مرزهای سایبری در محاصره!

گروه فناوری- حملات سایبری در دنیای امروز تبدیل به یکی از چالش‌های اصلی برای سازمان‌ها و شرکت‌های فناوری در سراسر جهان شده‌اند و کشور ایران نیز از این قاعده مستثنا نیست. گزارش‌های مختلفی از حملات سایبری علیه سازمان‌های ایرانی وجود داشته و از جدیدترین این حملات می‌توان به هک شدن شرکت «اسنپ فود» اشاره کرد. این دست حملات ممکن است به دلایل مختلف از جمله انگیزه‌های جاسوسی، تخریب، اختلافات سیاسی یا انگیزه‌های مالی انجام شده باشند.
با گسترش حملات سایبری در ایران و خبرهای ناگوار افشای اطلاعات شخصی کاربران در پی نقض‌های امنیتی، انتظار می‌رود مسوولان مربوطه با برنامه‌ریزی دقیق و استفاده از تکنولوژی‌های استاندارد امنیتی، استراتژی‌های مناسبی برای محافظت از داده‌های شهروندان خود اتخاذ کنند. با این حال، شاهد آن هستیم که رویکرد جامع و قدرتمندی از جانب مسوولان دیده نمی‌شود که نشان‌دهنده یک بی‌توجهی عجیب نسبت به این موضوع حیاتی است؛ بی‌توجهی ای که می‌تواند در درازمدت به از دست رفتن اعتماد عمومی و آسیب‌های جدی‌تری منجر شود. زمان آن رسیده است که سیاستگذاران و مسوولان با ارزیابی دقیق از چالش‌ها و تهدیدهای کنونی در عرصه فضای مجازی، به تدوین و اجرای استانداردهای امنیتی بین‌المللی بپردازند تا از سرمایه‌های ارزشمند اطلاعاتی کشور در برابر این حملات دفاع کنند. همچنین عدم وجود نظام منسجم حفاظتی و برخورداری از زیرساخت‌های قوی امنیتی باعث می‌شود که نه تنها حریم شخصی کاربران در معرض خطر قرار گیرد، بلکه بنیان‌های اقتصاد دیجیتال نیز لرزان شود.
متاسفانه نبود شفافیت در مورد نحوه مدیریت و حفاظت از داده‌ها، ناکافی بودن قوانین مربوط به حریم خصوصی و کمبود منابع برای آموزش و توسعه مهارت‌های امنیت سایبری، همه و همه نشان‌دهنده عدم تطبیق سیاست‌های کنونی با نیازهای ضروری جامعه متصل به اینترنت است. امروزه، مردم ایران بیش از پیش در معرض داده‌کاوی، حملات فیشینگ و نقض‌های داده‌ای قرار دارند و مسوولیت از دوش شهروندان به عهده کسانی است که در جایگاه‌های قدرت، تصمیم‌گیری می‌کنند. ایران، به عنوان کشوری که در مسیر توسعه دیجیتال قرار گرفته، نیازمند طراحی مجدد ساختارهاست تا بتواند در زمینه حفاظت از داده‌ها به استانداردهای جهانی دست یابد. بی‌توجهی مسوولان به این امر نه تنها موجب خدشه‌دار شدن حقوق فردی می‌شود، بلکه می‌تواند ثبات و امنیت ملی را نیز تحت تاثیر قرار دهد. بنابراین، یک تغییر پارادایم اساسی در سیاستگذاری‌ها و اجرای استانداردهای امنیت سایبری، ضرورتی اجتناب‌ناپذیر برای حفظ سلامت فضای مجازی کشور است.
چند بار باید از یک سوراخ گزیده شویم؟
بر همین اساس داده‌های شخصی کاربران و حفاظت از آنها از مهم‌ترین موضوعاتی است که در راستای حکمرانی فضای مجازی مورد توجه قرار دارد. در این راستا افزایش حملات سایبری طی سال‌های اخیر، لزوم تصویب لایحه حفاظت از داده و تسریع روند نهایی برای اجرای آن به عنوان سند الزام‌آور و تعیین کننده وظایف دستگاه‌های دخیل را بیش از پیش روشن کرده و به چالش کشیده است. استفاده از مولفه‌های قدیمی و آسیب‌پذیر، بسیاری از سیستم‌های دفاعی سامانه‌های کاربران را سست کرده، به‌نحوی که تبدیل به پنجره‌ای برای نفوذ هکرها و بروز حملات سایبری طی سال‌های اخیر شده است. به عنوان مثال زمانی یک حمله دیداس به سایت اتفاق می‌افتد که دسترسی به یک رایانه یا منبع شبکه عمدا در نتیجه کار مخرب به کاربر دیگری مسدود یا کاهش داده شود. این حملات لزوما داده‌ها را مستقیما یا همیشگی تخریب نمی‌کنند، اما عمدا دسترس پذیری منابع را به خطر می‌اندازند، ولی داده‌های شخصی و حفاظت از آنها یکی از مهم‌ترین موضوعاتی است که در استفاده از ابزارهای الکترونیکی مورد توجه قرار می‌گیرد و با پیشرفت‌هایی که در حوزه فناوری اطلاعات شاهدیم، حفاظت از این اطلاعات و داده‌ها از اهمیت بیش‌تری برخوردار می‌شوند و یکی از اقدامات وزارت ارتباطات و فناوری اطلاعات، به عنوان یکی از متولیان این بخش، رونمایی از لایحه صیانت و حفاظت از داده‌های شخصی، به منظور حمایت از حریم خصوصی کاربران فضای مجازی بوده است.
گفته شده هدف از این لایحه صیانت از حیثیت و کرامت اشخاص موضوع داده‌هاست که شامل تبیین حقوق اشخاص موضوع داده‌ها، به‌ویژه در تعامل با سایر حق‌های مشروع، ضابطه‌مندی فرآیند پردازش داده‌های شخصی، مسوولیت‌پذیری پردازش، هم‌افزایی امور تنظیمی و نظارتی پردازش و جبران‌پذیری زیان‌ها و آسیب‌های پردازش می‌شود، اما با گذشت
سال ها از این موضوع، شواهد نشان می‌دهند اقدام جدی برای تصویب نهایی این لایحه و اجرای سریع آن انجام نشده و حتی در این میان بارها، اطلاعات سایت‌های سازمان‌ها و مراکزی که شامل اطلاعات شهروندان بوده، به سرقت رفته است. به‌طور مثال شهریور ماه بود که بخشی از اطلاعات کاربران تپسی به دست هکرها افتاد. یک گروه هکری با هویت معلوم به اطلاعات تعدادی از خدمات‌گیران شرکت تاکسی اینترنتی تپسی دسترسی پیدا می‌کنند و سپس تقاضای ۳۵ هزار دلار از شرکت تپسی می‌کند تا اطلاعات خدمات گیرندگان را برگرداند و منتشر نکند که این شرکت این کار را انجام نمی‌دهد و از گروه هکری شکایت می‌کند. در نهایت در پی شکایت شرکت تپسی از این گروه هکری اقدامات قضایی انجام شده و منبع آلودگی برطرف شد.
این پایان ماجرا نبود، چراکه ماه گذشته هم در برخی پمپ بنزین‌ها اختلال رخ داد. سازمان پدافند غیرعامل کشور در اطلاعیه‌ای اعلام کرد ۲۷ آذرماه ۱۴۰۲ قریب به ۳۸۰۰ جایگاه سوخت در سراسر کشور از مجموعه ۴۳۹۶ جایگاه از طریق نفوذ سایبری در سامانه IPC دچار اختلال شد و ادامه کارکرد آنها از طریق کارت سوخت امکان‌پذیر نبود. در این رابطه به فاصله گذشت حدود دو هفته بار دیگر اطلاعات کاربران یک شرکت در اختیار هکرها قرار گرفت. ابتدای هفته جاری یک گروه هکری ادعا کرد کل داده‌های اسنپ فود، شامل اطلاعات بیش از ۲۰ میلیون کاربر و ۸۸۰ میلیون سفارش را به دست آورده است و البته پس از بازتاب گسترده این خبر، اسنپ فود هک شدنش را تایید و اعلام کرد حداکثر تلاش خود را برای جلوگیری از انتشار داده‌های کاربران، از طریق مذاکره با این گروه هکری خواهد کرد.
بر این اساس، با توجه به اینکه سرویس‌های مجازی هر روز در حال رشد هستند، کسانی که اطلاعات شهروندان را نگه می‌دارند باید از قبل فرآیند شفاف‌سازی را انجام دهند و دسترسی هکرها به اطلاعات مردم کار مشکلی باشد، در نتیجه باید ضریب حریم خصوصی را به نحو قابل توجهی افزایش داد و قانونگذار تلاش کند از آسیب‌های این فضا پیشگیری کند. در این میان آنچه در وهله اول به ذهن می‌رسد این است که چرا تاکنون یک قانون یعنی یک سند الزام‌آور که وظایف و اختیارات دستگاه‌های موظف در این زمینه در آن آشکار باشد، در کشور وجود ندارد که مبتنی بر آن بتوان پاسخگویی طلب کرد؟
برخی مسوولان در پاسخ به این سوال، اعلام می‌کنند لایحه حفاظت از داده چند سال گذشته رونمایی شده و سال گذشته پیش‌نویس لایحه قانون حمایت و حفاظت از داده‌های شخصی نهایی و سپس بررسی شده است، اما در این بازه زمانی و با رخ دادن چندباره هک اطلاعات کاربران، اگرچه تعیین تکلیف هرچه سریع‌تر آن احساس می‌شد، اما اقدام تازه‌ای در این زمینه انجام نشده است و اخیرا وزیر ارتباطات و فناوری اطلاعات جزئیات جدیدی از آخرین وضعیت این لایحه اعلام کرد. عیسی زارع‌پور در این زمینه گفت: لایحه حفاظت از داده را به دولت ارسال کردیم و اکنون به کمیسیون حقوقی و قضایی ارسال شده و در آنجا قرار است بررسی شود و سپس برای بررسی نهایی به مجلس ارسال می‌شود تا بحث حفاظت از داده‌های شخصی افراد در فضای مجازی نظام‌مند شود و ساز و کار و تکالیفی برای دارندگان سکوها، پلتفرم‌ها مشخص شود.در نهایت می‌توان گفت طبق مطالب گفته شده و اعلام مسوولان درباره افزایش تعداد حملات سایبری طی سال‌های اخیر به نظر می‌رسد که هرچه سریع‌تر باید اقدامات نهایی برای تصویب رسیدن این لایحه که ارتباطات نزدیکی با امنیت سایبری و حفظ اطلاعات مردم دارد انجام شود.