کد خبر: 436687
۰ نفر

چرا سازمان ها پاسخگوی افشای اطلاعات کاربران خود نیستند؟

۱۵ اردیبهشت ۱۳۹۹، ۱۷:۵۶
کد خبر: 436687
چرا سازمان ها پاسخگوی افشای اطلاعات کاربران خود نیستند؟

«در پی افشای اطلاعات کاربران برخی سازمان‌ها و شرکت‌ها در چندوقت اخیر، به‌تازگی مرکز ماهر(مرکز مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) در اطلاعیه‌ای اعلام کرد که در مقابله با آن دسته از حوادث فضای مجازی کشور که منجر به افشای داده‌های شهروندان می‌شود، مسئولیت پیشگیری برعهده بالاترین مقام آن دستگاه است.

به گزارش اقتصادآنلاین به نقل از ایران،  در بخش‌هایی از این اطلاعیه آمده است که باید مقابله با حوادث فضای مجازی هر دستگاه نیز به‌صورت متمرکز و کاملاً تخصصی، به یک مرکز مستقل دولتی واگذار شود. اما در پی انتشار این اطلاعیه این سؤالات پیش می‌آید که چرا تاکنون مسئولان سازمان‌ها در برابر افشای اطلاعات پاسخگو نبوده‌اند؟ برای مسئولیت پذیر بودن آنها چه باید کرد؟ چرا متخصصان امنیت سایبری در اعلام آسیب‌های سازمان‌ها با نهادهای متولی همکاری نمی‌کنند و آیا وجود یک متولی دولتی می‌تواند، راهگشا باشد؟ به این سؤالات دو تن از کارشناسان امنیت سایبری پاسخ می‌دهند.

  نیاز جدی به یک ناظر قدرتمند

«از آنجایی که ناظر قدرتمند و قانونی در حوزه حریم خصوصی شهروندان وجود ندارد، مسئولان به نوعی مسئولیت افشای اطلاعات را برعهده نگرفته و به آن اهمیتی نمی‌دهند.»

کاظم فلاحی کارشناس امنیت سایبری با بیان مطلب فوق  گفت: وقتی اطلاعات 50 درصد از جمعیت کشور در یک سازمان و شرکتی باشد، آن سازمان و شرکت ملی محسوب می‌شود و وقتی یک مسئول بلندپایه سازمان و شرکتی پاسخگو خواهد بود که سازمانی نظارتی با بازویی قدرتمند وجود داشته باشد و از او با اتکای به قوانین محکم بخواهد پاسخگو باشد و بگوید چرا اطلاعات شهروندان را جمع‌آوری کرده و نتوانسته از آنها نگهداری کند. وی با بیان اینکه نبود نهاد قدرتمند و انحصاری بودن سازمان‌ها باعث می‌شود براحتی اطلاعات شهروندان لو رود، افزود: با اینکه در قوانین سازمان‌ها و شرکت‌ها آمده است که نباید اجازه دهند اطلاعات کاربران نشر پیدا کند ولی به‌تازگی اطلاعات یک شرکت هواپیمایی لو رفت و شکایت چند متخصص امنیت سایبری هم راه به‌جایی نبرده است؛ بنابراین با متکی به قانون قوی باید مدعی العموم ورود کند.

فلاحی در پاسخ به این سؤال که آیا  مقابله با نشر اطلاعات شهروندان باید یک متولی دولتی داشته باشد، گفت: این بخش بهتر است تنها ناظری قدرتمند و قوی داشته باشد و مهم نیست که این ناظر دولتی، غیردولتی یا نهاد حاکمیتی باشد. چون نهادهایی که برای این امر در کشور وجود دارند قدرتی برای اعمال قانون ندارند و سازمان خاطی توجهی به آن نمی‌کند.

این کارشناس امنیت سایبری با بیان اینکه اکثر کشورها بخصوص اتحادیه اروپا از قدرت بالایی برخوردار است، افزود: اتحادیه اروپا روی حریم خصوصی شهروندان نظارت دقیقی دارد و مقام‌های قضایی آنجا به محض اینکه اطلاعات کاربران لو می‌رود، ورود می‌کنند اما در کشور ما اطلاعات 80 میلیون شهروند در ثبت احوال، 40 میلیون کاربر در پوسته‌های تلگرام و 40 میلیون اطلاعات کاربران تلفن همراه یک اپراتور و اخیراً هم اطلاعات کاربران یک شرکت هواپیمایی افشا می‌شود، گویی هیچ اتفاقی نیفتاده است. این در حالی است اتحادیه اروپا با اینکه فیس‌بوک یک شرکت امریکایی است مؤسس آن را به دادگاه کشاند، چرا که بخشی از میلیاردها اطلاعات لو رفته کاربران مربوط به اروپا بود.

کاظمی درباره اینکه گفته شده «اگر آسیب‌پذیری تا 48 ساعت رفع نشود، مسئول مربوطه را به مقام قضایی معرفی می‌کند» گفت: وقتی اپراتوری به قانون توجهی ندارد و ناظر قدرتمندی نیز وجود ندارد، کاری از پیش نمی‌رود بنابراین به چارچوب‌های قوی نیاز است که سازمان‌ها به بخش امنیت سایبری خود توجه کند. وی با بیان اینکه متولیان امنیت (مرکز ماهر، پلیس فتا و مرکز افتای ریاست جمهوری) طبق تقسیم وظایفی که دارند آسیب پذیری‌ها را به شرکت‌ها و سازمان‌ها اعلام می‌کنند، افزود: اما سازمان‌ها و شرکت‌ها به حفاظت از اطلاعات کاربران اهمیت جدی نمی‌دهند به‌طوری که تجربه شخصی‌ام ثابت کرده که آسیب پذیری‌های کشف شده همین‌طور دست نخورده باقی می‌مانند و هیچ مسئولی نسبت به رفع آن حساسیتی نشان نمی‌دهد.

فلاحی با اشاره به اینکه از سال 2010 کشف و اعلام آسیب پذیری‌ها از سوی شرکت‌ها و سازمان‌ها در دنیا باب شده است، گفت: متخصصان امنیت سایبری موسوم به هکرهای کلاه سفید وارد پلتفرم «باگ بانتی» می‌شوند. آنها آسیب‌ها را شناسایی و به شرکت‌ها و سازمان‌ها اعلام کرده و در برابر آن پاداش دریافت می‌کنند. این روند در کشور ما نیز دو سالی است تقریباً انجام می‌شود ولی متأسفانه با هکرهای کلاه سفید برخورد خوبی نمی‌شود. سازمان‌ها و نهادها نه تنها علاقه‌مند نیستند قبل از اینکه اطلاعات کاربران سازمانشان لو رود از این فرآیند برای شناسایی آسیب پذیری‌های خود استفاده کنند، حتی اگر از آنها کمک بگیرند زیر توافق خود می‌زنند پاداش متخصص امنیت سایبری را نمی‌پردازند بنابراین متخصص امنیت نیازی نمی‌بیند که به‌دنبال اعلام آسیب‌ها به سازمان‌ها و متولیان امر باشد.

این کارشناس امنیت اعتقاد دارد سازمان‌ها برای جلوگیری از نشر اطلاعات باید درک درستی از امنیت داشته باشند این در حالی است آنها امنیت را درک نمی‌کنند.

  نبود مجازات و عدم ورود مدعی العموم

پارسا یوسفی دیگر کارشناس امنیت سایبری نیز معتقد است که در تمام دنیا مسئول نشر اطلاعات، سازمان و شرکت‌ها بالاترین مقام آن است ولی در کشور ما نهاد نظارتی که در زمینه نشر اطلاعات ورود کند، جدیت به خرج نمی‌دهد و باید مدعی‌العموم ورود کند و قوه قضائیه نیز مجازاتی برای آن تعیین کند.

یوسفی  گفت: نهادهای متولی که در این زمینه در کشور نیز وجود دارند، کار خود را بدرستی انجام نمی‌دهد. البته در این میان خلأ قانونی نداریم و اگر اطلاعات شهروندان منتشر شود و به فروش برسد می‌توانند طبق قانون‌های موجود مجازات شوند ولی این قانون برای نهادهای دولتی مانند وزارت بهداشت، ثبت احوال و... که اطلاعات کاربران آنها هک و افشا می‌شود، مجازاتی تعیین نمی‌کند گویی نشر اطلاعات اهمیتی ندارد که حال بخواهند خاطی را به دادگاه کشانده و جریمه کنند بنابراین مسئول هم پاسخگو نیست. این کارشناس امنیت سایبری اعتقاد دارد از آنجایی که قانون به‌دنبال خاطیان نشر اطلاعات کاربران نیست بنابراین مسئولان مربوطه نیز به‌دنبال حفاظت از اطلاعات و رفع آسیب‌های موجود در سازمان خود نیستند.

وی گفت: سازمان‌ها و نهادها حتی برای رفع آسیب‌ها اعتقادی به جذب متخصص امنیت سایبری نیز ندارند و مهمتر اینکه معتقدند چون سازمان دارای اطلاعات محرمانه‌ای است و کارشناس امنیت به آن اطلاعات دست می‌یابد غافل از اینکه همان اطلاعات محرمانه با وجود آسیب‌ها و باگ‌هایی که در سیستم آنها وجود دارد در معرض افشا شدن است. حال کدام مورد بهتر است افشای اطلاعات محرمانه در سطح وسیع یا جذب یک متخصص امنیت سایبری. این کارشناس امنیت سایبری نیز اعتقاد دارد سازمان‌ها و شرکت‌ها قبل از اینکه اطلاعاتشان از سوی هکرهای کلاه سیاه لو رود بهتر است با هکرهای کلاه سفید همکاری کنند و با این قشر برای کشف آسیب‌های خود رفتار بهتری داشته باشند.

یوسفی گفت: سازمان‌ها و نهادها با افراد متخصص کشف آسیب‌ها و باگ‌ها رفتار خوبی ندارند و وقتی آنها هم مشکلی را کشف و اعلام می‌کنند به‌جای دادن پاداش آنها را زیر ذره بین می‌برند و متهم می‌کنند که چرا اصلاً سیستم آنها را اسکن کرده‌اند حال این سؤال پیش می‌آید که اسکن سیستم سازمان از سوی یک متخصص امنیت و اعلام آن به سازمان مربوطه برای رفعش خوب است یا اینکه از سوی هکرهای کلاه سیاه لو رود؟

وی افزود: هکرها خیلی از آسیب‌ها را کشف کرده و نزد خود نگه می‌دارند و برخی هم اطلاعات را می‌فروشند یا اینکه برخی هم برای شهرت آن را رسانه‌ای می‌کنند. از این‌رو حال که این مرکز به‌دنبال این است که متخصصان امنیت آسیب‌ها را اعلام کنند باید پاداش تعیین کند و متخصصان را تشویق کرده و زیر سؤال نبرند.  این کارشناس معتقد است که سازمان‌ها به‌دلیل نداشتن سواد کافی در حوزه امنیت هنوز همان راه حل‌های 10 سال پیش مانند ارائه فایروال را اجرا می‌کنند و از این‌رو اطلاعات آنها نشت می‌کند در حالی که امروزه این روش‌ها پیش پاافتاده است و جوابگوی دفع حملات سال 2020 نیست. وی گفت: اکنون حملات به لایه‌های نرم افزاری و سیستم عامل نفوذ کرده و روش‌های پیشین جوابگو نیست بنابراین باید یا به فکر گرفتن مشاوره از متخصصان امنیت باشند یا اینکه سواد امنیت خود و نیروهای خود  را بالا ببرند.