درز اطلاعات ۸۰ میلیون ایرانی در کارگروه تعامل‌پذیری پیگیری می‌شود

درز اطلاعات ۸۰ میلیون ایرانی در کارگروه تعامل‌پذیری پیگیری می‌شود

شب گذشته اخباری منتشر شد که نشان می‌داد یک بات تلگرامی توانسته با دسترسی مستقیم به سرورهای ثبت احوال اطلاعات کاربران مانند نام، نام خانوادگی، شماره ملی و نام پدر را در اختیار درخواست‌کنندگان بگذارد. این موضوع از سوی سخنگوی سازمان ثبت احوال کشور نیز تأیید شد و او توضیح داد که این اشتباه غیرعمدی از سوی وزارت بهداشت صورت گرفته است. او همچنین اعلام کرد که درحال‌حاضر دسترسی به این ربات غیرفعال شده است.

براساس اظهارت سخنگوی سازمان ثبت احوال باتوجه به شیوع ویروس کرونا در کشور، وزارت بهداشت نیاز به اطلاعات سامانه‌ی احراز هویت ثبت احوال داشته و براساس تفاهم‌نامه‌ای که آن‌ها با این وزارت‌خانه داشته‌اند قرار بوده تا این اطلاعات با حفظ حریم خصوصی با وزارت بهداشت به اشتراک‌ گذاشته شود؛ اما در نهایت به دلیل یک اشتباه وزارت بهداشت، اطلاعات این سامانه در اینترنت قرار گرفته است.

مقاله‌ی مرتبط:

ازطرفی طبق مصوبه‌ی ۵۴ شورای عالی فضای مجازی، نحوه‌ی دسترسی به استعلامات داده‌های الکترونیک دستگاه‌های دولتی و نیز تعیین مدل پیاده‌سازی تبادل اطلاعات و استعلام الکترونیکی بین دستگاهی، از وظایف و اختیارات کارگروه تعامل‌پذیری دولت الکترونیکی است. حال رضا باقری‌اصل، رئیس کارگروه تعامل‌پذیری دولت الکترونیک از پیگیری این موضوع و تذکر به دستگاه‌های خاطی خبر داده است. او گفت:

جزئیات اینکه این اطلاعات از طریق ثبت احوال و دستگاهی که این اطلاعات را گرفته، چگونه و به چه نحوی منتقل و جابه‌جا شده است در دسترس نیست. به همین دلیل اطلاعات فعلی ما غیررسمی بوده و پیگیری به عمل آمده از سازمان ثبت احوال نیز هنوز به نتیجه نرسیده است. هیچ درخواستی از وزارت بهداشت و سازمان ثبت احوال به کارگروه تعامل‌پذیری دولت الکترونیک جهت تبادل اطلاعات، مطرح نشده است. این درحالی است که پیش از عید نوروز و باتوجه به شرایط کرونا با مسئولان دو دستگاه صحبت کرده و آمادگی خود را برای نیازمندی تبادل اطلاعات این دستگاه‌ها در مباحث بحران کرونا اعلام کردیم؛ حتی پیشنهاد برگزاری جلسه‌ی فوق‌العاده کارگروه تعامل‌پذیری دولت الکترونیک را دادیم.

باقری‌اصل در ادامه افزود تکالیف هر دستگاه مطابق مصوبه‌ی کارگروه تعامل‌پذیری دولت الکترونیکی (مصوبه‌ی ۵۴ شورای عالی فضای مجازی) مشخص است؛ به عبارتی دستگاه‌ها برای تبادل داده اختیارات ذاتی دارند که می‌توانند از آن‌ها استفاده کنند یا می‌توانند از مشورت‌ها، تجارب و زیرساخت‌هایی که در کارگروه تعامل‌پذیری دولت الکترونیک طرح می‌شود، استفاده کنند. به‌گفته‌ی او در موضوع افشای اطلاعات شناسنامه‌ای کاربران، اطلاعات فنی دقیقی از اینکه این حجم از دیتا از طریق مرکز ملی تبادل اطلاعات (NIX) تبادل شده یا اینکه دستگاه دریافت‌کننده‌ی اطلاعات، به اشتباه اطلاعاتی را در بستر اینترنت بارگذاری کرده است، در دست نیست. او گفت:

اما از نظر جزئیات مقرراتی نیز، ما درخواستی در این خصوص دریافت نکردیم؛ به این معنی که مجوز اشتراک‌گذاری اطلاعات میان وزارت بهداشت و ثبت احوال از کارگروه تعامل‌پذیری اخذ نشده است؛ چنانچه اگر درخواستی از این بابت دریافت می‌شد حتما ملاحظات امنیتی و ملاحظات کسب‌وکار و ریسک‌های انجام تبادل اطلاعات میان دو دستگاه را گوشزد کرده و حداقل در این مسیر همراه‌با این دستگاه‌ها پذیرش مسئولیت می‌کردیم.

به‌گفته‌ی باقری‌اصل گذر اطلاعات دستگاه‌ها از مرکز ملی تبادل اطلاعات (NIX) اجباری است همچنین جزئیات اتفاقی که رخ داده است روز شنبه و از طریق ارسال نامه‌ی کتبی به وزارت بهداشت و سازمان ثبت احوال پیگیری شده و سهل‌انگاری احتمالی گوشزد می‌شود تا از این پس، مسیر تبادل اطلاعات میان دستگاه‌ها از طریق اتصال NIX صورت گیرد و ریسک تهدیدات امنیتی پایین بیاید. او گفت:

در اتفاق صورت گرفته ظاهرا یکی از سامانه‌های وزارت بهداشت که در شرایط بحران کرونا راه‌اندازی شده، از دیتای ثبت احوال استفاده می‌کرده که این اطلاعات فاش شده است. با این وجود اما هنوز مشخص نشده که این دیتا از چه مسیری گذر کرده است. یعنی مشخص نیست که اتصال به‌صورت برخط (آنلاین) بوده یا اینکه از پایگاه اطلاعاتی جابه‌جا شده است. تنها چیزی که می‌دانیم این است که دیتای ربات تلگرامی موثق است.

رئیس کارگروه تعامل پذیری دولت الکترونیک می‌گوید نشت اطلاعات از سرویس‌های سازمان ثبت احوال، لزوما به‌معنای این نیست که ثبت احوال مقصر این ماجرا است. اما این موضوع باید با حضور نمایندگان وزارت بهداشت و سازمان ثبت احوال در کارگروه تعامل‌پذیری دولت الکترونیک که نمایندگان سه قوه در آن حضور دارند، پیگیری شود. دبیر شورای اجرایی فناوری اطلاعات با اشاره به «مصوبه‌ی SLA کارگروه تعامل‌پذیری دولت الکترونیک» در خصوص نحوه‌ی اتصال دستگاه‌های دولتی به مرکز ملی تبادل اطلاعات و شرایط اشتراک‌گذاری اطلاعات بین دستگاهی، گفت:

در این مصوبه مشخص شده که چگونه تبادل اطلاعات صورت گیرد و ضوابط پیوست امنیتی نیز از جمله الزامات این مصوبه است؛ بنابراین اگر وزارت بهداشت و سازمان ثبت احوال این مصوبه را رعایت نکرده باشند و اطلاعات بین دستگاهی را به‌صورت مستقیم تبادل کرده باشند، خلاف مصوبه‌ی شورای عالی فضای مجازی عمل کرده و پس از بررسی در مورد آن تصمیم‌گیری خواهد شد.

سیف‌الله ابوترابی، سخنگوی سازمان ثبت احوال کشور در گفت‌وگو با ایسنا، در توضیح فروش اطلاعات فاش شده از سازمان ثبت احوال با قیمت ۱۰ بیت کوین معادل حدود ۶۰ هزار دلار گفت:

سازمان ثبت احوال با بسیاری دستگاه‌ها و نهادها ارتباط برخط دارد که وزارت بهداشت هم از جمله این دستگاه‌هاست. در تفاهم‌نامه‌ی میان ثبت احوال و وزارت بهداشت ذکر شده که نباید اطلاعاتی که ما در اختیار آن‌ها قرار می‌دهیم در بستر اینترنت قرار بگیرد که علت آن هم نا امن بودن این فضا است. برای بحث غربالگری بیماری کووید۱۹ وزارت بهداشت  اطلاعات را در بستر اینترنت قرار داد اما این طور نیست که کل اطلاعات را گرفته باشند یا اساسا اطلاعات از پایگاه داده ثبت احوال گرفته باشند. برای مثال فردی وارد سامانه‌ای مانند فروشگاه خرید یا درخواست تاکسی اینترنتی می‌شود و شماره‌ی ملی و بعضی اطلاعات اولیه‌ی هویتی مانند نام و نام خانوادگی و شماره تماس را برای ثبت‌نام وارد آن سامانه می‌کند و آن سامانه پایگاه داده‌ای با این اطلاعات، برای خود ایجاد می‌کند. در این مورد هم برای ثبت‌نام در سامانه‌ی سلامت وزارت بهداشت افراد باید این اطلاعات را وارد می‌کردند که این سامانه اطلاعات را از پایگاه داده‌ی ما دریافت می‌کرد ولی به هیچ‌عنوان اطلاعاتی شامل ارتباط‌های سببی و نسبی یا ازدواج و طلاق افراد نه در اختیار این سامانه و نه در اختیار سایر سامانه‌ها قرار می‌گیرد.

به این ترتیب دسترسی به اطلاعات اولیه افراد شامل نام و نام خانوادگی، کدملی و شماره تماس می‌تواند از طریق سامانه‌ی سلامت وزارت بهداشت اتفاق بیفتد که ما امروز جلوی دسترسی به این پایگاه داده را گرفتیم و به وزارت بهداشت کتبا اعلام کردیم سامانه را امن کنند و تا زمانی که این امنیت برقرار نشده نمی‌توانند از این اطلاعات استفاده کنند و این کار با توجه به تفاهم‌نامه و پروتکل‌های ایمنی که با ثبت احوال بسته‌اند، تخلف است.

ظاهرا تنها دسترسی به اطلاعات اولیه شامل نام و نام خانوادگی، کدملی و شماره تماس افراد از طریق سامانه‌ی وزارت بهداشت اتفاق افتاده است، ما اطلاعاتی بیش از آنچه که ذکر شد به هیچ سامانه‌ای نمی‌دهیم مگر در موارد خاص آن هم نه در بستر اینترنت، به سامانه‌ی سلامت هم اطلاعات در همین حد داده شده است.