داده‌های مردم طبق چه استانداردی در سازمان‌ها نگهداری می‌شوند؟

نشت اطلاعات هزینه‌ای برای شرکت‌های ایرانی ندارد، شاید از همین روست که هر از چند گاهی خبر از نشت اطلاعات کاربران یکی از پلتفرم‌های ایرانی بدون اینکه دغدغه‌ای عمومی ایجاد کند منتشر می‌شود. از سویی تضمین‌های قانونی‌ای با ضمانت اجرایی نیز برای امنیت کاربران تعریف نشده است تا حداقل به واسطه آن، افرادی که داده‌های حساس و غیرحساس را در اختیار دارند، اجبار و الزام ارزش گذاشتن روی داده‌های مردم را درک کنند.

در مورد افشای گزارش‌های مردمی در پیام‌رسان بله دو نکته درخور توجه است. اول اینکه پیام‌رسان‌های بومی، عزیزکرده‌های دولت هستند که حداقل طی یک سال اخیر از هر نوع حمایت مادی و معنوی برخوردار بوده‌اند ولی همین اتفاق به ظاهر ساده نشان‌دهنده سطح شلختگی در حفظ اطلاعات است و نبود سازوکارهای قاطع برای حفظ محرمانگی داده‌ها.

نکته بعد اینکه ایران دومین اینترنت محدود دنیا را دارد و همین عامل نشان می‌دهد فضای مجازی ایران تا چه اندازه محدود است و نیاز به یادآوری نیست با فیلترینگ گسترده پیام‌رسان‌ها و شبکه‌های اجتماعی، استفاده از پلتفرم‌های داخلی یک انتخاب نیست و اگر کاربران قادر به استفاده از فیلترشکن نباشند یا علاقه‌مند به استفاده از آن نباشند گزینه دیگری جز استفاده از پیام‌رسان‌های ایرانی ندارند.

از سویی دسترسی به پیام‌رسان‌های داخلی فقط محدود به داخل مرزهای ایران است و طبیعی است همه انتظار داشته باشند که با توجه به محدودیت دسترسی، امنیت آن نیز افزایش یابد اما تجربه «بله» نشان داد معمولاً نفوذ و درز اطلاعات از داخل سیستم صورت می‌گیرد. مروری بر هک یا نفوذهایی که صورت گرفته نیز این را نشان می‌دهد. سوال اینجاست که چرا سازمان‌ها پروتکل‌های خاصی برای سطح دسترسی کارمندانشان به  داده‌ها و نحوه برخورد آنان با داده‌های در اختیارشان تعیین نکرده‌اند.

هک‌ها و افشای اطلاعات حساس نیز به یک کمدی شبیه شده‌اند. شاید به همین دلیل است که در آخرین نمونه هک‌ها، رئیس بنیاد شهید به جای شرمساری از عدم تامین امنیت زیرساخت‌های این نهاد، به هکرها طعنه می‌زند و از کج‌سلیقگی آنها می‌گوید.

گذری به سامانه شکار که آن هم غیررسمی و بنا بر ادعا به‌صورت داوطلبانه راه‌اندازی شده است نشان می‌دهد اطلاعات حساس کاربران ایرانی از کدملی و نشانی محل سکونت تا شماره تماس و اطلاعات هویتی، اکنون نقل اینترنت شده است.

آنچه نگران‌کننده است نبود ساز‌وکارهایی است که می‌توانند مانع از نشت و افشای اطلاعات شوند. اموری که ذاتاً از جنس پدافند غیرعامل هستند و آسیب‌پذیری‌ها را کاهش می‌دهند. در شرایط فعلی مشخص نیست تا چه سطح از افراد شرکت‌ها و سازمان‌های مختلف به داده‌ها دسترسی دارند و این داده‌ها با چه استانداردهایی نگهداری می‌شوند.

دیگران چه می‌کنند؟

در اغلب نقاط دنیا نشت داده‌ها یا افشای غیرمجاز اطلاعات تاثیر بسزایی بر سازمان‌ها از جمله زیان‌های مالی، آسیب‌های اعتباری و مسئولیت‌های قانونی دارد. برای جلوگیری از نشت اطلاعات اقدامات متعددی مانند شناسایی و طبقه‌بندی اطلاعات، کنترل دسترسی، رمزگذاری، آموزش کارکنان و قراردادهای عدم افشا قابل انجام است. در این زمینه استانداردهای زیادی نیز وجود دارد مانند ISO/IEC 27001 یا NIST SP 800-53 که می‌توانند یک ساختار قابل اطمینان برای محافظت از داده‌ها ایجاد کنند.

در اغلب شبکه‌های اجتماعی، کارمندان (تعیین صلاحیت‌شده) فقط به اطلاعاتی که برای تکمیل بررسی لازم است دسترسی دارند. تمام اطلاعات مرتبط با کاربران اعم از حساس و غیرحساس مانند اطلاعات شخصی یا الگوهای رفتار محرمانه تلقی می‌شوند و در نهایت هر داده‌ای که دیگر مورد نیاز نیست حذف می‌شود.

اما آیا داده‌های مردم با چنین استانداردهایی نگهداری می‌شود؟