تصویب یک لایحه، کلید حل ضعف در امنیت سایبری
دادههای شخصی کاربران و حفاظت از آنها از مهمترین موضوعاتی است که در راستای حکمرانی فضای مجازی مورد توجه قرار دارد، در این راستا افزایش حملات سایبری طی سالهای اخیر، لزوم تصویب لایحه حفاظت از داده و تسریع روند نهایی برای اجرای آن به عنوان سند الزامآور و تعیین کننده وظایف دستگاههای دخیل را بیش از پیش روشن کرده و به چالش کشیده است.
به گزارش ایسنا، استفاده از مولفههای قدیمی و آسیبپذیر، بسیاری از سیستمهای دفاعی سامانههای کاربران را سست کرده، بهنحوی که تبدیل به پنجرهای برای نفوذ هکرها و بروز حملات سایبری طی سالهای اخیر شده است.
به عنوان مثال زمانی یک حمله دیداس به سایت اتفاق میافتد که دسترسی به یک رایانه یا منبع شبکه عمداً در نتیجه کار مخرب به کاربر دیگری مسدود یا کاهش داده شود. این حملات لزوماً دادهها را مستقیماً یا همیشگی تخریب نمیکنند، اما عمداً دسترس پذیری منابع را به خطر میاندازند.
اما دادههای شخصی و حفاظت از آنها یکی از مهمترین موضوعاتی است که در استفاده از ابزارهای الکترونیکی مورد توجه قرار میگیرد و با پیشرفتهایی که در حوزه فناوری اطلاعات شاهدیم، حفاظت از این اطلاعات و دادهها از اهمیت بیشتری برخوردار میشوند و یکی از اقدامات وزارت ارتباطات و فناوری اطلاعات، به عنوان یکی از متولیان این بخش، رونمایی از لایحه صیانت و حفاظت از دادههای شخصی، به منظور حمایت از حریم خصوصی کاربران فضای مجازی بوده است.
در بند هشتم منشور حقوق شهروندی با عنوان «حق دسترسی به فضای مجازی» آمده است که حق شهروندان است از امنیت سایبری و فناوریهای ارتباطی و اطلاعرسانی، حفاظت از دادههای شخصی و حریم خصوصی برخوردار باشند. در این راستا تابستان سال ۱۳۹۷ سازمان فناوری اطلاعات از لایحه صیانت و حفاظت از دادههای شخصی رونمایی کرد و مقرر شد برای تصویب به هیأت دولت و مجلس ارسال شود تا در نهایت به قانون تبدیل شود.
گفته شده هدف از این لایحه صیانت از حیثیت و کرامت اشخاص موضوع دادههاست که شامل تبیین حقوق اشخاص موضوع دادهها، بهویژه در تعامل با سایر حقهای مشروع، ضابطهمندی فرایند پردازش دادههای شخصی، مسئولیتپذیری پردازش، همافزایی امور تنظیمی و نظارتی پردازش و جبرانپذیری زیانها و آسیبهای پردازش می شود. اما با گذشت سالها از این موضوع، شواهد نشان میدهد اقدام جدی برای تصویب نهایی این لایحه و اجرای سریع آن انجام نشد و حتی در این میان بارها، اطلاعات سایتهای سازمانها و مراکزی که شامل اطلاعات شهروندان بوده، به سرقت رفته است.
به طور مثال شهریور ماه بخشی از اطلاعات کاربران تپسی به دست هکرها افتاد. یک گروه هکری با هویت معلوم به اطلاعات تعدادی از خدمات گیران شرکت تاکسی اینترنتی تپسی دسترسی پیدا میکنند و سپس تقاضای ۳۵ هزار دلار از شرکت تپسی میکند تا اطلاعات خدمات گیرندگان را برگرداند و منتشر نکند که این شرکت این کار را انجام نمیدهد و از گروه هکری شکایت میکند. در نهایت در پی شکایت شرکت تپسی از این گروه هکری اقدامات قضائی انجام شده و منبع آلودگی برطرف شد.
اما این پایان ماجرا نبود چراکه ماه گذشته هم در برخی پمپ بنزینها اختلال رخ داد. سازمان پدافند غیرعامل کشور در اطلاعیهای اعلام کرد ۲۷ آذرماه ۱۴۰۲ قریب به ۳۸۰۰ جایگاه سوخت در سراسر کشور از مجموعه ۴۳۹۶ جایگاه از طریق نفوذ سایبری در سامانه IPC دچار اختلال شد و ادامه کارکرد آنها از طریق کارت سوخت امکانپذیر نبود.
در این رابطه به فاصله گذشت حدود دو هفته بار دیگر اطلاعات کاربران یک شرکت در اختیار هکرها قرار گرفت. ابتدای هفته جاری یک گروه هکری ادعا کرد کل دادههای اسنپ فود، شامل اطلاعات بیش از ۲۰ میلیون کاربر و ۸۸۰ میلیون سفارش را به دست آورده است و البته پس از بازتاب گسترده این خبر، اسنپ فود هک شدنش را تأیید و اعلام کرد حداکثر تلاش خود را برای جلوگیری از انتشار دادههای کاربران، از طریق مذاکره با این گروه هکری خواهد کرد.
بر این اساس، با توجه به اینکه سرویسهای مجازی هر روز در حال رشد هستند، کسانی که اطلاعات شهروندان را نگه میدارند باید از قبل فرآیند شفافسازی را انجام دهند و دسترسی هکرها به اطلاعات مردم کار مشکلی باشد، درنتیجه باید ضریب حریم خصوصی را به نحو قابل توجهی افزایش داد و قانونگذار تلاش کند از آسیبهای این فضا پیشگیری کند.
در این میان آنچه در وهله اول به ذهن میرسد این است که چرا تاکنون یک قانون یعنی یک سند الزامآور که وظایف و اختیارات دستگاههای موظف در این زمینه در آن آشکار باشد، در کشور وجود ندارد که مبتنی بر آن بتوان پاسخگویی طلب کرد؟
برخی مسوولان در پاسخ به این سوال، اعلام میکنند لایحه حفاظت از داده چند سال گذشته رونمایی شده و سال گذشته پیشنویس لایحه قانون حمایت و حفاظت از دادههای شخصی نهایی و سپس بررسی شده است اما در این بازه زمانی و با رخدادن چند باره هک اطلاعات کاربران، اگرچه تعیین تکلیف هرچه سریعتر آن احساس میشد اما اقدام تازهای در این زمینه انجام نشده است و اخیرا وزیر ارتباطات و فناوری اطلاعات جزئیات جدیدی از آخرین وضعیت این لایحه اعلام کرد.
زارعپور در این زمینه گفت: ما لایحه حفاظت از داده را به دولت ارسال کردیم و اکنون به کمیسیون حقوقی و قضایی ارسال شده و در آنجا قرار است بررسی شود و سپس برای بررسی نهایی به مجلس ارسال میشود تا کلا بحث حفاظت از دادههای شخصی افراد در فضای مجازی نظاممند شود و ساز و کار و تکالیفی برای دارندگان سکوها، پلتفرمها مشخص شود.
درنهایت میتوان گفت طبق مطالب گفته شده و اعلام مسئولان درباره افزایش تعداد حملات سایبری طی سالهای اخیر به نظر میرسد که هرچه سریعتر باید اقدامات نهایی برای تصویب رسیدن این لایحه که ارتباطات نزدیکی با امنیت سایبری و حفظ اطلاعات مردم دارد انجام شود.