سرهنگ دوم علی محمد رجبی، کارشناش ارشد امنیت سایبری پلیس فتا: وجود نقص در سامانههای امنیتی و کوتاهی کسبوکارها در این خصوص برای آنها مسئولیتآفرین است و پلیس فتا تلاش دارد تا از حقوق کاربران و حریم خصوصی آنها در این حوزه مراقبت کند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بارها شنیده شدهاست که اطلاعات کاربران یک کسبوکار توسط هکرها به سرقت رفته و در فضای مجازی به فروش میرسد.
از سوی دیگر مدتی پیش، فروش پکهای احراز هویت به همراه تصویر کاربران در شبکههای اجتماعی خبرساز شد. اما پلیس فتا در این رابطه چه اقداماتی انجام دادهاست و اساساً چرا کسبوکارهای اینترنتی برای احراز هویت کاربران، از آنها تصویر چهرهشان در زمان نگهداشتن مدارک شناسایی را طلب میکنند؟
سرهنگ دوم علی محمد رجبی، کارشناش ارشد امنیت سایبری پلیس فتا، پاسخهای مهمی به چرایی این اتفاق میدهد و مشکل اصلی را در نبود یک سیستم یکپارچه برای احراز هویت کاربران از سوی کسبوکارهای اینترنتی بیان میکند. رجبی همچنین فروش اطلاعات کاربران در فضای مجازی را از خطوط قرمز پلیس فتا میداند. وی عقیده دارد که وجود نقص در سامانههای امنیتی و کوتاهی کسبوکارها در این خصوص برای آنها مسئولیتآفرین است و پلیس فتا تلاش دارد تا از حقوق کاربران و حریم خصوصی آنها در این حوزه مراقبت کند.
با توجه به فروش پک احراز هویت در فضای مجازی، کسبوکارهای اینترنتی که از کاربران خودشان برای احراز هویت عکس شخصی به همراه شماره ملی و کارت بانکی میگیرند، آیا در حال انجام کاری قانونی هستند؟
بر اساس ماده ۳۲ قانون جرائم رایانهای، ارائهدهندگان خدمات دسترسی موظفاند دادههای ترافیک را حداقل تا 6 ماه پس از ایجاد حفظ کنند و اطلاعات کاربران را حداقل تا 6 ماه پس از خاتمه اشتراک، نگهداری کنند.
البته اینطور نیست که تمام کسبوکارها را مصداق ارائهدهندگان دسترسی بدانیم، ولی آنچه مهم است، اینکه کسبوکار باید بتواند به شیوهای مناسب کاربر و خدمتگیرنده خود را شناسایی کند، بهخصوص زمانی که کسبوکار از تراکنش مالی برخط استفاده میکند.
لذا با توجه به این موضوع، احراز هویت توسط کسبوکارها برای ارائه خدمات موردنظر قانونی است و هر کسبوکار اینترنتی با توجه به نوع خدمات قابلارائه باید اقدام به دریافت اطلاعات از کاربران کند.
البته باید متذکر شد بهدلیل نبود ساختار مناسب و یکپارچه جهت احراز هویت کاربران برای هر کسبوکار و همچنین ضرورت اجرای قوانین و دستورالعملها در خصوص احراز هویت کاربران مانند ماده فوقالذکر، موجب شده که برخی کسبوکارها بهخصوص کسبوکارهایی که خدمات مالی ارائه میدهند اقدام به دریافت اطلاعات هویتی کاربران با شیوههای مختلف ازجمله دریافت عکس فرد همراه با کارت ملی کنند.
مواردی هم که از فروش هویت کاربران در فضای مجازی مشاهده میشود عمدتاً مربوط به صرافیهایی هستند که برای ارائه خدمات غیرحضوری مالی از شیوه دریافت عکس فرد همراه باکارت ملی استفاده کرده بودند و متأسفانه به دلیل ضعف در امنیت با مشکل هک و سرقت اطلاعات مواجه شدند. که البته این امر برای آنها پیامدهای قانونی به دنبال دارد.
راهحل درست برای سایتهای اینترنتی جهت انجام احراز هویت چیست و آیا سایتهای مختلف نیاز به سطوح متفاوتی از احراز هویت هستند؟
راهحل درست این کار پیادهسازی نظام یکپارچه احراز هویت در فضای مجازی کشور توسط دستگاههای حاکمیتی مانند ثبت احوال، بانک مرکزی و وزارت ارتباطات است. که متأسفانه پیشرفت مناسبی نداشته است و این خلأ موجب شده کسبوکارهای اینترنتی با توجه به نوع خدمات خود اقدام به احراز هویت کاربران نماید.
البته پلیس فتا در سالهای اخیر سعی کرده در قالب سند نظام ملی پیشگیری و مقابله با حوادث فضای مجازی، با استانداردسازی این موضوع و تعریف شیوههای مناسب به کمک کسبوکارها بیاید و ضمناً از حریم خصوصی کاربران هم دفاع کند و مانع دریافت اطلاعات غیرضروری از سوی کسبوکارها شود.
در صورت افشای خواسته یا ناخواسته چنین دیتابیسی، آیا سایت از نظر پلیس فتا مجرم است؟
دارنده اطلاعات از دو جنبه مسئولیت نگهداری و مواظبت از دادههای کاربران را دارد. اول، طبق ماده ۱۷ فصل پنجم قانون جرائم رایانهای، اگر کسبوکاری از روی عمد، بدون اجازه و رضایت کاربران هرگونه اطلاعات آنها را منتشر كند یا در دسترس دیگران قرار دهد، بهنحویکه منجر به ضرر یا عرفا موجب هتک حیثیت او شود، مجرم شناخته میشود.
دوم، اگر افشای اطلاعات کاربران ناخواسته صورت بگیرد و یا اینکه دارنده اطلاعات براثر رعایت نکردن دستورالعملها و اصول و مقررات زمینه نقض حریم خصوصی و ضرر و زیان کاربران را فراهم کند، طبق ماده ۱ قانون مسئولیت مدنی که بیان میکند «هرکس بدون مجوز قانونی عمداً یا درنتیجه بیاحتیاطی به جان یا سلامتی یا مال یا آزادی یا حیثیت یا شهرت تجارتی یا به هر حق دیگر که بهموجب قانون برای افراد ایجاد گردیده لطمهای وارد کند که موجب ضرر مادی یا معنوی دیگری شود مسئول جبران خسارت ناشی از عمل خود است» مجرم شناخته میشود و متناسب با ضرر و زیان ایجادشده و به تشخیص قاضی محکوم خواهد شد.
همچنین با توجه به ماده ۷۸ قانون تجارت الکترونیکی، «هرگاه در بستر مبادلات الکترونیکی در اثر نقص یا ضعف سیستم مؤسسات خصوصی و دولتی، بهجز درنتیجه قطع فیزیکی ارتباط الکترونیکی، خسارتی به اشخاص وارد شود، مؤسسات مزبور مسئول جبران خسارت وارده میباشند مگر اینکه خسارات وارده ناشی از فعل شخصی افراد باشد که در این صورت جبران خسارات بر عهده این اشخاص خواهد بود.» کسبوکاری که به دلیل نقص یا ضعف در سامانههای خود زمینه ضرر به کاربران را فراهم کند مجرم شناخته میشود و متناسب با سطح خسارت و طبق نظر قاضی باید جبران خسارت کنند.
دیتابیسهای اینچنینی مربوط به احراز هویت در حال خریدوفروش در اینترنت هستند. پلیس فتا چه اقداماتی در رابطه با این مسئله انجام دادهاست؟
با توجه به اینکه انتشار اطلاعات کاربران و سوءاستفاده از اطلاعات موجود در بسیاری موارد باعث هتک حیثیت افراد و یا ایجاد ضرر و زیانهای مادی و معنوی برای فرد میشود، اینگونه جرائم جزء خط قرمزهای پلیس فتا محسوب میشود و بهشدت با عوامل انتشار دهند برخورد خواهد شد. پلیس فتا در این خصوص اقدامات متعددی انجام دادهاست.
یکی از این کارها برگزاری جلسات متعدد با مدیران کسبوکارهای اینترنتی در خصوص راهکارهای ایجاد امنیت دادههای در اختیار و چگونگی حفظ و نگهداری اطلاعات کاربران بهمنظور عدم انتشار در فضای مجازی و همچنین چگونگی نوع احراز هویت برای هر کسبوکار با توجه به نوع خدمات قابلارائه به کاربران خود بوده است.
اقدام دیگری که در دستور کار روزانه پلیس فتا است، گشت زنی و رصد دائم فضای سایبر و شناسایی اینگونه جرائم است و در صورت مشاهده بلافاصله موضوع شناسایی و تشکیل پرونده میشود و برای سیر مراحل قانونی به مرجع قضایی ارسال میشود.
البته باید به این نکته توجه کرد که انتشار اطلاعات در فضای مجازی صورت میگیرد و دادهها میتواند در اختیار هر فردی در هر نقطه از جهان قرار داشته باشد و از این اطلاعات موجود سوءاستفاده کند. و یا اینکه از طریق سایتهای خارجی منتشر شوند که این موضوع میتواند امکان حذف اطلاعات از روی وب را از بین ببرد و علیرغم دستگیری مجرم دادهها همچنان در وب وجود داشتهباشند و از طریق سایر مجرمان خریدوفروش شوند.