مدعی‌العموم در پیگیری تبعات حملات سایبری ضعف دارد

جوان آنلاین: چرا بعد از حملات سایبری اطلاع‌رسانی نمی‌شود؟ غالباً در دنیا حملات سایبری به دستگاه‌های اجرایی، کسب‌و‌کار‌ها و پلتفرم‌ها اتفاق می‌افتد و قصه تکراری است. چون تأمین امنیت سایبری نسبی است، اما هر کشوری سعی می‌کند وقتی دستگاه اجرایی مورد حملات سایبری قرار می‌گیرد به سرعت، روش حمله سایبری و مدل مقابله با آن را برای جلوگیری از ادامه حملات سایبری بیشتر به دیگر کسب‌و‌کار‌ها و دستگاه‌های اجرایی و... اطلاع بدهد تا حداقل بقیه در امان باشند، چیزی که در این قصه تکراری در کشورمان کمتر می‌بینیم و به گفته کارشناسان در این زمینه خلأ بزرگی وجود دارد. در ماه‌های اخیر خبر حمله سایبری پلتفرمی مانند اسنپ‌فود، تپسی و دستگاه اجرایی همچون سازمان ثبت احوال کشور منتشر شده است، اما دریغ از انتشار روش و نوع مقابله با آن برای پیشگیری از حمله و هک‌شدن از این روش. پیش از این اگر دستگاه‌های اجرایی اهمیتی به اعلام دلایل حملات سایبری و... نمی‌دادند امروزه این موضوع به بخش خصوصی هم کشیده شده است و آن‌ها تنها به تأیید و تکذیب هک و حمله اکتفا می‌کنند و درباره حملات سایبری اطلاع‌رسانی نمی‌کنند، این در حالی است که باید شرکت‌های خصوصی و دستگاه‌های اجرایی گزارش فنی از شرح حمله سایبری به زیرساخت‌های خود منتشر کنند تا بلکه بتوانند کمک و راهنمایی برای سایر شرکت‌ها و دستگاه‌های اجرایی باشند. کارشناسان حقوقی فناوری اطلاعات معتقدند برای اطلاع‌رسانی هیچ خلأ قانونی وجود نداردف بلکه بحث اصلی ضعف ورود مدعی‌العموم به این موضوعات است. ورود نکردن نهاد‌های قانونی برای مطالبه‌گری و اعمال قانون بر مسببان موضوعات مختلف است.
محمدجواد نعناکار، کارشناس حقوقی فناوری اطلاعات در گفتگو با «جوان» درباره اینکه چرا شرکت‌های خصوصی و دستگاه‌های اجرایی هک را تکذیب کرده و تنها به عذرخواهی بسنده می‌کنند، گفت: حمله سایبری برای سرقت یا نفوذ اطلاعات صورت می‌گیرد. در هر حال تکذیب یا عذرخواهی نکردن شرکت‌های خصوصی و نهاد‌های دولتی یک سیاست کلان مدیریتی است که به فرهنگ کسب‌وکار و بلوغ جامعه اجتماعی برمی‌گردد.
وی افزود: متأسفانه در کشورمان به علل و عوامل مختلفی فرهنگ درستی در این زمینه غالب نبوده است. البته باید توجه داشت عذرخواهی یا تکذیب موارد اینچنینی، کاهنده مسئولیت حقوقی اشخاص حقوقی نمی‌شود و مطابق قوانین متعدد، در صورت ایجاد خسارت و زیان، این موارد باید به نحو مقتضی جبران شود.
کارشناس حقوقی فناوری اطلاعات در پاسخ به این سؤال که برای پاسخگوکردن شرکت‌های خصوصی و دولتی در قبال حملات سایبری چه خلأیی در کشور وجود دارد، اظهارکرد: بزرگ‌ترین مشکل در این زمینه نبود نهاد‌های مدنی مردم‌نهاد و ضعف ورود مدعی‌العموم به این موضوعات است. به نظر می‌رسد در حال حاضر قوانین کافی در این زمینه وجود دارد، آنچه محل نگرانی است ورود نکردن نهاد‌های قانونی برای مطالبه‌گری و اعمال قانون بر مسببان موضوعات مختلف است وگرنه قوانین تأمینی و نظارتی کافی به همراه قواعد جبران خسارت به اندازه کافی وجود دارد.
نعناکار درباره اینکه چه اقدامات حقوقی و قانونی باید در کشور در این حوزه انجام شود، گفت: مهم‌ترین اقدام حقوقی و قضایی در این‌باره این است که مدعی‌العموم به اینگونه موضوعات و همچنین سازمان‌های صنفی مانند نظام صنفی رایانه‌ای کشور و به فراخور موضوع نهاد‌هایی که مجوزات لازم را در خصوص امنیت فضای تبادل اطلاعات و ارتباطات تأمین می‌کنند، ورود کنند. همچنین ورود بخش خصوصی و مطالبه‌گری اشخاص حقوقی که در این جریانات اطلاعاتشان مورد سرقت قرار گرفته است، می‌تواند از اهمیت ویژه‌ای برخوردار باشد.
وی افزود: در هر حال وجود ضعف امنیتی در سامانه‌ها در صورتی که موجب تضییع حقوق شود، باید جبران شود. از طرفی شورای‌عالی فضای مجازی می‌تواند به وظایف ذاتی خود در این‌باره عمل کرده و قواعد لازم را مصوب کند و بر اجرای آن نظارت داشته باشد.
این کارشناس درباره چالش‌های اساسی که در این حوزه وجود دارد، اشاره و بیان کرد: بزرگ‌ترین چالش موجود در حملات سایبری نبود نظام حکمرانی سایبری در دو بعد طولی و عرضی است. شورای‌عالی فضای مجازی و مرکز ملی فضای مجازی به‌عنوان متولیان این امر در طول سال‌های اخیر آنگونه که باید، درباره تعمیق حکمرانی سایبری، تهیه قواعد نظام‌مند، نظارت کلان و پاسخگوکردن نهاد‌های ناظر اقدامات جدی انجام نداده‌اند و به قول معروف می‌توان گفت شاید در این موضوعات ترک‌فعل صورت گرفته باشد.
نعناکار در پاسخ به سؤال دیگری مبنی بر اینکه کدام بخش‌ها باید در این قسمت ورود کنند، گفت: بخش‌های مختلفی می‌توانند در این خصوص ورود مؤثری داشته باشند؛ مرکز ملی فضای مجازی، سازمان فناوری اطلاعات ایران، افتای ریاست‌جمهوری، نظام صنفی رایانه‌ای کشور و قوه‌قضائیه می‌توانند در این زمینه نقش‌آفرینی داشته باشند.
به گفته وی، اگر دنیا در این زمینه موفق عمل کرده به این دلیل است که تعمیق حکمرانی سایبری، تعریف درست و صحیح از حریم خصوصی کاربران، نظارت مداوم بر عملکرد سامانه‌های ملی چه در بخش خصوصی و چه عمومی، استفاده از ظرفیت بخش خصوصی برای تأمین امنیت فناوری اطلاعات و ارتباطات، ورود بهنگام نهاد‌های نظارتی و قوه‌قضائیه درخصوص اقدامات تأمینی و تنظیم‌گری فعالانه، ساده، اما مؤثر در دو حوزه پیشینی و پسینی صورت گرفته است و ما هم باید این موارد را در کشور عملیاتی کنیم.
ضعف اطلاع‌رسانی
بهداد عباسی، جرم‌شناس فضای سایبری نیز در گفتگو با «جوان» درباره اطلاع‌رسانی نکردن درباره حملات سایبری و گزارش به مردم گفت: اطلاع‌رسانی درباره حملات سایبری ضعیف است و این موضوع مغفول مانده و این ضعف و اطلاع‌رسانی قطره‌چکانی هیچ درمان و مرهمی برای این درد و زخم نیست. این در حالی است که قانون انتشار و دسترسی به اطلاعات مصوب مجلس شورای اسلامی اجازه اطلاع‌رسانی داده و حق شهروندی است که از موضوعات مختلف اطلاع داشته باشد و اطلاع‌رسانی درباره جزئیات حملات سایبری مستثنی نبوده و شهروندان حق دارند از این موضوع اطلاع داشته باشند.
عباسی افزود: مصوباتی در شورای‌عالی فضای مجازی در زمینه پیشگیری و برخورد با حملات سایبری و در حوزه امنیت سایبری وجود دارد، ولی به دلیل کثرت مراجعی که در این حوزه است و همچنین نبود شفافیت لازم در تعیین مرجع متولی به خصوص عدم فرهنگ‌سازی در زمینه اطلاع‌رسانی، باعث شده است جزئیات حملات سایبری اطلاع‌رسانی نشود.
جرم‌شناس فضای سایبری با بیان اینکه اطلاع‌رسانی قطره‌چکانی و تأیید و تکذیبیه‌ها از مراجع مختلف باعث می‌شود شایعات زیاد شود، اظهار کرد: از سوی دیگر اگر به اطلاع‌رسانی غیرمنطقی دامن بزنند، باعث تشویش و نگرانی شده و اطلاع‌رسانی مناسب و بهنگام باعث ارتقای سطح آگاهی و این خود عاملی برای توجه به پیشگیری از وقوع بزه می‌شود.
وی افزود: در حوزه اطلاع‌رسانی خلأ قانونی نداریم، حمایت‌های قانونی مناسبی صورت گرفته و باید با مطالبه‌گری این فرهنگ را در کشور ارتقا دهیم تا اطلاع‌رسانی صحیح صورت بگیرد و به عنوان درس‌آموزی، می‌تواند مرجع مشخصی برای این موضوع ایجاد شود و با توضیح کافی در این باره ارتقای سطح آموزش، فرهنگ و پیشگیری از وقوع حملات سایبری ایجاد شود.
عباسی گفت: درخصوص حملات سایبری می‌توان از منظر بزه‌دیده‌شناسی، قربانی و شخصی را که مورد حمله قرار می‌گیرد به سه بخش تقسیم‌بندی کنیم؛ بخش نخست اشخاص و شهروندانی هستند که معمولاً با قصد و انگیزه فردی مالی مانند اخذ پول و باج مورد حمله قرار می‌گیرند. بخش دوم این حملات سایبری شرکت‌ها و بنگاه‌های اقتصادی یا نهاد‌های ارائه‌دهنده خدمات در بخش خصوصی یا دولتی هستند و بیشتر با قصد و انگیزه‌های آسیب رساندن و آزار یا مباحث مالی مورد حمله قرار می‌گیرند. بخش سوم نهاد‌های دولتی و حاکمیتی و گاه مراکز حساس حکومتی هستند که معمولاً به قصد و انگیزه اخلال و آسیب رساندن مورد حمله واقع می‌شوند.
عباسی با بیان اینکه با مطالعه موارد پیشین، بخش سوم بیشتر مورد بزه و قربانی حمله قرار می‌گیرد و باید بیش از یک حمله سایبری تلقی کرده و به جنگ سایبری تعبیر کنیم، افزود: در مواجهه با این حملات باید به دو نکته به صورت ویژه توجه کرد؛ اول اینکه این حملات سایبری عنوان مجرمانه و جزایی دارند و قانونگذار در مصوبه سال ۸۸ با مواد قانونی مختلفی با مصادیق مشخص این حملات سایبری را جرم‌انگاری کرده است، بنابراین در این‌باره با کمبود قانون روبه‌رو نیستیم. در مرحله دوم نحوه مواجهه ما با این حملات از منظر بزه‌دیده‌شناسی باید متفاوت و از بازدارندگی لازم برخوردار باشد.
وی با اشاره به اینکه امروزه در کشورمان در حوزه امنیت سامانه‌ها و شبکه‌ها یا به طور عام امنیت سایبری از منابع و سرمایه‌های انسانی ماهر و متخصص برخورداریم، بیان کرد: نیروی انسانی ما با دانش و قابلیت‌های روز آموزش‌های لازم را دیده است و پختگی لازم را در حفظ امنیت سایبری دارد.