امنیت دادههای کاربران در ایران کماکان در معرض خطر قرار دارد و مسوولان سازمانهای دولتی و خصوصی نیز نسبت به این موضوع منفعل هستند؛ تا جایی که در روزهای اخیر ترکش حملات سایبری به یک پلتفرم رزرو آنلاین اقامتگاه خورد و برخی از اطلاعات کاربران آنها نشت یافت. در این شرایط با اینکه مهلت چندباره اجرای دستورالعمل حفاظت از حریم خصوصی کاربران به پایان رسیده، اما تاکنون گزارشی از تمکین کسب و کارها به این دستورالعمل منتشر نشده است. گزارشهای بینالمللی نیز نشان میدهد که در دو دهه گذشته ایران ۰.۹درصد از کل نشت داده در جهان را به خود اختصاص داده است. از طرف دیگر، در حالی که در دنیا اقدامات و الزامات قانونی سخت گیرانهای برای جلوگیری از بروز فساد در دادهها انجام شده، اما این موضوع در ایران با وجود برخی از اقدامات مثبت تا حد زیادی مغفول مانده و قوانین فقط در ۱۳الزام به آن توجه کرده است.
حراج دیتای ایرانیها در نبود قوانین لازمالاجرا
یک گروه هکری که پیش از این سابقه حمله سایبری و هک شرکتهای تپسی، اسنپ فود و سایت سازمان حج و زیارت را داشت، در روز نوزدهم ماه جاری با انتشار پستی در کانال تلگرامی خود ادعا کرد که پلتفرم «اتاقک» را هک کرده و به اطلاعات مختلفی دست یافته است. اتاقک پلتفرم رزرو آنلاین اقامتگاه است که این گروه هکری ادعا میکند با هک آن به اطلاعاتی از جمله اطلاعات رزرواسیون، اطلاعات بانکی، پیامها و چت ها، اطلاعات کاربری و اطلاعات دقیق اماکن قابل رزرو دست پیدا کرده است. این گروه هکری نمونه این اطلاعات را هم در لینکی به اشتراک گذاشته که برای همه کاربران قابل دسترسی و دریافت است. این روشی است که این گروه هکری در همه حملههای سایبری خود انجام میدهد. بخشی از اطلاعاتی را که به آنها دست پیدا کرده منتشر میکند و پلتفرم هک شده را ترغیب میکند که در ازای مبلغی مشخص این اطلاعات را به آنها بازگردانده و به صورت عمومی منتشر نکند.
چند ساعت پس از رسانهای شدن هک اتاقک، این پلتفرم در بیانیهای اعلام کرد که در حال راستی آزمایی ادعای هک گروه IRLeaks است و در صورتی که این ادعا تایید شود مسوولیت آن را میپذیرد. همچنین به کاربران خود اطمینان خاطر داد که کلیه اطلاعات پرداخت بانکی کاربران، اعم از اطلاعات مربوط به کد امنیتی کارت (CVV ۲)، رمز عبور و تاریخ انقضا، در امنیت کامل قرار دارد و این اطلاعات مطابق مقررات بانک مرکزی در هیچ یک از پلتفرمها ذخیره نمیشوند. اتاقک دو روز بعد در اطلاعیه دوم خود هک اطلاعاتش را تایید و دوباره تاکید کرد که دسترسی غیرمجاز به اطلاعات بانکی کاربران صورت نگرفته است.
در شرایطی که گروه هکری مذکور به این پلتفرم مهلت داده بود تا برای جلوگیری از فروش اطلاعات وارد مذاکره شود، اتاقک در بیانیه سوم خود با اشاره به اینکه با هکرها به توافق رسیده است، به کاربران خود اطمینان داد که اطلاعاتی که به دست هکرها افتاده، فروخته نخواهد شد. با اعلام این گروه هکری مبنی بر موفقیت آمیز بودن مذاکرات با اتاقک، عدمفروش اطلاعات کاربران این پلتفرم تایید شد.
در شرایطی که گروه هکری مذکور در جدیدترین اطلاعیه خود آخرین وضعیت فروش اطلاعات پلتفرمهای هک شده را منتشر کرده، در ادامه غفلت قوانین، انفعال مسوولان دولتی و خصوصی و عدمشفافیت در حفاظت از دادهها و آسیب پذیری بالای کاربران ایرانی نسبت به حملات سایبری، بررسی شده است. در آخرین اطلاعیه گروه هکری IRLeaks ضمن بیان فروشی نبودن اطلاعات پلتفرمهای اسنپ فود و اتاقک، مبالغ قابل توجهی برای فروش اطلاعات کاربران ۲۳ شرکت بیمه، پلتفرم تپسی و سازمان حج و زیارت اعلام شده است. طبق این اطلاعیه، مبالغ ۲۵هزار دلار و ۹۰هزار دلار به ترتیب برای فروش اطلاعات این سه سازمان ذکر شده است.
این موضوع مهر تاییدی بر عدمشفافیت نهادهای هک شده در قبال کاربران خود است که نشان دهنده عدماحساس مسوولیتی نسبت به بیان جزئیات مورد مذاکره، نبود اقدامات امنیتی متعاقب آن به منظور تکرارنشدن نشت اطلاعات و عدماطمینان بخشی به کاربران برای عدمافشای دادهها حتی در صورت توافق است. پیش از اتاقک، سازمان حج و زیارت هدف اولین هک از سلسله حملات سایبری شروع شده در سال گذشته بود. این گروه همچنین ادعا کرد به ۱.۲۵ ترابایت اطلاعات مهمی از حجاج و زائران که از سال ۱۳۶۳ تا ۱۴۰۳ در این سایت ذخیره شده بود، دست پیدا کرده است.
سازمان حج و زیارت نیز به عنوان مسوول حفاظت از دادههای کاربران خود، فقط این هک را تایید کرد، اما اسم این سازمان همچنان در فهرست گروه هکری مذکور برای فروش اطلاعات قرار دارد. از سوی دیگر، اطلاعات شخصی ۲۷ میلیون مسافر و ۶میلیون راننده تپسی نیز در سال گذشته هک شد و اسم این پلتفرم نیز در فهرست همان گروه هکری قرار دارد، تپسی هم مانند سازمان حج و زیارت توضیحی درباره اقدامات امنیتی برای جلوگیری از فروش تکرار نشت دادههای کاربران منتشر نکرده است.
فارغ از این، ایرانیها از سال گذشته مجموعهای از حملات سایبری به سامانهها و پلتفرمهای داخلی را تجربه کرده اند؛ تا جایی که تعداد حملههای سایبری در سال ۱۴۰۲ به میزانی بود که در حوزه فناوری میتوان این سال را به نام سال تهدید امنیت سایبری کشور و وضعیت پر مخاطره صیانت از داده شناخت. در همان سال بود که مرکز ملی فضای مجازی پس از هکهای مکرر، دستورالعمل اجرایی حفاظت از حریم خصوصی کاربران را ابلاغ کرد، اما در حال حاضر با گذشت چند ماه و تمدید مهلتها هنوز گزارشی از تمکین کسب و کارها از این دستورالعمل منتشر نشده است. پیش از این حسین دلیریان، سخنگوی مرکز ملی فضای مجازی، در گفتگو با «دنیایاقتصاد» با بیان اینکه مهلت دوم اجرای دستورالعمل حفاظت از حریم خصوصی کاربران در اواخر خرداد ماه به پایان خواهد رسید، توضیح داد: «اجرای بخش زیادی از این دستورالعمل پیش از عید به پایان رسیده است.»
علاوه بر این، تصویب لایحه اخیر دولت مبنیبر حفاظت از دادههای شخصی بدون انتشار جزئیات الزام آور قانونی است که کارشناسها نگاه مثبتی به آن ندارند و به اعتقاد کارشناسان، در مثبتترین نگاه ممکن اگر این لایحه دولت فقط با ایده صیانت از دادههای مردم تصویب شده باشد، با تشدید فیلترینگ از سال ۱۴۰۱ و تداوم آن، حفاظت از دادهها و امنیت آنها عملا کار دشواری است؛ زیرا با استفاده مداوم مردم از فیلترشکن برای دسترسی به تلگرام، اینستاگرام و سایر پلتفرمهای بینالمللی فیلترشده، گوشیهای آنها و در کل شبکه ناامن و آسیب پذیر میشود و محل انواع حملات سایبری است. کارشناسان نسبت به دستورالعمل حفاظت از حریم خصوصی کاربران هم نظر مشابهی دارند و معتقدند که این دستورالعمل ضمانت اجرایی و بازدارندگی مانند قانون ندارد.
همچنین برخی از آنها معتقدند اجرای این دستورالعمل برای کسب و کارها هزینه خواهد داشت. فارغ از اینها، با فیلترینگ گسترده اینترنت در دو سال اخیر و افزایش محدودیتهای فضای مجازی، اکثر پروتکلهای ایمن سازی مخدوش شده اند و به اعتقاد کارشناسان تا زمانی که فیلترینگ و استفاده از فیلترشکن همچنان پابرجا باشد، ایران برای حملات سایبری هکرها هدفی آسان و در دسترس خواهد بود. نمیتوان انتظار داشت تا با وجود سلطه فیلترینگ بر شبکه اینترنت ایران، مانع جدی برای هکرها وجود داشته باشد.
غفلت قوانین از رخنه در دادهها در ایران تا حدی جدی است که مرکز پژوهشهای مجلس در گزارشی به این موضوع پرداخت و طبق آن، در دنیا اقدامات و الزامات قانونی سخت گیرانهای برای جلوگیری از بروز فساد در دادهها انجام شده، اما این موضوع در ایران با وجود برخی از اقدامات مثبت تا حد زیادی مغفول مانده است؛ تا جایی که در کشورهای کره جنوبی، فرانسه، ایرلند، کانادا، انگلستان و ایتالیا بیش از ۱۲۴ الزام قانونی در حوزه حفاظت از دادههای شخصی وجود دارد؛ اما در قوانین ایران فقط ۱۳الزام دیده شده است. علاوه بر این، آمارهای بینالمللی وضعیت نامساعد ایران در امنیت داده را تایید میکند. بر اساس آمار لحظهای منتشر شده از سوی سرف شارک، از سال ۲۰۰۴ تاکنون، یعنی در دو دهه گذشته، ایران ۰.۹درصد از کل نشت داده در جهان را به خودش اختصاص داده است.
طبق دادههای این بنیاد غیرانتفاعی که در زمینه آزادی دسترسی به اینترنت و امنیت سایبری فعالیت میکند، در طول دو دهه گذشته بیش از ۱۶۰ میلیون و ۷۰۰ حساب کاربری در ایران دچار نشت داده شده اند و در این بازه زمانی به طور متوسط از هر صد شهروند ایرانی، ۲۲۳ نفر نشت داده را تجربه کرده اند. این بررسیها نشان میدهد که هر آدرس ایمیل حدود سه بار هک شده است و به ازای هر صد نفر، ۸۸ نفر در ایران هک شدن ایمیل خود را تجربه کرده اند. با این اوصاف، نبود قوانین و جریمههای بازدارنده در زمینه سهل انگاری در نگهداری از اطلاعات خصوصی افراد و نیز به رسمیت نشناختن حق فراموشی داده برای اجرای درخواست حذف اطلاعات شخصی از سوی کاربران در پلتفرمها باعث شده است تا اخبار نشت اطلاعات حیاتی شهروندان ایران به امری تکراری تبدیل شود؛ موضوعی که همه زیانهای مادی و معنوی آن را تنها کاربران ایرانی متحمل میشوند.