جزئیات دستورالعمل جدید حفاظت از داده‌های مردم

دستورالعمل جدید برای حفاظت از داده‌های مردم که به تازگی از سوی رئیس مرکز ملی فضای مجازی ابلاغ شده است، برای کاهش مخاطرات نقض حریم خصوصی کاربران و حمایت از آنها در برابر تهدیدات سایبری، اشخاص حقوقی غیردولتی و دستگاه‌های اجرایی کشور را به رعایت قواعد جدیدی در حوزه پردازش و نگهداری داده‌های مرتبط با کاربران در سامانه‌ها و سکوهای فضای مجازی ملزم کرد.
به گزارش «تابناک» به نقل از ایسنا، در هفته پایانی دی ماه دستورالعمل جدید برای حفاظت از داده‌های مردم ابلاغ شد. ماجرا از این قرار است که استفاده از مولفه‌های قدیمی و آسیب‌پذیر، بسیاری از سیستم‌های دفاعی سامانه‌های کاربران را سست کرده است، به‌نحوی که تبدیل به پنجره‌ای برای نفوذ هکرها و بروز حملات سایبری طی سال‌های اخیر شده است.
در بند هشتم منشور حقوق شهروندی با عنوان «حق دسترسی به فضای مجازی» آمده است که حق شهروندان است از امنیت سایبری و فناوری‌های ارتباطی و اطلاع‌رسانی، حفاظت از داده‌های شخصی و حریم خصوصی برخوردار باشند. در این راستا تابستان سال ۱۳۹۷ سازمان فناوری اطلاعات از لایحه صیانت و حفاظت از داده‌های شخصی رونمایی کرد و مقرر شد برای تصویب به هیأت دولت و مجلس ارسال شود تا در نهایت به قانون تبدیل شود.
بنابراین پس از چند سال مسکوت ماندن روند تصویب و ابلاغ این لایحه با توجه به ضرورت اجرای آن و انجام حملات سایبری متعدد، چندی پیش وزیر ارتباطات و فناوری اطلاعات خبر از ارسال لایحه حفاظت از داده به دولت را داد. او تأکید کرد لایحه به کمیسیون حقوقی و قضایی ارسال شده و قرار است بررسی و در نهایت به مجلس ارسال شود.
در نهایت با توجه اهمیت این موضوع، به تازگی رئیس مرکز ملی فضای مجازی دستورالعمل جدیدی را برای حفاظت از داده‌های مردم در سکوها و سامانه‌ها ابلاغ کرد. گفته شده این دستورالعمل برای کاهش مخاطرات نقض حریم خصوصی کاربران و حمایت از آنها در برابر تهدیدات سایبری، اشخاص حقوقی غیردولتی و دستگاه‌های اجرایی کشور را به رعایت قواعد جدیدی در حوزه پردازش و نگهداری داده‌های مرتبط با کاربران در سامانه‌ها و سکوهای فضای مجازی ملزم کرد.
طبق گفته رئیس مرکز ملی فضای مجازی این دستورالعمل در ۴ ماده تدوین شده و کاملاً اجرایی است؛ در دستورالعمل گفته شده، دستگاه‌های مختلف از جمله پلیس فتا، وزارت ارتباطات و حتی دستگاه قضایی دخیل هستند و اقداماتی را به صورت تنظیم‌گر بخشی یا ناظر جزئی انجام خواهند داد. به طور مثال، سکوها از این پس ملزم به رمزنگاری داده‌هایی هستند که از مردم دریافت می‌کنند و در صورت عدم رمزنگاری، مسئولیت حقوقی و کیفری هرگونه لو رفتن داده‌های مردم، برعهده آن‌هاست و باید پاسخگو باشند.
این مقام مسئول تأکید کرد از روز چهارشنبه که این دستورالعمل ابلاغ شد، کلیه ارائه دهندگان خدمات که از طریق سامانه‌ها و سکوهای فضای مجازی به مردم خدمات برخط ارائه می‌کنند، موظفند حداکثر تا ۲ ماه نسبت به اجرای این دستورالعمل اقدام کنند و در صورتی که این اقدام صورت نگیرد، مجوزهای استمرار یا تمدید فعالیت آنها صادر نخواهد شد.
در هفته‌ای که گذشت سی و نهمین جلسه ستاد رسانه فضای مجازی کشور با حضور نمایندگان دستگاه‌های مختلف کشور و سید محمد امین آقامیری دبیر شورای عالی و رئیس مرکز ملی فضای مجازی برگزار شد.
در این نشست سید محمد امین آقامیری- دبیر شورای عالی و رئیس مرکز ملی فضای مجازی- با اشاره به این که جلسات متعددی تاکنون با موضوع انتخابات برگزار شده و برنامه‌ریزی‌های خوبی جهت برگزاری هر چه پرشورتر انتخابات صورت گرفته است، اظهار کرد: در راستای تاکید مکرر رهبر انقلاب برای فراهم کردن شرایط لازم جهت افزایش مشارکت خوشبختانه مقدمات خوبی در لایه خدمات در حال فراهم شدن است و برخی سکوها قرار است در حوزه اطلاع‌رسانی همچون معرفی حوزه و شعب اخذ رأی و مشخص کردن شعب اخذ رأی خلوت‌تر برای راحتی مردم در زمان برگزاری انتخابات، فعالیت کنند.
در این نشست همچنین گفته شد پیام‌رسان‌های داخلی آماده همکاری کامل جهت ارائه خدمات به مردم هستند اما باید حوزه خدمات‌رسانی و تسهیلات را بیشتر توسعه داده و در حوزه پاسخ به شبهات به صورت جدی‌تر رسانه‌ها و فعالان فضای مجاری ورود کنند و با دست پر نسبت به پاسخگویی به شبهات اقدام شود. البته این مسئله نیازمند یک همکاری مشترک میان مجریان انتخابات و مرکز ملی فضای مجازی است. سازوکارهای بسیار خوبی با همکاری سازمان صدا و سیما انجام شده که براساس آن ۲۰۰ فرکانس محلی برای برگزاری برنامه‌ها به نامزدهای انتخابات مجلس شورای اسلامی اختصاص خواهد یافت.
طبق گفته سخنگوی ستاد انتخابات کشور که در این نشست حضور داشت با کمک سکوها بسترهای مناسبی به صورت مجازی تهیه شده که در موعد تبلیغات انتخاباتی در اختیار داوطلبان قرار خواهد گرفت تا بتوانند اقدامات لازم را برای معرفی خود و برنامه‌هایشان انجام دهند.

تحلیل خبر

سردرگمی در مدیریت امنیت داده ها 

وحید جعفری زاده - دانشجوی دکترای مهندسی کامپیوتر

خبر ابلاغ دستورالعمل جدید حفاظت از داده‌های مردم در حالی منتشر شده که اوایل دی ماه، خبر هک شدن پایگاه داده یکی از اپلیکیشنهای پرمشتری در رسانه‌ها دست به دست شد، به طوری که برخی مقامات رسمی دولتی مانند وزیر کشور هم نسبت به آن واکنش نشان دادند.
البته در بخش تحلیل خبر روزنامه، قبلاً هم چندین بار در موضوع اهمیت داده، حاکمیت داده، امنیت و حریم خصوصی کاربران مطالب متعددی نگاشته و تلاش شد تا نظر مخاطبان محترم نسبت به اهمیت داده‌ها به عنوان یک سرمایه بسیار ذی قیمت، جلب شود. در یکی از همین یادداشت‌ها و تحلیل‌ها به تفصیل استدلال کردیم که احتمالاً ارزشمندترین و قیمتی‌ترین چیز در جهان امروز، «داده» (data) است و حتی یک جنگ جهانی غیررسمی و غیرملموس در زمینه تصاحب و بهره‌برداری از داده‌ها وجود دارد. امنیت فناوری اطلاعات نیز با رشد شبکه‌های کامپیوتری، شبکه اینترنت و افزایش ضریب نفوذ این خدمات در میان مردم روز به روز مهمتر شده؛ مسئله‌ای که در کشور ما، هنوز به طور جدی، سازمان نیافته و با نگاهی بلندمدت به آن توجه نشده است.
در دستورالعمل ابلاغی جدید حفاظت از داده‌ها، به تنها موردی که به طور مشخص اشاره شده، الزام به رمزنگاری داده‌هاست. رمزنگاری داده‌ها جزء اصول اولیه محرمانگی داده‌هاست؛ حال آنکه مبحث امنیت و حریم خصوصی داده‌ها و کاربران مسئله‌ای بسیار وسیع‌تر و کلان‌تر است. در واقع به نظر می‌رسد هنوز تصویر و درک درستی در این زمینه وجود ندارد، چرا که اگر چنین بود، باید شاهد تدوین یک دستورالعمل جامع در این دو حوزه می‌بودیم. همانطور که قبلاً هم اشاره کردیم، از منظر تخصصی، امنیت (security) و حفظ حریم خصوصی (privacy preserving)، دو مقوله متفاوت است که در بعضی بخش‌ها هم پوشانی دارد. بنابراین لازم است برای هر بخش به صورت مجزا قوانین، قواعد و دستورالعمل‌هایی تدوین و ابلاغ شود که بتواند در حفاظت از داده‌های کاربران (مردم) مؤثر و کارا باشد.
یکی از مشکلات، مشخص نبودن متولی اصلی در این زمینه و موازی کاری است. مجلس شورای اسلامی، سازمان ملی پدافند غیرعامل، شورای عالی فضای مجازی، وزارت ارتباطات و فناوری اطلاعات و مرکز افتا همگی به نوعی با این حوزه مرتبط هستند، اما متولی اصلی هنوز مشخص نیست و هر کدام بر اساس نیاز، ابلاغیه‌ها و دستورالعمل‌هایی برای ارتقای امنیت داده‌ها و اطلاعات تدوین و منتشر می‌کنند و همین امر کاربران، صاحبان پلتفرم‌ها و پایگاه‌های داده و دیگر فعالان را دچار سردرگمی کرده است. این در حالی است که قاعدتاً مجلس شورای اسلامی به عنوان مرجع اصلی وضع قوانین در کشور باید در رأس قرار بگیرد، اما حتی یک کمیسیون تخصصی در زمینه فناوری اطلاعات در مجلس وجود ندارد!
در مجموع می‌توان گفت چنین دستورالعمل‌های موردی، به هیچ وجه نمی‌تواند به عنوان تلاشی مؤثر و نظام‌مند برای حفاظت از داده‌های کاربران تلقی شود، مگر آنکه این دستورالعمل‌ها ذیل یک قانون جامع، تخصصی و کارآمد و در راستای آن، وضع و ابلاغ گردد.