بازار داغ فروش اطلاعات کاربران

«جهان‌صنعت»- دادستان کل کشور اعلام کرد شناسایی عوامل هک و نفوذ و کسانی که احتمالا در حفظ اطلاعات کاربران رایتل قصور یا تقصیر داشته‎اند، در دستور کار دادستانی کل کشور قرار گرفته است. رییس قوه قضاییه نیز بر لزوم این اقدام تاکید کرد. پلیس فتا روز گذشته اعلام کرد در حال بررسی دقیق ابعاد انتشار غیرمجاز اطلاعات کاربران شرکت رایتل است.
پس از حدود یک هفته از فاش شدن اطلاعات کاربران رایتل و فروش این اطلاعات در رید فروم، اکنون دادستان کل و پلیس فتا به این پرونده ورود کرده‌اند. چهارشنبه هفته گذشته بود که خبر نشت اطلاعات کاربران رایتل منتشر شد اما روابط عمومی این اپراتور موبایل اعلام کرد نشتی اطلاعات مربوط به حمله سایبری به رایتل در سال ۹۴ بوده و این اطلاعات قدیمی هستند. این به معنای آن است که رایتل نه‌تنها حمله سایبری اخیر را تکذیب می‌کند بلکه نشتی اطلاعات مربوط به پنج سال پیش را هم مسکوت گذاشته و ماجرا را به اطلاع کاربران نرسانده بود در صورتی که تمامی شرکت‌ها و اپراتورهای موبایل موظفند در صورت رخ دادن حمله سایبری به کاربران اطلاع‌رسانی کنند البته بر اساس قوانین جهانی نه قوانین ایران!
در سه ماه گذشته بارها خبر لو رفتن اطلاعات کاربران ایرانی و به فروش گذاشتن آن در اینترنت شنیده شده است.
پیش از این و در سه ماه گذشته نشت اطلاعات کاربران از طریق سامانه ثبت‌ احوال، نشت اطلاعات کاربران سیب‌اپ، افشای اطلاعات ۴۲ کاربر ایرانی تلگرام و هک اطلاعات کاربران علی‌بابا تنها چند نمونه از خبرهایی است که در این زمینه رسانه‌ای شده است.
ورود رییس قوه قضاییه به نشت اطلاعات مشترکان رایتل
محمدجعفر منتظری دادستان کل کشور با ارائه گزارشی درباره خبر منتشر شده درباره سرقت اطلاعات کاربران یکی از اپراتورهای تلفن همراه، اعلام کرد شناسایی عوامل هک و نفوذ و کسانی که احتمالا در حفظ اطلاعات کاربران قصور یا تقصیر داشته‎اند، در دستور کار دادستانی کل کشور قرار گرفته است.
ابراهیم رییسی، رییس قوه قضاییه نیز در این رابطه اظهار کرد: حفظ حریم خصوصی شهروندان یک اصل قطعی و غیرقابل اغماض است و دارندگان اطلاعات کاربران فضای مجازی در صیانت از این اطلاعات و تامین امنیت داده‎ها، مسوول هستند و نباید اجازه داد اطلاعات مردم مورد تهدید قرار گیرد.
رییسی بیان کرد: دادستان کل کشور به عنوان مدعی‌العموم، موضوع صیانت از اطلاعات شهروندان و حفظ حریم خصوصی آنها را به عنوان یک حق عمومی پیگیری کند.
پلیس فتا به پرونده نشت اطلاعات کاربران «رایتل» وارد شد
معاون فنی پلیس فتای ناجا گفت: پلیس فتا در حال بررسی دقیق ابعاد انتشار غیرمجاز اطلاعات کاربران شرکت رایتل است.
سرهنگ علی نیک‌نفس معاون فنی پلیس فتای ناجا اظهار کرد: در پی رصد فضای مجازی توسط کارشناسان این پلیس و ارزیابی صورت گرفته توسط مرکز فوریت‌های سایبری پلیس فتا در خصوص انتشار اطلاعات ۵/۵ میلیون نفر از کاربران شرکت رایتل، بررسی ابعاد موضوع در تاریخ ۱۴ خردادماه ۹۹ در دستور کار پلیس فتا قرار گرفت.
معاون فنی پلیس فتای ناجا افزود: در این خصوص تیم‌های واکنش‌سریع سایبری بلافاصله با هماهنگی مرجع قضایی جهت جمع‌آوری ادله دیجیتال، بررسی میزان آسیب وارده و برآورد حجم اطلاعات افشا شده، وارد
عمل شدند.
او ادامه داد: پس از بررسی‌های اولیه، پرونده قضایی در پلیس فتای فاتب تشکیل شده و رسیدگی دقیق به موضوع در دست اقدام و پیگیری است.
این مقام مسوول تصریح کرد: حفظ حریم خصوصی کاربران فضای مجازی و شهروندان همواره اولویت اساسی پلیس فتا بوده و کسب‌و‌کارهای فضای مجازی نیز ملزم به رعایت الزامات امنیتی و انتظامی و مراقبت از اطلاعات در اختیار خود هستند.
قوه قضاییه نهاد متولی است
نه سازمان فناوری
امیر ناظمی، معاون وزیر ارتباطات و رییس سازمان فناوری اطلاعات اظهار کرد: براساس قوانین فعلی عواقب مشخصی برای فرد یا افرادی که اطلاعات شخصی کاربران را به خطر می‌‌اندازند در نظر گرفته شده اما این برخورد‌ها ارتباطی با این سازمان دولتی ندارد تا در مورد آن اطلاع‌رسانی کند. ناظمی تاکید می‌کند که این سازمان به عنوان نهاد دولتی در مورد نشت اطلاعات نمی‌تواند کسب‌وکارها را بازخواست کند و در این زمینه نهادهای قضایی باید پیگیری و نتیجه نهایی را اعلام کنند.
او گفت: تمام این اتفاقات براساس قوانین فعلی عواقبی به دنبال دارد. برای نمونه سال گذشته آیین‌نامه‌ای را براساس قوانین فعلی تهیه و به شرکت‌های خصوصی و دستگاه‌های اجرایی در حوزه فناوری اطلاعات ارسال کرده‌ایم. این آیین‌نامه ۱۰ بند دارد تا جلوی نشست اطلاعات گرفته شود. درست است که این آیین‌نامه کامل نیست اما همین آیین‌نامه هم اجرا نمی‌شود.
ناظمی در واکنش به اینکه عواقب اتفاقاتی که در چند ماه اخیر در مورد افشای اطلاعات کاربران افتاده چه بوده است توضیح داد: برای این اتفاق‌ها جرم‌انگاری و برای کسب‌وکار، فرد یا افرادی که در این امر دخیل بوده‌اند مجازات تعیین می‌شود چون تعیین مجازات و تشخیص جرم با نهاد قضایی است، پس همین نهاد باید در مورد عواقب این کار تصمیم‌گیری کند.
او اظهار کرد: تا‌کنون برای هک اطلاعات کاربران ایرانی تلگرام به دادستانی از سمت سازمان فناوری اطلاعات شکایت شده است. همچنین به گفته او در مورد پرونده رایتل نیز رگولاتوری به‌زودی براساس پروانه این اپراتور با او برخورد لازم را انجام خواهد داد.
ناظمی در رابطه با کمک قانونی شدن لایحه صیانت از داده‌های شخصی در فضای مجازی بیان کرد: یکی از قوانینی که می‌تواند به تسریع در مورد اتفاق‌هایی مانند هک و پیگیری جرم‌های اینچنینی و همچنین کاهش چنین اتفاق‌هایی کمک کند تبدیل شدن لایحه صیانت از داده‌های شخصی در فضای مجازی است که کارکرد GDPR که در اتحادیه اروپا به تصویب رسیده را دارد.
او در مورد وضعیت تبدیل این لایحه به قانون گفت: هر لایحه‌ای که در مورد موضوع قضایی باشد و در آن جرم تعریف و برایش جرم‌‌انگاری شده باشد دولت امکان ارائه مستقیم آن را ندارد و باید این لایحه توسط مجلس یا قوه ‌قضاییه اعلام شود. در چنین شرایطی دولت می‌تواند پیشقدم شود مانند کاری که ما کردیم یعنی ما این لایحه را تنظیم کردیم، جلسات مشترک را با نمایندگان قوه قضاییه و مجلس گذاشتیم، بعد از تغییرات اعمال‌شده توسط این نهاد لایحه به کمیسیون تخصصی، در مرحله بعدی فرعی و بعد اصلی ارسال شد و حالا به هیات وزیران برای تصویب ارسال شده که هنوز لایحه در دست این بخش است.
براساس اظهارات او با طی کردن این مراحل طولانی و پس از تصویب در هیات وزیران این لایحه برای تبدیل شدن به قانون به مجلس ارسال می‌شود.
بی‌توجهی شرکت‌ها
ابوالقاسم صادقی، معاون امنیت سازمان فناوری اطلاعات با اشاره به نقش بی‌مبالاتی و بی‌توجهی شرکت‌ها و سازمان‌ها در نشت اطلاعات داده کاربران بیان کرد: این شرکت‌ها دغدغه ندارند. حضور کارشناس امنیتی در این شرکت‌ها لازم است اما اکثر آنها ندارند. کسب‌وکارهای حوزه آی‌تی، حتی شرکت‌های بزرگی که گردش‌ مالی بالایی دارند هم در این زمینه‌ها خست به خرج می‌دهند و وقتی نوبت به هزینه در حوزه امنیتی می‌شود، خرج نمی‌کنند.
او با بیان اینکه این شرکت‌ها گاهی احساس می‌کنند خیلی هم اتفاق بدی نیفتاده است، گفت: اطلاعات بسیاری از شرکت‌ها و سازمان‌های بزرگ لو رفته که داده‌های حساسی هم داشتند، اما به نظر می‌رسد تصور آنها این است که اتفاق بدی نمی‌افتد و به همین دلیل هم بی‌مبالاتی می‌کنند. یک نگاه دیگر هم وجود دارد در کنار قانون و ابزارهای سلبی و ما سعی در مطرح کردن این نگاه داریم؛ اینکه این داده‌ها باید در حکم امانت تلقی شوند نزد کسب‌وکارها.
صادقی با بیان اینکه داده‌هایی که مردم نزد کسب‌وکارها می‌گذارند واقعا ویژگی‌های امانت را دارد و کسب‌وکارها به این توجه نمی‌کنند که افراد داده‌های شخصی خود را به اشتراک گذاشته و این موضوع شوخی‌بردار نیست. حتی اینکه چه تراکنش‌هایی در یک کسب‌وکار انجام می‌شود. نه الزاما تراکنش‌های مالی، اینکه چه فعل و انفعالاتی اتفاق می‌افتد و این اطلاعات بعدا می‌تواند در دست هر هکری بیفتد و افشا شود و تبعاتش برای زندگی فرد چیست؟ بی‌توجهی این کسب‌وکارها هم احتمالا به این خاطر است که دیدند این بی‌توجهی تبعاتی ندارد.
او ادامه داد: ما اعتقادمان در سازمان فناوری اطلاعات این است که ظرفیت قانونی کافی برای پیگیری قانونی نشت اطلاعات، همین حالا هم وجود دارد. چه در مواد مربوط ‌به قانون جرائم رایانه‌ای و چه در سایر قوانین دیگر، هتک حیثیت و انتشار داده‌های شخصی افراد، موارد بسیاری آمده است. مهم اراده قضایی برای این موضوع است. اراده‌ای که شکل می‌گیرد در حوزه قضایی که پیگیری جدی در خصوص این موارد صورت گیرد، صورت‌مساله ماست.
معاون امنیت سازمان فناوری اطلاعات در پاسخ به اینکه آیا برای پیگیری نشت داده‌های شرکت‌ها و سازمان‌ها اراده قضایی وجود ندارد، گفت: ما آن‌طور که باید و شاید نمی‌بینیم زیرا در غیر این صورت شرایط متفاوت از حال بود. اما اینکه اراده‌ای وجود ندارد منجر به این خواهد شد که شرکت‌ها و حتی سازمان‌های دولتی در این خصوص بی‌مبالاتی کنند.
صادقی درباره تاخیر در اجرای لایحه صیانت از داده‌های شخصی که دو سال پیش رونمایی شده بود، توضیح داد: آن لایحه خروجی وزارت ارتباطات بود اما متاسفانه در بوروکراسی‌های دولتی گیر کرده بود که اخیرا از کمیسیون آزاد شده تا در صف طرح در صحن هیات دولت قرار گیرد.
این لایحه چندین بار به صورت رفت و برگشتی ادامه داشته که منجر به تاخیر در این خصوص شده و البته سازمان فناوری اطلاعات هم این موضوع را پیگیری می‌کند.