هک قوه قضاییه؛ ما یک ملت با دادههای Open Access هستیم
یک هفته از روزی که گروه هکری عدالت علی اعلام کرد به سامانه مدیریت پروندههای قوه قضاییه نفوذ کرده و «به میلیونها پرونده دست یافته است» گذشت. چند ساعت پس از اعلام این خبر از سوی این گروه هکری، سایتی راهاندازی شد و در دسترس قرار گرفت که اطلاعات سرقتشده در این حمله سایبری روی آن منتشر شد تا پروندههایی از نوع پروندههای عادی، محرمانه و فوق محرمانه در دسترس عموم قرار بگیرد.
در این یک هفته منتظر اظهار نظر رسمی از سوی مسئولین در نهادهای مختلف و واکنشی به این اتفاق بودیم؛ انتظاری که انگار بهجا نبوده، چون صرفاً یک تکذیب از سوی «یک مقام آگاه قضایی» (که نامی هم از اون منتشر نشده است) را به دنبال داشته است که گفته بود: «بسیاری از این اسناد، نامههای اداری مجعول و ساختگی و حتی قدیمی هستند که پیشتر در فضای مجازی منتشر شده بود و مجدداً بازنشر شدهاند.»
البته دادگستری تهران هم در واکنش به این خبر اعلام کرده است «موضوع هک سامانههای قوه قضاییه صحت ندارد و صرفاً یک خبرسازی کور سراسیمه برای تحت تأثیر قرار دادن خبر بازگشت اموال بابک زنجانی است.»
این تکذیبها در حالی مطرح شده است که حقوقدانها پس از بررسی ابعاد حقوقی و قضایی این حمله سایبری و انتشار اطلاعات لورفته، آن را یک «فاجعه» دانستهاند. محمدجعفر نعناکار، کارشناس حقوق سایبری و استاد دانشگاه، به زومیت میگوید:
ابعاد فاجعهبار این موضوع به حدی گسترده است که من فکر میکنم خود قوه قضاییه هم در یک شوک به سر میبرد. این فاجعه نیاز به بررسی دقیق و عمیق دارد. مطابق اصول کلی که در قانون، از جمله قانون تجارت الکترونیکی، قانون مجازات و قانون مسئولیت مدنی، وجود دارد از جنبههای مختلفی باید به این موضوع ورود کرد؛ عوامل مؤثر در این اتفاق باید شناسایی شود و لازم است یک بازمهندسی و بازطراحی در ساختارهای حقوقی، قضایی و پلتفرمی صورت بگیرد.- محمدجعفر نعناکار، کارشناس حقوق سایبری و استاد دانشگاه
دیگر حریم خصوصیای برایمان باقی نمانده است
این کارشناس حقوق سایبری سیاستگذاریها و اقدامات نهادهای بالادستی در راستای حفاظت از پایگاههای داده را ناکارآمد دانسته و توضیح میدهد که پس از انحلال و ادغام شورای عالی اطلاعرسانی و شورای عالی انفورماتیک در شورای عالی فضای مجازی، سیاستها و چارچوبهای سایبری کشور متمرکز شد اما به نظر میرسد این تمرکز نهتنها جواب نداده بلکه باعث شده انشقاق جدیدی شکل بگیرد.
به گفته نعناکار، در شورای عالی انفورماتیک رتبهبندی شرکتها و سازمانها در جهت این که چه صلاحیتی برای گسترش حوزه IT و ICT خود دارند مشخص شده بود که بعداًریال این وظیفه به سازمان برنامه و بودجه داده شد. از طرفی، سازمانهایی مثل سازمان پدافند غیرعامل، آزمایشگاه ماهر (ذیل سازمان فناوری اطلاعات)، افتای ریاستجمهوری (در حوزه ممیزی امنیت شرکتهای IT و ICT) شکل گرفتند. با وجود تمام این نهادها و فعالیتشان اما حملات سایبری با شدت و تعدد بیشتر در حال رخ دادن است. این حقوقدان میگوید:
این نهادها در کشور حاضرند اما ما شاهد این هستیم که دستکم در چند سال اخیر هکهای پیدرپی در سامانههای ملی، عمومی و خصوصی منجر به این شده که تقریباً حریم خصوصی برای ایرانیها باقی نمانَد. بعضی از کارشناسان با ظرافتی به این وضعیت میگویند ایرانِ Open Source یا متنباز!- محمدجعفر نعناکار، کارشناس حقوق سایبری و استاد دانشگاه
فارغ از تمام حملههای سایبری در سالهای اخیر مرور چند هک و نشت گسترده اطلاعات در همین ۶ ماه گذشته هم شاهد موارد متعددی از به خطر افتادن امنیت سایبری کشور و کاربران بودهایم. از هک تپسی، حمله سایبری به سامانه ثبت احوال و هک شدن شرکتهای بیمهای در شهریور ۱۴۰۲ تا حمله سایبری به جایگاههای سوخت در آذر ماه و هک شدن اسنپفود در دی ماه همگی مجموع حملاتی هستند که در ۶ ماه رخ داده و اطلاعات شخصی کاربران را در معرض خطر قرار داده است.
حمله سایبری به سرورهای قوه قضاییه اما از این نظر که سه میلیون پرونده از پروندههای مردم که عموماً مربوط به حوزه قضایی تهران است هک و در اینترنت منتشر شده که اطلاعات محرمانه آنها را شامل میشود و تهدید بزرگی برای امنیتشان محسوب میشود، حمله جدیتر و خطرناکتری به نظر میآید.
شورای عالی فضای مجازی بهجای عارضهیابی از ضعف حکمرانی سایبری کشور به دنبال محدودسازی بخش خصوصی است
مسئولان هرچند بعد از هک شرکتهای بخش خصوصی، بهویژه اسنپفود، واکنش قابل توجهی به این موضوع نشان دادند اما در مورد افشای میلیونها پرونده قضایی سکوت را ترجیح دادهاند. این در حالی است که نعناکار اعتقاد دارد:
در خصوص این موضوع باید حکمرانی سایبری کشور از سوی حاکمیت عارضهیابی و بازمهندسی شود؛ باید آسیبشناسی شود که چرا حکمرانی سایبری ما ناکارآمد است؟ چرا سازمانهای دولتی و حاکمیتی به جای تقویت زیرساختهای ملی رویکردشان بیشتر به محدودسازی بخش خصوصی معطوف است؟ اما به جای این کار، رویکرد نهادی مثل شورای عالی فضای مجازی این است که بر محدودسازی بخش خصوصی متمرکز شود.- محمدجعفر نعناکار، کارشناس حقوق سایبری و استاد دانشگاه
او اعتقاد دارد که کشور به یک قانون جامع در این حوزه احتیاج دارد چراکه «متأسفانه حکمرانی سایبری کشور سیاست و قانون درستی ندارد. قوانین بسیار متفرق هستند و به همین دلیل بعضی مسائل دور از چشم متولیان امر میماند.»
انتشار یک لیست از پایگاههای حیاتی داده باعث شناسایی و حمله به آنها شد
کاستیها صرفاً به خلأ قانونی و نظارتی هم محدود نمیشود. نعناکار به اقدام نادرست شورای عالی فضای مجازی در راستای انتشار اسامی پایگاههای حیاتی داده اشاره کرده است و میگوید:
«شورای عالی فضای مجازی یک بار لیست بیش از ۱۵ پایگاه حیاتی داده در کشور را منتشر کرد؛ پایگاههایی که سرّی هستند و هیچ کشوری اسامی آنها را منتشر نمیکند. همین که شورای عالی فضای مجازی این لیست را منتشر کرده باعث شده متخاصمین آنها را شناسایی کرده و برای استخراج داده از آنها تلاش کنند. خود این موضوع هم یک معضل است.»
گروه عدالت علی؛ هکتیویستهایی با ادعای پوشالی
آمنه دهشیری، پژوهشگر ارشد حقوق دیجیتال، در گفتوگو با زومیت به اقدام گروه هکری عدالت علی که پس از دستیابی به پروندههای قضایی آنها را در دسترس عموم قرار داده اشاره کرده و توضیح میدهد:
این گروه هکری ادعا میکند که با انتشار این اطلاعات قصد دارد یک فعالیت با نفع عمومی انجام دهد اما در همین نوع فعالیتها هم بسیاری از گروههای «هکتیویست»، یعنی اکتیویستهایی که از طریق هک فعالیت میکنند، وجود دارند که وقتی به چنین اطلاعاتی دسترسی پیدا میکنند آنها را روی اینترنت نمیگذارند بلکه به متخصصان فنی و ژورنالیستها منتقل میکنند تا این اطلاعات را بررسی کند نه این که چنین فاجعهای را رقم بزنند.- آمنه دهشیری، پژوهشگر ارشد حقوق دیجیتال
این حقوقدان وضعیت امروز کاربران ایرانی را به درهای تشبیه میکند که گرفتار آتش شده است: «ما در یک دره گیر افتادهایم که از هر طرف برویم به آتش میرسیم! از یک طرف چنین هکتیویستهایی هستند و از طرف دیگر دولت و حاکمیتی که از امنیت اطلاعاتمان حفاظت نمیکند. شدهایم یک ملت Open Access که دیتایی از ما باقی نمانده که در دسترس عموم قرار نداشته باشد.»
او با بیان این که گروه هکری مذکور در این موضوع اخلاق را رعایت نکرده به نقش دولت در این مسئله اشاره کرده و توضیح میدهد: «نکته مهم این است که این گروه هکری مسئول رعایت حقوق بشر ما نیست، دولت است که در این زمینه مسئولیت دارد.»
به گفته دهشیری، اولین اقدام دولت بهعنوان مسئول رعایت حقوق بشر شهروندان این است که با قوانین سفت و سخت امنیت دادهها را تأمین کند. دومین وظیفهاش این است که در بحث لو رفتن اطلاعات جرمانگاری کند، مجازات در نظر بگیرد و از قربانیان جبران خسارت کند.
او در ادامه توضیح میدهد که از منظر حقوقی و حقوق بشری رعایت حریم خصوصی یک حق است و حقوق بشر برای دولت در برابر شهروندانش دو نوع تعهد ایجاد میکند: تعهد منفی و تعهد مثبت. بر اساس تعهد منفی، دولت حق ندارد حریم خصوصی شهروندانش را نقض کند. یعنی به دولت میگوید مکاتبات، تلفنها، پیامرسانها و... شهروندانش را بررسی نکند و به اطلاعات شخصی و خصوصی آنها دسترسی نداشته باشد.
دولت نه قانونی برای حفاظت از دادههای کاربران ارائه میکند و نه در مقام نگهدارنده دادهها وظایفش را انجام میدهد
در مورد تعهدات مثبت اما دهشیری توضیح میدهد که طبق تعهد مثبت، دولت باید در خصوص برخی اتفاقات، مثل همین هک شدن سازمانهای دولتی یا شرکتهای خصوصی، قانون و مقررات الزامآوری تهیه کند که شرکتها را ملزم کند حداقل استانداردهای امنیتی و نظارتی در خصوص دادههای شخصی افراد را رعایت کنند تا دادههای مردم در امان باشند.
این پژوهشگر ارشد حقوق دیجیتال اعتقاد دارد در مورد هک سامانه قوه قضاییه دولت به این مسئولیت خود عمل نکرده است:
در موضوع هک قوه قضاییه، دولت خودش نقش نگهدارنده دادههای کاربران را داشته اما آنطور که باید نکات امنیتی برای حفاظت از این دادهها را انجام نداده است. یعنی چه در شرکتهای خصوصی و چه در نهادهای دولتی موضوع حفاظت از دادههای شخصی رعایت نمیشود.- آمنه دهشیری، پژوهشگر ارشد حقوق دیجیتال
محمدجعفر نعناکار هم با اشاره به حملههای سایبری به انواع شرکتهای خصوصی و نهادهای دولتی میگوید: «اگر از منظر حریم خصوصی به این اتفاق نگاه کنیم در حال حاضر حداقل برای قشری از کشور دیگر حریم خصوصیای باقی نمانده است. یعنی اطلاعات حسابهای بانکی (هک بانکها)، اطلاعات شناسنامهای (هک ثبت احوال)، اطلاعات قضایی(هک قوه قضاییه)، اطلاعات مکانی (بعد از هک تپسی) و... همه در اینترنت منتشر شده است.»