احمد محمدغریبان
روند هکها سامانهها و پلتفورمهای دولتی و خصوصی و متعاقب آن توقف ارایه خدمات و ایجاد اختلال در امور کشور و حراج میلیونی دادههای مردم، مساله جدیدی برای پرداختن ندارد و با وقوع هر هک عمده، مسایل، ابهامات، کاستیها و وعدههای تکراری، برای مدتی طرح شده و سپس به فراموشی سپرده میشود تا هک بعدی.
آنطور که از سوابق اخبار پیرامون هکها پیداست، مساله تقسیم مسوولیت در حوزه امنیت سایبری ظاهرا تعیین تکلیف شده است و اگرچه طبعا اقدامات و تلاشهای زیادی در پشت صحنه در حال اجراست، اما تکرار هکهای گسترده و بلاتکلیفی در نتایج رسیدگی به این حملات، تا حدودی ابهام برانگیز شده است.
برای مثال بعد از هک نخست سامانه سوخت کشور، تا هک سامانه شهرداری و هک تپسی و اسنپ و بیمهها و دومین هک سامانه سوخت و … گزارش دقیقی از دلایل و نتایج رسیدگی به این حملات در دست نیست.
یا در ماجرای هک اخیر اسنپ فود، وزیر کشور اعلام کرد خود پلتفورم باید پاسخگو باشد. وزیر ارتباطات پلیس فتا را متولی رسیدگی به این مساله دانست و پلیس فتا هم بدون ارایه گزارش دقیقی اعلام کرد که پرونده این ماجرا را به قوه قضاییه ارسال کرده است.
فارغ از این مساله ما با خلاء نزدیک به دو دههای در قوانین مسوولیت پلتفورمهای ارایهدهنده خدمات و حفاظت از دادههای عمومی رو به رو هستیم.
برای مثال از سال 95 لوایح 5گانهای شامل حمایت از اطلاعات و حریم خصوصی افراد در فضای مجازی، مسوولیت ارایهدهندگان خدمات حوزه فناوری اطلاعات، شناسههای الکترونیکی، حکمرانی الکترونیکی و تراکنشهای الکترونیکی، در دستور کار دولت قبلی و فعلی است که در همین رابطه وزیر ارتباطات اعلام کرده «لایحه حفاظت از دادههای شخصی کاربران» برای بررسی به کمیسیون حقوقی دولت رفته و به احتمال زیاد این لایحه تا پایان سال به مجلس ارسال میشود.
برخی نمایندگان مجلس هم از سال ۹۹ به دلیل خلأ قوانین مرتبط با این حوزه، دو طرح «یکپارچهسازی داده و اطلاعات ملی» و «الزام به انتشار داده و اطلاعات عمومی» را در دستور کار قرار داده بودند که ظاهرا چیزی شبیه لوایح مذکور بود که آن طرحها نیز به سرانجامی نرسید.
این که چرا این لوایح و طرحها با وجود تاکیدات زیاد بر اهمیت آنها به سرانجام نرسیده، موضوعی است که پاسخ روشنی برای آن نداریم.
اما به جز دولت و مجلس، نهادهای دیگری نیز در عرصه فضای مجازی حضور دارند که امکان تسریع و وضع مصوبات و مقررات برای جلوگیری یا کاهش برخی از این خسارات را دارند. شورای عالی فضای مجازی و کمیسیون اقتصاد دیجیتال دولت از جمله این نهادها هستند.
مساله اینجاست که اگر وضع قوانینی در سطح قانون GDPR اروپا (که البته آن هم با توجه به سرعت و ظهور فناوری و خدمات مختلف، همواره در حال به روزرسانیهای مستمر و کلی است)، نیازمند مطالعات دقیق و کارشناسانه و انطباق با قوانین و مقررات زیادی دارد، شاید بتوان گامهای کوچکتر اما موثری از طریق دیگر متولیان این حوزه برداشت تا به این ترتیب شائبه کماهمیتی به اطلاعات و دادههای عمومی پررنگتر نشود.
برای مثال کارشناسان معتقدند کاربران در دنیا «حق فراموشی» را دارند. به این ترتیب که میتوانند بخشی از اطلاعات خود را که در پلتفرمهای مختلف دارند، پاک کنند؛ یعنی لزومی ندارد وقتی یک خرید اینترنتی انجام میدهیم اطلاعات ما سالها در آن سایت باقی بماند و فرد باید بتواند اطلاعات خود را پاک کند.
این موضوع برای خود پلتفرمها هم راحتتر است و میتوانند به جای نگهداری اطلاعات کاربران، روندهای کاربران را نگه دارند، یعنی به جای جزییات مشروح و مفصل، تراکنش کاربران را تبدیل به رویه کنند.
بدیهی است که این امر و تصمیم ساده موجب میشود که ریز اطلاعات کاربران در صورت هک شدن، مورد صدمه کمتری قرار گیرد.
به عبارت دیگر اگر تدوین قوانین پیچیده و مبسوط و تعیین دقیق مسوولیتها و جرایم برای سامانهها و پلتفورمها امری زمانبر محسوب میشود، میتوان با مصوبات کوچکتر، سادهتر و اما در عین حال بسیار موثر، حداقل عمق ذخیره اطلاعات از سوی پلتفورمها را محدود کرد تا به این ترتیب با وقوع هر هک تا ریز زندگی و اطلاعات یک کاربر به فروش نرود.
لذا بار دیگر تاکید میشود که اگر ارسال لوایح یا طرحها به مجلس و سپس تصویب، تایید، ابلاغ و بعد از آن نیز تدوین بخشنامهها و آییننامهها و ارایه مهلت برای تطبیق ارایهدهندگان خدمات با آنها، فرایندی طولانی و زمانبر است، حداقل میتوان از ظرفیت نهادهایی که ذکر شد برای برداشتن گامهای کوچکتر، سریعتر و در عین موثر که نمونهای از آنها ذکر شد، اقدام لازم را به عمل آورد.
در همین رابطه در روزهای گذشته شورای عالی فضای مجازی در همین راستا مصوبه «دستورالعمل اجرایی بهبود حفاظت از حریم خصوصی کاربران و شیوه جمعآوری، پردازش و نگهداری اطلاعات کاربران در سامانهها و سکوهای فضای مجازی» را ابلاغ کرد که اگرچه اشارهای به مسوولیت پلتفورمها در زمان وقوع هکها نشده و صرفا الزاماتی برای حفاظت از دادههای کاربران تعیین کرده است که برای قضاوت دقیقتر باید منتظر خروجی عملیاتی آن ماند.