توضیح پلیس فتا درباره مسئولیت کسب‌وکارها در قبال افشای اطلاعات کاربران

بارها شنیده شده است که اطلاعات کاربران یک کسب‌وکار توسط هکرها به سرقت رفته و در فضای مجازی به فروش می رسد. از سوی دیگر مدتی پیش فروش پک‌های احراز هویت به همراه تصویر کاربران در شبکه‌های اجتماعی خبرساز شد. اما پلیس فتا در این رابطه چه اقداماتی انجام داده است و اساساً چرا کسب‌وکارهای اینترنتی برای احراز هویت کاربران، از آنها تصویر چهره‌شان در زمان نگه‌داشتن مدارک شناسایی را طلب می‌کنند؟

در همین رابطه گفتگویی انجام داده‌ایم با سرهنگ دوم «علی محمد رجبی»، کارشناش ارشد امنیت سایبری پلیس فتا. او پاسخ‌های مهمی به چرایی این اتفاق می‌دهد و مشکل اصلی را در نبود یک سیستم یکپارچه برای احراز هویت کاربران از سوی کسب‌وکارهای اینترنتی بیان می‌کند. رجبی همچنین در گفتگو با دیجیاتو، فروش اطلاعات کاربران در فضای مجازی را از خطوط قرمز پلیس فتا می‌داند. او عقیده دارد که وجود نقص در سامانه‌های امنیتی و کوتاهی کسب‌وکارها در این خصوص برای آن ها مسئولیت آفرین است و پلیس فتا تلاش دارد تا از حقوق کاربران و حریم خصوصی آن ها در این حوزه مراقبت نماید.


امیر مستکین - دیجیاتو: با توجه به فروش پک احراز هویت در فضای مجازی، کسب‌وکارهای اینترنتی که از کاربران خودشان برای احراز هویت عکس شخصی به همراه شماره ملی و کارت‌بانکی می‌گیرند، آیا در حال انجام کاری قانونی هستند؟

علی محمد رجبی، کارشناش ارشد امنیت سایبری پلیس فتا: بر اساس ماده ۳۲ قانون جرائم رایانه‌ای، ارائه‌دهندگان خدمات دسترسی موظف‌اند داده‌های ترافیک را حداقل تا شش ماه پس از ایجاد حفظ نمایند و اطلاعات کاربران را حداقل تا شش ماه پس از خاتمه اشتراک نگهداری کنند.

البته این‌طور نیست که تمام کسب‌وکارها را مصداق ارائه‌دهندگان دسترسی بدانیم ولی آنچه مهم است، اینکه کسب‌وکار باید بتواند به شیوه‌ای مناسب کاربر و خدمت گیرنده خود را شناسایی کند، به‌خصوص زمانی که کسب‌وکار از تراکنش مالی برخط استفاده می‌کند.

لذا با توجه به این موضوع، احراز هویت توسط کسب‌وکارها برای ارائه خدمات موردنظر قانونی است و هر کسب‌وکار اینترنتی با توجه به نوع خدمات قابل‌ارائه باید اقدام به دریافت اطلاعات از کاربران نماید.

البته باید متذکر شد به دلیل نبود ساختار مناسب و یکپارچه جهت احراز هویت کاربران برای هر کسب‌وکار و همچنین ضرورت اجرای قوانین و دستورالعمل‌ها در خصوص احراز هویت کاربران مانند ماده فوق‌الذکر، موجب شده که برخی کسب‌وکارها به‌خصوص کسب‌وکارهایی که خدمات مالی ارائه می‌دهند اقدام به دریافت اطلاعات هویتی کاربران با شیوه‌های مختلف ازجمله دریافت عکس فرد همراه باکارت ملی نمایند.

مواردی هم که از فروش هویت کاربران در فضای مجازی مشاهده می‌شود عمدتاً مربوط به صرافی‌هایی هستند که برای ارائه خدمات غیرحضوری مالی از شیوه دریافت عکس فرد همراه باکارت ملی استفاده کرده بودند و متأسفانه به دلیل ضعف در امنیت با مشکل هک و سرقت اطلاعات مواجه شدند. که البته این امر برای آن‌ها پیامدهای قانونی به دنبال دارد.

راه‌حل درست برای سایت‌های اینترنتی جهت انجام احراز هویت چیست و آیا سایت‌های مختلف نیاز به سطوح متفاوتی از احراز هویت هستند؟

راه‌حل درست این کار پیاده‌سازی نظام یکپارچه احراز هویت در فضای مجازی کشور توسط دستگاه‌های حاکمیتی مانند ثبت‌احوال، بانک مرکزی و وزارت ارتباطات است. که متأسفانه پیشرفت مناسبی نداشته است و این خلأ موجب شده کسب‌وکارهای اینترنتی با توجه به نوع خدمات خود اقدام به احراز هویت کاربران نماید.

البته پلیس فتا در سال‌های اخیر سعی کرده در قالب سند نظام ملی پیشگیری و مقابله با حوادث فضای مجازی، با استانداردسازی این موضوع و تعریف شیوه‌های مناسب به کمک کسب‌وکارها بیاید و ضمناً از حریم خصوصی کاربران هم دفاع کند و مانع دریافت اطلاعات غیرضروری از سوی کسب‌وکارها شود.

در صورت افشای خواسته یا ناخواسته‌ی چنین دیتابیسی، آیا سایت ازنظر پلیس فتا مجرم است؟

دارنده اطلاعات از دو جنبه مسئولیت نگهداری و مواظبت از داده‌های کاربران را دارد. اول، طبق ماده ۱۷ فصل پنجم قانون جرائم رایانه‌ای، اگر کسب‌وکاری از روی عمد، بدون اجازه و رضایت کاربران هرگونه اطلاعات آن‌ها را منتشر كند یا در دسترس دیگران قرار دهد، به‌نحوی‌که منجر به ضرر یا عرفا موجب هتک حیثیت او شود، مجرم شناخته می‌شود.

دوم، اگر افشای اطلاعات کاربران ناخواسته صورت بگیرد و یا اینکه دارنده اطلاعات براثر رعایت نکردن دستورالعمل‌ها و اصول و مقررات زمینه نقض حریم خصوصی و ضرر و زیان کاربران را فراهم کند، طبق ماده 1 قانون مسئولیت مدنی که بیان می‌کند «هر کس بدون مجوز قانونی عمداً یا درنتیجه بی‌احتیاطی به جان یا سلامتی یا مال یا آزادی یا حیثیت یا شهرت تجارتی یا به هر حق دیگر‌ که به‌موجب قانون برای افراد ایجاد گردیده لطمه‌ای وارد نماید که موجب ضرر مادی یا معنوی دیگری شود مسئول جبران خسارت ناشی از عمل خود‌ می‌باشد» مجرم شناخته می‌شود و متناسب با ضرر و زیان ایجادشده و به تشخیص قاضی محکوم خواهد شد.

همچنین با توجه به ماده ۷۸ قانون تجارت الکترونیکی، «هرگاه در بستر مبادلات الکترونیکی در اثر نقص یا ضعف سیستم مؤسسات خصوصی و دولتی، به‌جز درنتیجه قطع فیزیکی ارتباط الکترونیکی، خسارتی به اشخاص وارد شود، مؤسسات مزبور مسئول جبران خسارت وارده می‌باشند مگر این‌که خسارات وارده ناشی از فعل شخصی افراد باشد که در این صورت جبران خسارات بر عهده این اشخاص خواهد بود.» کسب‌وکاری که به دلیل نقص یا ضعف در سامانه‌های خود زمینه ضرر به کاربران را فراهم کند مجرم شناخته می‌شود و متناسب با سطح خسارت و طبق نظر قاضی باید جبران خسارت کنند.

دیتابیس‌های این‌چنینی مربوط به احراز هویت در حال خریدوفروش در اینترنت هستند. پلیس فتا چه اقداماتی در رابطه با این مسئله انجام داده است؟

با توجه به اینکه انتشار اطلاعات کاربران و سوءاستفاده از اطلاعات موجود، در بسیاری موارد باعث هتک حیثیت افراد و یا ایجاد ضرر و زیان‌های مادی و معنوی برای فرد می‌شود، این‌گونه جرائم جزء خط قرمزهای پلیس فتا محسوب می‌شود و به‌شدت با عوامل انتشار دهند برخورد خواهد شد. پلیس فتا در این خصوص اقدامات متعددی انجام داده است.

یکی از این کارها برگزاری جلسات متعدد با مدیران کسب‌وکارهای اینترنتی در خصوص راه‌کارهای ایجاد امنیت داده‌های در اختیار و چگونگی حفظ و نگهداری اطلاعات کاربران به‌منظور عدم انتشار در فضای مجازی و همچنین چگونگی نوع احراز هویت برای هر کسب‌وکار با توجه به نوع خدمات قابل‌ارائه به کاربران خود بوده است.

اقدام دیگری که در دستور کار روزانه پلیس فتا است، گشت زنی و رصد دائم فضای سایبر و شناسایی این‌گونه جرائم است و در صورت مشاهده بلافاصله موضوع شناسایی و تشکیل پرونده می‌شود و برای سیر مراحل قانونی به مرجع قضایی ارسال می‌شود.

البته باید به این نکته توجه کرد که انتشار اطلاعات در فضای مجازی صورت می‌گیرد و داده‌ها می‌تواند در اختیار هر فردی در هر نقطه از جهان قرار داشته باشد و از این اطلاعات موجود سوءاستفاده کند. و یا اینکه از طریق سایت‌های خارجی منتشر شوند که این موضوع می‌تواند امکان حذف اطلاعات از روی وب را از بین ببرد و علی‌رغم دستگیری مجرم داده‌ها همچنان در وب وجود داشته باشند و از طریق سایر مجرمین خریدوفروش شوند.

مطالب مرتبط

کافه بازار حمله امنیتی به این سرویس را پذیرفت؛ حساب کاربران مصون باقی مانده است

کافه بازار پیرو بیانیه پیشین خود؛ بیانیه ای تکمیلی در اختیار دیجیاتو قرار داده که در آن مشخص شده سورس کد یکی از زیرسیستم‌های وب‌سایت کافه‌بازار به دست افرادی خارج از مجموعه رسیده است. با این وجود تیم فنی کافه بازار تاکید دارد که این دسترسی تنها به بخشی از زیرسیستم وب‌سایت کافه‌بازار صورت گرفته... ادامه مطلب

جاسوسی از مذاکرات هسته ای ایران به وسیله مجوزهای دیجیتالی فاکسکان صورت گرفته است

کمپانی امنیتی کسپرسکی امروز اعلام کرد که با نگاهی عمیق تر به ویروس Duqu 2.0، توانسته به اطلاعات بیشتری دست پیدا کند. اکنون این کمپانی امنیتی روسی عنوان نموده که ویروس یاد شده برای جاسوسی، از مجوز های دیجیتالی کمپانی «فاکسکان» بهره برده است. فاکسکان نامی آشنا برای دوستداران تکنولوژی به شمار می رود، سازنده ای تایوانی که... ادامه مطلب

مراقب پورت 3.5 میلی متری باشید؛ حتی با هدفون بدون میکروفن نیز می توان جاسوسی کرد

اگر دلتان می خواهد در خلوت خود به موسیقی گوش دهید و برای این منظور از هدفونی حتی بدون میکروفن استفاده می کنید، پیشنهاد می شود آن را در مواقع عدم استفاده به حال خود رها نکنید! گروهی از محققین اروپایی اخیراً دریافته اند هدفون ها نیز قابل هک شدن هستند و می توان از آنها به عنوان... ادامه مطلب

گجت های امروزی ابزارهایی سراپا گوش؛ نگاهی به مبحث حریم شخصی در دستیارهای صوتی

اگر سری به سایت آمازون بزنید و به جدید ترین محصول این کمپانی (دستیار مجازی AMAZON ECHO) نگاهی بیندازید، ویژگی هایی از قبیل اسپیکر داخلی قوی، هفت میکروفن برای دریافت و شناسایی صدای شما و مغزی ابری که هر لحظه باهوش تر می شود توجه شما را به خود جلب خواهد کرد. اما یک نکته ی... ادامه مطلب

کشف آسیب پذیری جدید در چیپ های اینتل

پژوهشگران آسیب پذیری جدیدی را کشف کرده اند که کلیه سیستم های ویندوزی بهره مند از پردازنده های اینتل ساخته شده از سال ۲۰۱۲ تاکنون را تحت تاثیر قرار می دهد و امکانی را برای هکرها فراهم میکند که مکانیزم های امنیتی و محافظتی این سیستم ها را دور زده به اطلاعات موجود درون حافظه... ادامه مطلب

فاش شدن اطلاعات ۲.۲ میلیارد حساب کاربری؛ آیا شما هم هک شده اید؟

چند هفته پیش ۷۷۳ میلیون آدرس ایمیل و ۲۱ میلیون رمز عبور فاش شد. این افشاگری در فضای اینترنت را «مجموعه‌ی #۱» نام گذاری کردند. اما حالا به نظر می‌رسد که مجموعه‌های شماره‌ی ۲ تا ۵ هم در وبسایت‌های دانلود تورنت در دسترس قرار گرفته‌اند که دارای حجم ۸۴۵ گیگابایتی از اطلاعات دزدیده شده هستند... ادامه مطلب

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود
x