برای مقابله با مسببان لو رفتن اطلاعات ارادهای نیست؟
با وجود اهمیت محافظت از دادههای شخصی که در اختیار شرکتها قرار میگیرد، به نظر میرسد ارادهای برای پیگیری نشت دادهها وجود ندارد و این موضوع هم به این منجر میشود که شرکتها و سازمانها با این نگاه که نشت دادهها اتفاق چندان بدی نیست، در این خصوص بیمبالاتی کنند.
لو رفتن اطلاعات شخصی مربوط به کاربران تلگرامی به دلیل استفاده از نسخههای غیررسمی این اپلیکیشن و استفادهکنندگان از فروشگاههای آنلاین داخلی و حتی اطلاعات ثبت احوالی ایرانیان در روزهای ابتدایی فروردین ماه سال جاری و پس از آن اخباری از نشت اطلاعات در برخی از سازمانها، در ماههای گذشته از ابتدای سال، به یکی از مهمترین و پرجنجالترین اخبار تبدیل شده بود.
امیر ناظمی -رئیس سازمان فناوری اطلاعات – چندی پیش درباره لو رفتن اطلاعات سازمانها گفته بود: هرچند قانون حفاظت از دادههای عمومی یا همان GDPR در هزارتوی نظام بروکراسی محبوس مانده است، اما این به آن معنا نیست که قانونی برای اجبار سازمانها و دستگاهها به حفاظت از دادههای شخصی وجود ندارد، بلکه به معنای آن است که همه نیازها را پاسخ نمیدهد. تکتک این مواد قانونی میتواند منجر به محکومیت هر فرد حقیقی و حقوقی شود که در محافظت از دادهها سهلانگاری کرده است.
با وجود این، شواهد نشان میدهد اگر پایگاه اطلاعات کسبوکاری فاش شود، معمولا کارش به دادگاه نمیرسد، این شرکتها هم ترجیح میدهند اتفاقات مشمول گذر زمان شود، درحالی که بحث حریم شخصی با دلجویی هم حل نمیشود، بلکه نیازمند قانون است و نشت اطلاعات باید تبعاتی داشته باشد.
در این راستا ابوالقاسم صادقی – معاون امنیت سازمان فناوری اطلاعات- در گفتوگو با ایسنا با اشاره به نقش بیمبالاتی و بیتوجهی شرکتها و سازمانها در نشت اطلاعات داده کاربران بیان کرد: این شرکتها دغدغه ندارند. حضور کارشناس امنیتی در این شرکتها لازم است اما اکثر آنها ندارند. کسبوکارهای حوزه آیتی، حتی شرکتهای بزرگی که گردش مالی بالایی دارند هم در این زمینهها خست به خرج میدهند و وقتی نوبت به هزینه در حوزه امنیتی میشود، خرج نمیکنند.
وی با بیان اینکه این شرکتها گاهی احساس میکنند خیلی هم اتفاق بدی نیفتاده است، گفت: اطلاعات بسیاری از شرکتها و سازمانهای بزرگ لو رفته که دادههای حساسی هم داشتند، اما به نظر میرسد تصور آنها این است که اتفاق بدی نمیافتد و به همین دلیل هم بیمبالاتی میکنند. یک نگاه دیگر هم وجود دارد در کنار قانون و ابزارهای سلبی و ما سعی در مطرح کردن این نگاه داریم. اینکه این دادهها باید در حکم امانت تلقی شوند نزد کسبوکارها.
صادقی با بیان اینکه دادههایی که مردم نزد کسبوکارها میگذارند واقعا ویژگیهای امانت را دارد، گفت: کسبوکارها به این توجه نمیکنند که افراد دادههای شخصی خود را به اشتراک گذاشته و این موضوع شوخیبردار نیست. حتی اینکه چه تراکنشهایی در یک کسبوکار انجام میشود. نه الزاما تراکنشهای مالی، اینکه چه فعل و انفعالاتی اتفاق میافتد و این اطلاعات بعدا میتواند در دست هر هکری بیفتد و افشا شود و تبعاتش برای زندگی فرد چیست؟ بیتوجهی این کسبوکارها هم احتمالا به این خاطر است که دیدند این بیتوجهی تبعاتی ندارد.
وی ادامه داد: ما اعتقادمان در سازمان فناوری اطلاعات این است که ظرفیت قانونی کافی برای پیگیری قانونی نشت اطلاعات، همین حالا هم وجود دارد. چه در مواد مربوطبه قانون جرائم رایانهای و چه در سایر قوانین دیگر، هتک حیثیت و انتشار دادههای شخصی افراد، موارد بسیاری آمده است. مهم اراده قضایی برای این موضوع است. ارادهای که شکل میگیرد در حوزه قضایی که پیگیری جدی درخصوص این موارد صورت گیرد، صورتمساله ماست.
معاون امنیت سازمان فناوری اطلاعات در پاسخ به اینکه آیا برای پیگیری نشت دادههای شرکتها و سازمانها اراده قضایی وجود ندارد، گفت: ما آنطور که باید و شاید نمیبینیم، زیرا در غیر این صورت شرایط متفاوت از حال بود. اما اینکه ارادهای وجود ندارد منجر به این خواهد شد که شرکتها و حتی سازمانهای دولتی در این خصوص بیمبالاتی کنند.
صادقی درباره تاخیر در اجرای لایحه صیانت از دادههای شخصی که دو سال پیش رونمایی شده بود، توضیح داد: آن لایحه خروجی وزارت ارتباطات بود اما متاسفانه در بروکراسیهای دولتی گیر کرده بود که اخیرا از کمیسیون آزاد شده تا در صف طرح در صحن هیات دولت قرار بگیرد. این لایحه چندین بار بهصورت رفت و برگشتی ادامه داشته که منجر به تاخیر در این خصوص شده است و البته سازمان فناوری اطلاعات هم این موضوع را پیگیری میکند.