فناوران - در یکی دو ماه گذشته مشکلات امنیتی اپراتورهای تلفن همراه در برخی کانال های تلگرامی بازتاب گسترده ای داشت. از جمله کانال وب آموز از مشکلات سرویس شرکت صباسل (پیمانکار اپراتورهای اول و دوم) پرده برداشت که نشان می داد به راحتی می توان به شماره تلفن مشترکان از طریق IP آنها دست یافت.

هرچند افشای اطلاعات مشترکان تلفن همراه پیش تر نیز اتفاق افتاده و در جنجالی ترین مورد آن، اطلاعات مشترکان ایرانسل لو رفته بود، اما به نظر می رسد این نخستین بار است که سازمان تنظیم مقررات و ارتباطات رادیویی، جزییات نحوه حفاظت از اطلاعات مشترکان را از اپراتورها طلب می کند.

معاون سازمان تنظیم مقررات و ارتباطات رادیویی با اعلام برنامه رگولاتوری برای بررسی اپراتورها در زمینه حفظ و صیانت اطلاعات مردم گفت: باید سازوکار، ابزار، فرایند پشتیبانی و استانداردی که اپراتورها در زمینه حفظ و نگهداری اطلاعات کاربران دارند، مشخص شود چراکه امانات مردم نزد اپراتورهاست که باعث رشد، سودآوری و ارتقای  آنان می شود و کسب و کار اپراتورها را شکل می دهد.

مجید حقی با بیان اینکه رگولاتوری، اپراتورها و کسایی که از سازمان تنظیم پروانه کسب کردند و قرار است در فضای کسب و کار کشور فعالیت های مرتبط خودشان را داشته باشند، امانت دار مردم هستند، گفت: اپراتورها باید در خصوص صیانت از اطلاعات مردم حساس باشند و به همین دلیل باید سازوکاری داشته باشند تا از این امانت صیانت کنند و اعتماد مردم را پاسخ دهند تا براساس درآمدی که از فضای کسب و کار دارند، حساسیت مردم را پاسخگو باشند.

وی با بیان تاکید وزیر ارتباطات و فناوری اطلاعات بر حفظ و صیانت از اطلاعات کاربران افزود: اپراتورها باید در واقع حداکثر دقت و انرژی در صیانت از اطلاعات مردم به خرج دهند.

حقی با اعلام ارسال نامه ای به همه اپراتورهای ثابت و همراه کشور در زمینه حفظ حریم خصوصی کاربران گفت: اپراتورها قبلا اعلام کرده بودند که توجه خاصی به حفظ اطلاعات مردم دارند و به وظایف خود در این زمینه آگاه هستند اما سازمان تنظیم مقررات و ارتباطات رادیویی طی نامه ای از اپراتورها خواست تا سازوکار، فرایند، ابزار، تجهیزات و استانداردی را که در زمینه حفظ و صیانت اطلاعات مردم دارند، اعلام کنند. 

معاون سازمان تنظیم مقررات و ارتباطات رادیویی با بیان اینکه برای احراز اعلان اپراتورها و تضمین ادعاها باید سازوکار، ابزار و فرایند پشتیبانی آن ازسوی اپراتورها مشخص شود، گفت: اپراتورها کم و بیش اسنادی را فرستادند اما این اسناد در تراز مورد نظر نبود و متناسب با آنچه ادعا می شد اسناد آن ارایه نشد که مقرر شد تا از نزدیک برویم و به اصطلاح بیت و بایت آن را بررسی کنیم و ریشه عملیات ها و فرایند ها و سبک و سیاقی را که اجرا می شود، مشخص کنیم که آیا اقدامات آنها تابع استانداردی است یا بر اساس نقطه نظرات سازمانی آنهاست.

حقی گفت: برای اینکه فرایند بررسی دو طرفه باشد و ما نسبت به سازوکارهای اپراتورها اطلاعات کسب کنیم و آنها درباره محفوظ بودن این بررسی ها مطمئن باشند، تیمی از حوزه های مختلف فنی و غیرفنی را تشکیل دادیم و معرفی کردیم.

این مقام مسوول گفت: به دنبال این هستیم تا ببینیم اپراتورها در خصوص اطلاعات مردم چه ابزار، فرایند و برنامه ای را دارند و در برنامه سازمانی برای آن، ارتقای سالانه ای متصور هستند یا خیر.

حقی با بیان اینکه همانطور که برای شاخص های توسعه برنامه قائلیم و برای رسیدن به آن هزینه می کنیم تا سودی به دست آید، باید برای امنیت اطلاعات نیز هزینه کنیم، گفت: به عبارتی اگر مقدار سود بیشتر شد یعنی مشتری و کاربران بیشتر شدند بنابراین باید متناسب آن نیز در حوزه صیانت از اطلاعات هزینه کرد و به عنوان یک دغدغه، باید برنامه ای در این خصوص باشد و برای آن ساختار و اهدافی در نظر گرفته شود و مدیران باید تابع آن ضوابط باشند.

معاون نظارت و اعمال مقررات رگولاتوری با بیان اینکه این امانات مردم در نزد اپراتورهاست که باعث رشد، سودآوری و ارتقا می شود و کسب و کار آنان را شکل می دهد، گفت: بنابراین در خصوص صیانت و نگهداری از اطلاعات باید همه تابع قوانین باشند و اینطور نیست که فقط بخش خاصی آن را رعایت کنند.

وی توسعه و امنیت را دو بال یک اپراتور دانست و افزود: بررسی ها انجام می شود تا دغدغه، سازوکار، فرایند، نفر، آموزش و حتی ریشه تعاملات اپراتورها با نمایندگان فروش و پیمانکاران مشخص شود چراکه نمایندگان فروش اولین نقطه ای است که اطلاعات را می گیرد و اولین جایی است که می تواند در خصوص اطلاعات سهل انگاری شود.

حقی درباره بررسی رگولاتوری توضیح داد: این بررسی ها حتی درباره تجهیزات نگهداری اطلاعات صورت می گیرد که این تجهیزات چگونه نگهداری و امحا می شود چراکه هر تجهیزی که اطلاعات را نگهداری می کند، شامل یک سازمان ذخیره سازی است که به سختی اطلاعات را از دست می دهد بنابراین باید مشخص شود که در نگهداری، تعمیرات و امحای آن چه سازوکاری اتفاق می افتد.

معاون رگولاتوری با اعلام اینکه نتایج این بررسی ها را استخراج کرده و به اطلاع مردم می رسانیم و اگر موانعی باشد تذکری می دهیم تا رفع کنند، گفت: در نتیجه برای رگولاتوری موضوع کاملا شفاف می شود و برای توسعه های بعدی اپراتورها، می توانیم نگاه معنی دارتری در خصوص امنیت به آنها داشته باشیم.

معاون سازمان تنظیم مقررات و ارتباطات رادیویی با بیان اینکه دستبرد به اطلاعات همیشه یک روش ندارد و در زمان های مختلف روش های جدیدی پیدا می کند، گفت: حتما در توسعه برنامه هایی برای رفع احیانا مشکلات امنیتی باید دیده شود چون همانطور که حجم اطلاعات بیشتر و خدمات جدید ارایه می شود، برنامه توسعه برای صیانت و امنیت نیز باید در نظر گرفته شود.

وی با بیان اینکه هدف سازمان تنظیم مقررات از بررسی وضعیت صیانت اطلاعات کاربران توسط اپراتورها رتبه بندی نیست، افزود: نخست به دنبال رفع اشکالات هستیم و بحث ما رتبه بندی نیست چراکه گاها رتبه بندی ما را از اهدافمان دور می کند. 

حقی در پاسخ به این سوال که اگر اپراتوری اعلام کرد که بیشتر از یک حد مشخصی نمی تواند برای حفظ و صیانت از اطلاعات مردم هزینه کند، توضیح داد: در پروانه ای که به اپراتورها داده شده است برای هر کدام از بحث ها مابه ازایی وجود دارد و اگر این مفهوم انطباق پیدا کند با تخلف دارنده پروانه حتما برخورد می شود هرچند پیش بینی ام این نیست باتوجه به اصراری که بر صیانت از اطلاعات مردم و احساس مسوولیتی که اپراتورها دارند، چنین اتفاقی رخ دهد.