پرونده جدید افشای اطلاعات کاربران ایرانی

روز گذشته به‌صورت رسمی یکی از پلتفرم‌های‌ آنلاین خدمات گردشگری در کشور هک‌شدن تعدادی از سرورهای خود و افشای برخی اطلاعات کاربرانش را اعلام کرد که باعث ایجاد موجی جدید درباره مسئله امنیت اطلاعات کاربران ایرانی شد. هک این سایت خدمات گردشگری و فروش آنلاین بلیت هواپیما یکی دیگر از پرونده‌های مهم افشای اطلاعات کاربران ایرانی ازجمله پس از ماجرای افشای اطلاعات حدود ۶۰هزار راننده تپسی، افشای اطلاعات کارت‌های بانکی و همچنین ماجرای سهل‌انگاری در افشای اطلاعات حدود ۷۰۰پذیرنده اینترنتی یک شرکت پرداخت الکترونیک به‌حساب می‌آید.براساس آنچه مسعود طباطبایی، مدیرعامل گروه علی‌بابا در توییتر خود اعلام کرده هکرها علاوه بر اطلاعات کاربران به منبع‌ کدها نیز دسترسی پیدا کرده‌اند. او نوشته است: مسئولیت این رخداد را می‌پذیریم و از کسانی که به‌نحوی آسیب دیدند، عذرخواهی می‌کنم. با وجود این اعلام عمومی و پذیرش رسمی مسئولیت که امیر ناظمی، معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات هم در توییتر خود از صداقت آن استقبال کرد هنوز جزئیات این هک و گستره افشای اطلاعات کاربران این سایت مشخص نیست. مسعود طباطبایی، مدیرعامل گروه علی‌بابا درباره جزئیات بیشتر این ماجرا و اینکه چه اطلاعاتی از کاربران به‌ دست هکرها افتاده روز گذشته به همشهری گفت: ما حتما جزئیات بیشتری از این مسئله را اعلام خواهیم کرد اما چون هم‌اکنون داریم موضوع را مدیریت می‌کنیم ترجیح می‌دهیم این مسئله با فاصله کوتاه نباشد. در هفته آینده اطلاعات دقیق‌تر و بیشتری به‌صورت مفصل اعلام خواهیم کرد. اکنون می‌توانم بگویم که موضوع کاملا تحت کنترل است. وی تأکید کرده که حتما به کاربران درباره افشای اطلاعاتشان اطلاع‌رسانی می‌شود.او درباره اینکه در میان اطلاعات شخصی، هویتی و سابقه خریدها چه مواردی افشا شده است هم ارائه جزئیات در این رابطه را به هفته آینده موکول کرد. به گفته طباطبایی پرونده این ماجرا با ارائه مستندات ظهر روز گذشته به پلیس فتا برای تحقیقات کامل ارجاع شده است تا روند قضایی این هک پیگیری شود. به گفته طباطبایی این گروه سرنخ‌های جدی درباره پشت پرده این هک و نفوذ دارد و فرایندهای این مسئله در حال پیگیری از سوی مقام‌های مسئول است.

نیاز به رگولاتوری امنیت اطلاعات کاربران
ابوالقاسم صادقی، معاونت امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات در گفت‌وگو با همشهری درباره این هک، تأکید دارد که مهم‌ترین کوتاهی که در سطح ملی صورت گرفته، مشخص‌نشدن نظام رگولاتوری درباره روال امنیت اطلاعات در کسب و کارهای آنلاین است. به گفته او در کشور نظام و فرایندی درنظر گرفته نشده است که حجم بالای اطلاعاتی که در اختیار کسب و کارها و پلتفرم‌های اینچنینی است  چطور باید مورد مراقبت و حفاظت قرار بگیرد. او در این رابطه می‌گوید: از سوی بخش حاکمیتی هم نظام تعهدات کسب و کارها برای حفظ حریم خصوصی و همچنین ممانعت از نشت اطلاعات تدوین و ابلاغ نشده است.

لزوم ورود مدعی‌العموم
محمدجعفر نعناکار، مدیرکل حقوقی سازمان فناوری اطلاعات درباره مسئولیت کسب‌وکارهای آنلاین در قبال اطلاعات شخصی کاربران به همشهری می‌گوید: ما چند قانون داریم که براساس آن می‌توان در چنین مواردی دادخواهی انجام داد. به گفته او در این موارد که افشای اطلاعات کاربران صورت می‌گیرد، معمولا مدعی‌العموم باید به ماجرا ورود پیدا کند.
مدیرکل حقوقی سازمان فناوری اطلاعات می‌گوید درباره افشای اطلاعات کاربران خلأ قانونی وجود ندارد. او می‌گوید: یکی قانون مسئولیت مدنی است که براساس آن اگر کسی باعث ایجاد ضرر و خسارتی شود مسئول جبران این خسارت است. این خسارت می‌تواند مادی یا معنوی، در فضای فیزیکی یا در فضای سایبری باشد. قانون دیگر ماده۷۸ قانون تجارت الکترونیک است که می‌گوید سامانه‌ها و سیستم‌های رایانه‌ای دولتی و خصوصی اگر به‌علت ضعف عملکرد چه در سطح نرم‌افزاری و چه سخت‌افزاری موجب ایجاد خسارت و ضرر و زیان به اشخاص اعم از حقیقی یا حقوقی شوند، می‌بایست این خسارت ایجادشده را به نحو مطلوب جبران کنند. افشای اطلاعات هم می‌تواند به‌نحوی ایجاد خسارت کند.2ابلاغیه هم سازمان فناوری اطلاعات درباره صیانت از پایگاه‌های داده طی ماه‌های اخیر منتشر کرده که براساس مواد قانونی دستورالعمل حفاظت از اطلاعات کاربران مثلا برای پلتفرم‌های آنلاین ارائه شده است.نعناکار درباره افشای اطلاعات کاربران ازجمله درباره ماجرای اخیر می‌گوید: قاعده این است که باید به کاربران درباره جزئیات و موارد افشای این اطلاعات به‌صورت خصوصی اطلاع‌رسانی شود. مدیرکل حقوقی سازمان فناوری اطلاعات تأکید دارد: هرچند کلماتی مثل «شفافیت» و «صداقت» ذاتا بار مثبت دارند و قشنگ هستند اما چیزی از اصل ماجرا کم نمی‌کند. این مثل این است که شما جرمی را مرتکب شوید و بعد در مقابل دادگاه اعتراف کنید. این کار شما را از مسئولیت‌تان تبرئه نمی‌کند. شما باید مجازات جرم‌تان را تحمل کنید. به‌نظرم اکوسیستم فناوری اطلاعات ایران به این آفت دچار شده که خودش را پشت یک‌سری از الفاظ پنهان می‌کند. براساس قواعد حقوقی مثل قاعده لاضرر و اصل تسبیب اگر شما با افشای اطلاعات شخصی باعث خسارت به فردی شدید باید آن را جبران کنید. رسیدگی به این مسائل باعث می‌شود که همه پلتفرم‌ها این مسائل را جدی بگیرند و سرمایه‌گذاری بیشتر و جدی‌تری روی حفظ اطلاعات کاربران و حریم شخصی آنها داشته باشند.