سازمان فناوری اطلاعات خبر داد:‌ مصوبه‌ای برای ایجاد کانال‌های ارتباطی مشخص در شرایط بحران

نشت بخشی از اطلاعات تپ‌سی در آخرین روزهای فروردین ماه سال جاری بهانه‌ای شد تا امروز (۱۴ اردیبهشت) در جلسه هم‌اندیشی به پیشنهاد همین شرکت، گروهی از مدیران کسب‌وکارهای نوپا در سازمان فناوری اطلاعات گرد هم جمع شوند تا به بحث و تبادل نظر در مورد اهمیت امنیت اطلاعات در بخش از فضای دیجیتال  بپردازند.
به گزارش پیوست، در ابتدای این مراسم میلاد منشی‌پور، مدیرعامل شرکت تپ‌سی با اشاره به اتفاق که برای این شرکت افتاده خبر از سرمایه‌گذاری جدی‌تر این کسب‌وکار روی بحث امنیت اطلاعات خود را داد. از سمت دیگر در این جلسه بسیاری از مدیران کسب‌وکارهای نوپا با مخاطب قرار دادن ریاست سازمان فناوری اطلاعات از او خواستند تا با یک استراتژی مشخص مرکز تماس و اطلاع‌رسانی از سمت وزارت ارتباطات با این شرکت‌ها را مشخص کند. همچنین آنها خواستند به شکل شفاف مشخص شود که در شرایطی که یک کسب‌وکار با بحران امینتی روبه‌رو است باید به چه نهادی پاسخگو باشند. در همین راستا نیز امیر ناظمی، معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات هم اعلام کرد که آنها در تلاش برای تدوین مصوبه‌ای هستند تا براساس آن مشخص شود که در شرایط بحران چه نهادی و با چه شرایطی حق تماس با شرکت‌ها و گرفتن اطلاعات یک رخداد امنیتی از آنها را دارد.

سرمایه‌گذاری بیشتر اطلاع‌رسانی سریعتر

میلاد منشی‌پور، مدیرعامل تپ‌سی در این نشست ضمن ارائه جزییات دقیق از اتفاق امنیتی رخ داده شد برای این شرکت تاکید کرد که در  این  نشت اطلاعاتی، هیچ داده‌ای مربوط به مسافران این شرکت مورد نفوذ قرار نگرفته است. او در این مورد گفت: «اطلاعاتی که تنها مورد نفوذ یک هکر کلاه ‌سفید اوکراینی قرار گرفته، مربوط به فاکتور رانندگان در سال ۹۵ و ۹۶ بوده که برای امور مالیاتی تهیه شده بود. این اطلاعات روی یکی از سرورهای جانبی تپ‌سی قرار گرفته بود که در نهایت نیز به دلیل غیرفعال شدن فایروال این سرور برای ۱۵ روز، امکان نفوذ به این اطلاعات به وجود آمده است.» براساس اظهارات منشی‌پور در این نفوذ، اطلاعات ۱۸۰ هزار راننده غیرفعال و ۶۰ هزار راننده فعال تپ‌سی که شامل شمار تلفن‌، نام‌ونام‌خانوادگی و کد ملی آنها بوده نشت پیدا کرده است.

مدیرعامل تپ‌سی در ادامه با اشاره به درس‌آموزی که این شرکت از این نشت اطلاعات به دست آورده از سرمایه‌گذاری‌های بیشتر در بخش زیرساخت امنیت در تپ‌سی خبر داد و اینکه قرار است در این شرکت سند مدیریت بحران نیز تهیه شود. او در این مورد توضیح داد:‌ «پیش از این اتفاق به بحث امنیت توجه ویژه داشتیم؛ اما این اتفاق باعث شد تا بیشتر از پیش به بحث سرمایه‌گذاری در حوزه امنیت توجه کنیم. قرار است روی بخش فایر‌وال شبکه و وب سرمایه‌گذاری مشخصی انجام دهیم و از طرفی نیز دسترسی مدیریتی به اطلاعات را به صورت اتوماتیک و نظام‌مند کنترل کنیم. همچنین قرار است روی امنیت محصول و برنامه‌نویسی خود نیز سرمایه‌گذاری ویژه انجام دهیم .» او همچنین در ادامه به اطلاع رسانی به موقع و درست در شرایط بحران اشاره کرد و افزود:‌ «یکی دیگر از درس‌آموزی‌های ما در مورد این اتفاق مربوط به روابط‌عمومی و نحوه ارتباط ما با مردم، رگولاتور و کاربرانمان است. ما مسئول هستیم که واکنش سریع به چنین اتفاقاتی داشته باشیم؛ اما باید قبل از اطلاع‌رسانی سریع نیز مشکل را به صورت کامل شناسایی و بعد در مورد آن با مردم و رسانه‌ها صحبت کنیم.»

نبود کانال ارتباطی مشخص برای اطلاع‌رسانی

در ادامه این جلسه هم‌اندیشی، دیگر شرکت‌های فعال در حوزه استارت‌آپی کشور نیز با اعلام تجربیات و سیاست‌گذاری‌های ویژه خود برای حفظ امنیت اطلاعات کسب‌وکارشان تاکید کردند که در این زمینه دولت نیز باید با آنها همکاری و تعامل مناسبی داشته باشد. اکثر این مدیران در تاکید کردند که در بسیاری از مواقع و در صورت رخ دادن اتفاق‌های امنیتی آنها نمی‌دانند باید به چه نهادی پاسخگو باشند و از سمت دیگر اطلاع رسانی از سمت دولت در این زمینه هم چندان منطقی نیست. برای نمونه ژوبین علاقبند، مدیرعامل اسنپ در این جلسه از مدیران وزارت ارتباطات خواست تا به نحوه اطلاع‌رسانی در چنین رخدادهایی دقت کنند. او در این مورد گفت:‌ «زمانی که نشت اطلاعات تپ‌سی رخ داد برخی اعلام کردند که این رخداد یک فاجعه است و باید قوه‌قضاییه به این موضوع رسیدگی کند و وارد این ماجرا شود. در صورتی که در چنین رخدادهایی جز کسب‌‌وکارها نهاد دیگری نمی‌تواند مشکل را حل کند.»
در همین زمینه علیرضا صادقیان، موسس نت‌برگ هم به مشخص نبودن پروتکل ارتباطی خاص بین شرکتها و نهاد تصمیم‌گیر درصورت رخ دادن یک واقعه امنیتی اشاره و اعلام کرد:‌ «هنوز مشخص نیست که  اگر حمله یا نفوذ‌ی به اطلاعات شرکت‌ها رخ داد کانال ارتباطی ما برای پیگیری از دولت کجاست و از طرفی مشخص نیست ما در این شرایط باید به چه کسی جواب بدهیم.»

نازنین دانشور، یکی از موسسان سایت تخفیفان هم با اشاره به این معضل از نبود راه ارتباطی مشخص در وزارت ارتباطات انتقاد و گفت:‌ «باید راه ارتباطی کسب‌وکارها با نهادهای بالا دستی برای توضیح در زمینه یک رخ داد امنیتی مشخص باشد. از طرف دیگر ما باید بدانیم از چه کسی می‌توانیم کمک بگیریم و نباید شرایط به گونه‌ای رقم بخورد که تنها راه ارتباطی ما در وزارت ارتباطات یک نفر مانند رییس سازمان فناوری نباشد.»

مصوبه‌ای برای ایجاد کانال‌های ارتباطی در شرایط بحران

سازمان فناوری اطلاعات هم در این جلسه درس‌آموزی‌های خود از نشت اطلاعات اخیری که برای برخی شرکت‌های استارت‌آپی اتفاق افتاده است را اعلام کرد. در این زمینه امیر ناظمی، معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات، تاکید کرد که اتفاقات اخیر برای تپ‌سی و کافه‌بازار مشخص کرد که کسب‌وکارها در شرایط بحران نمی‌دانند که باید به چه کسی برای ارائه اطلاعات اطمینان کنند و از طرف دیگر باید از چه نهادی برای حل مشکل خود کمک بگیرند.

امیر ناظمی در این زمینه گفت:‌ «نقطه ارتباط مستقیم کسب‌وکارها در بروز اتفاقات امینتی در کشور مشخص نیست. هنوز آنها نمی‌دانند که می‌توانند به چه تماسی پاسخ بدهند و چه اطلاعاتی را نیز در اختیار درخواست‌کنندگان بگذارند؛ که این شرایط خود نیز می‌تواند عامل به وجود آمدن یک بحران امنیتی دیگر باشد.»
او با اشاره به در نظر گرفتن مصوبه‌ و دستورالعملی مشخص برای حل این معضل اعلام کرد‌: «باید مصوبه‌ای آماده‌کنیم که یا به شورای عالی فضای مجازی یا شورای عالی امنیت یا هر مرجع دیگری برود که براساس آن مشخص باشد در لحظات حساسی که شرکتی با حمله امنیتی خود مقابله می‌کند، کسی با این شرکت تماس نگیرد و این موضوع به بنگاه‌ها نیز اعلام شود که تنها یک یا دو مرجع مشخص با آنها تماس خواهند گرفت و به سایر تماس‌ها نیز پاسخ ندهند.» او بر این باور است که مشخص شدن یک پروتکل برای نحوه ارتباط بین شرکت‌ها و دولت در شرایط حساس می‌تواند به مدیریت بحران به وجود آمده نیز کمک کند.

ناظمی همچنین در این جلسه تاکید کرد که نوع تدوین دستورالعمل برای ارتباط کسب‌وکارها در شرایط بحران با دولت باید برای شرکت‌های کوچک با شرکت‌های بزرگ متفاوت باشد. او در این زمینه گفت :‌ « نمی‌توان برای برقراری ارتباط نظام‌مند شرکت‌های استارت‌آپی در شرایط بحران با دولت یک دستورالعمل یکسان در نظر گرفت؛ چرا که نوع ارتباط برای دریافت اطلاعات و اطلاع رسانی در زمینه یک اتفاق امینتی بین شرکت‌های بزرگ و کوچک با توجه به حجم اطلاعات و تعداد کاربرانشان فرق دارد.» آنطور که ناظمی در این جلسه اعلام کرد قرار است تا ۱۵ روز آینده نسخه اولیه پروتکل ارتباطی دولت (وزارت ارتباطات) با کسب‌وکارها در شرایط بحران‌های امنیتی تدوین و مورد بررسی کارشناسان قرار بگیرد.