توضیح پلیس فتا درباره مسئولیت کسب‌وکارها در قبال افشای اطلاعات کاربران

بارها شنیده شده است که اطلاعات کاربران یک کسب‌وکار توسط هکرها به سرقت رفته و در فضای مجازی به فروش می رسد. از سوی دیگر مدتی پیش فروش پک‌های احراز هویت به همراه تصویر کاربران در شبکه‌های اجتماعی خبرساز شد. اما پلیس فتا در این رابطه چه اقداماتی انجام داده است و اساساً چرا کسب‌وکارهای اینترنتی برای احراز هویت کاربران، از آنها تصویر چهره‌شان در زمان نگه‌داشتن مدارک شناسایی را طلب می‌کنند؟

در همین رابطه گفتگویی انجام داده‌ایم با سرهنگ دوم «علی محمد رجبی»، کارشناش ارشد امنیت سایبری پلیس فتا. او پاسخ‌های مهمی به چرایی این اتفاق می‌دهد و مشکل اصلی را در نبود یک سیستم یکپارچه برای احراز هویت کاربران از سوی کسب‌وکارهای اینترنتی بیان می‌کند. رجبی همچنین در گفتگو با دیجیاتو، فروش اطلاعات کاربران در فضای مجازی را از خطوط قرمز پلیس فتا می‌داند. او عقیده دارد که وجود نقص در سامانه‌های امنیتی و کوتاهی کسب‌وکارها در این خصوص برای آن ها مسئولیت آفرین است و پلیس فتا تلاش دارد تا از حقوق کاربران و حریم خصوصی آن ها در این حوزه مراقبت نماید.


امیر مستکین - دیجیاتو: با توجه به فروش پک احراز هویت در فضای مجازی، کسب‌وکارهای اینترنتی که از کاربران خودشان برای احراز هویت عکس شخصی به همراه شماره ملی و کارت‌بانکی می‌گیرند، آیا در حال انجام کاری قانونی هستند؟

علی محمد رجبی، کارشناش ارشد امنیت سایبری پلیس فتا: بر اساس ماده ۳۲ قانون جرائم رایانه‌ای، ارائه‌دهندگان خدمات دسترسی موظف‌اند داده‌های ترافیک را حداقل تا شش ماه پس از ایجاد حفظ نمایند و اطلاعات کاربران را حداقل تا شش ماه پس از خاتمه اشتراک نگهداری کنند.

البته این‌طور نیست که تمام کسب‌وکارها را مصداق ارائه‌دهندگان دسترسی بدانیم ولی آنچه مهم است، اینکه کسب‌وکار باید بتواند به شیوه‌ای مناسب کاربر و خدمت گیرنده خود را شناسایی کند، به‌خصوص زمانی که کسب‌وکار از تراکنش مالی برخط استفاده می‌کند.

لذا با توجه به این موضوع، احراز هویت توسط کسب‌وکارها برای ارائه خدمات موردنظر قانونی است و هر کسب‌وکار اینترنتی با توجه به نوع خدمات قابل‌ارائه باید اقدام به دریافت اطلاعات از کاربران نماید.

البته باید متذکر شد به دلیل نبود ساختار مناسب و یکپارچه جهت احراز هویت کاربران برای هر کسب‌وکار و همچنین ضرورت اجرای قوانین و دستورالعمل‌ها در خصوص احراز هویت کاربران مانند ماده فوق‌الذکر، موجب شده که برخی کسب‌وکارها به‌خصوص کسب‌وکارهایی که خدمات مالی ارائه می‌دهند اقدام به دریافت اطلاعات هویتی کاربران با شیوه‌های مختلف ازجمله دریافت عکس فرد همراه باکارت ملی نمایند.

مواردی هم که از فروش هویت کاربران در فضای مجازی مشاهده می‌شود عمدتاً مربوط به صرافی‌هایی هستند که برای ارائه خدمات غیرحضوری مالی از شیوه دریافت عکس فرد همراه باکارت ملی استفاده کرده بودند و متأسفانه به دلیل ضعف در امنیت با مشکل هک و سرقت اطلاعات مواجه شدند. که البته این امر برای آن‌ها پیامدهای قانونی به دنبال دارد.

راه‌حل درست برای سایت‌های اینترنتی جهت انجام احراز هویت چیست و آیا سایت‌های مختلف نیاز به سطوح متفاوتی از احراز هویت هستند؟

راه‌حل درست این کار پیاده‌سازی نظام یکپارچه احراز هویت در فضای مجازی کشور توسط دستگاه‌های حاکمیتی مانند ثبت‌احوال، بانک مرکزی و وزارت ارتباطات است. که متأسفانه پیشرفت مناسبی نداشته است و این خلأ موجب شده کسب‌وکارهای اینترنتی با توجه به نوع خدمات خود اقدام به احراز هویت کاربران نماید.

البته پلیس فتا در سال‌های اخیر سعی کرده در قالب سند نظام ملی پیشگیری و مقابله با حوادث فضای مجازی، با استانداردسازی این موضوع و تعریف شیوه‌های مناسب به کمک کسب‌وکارها بیاید و ضمناً از حریم خصوصی کاربران هم دفاع کند و مانع دریافت اطلاعات غیرضروری از سوی کسب‌وکارها شود.

در صورت افشای خواسته یا ناخواسته‌ی چنین دیتابیسی، آیا سایت ازنظر پلیس فتا مجرم است؟

دارنده اطلاعات از دو جنبه مسئولیت نگهداری و مواظبت از داده‌های کاربران را دارد. اول، طبق ماده ۱۷ فصل پنجم قانون جرائم رایانه‌ای، اگر کسب‌وکاری از روی عمد، بدون اجازه و رضایت کاربران هرگونه اطلاعات آن‌ها را منتشر كند یا در دسترس دیگران قرار دهد، به‌نحوی‌که منجر به ضرر یا عرفا موجب هتک حیثیت او شود، مجرم شناخته می‌شود.

دوم، اگر افشای اطلاعات کاربران ناخواسته صورت بگیرد و یا اینکه دارنده اطلاعات براثر رعایت نکردن دستورالعمل‌ها و اصول و مقررات زمینه نقض حریم خصوصی و ضرر و زیان کاربران را فراهم کند، طبق ماده 1 قانون مسئولیت مدنی که بیان می‌کند «هر کس بدون مجوز قانونی عمداً یا درنتیجه بی‌احتیاطی به جان یا سلامتی یا مال یا آزادی یا حیثیت یا شهرت تجارتی یا به هر حق دیگر‌ که به‌موجب قانون برای افراد ایجاد گردیده لطمه‌ای وارد نماید که موجب ضرر مادی یا معنوی دیگری شود مسئول جبران خسارت ناشی از عمل خود‌ می‌باشد» مجرم شناخته می‌شود و متناسب با ضرر و زیان ایجادشده و به تشخیص قاضی محکوم خواهد شد.

همچنین با توجه به ماده ۷۸ قانون تجارت الکترونیکی، «هرگاه در بستر مبادلات الکترونیکی در اثر نقص یا ضعف سیستم مؤسسات خصوصی و دولتی، به‌جز درنتیجه قطع فیزیکی ارتباط الکترونیکی، خسارتی به اشخاص وارد شود، مؤسسات مزبور مسئول جبران خسارت وارده می‌باشند مگر این‌که خسارات وارده ناشی از فعل شخصی افراد باشد که در این صورت جبران خسارات بر عهده این اشخاص خواهد بود.» کسب‌وکاری که به دلیل نقص یا ضعف در سامانه‌های خود زمینه ضرر به کاربران را فراهم کند مجرم شناخته می‌شود و متناسب با سطح خسارت و طبق نظر قاضی باید جبران خسارت کنند.

دیتابیس‌های این‌چنینی مربوط به احراز هویت در حال خریدوفروش در اینترنت هستند. پلیس فتا چه اقداماتی در رابطه با این مسئله انجام داده است؟

با توجه به اینکه انتشار اطلاعات کاربران و سوءاستفاده از اطلاعات موجود، در بسیاری موارد باعث هتک حیثیت افراد و یا ایجاد ضرر و زیان‌های مادی و معنوی برای فرد می‌شود، این‌گونه جرائم جزء خط قرمزهای پلیس فتا محسوب می‌شود و به‌شدت با عوامل انتشار دهند برخورد خواهد شد. پلیس فتا در این خصوص اقدامات متعددی انجام داده است.

یکی از این کارها برگزاری جلسات متعدد با مدیران کسب‌وکارهای اینترنتی در خصوص راه‌کارهای ایجاد امنیت داده‌های در اختیار و چگونگی حفظ و نگهداری اطلاعات کاربران به‌منظور عدم انتشار در فضای مجازی و همچنین چگونگی نوع احراز هویت برای هر کسب‌وکار با توجه به نوع خدمات قابل‌ارائه به کاربران خود بوده است.

اقدام دیگری که در دستور کار روزانه پلیس فتا است، گشت زنی و رصد دائم فضای سایبر و شناسایی این‌گونه جرائم است و در صورت مشاهده بلافاصله موضوع شناسایی و تشکیل پرونده می‌شود و برای سیر مراحل قانونی به مرجع قضایی ارسال می‌شود.

البته باید به این نکته توجه کرد که انتشار اطلاعات در فضای مجازی صورت می‌گیرد و داده‌ها می‌تواند در اختیار هر فردی در هر نقطه از جهان قرار داشته باشد و از این اطلاعات موجود سوءاستفاده کند. و یا اینکه از طریق سایت‌های خارجی منتشر شوند که این موضوع می‌تواند امکان حذف اطلاعات از روی وب را از بین ببرد و علی‌رغم دستگیری مجرم داده‌ها همچنان در وب وجود داشته باشند و از طریق سایر مجرمین خریدوفروش شوند.

malltina

مطالب مرتبط

حمله هکرهای چینی به ۷ شرکت پیشرفته تایوانی برای سرقت فناوری تولید چیپ

یک شرکت امنیت سایبری تایوانی اعلام کرد هکرهای منتسب به چین به منظور سرقت فناوری نیمه رسانا به چندین شرکت تایوانی حمله کرده‌اند.به گزارش Wired، شرکت امنیتی تایوانی CyCraft Technology اعلام کرد که هکرها تحت عملیاتی به نام Operation Skeleton Key به منظور سرقت فناوری نیمه رسانا، کدهای برنامه نویسی، کیت‌های توسعه نرم افزار (SDK) و... ادامه مطلب

اینتل هک شد؛ انتشار ۲۰ گیگابایت فایل محرمانه در اینترنت

هکرها فلدری حاوی ده‌ها گیگابایت فایل محرمانه مربوط به بخش مهندسی تراشه اینتل را در اینترنت منتشر کردند.بر اساس گزارش Tom's Hardware، هکرها لینک دانلود فلدری حاوی ۲۰ گیگابایت فایل متعلق به بخش مهندسی تراشه اینتل را منتشر کرده‌اند. این فلدر که اوایل سال جاری میلادی از اینتل به سرقت رفته اولین بار در تلگرام... ادامه مطلب

حمله باج افزاری گسترده علیه کانن؛ ۱۰ ترابایت دیتا به سرقت رفت

شرکت کانن اعلام کرده که هدف دو حمله باج افزاری بزرگ قرار گرفته است و دسترسی به ۱۰ ترابایت دیتای ارزشمند آن حالا منوط به پرداخت مبلغی نامشخص باج به عاملان این حملات است.البته این شرکت جزئیات زیادی در مورد نوع دیتای سرقت شده خود ارائه نکرده و مشخص نیست چه تعداد از کاربران آن... ادامه مطلب

قیمت گوشی هوشمند در کشورهای مختلف چند درصد حقوق ماهانه است؟

در سال ۲۰۲۰ به سر می بریم و حالا تلفن های هوشمند به جای آنکه کالای لوکس باشند نوعی ضرورت به حساب می آیند؛ در این برهه نداشتن گوشی هوشمند به معنای محروم شدن از بسیاری مزایای اینترنت است با این حال میلیاردها نفر از مردم دنیا از این گجت کاربردی محرومند چرا که خرید... ادامه مطلب

رخنه اطلاعاتی در خاورمیانه بیش از میانگین جهانی روی دست شرکت‌ها خرج می‌گذارد

بر اساس جدیدترین پژوهش صورت گرفته، هزینه هر رخنه اطلاعاتی در خاورمیانه بیش از میانگین جهانی و برابر ۶.۵۲ میلیون دلار است.این تحقیق که توسط «IBM Security» و «Ponemon Institute» صورت گرفته، هزینه رخنه اطلاعاتی در ۱۷ کشور جهان در سال ۲۰۲۰ را مورد تحلیل قرار داده است. طبق این گزارش، میانگین هزینه هر رخنه... ادامه مطلب

ایرانسل برنده جایزه سال تحول دیجیتال ایران شد

ایرانسل «جایزۀ سال تحول دیجیتال ایران»، تندیس زرین رهبری دیجیتال، تندیس زرین زبدگی دیجیتال و تندیس برنزی نوآوری دیجیتال را در چهارمین دورۀ ارزیابی ملی تحول دیجیتال به دست آورد.در مراسم پایانی این ارزیابی که عصر سه‌شنبه، 14 مرداد ماه 1399 در دانشکدۀ مدیریت دانشگاه تهران به دلیل لزوم موازین بهداشتی با رعایت فاصله‌گذاری اجتماعی... ادامه مطلب

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟