تصویب یک لایحه، کلید حل ضعف در امنیت سایبری

داده‌های شخصی کاربران و حفاظت از آن‌ها از مهم‌ترین موضوعاتی است که در راستای حکمرانی فضای مجازی مورد توجه قرار دارد، در این راستا افزایش حملات سایبری طی سال‌های اخیر، لزوم تصویب لایحه حفاظت از داده و تسریع روند نهایی برای اجرای آن به عنوان سند الزام‌آور و تعیین کننده وظایف دستگاه‌های دخیل را بیش از پیش روشن کرده و به چالش کشیده است.
به گزارش ایسنا، استفاده از مولفه‌های قدیمی و آسیب‌پذیر، بسیاری از سیستم‌های دفاعی سامانه‌های کاربران را سست کرده، به‌نحوی که تبدیل به پنجره‌ای برای نفوذ هکرها و بروز حملات سایبری طی سال‌های اخیر شده است.
به عنوان مثال زمانی یک حمله دیداس به سایت اتفاق می‌افتد که دسترسی به یک رایانه یا منبع شبکه عمداً در نتیجه کار مخرب به کاربر دیگری مسدود یا کاهش داده شود. این حملات لزوماً داده‌ها را مستقیماً یا همیشگی تخریب نمی‌کنند، اما عمداً دسترس پذیری منابع را به خطر می‌اندازند.
اما داده‌های شخصی و حفاظت از آن‌ها یکی از مهم‌ترین موضوعاتی است که در استفاده از ابزارهای الکترونیکی مورد توجه قرار می‌گیرد و با پیشرفت‌هایی که در حوزه فناوری اطلاعات شاهدیم، حفاظت از این اطلاعات و داده‌ها از اهمیت بیش‌تری برخوردار می‌شوند و یکی از اقدامات وزارت ارتباطات و فناوری اطلاعات، به عنوان یکی از متولیان این بخش، رونمایی از لایحه صیانت و حفاظت از داده‌های شخصی، به منظور حمایت از حریم خصوصی کاربران فضای مجازی بوده است.
در بند هشتم منشور حقوق شهروندی با عنوان «حق دسترسی به فضای مجازی» آمده است که حق شهروندان است از امنیت سایبری و فناوری‌های ارتباطی و اطلاع‌رسانی، حفاظت از داده‌های شخصی و حریم خصوصی برخوردار باشند. در این راستا تابستان سال ۱۳۹۷ سازمان فناوری اطلاعات از لایحه صیانت و حفاظت از داده‌های شخصی رونمایی کرد و مقرر شد برای تصویب به هیأت دولت و مجلس ارسال شود تا در نهایت به قانون تبدیل شود.
گفته شده هدف از این لایحه صیانت از حیثیت و کرامت اشخاص موضوع داده‌هاست که شامل تبیین حقوق اشخاص موضوع داده‌ها، به‌ویژه در تعامل با سایر حق‌های مشروع، ضابطه‌مندی فرایند پردازش داده‌های شخصی، مسئولیت‌پذیری پردازش، هم‌افزایی امور تنظیمی و نظارتی پردازش و جبران‌پذیری زیان‌ها و آسیب‌های پردازش می شود. اما با گذشت سالها از این موضوع، شواهد نشان می‌دهد اقدام جدی برای تصویب نهایی این لایحه و اجرای سریع آن انجام نشد و حتی در این میان بارها، اطلاعات سایت‌های سازمان‌ها و مراکزی که شامل اطلاعات شهروندان بوده، به سرقت رفته است.
به طور مثال شهریور ماه بخشی از اطلاعات کاربران تپسی به دست هکرها افتاد. یک گروه هکری با هویت معلوم به اطلاعات تعدادی از خدمات گیران شرکت تاکسی اینترنتی تپسی دسترسی پیدا می‌کنند و سپس تقاضای ۳۵ هزار دلار از شرکت تپسی می‌کند تا اطلاعات خدمات گیرندگان را برگرداند و منتشر نکند که این شرکت این کار را انجام نمی‌دهد و از گروه هکری شکایت می‌کند. در نهایت در پی شکایت شرکت تپسی از این گروه هکری اقدامات قضائی انجام شده و منبع آلودگی برطرف شد.
اما این پایان ماجرا نبود چراکه ماه گذشته هم در برخی پمپ بنزین‌ها اختلال رخ داد. سازمان پدافند غیرعامل کشور در اطلاعیه‌ای اعلام کرد ۲۷ آذرماه ۱۴۰۲ قریب به ۳۸۰۰ جایگاه سوخت در سراسر کشور از مجموعه ۴۳۹۶ جایگاه از طریق نفوذ سایبری در سامانه IPC دچار اختلال شد و ادامه کارکرد آن‌ها از طریق کارت سوخت امکان‌پذیر نبود.
در این رابطه به فاصله گذشت حدود دو هفته بار دیگر اطلاعات کاربران یک شرکت در اختیار هکرها قرار گرفت. ابتدای هفته جاری یک گروه هکری ادعا کرد کل داده‌های اسنپ فود، شامل اطلاعات بیش از ۲۰ میلیون کاربر و ۸۸۰ میلیون سفارش را به دست آورده است و البته پس از بازتاب گسترده این خبر، اسنپ فود هک شدنش را تأیید و اعلام کرد حداکثر تلاش خود را برای جلوگیری از انتشار داده‌های کاربران، از طریق مذاکره با این گروه هکری خواهد کرد.
بر این اساس، با توجه به اینکه سرویس‌های مجازی هر روز در حال رشد هستند، کسانی که اطلاعات شهروندان را نگه می‌دارند باید از قبل فرآیند شفاف‌سازی را انجام دهند و دسترسی هکرها به اطلاعات مردم کار مشکلی باشد، درنتیجه باید ضریب حریم خصوصی را به نحو قابل توجهی افزایش داد و قانون‌گذار تلاش کند از آسیب‌های این فضا پیشگیری کند.
در این میان آنچه در وهله اول به ذهن می‌رسد این است که چرا تاکنون یک قانون یعنی یک سند الزام‌آور که وظایف و اختیارات دستگاه‌های موظف در این زمینه در آن آشکار باشد، در کشور وجود ندارد که مبتنی بر آن بتوان پاسخگویی طلب کرد؟
برخی مسوولان در پاسخ به این سوال، اعلام می‌کنند لایحه حفاظت از داده چند سال گذشته رونمایی شده و سال گذشته پیش‌نویس لایحه قانون حمایت و حفاظت از داده‌های شخصی نهایی و سپس بررسی شده است اما در این بازه زمانی و با رخدادن چند باره هک اطلاعات کاربران، اگرچه تعیین تکلیف هرچه سریع‌تر آن احساس می‌شد اما اقدام تازه‌ای در این زمینه انجام نشده است و اخیرا وزیر ارتباطات و فناوری اطلاعات جزئیات جدیدی از آخرین وضعیت این لایحه اعلام کرد.
زارع‌پور در این زمینه گفت: ما لایحه حفاظت از داده را به دولت ارسال کردیم و اکنون به کمیسیون حقوقی و قضایی ارسال شده و در آنجا قرار است بررسی شود و سپس برای بررسی نهایی به مجلس ارسال می‌شود تا کلا بحث حفاظت از داده‌های شخصی افراد در فضای مجازی نظام‌مند شود و ساز و کار و تکالیفی برای دارندگان سکوها، پلت‌فرم‌ها مشخص شود.
درنهایت می‌توان گفت طبق مطالب گفته شده و اعلام مسئولان درباره افزایش تعداد حملات سایبری طی سال‌های اخیر به نظر می‌رسد که هرچه سریع‌تر باید اقدامات نهایی برای تصویب رسیدن این لایحه که ارتباطات نزدیکی با امنیت سایبری و حفظ اطلاعات مردم دارد انجام شود.

*