تاریخ انتشار: یکشنبه 1400/09/14 - 13:29
کد خبر: 416366

عامل نفوذ و افشای اطلاعات سازمان‌ها چیه؟

عامل نفوذ و افشای اطلاعات سازمان‌ها چیه؟

در زمینه فناوری اطلاعات و ارتباطات در کشور نیازمند قوانین جدی و به‌روز هستیم و این خلأ قانونی در حوزه امنیت سایبری نیز به مراتب پررنگ‌تر است. هم‌اکنون نشت‌های اطلاعاتی که در کشور رخ می‌دهد بیشتر مربوط به آسیب‌پذیری از سهل‌انگاری‌های کوچکی است که با آموزش قابل پیشگیری خواهد بود. در حال حاضر قوانین کیفری و جرم‌انگاری ویژه برای نشت اطلاعات در قوانین موجود کشور وجود ندارد و به همین دلیل است که سهل‌انگاری‌ها گاهی بیشتر می‌شود. این در حالی است که در اغلب کشورهای دنیا نقض حریم خصوصی مشمول جریمه پنج درصدی از درآمد شرکت‌ها می‌شود.

به گزارش خبرنگار سرویس فناوری اطلاعات«خبرنامه دانشجویان ایران»؛ اعتماد مهم‌ترین حلقه زنجیره خدمات در هر سرویس است، سرویس‌های مجازی هر روز در حال رشدند، بنابراین کسانی که اطلاعات شهروندان را نگه می‌دارند، باید از قبل فرآیند شفاف‌سازی را انجام دهند تا دسترسی به اطلاعات مردم کار مشکلی باشد. به همین دلیل لازم است ضریب حریم خصوصی را به نحو قابل بهبودی افزایش داد. این در حالی است که اخیرا زیرساخت‌های کشور هم تحت حملات سایبری قرار می‌گیرد و به دنبال آن برخی از کسب‌وکارها نیز تحت تاثیر این حملات هستند که در برخی موارد منجر به هک شدن برخی سرورها نیز شده است.

عامل نفوذ و افشای اطلاعات سازمان‌ها چیه؟

به عبارتی، در زمینه فناوری اطلاعات و ارتباطات در کشور نیازمند قوانین جدی و به‌روز هستیم و این خلأ قانونی در حوزه امنیت سایبری نیز به مراتب پررنگ‌تر است. هم‌اکنون نشت‌های اطلاعاتی که در کشور رخ می‌دهد بیشتر مربوط به آسیب‌پذیری از سهل‌انگاری‌های کوچکی است که با آموزش قابل پیشگیری خواهد بود. در حال حاضر قوانین کیفری و جرم‌انگاری ویژه برای نشت اطلاعات در قوانین موجود کشور وجود ندارد و به همین دلیل است که سهل‌انگاری‌ها گاهی بیشتر می‌شود. این در حالی است که در اغلب کشورهای دنیا نقض حریم خصوصی مشمول جریمه پنج درصدی از درآمد شرکت‌ها می‌شود.

هرچند قانون حفاظت از داده‌های عمومی یا همان GDPR در هزارتوی نظام بروکراسی محبوس مانده است، اما این به آن معنا نیست که قانونی برای اجبار سازمان‌ها و دستگاه‌ها به حفاظت از داده‌های شخصی وجود ندارد، بلکه به معنای آن است که همه نیازها را پاسخ نمی‌دهد. تک‌تک این مواد قانونی می‌تواند منجر به محکومیت هر فرد حقیقی و حقوقی شود که در محافظت از داده‌ها سهل‌انگاری کرده است. با وجود این، شواهد نشان می‌دهد اگر پایگاه اطلاعات کسب‌وکاری فاش ‌شود، معمولا کارش به دادگاه نمی‌رسد، این شرکت‌ها هم ترجیح می‌دهند اتفاقات مشمول گذر زمان شود، درحالی که بحث حریم شخصی با دلجویی هم حل نمی‌شود، بلکه نیازمند قانون است و نشت اطلاعات باید تبعاتی داشته باشد.

دستورالعمل اقدامات پایه جهت پیشگیری از نشت اطلاعات سازمان‌ها و کسب‌وکارها

وقوع رخدادهای متعدد نشت اطلاعات از پایگاه‌های داده‌ی شرکت‌ها و سازمان‌های دولتی و خصوصی در فضای مجازی ‌عمدتا متاثر از فهرست مشترکی از خطاها و ضعف‌های امنیتی در پیاده‌سازی و تنظیمات است. این ضعف‌ها باعث می‌شوند در برخی موارد دسترسی به داده‌های سازمان‌ها و کسب‌وکارها حتی نیاز به دانش عمیق هک و نفوذ نداشته باشد و با یک‌سری بررسی‌ها و جست‌وجوهای ساده، داده‌ها افشا می‌شوند. به همین منظور مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) به‌منظور پیشگیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانه‌ها، توصیه‌هایی کرده است.

لازم است در راه‌اندازی پایگاه‌های داده‌ به ویژه انواع پایگاه‌های داده‌ی NoSQL و اطمینان از عدم وجود دسترسی حفاظت‌نشده دقت شود. بسیاری از موارد نشت اطلاعات مربوط به پایگاه‌های داده‌ای است که به طور موقت و جهت انجام فعالیت‌های موردی و کوتاه‌مدت راه‌اندازی شده است. لازم است اهمیت و حساسیت این نوع پایگاه‌های داده هم‌تراز پایگاه‌های اصلی درنظر گرفته شود.

بررسی و غیرفعال‌سازی قابلیت Directory Listing غیرضروری در سرویس‌دهنده‌های وب جهت جلوگیری از دسترسی به فایل‌ها از دیگر راه‌های پیشگیری است. همچنین در وضعیت دسترسی به دایرکتوری‌های محل بارگزاری داده‌ها و اسناد توسط کاربران وبسایت نظیر دایرکتوری‌های uploads و temp هم باید دقت شود و علاوه بر لزوم کنترل دسترسی‌ها و غیرفعال‌سازی قابلیت Directory listing، لازم است تا حد امکان این اسناد به محل دیگری منتقل شده و از دسترس خارج شوند.

عدم اتصال مستقیم پایگاه‌های داده به‌صورت مستقیم به شبکه اینترنت

تا حد امکان لازم است دسترسی مستقیم به پایگاه‌های داده از طریق اینترنت برقرار نشود. یکی از مواردی که باعث این اشتباه بزرگ می‌شود، روال پشتیبانی شرکت‌های ارائه‌دهنده راهکارهای نرم‌افزاری کاربردی است که برای انجام پشتیبانی 24*7، مشتریان خود را الزام به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانک‌های اطلاعاتی می‌کنند. در صورت اجبار شرکت‌ها و سازمان‌ها به این مساله، این دسترسی حتما باید روی یک بستر امن و با استفاده از وی‌پی‌ان ایجاد شود.

سرویس‌دهنده‌های رایج و پرکاربردی مانند مایکروسافت اکسچنج، مایکروسافت شیرپوینت و زیمبرا، با توجه به انتشار عمومی آسیب‌پذیری‌های حیاتی و اکسپلویت‌های مربوطه طی سال‌های اخیر مورد سوءاستفاده جدی قرار گرفته‌اند. به همین دلیل در صورت استفاده از این سرویس‌دهنده‌ها لازم است نسبت به بروز بودن آنها و نصب تمام وصله‌های امنیتی منتشرشده اطمینان حاصل شود. همچنین لازم است از عدم دسترسی مستقیم از طریق اینترنت به هرگونه سرویس مدیریتی نظیر ‌RDP، iLo، کنسول مدیریت vCenter و ‌ESX، کنسول مدیریت فایروال اطمینان حاصل کنید. این دسترسی‌ها لازم است از طریق سرویس وی‌پی‌ان اختصاصی و یا بر اساس آدرس آی‌پی مبدا مجاز محدود شوند.

لازم است از نگهداری هرگونه نسخه پشتیبان از سیستم‌ها روی سرور وب خودداری کنید و همچنین جهت اطمینان از عدم وجود دسترسی به سرویس‌ها و سامانه‌ها به صورت ناخواسته، نسبت به اسکن ساده‌ی سرویس‌های فعال روی بلوک‌های IP سازمان خود به‌صورت مداوم اقدام کرده و سرویس‌های مشاهده‌شده‌ی غیرضروری را از دسترسی خارج کنید. البته تمامی این موارد به هیچ عنوان جایگزین فرایندهای کامل امن‌سازی و ارزیابی امنیتی نبوده و صرفا برطرف‌کننده شماری از ضعف‌های جدی مشاهده‌شده هستند.

نظرات
حداکثر تعداد کاراکتر نظر 200 ميياشد
نظراتی که حاوی توهین یا افترا به اشخاص، قومیت‌ها، عقاید دیگران باشد و یا با قوانین جمهوری اسلامی ایران و آموزه‌های دینی مغایرت داشته باشد منتشر نخواهد شد - لطفاً نظرات خود را با حروف فارسی تایپ کنید
معرفی کسب و کارها
از تفاهم اسلام‌آباد تنها جوهر امضاها باقی مانده، نه تعهداتش
به وقت انتقام
بیداری امت اسلامی مهم‌ترین دستاورد انقلاب امام خمینی(ره) است
مکزیک؛ مدعی جدید میزبانی جام جهانی باشگاه‌ها ۲۰۲۹
معاون علمی رئیس‌جمهور: از دانش‌بنیان به قدرت‌بنیان حرکت می‌کنیم
شهادت یک مرزبان در پی حمله هوایی امریکا به مرزهای آبی
آغاز فروش ارز اربعین از شنبه ۲۰ تیر
مشهد در وداعی میلیونی؛ اشک، پرچم و بغض در خیابان‌های منتهی به حرم
تکذیب هرگونه انفجار و حمله هوایی آمریکا به کرمانشاه
رونمایی پرسپولیس از شهرآبادی
اعلام آمادگی بسیج اساتید برای طرح دعاوی بین المللی انتقام خون امام شهید
نقض ‌قواعد بین‌المللی توسط ‌آمریکا‌ در حمله به زیرساخت‌های حمل‌ونقل
استمرار «بی‌هنجاریِ گرما» طی هفته آتی در اغلب استان‌ها/ هشدار گرمازدگی
۱۴ شهید و ۷۸ مصدوم در تجاوز آمریکا به ۵ استان
قاتلان قائدِ شهید را قصاص خواهیم کرد
مرکز فرماندهی کنترل دشمن در غرب آسیا با ۱۰ موشک بالستیک درهم کوبیده شد
آغاز فروش ارز اربعین از شنبه ۲۰ تیر
مقام آمریکایی: در مجموع ۳۰ پهپاد MQ-۹ توسط پدافند هوایی ایران سرنگون شده‌اند
واشنگتن‌پست: ترامپ دوباره خودش را در مهلکه سیاسی انداخت که بعید است بتواند از آن خارج شود
وزارت خارجه: حملات جنایتکارانه آمریکا نقض فاحش بندهای ۱ و ۵ یادداشت تفاهم است
ولایتی: از کربلا تا نجف، عراق در وداع با امام شهید مقاومت یکپارچه شد
دانشجویان دانشگاه تربیت دبیر شهید رجایی برای زائرین رهبر شهید سنگ تمام گذاشتند / اسکان و اطعام بیش از هزار زائر از هفت استان کشور
برپایی موکب «فدا» توسط فعالان اقتصاد دیجیتال در تشییع رهبر شهید
تعیین زمان امتحانات نهایی و کنکور در اختیار مراجع اجرایی است
اتصال هدفمند نخبگان به نیازهای ملی و صنعتی؛ رویکرد جدید بنیاد ملی نخبگان
برگزاری امتحانات پایان ترم دانشجویان تحصیلات تکمیلی دانشگاه آزاد از ۲۰ تیر به‌صورت «حضوری»
تأکیدات رهبر شهید بر علم و فناوری، اقتصاد دانش‌بنیان را از شعار به یک گفتمان ملی تبدیل کرد
اعلام زمان برگزاری آزمون صلاحیت حرفه‌ای گروه پرستاری، اتاق عمل و هوشبری
امکان برگزاری آزمون مجدد برای دانشجویان دانشگاه آزاد فراهم شد
پنجمین نشست پایش برنامه پزشکی خانواده برگزار شد
پیشرفت پزشکی نوین در گرو سرمایه‌گذاری در علوم پایه است
آمادگی کامل زیرساخت‌های ارتباطی مشهد برای تشییع و تدفین رهبر شهید
همراه داشتن موبایل در امتحانات دانشگاه آزاد بلامانع شد
آزمون کارشناسی ارشد ۱۴۰۵ در روزهای ۲۵ و ۲۶ تیرماه برگزار می‌شود/ اعلام زمان دریافت کارت ورود به جلسه داوطلبان
با اصل الگوی جدید تغذیه مخالفیم/این طرح ریسک تورم را به دانشجویان منتقل می‌کند
بزرگترین درس رهبر شهید برای کارآفرینان، حل مسئله و تبدیل معضل به فرصت بود
کاهش پذیرش دکتری در برترین دانشگاه‌های آمریکا
عبور از موانع فناوری‌های نرم و تقویت محتوای بومی؛ مصادیق امروز جهاد علمی
آغاز توزیع کارت کنکور ارشد از ۲۲ تیر؛ برگزاری آزمون در ۲۵ و ۲۶ تیر
جزئیات برگزاری آزمون شفاهی فلوشیپ اعلام شد/ رقابت ۱۳۱۸ داوطلب برای پذیرش ۶۸۳ نفر
راه‌اندازی دکتری «ارگونومی» در دانشگاه علوم پزشکی ایران
مهلت ثبت نام ترم تابستان دانشگاه شریف تمدید شد
نظرسنجی
به نظر شما توافق با آمریکا به پایان مخاصمات می‌انجامد یا دوباره شاهد یک درگیری تمام عیار خواهیم بود؟


مشاهده نتایج
go to top