فاجعه خاموش: هک اطلاعات سازمان حج و زیارت / وقتی صیانت از داده‌ در کشور معنا ندارد

گروه هکری «آی‌آر لیکس» که پیش از این تپسی و اسنپ‌فود و اطلاعات برخی شرکت‌های بیمه را هک کرده بود، در حمله سایبری جدید خود سازمان حج و زیارت را هک کرده است. این گروه هکری، روز شنبه ۱۲ خرداد در کانال تلگرام خود اعلام کرد اطلاعات حجاج را در فاصله سال‌های ۱۳۶۳ تا ۱۴۰۳، از جمله اطلاعات مسئولان دولتی و حکومتی اعزام شده به حج را در اختیار دارد.

گروه «آی‌آر لیکس» گفته حجم کل دیتایی که در اختیار دارد ۱.۲۵ ترابایت است و اطلاعاتی مانند اطلاعات پرواز زائرین، اطلاعات بیمه زائرین، اطلاعات سند وثیقه، اطلاعات بانکی و پرداخت، اطلاعات کامل کارگزاران حج، اطلاعات وضعیت اسکان زائرین، مشخصات کامل اعزامی مسئولین دولتی و حکومتی، مشخصات کامل اعزامی سهمیه‌ای مانند خانواده شهدا و… را شامل می‌شود.

این گروه هکری همچنین اعلام کرده اطلاعاتی چون نام، نام‌خانوادگی، نام پدر، تاریخ تولد، محل تولد، شماره شناسنامه، کد ملی، سریال کارت ملی، وضعیت تأهل، شغل و دیگر مشخصات شخصی فراد را در هک اطلاعات سازمان حج در اختیار دارد.

این گروه به سازمان حج و زیارت ۲۴ ساعت برای مذاکره مهلت داده و تهدید کرده پس از ۲۴ ساعت، تمامی اطلاعات این سازمان را به فروش خواهد گذاشت.

گروه هکری «آی‌آر لیکس» در دی ماه سال گذشته از حمله خود به اسنپ فود خبر داده و گفته بود اطلاعات بیش از ۲۰ میلیون کاربر، از جمله نام کاربری، رمز عبور، ایمیل، نام و نام خانوادگی، شماره موبایل و نیز اطلاعات بیش از ۵۱ میلیون آدرس کاربر شامل موقعیت جی‌پی‌اس، آدرس کامل و شماره تلفن را در اختیار دارد.

این گروه در ۱۱ شهریور ماه سال گذشته نیز از هک و نشت اطلاعات خصوصی بیش از ۳۳ میلیون مسافر و راننده شرکت ایرانی تاکسی اینترنتی تپسی خبر داده بود.

در این میان روابط عمومی و اطلاع‌رسانی وزارت فرهنگ و ارشاد اسلامی نیز روز گذشته در اعلامیه‌ای یک خطی آب پاکی را روی دست همه ریخت و با تایید خبر هک شدن اطلاعات میلیون‌ها زائر ایرانی اعلام کرد که در پی رفع مشکل پیش‌آمده است. اطلاعیه ای که ارزش ناچیز دیتا را در نگاه مسئولان امر بازگو می‌کند. بی توجه به این موضوع که این حجم از اطلاعات در ابعاد گوناگون که برخی از آنها در فضای مجازی نیز منتشر خواهد شد در کمترین حالت مسائل حیثیتی و در بیشترین حد ممکن، پیامدهای امنیتی برای این کاربران خواهد داشت.

صیانتی که وجود ندارد

با گسترش سکوهای دیجیتال، مدیریت اطلاعات بیش از هر زمان دیگری اهمیت پیدا کرده است چراکه داده‌های شخصی در واقع کالایی ارزشمند در دنیای دیجیتال امروزی به شمار می روند.

 با این ‌حال، بی‌دقتی شرکت‌ها، خطای انسانی و تأخیر در پاسخگویی، جرایم سایبری و… به این معناست که از این داده‌ها آن‌طور که باید و شاید محافظت نمی‌شود و این مسئله ممکن است افرون بر لکه‌دارشدن اعتبار شرکت‌ها و کسب‌وکارهای دیجیتال، به خسارات مالی شدید، از‌دست‌دادن حریم خصوصی و آسیب‌های روحی و‌ جسمی منجر شود.

بر اساس تحقیقات مؤسسه Check Point، در سال ۲۰۲۲ حدود 9/1 میلیارد حمله سایبری شناسایی شد که نشان‌دهنده افزایش ۳۸ درصدی در مقایسه با سال ۲۰۲۱ بود. این روند در سال ۲۰۲۳ نیز ادامه داشت و در این سال حدود 10/8 میلیارد حمله سایبری شناسایی شد.

بنابراین، امنیت سایبری به منزله یکی از مهم‌ترین مسائل عصر دیجیتال، آن قدر اهمیت دارد که توسعه کسب‌‌وکارها و حریم خصوصی افراد به آن گره خورده است؛ به همین دلیل در جهان، دولت‌ها به وضع قوانین و اقدامات تنظیم‌گرانه مرتبط روی آورده‌اند.

در ایران با وجود نهادهای سیاست‌گذار در مرکز ملی فضای مجازی و مجلس شورای اسلامی، با وجود مقررات ناکامل، قانون یکپارچه‌ای دراین‌باره تصویب نشده و با تعدد اختیارات مراکز گوناگون (مانند مرکز ماهر زیر نظر وزارت ارتباطات، پلیس فتا، مرکز افتا ریاست‌جمهوری و سازمان پدافند غیرعامل) هنوز به طور شفاف مشخص نیست نهاد اصلی در این زمینه کدام است؟

طبق اصل ۲۵ قانون اساسی جمهوری اسلامی ایران، قوانین مسئولیت مدنی، قانون جرایم رایانه‌ای و قانون تجارت الکترونیک از جمله قوانینی هستند که در حوزه حفاظت از حریم خصوصی شهروندان فعالیت می‌کنند.

اما با نگاهی ساده به این جدول می‌توان دریافت که هنوز قوانین موجود در ایران اصول کلی دارد و به جزئیات پرداخته نشده است. در ثانی در کشور ما هیچ الزام قانونی وجود ندارد که همه شرکت‌ها و نهاد‌هایی که از شهروندان اطلاعات خصوصی‌شان را می‌گیرد باید متخصصان امنیت سایبری و حفاظت از داده داشته باشند تا با این دست حملات هکری مقابله شود و اطلاعات شخصی کاربران در معرض سوء استفاده قرار بگیرد.

داده را راحت از دست ندهید!

در ادبیات امنیت، اطلاعات مفهومی به نام single point of failure (تنها نقطه شکست) وجود دارد. این مفهوم توضیح می‌دهد که هرچقدر داده‌های بیشتری در یک جا جمع شود و تمرکز در ارائه داده‌ها صورت گیرد، هکرها با یک هدف روبه‌رو می‌شوند؛ آن نقطه را که هک‌کننده دیگر به همه داده‌ها هم دسترسی پیدا می‌کند. در امنیت جهانی تلاش می‌شود داده‌ها توزیع‌شده باشند.

در واقع، داده‌ها باید در جاهای متفاوتی نگهداری شوند تا با یک حمله و هک از بین نروند. این موضوع فقط به داده محدود نمی‌شود، حتی در سرویس‌ها هم این ظرافت وجود دارد تا اگر یک سرور را هک کردند، کل سیستم از کار نیفتد و کل داده‌ها منتشر نشود. یکی از نکاتی که در شرکت و سازمان‌ها در ایران به درستی رعایت نمی‌شود، انباشت اطلاعات در یک‌جا است و در صورت هک شدن، تمام داده‌ها به سرقت می‌رود.

سازمان حج آخرین شرکت و سازمانی نیست که اطلاعات آن لو رفت و هک و سرقت اطلاعات امری اجتناب‌ناپذیر است؛ اما این به معنای آن نیست مسئولان بی‌خیال رعایت شیوه‌نامه‌های امنیتی شوند و راه را برای هکرها باز بگذارند. در این میان شاید لایحه صیانت از داده که چندی پیش به تصویب دولت رسید و راهی مجلس دوازدهم شد بتواند راهکاری بر این موضوع باشد. هر چند که درباره این لایحه و ابعاد آن بر دخالت بیش از حد در امور کسب و کارها حرف و حدیث بسیار است!