شماره امروز: ۵۴۷

| | |

دلایل درز و افشای اطلاعات بسیاری از سازمان‌ها و کاربران فضای مجازی طی ماه‌های اخیر در کشور، از یک سازمان به سازمان دیگر و از یک زیرساخت ارتباطی به یک زیرساخت ارتباطی دیگر،

ابوذر عرب‌سرخی

دلایل درز و افشای اطلاعات بسیاری از سازمان‌ها و کاربران فضای مجازی طی ماه‌های اخیر در کشور، از یک سازمان به سازمان دیگر و از یک زیرساخت ارتباطی به یک زیرساخت ارتباطی دیگر، کاملاً تغییر می‌کند و نمی‌توان یک فاکتور یا نسخه واحد برای این مشکل پیچید و گفت که دلیل تمامی موارد نشت اطلاعات، یک موضوع است. گستره‌ای از موضوعات کاملاً فنی تا غیرفنی می‌تواند دلیل بروز و ظهور نشت اطلاعات باشد. در فضای فنی موضوعاتی مانند طراحی ضعیف و ناامن یا پیکربندی یا مدیریت ضعیف یک کاربر یا سیستم و سرویس‌دهنده می‌تواند دلیل بروز مشکلات امنیتی باشد و در فضای غیرفنی نیز مواردی از قبیل خطای انسانی، فیشینگ و تکنیک‌های مهندسی اجتماعی، می‌توانند عامل نشت اطلاعات در شرایط خاص باشند. هم‌اکنون ما در کشور، مشکلات فنی در طراحی و پیاده‌سازی و مدیریت سیستم داریم و طراحی روال نگهداری و انتقال اطلاعات ما ضعیف است. از سوی دیگر خطای انسانی که می‌تواند از سوی اپراتور یا کاربر یا حتی مدیر سیستم نیز رخ دهد، می‌تواند منجر به نشت اطلاعات شود. همه این موارد معرف ضعف‌ها و آسیب‌پذیری‌های حیاتی امنیت سایبری است که می‌تواند منشأ و علت بروز مشکلاتی مانند افشا و نشت اطلاعات باشد. سال گذشته پیش‌نویس «لایحه حفاظت از داده» با همکاری مشترک بین پژوهشکده فناوری اطلاعات پژوهشگاه ارتباطات و فناوری اطلاعات، معاونت امنیت سازمان فناوری اطلاعات و اداره کل امنیت سازمان تنظیم مقررات و ارتباطات رادیویی و نیز پژوهشکده قوه قضاییه، آماده شد که قرار است به صحن علنی مجلس برای تبدیل شدن به قانون برود. نکته این است که این لایحه صرفاً یک رکن از موضوعات حفاظت از داده به شمار می‌رود و باید به مواردی چون بلوغ زیرساخت‌ها، طراحی و پیکربندی و آموزش نیروی انسانی نیز توجه داشت. مطابق گزارش سال ۲۰۱۹ مرکز تحقیقاتی IDC بیش از ۸۵ درصد تهدیدات امنیتی ناشی از خطای انسانی است و این درحالی است که ما بالغ بر ۹۵ درصد هزینه‌های امنیتی را روی ارتقای زیرساخت‌ها می‌گذاریم. این به این معنی است که اگر نیروی انسانی (مدیرسیستم، کاربر یا توسعه‌دهنده) خطایی انجام دهد، با بهترین سیستم هم نمی‌توان جلوی آن را گرفت. هم‌اکنون در اکثر شکایات مربوط به نشت داده و نقض حریم خصوصی که بسیاری از آنها در حوزه شبکه‌های اجتماعی مطرح می‌شود، مشکل اصلی مربوط به کاربر است که مبادرت به صدور مجوز دسترسی، انتشار اطلاعات و در حقیقت خودافشایی کرده اما مدعی نقض حریم خصوصی شده است. کاربر نباید مدعی حفظ حریم خصوصی باشد اما دست به خودافشایی بزند. 

بالاخره زمانی که از فناوری استفاده می‌کند باید بداند که فناوری محدودیت‌هایی نیز دارد. فناوری مانند تیغ دولبه است که استفاده درست از آن، برخی نیازها را تامین می‌کند و استفاده نادرست از آن می‌تواند، تبعاتی برای اطلاعات شخصی و حریم خصوصی به همراه داشته باشد. البته نباید تصور کرد که تنها دلیل هک اطلاعات برخی سازمان‌های دولتی و اپراتورها یک موضوع انسانی یا رویه‌ای خاص است. خیلی وقت‌ها طراحی ضعیف و ناامن سیستم و پیکربندی آن، آسیب‌زا بوده و باعث نشت اطلاعات می‌شود. حتی اگر قانون حفاظت از داده نیز داشته باشیم، اما طراحی زیرساخت شبکه، پیاده‌سازی و مدیریت و بهره‌برداری مناسبی نشود، می‌تواند باعث نشت اطلاعات شود. از سوی دیگر حتی اگر قانون هم وجود داشته باشد، زیرساخت هم درست باشد، اما عامل انسانی در الزامات امنیتی به درستی عمل نکند، بازهم شاهد نشت اطلاعات خواهیم بود. ما در پروژه‌هایمان موضوع مربوط به حفاظت از داده‌ها و بخشی از خلاهای موجود را در سطح توان یک مرکز پژوهشی در کشور آسیب‌شناسی و شناسایی می‌کنیم. بررسی‌ها نشان می‌دهد که در جایی این خلأ مربوط به عدم وجود نهاد متولی بوده است. در جایی دیگر مشکلات مربوط به شبکه‌سازی را شناسایی کرده و در جای دیگر، در ساختار با خلأ مواجه شدیم. حتی در مواردی متوجه شدیم که باید فناوری را توسعه داد. البته لازم است پروژه‌ها را با هدف شناسایی آسیب‌ها، ضعف‌ها و راه‌حل‌شان، براساس توانمندی‌‌ها انجام دهیم. از طرفی در حوزه توسعه فناوری و برنامه‌های کاربردی حوزه امنیت، باید از بخش خصوصی حمایت ویژه شود و ما در این حوزه مشکلات جدی داریم. چرا که هم‌اکنون بخش زیادی از بازار دست یک تعداد شرکت محدود است. شاید از جنبه‌هایی این موضوع خوب باشد و سطح اعتماد و پاسخگویی را بالا می‌برد، اما دیگر فرصتی به استفاده از ظرفیت‌های شرکت‌های کوچک و استارت‌آپ داده نمی‌شود.

 

اخبار مرتبط

ارسال نظر

نظر کاربران