درز اطلاعات ۸۰ میلیون ایرانی در کارگروه تعاملپذیری پیگیری میشود
شب گذشته اخباری منتشر شد که نشان میداد یک بات تلگرامی توانسته با دسترسی مستقیم به سرورهای ثبت احوال اطلاعات کاربران مانند نام، نام خانوادگی، شماره ملی و نام پدر را در اختیار درخواستکنندگان بگذارد. این موضوع از سوی سخنگوی سازمان ثبت احوال کشور نیز تأیید شد و او توضیح داد که این اشتباه غیرعمدی از سوی وزارت بهداشت صورت گرفته است. او همچنین اعلام کرد که درحالحاضر دسترسی به این ربات غیرفعال شده است.
براساس اظهارت سخنگوی سازمان ثبت احوال باتوجه به شیوع ویروس کرونا در کشور، وزارت بهداشت نیاز به اطلاعات سامانهی احراز هویت ثبت احوال داشته و براساس تفاهمنامهای که آنها با این وزارتخانه داشتهاند قرار بوده تا این اطلاعات با حفظ حریم خصوصی با وزارت بهداشت به اشتراک گذاشته شود؛ اما در نهایت به دلیل یک اشتباه وزارت بهداشت، اطلاعات این سامانه در اینترنت قرار گرفته است.
مقالهی مرتبط:
ازطرفی طبق مصوبهی ۵۴ شورای عالی فضای مجازی، نحوهی دسترسی به استعلامات دادههای الکترونیک دستگاههای دولتی و نیز تعیین مدل پیادهسازی تبادل اطلاعات و استعلام الکترونیکی بین دستگاهی، از وظایف و اختیارات کارگروه تعاملپذیری دولت الکترونیکی است. حال رضا باقریاصل، رئیس کارگروه تعاملپذیری دولت الکترونیک از پیگیری این موضوع و تذکر به دستگاههای خاطی خبر داده است. او گفت:
جزئیات اینکه این اطلاعات از طریق ثبت احوال و دستگاهی که این اطلاعات را گرفته، چگونه و به چه نحوی منتقل و جابهجا شده است در دسترس نیست. به همین دلیل اطلاعات فعلی ما غیررسمی بوده و پیگیری به عمل آمده از سازمان ثبت احوال نیز هنوز به نتیجه نرسیده است. هیچ درخواستی از وزارت بهداشت و سازمان ثبت احوال به کارگروه تعاملپذیری دولت الکترونیک جهت تبادل اطلاعات، مطرح نشده است. این درحالی است که پیش از عید نوروز و باتوجه به شرایط کرونا با مسئولان دو دستگاه صحبت کرده و آمادگی خود را برای نیازمندی تبادل اطلاعات این دستگاهها در مباحث بحران کرونا اعلام کردیم؛ حتی پیشنهاد برگزاری جلسهی فوقالعاده کارگروه تعاملپذیری دولت الکترونیک را دادیم.
باقریاصل در ادامه افزود تکالیف هر دستگاه مطابق مصوبهی کارگروه تعاملپذیری دولت الکترونیکی (مصوبهی ۵۴ شورای عالی فضای مجازی) مشخص است؛ به عبارتی دستگاهها برای تبادل داده اختیارات ذاتی دارند که میتوانند از آنها استفاده کنند یا میتوانند از مشورتها، تجارب و زیرساختهایی که در کارگروه تعاملپذیری دولت الکترونیک طرح میشود، استفاده کنند. بهگفتهی او در موضوع افشای اطلاعات شناسنامهای کاربران، اطلاعات فنی دقیقی از اینکه این حجم از دیتا از طریق مرکز ملی تبادل اطلاعات (NIX) تبادل شده یا اینکه دستگاه دریافتکنندهی اطلاعات، به اشتباه اطلاعاتی را در بستر اینترنت بارگذاری کرده است، در دست نیست. او گفت:
اما از نظر جزئیات مقرراتی نیز، ما درخواستی در این خصوص دریافت نکردیم؛ به این معنی که مجوز اشتراکگذاری اطلاعات میان وزارت بهداشت و ثبت احوال از کارگروه تعاملپذیری اخذ نشده است؛ چنانچه اگر درخواستی از این بابت دریافت میشد حتما ملاحظات امنیتی و ملاحظات کسبوکار و ریسکهای انجام تبادل اطلاعات میان دو دستگاه را گوشزد کرده و حداقل در این مسیر همراهبا این دستگاهها پذیرش مسئولیت میکردیم.
بهگفتهی باقریاصل گذر اطلاعات دستگاهها از مرکز ملی تبادل اطلاعات (NIX) اجباری است همچنین جزئیات اتفاقی که رخ داده است روز شنبه و از طریق ارسال نامهی کتبی به وزارت بهداشت و سازمان ثبت احوال پیگیری شده و سهلانگاری احتمالی گوشزد میشود تا از این پس، مسیر تبادل اطلاعات میان دستگاهها از طریق اتصال NIX صورت گیرد و ریسک تهدیدات امنیتی پایین بیاید. او گفت:
در اتفاق صورت گرفته ظاهرا یکی از سامانههای وزارت بهداشت که در شرایط بحران کرونا راهاندازی شده، از دیتای ثبت احوال استفاده میکرده که این اطلاعات فاش شده است. با این وجود اما هنوز مشخص نشده که این دیتا از چه مسیری گذر کرده است. یعنی مشخص نیست که اتصال بهصورت برخط (آنلاین) بوده یا اینکه از پایگاه اطلاعاتی جابهجا شده است. تنها چیزی که میدانیم این است که دیتای ربات تلگرامی موثق است.
رئیس کارگروه تعامل پذیری دولت الکترونیک میگوید نشت اطلاعات از سرویسهای سازمان ثبت احوال، لزوما بهمعنای این نیست که ثبت احوال مقصر این ماجرا است. اما این موضوع باید با حضور نمایندگان وزارت بهداشت و سازمان ثبت احوال در کارگروه تعاملپذیری دولت الکترونیک که نمایندگان سه قوه در آن حضور دارند، پیگیری شود. دبیر شورای اجرایی فناوری اطلاعات با اشاره به «مصوبهی SLA کارگروه تعاملپذیری دولت الکترونیک» در خصوص نحوهی اتصال دستگاههای دولتی به مرکز ملی تبادل اطلاعات و شرایط اشتراکگذاری اطلاعات بین دستگاهی، گفت:
در این مصوبه مشخص شده که چگونه تبادل اطلاعات صورت گیرد و ضوابط پیوست امنیتی نیز از جمله الزامات این مصوبه است؛ بنابراین اگر وزارت بهداشت و سازمان ثبت احوال این مصوبه را رعایت نکرده باشند و اطلاعات بین دستگاهی را بهصورت مستقیم تبادل کرده باشند، خلاف مصوبهی شورای عالی فضای مجازی عمل کرده و پس از بررسی در مورد آن تصمیمگیری خواهد شد.
سیفالله ابوترابی، سخنگوی سازمان ثبت احوال کشور در گفتوگو با ایسنا، در توضیح فروش اطلاعات فاش شده از سازمان ثبت احوال با قیمت ۱۰ بیت کوین معادل حدود ۶۰ هزار دلار گفت:
سازمان ثبت احوال با بسیاری دستگاهها و نهادها ارتباط برخط دارد که وزارت بهداشت هم از جمله این دستگاههاست. در تفاهمنامهی میان ثبت احوال و وزارت بهداشت ذکر شده که نباید اطلاعاتی که ما در اختیار آنها قرار میدهیم در بستر اینترنت قرار بگیرد که علت آن هم نا امن بودن این فضا است. برای بحث غربالگری بیماری کووید۱۹ وزارت بهداشت اطلاعات را در بستر اینترنت قرار داد اما این طور نیست که کل اطلاعات را گرفته باشند یا اساسا اطلاعات از پایگاه داده ثبت احوال گرفته باشند. برای مثال فردی وارد سامانهای مانند فروشگاه خرید یا درخواست تاکسی اینترنتی میشود و شمارهی ملی و بعضی اطلاعات اولیهی هویتی مانند نام و نام خانوادگی و شماره تماس را برای ثبتنام وارد آن سامانه میکند و آن سامانه پایگاه دادهای با این اطلاعات، برای خود ایجاد میکند. در این مورد هم برای ثبتنام در سامانهی سلامت وزارت بهداشت افراد باید این اطلاعات را وارد میکردند که این سامانه اطلاعات را از پایگاه دادهی ما دریافت میکرد ولی به هیچعنوان اطلاعاتی شامل ارتباطهای سببی و نسبی یا ازدواج و طلاق افراد نه در اختیار این سامانه و نه در اختیار سایر سامانهها قرار میگیرد.
به این ترتیب دسترسی به اطلاعات اولیه افراد شامل نام و نام خانوادگی، کدملی و شماره تماس میتواند از طریق سامانهی سلامت وزارت بهداشت اتفاق بیفتد که ما امروز جلوی دسترسی به این پایگاه داده را گرفتیم و به وزارت بهداشت کتبا اعلام کردیم سامانه را امن کنند و تا زمانی که این امنیت برقرار نشده نمیتوانند از این اطلاعات استفاده کنند و این کار با توجه به تفاهمنامه و پروتکلهای ایمنی که با ثبت احوال بستهاند، تخلف است.
ظاهرا تنها دسترسی به اطلاعات اولیه شامل نام و نام خانوادگی، کدملی و شماره تماس افراد از طریق سامانهی وزارت بهداشت اتفاق افتاده است، ما اطلاعاتی بیش از آنچه که ذکر شد به هیچ سامانهای نمیدهیم مگر در موارد خاص آن هم نه در بستر اینترنت، به سامانهی سلامت هم اطلاعات در همین حد داده شده است.