امنیت

فناوری اطلاعات

February 26, 2024
20:05 دوشنبه، 7ام اسفندماه 1402
کد خبر: 161592

هک قوه قضاییه؛ ما یک ملت با داده‌های Open Access هستیم

منبع: Zoomit

با هک پی‌درپی سامانه‌های دولتی و خصوصی، به‌ویژه حمله اخیر به سرورهای قوه قضاییه، دیگر داده‌ای نمانده که در اینترنت و در دسترس عموم قرار نگرفته باشد.

یک هفته از روزی که گروه هکری عدالت علی اعلام کرد به سامانه مدیریت پرونده‌های قوه قضاییه نفوذ کرده و «به میلیون‌ها پرونده دست یافته است» گذشت. چند ساعت پس از اعلام این خبر از سوی این گروه هکری، سایتی راه‌اندازی شد و در دسترس قرار گرفت که اطلاعات سرقت‌شده در این حمله سایبری روی آن منتشر شد تا پرونده‌هایی از نوع پرونده‌های عادی، محرمانه و فوق محرمانه در دسترس عموم قرار بگیرد.

در این یک هفته منتظر اظهار نظر رسمی از سوی مسئولین در نهادهای مختلف و واکنشی به این اتفاق بودیم؛ انتظاری که انگار به‌جا نبوده، چون صرفاً یک تکذیب از سوی «یک مقام آگاه قضایی» (که نامی هم از اون منتشر نشده است) را به دنبال داشته است که گفته بود: «بسیاری از این اسناد، نامه‌های اداری مجعول و ساختگی و حتی قدیمی هستند که پیشتر در فضای مجازی منتشر شده بود و مجدداً بازنشر شده‌اند.»

البته دادگستری تهران هم در واکنش به این خبر اعلام کرده است «موضوع هک سامانه‌های قوه قضاییه صحت ندارد و صرفاً یک خبرسازی کور سراسیمه برای تحت تأثیر قرار دادن خبر بازگشت اموال بابک زنجانی است.»

این تکذیب‌ها در حالی مطرح شده است که حقوقدان‌ها پس از بررسی ابعاد حقوقی و قضایی این حمله سایبری و انتشار اطلاعات لورفته، آن را یک «فاجعه» دانسته‌اند. محمدجعفر نعناکار، کارشناس حقوق سایبری و استاد دانشگاه، به زومیت می‌گوید:

ابعاد فاجعه‌بار این موضوع به حدی گسترده است که من فکر می‌کنم خود قوه قضاییه هم در یک شوک به سر می‌برد. این فاجعه نیاز به بررسی دقیق و عمیق دارد. مطابق اصول کلی که در قانون، از جمله قانون تجارت الکترونیکی، قانون مجازات و قانون مسئولیت مدنی، وجود دارد از جنبه‌های مختلفی باید به این موضوع ورود کرد؛ عوامل مؤثر در این اتفاق باید شناسایی شود و لازم است یک بازمهندسی و بازطراحی در ساختارهای حقوقی، قضایی و پلتفرمی صورت بگیرد.

دیگر حریم خصوصی‌ای برایمان باقی نمانده است
این کارشناس حقوق سایبری سیاست‌گذاری‌ها و اقدامات نهادهای بالادستی در راستای حفاظت از پایگاه‌های داده را ناکارآمد دانسته و توضیح می‌دهد که پس از انحلال و ادغام شورای عالی اطلاع‌رسانی و شورای عالی انفورماتیک در شورای عالی فضای مجازی، سیاست‌ها و چارچوب‌های سایبری کشور متمرکز شد اما به نظر می‌رسد این تمرکز نه‌تنها جواب نداده بلکه باعث شده انشقاق جدیدی شکل بگیرد.

به گفته نعناکار، در شورای عالی انفورماتیک رتبه‌بندی شرکت‌ها و سازمان‌ها در جهت این که چه صلاحیتی برای گسترش حوزه IT و ICT خود دارند مشخص شده بود که بعداًریال این وظیفه به سازمان برنامه و بودجه داده شد. از طرفی، سازمان‌هایی مثل سازمان پدافند غیرعامل، آزمایشگاه ماهر (ذیل سازمان فناوری اطلاعات)، افتای ریاست‌جمهوری (در حوزه ممیزی امنیت شرکت‌های IT و ICT) شکل گرفتند. با وجود تمام این نهادها و فعالیتشان اما حملات سایبری با شدت و تعدد بیشتر در حال رخ دادن است. این حقوقدان می‌گوید:

این نهادها در کشور حاضرند اما ما شاهد این هستیم که دست‌کم در چند سال اخیر هک‌های پی‌درپی در سامانه‌های ملی، عمومی و خصوصی منجر به این شده که تقریباً حریم خصوصی برای ایرانی‌ها باقی نمانَد. بعضی از کارشناسان با ظرافتی به این وضعیت می‌گویند ایرانِ Open Source یا متن‌باز!

فارغ از تمام حمله‌های سایبری در سال‌های اخیر مرور چند هک و نشت گسترده اطلاعات در همین ۶ ماه گذشته هم شاهد موارد متعددی از به خطر افتادن امنیت سایبری کشور و کاربران بوده‌ایم. از هک تپسی، حمله سایبری به سامانه ثبت احوال و هک شدن شرکت‌های بیمه‌ای در شهریور ۱۴۰۲ تا حمله سایبری به جایگاه‌های سوخت در آذر ماه و هک شدن اسنپ‌فود در دی ماه همگی مجموع حملاتی هستند که در ۶ ماه رخ داده و اطلاعات شخصی کاربران را در معرض خطر قرار داده است.

حمله سایبری به سرورهای قوه قضاییه اما از این نظر که سه میلیون پرونده از پرونده‌های مردم که عموماً مربوط به حوزه قضایی تهران است هک و در اینترنت منتشر شده که اطلاعات محرمانه آن‌ها را شامل می‌شود و تهدید بزرگی برای امنیتشان محسوب می‌شود، حمله جدی‌تر و خطرناک‌تری به نظر می‌آید.

شورای عالی فضای مجازی به‌جای عارضه‌یابی از ضعف حکم‌رانی سایبری کشور به دنبال محدودسازی بخش خصوصی است

مسئولان هرچند بعد از هک شرکت‌های بخش خصوصی، به‌ویژه اسنپ‌فود، واکنش قابل توجهی به این موضوع نشان دادند اما در مورد افشای میلیون‌ها پرونده قضایی سکوت را ترجیح داده‌اند. این در حالی است که نعناکار اعتقاد دارد: در خصوص این موضوع باید حکم‌رانی سایبری کشور از سوی حاکمیت عارضه‌یابی و بازمهندسی شود؛ باید آسیب‌شناسی شود که چرا حکم‌رانی سایبری ما ناکارآمد است؟ چرا سازمان‌های دولتی و حاکمیتی به جای تقویت زیرساخت‌های ملی رویکردشان بیشتر به محدودسازی بخش خصوصی معطوف است؟ اما به جای این کار، رویکرد نهادی مثل شورای عالی فضای مجازی این است که بر محدودسازی بخش خصوصی متمرکز شود.

او اعتقاد دارد که کشور به یک قانون جامع در این حوزه احتیاج دارد چراکه «متأسفانه حکم‌رانی سایبری کشور سیاست و قانون درستی ندارد. قوانین بسیار متفرق هستند و به همین دلیل بعضی مسائل دور از چشم متولیان امر می‌ماند.»

کاستی‌ها صرفاً به خلأ قانونی و نظارتی هم محدود نمی‌شود. نعناکار به اقدام نادرست شورای عالی فضای مجازی در راستای انتشار اسامی پایگاه‌های حیاتی داده اشاره کرده است و می‌گوید: «شورای عالی فضای مجازی یک بار لیست بیش از ۱۵ پایگاه حیاتی داده در کشور را منتشر کرد؛ پایگاه‌هایی که سرّی هستند و هیچ کشوری اسامی آن‌ها را منتشر نمی‌کند. همین که شورای عالی فضای مجازی این لیست را منتشر کرده باعث شده متخاصمین آن‌ها را شناسایی کرده و برای استخراج داده از آن‌ها تلاش کنند. خود این موضوع هم یک معضل است.»

گروه عدالت علی؛ هکتیویست‌هایی با ادعای پوشالی
آمنه دهشیری، پژوهشگر ارشد حقوق دیجیتال، در گفت‌وگو با زومیت به اقدام گروه هکری عدالت علی که پس از دست‌یابی به پرونده‌های قضایی آن‌ها را در دسترس عموم قرار داده اشاره کرده و توضیح می‌دهد: این گروه هکری ادعا می‌کند که با انتشار این اطلاعات قصد دارد یک فعالیت با نفع عمومی انجام دهد اما در همین نوع فعالیت‌ها هم بسیاری از گروه‌های «هکتیویست»، یعنی اکتیویست‌هایی که از طریق هک فعالیت می‌کنند، وجود دارند که وقتی به چنین اطلاعاتی دسترسی پیدا می‌کنند آن‌ها را روی اینترنت نمی‌گذارند بلکه به متخصصان فنی و ژورنالیست‌ها منتقل می‌کنند تا این اطلاعات را بررسی کند نه این که چنین فاجعه‌ای را رقم بزنند.

این حقوقدان وضعیت امروز کاربران ایرانی را به دره‌ای تشبیه می‌کند که گرفتار آتش شده است: «ما در یک دره گیر افتاده‌ایم که از هر طرف برویم به آتش می‌رسیم! از یک طرف چنین هکتیویست‌هایی هستند و از طرف دیگر دولت و حاکمیتی که از امنیت اطلاعاتمان حفاظت نمی‌کند. شده‌ایم یک ملت Open Access که دیتایی از ما باقی نمانده که در دسترس عموم قرار نداشته باشد.»

او با بیان این که گروه هکری مذکور در این موضوع اخلاق را رعایت نکرده به نقش دولت در این مسئله اشاره کرده و توضیح می‌دهد: «نکته مهم این است که این گروه هکری مسئول رعایت حقوق بشر ما نیست، دولت است که در این زمینه مسئولیت دارد.»

به گفته دهشیری، اولین اقدام دولت به‌عنوان مسئول رعایت حقوق بشر شهروندان این است که با قوانین سفت و سخت امنیت داده‌ها را تأمین کند. دومین وظیفه‌اش این است که در بحث لو رفتن اطلاعات جرم‌انگاری کند، مجازات در نظر بگیرد و از قربانیان جبران خسارت کند.

او در ادامه توضیح می‌دهد که از منظر حقوقی و حقوق بشری رعایت حریم خصوصی یک حق است و حقوق بشر برای دولت در برابر شهروندانش دو نوع تعهد ایجاد می‌کند: تعهد منفی و تعهد مثبت. بر اساس تعهد منفی، دولت حق ندارد حریم خصوصی شهروندانش را نقض کند. یعنی به دولت می‌گوید مکاتبات، تلفن‌ها، پیام‌رسان‌ها و… شهروندانش را بررسی نکند و به اطلاعات شخصی و خصوصی آن‌ها دسترسی نداشته باشد.

در مورد تعهدات مثبت اما دهشیری توضیح می‌دهد که طبق تعهد مثبت، دولت باید در خصوص برخی اتفاقات، مثل همین هک شدن سازمان‌های دولتی یا شرکت‌های خصوصی، قانون و مقررات الزام‌آوری تهیه کند که شرکت‌ها را ملزم کند حداقل استانداردهای امنیتی و نظارتی در خصوص داده‌های شخصی افراد را رعایت کنند تا داده‌های مردم در امان باشند.

این پژوهشگر ارشد حقوق دیجیتال اعتقاد دارد در مورد هک سامانه قوه قضاییه دولت به این مسئولیت خود عمل نکرده است: در موضوع هک قوه قضاییه، دولت خودش نقش نگهدارنده داده‌های کاربران را داشته اما آن‌طور که باید نکات امنیتی برای حفاظت از این داده‌ها را انجام نداده است. یعنی چه در شرکت‌های خصوصی و چه در نهادهای دولتی موضوع حفاظت از داده‌های شخصی رعایت نمی‌شود.

محمدجعفر نعناکار هم با اشاره به حمله‌های سایبری به انواع شرکت‌های خصوصی و نهادهای دولتی می‌گوید: «اگر از منظر حریم خصوصی به این اتفاق نگاه کنیم در حال حاضر حداقل برای قشری از کشور دیگر حریم خصوصی‌ای باقی نمانده است. یعنی اطلاعات حساب‌های بانکی (هک بانک‌ها)، اطلاعات شناسنامه‌ای (هک ثبت احوال)، اطلاعات قضایی(هک قوه قضاییه)، اطلاعات مکانی (بعد از هک تپسی) و… همه در اینترنت منتشر شده است.»

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.