حقی: بهدنبال این هستیم تا ببینیم اپراتورها در خصوص اطلاعات مردم چه ابزار، فرایند و برنامهای دارند و آیا برای آن، ارتقای سالانهای متصور هستند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مجید حقی، معاون نظارت و اعمال مقررات سازمان تنظیم مقررات و ارتباطات رادیویی، از ارسال نامهای به همه اپراتورهای ثابت و همراه کشور در زمینه حفظ حریم خصوصی کاربران خبر داد.
وی درباره برنامه رگولاتوری برای بررسی اپراتورها در زمینه حفظ و صیانت اطلاعات مردم گفت: باید سازوکار، ابزار، فرایند پشتیبانی و استانداردهای اپراتورها در زمینه حفظ و نگهداری اطلاعات کاربران، مشخص شود.
وی افزود: امانات مردم در نزد اپراتورها است که باعث رشد، سودآوری و ارتقای آنها میشود و کسبوکار اپراتورها را شکل میدهد.
معاون نظارت و اعمال مقررات سازمان تنظیم مقررات و ارتباطات رادیویی گفت: رگولاتوری، اپراتورها و افرادی که از سازمان تنظیم پروانه کسب کردند و قرار است در فضای کسبوکار کشور، فعالیتهای مرتبط خودشان را داشتهباشند امانتدار مردم هستند.
حقی افزود: اپراتورها باید در مورد صیانت از اطلاعات مردم حساس باشند و به همین دلیل باید سازوکاری داشتهباشند تا از این امانت صیانت کنند و اعتماد مردم را پاسخ دهند تا بر اساس درآمدی که از فضای کسبوکار دارند، حساسیت مردم را پاسخگو باشند.
وی با اشاره به تاکید وزیر ارتباطات و فناوری اطلاعات بر حفظ و صیانت از اطلاعات کاربران افزود: اپراتورها باید در واقع حداکثر دقت و انرژی در صیانت از اطلاعات مردم به خرج دهند.
معاون نظارت و اعمال مقررات سازمان تنظیم مقررات و ارتباطات رادیویی از ارسال نامهای به همه اپراتورهای ثابت و همراه کشور در زمینه حفظ حریم خصوصی کاربران خبر داد و اظهار کرد: اپراتورها قبلا اعلام کردهبودند که توجه خاصی به حفظ اطلاعات مردم دارند و به وظایف خود در این زمینه آگاه هستند، اما سازمان تنظیم مقررات و ارتباطات رادیویی طی نامهای از اپراتورها خواست تا سازوکار، فرایند، ابزار، تجهیزات و استانداردی که در زمینه حفظ و صیانت اطلاعات مردم دارند را اعلام کنند.
حقی تاکید کرد: برای احراز اعلان اپراتورها و تضمین ادعاها باید سازوکار، ابزار و فرایند پشتیبانی آن توسط اپراتورها مشخص شود.
معاون نظارت و اعمال مقررات سازمان تنظیم مقررات و ارتباطات رادیویی تاکید کرد: اپراتورها کموبیش اسنادی را فرستادند، اما این اسناد در تراز موردنظر نبود و متناسب با آنچه ادعا میشد اسناد آن ارائه نشد که مقرر شد تا از نزدیک برویم و به اصطلاح بیت و بایت آنرا بررسی کنیم و ریشه عملیات ها و فرآیند ها و سبک و سیاقی که اجرا می شود را مشخص کنیم که آیا اقدامات آنها تابع استانداردی است و یا بر اساس نقطه نظرات سازمانی آنها است.
حقی افزود: برای اینکه فرایند بررسی دو طرفه باشد و ما نسبت به سازوکارها اپراتورها اطلاعات کسب کنیم و آنها نسبت به اینکه محفوظ بودن این بررسی ها مطمئن باشند، تیمی از حوزه های مختلف فنی و غیرفنی را تشکیل دادیم و معرفی کردیم.
وی تاکید کرد: به دنبال این هستیم تا ببینیم اپراتورها در خصوص اطلاعات مردم چه ابزار، فرایند و برنامهای دارند و در برنامه سازمانی، ارتقای سالانهای برای آن متصور هستند یا خیر.
معاون نظارت و اعمال مقررات سازمان تنظیم مقررات و ارتباطات رادیویی اضافه کرد: همانطور که برای شاخصهای توسعه برنامه قائلایم و برای رسیدن به آن هزینه می کنیم تا سودی بهدست آید، باید برای امنیت اطلاعات نیز هزینه کنیم. به عبارتی اگر مقدار سود بیشتر شد، یعنی مشتری و کاربران بیشتر شدند، بنابراین باید متناسب آن نیز در حوزه صیانت از اطلاعات هزینه کرد و به عنوان یک دغدغه باید برنامهای در این مورد باشد و برای آن ساختار و اهدافی در نظر گرفتهشود و مدیران باید تابع آن ضوابط باشند.
معاون نظارت و اعمال مقررات رگولاتوری با بیان اینکه این امانات مردم نزد اپراتورهاست که باعث رشد، سودآوری و ارتقا میشود و کسبوکار آنها را شکل میدهد، گفت: بنابراین در خصوص صیانت و نگهداری از اطلاعات باید همه تابع قوانین باشند و اینطور نیست که تنها بخش خاصی آن را رعایت کنند.
حقی گفت: بررسیها انجام میشود تا دغدغه، سازوکار، فرایند، نفر، آموزش و حتی ریشه تعاملات اپراتورها با نمایندگان فروش و پیمانکاران مشخص شود، چراکه نمایندگان فروش اولین نقطهای است که اطلاعات را میگیرد و اولین جایی است که میتواند در خصوص اطلاعات سهلانگاری شود.
وی در خصوص بررسی رگولاتوری توضیح داد: این بررسیها حتی در مورد تجهیزات نگهداری اطلاعات صورت میگیرد که این تجهیزات چگونه نگهداری و امحا میشود، چراکه هر تجهیزی که اطلاعات را نگهداری میکند شامل یک سازمان ذخیرهسازی است که به سختی اطلاعات را از دست میدهد، بنابراین باید مشخص شود که در نگهداری، تعمیرات و امحای آن چه سازوکاری اتفاق میافتد.
معاون نظارت و اعمال مقررات سازمان تنظیم مقررات و ارتباطات رادیویی با اعلام اینکه نتایج این بررسیها را استخراج کرده و به اطلاع مردم میرسانیم و اگر موانعی باشد تذکری میدهیم تا رفع کنند، گفت: درنتیجه برای رگولاتوری موضوع کاملا شفاف میشود و برای توسعههای بعدی اپراتورها، میتوانیم نگاه معنیدارتری درخصوص امنیت به آنها داشتهباشیم.
حقی با اشاره به اینکه دستبرد به اطلاعات همیشه یک روش ندارد و در زمانهای مختلف روشهای جدیدی پیدا میکند، اظهار داشت: حتما در توسعه برنامههایی برای رفع احیانا مشکلات امنیتی باید دیدهشود چون همانطور که حجم اطلاعات بیشتر و خدمات جدید ارائه میشود، برنامه توسعه برای صیانت و امنیت نیز باید در نظر گرفتهشود.
وی با بیان اینکه هدف سازمان تنظیم مقررات از بررسی وضعیت صیانت اطلاعات کاربران توسط اپراتورها رتبهبندی نیست، افزود: نخست به دنبال رفع اشکالات هستیم و بحث ما رتبهبندی نیست، چراکه گاها رتبهبندی ما را از اهدافمان دور میکند.
معاون نظارت و اعمال مقررات سازمان تنظیم مقررات و ارتباطات رادیویی در پاسخ به این سوال که اگر اپراتوری اعلام کرد که بیشتر از یک حد مشخصی نمیتواند برای حفظ و صیانت از اطلاعات مردم هزینه کند، توضیح داد: در پروانهای که به اپراتورها داده شدهاست برای هر کدام از بحثها مابه ازایی وجود دارد و اگر این مفهوم انطباق پیدا کند با تخلف دارنده پروانه حتما برخورد میشود هرچند با توجه به اصرار بر صیانت از اطلاعات مردم و احساس مسئولیتی که اپراتورها دارند، پیشبینی نمیشود که چنین اتفاقی رخ دهد.