چرا کاربران از حملات سایبری بی‌خبر می‌مانند؟

به گزارش روابط عمومی سازمان نظام صنفی رایانه‌ای استان تهران، ‌بسیاری از صاحب‌نظران بر این باور هستند که با توجه به بی‌اعتمادی عمومی به پلتفرم‌های بومی، اطلاع‌رسانی درباره حملات سایبری ممکن است به بدبینی بیشتر کاربران دامن بزند. این بی‌اعتمادی، که ریشه در فرهنگ عمومی دارد، در حال دشوارتر کردن فعالیت کسب‌وکارهای اینترنتی بخش خصوصی است. با این حال، قوانین و استانداردهای جهانی و حتی برخی الزامات داخلی همچنان بر لزوم شفاف‌سازی تاکید می‌ورزند.

لزوم اطلاع‌رسانی حملات سایبری

در سطح جهانی و همچنین در ایران، اطلاع‌رسانی درباره حملات سایبری امری ضروری تلقی می‌شود. کیوان صنایع، رئیس کارگروه افتا در کمیسیون صنعت افتای سازمان نظام صنفی رایانه‌ای استان تهران، در این باره توضیح می‌دهد: «در ایران، برخلاف ساختارهای قانونی اتحادیه اروپا نظیر GDPR، هنوز قانون صریح و یکپارچه‌ای برای الزام عمومی کسب‌وکارها به اطلاع‌رسانی درباره حملات سایبری وجود ندارد. با این حال، پلتفرم‌های بومی، کسب‌وکارهای دارای مجوز و فعالان حوزه‌های حساس موظف هستند در این زمینه گزارش‌دهی انجام دهند. برای کاهش ریسک‌های حقوقی، اخلاقی و امنیتی، لازم است تمامی استارتاپ‌ها و پلتفرم‌های دیجیتال کشور، فارغ از وجود الزام قانونی، سیاست‌های گزارش‌دهی و پاسخ‌گویی به رخدادها را در دستور کار قرار دهند».

او اضافه می‌کند: «براساس الزامات امنیتی ابلاغ‌شده توسط مرکز مدیریت راهبردی افتا و مصوبات شورای عالی فضای مجازی، سازمان‌ها، پلتفرم‌ها و کسب‌وکارهایی که در حوزه‌های حساس، حیاتی یا دارای خدمات عمومی گسترده فعالیت می‌کنند، موظف هستند رخدادهای امنیتی مهم را در اسرع وقت به نهادهای ذی‌ربط گزارش دهند».

صنایع ادامه می‌دهد: «این اطلاع‌رسانی معمولاً باید به مرکز ماهر (CERT ملی ایران) یا مرکز افتا انجام گیرد. همچنین برای پلتفرم‌های بومی مانند پیام‌رسان‌ها و شبکه‌های اجتماعی، به‌ویژه آن‌هایی که دارای مجوز رسمی از وزارت ارتباطات یا مورد حمایت زیرساخت‌های دولتی هستند، الزامات خاصی برای راه‌اندازی مرکز عملیات امنیت (SOC) و گزارش‌دهی حملات سایبری در نظر گرفته شده است».

او با اشاره به الزامات اروپا می‌گوید: «در اتحادیه اروپا، در صورت وقوع نقض امنیتی اطلاعات شخصی، کنترل‌کننده داده موظف است ظرف حداکثر ۷۲ ساعت این رخداد را به مرجع نظارتی (Data Protection Authority) گزارش دهد. در صورتی که این رخداد منجر به آسیب جدی به حقوق و آزادی‌های افراد شود، باید به اطلاع اشخاص ذی‌نفع نیز برسد».

صنایع تاکید می‌کند: «با توجه به رشد سریع فضای مجازی و اپلیکیشن‌های مبتنی بر هوش مصنوعی، لازم است در خصوص پلتفرم‌ها، پیام‌رسان‌ها و شبکه‌های اجتماعی بومی و خطر نقض حریم خصوصی کاربران، قوانین مشخص و محکمی تدوین و ابلاغ شود. بسته به نوع اطلاعات، میزان دسترسی و نحوه استفاده از AI، ممکن است با تهدیدهای امنیتی جدی مواجه شویم».

استانداردهای مرتبط با حفاظت از اطلاعات کاربران

ISO/IEC 27001 به‌عنوان سنگ‌بنای سری استانداردهای امنیت اطلاعات شناخته می‌شود و الزامات لازم برای استقرار و مدیریت مؤثر یک سیستم مدیریت امنیت اطلاعات (ISMS) را مشخص می‌کند. این استاندارد به‌عنوان چارچوبی ساختاریافته، راهکارهایی برای حفاظت از دارایی‌های اطلاعاتی حساس سازمان‌ها ارائه می‌دهد.

استاندارد ISO/IEC 27018 نیز به‌عنوان مکملی برای استانداردهای 27001 و 27002 عمل کرده و رویه‌ها و کنترل‌هایی برای حفاظت از داده‌های شخصی در سازمان‌های ارائه‌دهنده خدمات ابری ارائه می‌دهد. این استاندارد با پاسخ‌گویی به دغدغه‌های مربوط به حفظ حریم خصوصی و الزامات قانونی، سطح امنیت اطلاعات را ارتقا می‌دهد.

تاکید استانداردها بر شفاف‌سازی

با اینکه رعایت استانداردها الزامی قانونی ندارند، اما تاکید آن‌ها بر شفاف‌سازی و اطلاع‌رسانی در حوزه امنیت سایبری موضوعی جدی است. چه در قالب قوانین و چه در چارچوب استانداردها، اطلاع‌رسانی به کاربران درباره حملات سایبری، ضرورتی انکارناپذیر به شمار می‌رود.

سیدعلی آذرکار، رئیس کمیسیون استاندارد سازمان نظام صنفی رایانه‌ای استان تهران، در این‌باره توضیح می‌دهد: «کمیته فرعی ۲۷ و مجموعه استانداردهای سری ۲۷۰۰۰ به‌طور مشخص بر تدوین استانداردهای مرتبط با امنیت سایبری و حفاظت از اطلاعات و حریم خصوصی تمرکز دارند. برخی از این استانداردها، به‌ویژه 27001 و 27003، توسط سازمان ملی استاندارد ایران بومی‌سازی شده و در اختیار ذی‌نفعان این حوزه قرار گرفته‌اند».

او ادامه می‌دهد: «به‌طور کلی، استانداردها ماهیتی پیشگیرانه دارند و هدف آن‌ها جلوگیری از وقوع رخدادهایی مانند حملات سایبری و افشای اطلاعات کاربران است. در فرآیند تدوین استانداردهای ملی نیز این امکان فراهم شده که نسخه بین‌المللی با در نظر گرفتن شرایط و منافع ملی، اصلاح و حتی سخت‌گیرانه‌تر تدوین شود».

آذرکار همچنین می‌گوید: «هرچند رعایت این استانداردها الزامی نیست و محدودیتی مشابه قوانین ایجاد نمی‌کند، اما برخی کشورها قوانینی مشخص در حوزه حفاظت از حریم خصوصی دارند که اجرای آن‌ها الزامی است؛ نظیر GDPR در اتحادیه اروپا».

او تاکید می‌کند: «در ایران، حتی اگر اجرای استانداردها الزام قانونی نداشته باشد، این استانداردها به‌صورت تشویقی عمل می‌کنند و نقش مهمی در شفاف‌سازی، اطلاع‌رسانی و بهبود فضای کسب‌وکار دارند. البته در برخی شرایط، نهادها و سازمان‌ها ممکن است به دلایل مختلف، مصلحت را در عدم اطلاع‌رسانی یا شفاف‌سازی ببینند».