گزارش تحقيقى

عدم امنیت داده‌ در اینترنت بومی ایران

پس از نشت داده های میلیون ها ایرانی در طی سال جاری مشخص است که این کشور به برخی قوانین مناسب برای محافظت از داده نیاز دارد، اما شبکه ملی اطلاعات مانع این پیشرفت است.

وابستگی روزافزون ما به خدمات دیجیتال و آنلاین، با خود نشت‌های اطلاعاتی بیشتری را نیز به همراه داشته است، و این موضوع، کاربران و مشاغل را در برابر حملات سایبری آسیب‌پذیرتر کرده است. 

در ایران هم اوضاع مشابهی وجود دارد و در چند سال اخیر چندین مورد نشت اطلاعاتی اتفاق افتاده است. یکی از موارد چشمگیر نشت داده، در ماه فروردین سال جاری رخ داد که داده‌هایی از ۴۲ میلیون کاربر تلگرام ایرانی در اینترنت انتشار پیدا کرد، رقمی که شاید معادل اطلاعات نیمی از جمعیت کل کشور باشد. با فاصله‌ تنها چند روز، نشت اطلاعاتی دیگری این بار در «سیب اپ» رخ داد و اطلاعات افراد به مبلغ ۵۰۰ دلار برای فروش گذاشته شد. 

تا به امروز واکنش مسئولین به این موضوع بسیار ضعیف بوده و هیچ اقدامی جهت جلوگیری از اتفاقات مشابه در آینده و یا در جهت محافظت کاربرانی که داده‌های حساس آن‌ها در فضای اینترنت پخش شده است، در مقابل حملات سایبری محتمل، صورت نگرفته است. 

اعتقاد ما بران است که کاربران اینترنت در ایران به دلیل وجود دو واقعیت در فضای قانونگذاری اینترنتی ایران، نسبت به این نشت‌های اطلاعاتی آسیب‌پذیری بیشتری دارند: یک، فقدان وجود چارچوبی جامع و هدفمند برای حفاظت از اطلاعات در ایران، و دیگری، وجود جهت‌گیری وسیع برای بومی‌سازی اینترنت ایران، تحت عنوان شبکه‌ی ملی اطلاعات. 

در این قسمت از فیلتربان، چندی از رخدادهای اخیر نشت اطلاعاتی در ایران را بررسی می‌کنیم؛ به تاثیرات شبکه ملی اطلاعات بر حریم خصوصی آنلاین و حمایت از داده‌ها می‌پردازیم؛ و همچنین درباره اقداماتی صحبت خواهیم کرد که می‌بایست بدست قانون‌گذاران و شرکت‌های فناوری اطلاعات، به منظور حفاظت ایرانیان از اتفاقات مشابه در آینده، انجام شود. 

نشت اطلاعات چطور در فضای آنلاین اتفاق افتاد؟

در تاریخ ۱۲ فروردین اعلام شد که داده‌های ۴۲ میلیون کاربر تلگرام در ایران روی اینترنت نشت پیدا کرده است. طبق گفته‌ی «باب دیاچنکو»، پژوهشگر در زمینه‌ی امنیت اطلاعات، این داده‌ها توسط گروهی به نام «سامانه شکار» در فضای آنلاین منتشر شده بود. داده‌ها در قالب کلاسترهایی بر روی الستیک‌سرچ (موتور جستجوی متن بازی برای داده و آنالیز داده‌ها) پست شده بود و هیچ نیازی به رمز عبور یا تایید هویت برای دسترسی به آن نبود. 

داده‌ها در فضای آنلاین به مدت ۱۱ روز به صورت علنی باقی ماند تا اینکه «دیاچنکو» موضوع را به سرویس میزبانی گزارش داد، و بالاخره در تاریخ ۶ فروردین کلاستر الستیک‌سرچ پاک شد. طبق گفته‌ی «دیاچنکو»، بعد از تماس با  مرکز«ماهر» (مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای) سرور میزبان «سامانه شکار» خاموش شد. با این وجود, پیش از اینکه داده‌ها پاک شوند، در دسترس افرادی قرار گرفته و بر روی حداقل یک فروم هک، پست شده و در فضای آنلاین در حال فروخته شدن بودند. 

این مجموعه داده حاوی اطلاعات  ضبط شده از ۴۲ میلیون حساب کاربری در ایران بود، اطلاعاتی از جمله اسامی کاربری و شماره شناسایی، شماره تلفن‌ها وهش‌ها (کدهای منحصر بفرد مربوط به حساب‌های کاربری ذخیره شده بر روی یک وب سرور) .

تلگرام در بیانیه‌ای اعلام کرد که اطلاعات درز پیدا کرده، از دو نسخه‌ی انشعابی پرطرفدار تلگرام به نام‌های HotGram و Golden Telegram یا همان هاتگرام و تلگرام طلایی، جمع‌آوری شده است. این دو نسخه با استفاده از کد متن باز تلگرام و در نتیجه‌ی فیلتر شدن تلگرام رسمی در سال ۹۷، ساخته شده بود؛ و این گمان می‌رفت که این نسخه‌ها به سازمان‌های اطلاعاتی و امنیتی ایران مرتبط باشند. ما پیش از این، زمانی که این دو اپلیکیشن تازه ساخته شده بودند، درباره امنیت آن‌ها اظهار نگرانی کرده بودیم. در خرداد ماه سال ۹۸ سرورهای این دو اپلیکیشن در داخل ایران توسط شرکت طراح و توسعه دهنده‌ی آن‌ها خاموش شده بود. 

بیانیه‌ی تلگرام به صورت مستقل تایید نشده است. برخی گزارش‌ها همچنین اظهار می‌کنند که اطلاعات درز شده شامل جزییات حساب‌های کاربران فعال اپلیکیشن رسمی تلگرام نیز بوده است، و اینکه این ضبط اطلاعات اخیراً در ماه  فروردین اتفاق افتاده است.

گفته می‌شود که افرادی که اطلاعاتشان درز پیدا کرده، اکنون در معرض خطر فیشینگ (سرقت آنلاین) و کلاهبرداری تلفنی می‌باشند، و با استفاده از اطلاعات فاش شده ممکن است این حساب‌های کاربری مورد هدف قرار بگیرند.

بررسی‌های بیشتر گزارش می‌دهند که این سرور به اسم منوچهر هاشم‌لو ثبت شده بوده، و از آدرس ایمیلی استفاده می‌کرده که متعلق به هکر مشهور ایرانی ArYaleIrAN بوده است. گفته می‌شود که این هکر با گروه هکری به نام Charming Kitten که توسط نهاد‌های حکومتی ایران حمایت می‌شود، مرتبط می‌باشد. این گروه پیش از این در ماموریت‌هایی که روزنامه‌نگاران و کنش‌گران را مورد هدف‌گیری قرار می‌دادند، دخیل بوده است. 

واکنش ضعیف ایران

واکنش مسئولین امر به این نشت اطلاعاتی کاملا ضعیف بود، وسازمان‌های متعددی در اولویت قرار دادن امنیت افرادی که اطلاعاتشان در معرض خطر گذاشته شده بود، کم کاری کردند. روال معمول در واکنش به چنین اتفاقاتی دنبال نشده و به افرادی که احتمال می‌رفت در معرض خطر باشند، اطلاع رسانی نشد. بنظر می‌رسد که شرکت‌ توسعه دهنده‌ی این دو اپلیکیشن – راه کار سرزمین هوشمند (Smart Land Solutions)- نیز هیچگونه واکنشی نشان نداده است.

در روز ۱۲ فروردین، همان روزی که نشت اطلاعاتی علنی شد؛ امیر ناظمی، معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات ایران، در توییتر اعلام کرد که وب‌سایت «سامانه شکار» که توسط یک شرکت ایرانی به نام رسپینا میزبانی می‌شود، شناسایی شده و برای اقدامات قانونی لازم به مقامات قضایی گزارش شده است. یک روز بعد از توییت ناظمی، شرکت رسپینا، میزبانی وب‌سایت مذکور را انکار کرده و گفت که تنها خدمات اشتراک فضا (کولوکیشن) عرضه می‌کند. 

در توییت دیگری در تاریخ ۱۳ فروردین، ناظمی در پاسخ به کسانی  که عملکرد وی را زیر سوال برده بودند نوشت که طبق مصوبه ۴۴ شورای عالی فضای مجازی، وظیفه‌ی برقراری امنیت اطلاعات در بخش خصوصی، با پلیس فتا می‌باشد. 

مرکز «ماهر» نیز بیانیه‌ای خطاب به سازمان‌های دولتی و صاحبین کسب‌ و کارها منتشر کرد. در این بیانیه مرکز ماهر، تقصیر نشت اطلاعاتی را بر گردن ناامنی و یا ضعف امنیت کلاسترهای داده‌‌ای انداخت. ماهر همچنین اضافه کرد که از تاریخ ۱۲ فروردین شروع به نظارت بر هرگونه پایگاه اطلاعاتی ناامن کرده و در صورت شناسایی، صاحبین این پایگاه‌ها را مطلع خواهد کرد. همچنین اضافه کرد که اگر این صاحبین بعد از مطلع شدن، معضل را برطرف نکنند، به دفتر دادستانی ارجاع داده می‌شوند. 

با این حال، «ماهر» دوباره تصریح کرد که مصوبه شورای عالی فضای مجازی، پیشگیری و مقابله با حوادث فضای مجازی  مربوط به بخش خصوصی (مانند اپلیکیشن‌ها یا بانک‌های خصوصی) را بر عهده‌ی پلیس فتا قرار داده است. 

پلیس فتا هیچگونه اظهاریه‌ی علنی درباره‌ی این نشت‌های داده‌ای منتشر نکرده، و حتی هیچگونه اطلاعاتی در این باره که آیا قربانیان این اتفاقات مطلع خواهند شد یا نه، فراهم نکرده است. همچنین، موضوع قابل ملاحظه دیگر این است که راه کار سرزمین هوشمند

 (Smart Land Solutions) که شرکت سازنده‌ی دو اپلیکیشن انشعابی تلگرام بوده است، نسبت به این اتفاقات هیچ واکنشی نشان نداده و حتی از طرف پلیس فتا یا دیگر مسئولین مورد پرسش قرار نگرفته‌ است. برخی این موضوع را به عنوان دلالت قوی‌تری بر اینکه این اپلیکیشن‌ها به حکومت مرتبط بوده‌اند، تفسیر می‌کنند. 

عدم وجود قوانین حمایت از داده

 

واکنش دولت ایران و دیگر مسئولین مربوطه، به نشت داده‌ها، گسسته و ضعیف بوده است. دولت در شناسایی افرادی که پشت این جریان بوده‌اند و تشخیص چگونگی وقوع این حوادث ناموفق بوده است، و یا حتی بیانیه‌ای مبنی بر اینکه تهدیدات متعاقب را چگونه کنترل خواهد کرد، صادر نکرده است. عدم وجود هرگونه حمایت قانونی از داده‌های کاربران در ایران، عامل اصلی عملکرد ضعیف دولت در این شرایط است. 

تا کنون تنها تلاشی که برای ارائه اقدامات پیشگیرانه در زمینه‌ی حفاظت داده اتفاق افتاده است در سال ۱۳۹۶ بود، زمانی که وزارت ارتباطات و فناوری اطلاعات، پیش‌نویس «لایحه‌ی حمایت از حریم خصوصی در فضای مجازی» را ارائه کرد. از آن زمان که این لایحه برای تصویب شدن به هیئت دولت فرستاده شد، هیچ پیشرفتی مشاهده نشده؛ هر چند که مفاد این لایحه اولویت را به بومی‌سازی اینترنت واگذار کرده است و نه امنیت کاربران. برخی از مصوبات قانونی دیگر، همچون قانون جرایم رایانه‌ای (۱۳۸۷/۸۸) و قانون تجارت الکترونیکی (۱۳۸۲)، به صورت بسیار محدودی به موضوع حمایت از داده و حریم خصوصی می‌پردازند. 

قانون جرایم رایانه‌ای (CCL)، برای مثال، جرایم تبهکاری را برای هتک حیثیت و نشر اکاذیب  تعیین می‌کند. ماده‌ ۱ این قانون، دسترسی غیر مجاز به داده‌ها یا سیستم‌های رایانه‌ای یا مخابراتی که بوسیله تدابیر امنیتی حفاظت شده است را جرم می‌شناسد، اما مشخص نمی‌کند که منظور از «تدابیر امنیتی» چیست؛ و بنظر می‌رسد که تنها در مورد اطلاعات حکومتی صدق می‌کند و نه اطلاعات شهروندان و افراد غیر دولتی. مفاد دیگر این قانون، شهروندان را از بکارگیری تدابیر امنیتی اولیه منع می‌کند، که این موضوع موجب آسیب‌پذیری کاربران در برابر نشت‌های اطلاعاتی و همچنین زیر نظر قرار گرفتن، می‌شود.  ماده‌ ۱۰، برای مثال، «مخفی کردن داده‌ها، تغییر گذرواژه یا رمزنگاری داده‌ها که مانع دسترسی اشخاص مجاز به داده‌ها یا سیستم‌های رایانه‌ای یا مخابراتی شود» را منع می‌کند. که البته این ماده ارزش چندانی ندارد چرا که تا کنون اجرای این ماده به صورت عملی مشاهده نشده است. 

قانون تجارت الکترونیکی (ECL) شامل مفادی در زمینه حمایت از داده و حریم خصوصی می‌باشد، با این حال این مفاد تنها به تجارت و معاملات الکترونیکی مربوط می‌شود و کاربرد گسترده‌تری ندارد. در نتیجه این قانون، معضلات پیچیده مربوط به حق داشتن حریم خصوصی در فضای مجازی و محافظت از داده را، که در نتیجه‌ی نشت‌های اطلاعاتی اتفاق می‌افتد، در نظر نمی‌گیرد. 

در حالیکه که لایحه‌ی «حمایت از حریم خصوصی در فضای مجازی» مسکوت مانده است، شورای عالی فضای مجازی، اقدامات نگران‌کننده‌ی دیگری را آغاز کرده که به شدت با اصول  حریم خصوصی اطلاعاتی و حفاظت داده‌ها در تضاد می‌باشد. در آگوست سال ۹۸ شورای عالی فضای مجازی، مصوبه‌  «نظام هویت معتبر در فضای مجازی» را تایید کرده و در مهر ۹۸ این مصوبه منتشر شد.

چندی از اهداف اصلی این نظام به شرح زیر است:

  • هر تعاملی در فضای مجازی کشور بین هر شخص، گروه، شی یا خدمتی باید با شناسه معتبر آغاز شود.
  • بسته به نوع تعامل، دو دسته اطلاعات هویت ذاتی و اکتسابی موجودیت‏ها لازم است؛ اطلاعات پایه هویتی موجودیت‏ها، در قالب شناسه‏‌های دائم یا موقت و واقعی یا مستعار و اطلاعات غیرپایه­ هویتی از قبیل مدرک ‏تحصیلی و میزان اعتبار مالی.
  • مرکز ملی فضای مجازی با همکاری قوای مجریه و قضاییه، ظرف مدت شش ماه از تاریخ ابلاغ این مصوبه، پیش‏نویس مقررات و لوایح قانونی لازم برای استقرار نظام هویت معتبر در فضای مجازی کشور را تهیه کند.
  • مرکز ملی فضای مجازی، گزارشی از اجرای این مصوبه را هر شش ماه یک بار به شورای عالی فضای مجازی ارائه کند.

هر‌چند این مصوبه یک قانون نیست، شورای عالی فضای مجازی با حکم رهبری، بالاترین مقام قانونگذاری در زمینه فضای مجازی در ایران است. بدین ترتیب، اختیارات این شورا، بی‌چون و چرا محسوب می‌شود و بنظر می‌رسد که این مصوبه از طرف دولت غیرقابل فسخ باشد. 

عدم وجود قوانین تدوین شده در زمینه‌ی حریم خصوصی و امنیت کاربران موجب‌ می‌شود که اپلیکیشن‌های داخلی و دیگر خدمات اینترنتی، ملزم به تامین امنیت اطلاعات و حریم شخصی کاربران خود نباشند و در صورت قصور جریمه نشوند. توأم شدن عدم حمایت قانونی با سوابق حقوقی در ایران، به این معناست که در صورت بروز نشت اطلاعاتی یا افشای غیر مجاز داده‌ها، هیچ‌ پیگرد قانونی اتفاق نخواهد افتاد، و شرکت‌های فناوری و موسسات فناوری اطلاعات و ارتباطات دولتی، مورد پرسش قرار نخواهند گرفت. تنها راه حلی که باقی می‌ماند این است که مقامات دولتی تصمیم به‌ پیگری و تفحص بگیرند، که این موضوع هم کارایی و تاثیر بسزایی ندارد، چرا که همچون پرونده‌ی تلگرام، کاربران در اولویت قرار نمی‌گیرند. 

شبکه ملی اطلاعات با حفاظت از داده سازگار نیست

یک نگاه برای توضیح شرایط حمایت از داده و خلا قانونی در فضای مجازی ایران این است که به صورت  یک سهل‌انگاری به آن نگاه نکنیم، بلکه در واقع آن را به عنوان بخشی از جهت‌گیری و دستور کار دراز مدت سیاست‌های دولت در زمینه فضای مجازی ببینیم. 

الان چندین دهه است که بخش‌های مختلف دستگاه حکومتی در پی بومی‌سازی و خودکفا کردن اینترنت ایران هستند، چیزی که امروز به عنوان شبکه ملی اطلاعات شناخته می‌شود. مبالغه‌ی دولت در ترویج  اینترنت ملی به عنوان اینترنت «سالم» و «امن»، این پروژه را در برابر حملات سایبری، ایمن معرفی می‌کند و از آنجایی که تنها به مطالبی اجازه دسترسی می‌دهد که تایید شده باشند، ادعا می‌کند که موجب ارتقای یکپارچگی و انسجام اجتماعی می‌شود. این پروژه، به شکل ابزاری عمل می‌کند که حقوق دیجیتال محدود شهروندان ایرانی را از آنچه که هست هم محدودتر کند. 

با قراردادن زیربنا و سازماندهی اینترنت در داخل کشور، دولت می‌‌تواند کنترل خود را، بیش از پیش، بر شهروندان و آنچه به آن دسترسی دارند بالا برده، و رفتار آن‌ها را بدون هیچ محدودیتی از طرف سازمان‌های بین‌المللی، زیرنظر بگیرد. ما در طول دوره‌‌ی قطع کامل اینترنت ایران در آبان ماه ۱۳۹۸ شاهد کارآمدی شبکه ملی اطلاعات بودیم. زمانیکه وب‌سایت‌های بین‌المللی و اپلیکیشن‌ها همگی قطع شده بودند، برخی خدمات بانکی، بیمارستان‌ها و دانشگاه‌ها اعلام کردند که در زمان تعطیلی اینترنت، همچنان آنلاین مانده بودند، چرا که به شبکه ملی متصل بوده و از سرویس‌های هوستینگ (میزبانی وب) داخلی استفاده می‌کردند. 

همانطور که در سند اخیر «نظام هویت معتبر در فضای مجازی» مشهود است، شبکه ملی اطلاعات به آهستگی مشغول ساختن فضای اینترنتی است که در عین حال به قصد نظارت، ردیابی و کنترل کاربران طراحی شده است. مادامی که هیچ قانونی برای حفاظت از داده‌ها تعیین نشود، نمی‌توان مطمئن بود که اطلاعات جمع‌آوری شده مطابق با حق حریم خصوصی افراد، بکار گرفته می‌شود، یا نمی‌توان مطمئن بود که استفاده و آشکارسازی این اطلاعات محدود خواهد بود و از آن‌ها سواستفاده نمی‌شود. در چنین شرایطی، حکومت با موانع بسیار کمتری در مسیر نظارت و کنترل بر شهروندان روبرو می‌باشد. واضح است که قابل ردیابی شدن و بومی‌سازی تمامی تعاملات آنلاین (آنطور که در مصوبه‌ی نظام هویت معتبر در فضایی مجازی آمده) با چارچوبی کارآمد برای محافظت از داده‌ها، همخوانی ندارد. 

نظام تجسس حکومتی، از اساس، با روش‌های حمایت از داده مغایرت دارد. هدف حمایت از داده این است که اطلاعات و یا داده‌های شخصی محفوظ نگه داشته شود، در حالیکه نظارت حکومتی در هر جای دنیا، بر پایه‌ی ناامنی داده و عدم وجود حریم خصوصی در فضاهای آنلاین استوار است. تعاریف مختلفی از اصطلاح «داده شخصی» انجام شده، اما استانداردهای جهانی همچون «مقررات عمومی حفاظت از داده» اتحادیه اروپا، این اصطلاح را این طور تعریف می‌کند: “اطلاعات شخصی هر گونه اطلاعات مربوط به یک فرد شناسایی شده یا قابل شناسایی شدن است، خواه مربوط به زندگی خصوصی فرد باشد و خواه مربوط به زندگی حرفه‌ای و یا عمومی وی و آن میتواند هر چیزی مثل نام، عکس، آدرس ایمیل، اطلاعات بانکی، پست در وب سایتهای شبکه های اجتماعی، اطلاعات پزشکی، ژنتیکی، روانی، اقتصادی، فرهنگی یا هویت اجتماعی باشد.” (مقررات عمومی حفاظت از داده، ۲۰۱۸، ماده ۴)

بنابراین، برای اینکه چارچوب حفاظت از داده بتواند موثر واقع شود، شرایطی باید فراهم شود تا بتوان داده‌ها را از طریق نام مستعار یا غیر قابل شناسایی، و با استفاده از روش‌هایی چون رمزگذاری به صورت امن ذخیره نمود تا این امر، در نهایت،  حفظ حریم  خصوصی کاربران را تأمین کند. 

اما «سیستم هویت آنلاین احراز شده» این شیوه‌های امنیتی را از طریق ساخت شناسه‌های هویت آنلاینی که می‌بایست تحت نظارت دولت باشند، نفی می‌کند؛ و افراد بدون داشتن این شناسه‌ها قادر به استفاده از اینترنت نخواهند بود. این مصوبه هیچ توصیه‌نامه و مفادی در توضیح این مسئله که اطلاعات به چه شکل جمع‌آوری، پردازش و ذخیره می‌شوند ارائه نمی‌دهد، و همچنین به صاحبین این اطلاعات حق مالکیت و کنترل اطلاعات شخصی خودشان را واگذار نمی‌کند. باز هم تاکید می‌کنیم که این مصوبه در برابر نشت‌های اطلاعاتی و دست‌درازی به حریم خصوصی کاربران هیچ تدبیری نیندیشیده، و به هیچ وجه تلاشی در راستای حفظ امنیت و اطمینان خاطر کاربران اینترنت ایرانی، نمی‌کند. 

شبکه ملی اطلاعات از طریق سیاست‌هایی در حال اجرا است که بومی‌سازی اطلاعات را اجباری می‌کند، و این امر  وجود سیستمی را امکانپذیر می‌‌نماید که حکومت قادر باشد دائما رفتار شهروندان خود را در فضای مجازی زیر نظر داشته باشد و اینترنت جهانی را بر روی آن‌ها ببندد. پس با در نظر گرفتن این موضوع شاید خیلی تعجب‌آور نباشد که سیاست گذاران ایران در مقابل ایده‌ی وضع قوانین حمایت از داده، مقاومت می‌کند. البته فقدان قانون و مقررات بر روی بخش خصوصی نیز به صورت غیرمستقیم تاثیر می‌گذارد و موجب‌ می‌شود تا نظارت کافی بر شرکت‌های خصوصی فناوری اطلاعات وجود نداشته باشد و حفظ حریم خصوصی آنلاین و امنیت اطلاعات کاربران این شرکت‌ها تضمین نشود. 

قدم بعدی چیست؟

همانطور که دیدیم، ناتوانی دولت ایران در مطابقت دادن قوانین خود با پیشرفتهای تکنولوژی، عواقب چشم‌گیری برای شهروندان ایرانی به همراه داشته است. علیرغم درخواست‌هایی که برای وضع قوانین حفاظت از داده انجام شده است، اقدامات بسیار ناچیزی از طرف دولت در جهت بهبود و پیاده‌سازی قوانین حفاظت از داده انجام شده است. 

این موضوع که به نظر می‌رسد روند قانونگذاری در این زمینه برای همیشه در حالت معلق مانده است، حاکی از این است که حکومت احتمالا متوجه شده که وضع هرگونه قانونی برای حفاظت از داده، می‌تواند پروژه‌ی بزرگتر او را که ساخت شبکه ملی اطلاعات است، به خطر انداخته و یا تضعیف کند؛ پروژه‌ای که هدف اصلی‌ آن این است که تمام شهروندان در فضای مجازی قابل مشاهده و ردیابی باشند. به همین دلیل وضع قوانین و مقرراتی که بتواند امنیت کاربران اینترنت را در حد استانداردهای بین‌المللی بالا ببرد، و یا در صورت لطمه خوردن امنیتشان، راه چاره‌ای برای آن‌ها فراهم کند، با اهداف حکومت ایران هماهنگی ندارد. 

پس می‌توان نتیجه گرفت که اجرایی شدن شبکه ملی اطلاعات که ذات آن مغایر با حریم خصوصی کاربران و امنیت اطلاعات می‌باشد، می‌بایست متوقف شود. علاوه بر این، دولت باید اطمینان حاصل کند که قوانینی مناسب که به صورت فراگیر امنیت اطلاعاتی کاربران را تضمین می‌کنند، در اسرع وقت وضع شوند. این کار را می‌تواند با اعلام وضعیت لایحه‌ی «حمایت از داده و حریم خصوصی در فضای مجازی» شروع کند. این موضوع از اهمیت بسیار بالایی برخوردار است که متوجه باشیم که این لایحه در حالت کنونی‌اش با استانداردهای معتبر جهانی در زمینه امنیت داده و حریم خصوصی همخوانی ندارد، اما می‌تواند شروعی برای کشور باشد. این لایحه می‌تواند پیش از اینکه به قانون تبدیل شود، اصلاح و نقاط ضعف آن ترمیم گردد‌. تلفیق این دو اتفاق می‌تواند موجب شود که کنترل‌کنندگان و استفاده کنندگان داده، از جمله خود دولت، مجبور به اجرای روش‌هایی امنیتی با استاندارد بالا شوند و در برابر هرگونه قصوری، جوابگو باشند و در نتیجه‌ی همه این‌ تغییرات، فضای آنلاین قابل اعتمادی خلق شود که به حقوق دیجیتال شهروندان خود احترام می‌گذارد.

مواردی برای آینده امنیت داده در ایران:

ما با در نظر گرفتن شرایط کنونی حمایت از داده در ایران، مواردی را جمع‌آوری کرده‌ایم که به دست‌اندرکاران در زمینه‌های مختلف پیشنهاد می‌کنیم این موارد را در نظر گرفته و به اجرا دربیاورند، تا نقاط ضعف سیستم کنونی مطرح و از حقوق دیجیتال شهروندان ایرانی پاسداری شود:

  • در نبود چارچوبی قانونمند برای حفاظت از داده، شرکت‌های فناوری و موسسات می‌بایست تا وظیفه خود را بشناسند و امنیت اطلاعات و حریم خصوصی کاربران خود را در اولویت قرار دهند. برای رسیدن به این هدف، باید روش‌هایی دقیق برای حمایت از داده تعیین کنند و همچنین این شیوه‌ها را برای کاربران خود فراهم کنند.
  • دولت ایران می‌بایست در اسرع وقت قانون جامعی برای حمایت از داده و حریم خصوصی فضای مجازی، وضع کند که با استانداردهای جهانی همگون باشد، از جمله:
  • به کارگیری شیوه‌های استاندارد که موجب می‌شوند  اپلیکیشن‌های داخلی از امنیت کافی برخوردار باشند.
  • ایجاد روندی مشخص برای مطلع کردن صاحبین داده‌ها از هرگونه نشت اطلاعاتی که هویت آن‌ها  از آن طریق قابل شناسایی باشد 
  • ایجاد روش‌های قانونی قابل اجرا برای جبران خسارت افرادی که امنیت داده‌هایشان لطمه خورده است.
  • طرحهای مشکل‌زایی همچون طرح «ساماندهی پیام‌رسان‌های اجتماعی» می‌بایست کنار گذاشته شوند چرا که این نوع قوانین، مغایر با حق حریم خصوصی کاربران و همچنین فاقد ملاحظات امنیتی می‌باشند. 
  • تا زمانی که پروژه شبکه ملی اطلاعات ادامه دارد، قوانین حمایت از داده و حریم خصوصی فضای مجازی، فقط می‌توانند در ظاهر وجود داشته باشند، بنابراین پروژه‌ی بومی‌سازی اینترنت ایران باید متوقف گردد تا حقوق دیجیتال شهروندان ایرانی حفظ شود. 

کنش‌گران و حامیان حقوق دیجیتال باید از خطرات برنامه‌هایی چون وی‌پی‌ان “قانونی”  آگاه باشند و کاربران ایرانی را نیز از خطرات ممکن برای حریم خصوصی‌اشان مطلع سازند.