واکاوی ماجرای هک اسنپفود و افشای اطلاعات کاربران
بیدقتی شرکتها، خطای انسانی و تأخیر در پاسخگویی، جرایم سایبری و ... به این معنی است که از این دادهها آنطور که باید و شاید محافظت نمیشود.
به گزارش تجارتنیوز، با گسترش پلتفرمهای دیجیتال، مدیریت اطلاعات بیش از هر زمان دیگری اهمیت یافته است؛ زیرا دادههای شخصی درواقع کالایی ارزشمند در دنیای دیجیتال امروزی محسوب میشوند. بااینحال، بیدقتی شرکتها، خطای انسانی و تأخیر در پاسخگویی، جرایم سایبری و... به این معنی است که از این دادهها آنطور که بایدوشاید محافظت نمیشود و این عدم حفاظت و امنیت داده ممکن است علاوه بر لکهدارشدن اعتبار شرکتها و کسبوکارهای دیجیتال، منجر به خسارات مالی شدید، ازدستدادن حریم خصوصی و آسیبهای عاطفی و جسمی شود.
براساس تحقیقات مؤسسه Check Point، در سال ۲۰۲۲ حدود ۹.۱ میلیارد حمله سایبری شناسایی شد که نشاندهنده افزایش ۳۸ درصدی نسبت به سال ۲۰۲۱ بود. این روند در سال ۲۰۲۳ نیز ادامه داشت و در این سال تقریباً ۱۰.۸ میلیارد حمله سایبری شناسایی شد. در طول سهماهه چهارم سال ۲۰۲۲، نزدیک به ۲۸ درصد از حملات سایبری در سراسر جهان مؤسسات مالی را هدف قرار دادند. علاوهبراین، سرویسهای نرمافزاری مبتنی بر وب و webmail تقریباً ۱۸ درصد، رسانههای اجتماعی با حدود ۱۰ درصد و تدارکات/ حملونقل ۹ درصد از حملات ثبتشده را به خود اختصاص دادهاند؛ سایر موارد را میتوانید در نمودار زیر ببینید.
بنابراین امنیت سایبری بهعنوان یکی از مهمترین مسائل عصر دیجیتال، آنقدر حائز اهمیت است که توسعه کسبوکارها و حریم خصوصی افراد به آن گره خورده. به همین سبب در جهان، دولتها به وضع قوانین و اقدامات تنظیمگرانه مرتبط روی آوردهاند. به عنوان مثال، براساس گزارش 2021 سازمان ملل، 137 کشور از 194 کشور قوانین یکپارچهای برای حفاظت از دادهها و حریم خصوصی وضع کردهاند و از سال 2021 تا 2023، هفده کشور دیگر به این تعداد افزوده شده است. اغلب این کشورها نیز از مقررات عمومی حفاظت از دادهها (GDPR) اتحادیه اروپا الگو گرفتهاند و با نگاهی به این قوانین و مقررات و بررسی الزامات امنیت سایبری آنها، ضمن درک تفاوتهای جزئی، میتوان این قوانین را به دو دسته مقررات و اقدامات پیشگیرانه و برخوردهای اصلاحی تقسیم کرد. اقدامات پیشگیرانه شامل پروتکلها، الزامات امنیتی، استانداردهای فنی و برخوردهای اصلاحی شامل جریمه، اقدامات آموزشی، جبران خسارت و... میشود.
اما در ایران با وجود نهادهای سیاستگذار و تقنینی، در مرکز ملی فضای مجازی و مجلس شورای اسلامی، علیرغم وجود مقررات جزیرهای، نهتنها قانون یکپارچهای دراینباره تصویب نشده، بلکه فعالیت در حوزه امنیت سایبری در کشور با تعدد اختیارات مراکز مختلف (مانند مرکز ماهر زیر نظر وزارت ارتباطات، پلیس فتا، مرکز افتا ریاستجمهوری، سازمان پدافند غیرعامل و ... ) روبهروست و هنوز مشخص نیست که کدام نهاد و یا دستگاه متولی اصلی امنیت سایبری در لایههای مختلف در کشور است.
بنابراین تعریف مسئولیت نهادهای مرتبط و تنظیم مقررات پیشگیرانه و الزامات امنیت سایبری در یک قانون یکپارچه یکی از مهمترین اولویتهای کشور است؛ اما در ادامه این مطلب با توجه به حمله سایبری اخیر به اسنپفود و هک حجم عظیمی از دادههای شخصی کاربران، به بررسی این موضوع خواهیم پرداخت که چنانچه یک پلتفرم دیجیتالی در یکی از کشورهای اروپایی با این حجم از نقض دادهها (Data Breaches) روبهرو میشد، طبق مقررات (GDPR) چه برخوردهای اصلاحی با آن صورت میگرفت؟
اخیراً نیز گروه هکری IRLeaks که در تابستان 1401 اطلاعات کاربران شرکت تاکسی اینترنتی تپسی را هک کرده بود، در 9 دیماه 1402 با ارائه نمونههایی، اعلام کرد که اطلاعات بیش از ۲۰ میلیون کاربر و ۸۸۰ میلیون سفارش شرکت اسنپفود را که در حوزه سفارش آنلاین غذا در ایران فعالیت میکند، بهدست آورده است. هرچند اسنپفود به کاربران اطمینان داده که اطلاعات بانکی و پرداختی آنها در امنیت کامل است، ولی دادههای هک شده از کاربران شامل نام کاربری، رمز عبور، ایمیل، نام و نامخانوادگی، شماره موبایل، تاریخ تولد و... میشود و نیز اطلاعات بیش از ۵۱ میلیون آدرس کاربران شامل موقعیت GPS، آدرس کامل، شماره تلفن و... و همچنین اطلاعات بیش از ۱۸۰ میلیون گوشی هوشمند و تبلت مورد استفاده کاربران شامل نوع و مدل، پلتفرم، توکن، فروشگاه نصب برنامه و... هک شده است. این حجم از اطلاعات در ابعاد مختلف که برخی از آنها در فضای مجازی نیز منتشر شد، در کمترین حالت مسائل حیثیتی و در بیشترین حد ممکن، تبعات امنیتی برای این کاربران در پی خواهد داشت.
براساس مقررات حفاظت از دادههای عمومی (GDPR)، مجازات نقض دادههای شخصی از یک پلتفرم دیجیتال بسته به ماهیت، شدت نقض و مدت تخلف میتواند متفاوت باشد. GDPR به مقامات نظارتی در هر کشور عضو اتحادیه اروپا اجازه میدهد تا جریمههای اداری را برای عدم رعایت مفاد آن اعمال کنند. جرایم اداری در دو ردیف به شرح زیر طبقهبندی میشود:
تخلفات سطح پایین
عموماً این تخلفات مربوط به ترتیبات اداری است و عواقب منفی و خطر قابلتوجهی برای حریم خصوصی دادهها ایجاد نمیکند. جرایم این سطح عموماً برای نقضهای سطح پایین، مانند عدم انتصاب مأمور حفاظت از دادهها (DPO)، عدم نگهداری سوابق فعالیتهای پردازشی یا عدم انجام ارزیابی تأثیر حفاظت از دادهها (DPIA) در صورت لزوم اعمال میشود. بنابر بررسیهای انجامشده، آخرین نمونه اطلاعات نقضشده در اسنپفود مربوط به تاریخ ۱۰ دسامبر یا ۲۰۲۳ (19 آذرماه 1402) است. با توجه به زمان علنیشدن این نقض دادهها توسط گروه هکری، این موضوع احتمالاً میتواند حاکی از آن باشد که اطلاعات حدود ۲۰ روز زودتر از اسنپفود استخراج شده است.
فارغ از اینکه علت تعلل طولانی اسنپفود در اعلان این اتفاق چه بوده، عملاً مدت زیادی این مسئله از نظر کاربرانی که دادههای آنها مورد حمله قرار گرفته و نیز مقامات نظارتی مانند پلیس فتا، پنهان مانده است. چنانچه اسنپفود در اروپا فعال بود، طبق GDPR، در صورت نقض داده و عدم گزارش تخلف صورتگرفته طی 72 ساعت به مقامات مربوطه و کاربران مورد هدف، مشمول جریمهای تا سقف 10 میلیون یورو یا 2 درصد از گردش مالی سالانه (جهانی) سال مالی (هرکدام که بیشتر باشد) میشد؛ همانطور که در نوامبر 2022، شرکت متا بهدلیل نقض حفاظت از دادهها و تأخیر در اعلان بهموقع، مشمول 265 میلیون یورو جریمه شد.
تخلفات سطح بالا
همانطور که گفته شد، مقامات نظارتی هنگام تعیین جریمهها عوامل مختلفی ازجمله تعداد کاربر و تعداد داده را درنظر میگیرند. جریمه نقضهای سطح بالا یا سطح 2 قابلتوجه است، زیرا مستقیماً بر حریم خصوصی آنلاین تأثیر میگذارند. این ردیف برای تخلفات جدیتر، ازجمله نقض اصول اصلی پردازش دادههای شخصی، نقض حقوق افراد و رضایت کاربران و نیز عدم اجرای اقدامات فنی و سازمانی مناسب برای تضمین امنیت دادهها قابل اعمال است. به عنوان مثال، با معیار قراردادن تعداد کاربران مورد حمله سایبری در اسنپفود، دو پلتفرم Tigo (چت تصویری) با نقض دادههای شخصی بیش از 700000 کاربر و PeopleConnect (پشتیبان خدماتی) با حدود 20 میلیون کاربر در سال 2023، هرکدام بیش از 100 میلیون دلار و British Airways (پلتفرم مسافرتی و حملونقل هوایی) در 2018، 20 میلیون یورو جریمه شدهاند. بهطور کلی، اسنپفود با نقض داده بیش از ۲۰ میلیون کاربر، طبق مقررات GDPR و در راستای تأمین منفعت عمومی، مشمول جریمهای تا 20 میلیون یورو یا 4 درصد از گردش مالی سالانه (جهانی) سال مالی (هرکدام که بیشتر باشد) میگردد.
اقدامات حقوقی توسط کاربران
علیرغم جرایم اداری که بیان شد (که در راستای منفعت عمومی اعمال میشود)، طبق الزامات GDPR، اشخاصی که از نقض دادهها تحت تأثیر قرار میگیرند، این حق را دارند که با داشتن ادله کافی، برای خسارات ناشی از نقض مستقیماً از پلتفرم درخواست غرامت کنند و در صورت عدم توافق میتوانند علیه پلتفرم بهدلیل عدم محافظت از دادههای شخصی و مبتنی بر نوع خسارت (که در جدول زیر آمده است) به دادگاه شکایت کنند. طبق قانون، کاربران تا 6 سال از آخرین زمان نقض اطلاعات شخصی خود حق شکایت دارند. جریمه 746 میلیون یورویی آمازون در 2021 بهدلیل شکایت 10000 نفر علیه آمازون در سال 2018 یکی از نمونههای مطرح استفاده از این حق در اروپاست.
نقض دادههای شخصی تا 2000 پوند
نقض دادههای پزشکی 2000 پوند - 5000 پوند
نقض اطلاعات مالی 3000 پوند - 8600 پوند
نقض داده همراه با عواقب فاجعهبار 8600 پوند - 25700 پوند
نقض داده منجر به آسیب جسمانی و عاطفی تا 42900 پوند
با توجه به اینکه طبق الزامات بانک مرکزی، ذخیره دادههای مالی کاربران در مرکز داده پلتفرم ممنوع است، احتمال آنکه دادههای درز کرده اسنپفود شامل این دادهها باشد، بسیار کم است. اما با توجه به گستردگی دادهها، اکثر دادههای شخصی در این نقض داده وجود داشتهاند و چنانچه اسنپفود مشمول GDPR بود، تا 6 سال آینده کاربران متضرر میتوانستند با ارائه مستند به دادگاهها، در جهت احقاق حقوق خود اقدام و طبق جدول بالا مطالبه خسارت نمایند. در آخر، براساس مقررات GDPR، اسنپفود باید کلیه نیروهای خود را ملزم به شرکت در کمپین (دوره آموزشی) شبیهسازی فیشینگ کند تا آنها در صورت قبولی، گواهینامه مجدد دریافت کنند.
متأسفانه آمار شفافی از گردش مالی اسنپفود در دسترس نیست و آمارهای غیررسمی مختلفی وجود دارد. اما طبق یک محاسبه حداقلی، چنانچه فرض کنیم اسنپفود 100 هزار سفارش 100 هزار تومانی در هر روز ثبت کند، گردش مالی این پلتفرم در طول سال حدود 3.65 هزار میلیارد تومان خواهد بود و با فرض کمیسیون 10 تا 15 درصدی، درآمد سالانه آن بین 350 تا 550 میلیارد تومان محاسبه میشود. بنابراین با فرض آنکه طی 6 سال آینده، کاربری از اسنپفود شکایت نکند، طبق GDPR با توجه به آنکه اسنپفود مشمول هر دو نوع تخلف اداری سطح پایین و بالا شده است، باید 6 درصد این درآمد را بهعنوان جریمه بپردازد که حدوداً شامل 30 میلیارد تومان میشود. همانطور که پیشتر گفتیم، نیاز به اقدامات اساسیتر برای حفاظت از دادههای شهروندان بهشدت حس میشود.
نظرات