هک قوه قضاییه؛ ما یک ملت با داده‌های Open Access هستیم

یک هفته از روزی که گروه هکری عدل علی خبرداد به سامانه مدیریت پرونده‌های قوه قضاییه نفوذ کرده و «به میلیون‌ها پرونده دست یافته است» گذشت. چند ساعت بعد از اظهار این خبر از سوی این گروه هکری، سایتی راه‌اندازی شد و در دسترس قرار گرفت که اطلاعات سرقت‌شده در این دعوا سایبری روی آن انتشار شد تا پرونده‌هایی از نوع پرونده‌های عادی، محرمانه و فوق محرمانه در دسترس عموم قرار بگیرد.

در این یک هفته چشم به راه اظهار نظر رسمی از سوی مسئولین در نهادهای گوناگون و واکنشی به این اتفاق بودیم؛ انتظاری که انگار به‌جا نبوده، چون فقطً یک تکذیب از سوی «یک مقام آگاه قضایی» (که نامی هم از اون انتشار نشده است) را به جستوجو داشته است که حرف های می بود: «تعداد بسیاری از این اسناد، نامه‌های اداری مجعول و ساختگی و حتی قدیمی می باشند که پیشتر در فضای مجازی انتشار شده می بود و مجدداً بازنشر شده‌اند.»

یقیناً دادگستری تهران هم در عکس العمل به این خبر اظهار کرده است «نوشته هک سامانه‌های قوه قضاییه صحت ندارد و فقط یک خبرسازی کور سراسیمه برای تحت تاثییر قرار دادن خبر برگشت اموال بابک زنجانی است.»

این تکذیب‌ها در حالی نقل شده است که حقوقدان‌ها بعد از بازدید ابعاد حقوقی و قضایی این دعوا سایبری و انتشار کردن اطلاعات لو رفته، آن را یک «فاجعه» دانسته‌اند. محمدجعفر نعناکار، کارشناس حقوق سایبری و استاد دانشگاه، به زومیت می‌گوید:

ابعاد فاجعه‌بار این نوشته به حدی گسترده است که من فکر می‌کنم خود قوه قضاییه هم در یک شوک به سر می‌برد. این فاجعه نیاز به بازدید دقیق و عمیق دارد. مطابق اصول کلی که در قانون، از جمله قانون تجارت الکترونیکی، قانون مجازات و قانون مسئولیت مدنی، وجود دارد از جنبه‌های مختلفی باید به این نوشته ورود کرد؛ عوامل موثر در این اتفاق باید شناسایی بشود و ملزوم است یک بازمهندسی و بازطراحی در ساختارهای حقوقی، قضایی و پلتفرمی صورت بگیرد.

– محمدجعفر نعناکار، کارشناس حقوق سایبری و استاد دانشگاه

این کارشناس حقوق سایبری سیاست‌گذاری‌ها و عمل های نهادهای بالادستی در راستای حفاظت از پایگاه‌های داده را بی فایده دانسته و توضیح می‌دهد که بعد از انحلال و ادغام شورای عالی خبر‌رسانی و شورای عالی انفورماتیک در شورای عالی فضای مجازی، سیاست‌ها و چارچوب‌های سایبری سرزمین متمرکز شد اما به نظر می‌رسد این تمرکز نه‌تنها جواب نداده بلکه علتشده انشقاق جدیدی شکل بگیرد.

به حرف های نعناکار، در شورای عالی انفورماتیک رتبه‌بندی شرکت‌ها و سازمان‌ها در جهت این که چه صلاحیتی برای گسترش حوزه IT و ICT خود دارند اشکار شده می بود که بعدا این ماموریت به سازمان برنامه و بودجه داده شد. از طرفی، سازمان‌هایی همانند سازمان پدافند غیر عامل، آزمایشگاه ماهر (ذیل سازمان فناوری اطلاعات)، افتای ریاست‌جمهوری (در حوزه ممیزی امنیت شرکت‌های IT و ICT) شکل گرفتند. با وجود همه این نهادها و فعالیتشان اما حملات سایبری با شدت و تعدد زیاد تر در حال رخ دادن است. این حقوقدان می‌گوید:

این نهادها در سرزمین حاضرند اما ما ناظر این هستیم که دست‌کم در چند سال تازه هک‌های پی‌درپی در سامانه‌های ملی، عمومی و خصوصی تبدیل این شده که تقریبا حریم خصوصی برای ایرانی‌ها باقی نمانَد. برخی از کارشناسان با ظرافتی به این حالت می‌گویند ایرانِ Open Source یا متن‌باز!

– محمدجعفر نعناکار، کارشناس حقوق سایبری و استاد دانشگاه

فارغ از همه دعوا‌های سایبری در سال‌های تازه مرور چند هک و نشت گسترده اطلاعات در همین ۶ ماه قبل هم ناظر موارد بسیاری از به خطر افتادن امنیت سایبری سرزمین و کاربران بوده‌ایم. از هک تپسی، دعوا سایبری به سامانه ثبت احوال و هک شدن شرکت‌های بیمه‌ای در شهریور ۱۴۰۲ تا دعوا سایبری به جایگاه‌های سوخت در آذر ماه و هک شدن اسنپ‌فود در دی ماه همه انها مجموع حملاتی می باشند که در ۶ ماه رخ داده و اطلاعات شخصی کاربران را در معرض خطر قرار داده است.

دعوا سایبری به سرورهای قوه قضاییه اما از این نظر که سه میلیون پرونده از پرونده‌های مردم که عموما مربوط به حوزه قضایی تهران است هک و در اینترنت انتشار شده که اطلاعات محرمانه آن‌ها را شامل می‌بشود و تهدید بزرگی برای امنیت‌شان محسوب می‌بشود، دعوا جدی‌تر و خطرناک‌تری به نظر می‌آید.

مسئولان هرچند سپس از هک شرکت‌های قسمت خصوصی، به‌اختصاصی اسنپ‌فود، عکس العمل قابل توجهی به این نوشته نشان دادند اما در رابطه افشای میلیون‌ها پرونده قضایی سکوت را ترجیح داده‌اند. این در حالی است که نعناکار باور دارد:

در خصوص این نوشته باید حکم‌رانی سایبری سرزمین از سوی حاکمیت عارضه‌یابی و بازمهندسی بشود؛ باید صدمه‌شناسی بشود که چرا حکم‌رانی سایبری ما بی فایده است؟ چرا سازمان‌های دولتی و حاکمیتی به جای تحکیم زیرساخت‌های ملی رویکردشان زیاد تر به محدودسازی قسمت خصوصی معطوف است؟ اما به جای این کار، رویکرد نهادی همانند شورای عالی فضای مجازی این است که بر محدودسازی قسمت خصوصی متمرکز بشود.

– محمدجعفر نعناکار، کارشناس حقوق سایبری و استاد دانشگاه

او باور دارد که سرزمین به یک قانون جامع در این حوزه احتیاج دارد چراکه «متاسفانه حکم‌رانی سایبری سرزمین سیاست و قانون درستی ندارد. قوانین زیاد متفرق می باشند و به همین علت برخی مسائل دور از چشم متولیان امر می‌ماند.»

«شورای عالی فضای مجازی یک بار لیست بیشتر از ۱۵ پایگاه حیاتی داده در سرزمین را انتشار کرد؛ پایگاه‌هایی که سرّی می باشند و هیچ کشوری اسامی آن‌ها را انتشار نمی‌کند. همین که شورای عالی فضای مجازی این لیست را انتشار کرده علتشده متخاصمین آن‌ها را شناسایی کرده و برای استخراج داده از آن‌ها تلاش کنند. خود این نوشته هم یک معضل است.»

آمنه دهشیری، پژوهشگر ارشد حقوق دیجیتال، در او مباحثه با زومیت به عمل گروه هکری عدل علی که بعد از دست‌یابی به پرونده‌های قضایی آن‌ها را در دسترس عموم قرار داده اشاره کرده و توضیح می‌دهد:

این گروه هکری ادعا می‌کند که با انتشار کردن این اطلاعات تصمیم دارد یک فعالیت با سود عمومی انجام دهد اما در همین نوع فعالیت‌ها هم تعداد بسیاری از گروه‌های «هکتیویست»، یعنی اکتیویست‌هایی که از طریق هک فعالیت می‌کنند، وجود دارند که هنگامی به این چنین اطلاعاتی دسترسی اشکار می‌کنند آن‌ها را روی اینترنت نمی‌گذارند بلکه به متخصصان فنی و ژورنالیست‌ها منتقل می‌کنند تا این اطلاعات را بازدید کند نه این که این چنین فاجعه‌ای را رقم بزنند.

– آمنه دهشیری، پژوهشگر ارشد حقوق دیجیتال

این حقوقدان حالت امروز کاربران ایرانی را به دره‌ای تشبیه می‌کند که دچار آتش شده است: «ما در یک دره گیر افتاده‌ایم که از هر طرف برویم به آتش می‌رسیم! از یک طرف این چنین هکتیویست‌هایی می باشند و از طرف دیگر دولت و حاکمیتی که از امنیت اطلاعاتمان حفاظت نمی‌کند. شده‌ایم یک ملت Open Access که دیتایی از ما باقی نمانده که در دسترس عموم قرار نداشته باشد.»

او با گفتن این که گروه هکری مذکور در این نوشته اخلاق را مراعات نکرده به نقش دولت در این مساله اشاره کرده و توضیح می‌دهد: «مسئله مهم این است که این گروه هکری مسئول مراعات حقوق بشر ما نیست، دولت است که در این عرصه مسئولیت دارد.»

به حرف های دهشیری، اولین عمل دولت به‌گفتن مسئول مراعات حقوق بشر شهروندان این است که با قوانین سفت و سخت امنیت داده‌ها را تامین کند. دومین ماموریت‌اش این است که در او گفت و گو لو رفتن اطلاعات جرم‌انگاری کند، مجازات در نظر بگیرد و از قربانیان جبران خسارت کند.

او در ادامه توضیح می‌دهد که از منظر حقوقی و حقوق بشری مراعات حریم خصوصی یک حق است و حقوق بشر برای دولت در برابر شهروندانش دو نوع ضمانت تشکیل می‌کند: ضمانت منفی و ضمانت مثبت. بر پایه ضمانت منفی، دولت حق ندارد حریم خصوصی شهروندانش را نقض کند. یعنی به دولت می‌گوید مکاتبات، تلفن‌ها، مطلب‌رسان‌ها و… شهروندانش را بازدید نکند و به اطلاعات شخصی و خصوصی آن‌ها دسترسی نداشته باشد.

این پژوهشگر ارشد حقوق دیجیتال باور دارد در رابطه هک سامانه قوه قضاییه دولت به این مسئولیت خود عمل نکرده است:

در نوشته هک قوه قضاییه، دولت خودش نقش نگهدارنده داده‌های کاربران را داشته اما آن طور که باید نکات امنیتی برای حفاظت از این داده‌ها را انجام نداده است. یعنی چه در شرکت‌های خصوصی و چه در نهادهای دولتی نوشته حفاظت از داده‌های شخصی مراعات نمی‌بشود.

– آمنه دهشیری، پژوهشگر ارشد حقوق دیجیتال

محمدجعفر نعناکار هم با اشاره به دعوا‌های سایبری به انواع شرکت‌های خصوصی و نهادهای دولتی می‌گوید: «اگر از منظر حریم خصوصی به این اتفاق نگاه کنیم اکنون حداقل برای قشری از سرزمین دیگر حریم خصوصی‌ای باقی نمانده است. یعنی اطلاعات حساب‌های بانکی(هک بانک‌ها)، اطلاعات شناسنامه‌ای(هک ثبت احوال)، اطلاعات قضایی(هک قوه قضاییه)، اطلاعات مکانی(سپس از هک تپسی) و… همه در اینترنت انتشار شده است.»