لزوم به‌روزرسانی قانون مقابله با جرائم رایانه‌ای در ایران

خبرگزاری علم و فناوری آنا؛ «امنیت» نه در دنیای حقیقی که در فضای مجازی هم موضوع بسیار مهمی است. امروزه یکی از اصطلاحاتی که به اولویتی مهم در فضای مجازی تبدیل شده، تأمین امنیت سایبری است.

درواقع امنیت سایبری یعنی اینکه از هر سیستمی که به اینترنت متصل می‌‌شود چه سخت‌افزاری باشد چه نرم‌افزاری محافظت شود. از این رو با گسترش نفوذ هکر‌ها، یکی از بزرگترین چالش‌ها برای سازمان‌ها و پلتفرم‌ها در سراسر دنیا تامین امنیت سایبری است. با استفاده از امنیت سایبری، اطلاعات کاربران در کسب‌وکار‌های آنلاین محافظت می‌شود که در نهایت منجر به افزایش اعتماد و شهرت آن شرکت در میان شرکا و رقبا می‌شود.

هفته گذشته بود که سایت «خانه ملت» هک شد. پیشتر هم پلتفرم اسنپ فود، تپسی یا سامانه‌های وزارت علوم و ثبت احوال مورد حمله سایبری قرار گرفتند. در همین رابطه با مهیار خدادادی، کارشناس امنیت سایبری گفت‌وگو کردیم. در ادامه متن کامل این گفت‌وگو را می‌خوانید:

از اروپا تا امارات؛ جریمه‌های سنگین برای نشت اطلاعات کاربران

آنا: در کشور‌های مختلف چه جریمه‌هایی برای سکو‌ها یا پلتفرم‌ها درباره هک اطلاعات کاربران در نظر گرفته شده است؟

خدادادی: قوانین حفظ حریم خصوصی افراد در فضای مجازی متفاوت است و بستگی به بستر قانونی کشور‌ها دارد. در بعضی از کشورها، قوانین و مقررات ویژه‌ای برای حفظ حریم خصوصی در این دامنه تدوین شده است مثل قانون معروف «جی‌دی‌پی‌آر» (GDPR) اتحادیه اروپا که جریمه آن تا ۲۰ میلیون یورو یا ۴% از درآمد سالانه سکو‌های متخلف را در برگرفته است. قانون «سی‌سی‌پی‌ای» (CCPA) آمریکا که تا ۱۰۰ هزار دلار جریمه برای تخلف پلتفرم‌ها تعیین کرده و یا حتی در نزدیک کشور خودمان، قانون «پی‌دی‌پی‌ای» (PDPA) کشور امارات متحده عربی، که مجموع این قوانین برخی چارچوب‌ها و الزامات بسیار خوبی برای پلتفرم‌ها و سکو‌هایی که داده‌محور هستند تعیین و الزام به اجرا کرده است و مجازات نسبتاً سنگینی برای تخطی از آن در نظر گرفته شده که نشان از اهمیت این موضوع دارد.

این در حالی است که برخی کشور‌ها مانند ایران از قوانین عمومی حقوقی استفاده می‌کنند که درواقع خلأ وجود چارچوب حفظ حریم خصوصی کاربران در این کشور‌ها به مراتب بیشتر حس می‌شود.

هکرها با داده‌های مردم چه می‌کنند؟

آنا: در کشور ما چندین بار هک اطلاعات چه در پلتفرم‌هایی مثل اسنپ‌فود، تپسی یا سامانه‌های وزارت علوم، سایت مجلس شورای اسلامی و ثبت احوال صورت گرفته است. اصولاً چرا باید برای کاربران هک داده هایشان مهم باشد؟ هکر‌ها با در دست داشتن این اطلاعات به دنبال چه هستند؟

خدادادی: درواقع ما در عصر داده‌ها زندگی می‌کنیم. دیتا‌های کاربران بسته به نوع اطلاعاتی که در آن‌ها وجود دارد برای هکر‌ها کاربرد‌های مختلفی دارند. برای مثال می‌توانند با استفاده از اطلاعات کاربران، هویت جعلی در سایر پلتفرم‌ها ساخته، خرید آنلاین کنند و یا حتی در گزارش‌هایی شاهد دریافت وام با استفاده از روش سرقت هویت بودیم!

مورد بعدی در خصوص آخرین هک سکوی فروش غذای آنلاین هم می‌تواند صدق بکند این است که شاید از آن دسته افرادی باشیم که رمز‌های حساب کاربری‌مان یکسان باشد و از قضا اگر رمزی که در سکوی هک‌شده وارد کرده‌ایم مساوی با رمز سایر شبکه‌های اجتماعی و حساب‌هایمان بود، باید فوراً اقدام به تغییر رمز‌ها کرده، زیرا هکر‌ها از طریق پسورد‌ها و اطلاعاتی مانند ایمیل و شماره موبایل به‌راحتی قابلیت دسترسی به حساب‌های دیگر را دارند.

به‌نظرم مهم‌ترین نکته در پاسخ به این سوال بحث مهندسی اجتماعی و فیشینگ است. هکر‌ها با اطلاعات کاملی که از شما به دست می‌آورند، طی تماس یا پیامی بخش از اطلاعات را به‌ شما داده که کاملا درست است و این اعتمادسازی باعث ایجاد همکاری و ترغیب شدن می‌شود که درنهایت احتمالا منجر به خالی شدن حساب بانکی و یا هک شدن سایر پلتفرم‌های کاربر می‌شود.

در آخر راحت‌ترین روش، فروش اطلاعات در بازار سیاه است. یکی از مزایای آن برای خریداران، بازاریابی داده‌محور است که با استفاده از آن تبلیغات به صورت هدفمند اجرا می‌شود.

شکاف عمیق میان واقعیت زندگی امروزی و قانون جرائم رایانه‌ای

آنا: در کشور ما تا قبل از ابلاغ دستورالعمل حفاظت از حریم خصوصی کاربران آیا قانون جامعی در این حوزه وجود داشته؟

خدادادی: همانطور که اشاره کردم بعضی از کشور‌ها قوانین ویژه‌ای برای این مسائل ندارند و با استناد به قوانین عمومی حقوقی یا یکسری آئین نامه‌های مرتبط با این موضوعات برخورد می‌کنند. در ایران راستا از قانون جرائم رایانه‌ای استفاده می‌شود که مصوبه سال ۱۳۸۸ بوده و فاصله زیادی با زندگی آنلاین امروزی ما دارد و در زمانی که این قانون تصویب شد، پلتفرم‌ها به صورت امروزی وجود نداشت و نکته حائز اهمیت اینکه مجازات آن به طور مثال در بحث هک یا دسترسی غیرمجاز به داده‌ها یک سال حبس تعزیری بوده که نسبت به سایر مجازات‌های تعریف شده در حوزه سایبری کشور‌های دیگر ناچیز است. قانون تجارت الکترونیک، دستورالعمل‌های فیلترنیگ، آیین‌نامه ساماندهی شبکه‌های اجتماعی موارد دیگری از باید‌ها و نباید‌های فضای سایبری کشورمان است که در آن‌ها از حق دسترسی، حق آزادی بیان، حق امنیت و حفظ حریم خصوصی کاربران گفته شده است.

الزام سکو‌ها به حذف داده‌های خصوصی کاربران

آنا: در این دستورالعمل آمده که کلیه ارائه دهندگان خدمات فضای مجازی همان سکو‌ها ملزم به حذف داده‌ها هستند و داده‌ها را باید در حد مورد نیاز خود جمع‌آوری کنند. اجرای این دستورالعمل تا چه اندازه می‌تواند در زمینه امنیت سایبری کافی باشد؟

خدادادی: قطعاً در زمینه حفظ حریم خصوصی کاربران و کاهش ریسک‌های امنیتی تاثیر مثبتی دارد. هرچقدر حجم داده‌های دریافتی کمتر باشد و از ذخیره داده‌های حساس جلوگیری شود موجب کاهش خطر سوءاستفاده احتمالی از آن‌ها می‌شود. این موارد لازم‌الاجراست، اما به‌خودی‌خود کافی نیست. باید از مواردی مانند آموزش و آگاه‌سازی، پیاده‌سازی گواهینامه‌های امنیتی، تست نفوذ و ارتقای زیرساخت‌ها استفاده شود.

سکوها موظف به تأمین امنیت هستند

آنا: در کشورمان اگر یک سامانه یا سکو هک شد، تا چه اندازه باید پلتفرم مسئولیت آن را بپذیرد و به دنبال امنیت کاربران باشد؟

خدادادی: شاید از نظر انتشار محتوای نامناسب توسط کاربران در پلتفرم‌ها یا استفاده نادرست از آن تا حدودی بتوانیم به صاحبان سکو‌ها حکم برائت بدهیم، اما در بحث حفظ حریم خصوصی و داده‌های کاربران به نظرم قطعاً مسئول بوده و موظف به تأمین امنیت کامل سکو‌ها هستند. همچنین سازمان‌های ذی‌ربط با ایجاد قوانین و چارچوب‌های سفت و سخت و همینطور معرفی آن‌ها به مراجع قضایی می‌توانند سکوها را ملزم به ایجاد یک بستر امن کنند.

آنا: نقش حاکمیت و دستگاه‌های متولی مثل افتا، پدافند غیر عامل، پلیس فتا و وزارت ارتباطات در امنیت سایبری دستگاه‌ها و پلتفرم‌های کشور چیست و تا چه میزان کار خود را به‌درستی انجام دادند؟

خدادادی: نقش بسیار حیاتی و مهمی را برعهده دارند و باید در جهاتی مثل تنظیم و ایجاد مقررات در جهت تامین امنیت و دفاع از حریم خصوصی کاربران، برگزاری دوره‌های آموزشی و ارتقا توانمندی‌ها، تجزیه، رصد و تحلیل تهدیدات سایبری و توسعه زیرساخت‌های امنیتی همواره کوشا باشند.

در حال حاضر دو مورد تنظیم و اجرای قوانین و مقررات و آگاه‌سازی مهم‌ترین وظایفت آن‌هاست.

وضعیت قابل قبول امنیت سایبری در ایران

آنا: کشور‌های مختلف از لحاظ امنیت سایبری در چه جایگاهی هستند و ایران چه رتبه‌ای دارد؟

خدادادی: بررسی رتبه‌بندی‌های مختلف در دنیا بر اساس متر و معیار‌های گوناگونی انجام می‌شود و نسبت به سیاست‌ها و قوانین کشور‌ها متغییر است، اما در کل ایران در رتبه‌بندی کشور‌ها جایگاه نسبتاً قابل قبولی دارد. نباید این نکته را فراموش کرد که امروزه سرعت پیشرفت دنیای مجازی و اینترنت بسیار زیاد بوده و باید همواره در تلاش برای افزایش امنیت فضای سایبری باشیم در غیر اینصورت به‌زودی شاهد بروز خطرات و تهدیدات جدی‌تری خواهیم بود.