ابوالقاسم صادقی، معاون امنیت سازمان فناوری اطلاعات، درباره صحت و سقم افشای اطلاعات برخی سازمان‌ها و شرکت‌های خصوصی و دولتی که از روز گذشته بر سر زبان‌ها افتاده‌است، گفت: مرکز ماهر در حال بررسی راستی‌آزمایی مواردی است که هم‌اکنون اعلام شده‌است و این احتمال هم وجود دارد که برخی موارد، جعلی باشند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در پی انتشار برخی اخبار مبنی بر هک و سرقت اطلاعات هویتی چندین سازمان و شرکت، معاون امنیت سازمان فناوری اطلاعات از بررسی و پیگیری راستی‌آزمایی افشای این اطلاعات خبر داد.

فعالان امنیت سایبری عصر روز گذشته از افشای پایگاه اطلاعات هویتی کاربران برخی سازمان‌ها و شرکت‌های دولتی و خصوصی خبر دادند که این اطلاعات در فضای مجازی در حال خریدوفروش است. گفته می‌شود اطلاعات بیش از ۶۰۰ هزار حساب کاربری یک شرکت حمل‌ونقل، نامه‌های اداری دو شرکت هواپیمایی، اطلاعات هویتی مشترکان سه اپراتور ارتباطی، اطلاعات ۹۵۰هزار کاربر پژوهشگاه علوم و فناوری اطلاعات ایران و اطلاعات کامل سازمان امور دانشجویان وزارت علوم به دلیل هک در فضای مجازی در حال خریدوفروش است.

اواسط فروردین‌ماه نیز نشت اطلاعات شناسنامه‌ای ۸۰ میلیون کاربر ایرانی از طریق سرورهای سازمان ثبت احوال و وزارت بهداشت، افشای بانک اطلاعاتی حاوی اطلاعات شمار زیادی از کاربران ایرانی تلگرام و شماری از کاربران سیب‌اپ، یکی از بازارهای ایرانی نرم‌افزارهای آیفون، خبرساز شده‌بود.

ابوالقاسم صادقی، معاون امنیت سازمان فناوری اطلاعات ایران، درباره صحت و سقم هک و افشای اطلاعات صورت‌گرفته توضیح داد و گفت: مرکز ماهر در حال بررسی راستی‌آزمایی مواردی است که هم‌اکنون اعلام شده‌است. وی با بیان اینکه بخش قابل توجهی از این رخدادهای سایبری که منجر به افشای اطلاعات کاربران می‌شود به خاطر سهل انگاری صاحبان بانک‌های اطلاعاتی صورت می‌گیرد، گفت: به این معنی که اقدام به هک از طریق ابزارهای تکنیکال و پیشرفته‌ای صورت نگرفته، بلکه اطلاعات فاش شده به‌دلیل بی‌مبالاتی مالکان داده، بوده‌است.

صادقی با اشاره به مواردی که از عصر روز گذشته به‌عنوان هک و سرقت اطلاعات هویتی بسیاری از کاربران مجموعه‌ها و سازمان‌های دولتی و خصوصی مطرح شده‌است، افزود: البته تمامی موارد اعلام شده قابل تأیید نبوده و ممکن است در این میان ادعاهای جعلی نیز وجود داشته‌باشد. بر این اساس باید راستی‌آزمایی صورت گیرد.

وی ادامه داد: ما در مرکز ماهر در حال بررسی جوانب امر هستیم و ممکن است حتی دیتاهایی که در حال خریدوفروش در فضای مجازی است جعلی باشد و عده‌ای فقط به‌دنبال ایجاد یک جو روانی در جامعه باشند. بر این اساس باید جوانب و شواهد را بررسی و ماهیت داده‌های موجود را آنالیز کنیم تا صحت ماجرا مشخص شده و معلوم شود که این اطلاعات از کجا درز کرده‌است.

معاون امنیت سازمان فناوری اطلاعات ایران گفت: اغلب این سازمان‌ها خودشان نسبت به میزبانی و نگهداری دیتاهایشان اقدام می‌کنند. به همین دلیل برآوردمان این نیست که این اطلاعات از یک سرور و پایگاه داده خاصی درز کرده‌باشد.

صادقی با بیان اینکه بر اساس «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» مصوب شورای عالی فضای مجازی، پیشگیری و مقابله با حوادث سایبری، تقسیم کار ملی شده‌است، گفت: حملات و نقص‌های امنیتی زیرساخت‌های حیاتی کشور مانند حوزه‌های مالی و بانکی، ثبت احوال، انرژی، حمل‌ونقل و … به مرکز راهبردی افتای ریاست جمهوری سپرده شده‌است. در همین حال بر اساس این مصوبه، مقابله با حوادث و حملات در حوزه شهروندان و کسب‌وکارهای خصوصی شامل داده‌های مربوط به اپلیکیشن‌ها و بانک‌های داده غیردولتی به پلیس فتا تفویض اختیار شده‌است و مسئولیت حوادث و حملات سایبری بخش‌های غیر حساس دولتی نیز بر عهده وزارت ارتباطات و مرکز ماهر قرار دارد.

صادقی ادامه داد: ما طبق هماهنگی‌هایی که در این نظام داریم در حوزه سازمان‌هایی که به ما مرتبط می‌شود در حال بررسی جوانب امر هستیم. به‌طور کلی نیز دستورالعمل‌هایی را به سازمان‌های مختلف برای رعایت چارچوب‌های امنیت فضای سایبری ابلاغ می‌کنیم. از دید جرم‌یابی هم پلیس فتا و مجموعه‌های امنیتی باید وارد شوند و متخلفان را شناسایی کنند.

معاون امنیت سازمان فناوری اطلاعات درباره میزان تاثیرگذاری اقدامات مرکز ماهر بر پیشگیری از وقوع حوادث امنیت سایبری و جلوگیری از افشای اطلاعات، گفت: ما تاکنون از طریق مرکز ماهر هر آنچه را که باید دستگاه‌ها رعایت کنند ابلاغ کرده و هشدار داده‌ایم. اما موضوع این است که بسیاری از سازمان‌ها سهل‌انگاری می‌کنند و با این سهل‌انگاری‌ها نیز برخورد جدی صورت نمی‌گیرد تا جلوی این‌گونه اتفاقات گرفته‌شود. در این مورد به مراجع قانونی نیز نامه زده و مستندات و تحلیل فنی را اعلام می‌کنیم، اما به نظر می‌رسد صاحبان داده به این موارد توجهی نداشته و اخطارها را جدی نمی‌گیرند تا اینکه اتفاق مهمی رخ دهد و نیازمند کمک شوند.

وی اصلی‌ترین مشکل فضای سایبری کشور را خلاء قانونی در حوزه حریم خصوصی عنوان کرد و گفت: به‌دلیل نبود قوانین و قاعده برای حفظ حریم خصوصی در فضای سایبری، نهادهایی مانند مرکز ماهر نمی‌توانند به‌راحتی فعالیت مؤثر داشته‌باشند.

معاون امنیت سازمان فناوری اطلاعات ادامه داد: چارچوب قانونی صریح برای آنکه بتوان این‌گونه مسائل را در فضای سایبر حل‌وفصل کرد وجود ندارد. لایحه حریم خصوصی در فضای سایبر که مدت‌هاست توسط سازمان فناوری اطلاعات تهیه شده در انتظار تصویب در کمیسیون تخصصی دولت است.

وی گفت: ما در مرکز ماهر تمایل و آمادگی برای شفاف‌سازی این فضا داریم، اما پشتوانه قانونی برای آن وجود ندارد و با این روش نمی‌توان فرایندی را جلو برد. به همین دلیل تنها کاری که می‌توانیم انجام‌دهیم اطلاع‌رسانی گمنام‌سازی شده در خصوص نقص‌های امنیتی به صورت علنی و عمومی برای هوشیارسازی همه جامعه است و از سوی دیگر برای خود مجموعه‌ها نیز اطلاع‌رسانی هدفمند انجام می‌دهیم.

صادقی ادامه داد: در مورد درز اطلاعات هویتی چندین پایگاه داده که روز گذشته مطرح شده‌است نیز دیتابیس‌ها را شناسایی خواهیم‌کرد و نتایج را ظرف یکی دو روز آینده با رصد روی این دیتابیس‌ها اعلام می‌کنیم.