بالاترین مقام مسئول هر سازمان باید پاسخگوی افشای اطلاعات آن باشد

به گزارش کارگروه امنیت سایبربان ؛ در این زمینه مرکز ماهر اعلام نموده که در وهله اول در صورت نشت اطلاعات، بالاترین مسئول آن سازمان باید پاسخگوی افشای اطلاعات باشد و مرکز ماهر بر اساس چارچوب‌های قانونی و مأموریت‌های محوله گزارش خود را در خصوص حوادث، صرفاً برای مقامات مسئول ارسال می‌کند.

متأسفانه سال گذشته و همین مدت اندک از زمانی که از سال جاری می‌گذرد، کلکسیونی بود از نشت اطلاعات کاربران، از نشت اطلاعات کاربران یک سرویس تاکسی اینترنتی گرفته تا اطلاعات بانک‌ها و سازمان‌هایی مانند ثبت‌احوال و حتی لو رفتن اطلاعات کاربران یک نسخه غیررسمی از نرم‌افزار تلگرام.

در همین زمینه و پس از نگرانی‌های ایجاد کاربران، مرکز مدیریت امداد و هماهنگی رخدادهای رایانه‌ای (ماهر) به‌عنوان زیرمجموعه سازمان فناوری اطلاعات، به‌صورت رسمی اعلام کرد با رصد مستمر فضای اطلاعاتی مراکز مختلف جهت کشف بانک‌های اطلاعاتی حفاظت نشده، به صاحبان بانک اطلاعاتی هشدار داده خواهد شد و در صورت عدم رفع مشکل به مدت 48 ساعت از مان اعلام، به منظر حفظ داده‌ها و حفاظت از حریم خصوصی کاربران و شهروندان، مراتب به مراجع قضایی اعلام و افراد خاطی معرفی می‌شوند.

امیر ناظمی رئیس سازمان فناوری اطلاعات در این خصوص اعلام کرد:

هرچند قانون حفاظت از داده‌های عمومی یا همان GDPR در هزارتوی نظام بروکراسی محبوس مانده است، اما این به آن معنا نیست که قانونی برای اجبار سازمان‌ها و دستگاه‌ها به حفاظت از داده‌های شخصی وجود ندارد، بلکه به معنای آن است که همه نیازها را پاسخ نمی‌دهد. تک‌تک این مواد قانونی می‌تواند منجر به محکومیت هر فرد حقیقی و حقوقی شود که در محافظت از داده‌ها سهل‌انگاری کرده است.

پس‌ازآن مرکز ماهر روز گذشته بیانیه‌ای در خصوص روند افشای اطلاعات سازمان‌ها و کسب‌وکارها در فضای مجازی منتشر کرده است. در بخشی از این بیانیه آمده است:

ارتقا هر سیستمی، ازجمله امنیت و حفاظت از داده‌های شهروندان نیازمند دریافت بازخوردها و تصحیح آن سیستم است. همچنین مطالبه گری صحیح، نقطه‌ آغازین بهبود و اصلاح هر سیستمی است. پیرو پرسش‌هایی که در خصوص اخبار مربوط به افشا داده‌های شهروندان از مرکز ماهر طرح می‌شود، این مرکز ضمن استقبال از مطالبه گری‌ها و حساسیت‌های شهروندان در خصوص این اخبار، لازم می‌داند تا نکات زیر را یادآوری کند.

باید متذکر شود که مطابق بند ۵-۱ نظام ملی مقابله با حوادث فضای مجازی کشور: «مسئولیت پیشگیری و مقابله با حوادث فضای مجازی هر دستگاه، بر عهده بالاترین مقام آن دستگاه خواهد بود.» به‌این‌ترتیب مسئولیت اصلی در پاسخ به سؤالات امنیت بانک‌های داده و اطلاعات، در وهله اول بر عهده بالاترین مسئول دستگاه است.

نکته قابل‌توجه دیگر این است که مرکز ماهر اعلام نموده در چارچوب قانونی و مأموریت‌های تعریف‌شده برای این مرکز، در صورت کشف حوادث، گزارش اولیه صرفاً برای مقام مسئول آن سازمان یا کسب‌وکار ارسال خواهد شد ولی مرکز ماهر این حق را برای خود قائل است که با تدوین گزارش‌های عمومی که در آن‌ها امنیت و حریم خصوصی داده‌ها رعایت خواهد شد، امکان انتشار آن‌ها نیز وجود خواهد داشت.

در بخش دیگری از این دستورالعمل آمده است:

مرکز ماهر به این اصل اعتقاد دارد که مقابله با آن دسته از حوادث فضای مجازی کشور که منجر به افشا داده‌های شهروندان می‌شود، باید به‌صورت متمرکز و کاملاً تخصصی، صرفاً به یک مرکز مستقل دولتی واگذار شود تا امکان بررسی مستقل، بدون جانب‌داری، همراه با واکنش سریع و همچنین ایجاد زمینه مناسب برای اطلاع‌رسانی به‌موقع و باکیفیت همراه با انباشت دانش امنیت داده برای حفظ منافع ملی فراهم شود.

همچنین این مرکز اعلام کرده که آمادگی دریافت گزارشات افشای اطلاعات توسط افراد ثالث را نیز دارد ولیکن تمامی موارد گزارش شده در وهله اول توسط این سازمان موردبررسی فنی جهت صحت‌وسقم اطلاعات قرار خواهند گرفت تا در صورت نیاز به‌صورت مقتضی به آن‌ها پاسخ داده شود.

این مرکز درنهایت اعلام نموده است:

به سازمان‌ها و دستگاه‌های مختلف یادآور می‌شود که «سکوت، پاسخ‌گویی مناسب نیست؛ بلکه تنها سرمایه اجتماعی را کاهش می‌دهد»؛ هرچند شهروندان و مطالبه گران از مرجع پاسخ‌گویی آگاهی نداشته باشند. امید می‌رود صاحبان بانک‌های اطلاعاتی که داده‌ها و اطلاعات شخصی مردم به‌صورت امانت در اختیار آن‌ها است، نه‌تنها نسبت به حفظ این امانت و حریم خصوصی شهروندان، هم بر اساس قانون و هم بر اساس مسئولیت اجتماعی، حساسیت لازم را داشته باشند؛ بلکه با پاسخ‌گویی مناسب بتوانند امنیت روانی عمومی را نیز فراهم آورند.