شناسایی بانکهای اطلاعاتی حفاظتنشده و معرفی به مراجع قضایی
مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای) اعلام کرد با آغاز رصد جهت کشف بانکهای اطلاعاتی حفاظتنشده از روز ۱۲ فروردین، به صاحبان آنها هشدار داده خواهد شد و در صورتی که ظرف مدت ۴۸ ساعت، همچنان مشکل به قوت خود باقی باشد، بهمنظور حفظ دادهها و حفاظت از حریم خصوص شهروندان، به مراجع قضایی معرفی میشود.
فیلترینگ تلگرام بسیاری از کاربران را به استفاده از نسخههای غیررسمی تلگرام تشویق کرد که با استفاده از امکانات پروکسی بدون فیلترشکن در دسترس بودند و با وجود هشدارهای امنیتی کارشناسان و مسئولان وزارت ارتباطات و حتی مدیرعامل تلگرام درباره ناامن بودن این نسخههای غیررسمی، استفاده از آنها ادامه داشت تا جایی که چند روز پیش اعلام شد اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام از طریق این نسخهها جمعآوری شده و برای فروش در بازار سیاه قرار گرفت.
پس از این اتفاق، روز گذشته اعلام شد یکی از فروشگاههای آنلاین فروش اپلیکیشن، دچار مشکل مشابه شده و اطلاعات پنج میلیون از کاربرانش فاش شده است. در این راستا مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای) زیرمجموعه سازمان فناوری اطلاعات، بیانیهای را درخصوص افشای اطلاعات گسترده در روزهای گذشته، منتشر کرده است.
متن این بیانیه به شرح زیر است:
«قابل توجه کلیه دستگاههای دولتی و حاکمیتی و صاحبان کسبوکارها، با توجه به گسترش استفاده از فناوری اطلاعات در دوران کرونا و همچنین در ادامه درز گسترده و تاسفبار اطلاعات کاربران و شهروندان ایرانی و نقض حریم خصوصی آنها که متاسفانه تاکنون بارها اتفاق افتاده است؛ در این ایام نیز بانک اطلاعاتی حاوی اطلاعات میلیونها کاربر ایرانی تلگرام و سپس حجم بزرگی از کاربران یکی از بازارهای ایرانی نرمافزارهای آیفون افشا شده و در فضای مجازی در حال فروش است.
این موضوع و امثال آن علاوه بر نقض حریم خصوصی شهروندان، منجر به بروز تهدیدات مختلفی علیه افراد، سازمانها، کسبوکارها میشود. در این رابطه نکات زیر لازم به توضیح است:
۱. منشاء مشترک اتفاقات اخیر، وجود بانکهای اطلاعات کاملا حفاظتنشده یا دارای حفاظت خیلی ضعیف در سطح اینترنت است که باعث میشود افراد سوءاستفاهگر بتوانند به راحتی به این بانکها دسترسی پیدا کرده و باعث بروز مشکلات جدی برای مردم و کسبوکارها شوند. این نوع از سهلانگاریها به دلیل پیامدهای گستردهاش قابل چشمپوشی نیست و لازم است تا جدیتر از گذشته مورد توجه قرار گیرند. متاسفانه علیرغم هشدارهای متعدد مرکز ماهر در زمینه وجود این بانکها در اینترنت که در گذشته به صاحبان آنها و همچنین سایر مبادی قانونی مرتبط اطلاع داده میشد، برخی از این بانکها با سهلانگاری نسبت به این هشدارها باعث مشکلات این ایام شدهاند.
۲. با توجه به شرایط حساس کنونی و افزایش استفاده از فضای مجازی و فناوری اطلاعات در دوران شیوع کرونا، مرکز ماهر بر اساس مسئولیت اجتماعی خود و فراتر از مسئولیتهایی که در قانون بر عهده آن گذاشته شده است، دور جدید رصدهای خود را جهت کشف بانکهای اطلاعاتی باز (حفاظتنشده) از روز ۱۲ فروردین آغاز کرده است که تمام پلتفرمهای اصلی بانک اطلاعاتی اعم از انواع مبتنی بر SQL یا NoSQL را در بر خواهد گرفت.
بر این اساس تمام بانکهای اطلاعاتی که فاقد امنیت لازم باشند و در این رصدها شناسایی شوند، بهصورت آنی بهصورت عمومی یا بهصورت اختصاصی به صاحبان آنها (در صورت قابل شناسایی بودن) هشدار داده خواهد شد. از آنجایی که حفاظت از دادههای شهروندان یک وظیفه ملی است، لذا لازم است تا در صورتی که ظرف مدت ۴۸ ساعت در رصد مجدد همچنان مشکل به قوت خود باقی باشد، بهمنظور حفظ دادههای شهروندان و حفاظت از حریم خصوص شهروندان اقدام به معرفی به مراجع قضایی کنیم. بهمنظور دریافت هشدارها میتوانید در سامانه IranNoafarin.ir اطلاعات خود را ثبت کنید.
همچنین بر اساس «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» مصوب شورای عالی فضای مجازی، پیشگیری و مقابله با حوادث سایبری، تقسیم کار ملی شده است و حملات و نقضهای امنیتی زیرساختهای حیاتی کشور مانند حوزههای مالی و بانکی، انرژی، حمل و نقل، ثبت احوال به مرکز راهبردی افتا ریاست جمهوری سپرده شده است.
بر اساس همین مصوبه، مقابله با حوادث و حملات در حوزه «شهروندان و کسبوکارهای خصوصی» (شامل دادههای مربوط به اپلیکیشنها و بانکهای داده غیردولتی) به پلیس فتا سپرده شده و مسئولیت حوادث و حملات سایبری بخشهای غیرحساس دولتی نیز بر عهده وزارت ارتباطات و مرکز ماهر قرار دارد.
اما در این موقعیت حساس و بنا به ضرورت این ایام، همکاری و همدلی با سایر نهادهای مسوول را که همواره جزو وظایف خود دانستهایم، ما را بر آن داشت تا فراتر از تقسیم کار ملی، توان خود را در مرکز ماهر در جهت منافع عمومی کشور به کار گیریم تا بتوانیم در سایه همکاری و همدلی همه نهادهای مسئول در امنیت سایبری کشور، اقدامات ضروری و مناسب را در راستای رسیدن به سطح مطلوب امنیت سایبری در گستره ملی، شناسایی، برنامهریزی و اجرا کنیم.
در انتها امید میرود صاحبان بانکهای اطلاعاتی که دادهها و اطلاعات شخصی مردم به صورت امانت در اختیار آنها است نسبت به حفظ این امانت و حریم خصوصی شهروندان هم بر اساس قانون و هم بر اساس مسئولیت اجتماعی، حساسیت لازم را داشته باشند و در این راه هشدارهای اعلامشده را جدی تلقی کنند.»
بیانیه مرکز ماهر در حالی منتشر شده که امیر ناظمی - رئیس سازمان فناوری اطلاعات - در واکنش به فاش شدن اطلاعات کاربران بیان کرده بود: طبق مصوبه ۴۴ شورای عالی فضای مجازی وظیفه امنیت بخش کسبوکار با نیروی انتظامی است؛ هرچند بارها ما مخالفت کردهایم. ما مسئول پاسخگویی این حوادث نیستیم. از آنان مطالبهگری کنید.