جوان آنلاین: چرا بعد از حملات سایبری اطلاعرسانی نمیشود؟ غالباً در دنیا حملات سایبری به دستگاههای اجرایی، کسبوکارها و پلتفرمها اتفاق میافتد و قصه تکراری است. چون تأمین امنیت سایبری نسبی است، اما هر کشوری سعی میکند وقتی دستگاه اجرایی مورد حملات سایبری قرار میگیرد به سرعت، روش حمله سایبری و مدل مقابله با آن را برای جلوگیری از ادامه حملات سایبری بیشتر به دیگر کسبوکارها و دستگاههای اجرایی و... اطلاع بدهد تا حداقل بقیه در امان باشند، چیزی که در این قصه تکراری در کشورمان کمتر میبینیم و به گفته کارشناسان در این زمینه خلأ بزرگی وجود دارد. در ماههای اخیر خبر حمله سایبری پلتفرمی مانند اسنپفود، تپسی و دستگاه اجرایی همچون سازمان ثبت احوال کشور منتشر شده است، اما دریغ از انتشار روش و نوع مقابله با آن برای پیشگیری از حمله و هکشدن از این روش. پیش از این اگر دستگاههای اجرایی اهمیتی به اعلام دلایل حملات سایبری و... نمیدادند امروزه این موضوع به بخش خصوصی هم کشیده شده است و آنها تنها به تأیید و تکذیب هک و حمله اکتفا میکنند و درباره حملات سایبری اطلاعرسانی نمیکنند، این در حالی است که باید شرکتهای خصوصی و دستگاههای اجرایی گزارش فنی از شرح حمله سایبری به زیرساختهای خود منتشر کنند تا بلکه بتوانند کمک و راهنمایی برای سایر شرکتها و دستگاههای اجرایی باشند. کارشناسان حقوقی فناوری اطلاعات معتقدند برای اطلاعرسانی هیچ خلأ قانونی وجود نداردف بلکه بحث اصلی ضعف ورود مدعیالعموم به این موضوعات است. ورود نکردن نهادهای قانونی برای مطالبهگری و اعمال قانون بر مسببان موضوعات مختلف است.
محمدجواد نعناکار، کارشناس حقوقی فناوری اطلاعات در گفتگو با «جوان» درباره اینکه چرا شرکتهای خصوصی و دستگاههای اجرایی هک را تکذیب کرده و تنها به عذرخواهی بسنده میکنند، گفت: حمله سایبری برای سرقت یا نفوذ اطلاعات صورت میگیرد. در هر حال تکذیب یا عذرخواهی نکردن شرکتهای خصوصی و نهادهای دولتی یک سیاست کلان مدیریتی است که به فرهنگ کسبوکار و بلوغ جامعه اجتماعی برمیگردد.
وی افزود: متأسفانه در کشورمان به علل و عوامل مختلفی فرهنگ درستی در این زمینه غالب نبوده است. البته باید توجه داشت عذرخواهی یا تکذیب موارد اینچنینی، کاهنده مسئولیت حقوقی اشخاص حقوقی نمیشود و مطابق قوانین متعدد، در صورت ایجاد خسارت و زیان، این موارد باید به نحو مقتضی جبران شود.
کارشناس حقوقی فناوری اطلاعات در پاسخ به این سؤال که برای پاسخگوکردن شرکتهای خصوصی و دولتی در قبال حملات سایبری چه خلأیی در کشور وجود دارد، اظهارکرد: بزرگترین مشکل در این زمینه نبود نهادهای مدنی مردمنهاد و ضعف ورود مدعیالعموم به این موضوعات است. به نظر میرسد در حال حاضر قوانین کافی در این زمینه وجود دارد، آنچه محل نگرانی است ورود نکردن نهادهای قانونی برای مطالبهگری و اعمال قانون بر مسببان موضوعات مختلف است وگرنه قوانین تأمینی و نظارتی کافی به همراه قواعد جبران خسارت به اندازه کافی وجود دارد.
نعناکار درباره اینکه چه اقدامات حقوقی و قانونی باید در کشور در این حوزه انجام شود، گفت: مهمترین اقدام حقوقی و قضایی در اینباره این است که مدعیالعموم به اینگونه موضوعات و همچنین سازمانهای صنفی مانند نظام صنفی رایانهای کشور و به فراخور موضوع نهادهایی که مجوزات لازم را در خصوص امنیت فضای تبادل اطلاعات و ارتباطات تأمین میکنند، ورود کنند. همچنین ورود بخش خصوصی و مطالبهگری اشخاص حقوقی که در این جریانات اطلاعاتشان مورد سرقت قرار گرفته است، میتواند از اهمیت ویژهای برخوردار باشد.
وی افزود: در هر حال وجود ضعف امنیتی در سامانهها در صورتی که موجب تضییع حقوق شود، باید جبران شود. از طرفی شورایعالی فضای مجازی میتواند به وظایف ذاتی خود در اینباره عمل کرده و قواعد لازم را مصوب کند و بر اجرای آن نظارت داشته باشد.
این کارشناس درباره چالشهای اساسی که در این حوزه وجود دارد، اشاره و بیان کرد: بزرگترین چالش موجود در حملات سایبری نبود نظام حکمرانی سایبری در دو بعد طولی و عرضی است. شورایعالی فضای مجازی و مرکز ملی فضای مجازی بهعنوان متولیان این امر در طول سالهای اخیر آنگونه که باید، درباره تعمیق حکمرانی سایبری، تهیه قواعد نظاممند، نظارت کلان و پاسخگوکردن نهادهای ناظر اقدامات جدی انجام ندادهاند و به قول معروف میتوان گفت شاید در این موضوعات ترکفعل صورت گرفته باشد.
نعناکار در پاسخ به سؤال دیگری مبنی بر اینکه کدام بخشها باید در این قسمت ورود کنند، گفت: بخشهای مختلفی میتوانند در این خصوص ورود مؤثری داشته باشند؛ مرکز ملی فضای مجازی، سازمان فناوری اطلاعات ایران، افتای ریاستجمهوری، نظام صنفی رایانهای کشور و قوهقضائیه میتوانند در این زمینه نقشآفرینی داشته باشند.
به گفته وی، اگر دنیا در این زمینه موفق عمل کرده به این دلیل است که تعمیق حکمرانی سایبری، تعریف درست و صحیح از حریم خصوصی کاربران، نظارت مداوم بر عملکرد سامانههای ملی چه در بخش خصوصی و چه عمومی، استفاده از ظرفیت بخش خصوصی برای تأمین امنیت فناوری اطلاعات و ارتباطات، ورود بهنگام نهادهای نظارتی و قوهقضائیه درخصوص اقدامات تأمینی و تنظیمگری فعالانه، ساده، اما مؤثر در دو حوزه پیشینی و پسینی صورت گرفته است و ما هم باید این موارد را در کشور عملیاتی کنیم.
ضعف اطلاعرسانی
بهداد عباسی، جرمشناس فضای سایبری نیز در گفتگو با «جوان» درباره اطلاعرسانی نکردن درباره حملات سایبری و گزارش به مردم گفت: اطلاعرسانی درباره حملات سایبری ضعیف است و این موضوع مغفول مانده و این ضعف و اطلاعرسانی قطرهچکانی هیچ درمان و مرهمی برای این درد و زخم نیست. این در حالی است که قانون انتشار و دسترسی به اطلاعات مصوب مجلس شورای اسلامی اجازه اطلاعرسانی داده و حق شهروندی است که از موضوعات مختلف اطلاع داشته باشد و اطلاعرسانی درباره جزئیات حملات سایبری مستثنی نبوده و شهروندان حق دارند از این موضوع اطلاع داشته باشند.
عباسی افزود: مصوباتی در شورایعالی فضای مجازی در زمینه پیشگیری و برخورد با حملات سایبری و در حوزه امنیت سایبری وجود دارد، ولی به دلیل کثرت مراجعی که در این حوزه است و همچنین نبود شفافیت لازم در تعیین مرجع متولی به خصوص عدم فرهنگسازی در زمینه اطلاعرسانی، باعث شده است جزئیات حملات سایبری اطلاعرسانی نشود.
جرمشناس فضای سایبری با بیان اینکه اطلاعرسانی قطرهچکانی و تأیید و تکذیبیهها از مراجع مختلف باعث میشود شایعات زیاد شود، اظهار کرد: از سوی دیگر اگر به اطلاعرسانی غیرمنطقی دامن بزنند، باعث تشویش و نگرانی شده و اطلاعرسانی مناسب و بهنگام باعث ارتقای سطح آگاهی و این خود عاملی برای توجه به پیشگیری از وقوع بزه میشود.
وی افزود: در حوزه اطلاعرسانی خلأ قانونی نداریم، حمایتهای قانونی مناسبی صورت گرفته و باید با مطالبهگری این فرهنگ را در کشور ارتقا دهیم تا اطلاعرسانی صحیح صورت بگیرد و به عنوان درسآموزی، میتواند مرجع مشخصی برای این موضوع ایجاد شود و با توضیح کافی در این باره ارتقای سطح آموزش، فرهنگ و پیشگیری از وقوع حملات سایبری ایجاد شود.
عباسی گفت: درخصوص حملات سایبری میتوان از منظر بزهدیدهشناسی، قربانی و شخصی را که مورد حمله قرار میگیرد به سه بخش تقسیمبندی کنیم؛ بخش نخست اشخاص و شهروندانی هستند که معمولاً با قصد و انگیزه فردی مالی مانند اخذ پول و باج مورد حمله قرار میگیرند. بخش دوم این حملات سایبری شرکتها و بنگاههای اقتصادی یا نهادهای ارائهدهنده خدمات در بخش خصوصی یا دولتی هستند و بیشتر با قصد و انگیزههای آسیب رساندن و آزار یا مباحث مالی مورد حمله قرار میگیرند. بخش سوم نهادهای دولتی و حاکمیتی و گاه مراکز حساس حکومتی هستند که معمولاً به قصد و انگیزه اخلال و آسیب رساندن مورد حمله واقع میشوند.
عباسی با بیان اینکه با مطالعه موارد پیشین، بخش سوم بیشتر مورد بزه و قربانی حمله قرار میگیرد و باید بیش از یک حمله سایبری تلقی کرده و به جنگ سایبری تعبیر کنیم، افزود: در مواجهه با این حملات باید به دو نکته به صورت ویژه توجه کرد؛ اول اینکه این حملات سایبری عنوان مجرمانه و جزایی دارند و قانونگذار در مصوبه سال ۸۸ با مواد قانونی مختلفی با مصادیق مشخص این حملات سایبری را جرمانگاری کرده است، بنابراین در اینباره با کمبود قانون روبهرو نیستیم. در مرحله دوم نحوه مواجهه ما با این حملات از منظر بزهدیدهشناسی باید متفاوت و از بازدارندگی لازم برخوردار باشد.
وی با اشاره به اینکه امروزه در کشورمان در حوزه امنیت سامانهها و شبکهها یا به طور عام امنیت سایبری از منابع و سرمایههای انسانی ماهر و متخصص برخورداریم، بیان کرد: نیروی انسانی ما با دانش و قابلیتهای روز آموزشهای لازم را دیده است و پختگی لازم را در حفظ امنیت سایبری دارد.