معاون وزیر ارتباطات و فناوری اطلاعات و رییس سازمان فناوری اطلاعات ایران از تنظیم شکایتی درباره موضوع نشت اطلاعات مشترکان رایتل، خطاب به دادستانی کشور خبر داد.
به گزارش بادیجی، سریال لو رفتن اطلاعات کاربران ایرانی در فضای سایبری در ماههای اخیر اپیزودهای مختلفی داشته است؛ از لو رفتن دادههای کاربرانی که در استارتاپها ثبت نام کرده بودند تا انتشار اطلاعات چند میلیون ایرانی به دلیل همکاری ناقص وزارت بهداشت و ثبت احوال و نهایتاً هم انتشار اطلاعات کاربران رایتل که هنوز تعداد دقیق آن مشخص نیست. اما آیا حفاظت نامناسب از دادههای کاربران ایرانی، برای این مجموعههای خصوصی و دولتی عواقبی هم به همراه دارد؟ «امیر ناظمی» رییس سازمان فناوری و معاون وزیر ارتباطات در پاسخ به این سوال توضیحات کاملی را ارائه داد.
این را هم بخوان: رایتل دیگر ضرر نمیدهد؟!
این را هم بخوان: جلوی فروش سیم کارت های رایتل گرفته شد
رییس سازمان فناوری اطلاعات در حاشیه نشست آیین صدور گواهی مشترک در حوزه ارزیابی امنیتی اعلام کرد که نشت اطلاعات نهادهای خصوصی و دولتی در کشور برای آنها عواقب خواهد داشت اما قانون در این مورد ضعفهایی دارد که آنها در تلاش هستند تا بتوانند با تصویب لایحه صیانت از دادهها، این مشکل را حل نمایند. به گفته این مقام مسئول، لایحه مذکور در حال حاضر در مرحله بازبینی توسط هیات وزیران قرار دارد و پس از آن برای ارائه به قوه قضاییه به مجلس فرستاده خواهد شد.
«امیر ناظمی» ضمن اشاره به آیین نامه ۱۰ بندی که چندی پیش توسط مرکز ماهر درباره شرایط فعلی منتشر شد در پاسخ به پرسشی مبنی بر اینکه چرا نشت اطلاعات در کشور عواقب خاصی به همراه ندارد میگوید: «همین آیین نامه نشان میدهد که نشت اطلاعات در کشور عواقب دارد اما متاسفانه همین موارد اندکی هم که در چارچوب وجود دارد، انجام نمیشود. عواقب قضایی برای این موارد باید توسط نهادهای قضایی تعیین بشود و مواردی مانند مجازات و کیفر در حیطه اختیارات ما نیست. ما به نوبه خودمان در مورد نشتهای اطلاعاتی مختلف، به دادستانی شکایت کردهایم و از آنها خواستیم که پیگیر موضوع باشند.»
به گفته ناظمی، پروانههای تخصصی برخی سازمانها و مجموعهها، شامل الزام رعایت این موارد میشود که در اپراتور رایتل چنین بند مشخصی وجود دارد: «با استناد به همین بند نیز با کمک رگولاتوری موضوع را پیگیری میکنیم و شکایت خود را به دادستانی ارائه میدهیم.» ناظمی همچنین به لایحه صیانت از دادهها اشاره میکند که به گفته او حکم GDPR را در کشور دارد و از سمت سازمان فناوری اطلاعات تنظیم شده است:
«متاسفانه اما این لایحه نمیتواند به سرعت تصویب بشود چرا که اساسا لوایحی که موضوع قضایی در آنها وجود داشته باشد و یک جرم نگاری در آنها تعریف شده باشد، نمیتواند توسط دولت ارائه شود و باید توسط مجلس و یا قوه قضاییه مطرح شود. به همین خاطر در این مورد خاص که دولت پیش قدم شده، مراحل طولانی شده است.»
ناظمی مراحل طولانی تصویب این لایحه را تشریح و در پایان تاکید میکند که امیدوار است این موضوع به زودی به مرحله نهایی خود برسد: «دولت این لایحه را آماده کرده و به کمیسیون ارائه داده و در نهایت جلسات متعددی با قوه قضاییه و مجلس داشته تا تغییرات لازم در آن اعمال شود. پس از این موارد، لایحه به دولت بازگشته و کمیسیونهای تخصصی و فرعی و اصلی آن را بازبینی میکنند و در نهایت لایحه مذکور به هیات وزیران میرود تا با تایید آنها به مجلس برود. لایحه در حال حاضر در همین مرحله قرار دارد و امیدواریم پس از ارائه به مجلس، کارهای تصویب آن زودتر انجام شود.»
رییس سازمان فناوری اطلاعات باور دارد بودن این قوانین کمک شایانی به جلوگیری از لو رفتن اطلاعات شهروندان در کشور کند اما از سوی دیگر تاکید میکند که در حال حاضر هم اینطور نیست که قانون هیچ عواقبی برای سازمانهایی که دیتای کاربران خود را سهوا از دست میدهند در نظر نگرفته باشد: «همانطور که گفتم در مورد موضوع خاصی همچون رایتل، ما شکایت خود را به دادستانی تنظیم کردهایم.»
ناظمی تاکید دارد طبق قوانین فعلی کشور، نهادهای خصوصی و دولتی الزام خاصی برای گرفتن گواهی امنیت از سوی سازمان فناوری اطلاعات ندارند، موضوعی که به گفته او باید در آن بازبینی صورت بگیرد:
«در حال حاضر اگر اپلیکیشن یا نهادی که تعداد کاربرانش از یک تعداد مشخصی بیشتر شود، باید گواهی امنیتی بگیرد. امیدوارم این بررسی شروع بشود و ما درخواست این مورد را به شورایعالی فضای مجازی دادهایم چرا که سازمان فناوری اطلاعات یا نهادی مثل افتا نمیتواند این موضوع را برای همه شرکتهای خصوصی و دولتی، قانونی و الزامی کند.»
«ابوالقاسم صادقی» معاون امنیت سازمان فناوری اطلاعات نیز در پاسخ به سوالی به ماده ۷۵۳ قانون مجازات اسلامی اشاره میکند که در حیطه جرایم رایانهای قرار دارد. بر اساس این ماده، هر شخصی که مرتکب اعمال زیر شود، به حبس از نود و یک روز تا یک سال یا جزای نقدی از پنج میلیون(۵.۰۰۰.۰۰۰)ریال تا بیست میلیون (۲۰.۰۰۰.۰۰۰)ریال یا هر دو مجازات محکوم خواهد شد:
الف) تولید یا انتشار یا توزیع و در دسترس قرار دادن یا معامله دادهها یا نرمافزارها یا هر نوع ابزار الکترونیکی که صرفاً به منظور ارتکاب جرائم رایانهای به کار میرود.
ب) فروش یا انتشار یا در دسترس قرار دادن گذرواژه یا هر دادهای که امکان دسترسی غیرمجاز به دادهها یا سامانههای رایانهای یا مخابراتی متعلق به دیگری را بدون رضایت او فراهم میکند.
ج) انتشار یا در دسترس قرار دادن محتویات آموزش دسترسی غیرمجاز، شنود غیرمجاز، جاسوسی رایانه ای و تخریب و اخلال در داده ها یا سیستم های رایانه ای و مخابراتی.
صادقی با استناد به همین ماده میگوید که این موارد مستند شده و به دادستانی ارائه شده تا پیگیری از سوی آنها انجام بشود. او میگوید که رسانهای شدن این موارد نشت اطلاعاتی نیز میتواند به اعمال قانون و داشتن عواقب برای این مشکل سازمانها کمک کند:
«درباره رایتل، رسانهها به موضوع به خوبی پرداختهاند و این موضوع بهتر است که در همه موارد انجام شود. رسانهای شدن نشتهای اطلاعاتی میتواند فشار بیشتری به سازمانها بیاورد. ما باید یک اراده کافی شکل دهیم که اگر کسی واقعا دادهای را به صورت سهلانگارانه در دسترس عموم قرار داد، مواخذه شود.»
به گفته صادقی، متاسفانه در کشور به آمار و ارقامی که درباره نشتهای اطلاعاتی داده میشود توجه نمیشود: «ما به ارقام بزرگی که درباره این موضوعها گفته میشود عادت کردهایم. چند ده میلیون اطلاعات کاربران لو میرود و انگار اتفاقی نیفتاده است؛ نباید به این اعداد بزرگ عادت کنیم و حسمان را نسبت به آنها از دست بدهیم. رسانهها در این مورد بخصوص میتوانند بسیار کمک کنند.»
گفتنیست در ماههای اخیر لو رفتن دادههای کاربران از پلتفرمها، سازمانها و دستگاههای مختلف به یکی از اتفاقات مرسوم و نسبتا عادی تبدیل شده است. عصر دیروز سازمان فناوری اطلاعات با همکاری افتای ریاست جمهوری و همچنین سازمان پدافند غیرعامل، از یک گواهینامه مشترک در حوزه امنیت که به تایید سه دستگاه میرسد رونمایی کردند تا آن را به کسبوکارهای خصوصی ارائه کنند. این روند شاید بتواند در پیشگیری افشای اطلاعات کاربران و سادهسازی فرآیند دریافت گواهینامههای حوزه امنیت به شرکتهای حوزه فناوری کمک کرده و یکپارچگی نهادی را در این حوزه به وجود آورد.
انتهای پیام/
نظرات کاربران