پایگاه تحلیلی خبری شعار سال

سرویس ویژه نمایندگی لنز و عدسی های عینک ایتالیا در ایران با نام تجاری LTL فعال شد اینجا را ببینید  /  سرویس ویژه بانک پاسارگارد فعال شد / سرویس ویژه شورای انجمنهای علمی ایران را از اینجا ببینید       
کد خبر: ۲۱۱۶۶۷
تاریخ انتشار : ۱۴ خرداد ۱۳۹۸ - ۰۱:۲۴
هک شدن سایت سازمان‌های دولتی یا حتی نمایشگرهای فرودگاهی، دیگر یک خبر تازه محسوب نمی‌شود. بی‌توجهی به امنیت سایبری و حفظ سلامت سایت‌ها و ابزارهای اینترنتی عمومی باعث شده هرچند وقت‌یکبار یک سایت از دسترس کاربرانش خارج شود یا به اطلاعاتش چوب حراج بخورد. این‌بار نوبت سایت تأمین اجتماعی، بزرگ‌ترین سازمان بیمه‌گر کشور است. هرچند گفته شده در مشکلی که پیش آمده، داده‌های مردم، اطلاعات و سوابق بیمه‌شدگان، مستمری‌بگیران و کارفرمایان حفظ شده و هکرها برای مدت کوتاهی توانسته‌اند به سایت خبری این سازمان نفوذ کنند،

شعار سال: هک شدن سایت سازمان‌های دولتی یا حتی نمایشگرهای فرودگاهی، دیگر یک خبر تازه محسوب نمی‌شود. بی‌توجهی به امنیت سایبری و حفظ سلامت سایت‌ها و ابزارهای اینترنتی عمومی باعث شده هرچند وقت‌یکبار یک سایت از دسترس کاربرانش خارج شود یا به اطلاعاتش چوب حراج بخورد. این‌بار نوبت سایت تأمین اجتماعی، بزرگ‌ترین سازمان بیمه‌گر کشور است. هرچند گفته شده در مشکلی که پیش آمده، داده‌های مردم، اطلاعات و سوابق بیمه‌شدگان، مستمری‌بگیران و کارفرمایان حفظ شده و هکرها برای مدت کوتاهی توانسته‌اند به سایت خبری این سازمان نفوذ کنند، اما سابقه نشان می‌دهد، سازمان‌های دولتی عموما به مسائل امنیت سایبری توجه چندانی نشان نمی‌دهند. امیر ناظمی، رئیس سازمان فناوری اطلاعات روز گذشته اعلام کرده که 2 بار به سازمان تأمین اجتماعی درباره احتمال حمله هکرها هشدار داده بوده‌اند. چرا سازمان‌های دولتی در مقابل هکرها امنیت چندانی ندارند؛ راه‌حل چیست؟

نظام مقابله با تهدید

سیستم‌هایی که داده‌های حساس و مهم را در اختیار دارند، باید طبق قوانین و مقررات ایران آنها را حفظ کنند. زمانی که جرایمی در این حوزه رخ بدهد، نوبت کار «نظام مقابله» می‌رسد. در ایران نظام مقابله به 3 دسته تقسیم می‌شود که امیر ناظمی، رئیس سازمان فناوری اطلاعات درباره‌شان می‌گوید: «دسته اول سازمان‌های حساس هستند که مسئولیت مقابله با رخداد در این سازمان‌ها به «افتا» ریاست‌جمهوری (امنیت فضای تولید و تبادل اطلاعات کشور) بر می‌گردد. سازمان تأمین اجتماعی نیز جزو دستگاه‌هایی است که افتا مسئولیت رسیدگی به رخدادهای احتمالی آن را برعهده دارد. دسته دوم کسب‌وکارها هستند که مقابله با جرایمی که درخصوص آنها رخ می‌دهد، برعهده پلیس فتاست. مقابله با رخدادهای بقیه سازمان‌های دولتی نیز بر عهده وزارت ارتباطات و مرکز ماهر است

نیاز جدی قانون درباره امنیت سایبری

بسیاری از کارشناسان می‌گویند: ‌با ابزارهای قانونی مثل جریمه و... باید ریسک بی‌توجهی به امنیت سایبری را برای کسب‌وکارها افزایش داد تا جایی که سازمان‌ها ترجیح بدهند به جای پرداخت جریمه، روی تأمین امنیت‌شان کار کنند. البته اینطور که محمدجعفر نعناکار، مدیرکل حقوقی سازمان فناوری اطلاعات ایران می‌گوید، از آذرماه سال گذشته، بخش حقوقی این سازمان دنبال تصویب لایحه‌ای به نام «صیانت از داده‌های شخصی افراد» بوده که در وزارت ارتباطات نوشته شده است. او دراین‌باره به همشهری می‌گوید: «این لایحه به کمیسیون فرعی هیأت ‌دولت رفت و حدود 13 نهاد دولتی دیگر روی آن بحث کردند. متن نهایی لایحه هم‌اکنون آماده ارائه به کمیسیون اصلی است. زمانی که این لایحه با تصویب مجلس به شکل قانون در بیاید، می‌تواند نقش مؤثری در زمینه صیانت از داده‌های شخصی کاربران ایفا کند. چیزی که خیلی مهم است و باید به آن توجه کرد، حلقه حقوقی است که نهادهای مرتبط در آن هماهنگی‌های لازم را با یکدیگر ندارند. متأسفانه برخی از نهادها حاضر نیستند با بقیه نهادها زیر یک چتر قرار بگیرند و قواعد کلی را یکسان‌سازی‌ کنند، تا چرخه حقوقی در این حوزه کامل شود.» او درباره محتویات این لایحه می‌گوید: «این لایحه داده‌های شخصی افراد را تعریف و مشخص می‌کند که هر نهادی باید به چه شکل به این داده‌ها دسترسی پیدا کند و براساس چه استانداردی آن را نگهداری کند، چه زمانی نوبت معدوم‌سازی‌ داده‌ها می‌رسد و اگر این اطلاعات به هر طریق نشت کرد باید چطور با آن برخورد شود

نادیده گرفتن کلاه‌سفیدها

هکرهای کلاه‌سفید یکی از مهم‌ترین گزینه‌هایی هستند که می‌توانند به امن‌تر کردن سایت‌ها کمک کنند. این هکرها هرچند توانایی هک کردن سایت‌ها و نفوذ به اطلاعات را دارند اما از این توانایی‌شان برای کمک به صاحبان کسب‌وکار یا سازمان‌ها استفاده می‌کنند. آنها در مسابقه‌هایی که به همین منظور طراحی شده شرکت می‌کنند و در ازای دریافت دستمزد باگ‌های امنیتی را به صاحبان سازمان گزارش می‌کنند. استفاده از این سیستم چندان در کشور ما مورد استقبال قرار نگرفته چون اینطور که یاشار شاهین‌زاده، یکی از کارشناسان امنیتی به همشهری می‌گوید: آنها می‌ترسند که هکرها از اطلاعاتی که به‌دست می‌آورند، سوءاستفاده کنند. او تأکید می‌کند: «این نگاه، اشتباه است چون اگر چنین مشکلی وجود داشته باشد، یعنی هر هکری می‌تواند دیر یا زود به این اطلاعات دسترسی داشته باشد. پس برای سازمان بهتر است زودتر باگ‌هایش را شناسایی و رفع کند.»‌ او در عین حال تأکید می‌کند: خوشبختانه خیلی از کسب‌وکارهای خصوصی و استارتاپ‌ها ارزش این رویکرد را فهمیده‌اند و به طور خصوصی برنامه‌هایی برای پیدا کردن رخنه امنیتی برگزار می‌کنند. البته اینطور که امیر ناظمی، رئیس سازمان فناوری اطلاعات گفته، سایت «کلاه سفید» با همین محوریت توسعه داده شده اما راه‌حل بهتر، استفاده از «باگ‌بانتی» است که در آن، سازمان‌ها خودشان به فکر امنیت‌شان می‌افتند.

سخت‌افزارهای گران، بدون اپراتور

در بسیاری از سازمان‌های دولتی و بزرگ سخت‌افزار بیشتر از نرم‌افزار مورد توجه است. همین نگاه درباره کارشناس امنیت سایبری و اختصاص بودجه به این بخش نیز وجود دارد. مجتبی مصطفوی، کارشناس امنیت سایبری دراین‌باره می‌گوید: «در بسیاری از سازمان‌ها تصور بر این است که با خرید سخت‌افزارهای گران‌قیمت و بزرگ می‌توان امنیت را حفظ کرد؛ درصورتی که اپراتوری برای کار کردن با این سیستم‌ها وجود ندارد و گاهی به بروزرسانی نرم‌افزارهای مرتبط با آنها توجه نمی‌شود. در نتیجه بسیاری از سیستم‌ها مستعد هک هستند.» او یکی از ساده‌ترین و کم‌هزینه‌ترین راه‌حل‌ها را تبدیل سایت مبتنی بر http به سیستم رمزگذاری‌شده یا https می‌داند، تغییر کوچکی که هزینه چندانی ندارد اما می‌تواند جلوی بسیاری از مشکلات در وب‌سایت‌ها را بگیرد.

نگاه به مقوله اطلاعات حساس و دسترسی غیرمجاز به آنها نیز طبق گفته کارشناسان سایبری باید تغییر کند. یاشار شاهین‌زاده،کارشناس امنیت سایبری دراین‌باره می‌گوید: «در بسیاری از سازمان‌ها هک شدن زمانی خطرناک محسوب می‌شود که اطلاعات دزدیده شود. در نتیجه کارشناسان آنها سراغ راه‌حل‌هایی مثل تهیه نسخه پشتیبان از اطلاعات می‌روند. درحالی‌که نفس هک شدن یک سایت یا سیستم حتی اگر اطلاعات کاربران آن باز نشده باشد، مشکل بسیار بزرگی است چون می‌توان از نفوذ به یک سیستم به هدف‌های نامطلوب دیگری رسید.» او می‌گوید: «به خاطر همین نگاه اشتباه، برخلاف بیشتر نقاط دنیا امنیت سایبری بودجه معینی ندارد و معمولا بخشی از بودجه «آی‌تی» سازمان برای آن صرف می‌شود. درثانی، مسئولان تصمیم‌گیرنده فکر می‌کنند وقتی با یک نسخه پشتیبان می‌توان مشکل را حل کرد، چرا باید کارشناس خبره استخدام کرده و چند برابر برای حقوقش خرج کنند

سایت شعار سال، با اندکی تلخیص و اضافات برگرفته از روزنامه همشهری ، تاریخ انتشار 13خرداد 98، کد خبر: 57660، www.newspaper.hamshahri.org


اخبار مرتبط
خواندنیها و دانستنیها
نام:
ایمیل:
* نظر:
* :
آخرین اخبار
پربازدیدترین
پربحث ترین
پرطرفدارترین