نوشدارو پس از سرقت داده‌ها

پس از دومينويي كه در بي‌احتياطي از محافظت از داده‌هاي كاربران رخ داده بود، مركز ملي فضاي مجازي دستورالعمل جديدي را براي حفاظت از داده‌هاي مردم در سكوها و سامانه‌ها ابلاغ كرد. گفته شده اين دستورالعمل براي كاهش مخاطرات نقض حريم خصوصي كاربران و حمايت از آنها در برابر تهديدات سايبري، اشخاص حقوقي غير دولتي و دستگاه‌هاي اجرايي كشور را به رعايت قواعد جديدي در حوزه پردازش و نگهداري داده‌هاي مرتبط با كاربران در سامانه‌ها و سكوهاي فضاي مجازي ملزم كرده است. حال بايد ديد دستگاه‌ها و پلتفرم‌هاي داخلي چه روندي را براي محافظت از داده‌هاي كاربران به كار مي‌گيرند و آيا ديگر شاهد هك و لو رفتن اطلاعات نخواهيم بود يا همچنان اين روند ادامه خواهد داشت؟ كاربران اغلب از اخبار هك به سادگي عبور مي‌كنند در صورتي كه خطرات نشت اطلاعات پس از هك تا هميشه همراه آنهاست. كارشناسان مي‌گويند براي كم كردن اين خطرات، علاوه بر اينكه مجموعه‌ها بايد اهميت بيشتري به حفظ امنيت داده‌هاي كاربران‌شان بدهند، مردم نيز بايد آگاه‌تر شوند تا كمتر در معرض خطر قرار بگيرند. در اين راستا روز گذشته نيز رييس مركز ملي فضاي مجازي دستورالعمل جديدي را براي حفاظت از داده‌هاي مردم در سكوها و سامانه‌ها ابلاغ كرد. سيدمحمد امين آقاميري- دبير شوراي عالي و رييس مركز ملي فضاي مجازي - دستورالعمل اجرايي حفاظت از حريم خصوصي كاربران و شيوه جمع‌آوري، پردازش و نگهداري اطلاعات كاربران را به منظور اجرا، به دستگاه‌هاي مختلف ابلاغ كرد. اين دستورالعمل براي كاهش مخاطرات نقض حريم خصوصي كاربران و حمايت از آنها در برابر تهديدات سايبري، اشخاص حقوقي غير دولتي و دستگاه‌هاي اجرايي كشور را به رعايت قواعد جديدي در حوزه پردازش و نگهداري داده‌هاي مرتبط با كاربران در سامانه‌ها و سكوهاي فضاي مجازي ملزم كرد. اين دستورالعمل كه در قالب بخش نخست از سند مادر «سياست‌ها و الزامات حفاظت از داده‌ها» تدوين شده است، كليه ارايه ­دهندگان خدمات فضاي مجازي را ملزم به اعلام دقيق و شفاف سياست‌هاي حفظ حريم خصوصي و اخذ رضايت صريح از كاربران در خصوص اين سياست­‌ها مي‌كند. همچنين مطابق اين دستورالعمل، ارايه­‌دهندگان خدمات، داده‌هاي كاربران را صرفاً در حد اقلام موردنياز و متناسب با اهداف صريح و مشخص جمع‌آوري كرده و در صورت درخواست كاربران، امكان «حذف بدون قيد و شرط» تمام يا بخشي از داده‌هاي ايشان را، ضمن رعايت مفاد قانون آيين دادرسي كيفري، فراهم خواهند كرد. طبق اعلام مركز ملي فضاي مجازي، براساس اين ابلاغيه، استمرار ارايه خدمات يا تمديد مجوزهاي فعاليت سامانه‌ها و سكوهاي موضوع دستورالعمل مذكور از سوي تنظيم ­گران بخشي و مراجع صدور مجوز، منوط به حصول اطمينان از رعايت اين مقررات است كه از طريق سازوكار نظارتي تدوين شده توسط مركز ملي فضاي مجازي، مورد سنجش و ارزيابي قرار خواهد گرفت. گفتني است؛ اين دستور العمل كه در كميسيون عالي تنظيم مقررات فضاي مجازي كشور به تصويب رسيده، توسط سيدمحمد امين آقاميري دبير شوراي عالي و رييس مركز ملي فضاي مجازي، جهت اجرا، ابلاغ شده است.

عدم تمديد مجوز سكوهايي كه

حفاظت از داده‌هاي مردم را رعايت نكنند

همچنين رييس مركز ملي فضاي مجازي گفت: در صورتي كه سكوها و سامانه‌هاي فضاي مجازي دستورالعمل حفاظت از داده‌هاي مردم را اجرا نكنند، مجوزهاي استمرار يا تمديد فعاليت آنها صادر نخواهد شد. به گزارش ايسنا، سيد محمد امين آقاميري با اشاره به ابلاغ مصوبه حفاظت از حريم خصوصي كاربران فضاي مجازي اظهار كرد: مركز ملي فضاي مجازي دغدغه بسيار زيادي در حوزه حفاظت از حريم خصوصي كاربران فضاي مجازي داشته و دارد، از اين رو از مدت‌ها پيش جلسات كارشناسي و تخصصي زيادي با حضور مسوولان، كارشناسان، متخصصان، مديران سكوها و ... به منظور تدوين يك دستورالعمل جامع در اين خصوص برگزار كرده است. وي افزود: اين جلسات با محوريت كميسيون عالي تنظيم مقررات فضاي مجازي كشور كه در مركز ملي فعال است، برگزار شده و در آن ساعت‌ها بحث و تبادل نظر براي رسيدن به يك ساز و كار مشخص به منظور تدوين دستورالعملي كه بتوان براساس آن شرايط حفاظت از حريم خصوصي كاربران فضاي مجازي را ارتقا داد، صورت گرفته است. رييس مركز ملي فضاي مجازي تصريح كرد: در اين جلسات پس از بحث و تبادل نظر كارشناسي پيرامون موضوع، به اين جمع‌بندي رسيديم كه قواعد جديدي در حوزه امنيت سايبري داده‌هاي مردم در سكوها و سامانه‌ها جهت ابلاغ به دستگاه‌هاي مختلف و سكوها بايد تدوين شود كه اين دستورالعمل تدوين و ابلاغ شد. آقاميري خاطرنشان كرد: اين دستورالعمل در ۴ ماده تدوين شده و كاملا اجرايي است؛ در اين دستورالعمل، دستگاه‌هاي مختلف از جمله پليس فتا، وزارت ارتباطات و حتي دستگاه قضايي دخيل هستند و اقداماتي را به صورت تنظيم‌گر بخشي يا ناظر جزئي انجام خواهند داد. به‌طور مثال، سكوها از اين پس ملزم به رمزنگاري داده‌هايي هستند كه از مردم دريافت مي‌كنند و در صورت عدم رمزنگاري، مسووليت حقوقي و كيفري هرگونه لو رفتن داده‌هاي مردم، برعهده آنهاست و بايد پاسخگو باشند.

الزام سكوها و سامانه‌به رمزنگاري

داده‌هاي مردم

وي ادامه داد: مثلا اگر شهروندي در يكي از سكوهاي ارايه‌كننده خدمات خودرويي يا فروش غذا يا پيام‌رسان داخلي، ثبت نام مي‌كند، اولا سكو بايد كاملا شفاف اعلام كند كه چه اطلاعاتي را نياز دارد و ارايه كدام دسته از اطلاعات اجباري و كدام دسته اختياري هستند، ثانيا سكو بايد تمام اطلاعات ارايه شده توسط كاربر را رمزنگاري كند و ثالثا اگر هر زماني كاربر درخواست حذف تمام يا بخشي از داده‌هاي خود را ارايه كند، آن سكو موظف است تمام داده‌هاي مرتبط با كاربر را حذف كند و در صورتي كه اين كار توسط سكو انجام نشود، حتما بايد در محاكم حقوقي پاسخگو باشد. دبير شوراي عالي فضاي مجازي گفت: امنيت داده‌هاي مردم كه در اختيار سكوها قرار مي‌گيرد، براي ما بسيار مهم است و حتما سكوها بايد اين داده‌ها را به صورت كامل رمزنگاري كنند تا ما شاهد سرقت اطلاعات برخي كاربران كشورمان كه نمونه‌هايي از آن در حملات هكري اخير ديده شد، نباشيم. آقاميري با بيان اينكه در اين دستورالعمل، تمام جوانب تامين امنيت سايبري داده‌هاي مردم ديده شده است، تاكيد كرد: مركز ملي فضاي مجازي فرمانده امنيت سايبري كشور است و از اين پس به صورت كلي بر روند اجراي اين دستورالعمل مهم توسط دستگاه‌ها و سكوها نظارت خواهد كرد و از سوي ديگر، تنظيم‌گر بخشي نيز به صورت جزئي‌تر و دقيق موظف شده كه بر روند اجراي تمام بندهاي اين دستورالعمل نظارت داشته باشد و اگر سكويي اين الزمات را رعايت نكند، حتما بايد با او برخورد. طبق اعلام مركز ملي فضاي مجازي، وي در پايان گفت: از امروز كه اين دستورالعمل ابلاغ شد، كليه ارايه‌دهندگان خدمات كه از طريق سامانه‌ها و سكوهاي فضاي مجازي به مردم خدمات برخط ارايه مي‌كنند، موظفند حداكثر تا ۲ ماه نسبت به اجراي اين دستورالعمل اقدام كنند و در صورتي كه اين اقدام صورت نگيرد، مجوزهاي استمرار يا تمديد فعاليت آنها صادر نخواهد شد.

نكاتي درباره دستورالعمل جديد ايمن‌تر كردن اطلاعات مردم

نكته قابل توجه اين است، اين دستورالعمل كه در چهار ماده به تصويب كميسيون عالي تنظيم مقررات فضاي مجازي كشور رسيده است، علاوه بر تاكيد بر شفاف‌سازي در دريافت داده‌ها و چگونگي استفاده از آنها و همچنين تعيين مراحل حذف داده‌ها از اين سكوها و سامانه‌ها در كشور، در يكي از بندها سكوهاي فضاي مجازي را ملزم كرده كه تمام اطلاعات اخذ شده از مردم را رمزنگاري كنند. براساس اين بند از دستور العمل حفاظت از حريم خصوصي كاربران، داده‌هايي كه هويت كاربران براساس آنها شناسايي مي‌شود بايد توسط سكوها و سامانه‌هاي ارايه‌دهنده خدمات به صورت رمزنگاري ذخيره شود؛ اين بدان معناست كه در صورت هك و نقض اطلاعات نيز اين داده‌ها در زمان انتشار امكان بازيابي و شناسايي نداشته باشند. همچنين طبق اين دستورالعمل پس از تبيين سطوح و شيوه‌هاي رمزنگاري براساس وظايف تعيين شده در اسناد مصوب شوراي عالي فضاي مجازي و ابلاغ توسط دستگاه‌هاي مسوول، هرگونه مسووليت حقوقي و قضايي نقض حريم خصوصي مردم بر عهده ارايه‌دهندگان خدمات بوده و بايد در اين خصوص در محاكم قضايي پاسخگو باشند. بر اساس دستورالعمل گفته شده سكوها و ارايه‌دهندگان خدمات ملزم هستند كه علاوه بر رمزنگاري داده‌هاي دريافتي پس از ابلاغ اين دستورالعمل، ظرف مدت سه ماه، داده‌هاي قبلي راكه به هويت و اطلاعات شخصي كاربران مرتبط است رمزنگاري كرده تا از خطر هك و انتشار حفاظت كنند. مركز ملي فضاي مجازي نيز به عنوان مسوول امنيت سايبري كشور بر روند اجراي دستور العمل نظارت جدي خواهد كرد تا داده‌هايي كه مردم در اختيار سكوها قرار مي‌دهند در شرايط بهتري نگهداري شوند.