دستورالعمل دفاع سایبری به دستگاههای اجرایی ابلاغ شد
رئیس سازمان پدافند غیرعامل کشور از تدوین و ابلاغ دستورالعمل دفاع لایه به لایه سایبری…
۶ آبان ۱۴۰۳
۶ آذر ۱۴۰۲
زمان مطالعه : ۱۰ دقیقه
تاریخ بهروزرسانی: ۹ دی ۱۴۰۲
خلاء قانونی در بحث حفاظت از اطلاعات کاربران از جمله مشکلات امنیت سایبری در کشور است. همواره خبرهایی از حملات سایبری به بانکها، سازمانها، شبکههای اجتماعی بومی و سرقت اطلاعات کاربران منتشر میشود. در اکثر موارد نیز شرکتها حملات سایبری را تکذیب میکنند اما در نهایت اطلاعات کاربران در شبکههای اجتماعی و دارکوب منتشر میشود.
به گزارش پیوست، با وجود اینکه بارها قدمهایی برای نهایی شدن لایحههای حفاظت از دادههای شخصی برداشته شده اما هنوز این لایحه در دستور کار دولت باقی مانده و برای بررسی و تصویب نهایی به مجلس ارائه نشده است. یک بار این لایحه در دوره محمدجواد آذری جهرمی رونمایی شد و چندی پیش نیز وزیر ارتباطات و فناوری اطلاعات، عیسی زارعپور، اعلام کرد بهزودی لایحه نهایی و برای تصویب نهایی به مجلس ارسال میشود. کارشناسان معتقدند شباهتهایی میان این لایحه و قانون GDPR یا همان مقررات عمومی حفاظت از داده اتحادیه اروپا وجود دارد. البته در قانون مدیریت دادهها و اطلاعات ملی بر لزوم حفاظت از دادههای شخصی توسط نهادهایی که مشمول این قانون میشوند تاکید شده است اما مجازات تعیینشده برای متخلفان بازدارندگی چندانی ندارد.
موضوع قانونگذاری برای مراقبت از دادههای کاربران در فضای مجازی به حدود ۲۰ سال پیش بازمیگردد. در خرداد ۱۳۸۳، لایحه حریم خصوصی تصویب شد که بخش اندکی از این لایحه به حفظ حریم خصوصی در ارتباطات الکترونیکی اختصاص دارد. این لایحه بیشتر متوجه نهادهای امنیتی و نظارتی بود و محدودیتهایی در رهگیری اطلاعات برای آنها تعریف میکرد. البته یکی از اولین لوایحی که مجلس در روزهای نخست دولت احمدینژاد رد کرد همین مورد بود.
پس از آن در زمستان ۹۶ بود که آذری جهرمی در یک مراسم رسمی از لایحه «صیانت و حفاظت از دادههای شخصی» رونمایی کرد. رفتوآمدهای جهرمی برای حفاظت از دادههای کاربران ادامه داشت اما این پیگیریها به عمر دولت روحانی قد نداد. البته نمایندگان مجلس طرح حمایت و حفاظت از داده و اطلاعات شخصی را ارائه کردند که در مهر ۱۳۹۹ اعلام وصول شد.
نمایندگان مجلس در مهر ۱۴۰۰ نیز طرحی با عنوان حفاظت از دادهها ارائه کردند. بر اساس این طرح تبادل دادهها و اطلاعات بین دستگاههای اجرایی و کسبوکارها با رعایت اصول حفاظتی و امنیتی بر عهده مرکز ملی تبادل اطلاعات است. هرگونه تبادل دادهها و اطلاعات خارج از این مرکز خلاف مصوبات شورای عالی فضای مجازی و کمیسیون دادهها و اطلاعات ملی است و مجازاتهایی در پی دارد.
پس از آن نیز طرح قانون یکپارچهسازی داده و اطلاعات ملی در مجلس اعلام وصول شده بود که تلاش میکرد در زمینه حکمرانی نظام داده موثر باشد. همچنین دبیر شورای اجرایی فناوری اطلاعات نیز در اردیبهشت همان سال ۱۴۰۰ اعلام کرده بود لایحه مقررات عمومی حفاظت از داده بهزودی در دولت تصویب شده و به مجلس میرود. این پیشنهادها در زمینه تعیین قوانین بسیار ریشهدارتر است و حتی مرکز پژوهشها نیز در سال ۹۷ در پژوهشی به موضوع حفاظت از دادههای کاربران و حتی نمونههای جهانی آن پرداخته بود.
آبان سال گذشته بود که قانون مدیریت دادهها و اطلاعات ملی یا اصطلاحاً قانون دوام مصوب شد. در ماده پنج این قانون به دستگاهها و نهادهایی که داده تولید میکنند، تکلیف شده مصوبات مربوط به رعایت امنیت دادهها را اجرا کنند.
در این قانون آمده است: «دستگاهها و نهادهای مشمول این قانون که بر اساس شرح وظایف مقرر در قوانین مربوط و نیز تکالیف ناشی از این قانون موظف به تولید، نگهداری، پردازش دادهها و اطلاعات هستند، مکلفاند در امر تولید، نگهداری، پردازش، حفظ امنیت و صیانت از دادههای شخصی و تبادل و اشتراکگذاری و تکمیل و بهروزرسانی دادهها و اطلاعات ملی، سیاستها و نظامات مصوب شورایعالی فضای مجازی و مصوبات کارگروه تعامل پذیری دولت الکترونیکی را اعمال و اجرا کنند.»
همچنین طبق ماده ۶ این قانون، «تدابیر حفاظتی و امنیتی جهت صیانت از دادهها و اطلاعات و حفظ محرمانگی دادهها و اطلاعات اشخاص بر عهده دستگاهها و نهادهای مشمول این قانون و ارائهدهندگان خدمات ذیل تنظیمگران بخشی است که مسئول تولید، نگهداری یا پردازشکننده دادهها و اطلاعات هستند».
بنا بر ماده ۹ قانون دوام، متخلف یا اخلالکننده در پردازش و تبادل یا مستنکف از اجرای این قانون مشمول مجازات انفصال از خدمت به مدت ۶ ماه تا پنج سال یا حبس تعزیری به مدت ۹۰ و یک روز تا ۶ ماه میشود.
۱۷ آبان امسال بود که وزیر ارتباطات و فناوری اطلاعات در دیدار با سکینهسادات پاد، دستیار رئیسجمهور، در پیگیری حقوق و آزادیهای اجتماعی از تنظیم لایحه حفاظت از داده و حریم خصوصی توسط وزارت ارتباطات خبر داد که به گفته او بهزودی در جلسات هیات دولت برای تصویب و ارائه به مجلس طرح خواهد شد.
زارعپور درباره حفاظت از داده و حریم خصوصی گفت: بر اثر تحریمهای یکجانبه و ظالمانه مدعیان حقوق بشر، هزاران سایت و سرویس کاربردی برای کاربران ایرانی فیلتر شده که نیاز عموم مردم، برنامهنویسان، متخصصان و دانشگاهیان است، اما عدهای نادانسته یا عامدانه این فیلترینگ گسترده را به داخل کشور مرتبط کردهاند و حتی آن را با عنوان «اختلال در شبکه» فاکتور میکنند.
همچنین دیماه سال گذشته نیز وزارت ارتباطات و فناوری اطلاعات اعلام کرد در بیستوششمین جلسه کمیسیون راهبری کارگروه ویژه اقتصاد دیجیتال دولت پیشنویس لایحه قانون حمایت و حفاظت از دادههای شخصی برای ارائه به کارگروه ویژه اقتصاد دیجیتالی نهایی شده است.
علیرضا قهرود، کارشناس امنیت سایبری، درباره خلاء قانونی در نگهداری از دادهها به «پیوست» گفت: در زمان وزارت آذری جهرمی، لایحه قانونی در رابطه با حفاظت از دادههای کاربران را تدوین شد اما این لایحه به سرانجام نرسید. موضوع این قانون در مورد حفاظت از اطلاعات کاربران و دادههای شخصی و حریم خصوصی کاربران فضای مجازی بود.
قهرود درباره حفاظت از کاربران و صیانت از اطلاعات شخصی گفت: قانونی در این باره وجود ندارد اما پلیس فتا مقرراتی برای پیشگیری از فاش شدن اطلاعات شخصی کاربران تعیین کرده است. مثلاً نباید چت خصوصی کاربران در فضای مجازی منتشر شود.
به اعتقاد قهرود، حاکمیت درکی از اهمیت دادههای کاربران ندارد و این مساله دغدغه نمایندگان مجلس نیست. او افزود: سه ماه قبل یکی از بانکها هک شد. اگر به سایت Leakfa مراجعه کنید، دیتابیس نشتیهای اطلاعات کاربران در آن موجود است.
هنوز مشخص نیست مرجع متولی حفاظت از اطلاعات کاربران، کدام سازمان است. معمولاً شرکتها و شبکههای اجتماعی بومی بر اساس مسئولیت اجتماعی، خود را موظف به حفاظت از اطلاعات کاربران میدانند.
آرش حقشناس، مشاور حقوقی فینووا، درباره نهاد متولی حفاظت از دادههای کاربران در فضای مجازی به «پیوست» گفت: نمیدانم کدام نهاد متولی حفاظت از دادههای کاربران است. چندین و چند نهاد در کشور خود را متولی فضای مجازی میدانند اما در زمینه حفاظت از اطلاعات و دادههای کاربران هیچیک مسئولیتی بر عهده نمیگیرند.
او ادامه داد: قاعدتاً باید حفاظت دادهها بر عهده سازمان تنظیم مقررات و ارتباطات رادیویی وزارت ارتباطات باشد. اما هنوز متولی این بخش مشخص نیست. حتی مشخص نیست نهاد متولی در این زمینه وجود دارد یا باید ایجاد شود. منطق ایجاب میکند که وزارت ارتباطات و فناوری اطلاعات مسئولیت حفاظت از دادههای کاربران را بر عهده بگیرد. اما همه چیز طبق منطق پیش نمیرود.
حقشناس توضیح داد: از سویی دیگر بستگی دارد چه نوع دادههایی مد نظر باشد؛ دادهها از نظر محرمانگی به چهار بخش کلی تقسیم میشوند: دادههای سری، بهکلی سری، محرمانه و بهکلی محرمانه.
او درباره مقرراتی که برای حفاظت دادهها وضع شده گفت: درباره اینکه مقرراتی در این زمینه وجود دارد یا خیر تردید دارم. اما به نظر میرسد هیچ مقرراتی درباره حفاظت از دادههای کاربران وضع نشده است. چراکه تاکنون هیچ نهاد و مسئولی به ضرورت این مساله فکر نکرده است.
این کارشناس حقوقی تاکید کرد: BigData یا همان کلاندادههای مردم بسیار مهم است، هم استفاده تجاری و هم سوءاستفاده از آنها راحت است و باید قوانین مشخصی در این باره وضع شود. نهادهایی که با مشتریان در ارتباطند مانند بانکها، نرمافزارها بهویژه پیامرسانها معمولاً در قالب آییننامه قوانینی برای کارمندان وضع میکنند که حق سوءاستفاده و انتشار دادههای کاربران را ندارند. اما فراتر از این قانونی در کشور نداریم.
او افزود: کلاهبرداران و هکرها در همه جای دنیا یافت میشوند. حتی در کشورهای پیشرو در عرصه تکنولوژی نیز شاهد هک شدن بزرگترین و پیشرفتهترین نرمافزارها هستیم. خطر سوءاستفاده و کلاهبرداری از دادههای کاربران در همه جا وجود دارد. از سویی دیگر خلاء قانونی نیز در بسیاری از کشورهای دنیا وجود دارد. اما شرایط کشورهای توسعهیافته در این زمینه از ما بسیار بهتر است.
حقشناس گفت: به طور کلی در همه جای دنیا قوانینی کلی برای حفاظت از اطلاعات کاربران وجود دارد، مردم برای حفاظت از اطلاعات خود میتوانند قرارداد محرمانگی منعقد کنند یا شرط محرمانگی را در قراردادهایشان قید کنند و به طرف قرارداد اعلام کنند حق ندارید دادههای شخصی را منتشر کنید. افراد، شرکتها و اشخاص همسطح میتوانند قرارداد محرمانگی را فیمابین منعقد کنند. وجه التزام نیز جریمههای نقدی قرار دهند.
او تاکید کرد: با اینهمه کاربران در ایران در صورت فاش شدن اطلاعاتشان کار چندانی نمیتوانند انجام دهند. راه سادهتر آن است که نهادی متولی حفاظت از دادهها شود و دستورالعمل و قوانین تعیین کند، قوانین را به مجلس برده و تصویب کند. بهترین راه این است که دولت از طریق وزارت ارتباطات و فناوری اطلاعات، لایحه حفاظت از دادههای اشخاص را تدوین کند و در مجلس به تصویب برساند.
حقشناس گفت: یا اینکه نمایندگان مجلس خود قانونی در این زمینه تدوین کرده و مصوب کنند. با وجود خلاقانونی کاربران هیچ راهی برای پیگیری یا شکایت برای سواستفاده از دادههایشان ندارند. شرکتهای ارائه دهنده خدمات اینترنتی و پیامرسانها نیز در قالب مسئولیت اجتماعی مقرراتی برای حفاظت از دادههای کاربران وضع کرده و خود را ملزم به حفظ حریم شخصی آنان میدانند.
او افزود: راهکار دیگر این است که رسانه به دولت فشار وارد کند که قوانینی برای حفاظت از دادههای اشخاص وضع کند. از سویی دیگر به کاربران نیز اطلاعرسانی کند که دادههای شخصیشان ارزشمند است و ممکن است از آنها سوءاستفاده شود.
اگرچه حملات سایبری و فیشینگ همواره از سوی پلیس فتا پیگیری شده و متخلفان نیز مجازات میشوند، اما اگر پیامرسانها و شبکههای اجتماعی داخلی هدف حمله سایبری قرار گیرند و اطلاعات کاربران سرقت شود، قانونی برای شکایت از این شبکههای اجتماعی وجود ندارد.
حجت کهندل، کارشناس امنیت سایبری، به «پیوست» گفت: سرقت و سوءاستفاده از اطلاعات کاربران در فضای مجازی یا از طریق هک شبکههای اجتماعی صورت میگیرد یا با حمله سایبری به موبایل شخصی فرد. اگر اطلاعات از طریق شبکههای اجتماعی نشر شود، میتواند از شرکت مربوطه شکایت کند.
او افزود: با این همه کاربران نیز موظفاند برای حفاظت از اطلاعاتشان اقدامات امنیتی را انجام و امنیت حساب کاربری خود را افزایش دهند. باید پسوردی مناسب انتخاب کنند، از ویپیان تا جای ممکن کمتر استفاده کنند و در صورت استفاده از آن به خطرات ویپیانها آگاه باشند. در سایتها و پیامکهایی که برای کاربران ارسال میشود روی هر لینکی کلیک نکنند تا هدف حمله فیشینگ قرار نگیرند.
کهندل گفت: اگر از طریق حمله سایبری به گوشی همراه فرد اطلاعات سرقت شود، ماجرا کاملاً متفاوت است. مثلاً من با فردی در شبکههای اجتماعی چت کردهام و موبایل من هدف حمله سایبری قرار میگیرد، در این صورت اطلاعات فرد مورد نظر نیز سرقت میشود و هکرها از جزئیات گفتوگوی ما باخبر میشوند. اما در این مورد دیگر شبکههای اجتماعی و پیامرسانها مقصر نیستند. اما از هکر مربوطه میتوان به پلیس فتا شکایت کرد و پلیس فتا نیز فرد خاطی را دستگیر میکند. در حملات فیشینگ نیز پلیس فتا همواره پیگیری و کلاهبرداران را دستگیر میکند.
او توضیح داد: اگر حمله سایبری مثلاً به سرور یک پیامرسان داخلی صورت بگیرد و اطلاعات کاربران سرقت شود، مدیران این پیامرسان مسئولاند و کاربران میتوانند از آنها شکایت کنند. اما قانون مدونی در این باره وجود ندارد به همین دلیل کاربران نمیتوانند اقدام چندانی برای پیگیری اطلاعات سرقتشده انجام دهند. در صورت شکایت نیز شرکت محکوم نمیشود، چون قانونی وجود ندارد که به آن استناد شود.
دادههای کاربران هم ارزشمند است و هم اهمیت بسیاری دارد اما کارشناسان حقوقی و امنیت سایبری معتقدند مسئولان و نمایندگان مجلس اهمیت این موضوع را درک نکردهاند.