امنیت اطلاعات کاربران ایرانی در خطر
سایبرپژوه– نشت اطلاعات و افشای پایگاه اطلاعات هویتی کاربران بسیاری از سازمانها، اپراتورها، شرکتهای دولتی و خصوصی در فضای مجازی طی ماههای اخیر یکی از موضوعات خبرساز بود به نحوی که به دلیل نبود قوانین مشخص و راهکارهای امنیتی، بسیاری از این اطلاعات در فضای مجازی خرید و فروش میشوند.
از جمله این اتفاقات میتوان به نشت اطلاعات شناسنامهای ۸۰ میلیون کاربر ایرانی از طریق سرورهای سازمان ثبت احوال و وزارت بهداشت، افشای بانک اطلاعاتی حاوی اطلاعات شمار زیادی از کاربران ایرانی تلگرام و شماری از کاربران یکی از بازارهای ایرانی نرمافزارهای آیفون، افشای اطلاعات کاربران یکی از اپراتورهای موبایل و سرقت پایگاه داده سازمان امور دانشجویان وزارت علوم، پایگاه ایرانداک و برخی شرکتهای هواپیمایی و بانکها اشاره کرد.
کارشناسان معتقدند که به دلیل نبود نظام حاکمیت امنیت سایبری در کشور، شاهد اتفاقاتی از نوع نشت اطلاعات و سرقت دادهها هستیم.
در این خصوص مرکز ماهر در گزارشی که پیش از این منتشر کرد، اعلام کرده بود که نشت اطلاعات عمدتاً متأثر از فهرست مشترکی از خطاها و ضعفهای امنیت در پیادهسازی و تنظیمات از سوی سازمانها و متولیان پایگاههای داده است و این ضعفها باعث میشوند در برخی موارد دسترسی به دادههای سازمانها و کسب و کارها حتی نیاز به دانش پایهای هک و نفوذ نداشته باشد و با یکسری بررسیها و جستجوهای ساده، دادهها افشا میشوند.
هفته گذشته نیز سردار باقری معاون فناوری اطلاعات سازمان پدافند غیرعامل در مراسم صدور گواهی امنیت محصولات بومی حوزه فناوری اطلاعات با انتقاد از وضعیت فعلی کشور در حوزه امنیت سایبری گفت: با وجود اینکه تفکیک کار در حوزه امنیت سایبری در سازمان فناوری اطلاعات، مرکز افتای ریاست جمهوری و پدافند سایبری صورت گرفته اما وضعیت امنیت در دستگاهها و نهادهای حاکمیتی مناسب نیست.
به گفته وی، اگر شبکه ملی اطلاعات به معنای کامل راه بیافتد و شاهد داشتن سیستم عامل بومی، مرورگر بومی و جستجوگر بومی و مواردی از این دست باشیم، آسیب پذیری سایبری حتماً کمتر خواهد شد.
جایگاه بسیار ضعیف ایران در حفاظت از حریم خصوصی کاربران
معاونت پژوهشهای زیربنایی و امور تولیدی دفتر مطالعات انرژی، صنعت و معدن مرکز پژوهشهای مجلس در گزارشی با بررسی وضعیت ایران در ارزیابی جهانی حفاظت از حریم خصوصی کاربران، بر لزوم تصویب «لایحه حفاظت و صیانت از دادههای شخصی» در مجلس یازدهم تاکید کرده است.
در این جدول وضعیت ایران و سایر کشورهای جهان در زمینه حفظ حریم خصوصی کاربران در فضای مجازی آمده است و همانطور که مشاهده میشود طبق آمار موجود، وضعیت کشورمان نیز در حفاظت از حریم خصوصی کاربران در فضای مجازی بسیار ضعیف ارزیابی شده است.
چالش نشت اطلاعات شخصی کاربران در شبکههای اجتماعی
استانداردهای صیانت از داده روزبه روز درحال افزایش هستند و همه روزه شرکتها با این چالش روبه رو هستند که آیا عملیاتهای پردازش داده و نگهداری از داده ای که انجام میدهند و یا هرگونه فعالیتی که با دادههای داخلی و خارجی خود انجام میدهند، منع قانونی دارد و یا خیر.
از آنجایی که داده ماهیتاً مرز نمیشناسد و نقش کلیدی در اقتصاد دیجیتال بازی میکند، در دهههای گذشته از داده به عنوان یک دارایی با ارزش یاد شده و حتی از آن به عنوان پول آینده یاد میشود. با این وجود از آنجایی که پیشرفت فناوری اطلاعات و ارتباطات پردازش و تبادل داده را به شدت آسان کرده است، پردازش دادههای شخصی در حوزههای مختلف اقتصادی و اجتماعی به راحتی صورت میگیرد.
این درحالی است که حوادث بسیار زیادی در سراسر دنیا در زمینه نشت اطلاعات شخصی به وجود آمده که تبعات سیاسی و کسب و کاری فراوان داشته است.
از بزرگترین موارد این نشت اطلاعات مربوط به مورد فساد اطلاعاتی مشترک میان فیس بوک و شرکت کمبریج آنالیتیکا است که طبق گزارش گاردین، در این پرونده، شرکت کمبریج آنالیتیکا که یک شرکت تحلیل اطلاعاتی است، از میلیونها اطلاعات پروفایلهای شخصی موجود در فیسبوک جهت تبلیغات سیاسی ریاست جمهوری آمریکا استفاده کرده است.
این موارد نشت اطلاعات شخصی در داخل کشور هم وجود داشته است. یکی از بزرگترین این موارد نشت اطلاعات اپراتورهای موبایل کشور بود که توسط یک ربات تلگرامی انجام شد و یا یکی از شرکتهای تاکسیرانی اینترنتی نشت اطلاعات رانندگان خود را تجربه کرد.
موضوع دیگری که به عنوان یک چالش در صیانت از دادههای شخصی کاربران در اینترنت مطرح است، فعالیت شبکههای مجازی خارجی در ایران از جمله تلگرام، واتساپ، لاین، فیسبوک، توئیتر و.. و عضویت اغلب شهروندان ایرانی در آنها است.
طبق آخرین برآوردها، در ایران حدود ۴۶ میلیون کاربر فضای مجازی وجود دارد که بیش از ۴۵ میلیون نفر از آنها تنها در شبکه تلگرام فعال هستند. این آمار در سال ۹۴ تنها ۲۳ میلیون نفر بود.
با این وجود مرکز پژوهشهای مجلس در این گزارش با توجه به نکات فوق و در اجرای دو اصلی که در زیر میآید، تصویب قانون صیانت و حفاظت از دادههای شخصی را ضروری عنوان کرده است:
الف) اصول مختلف فصل سوم قانون اساسی جمهوری اسلامی ایران راجع به حقوق ملت به ویژه اصول نوزدهم، بیستم، بیست ودوم، بیست وسوم، بیست وپنجم، بیست وششم، سی وهشتم و سی ونهم؛
ب) سیاستهای کلی نظام، ابلاغی مقام معظم رهبری درباره شبکههای اطلاع رسانی رایانهای به ویژه بندهای یک و ۷، نظام اداری به ویژه بند ۲۳، پدافند غیرعامل به ویژه بند ۱۱؛ امنیت فضای تولید و تبادل اطلاعات به ویژه بند یک و برنامه ششم توسعه به ویژه بندهای ۳۶، ۳-۵۵؛
وضعیت موجود ایران در حفظ حریم خصوصی کاربران
در تمامی کشورهای پیشرفته دنیا، شبکههای مجازی ملزم به تبعیت از قوانین فضای مجازی آن کشورها برای صیانت از حریم خصوصی کاربران هستند و در صورت نقض آنها با جریمههای سنگینی مواجه میشوند. برای مثال در سال ۲۰۱۳ فیسبوک در آمریکا به دلیل نقض حریم خصوصی کاربران و افشای نام و تصویر کاربرانی که تبلیغات Sponsored Stories را کلیک کرده بودند به پرداخت غرامت ۲۰ میلیون دلاری محکوم شد.
همچنین شبکههای اجتماعی گوگل و فیسبوک به موجب قانونی جدید در انگلیس، در صورت زیر پا گذاشتن حریم خصوصی کاربران ممکن است میلیاردها پوند جریمه نقدی شوند.
بنابراین در کشورهای پیشرفته برای صیانت از حریم خصوصی شهروندان در فضای مجازی، شبکههای اجتماعی ملزم به پیروی از قوانین آنها هستند؛ اما در ایران مشخص نبودن مصادیق گردآوری، استفاده، نگهداری، افشا و مسئولیتهای متولیان دادههای شخصی از جمله شبکههای اجتماعی داخلی و خارجی، حفاظت از حریم خصوصی کاربران در فضای مجازی را با سوالات جدی مواجه ساخته است.
با این حال چطور میتوان انتظار داشت که حریم خصوصی کاربران فضای مجازی در ایران حفظ شود، درحالی که برای بسیاری از مصادیق نقض حریم خصوصی در فضای مجازی هنوز قانونی مصوب نشده است؟
ایران برای ملحق شدن به استاندارد جهانی آماده شود
در دنیا نیز اقداماتی در این زمینه انجام شده است. اتحادیه اروپا بعد از جریان کمبریج آنالیتیکا، قانون صیانت از اطلاعات شخصی به نام GDPR را به تصویب رساند.
این قانون از ۲۵ ماه می سال ۲۰۱۸ اجرایی شده است. بنابراین قانون، شرکتهای زیادی در داخل اتحادیه اروپا و حتی خارج از آن تحت تأثیر قرار میگیرند.
به عبارت دیگر، با اینکه GDPR یک قانون مصوبه در داخل اتحادیه اروپا است اما به دلیل محدوده تعریف شده در قانون آن، شامل تمامی کشورها و شرکتهایی که با اتحادیه اروپا مراوده و تراکنش دارند میشود.
همچنین شرکتهای زیادی در آمریکا و آسیا اعلام کرده اند که به این قانون پایبند خواهند بود. بنابراین پیش بینی میشود که این قانون تبدیل به یک استاندارد سطح جهانی برای حفاظت از اطلاعات شخصی شود.
با این اوصاف، کشور ایران نیز باید آمادگی ملحق شدن به این موج جهانی را داشته باشد و لوایح و قوانین مصوبه در زمینه حفاظت اطلاعات شخصی را بر مبنای قانون GDPR اصلاح و ویرایش کند.
همچنین، یکی از مسائل اصلی موجود در این زمینه تطبیق شرکتهای ایرانی با این قانون است. به این معنا که شرکتها چه فعالیتها و زیرساختهایی را باید جهت تطبیق با GDPR آماده داشته باشند و چه اقداماتی را باید انجام بدهند.
این درحالی است که به دنبال اتفاقاتی که در شرکتهای ایرانی در حوزه نشت اطلاعات رخ داد، اخیراً لایحهای در دولت تحت عنوان «لایحه صیانت از داده شخصی» مطرح شده است که سعی دارد از نشت اطلاعات شخصی جلوگیری کند.
این لایحه مراحل آخر بررسی در دولت را طی میکند و انتظار میرود با توجه به اهمیت موضوع، در مجلس یازدهم و در کمیسیون صنایع در اولویت بررسی قرار گیرد.
وزارت ارتباطات لایحه مربوط به صیانت از اطلاعات (GDPR) را به دولت ارائه کرده و امیدوار است که با تصویب این لایحه، بسیاری از مشکلات افشای اطلاعات در فضای مجازی حل شود.
در این خصوص امیرناظمی معاون وزیر ارتباطات نیز گفته است: این لایحه قبل از طرح در هیئت دولت برای بررسی کارشناسی در زمینه جرم انگاری به قوه قضائیه ارسال شده و هم اکنون به دولت بازگشته است. این لایحه در کمیسیونهای تخصصی و فرعی دولت نیز مورد بررسی قرار گرفته و هم اکنون در انتظار ورود به هیئت وزیران برای تصویب نهایی است.