صیانت از اطلاعات، بر عهده بالاترین مقام هر دستگاه است

لو رفتن اطلاعات شخصی مربوط‌به کاربران تلگرامی به دلیل استفاده از نسخه‌های غیررسمی این اپلیکیشن و استفاده‌کنندگان از فروشگاه‌های آنلاین داخلی و حتی اطلاعات ثبت احوالی ایرانیان در روزهای ابتدایی فروردین ماه سال جاری، به یکی از مهم‌ترین و پرجنجال‌ترین اخبار تبدیل شد.

اخبار اقتصادی- البته پس از نگرانی‌های کاربران درباره انتشار این اطلاعات، مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) به عنوان یکی از زیرمجموعه‌های سازمان فناوری اطلاعات، اعلام کرد با رصد جهت کشف بانک‌های اطلاعاتی حفاظت‌نشده، به صاحبان آن‌ها هشدار داده خواهد شد و در صورتی که ظرف مدت ۴۸ ساعت، همچنان مشکل به قوت خود باقی باشد، به‌منظور حفظ داده‌ها و حفاظت از حریم خصوصی شهروندان، به مراجع قضایی معرفی می‌شود.

همچنین امیر ناظمی -رئیس سازمان فناوری اطلاعات-  خاطرنشان کرد: هرچند قانون حفاظت از داده‌های عمومی یا همان GDPR در هزارتوی نظام بروکراسی محبوس مانده است، اما این به آن معنا نیست که قانونی برای اجبار سازمان‌ها و دستگاه‌ها به حفاظت از داده‌های شخصی وجود ندارد، بلکه به معنای آن است که همه نیازها را پاسخ نمی‌دهد. تک‌تک این مواد قانونی می‌تواند منجر به محکومیت هر فرد حقیقی و حقوقی شود که در محافظت از داده‌ها سهل‌انگاری کرده است.

در این راستا مرکز ماهر امروز بیانیه‌ای را در رابطه با روند افشا داده‌های سازمانها و کسب‌وکارها در فضای مجازی منتشر کرد که در آن آمده است: ارتقا هر سیستمی، از جمله امنیت و حفاظت از داده‌های شهروندان نیازمند دریافت بازخوردها و تصحیح آن سیستم است. همچنین مطالبه‌گری صحیح، نقطه‌ آغازین بهبود و اصلاح هر سیستمی است. پیرو پرسش‌هایی که در خصوص اخبار مربوط به افشا داده‌های شهروندان از مرکز ماهر طرح می‌شود، این مرکز ضمن استقبال از مطالبه‌گری‌ها و حساسیت‌های شهروندان در خصوص این اخبار، لازم می‌داند تا نکات زیر را یادآوری کند.

مطابق بند ۵-۱ نظام ملی مقابله با حوادث فضای مجازی کشور: «مسوولیت پیشگیری و مقابله با حوادث فضای مجازی هر دستگاه، بر عهده بالاترین مقام آن دستگاه خواهد بود.» به این ترتیب مسوولیت اصلی در پاسخ به سوالات امنیت بانک‌های داده و اطلاعات، در وهله اول بر عهده بالاترین مسوول دستگاه است.

مرکز ماهر بر اساس چارچوب‌های قانونی و ماموریت‌های محوله گزارش خود را در خصوص حوادث، صرفا برای مقامات مسوول ارسال می‌کند؛ هر چند پس از اتمام بحران این مرکز این حق را برای خود قائل است تا به تدوین گزارش‌هایی عمومی (با حفظ امنیت و حریم خصوصی داده‌ها) اقدام کند؛ تا به‌عنوان وظیفه ذاتی هر جزء از سیستم، با ارائه بازخوردهای مناسب گامی جهت ارتقاء و بهبود نظام حکمرانی داده بردارد.

مرکز ماهر به این اصل اعتقاد دارد که مقابله با آن دسته از حوادث فضای مجازی کشور که منجربه افشا داده‌های شهروندان می‌شود، باید به‌صورت متمرکز و کاملا تخصصی، صرفا به یک مرکز مستقل دولتی واگذار شود تا امکان بررسی مستقل، بدون جانبداری، همراه با واکنش سریع و همچنین ایجاد زمینه مناسب برای اطلاع‌رسانی به‌موقع و باکیفیت همراه با انباشت دانش امنیت داده برای حفظ منافع ملی فراهم شود.

مرکز ماهر بر اساس وظایف ذاتی و قانونی خود موارد متعددی از این دست را همواره کشف و یا از افراد دلسوزی که به صورت مسوولانه و صادقانه اطلاع‌رسانی می‌کنند دریافت می‌کند. تمام این موارد پس از بررسی‌های فنی جهت راستی‌آزمایی و استخراج شواهد و راهکار مقابله بر اساس چارچوب‌های قانونی به‌صورت محرمانه به صاحبان سرویس‌ها و داده‌ها اطلاع‌رسانی می‌شود و تلاش دارد تا در صورت نیاز برای مقابله با آن اقدام عملیاتی مناسب انجام دهد.

دعوت همیشگی مرکز ماهر از تمام متخصصان و کارشناسان امنیت سایبری این است که در صورت مشاهده هرگونه افشا غیرمجاز یا آسیب‌پذیری در سامانه‌های بومی آن را از طریق کانال‌های ارتباطی مرکز ماهر اطلاع‌رسانی کنند. طبیعتا اعلام عمومی یک داده افشاشده یا یک آسیب‌پذیری امنیتی از طریق رسانه و شبکه‌های اجتماعی بدون اطلاع قبلی به خود قربانی یا به نهادهای مسوول مانند مرکز ماهر یا مرکز افتا ریاست جمهوری، حرکت سازنده و همراه با مسوولیت اجتماعی محسوب نمی‌شود.

در انتها به سازمان‌ها و دستگاه‌های مختلف یادآور می‌شود که «سکوت، پاسخ‌گویی مناسب نیست؛ بلکه تنها سرمایه اجتماعی را کاهش می‌دهد»؛ هرچند شهروندان و مطالبه‌گران از مرجع پاسخ‌گویی آگاهی نداشته باشند. امید می‌رود صاحبان بانک‌های اطلاعاتی که داده‌ها و اطلاعات شخصی مردم به‌صورت امانت در اختیار آنها است، نه تنها نسبت به حفظ این امانت و حریم خصوصی شهروندان، هم بر اساس قانون و هم بر اساس مسوولیت اجتماعی، حساسیت لازم را داشته باشند؛ بلکه با پاسخ‌گویی مناسب بتوانند امنیت روانی عمومی را نیز فراهم آورند.