«مصوبهای برای ایجاد کانال ارتباطی مشخص کسبوکارهای نوپا در شرایط بحران» این خبری است که عصر روز شنبه (۱۴ اردیبهشت ماه) معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات در جلسه هماندیشی با شرکتهای استارتاپی با عنوان «حفاظت از دادهها در اقتصاد دیجیتال» اعلام کرد. در این جلسه که به بهانه درز اطلاعات یک شرکت تاکسی اینترنتی برگزار شده بود امیر ناظمی با اشاره به اینکه در شرایط بحرانهای امنیتی شرکتهای استارتاپی کشور نمی دانند باید به چه کسی پاسخگو باشند اعلام کرد: «باید مصوبهای آماده کنیم که یا به شورای عالی فضای مجازی یا شورای عالی امنیت ملی یا هر مرجع دیگری برود که براساس آن مشخص باشد در لحظات حساسی که شرکتی با حمله امنیتی خود مقابله میکند، کسی با این شرکت تماس نگیرد و این موضوع به بنگاهها نیز اعلام شود که تنها یک یا دو مرجع مشخص با آنها تماس خواهند گرفت و به سایر تماسها نیز پاسخ ندهند.»
درز اطلاعاتی و درسآموزیها
جلسه هم اندیشی شرکتهای استارتاپی با موضوع حفاظت از دادهها در اقتصاد دیجیتال فرصتی برای تبادل نظر میان کسب و کارهای نوپایی بود که حالا بهدلیل گسترش بازار خود و در اختیار داشتن حجم قابل توجهی از دیتا حفظ امنیت اطلاعات در آنها اهمیت قابل توجهی پیدا کرده است. در ابتدای این جلسه میلاد منشیپور، مدیرعامل یکی از تاکسیهای اینترنتی با اشاره به اتفاق امنیتی رخ داده شده برای این شرکت در مورد جزئیات این اتفاق گفت: «در نشت اطلاعات صورت گرفته که اواخر فروردین ماه سالجاری اطلاعرسانی شد هیچ اطلاعاتی از مسافران درز پیدا نکرد. اطلاعات درز پیدا کرده مربوط به فاکتورهای ۱۸۰ هزار راننده غیر فعال و ۶۰ هزار راننده فعال بود که برای امور دارایی تهیه شده بود.»
براساس اظهارات او، اطلاعاتی که تنها مورد نفوذ یک هکر کلاه سفید اوکراینی قرار گرفته در نهایت توسط او از فضای مجازی حذف و از دسترس دیگران نیز حذف شد. او در این نشست تأکید کرد که این نفوذ به بخشی از اطلاعات رانندگان این تاکسی اینترنتی به خاطر غیرفعال شدن فایروال یکی از سرورهای جانبی این شرکت رخ داده است.
مدیرعامل این تاکسی اینترنتی در ادامه با اشاره به درسآموزی که این شرکت از این نشت اطلاعات به دست آورده از سرمایهگذاریهای بیشتر در بخش زیرساخت امنیت خبر داد و اینکه قرار است در این شرکت سند مدیریت بحران نیز تهیه شود. او در این مورد توضیح داد: «پیش از این اتفاق به بحث امنیت توجه ویژه داشتیم؛ اما این اتفاق باعث شد تا بیشتر از پیش به بحث سرمایهگذاری در حوزه امنیت توجه کنیم. قرار است روی بخش فایروال شبکه و وب سرمایهگذاری مشخصی انجام دهیم و از طرفی نیز دسترسی مدیریتی به اطلاعات را بهصورت اتوماتیک و نظاممند کنترل کنیم. همچنین قرار است روی امنیت محصول و برنامهنویسی خود نیز سرمایهگذاری ویژه انجام دهیم.»
منشیپور همچنین در ادامه به اطلاعرسانی بموقع و درست در شرایط بحران اشاره کرد و افزود: «یکی دیگر از درسآموزیهای ما در مورد این اتفاق مربوط به روابط عمومی و نحوه ارتباط ما با مردم، رگولاتور و کاربرانمان است. ما مسئول هستیم که واکنش سریع به چنین اتفاقاتی داشته باشیم؛ اما باید قبل از اطلاعرسانی سریع نیز مشکل را بهصورت کامل شناسایی و بعد در مورد آن با مردم و رسانهها صحبت کنیم.»
انتقاد از نبود کانال ارتباطی مشخص
از جمله انتقادهایی که در این جلسه بارها توسط مدیران مختلف شرکتهای استارتاپی مطرح شد این مسأله بود که در بسیاری از مواقع و در صورت رخ دادن اتفاقهای امنیتی آنها نمیدانند باید به چه نهادی پاسخگو باشند و از سوی دیگر اطلاعرسانی از سمت دولت در این زمینه هم چندان منطقی نیست.
ژوبین علاقبند، مدیرعامل یکی دیگر از تاکسیهای اینترنتی نیز در این جلسه از مدیران وزارت ارتباطات خواست تا به نحوه اطلاعرسانی در چنین رخدادهایی دقت کنند. او در این مورد گفت:«زمانی که نشت اطلاعات تپسی رخ داد برخی اعلام کردند که این رخداد یک فاجعه است و باید دادستانی به این موضوع رسیدگی کند و وارد این ماجرا شود؛ در صورتی که در چنین رخدادهایی جز کسبوکارها نهاد دیگری نمیتواند مشکل را حل کند.»
او تأکید کرد که این یک مسأله مهم است که رگولاتور و نهادهای قانونگذار اجازه ندهند عدهای از آب گلآلود ماهی بگیرند و بگویند دادستانی باید وارد شود و برخورد کند. در همین زمینه علیرضا صادقیان، فعال حوزه فاوا هم به مشخص نبودن پروتکل ارتباطی خاص بین شرکتها و نهاد تصمیمگیر درصورت رخ دادن یک واقعه امنیتی اشاره و اعلام کرد: «هنوز مشخص نیست که اگر حمله یا نفوذی به اطلاعات شرکتها رخ داد کانال ارتباطی ما برای پیگیری از دولت کجاست و از طرفی مشخص نیست ما در این شرایط باید به چه کسی جواب بدهیم.»
نازنین دانشور، یکی از مؤسسان سایت فروش اینترنتی هم با اشاره به این معضل از نبود راه ارتباطی مشخص در وزارت ارتباطات انتقاد و گفت: «باید راه ارتباطی کسبوکارها با نهادهای بالا دستی برای توضیح در زمینه یک رخداد امنیتی مشخص باشد. از طرف دیگر ما باید بدانیم از چه کسی میتوانیم کمک بگیریم و نباید شرایط به گونهای رقم بخورد که تنها راه ارتباطی ما در وزارت ارتباطات یک نفر مانند رئیس سازمان فناوری نباشد.»
همچنین در این نشست علی محمد رجبی، رئیس مرکز اطلاعات پلیس فتا اعلام کرد که در زمانهای بحران، دستگاه هماهنگکننده برای اتفاقات امنیتی، پلیس فتا است. به گفته او، مرکز فوریتهای پلیس فتا ۲۴ ساعته در خدمت کسبوکارهاست. همچنین او تأکید کرد که در پلیس فتا تیمهای واکنش سریع نیز تشکیل شده است.
مصوبهای برای حل بحران
امیر ناظمی، معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات نیز با بیان اینکه نفوذهای امنیتی ماههای اخیر برای تپ سی و کافه بازار برای آنها نیز درسآموزیهایی داشته اعلام کرد در حال حاضر یکی از معضلات اصلی این است که کسبوکارها در شرایط بحران نمیدانند که باید به چه کسی برای ارائه اطلاعات اطمینان کنند و از طرف دیگر باید از چه نهادی برای حل مشکل خود کمک بگیرند. او با اشاره به در نظر گرفتن مصوبه و دستورالعملی مشخص برای حل این معضل اعلام کرد: «باید مصوبهای آماده کنیم که یا به شورای عالی فضای مجازی یا شورای عالی امنیت ملی یا هر مرجع دیگری برود که براساس آن مشخص باشد در لحظات حساسی که شرکتی با حمله امنیتی خود مقابله میکند، کسی با این شرکت تماس نگیرد و این موضوع به بنگاهها نیز اعلام شود که تنها یک یا دو مرجع مشخص با آنها تماس خواهند گرفت و به سایر تماسها نیز پاسخ ندهند.» او بر این باور است که مشخص شدن یک پروتکل برای نحوه ارتباط بین شرکتها و دولت در شرایط حساس میتواند به مدیریت بحران به وجود آمده نیز کمک کند.
ناظمی همچنین در این جلسه تأکید کرد که نوع تدوین دستورالعمل برای ارتباط کسبوکارها در شرایط بحران با دولت باید برای شرکتهای کوچک با شرکتهای بزرگ متفاوت باشد. او در این زمینه گفت:«نمیتوان برای برقراری ارتباط نظاممند شرکتهای استارتاپی در شرایط بحران با دولت یک دستورالعمل یکسان در نظر گرفت؛ چرا که نوع ارتباط برای دریافت اطلاعات و اطلاعرسانی در زمینه یک اتفاق امنیتی بین شرکتهای بزرگ و کوچک با توجه به حجم اطلاعات و تعداد کاربرانشان فرق دارد.» آنطور که ناظمی در این جلسه اعلام کرد قرار است تا ۱۵ روز آینده نسخه اولیه پروتکل ارتباطی وزارت ارتباطات با کسبوکارها در شرایط بحرانهای امنیتی تدوین و مورد بررسی کارشناسان قرار بگیرد.