امنیت داده‌‌‌های کاربران در ایران‌‌‌ کماکان در معرض خطر قرار دارد و مسوولان سازمان‌های دولتی و خصوصی نیز نسبت به این موضوع منفعل هستند؛ تا جایی که در روزهای اخیر ترکش حملات سایبری به یک پلتفرم رزرو آنلاین اقامتگاه خورد و برخی از اطلاعات کاربران آنها نشت یافت. در این شرایط با اینکه مهلت چندباره اجرای دستورالعمل حفاظت از حریم خصوصی کاربران به پایان رسیده، اما تاکنون گزارشی از تمکین کسب و کارها به این دستورالعمل منتشر نشده است. گزارش‌‌‌های بین‌المللی نیز نشان می‌دهد که در دو دهه گذشته ایران ۰.۹‌درصد از کل نشت داده در جهان را به خود اختصاص داده است. از طرف دیگر، در حالی که در دنیا اقدامات و الزامات قانونی سخت‌‌‌گیرانه‌‌‌ای برای جلوگیری از بروز فساد در داده‌‌‌ها انجام شده، اما این موضوع در ایران با وجود برخی از اقدامات مثبت تا حد زیادی مغفول مانده و قوانین فقط در ۱۳الزام به آن توجه کرده است.

هک به نوبت
یک گروه هکری که پیش از این سابقه حمله سایبری و هک شرکت‌های تپسی، اسنپ‌‌‌فود و سایت سازمان حج و زیارت را داشت، در روز نوزدهم ماه جاری با انتشار پستی در کانال تلگرامی خود ادعا کرد که پلتفرم «اتاقک» را هک کرده و به اطلاعات مختلفی دست یافته است. اتاقک پلتفرم رزرو آنلاین اقامتگاه است که این گروه هکری ادعا می‌کند با هک آن به اطلاعاتی از جمله اطلاعات رزرواسیون، اطلاعات بانکی، پیام‌‌‌ها و چت‌‌‌ها، اطلاعات کاربری و اطلاعات دقیق اماکن قابل رزرو دست پیدا کرده است. این گروه هکری نمونه‌‌ این اطلاعات را هم در لینکی به اشتراک گذاشته که برای همه‌‌ کاربران قابل دسترسی و دریافت است. این روشی است که این گروه هکری در همه حمله‌‌‌های سایبری خود انجام می‌دهد. بخشی از اطلاعاتی را که به آنها دست پیدا کرده منتشر می‌کند و پلتفرم هک‌‌‌شده را ترغیب می‌کند که در ازای مبلغی مشخص این اطلاعات را به آنها بازگردانده و به‌‌‌صورت عمومی منتشر نکند.

چند ساعت پس از رسانه‌‌‌ای شدن هک اتاقک، این پلتفرم در بیانیه‌‌‌ای اعلام کرد که در حال راستی‌‌‌آزمایی ادعای هک گروه IRLeaks است و در صورتی که این ادعا تایید شود مسوولیت آن را می‌‌‌پذیرد. همچنین به کاربران خود اطمینان خاطر داد که کلیه اطلاعات پرداخت بانکی کاربران، اعم از اطلاعات مربوط به کد امنیتی کارت (CVV۲)، رمز عبور و تاریخ انقضا، در امنیت کامل قرار دارد و این اطلاعات مطابق مقررات بانک مرکزی در هیچ یک از پلتفرم‌‌‌ها ذخیره نمی‌‌‌شوند. اتاقک دو روز بعد در اطلاعیه دوم خود هک اطلاعاتش را تایید و دوباره تاکید کرد که دسترسی غیرمجاز به اطلاعات بانکی کاربران صورت نگرفته است.

در شرایطی که گروه هکری مذکور به این پلتفرم مهلت داده بود تا برای جلوگیری از فروش اطلاعات وارد مذاکره شود، اتاقک در بیانیه سوم خود با اشاره به اینکه با هکرها به توافق رسیده‌‌‌ است، به کاربران خود اطمینان داد که اطلاعاتی که به دست هکرها افتاده، فروخته نخواهد شد. با اعلام این گروه هکری مبنی بر موفقیت‌‌‌آمیز بودن مذاکرات با اتاقک، عدم‌فروش اطلاعات کاربران این پلتفرم تایید شد.

در شرایطی که گروه هکری مذکور در جدیدترین اطلاعیه خود آخرین وضعیت فروش اطلاعات پلتفرم‌‌‌های هک‌‌‌شده را منتشر کرده، در ادامه غفلت قوانین، انفعال مسوولان دولتی و خصوصی و عدم‌شفافیت در حفاظت از داده‌‌‌ها و آسیب‌‌‌پذیری بالای کاربران ایرانی نسبت به حملات سایبری، بررسی شده است. در آخرین اطلاعیه گروه هکری IRLeaks ضمن بیان فروشی نبودن اطلاعات پلتفرم‌‌‌های اسنپ‌‌‌فود و اتاقک، مبالغ قابل‌‌‌توجهی برای فروش اطلاعات کاربران ۲۳ شرکت بیمه، پلتفرم تپسی و سازمان حج و زیارت اعلام شده است. طبق این اطلاعیه، مبالغ ۲۵‌هزار دلار و ۹۰‌هزار دلار به‌‌‌ترتیب برای فروش اطلاعات این سه سازمان ذکر شده است.

این موضوع مهر تاییدی بر عدم‌شفافیت نهادهای هک‌‌‌شده در قبال کاربران خود است که نشان‌‌‌دهنده عدم‌احساس مسوولیتی نسبت به بیان جزئیات مورد مذاکره، نبود اقدامات امنیتی متعاقب آن به‌‌‌منظور تکرارنشدن نشت اطلاعات و عدم‌اطمینان‌‌‌بخشی به کاربران برای عدم‌افشای داده‌‌‌ها حتی در صورت توافق است. پیش از اتاقک، سازمان حج و زیارت هدف اولین هک از سلسله حملات سایبری شروع شده در سال گذشته بود. این گروه همچنین ادعا کرد به ۱.۲۵ ترابایت اطلاعات مهمی از حجاج و زائران که از سال‌‌‌ ۱۳۶۳ تا ۱۴۰۳ در این سایت ذخیره شده بود، دست پیدا کرده است.

سازمان حج و زیارت نیز به‌‌‌عنوان مسوول حفاظت از داده‌‌‌های کاربران خود، فقط این هک را تایید کرد، اما اسم این سازمان همچنان در فهرست گروه هکری مذکور برای فروش اطلاعات قرار دارد. از سوی دیگر، اطلاعات شخصی ۲۷ میلیون مسافر و ۶میلیون راننده تپسی نیز در سال گذشته هک شد و اسم این پلتفرم نیز در فهرست همان گروه هکری قرار دارد، تپسی هم مانند سازمان حج و زیارت توضیحی درباره اقدامات امنیتی برای جلوگیری از فروش تکرار نشت داده‌‌‌های کاربران منتشر نکرده است.

۲۲۳ نشت داده به‌‌‌ازای هر ۱۰۰ ایرانی
فارغ از این، ایرانی‌‌‌ها از سال گذشته مجموعه‌‌‌ای از حملات سایبری به سامانه‌‌‌ها و پلتفرم‌‌‌های داخلی را تجربه کرده‌‌‌اند؛ تا جایی که تعداد حمله‌‌‌های سایبری در سال ۱۴۰۲ به میزانی بود که در حوزه‌‌ فناوری می‌توان این سال را به نام سال تهدید امنیت سایبری کشور و وضعیت پر مخاطره صیانت از داده شناخت. در همان سال بود که مرکز ملی فضای مجازی پس از هک‌‌‌های مکرر، دستورالعمل اجرایی حفاظت از حریم خصوصی کاربران را ابلاغ کرد، اما در حال حاضر با گذشت چند ماه و تمدید مهلت‌‌‌ها هنوز گزارشی از تمکین کسب و کارها از این دستورالعمل منتشر نشده است. پیش از این حسین دلیریان، سخنگوی مرکز ملی فضای مجازی، در گفت‌‌‌وگو با «دنیای‌اقتصاد» با بیان اینکه مهلت دوم اجرای دستورالعمل حفاظت از حریم خصوصی کاربران در اواخر خرداد ماه به پایان خواهد رسید، توضیح داد: «اجرای بخش زیادی از این دستورالعمل پیش از عید به پایان رسیده است.»

علاوه بر این، تصویب لایحه اخیر دولت مبنی‌بر حفاظت از داده‌‌‌های شخصی بدون انتشار جزئیات الزام‌‌‌آور قانونی است که کارشناس‌‌‌ها نگاه مثبتی به آن‌‌‌ ندارند و به اعتقاد کارشناسان، در مثبت‌‌‌ترین نگاه ممکن اگر این لایحه دولت فقط با ایده صیانت از داده‌‌‌های مردم تصویب شده باشد، با تشدید فیلترینگ از سال ۱۴۰۱ و تداوم آن، حفاظت از داده‌‌‌ها و امنیت آنها عملا کار دشواری است؛ زیرا با استفاده مداوم مردم از فیلترشکن برای دسترسی به تلگرام، اینستاگرام و سایر پلتفرم‌‌‌های بین‌المللی فیلترشده، گوشی‌‌‌های آنها و در کل شبکه ناامن و آسیب‌‌‌پذیر می‌شود و محل انواع حملات سایبری است. کارشناسان نسبت به دستورالعمل حفاظت از حریم خصوصی کاربران هم نظر مشابهی دارند و معتقدند که این دستورالعمل ضمانت اجرایی و بازدارندگی مانند قانون ندارد.

همچنین برخی از آنها معتقدند اجرای این دستورالعمل برای کسب و کارها هزینه خواهد داشت. فارغ از اینها، با فیلترینگ گسترده اینترنت در دو سال اخیر و افزایش محدودیت‌های فضای مجازی، اکثر پروتکل‌‌‌های ایمن‌‌‌سازی مخدوش شده‌‌‌اند و به اعتقاد کارشناسان تا زمانی که فیلترینگ و استفاده از فیلترشکن همچنان پابرجا باشد، ایران برای حملات سایبری هکرها هدفی آسان و در دسترس خواهد بود. نمی‌توان انتظار داشت تا با وجود سلطه فیلترینگ بر شبکه اینترنت ایران، مانع جدی برای هکر‌‌‌ها وجود داشته باشد.

غفلت قوانین از رخنه در داده‌ها در ایران تا حدی جدی است که مرکز پژوهش‌‌‌های مجلس در گزارشی به این موضوع پرداخت و طبق آن، در دنیا اقدامات و الزامات قانونی سخت‌‌‌گیرانه‌‌‌ای برای جلوگیری از بروز فساد در داده‌‌‌ها انجام شده، اما این موضوع در ایران با وجود برخی از اقدامات مثبت تا حد زیادی مغفول مانده است؛ تا جایی که در کشورهای کره‌‌‌جنوبی، فرانسه، ایرلند، کانادا، انگلستان و ایتالیا بیش از ۱۲۴ الزام قانونی در حوزه حفاظت از داده‌‌‌های شخصی وجود دارد؛ اما در قوانین ایران فقط ۱۳الزام دیده شده است. علاوه بر این، آمارهای بین‌المللی وضعیت نامساعد ایران در امنیت داده را تایید می‌کند. بر اساس آمار لحظه‌‌‌ای منتشر شده از سوی سرف‌‌‌شارک، از سال ۲۰۰۴ تاکنون، یعنی در دو دهه گذشته، ایران ۰.۹‌درصد از کل نشت داده در جهان را به خودش اختصاص داده است.

طبق داده‌‌‌های این بنیاد غیرانتفاعی که در زمینه آزادی دسترسی به اینترنت و امنیت سایبری فعالیت می‌کند، در طول دو دهه گذشته بیش از ۱۶۰ میلیون و ۷۰۰ حساب کاربری در ایران دچار نشت داده شده‌‌‌اند و در این بازه زمانی به طور متوسط از هر صد شهروند ایرانی، ۲۲۳ نفر نشت داده را تجربه کرده‌‌‌اند. این بررسی‌‌‌ها نشان می‌دهد که هر آدرس ایمیل حدود سه بار هک شده است و به ازای هر صد نفر، ۸۸ نفر در ایران هک شدن ایمیل خود را تجربه کرده‌‌‌اند. با این اوصاف، نبود قوانین و جریمه‌‌‌های بازدارنده در زمینه سهل‌‌‌انگاری در نگهداری از اطلاعات خصوصی افراد و نیز ‌به رسمیت نشناختن حق فراموشی داده برای اجرای درخواست حذف اطلاعات شخصی از سوی کاربران در پلتفرم‌‌‌ها باعث شده است تا اخبار نشت اطلاعات حیاتی شهروندان ایران به امری تکراری تبدیل شود؛ موضوعی که همه زیان‌‌‌های مادی و معنوی آن را تنها کاربران ایرانی متحمل می‌‌‌شوند.