اخطار قانونی یا نصیحت دوستانه؟

هفته قبل پیرو حمله به سایت سازمان تامین اجتماعی، رییس سازمان فناوری اطلاعات در مصاحبه‌ای به نکاتی اشاره کرد که قابل تامل بود. در بخشی از این گفت‌وگو 2 موضوع قابل توجه از زبان وی مطرح شد:

1-    " قبل از اینکه دسترسی به اطلاعات برخی از صورت‌حساب‌های تپسی رخ دهد، با روش پایش از طریق ایمیل به آنها هشدار داده بودیم، اما مدیر امنیت ایمیل خود را چک نکرده بود و متأسفانه آن نفوذ اتفاق افتاد.

2-    سازمان فناوری طی دو مرحله، یک‌بار یک ماه قبل و یک بار دو روز قبل از هک شدن سایت تامین اجتماعی، به آنها در نامه‌ای گوشزد کرد، مشکلاتی وجود دارد که ممکن است منجر به آسیب‌پذیری سایت‌شان شود!"

نظر به اهمیت موضوع و قابلیت بالای تکرارشوندگی این حملات از طرفی و ارزش بالای داده‌های مردم در نهادهای ارایه‌دهنده خدمات عمومی از دیگر سو، باید گفت، اظهارات این مقام مسوول مایه تاسف و نگرانی است. در این خصوص اما می‌توان 2 فرضیه را در نظر گرفت: اول آنکه صرفا این مقام مسوول ادعایی را مطرح کرده است و دوم آنکه این ادعا واقعیت دارد اما اهمیتی به آن داده نشده است.

کاری به فرضیه نخست نداریم اما گر فرض را بر صحت فرضیه دوم قلمداد کنیم، قضیه تاسف‌بار می‌شود؛ با این توضیح که یک نهاد مسوول تامین امنیت فضای سایبری که با بودجه‌ و امکانات کشور احیا شده و از قضا مشکلاتی را شناسایی کرده و به دستگاه‌های ذی‌ٌربط اعلام می‌کند، اما کسی توجهی به موضوعی با این درجه از اهمیت، ‌نمی‌کند. نکته تلخ‌تر ماجرا این که از قضا هیچ برخورد و بازخواست قانونی هم در کار نیست!

فارغ از این که چه نهاد یا سازمانی ضعف‌ها را شناسایی کرده و این کار به شکل خودجوش بوده یا وظیفه قانونی آن سازمان به شمار می‌رفته، باید اذعان کنیم که متاسفانه این ماجراها نشان می‌دهد که ما با نقص‌های زیادی آن هم درست در جایی که پای امنیت مردم در میان است،‌ مواجهیم. به این مفهوم که یا جایگاه قانونی نهاد گزارش‌دهنده مشکلات و نقایص سایت‌ها زیر سوال است و وجاهت قانونی ندارد که در آن صورت خروجی‌اش در حد همان اخبار و هشدارهایی است که شرکت‌های آنتی‌ویروس ارایه می‌دهند که بعید به نظر می‌رسد، چنین جایگاهی داشته باشد. ( هرچند که فعلا و در عمل ظاهرا همین‌طور است.)

اما نقص بعدی قانون این است که نهاد خاطی که به این گزارش عمل نکرده از نظر قانونی مستوجب هیچ مجازاتی نیست. کمااینکه به راحتی و در رسانه‌های رسمی کشور گفته می‌شود مشکل را دیده و گزارش داده‌ایم اما در عمل به آن اهمیتی داده نشده و به فاصله چند روز به سایت تامین اجتماعی حمله شده و حالا هم مشخص نیست که نتیجه کار چه می‌شود.

سوال مهم این است که چنانچه اطلاعات بیش از 40 میلیون بیمه‌شونده تامین اجتماعی مورد سوءاستفاده و دستبرد قرار می‌گرفت هم می‌توانستیم به راحتی از کنار این قضیه عبور کنیم؟ به راستی نهادهای مسوول امنیت فضای سایبری کشور جایگاهشان در حد پند و اندرز امنیتی است یا اخطار با پشتوانه قانونی؟