در پی نشت اطلاعات شناسنامهای ۸۰ میلیون کاربر ایرانی از طریق سرورهای سازمان ثبتاحوال، رئیس کارگروه تعاملپذیری دولت الکترونیک از پیگیری این موضوع و تذکر به دستگاههای خاطی خبر داد.
به گزارش مهر، در ادامه افشای اطلاعات کاربران فضای مجازی طی روزهای اخیر که مربوط به لو رفتن اطلاعات کاربران نسخه غیررسمی اپلیکیشن تلگرام و یکی از بازارهای ایرانی نرمافزارهای آیفون میشد، شامگاه چهارشنبه (13 فروردینماه) نیز یک ربات تلگرامی، اطلاعات شناسنامهای ۸۰ میلیون ایرانی را از طریق درج کد ملی هر شخص، در اختیار کاربران قرار داده است. اگرچه این ربات تلگرامی هم اکنون غیرفعال و از دسترس خارج شده است، اما شواهد نشان می دهد که این درز اطلاعات از طریق سرورهای سازمان ثبتاحوال و اشتراک گذاری اطلاعات با وزارت بهداشت صورت گرفته است.
این ربات با استعلام کد ملی هر شخص، اطلاعات کامل شناسنامهای وی را اعلام کرده و مدعی شده که این اطلاعات را به طور مستقیم از دیتابیس سازمان ثبتاحوال استخراج میکند و حتی این باگ را پیش از این نیز به صورت کتبی و شفاهی به مرکز افتا گزارش داده است. این درحالی است که مطابق مصوبه ۵۴ شورای عالی فضای مجازی ( آذرماه سال ۹۷)، نحوه دسترسی به استعلامات دادههای الکترونیک دستگاههای دولتی و نیز تعیین مدل پیادهسازی تبادل اطلاعات و استعلام الکترونیکی بین دستگاهی، از وظایف و اختیارات کارگروه تعاملپذیری دولت الکترونیکی است.
در این راستا، رضا باقریاصل-رئیس کارگروه تعاملپذیری دولت الکترونیک اظهار داشت: جزئیات اینکه این اطلاعات از طریق ثبتاحوال و دستگاهی که این اطلاعات را گرفته، چگونه و به چه نحوی منتقل و جابجا شده است در دسترس نیست. به همین دلیل اطلاعات فعلی ما غیررسمی بوده و پیگیری به عمل آمده از سازمان ثبتاحوال نیز هنوز به نتیجه نرسیده است.
وی خاطرنشان کرد: هیچ درخواستی از وزارت بهداشت و سازمان ثبتاحوال به کارگروه تعاملپذیری دولت الکترونیک جهت تبادل اطلاعات، مطرح نشده است. این درحالی است که پیش از عید نوروز و با توجه به شرایط کرونا با مسئولان دو دستگاه صحبت کرده و آمادگی خود را برای نیازمندی تبادل اطلاعات این دستگاهها در مباحث بحران کرونا اعلام کردیم؛ حتی پیشنهاد برگزاری جلسه فوقالعاده کارگروه تعاملپذیری دولت الکترونیک را دادیم.
باقریاصل تاکید کرد: تکالیف هر دستگاه مطابق مصوبه کارگروه تعاملپذیری دولت الکترونیکی (مصوبه ۵۴ شورای عالی فضای مجازی) مشخص است. به این معنی که دستگاهها برای تبادل داده یکسری اختیارات ذاتی دارند که میتوانند از آنها استفاده کنند و یا میتوانند از مشورتها، تجارب و زیرساخت هایی که در کارگروه تعاملپذیری دولت الکترونیک طرح میشود، استفاده کند.
وی گفت: در موضوع افشای اطلاعات شناسنامهای کاربران، اطلاعات فنی دقیقی از اینکه این حجم از دیتا از طریق مرکز ملی تبادل اطلاعات (NIX) تبادل شده و یا اینکه دستگاه دریافت کننده اطلاعات، به اشتباه اطلاعاتی را در بستر اینترنت بارگذاری کرده است، در دست ما نیست.
دبیر شورای اجرایی فناوری اطلاعات ادامه داد: اما از نظر جزئیات مقرراتی نیز، ما درخواستی در این خصوص دریافت نکردیم؛ به این معنی که مجوز اشتراکگذاری اطلاعات میان وزارت بهداشت و ثبتاحوال از کارگروه تعاملپذیری اخذ نشده است؛ چنانچه اگر درخواستی از این بابت دریافت می شد، حتماً ملاحظات امنیتی و ملاحظات کسبوکار و ریسکهای انجام تبادل اطلاعات
میان دو دستگاه را گوشزد کرده و حداقل در این مسیر همراه با این دستگاهها پذیرش مسئولیت میکردیم.
وی با بیان اینکه گذر اطلاعات دستگاهها از مرکز ملی تبادل اطلاعات (NIX) اجباری است، افزود: جزئیات اتفاق فوق از طریق ارسال نامه کتبی به وزارت بهداشت و سازمان ثبتاحوال پیگیری میشود و سهل انگاری احتمالی را گوشزد می کنیم که تا از این پس، مسیر تبادل اطلاعات میان دستگاهها از طریق اتصال NIX صورت گیرد و ریسک تهدیدات امنیتی پایین بیاید.
باقریاصل گفت: در اتفاق صورت گرفته ظاهراً یکی از سامانههای وزارت بهداشت که در شرایط بحران کرونا راهاندازی شده، از دیتای ثبتاحوال استفاده می کرده که این اطلاعات لو رفته است. با این وجود اما هنوز مشخص نشده که این دیتا از چه مسیری گذر کرده است. یعنی مشخص نیست که اتصال به صورت برخط (آنلاین) بوده و یا اینکه از پایگاه اطلاعاتی جابجا شده است. تنها چیزی که می دانیم این است که دیتای ربات تلگرامی موثق است.
رئیس کارگروه تعاملپذیری دولت الکترونیک خاطرنشان کرد: اینکه اطلاعات از سرویسهای سازمان ثبتاحوال نشت کرده، لزوماً به معنای این نیست که ثبتاحوال مقصر این ماجرا است. اما این موضوع باید با حضور نمایندگان وزارت بهداشت و سازمان ثبتاحوال در کارگروه تعاملپذیری دولت الکترونیک که نمایندگان ۳ قوه در آن حضور دارند، پیگیری شود.
دبیر شورای اجرایی فناوری اطلاعات با اشاره به « مصوبه SLA کارگروه تعاملپذیری دولت الکترونیک» در خصوص نحوه اتصال دستگاههای دولتی به مرکز ملی تبادل اطلاعات و شرایط اشتراکگذاری اطلاعات بین دستگاهی، گفت: در این مصوبه مشخص شده که چگونه تبادل اطلاعات صورت گیرد و ضوابط پیوست امنیتی نیز از جمله الزامات این مصوبه است؛
بنابراین اگر وزارت بهداشت و سازمان ثبتاحوال این مصوبه را رعایت نکرده باشند و اطلاعات بین دستگاهی را به صورت مستقیم تبادل کرده باشند، خلاف مصوبه شورای عالی فضای مجازی عمل کرده و پس از بررسی در مورد آن تصمیمگیری خواهد شد.