گزارش عاشق وب به نقل از ایسنا، این روزها از گوشه و کنار، اخباری در خصوص حملات هکری و حمله به زیرساخت های کشور شنیده می شود، اما یکی از اخباری که تا حدودی در حوزه فناوری اطلاعات کشور جنجال به پا کرد، هک شدن سایت علی بابا، شرکت ارائه دهنده خدمات فروش آنلاین بلیت است که مسعود طباطبایی، مدیرعامل این شرکت، چند روز پیش اعلام و تایید نمود که متاسفانه برخی از سرورهای علی بابا مورد حمله هکرها قرار گرفته و به بعضی از اطلاعات کاربران و سورس کدها دسترسی پیدا کردند. تیم امنیت علی بابا اقدامات لازم را انجام داده و باتوجه به سرنخ های موجود، این مساله بوسیله نهادهای ذی ربط در حال پیگیری است.
همین طور در بیانیه علی بابا که بعد از این اتفاق منتشر گردید آمده بود: مسئولیت این رخداد را می پذیریم و از کسانی که به نحوی لطمه دیده اند، عذرخواهی می نماییم. حفاظت از اطلاعات همواره اولویت ما بوده و هست. این اطمینان را به شما می دهم که اقدامات لازم برای جلوگیری از تکرار این اتفاق صورت گرفته و با قدرت بیشتر در جهت حفاظت از حریم خصوصی کاربران پیش خواهیم رفت. اطلاعات تکمیلی درباره این حمله هکری از طرف علی بابا اطلاع رسانی خواهد شد.
اما مجید حسینی نژاد، بنیان گذار علی بابا نیز ضمن انتشار تصویری از بیانیه رسمی علی بابا در ارتباط با این حمله، افزود: همیشه پشت هر رو دست خوردنی؛ جایی برای یادگیری و رشد هست، صمیمانه عذر می خواهم و مطمئنم که تیم عالی تکنولوژی و امنیت علی بابا با یادگیری از این اتفاق امنیت را بطور بی حد شایان توجهی بالاتر می برد و شما ما را یادگیرنده، اهل رشد و توسعه خواهید یافت.

صداقت داشتند، اما احتیاط نکردند
بعد از این اظهارات، امیر ناظمی، رئیس سازمان فناوری ایران به این مساله واکنش نشان داد و در توییتر نوشت: صداقت شما و همراهی تان برای رشد و توسعه امنیت نشانه ای از تعهد شماست. همین که پنهان کاری رویه شما نیست و تعهد به شناسایی مشکل و رفع آن دارید، نقطه آغازین توسعه را نشان داده اید. صداقت با مردم خود نشانه یک سرمایه اجتماعی است و هم سازنده آن سرمایه.
این درحالی است که مسئولان معتقدند، اعتماد مهم ترین حلقه زنجیره خدمات در هر سرویس است، سرویس های مجازی هر روز در حال رشدند، بدین سبب کسانی که اطلاعات شهروندان را نگه می دارند، باید از قبل پروسه شفاف سازی را انجام دهند تا دسترسی به اطلاعات مردم کار مشکلی باشد. بنابراین لازم است ضریب حریم خصوصی را به نحو قابل بهبودی افزایش داد. اما صرف نظر از اطلاع رسانی این رویداد عذرخواهی توسط مدیران این وب سایت، باید دید هزینه این بی احتیاطی چطور پرداخت می شود.
این مساله سوالی است که توسط کاربری در توییتر و در واکنش به اظهارات مدیران علی بابا عنوان و سوال شده که «آیا پرونده توسط نهادهای حاکمیتی بررسی مستقل خواهد شد؟ اگر بله نتیجه به صورت شفاف و عمومی گزارش خواهد شد؟ اگر دیتا بریچ ناشی از کوتاهی شرکت بوده باشد، کاربر امکان شکایت از شرکت را دارد؟ آیا چنین کوتاهی هایی جرم انگاری شده اند؟»
رضا باقری اصل – دبیر شورای اجرایی فناوری اطلاعات – در پاسخ به این سؤال ها می گوید: در قانون جرایم کامپیوتری برای عمد در عمل مجرمانه مجازات تعیین شده، جز در ماده ۵ که بی احتیاطی، بی مبالاتی یا عدم رعایت تدابیر امنیتی مامورین دولتی درباب داده های سری هم جرم انگاری شده، اما در مورد علی بابا کسی که هک کرده مشمول مجازات مواد ۱ و ۱۱ است.
ماده ۱ قانون جرایم کامپیوتری (ماده ۷۲۹ قانون مجازات های اسلامی) از آن حکایت می کند که هرکس بطور غیرمجاز به داده ها یا سامانه های کامپیوتری یا مخابراتی که به وسیله تدابیر امنیتی حفاظت شده است دسترسی یابد، به حبس از ۹۱ روز تا یک سال یا جزای نقدی از پنج میلیون تا ۲۰ میلیون ریال یا هر دو مجازات محکوم خواهد شد.

مدیران سایت باید به دستگاه قضا شکایت کنند
البته تورج کاظمی – رئیس پلیس فتا تهران – درباره هک شدن سایت علی بابا اظهار کرده است: طبق رصدهای صورت گرفته سایت علی بابا توسط افرادی هک شده، مدیران سایت باید با مراجعه به مرجع قضایی اعلام شکایت کنند، در صورت ارجاع پرونده به پلیس فتا، ما به موضوع شکایت رسیدگی خواهیم کرد. برای اطلاع از میزان دسترسی هکرها به اطلاعات کاربران نیاز به بررسی سرورهای سایت مورد نظر داریم و تا زمانی که مدیران سایت به دستگاه قضایی شکایت نکنند، امکان بررسی سرورها وجود ندارد.
همه این اظهارات در حالی است که لایحه صیانت از داده های شخصی مردادماه سال قبل توسط سازمان فناوری اطلاعات کشور رونمایی گردید و آن زمان اعلام گردید که این لایحه برای تصویب به هیات دولت و سپس برای تبدیل شدن به قانون به مجلس خواهد رفت. هدف اصلی این لایحه، صیانت از حیثیت و کرامت اشخاص موضوع داده ها عنوان شده بود.
وزیر ارتباطات و فناوری اطلاعات در آن زمان با اشاره به این لایحه و با تاکید بر ضرورت صیانت از داده های مردم در سرویس های موجود در فضای مجازی بیان کرد: قبل از این در فضای مجازی و برای سرویس هایی که هر روز با سرعت بیشتری در حال رشد هستند، لایحه ای نداشتیم. همین طور اطلاعاتی از شهروندان ایرانی در سرویس های بین المللی ضبط و ثبت می شد که قابلیت پیگیری نداشت. بنابراین برای رعایت صیانت از داده های مردم در حوزه سرویس های بین المللی هم در تلاشیم. برای این قانون نیاز به تعاملات بین المللی داریم.
همین طور لایحه صیانت از داده های شخصی سندی است که بگفته رسول سراییان – دبیرکل سازمان نظام صنفی کامپیوتری کشور – اگر مردم نگرانی و دغدغه ای درباره داده هایشان دارند با مطالعه این سند و تضامینی که به آنها داده شده، می توانند اعتماد کنند؛ همچون سایر قوانین و مقررات. همه دنیا هم همین کار را می کنند. همه دنیا این قوانین و مقررات را دارند. در اروپا هم قانونی هست تحت عنوان GDPR که درباره حفاظت از حریم داده هاست.

صیانت از حریم خصوصی، قانونی مصوب در اروپا
اما قانون GDPR (مقررات عمومی حفاظت از داده )، قانونی می باشد که اتحادیه اروپا بمنظور صیانت از حریم خصوصی افراد و محافظت از داده های شخصی آنها، تصویب کرده و همه شرکت های ارائه دهنده خدمات به کاربران که با داده های شخصی افراد سروکار دارند را ملزم به رعایت آن می کند. بااینکه این قانون در اتحادیه اروپا وضع شده است اما حوزه سرزمینی آن محدود به اعضای اتحادیه اروپا نیست و دایره شمول آن می تواند شرکت ها و سازمان هایی که در این اتحادیه مستقر نیستند را نیز در برگیرد.
حوزه فراگیر و گسترده این قانون و ضمانت های اجرایی مستحکم آن از یک طرف و جرایم سنگینی که درصورت تخلف از آنها به شرکت ها تحمیل می شود، موجب شد سازگاری با این قانون به شکل جدی در دستور کار خیلی از شرکت ها به خصوص شرکت های حوزه فناوری اطلاعات و ارائه دهنده سرویس های شبکه اجتماعی قرار گیرد. همین طور ماهیت این قانون و دید جامع و فراگیر آن در ارتباط با حریم خصوصی افراد و محافظت از داده ها، سبب شده که مطالعه آن از منظر نیازهای امنیتی بسیار مهم باشد. نیازهای موجود در این قانون متناسب با دغدغه های شرکت ها و ارائه دهندگان سرویس های شبکه اجتماعی و سایر فعالان حوزه فناوری اطلاعات است.
علیرغم این به نظر می آید این لایحه از سال قبل تابحال به مرحله تصویب و اجرا نرسیده است، همانطور که دبیر شورای اجرایی فناوری اطلاعات نوشته است: شاید امروز روزی باشد که مسئولیت پذیری و شفافیت ارزش خودرا بازیافته و در کنار مسئولیت های حقوقی و کیفری (که در این مورد بی احتیاطی و عدم اتخاذ تدابیر حفاظتی جرم انگاری نشده است) شایسته توجه بیشتر باشد. بااینکه شرکت می تواند طبق قانون برای استیفای حق مشترکین اقامه دعوی کند.
باقری همین طور در پاسخ به کاربر دیگری که سازمان فناوری اطلاعات را مجری قانون می داند که باید کم کاری های شرکت علی بابا را به جهت سرقت مشخصات کاربران بررسی کند، می گوید: برمبنای کدام قانون یا مقرره، سازمان فناوری اطلاعات مسئول این اقدام است؟ بر طبق بند ۵ اصل ۱۵۶ قانون اساسی پیش گیری از وقوع جرم بر عهده قوه قضائیه است. یک شورای عالی هم برمبنای ماده ۲ قانون پیش گیری از وقوع جرم تأسیس شده که وزارت ICT عضو آن نیست.

منبع: