سهل انگاری کوچک عامل افشای اطلاعات سازمان دولتی
وقوع رخدادهای گوناگون نشت اطلاعات از پایگاه های داده ی شرکتها و سازمان های دولتی و خصوصی، عمدتاً ناشی از خطاها و ضعف های امنیتی در پیاده سازی و تنظیمات است که موجب می شود گاهی حتی بدون نیاز به دانش عمیق هک و نفوذ و با یک سری بررسی ها و جست وجوهای ساده، داده ها افشا شوند.
به گزارش آنی تل به نقل از ایسنا، اعتماد مهم ترین حلقه زنجیره خدمات در هر سرویس است، خدمات مجازی هر روز درحال رشدند، بدین سبب کسانی که اطلاعات شهروندان را نگه می دارند، باید از قبل پروسه شفاف سازی را انجام دهند تا دسترسی به اطلاعات مردم کار مشکلی باشد. بنا بر این لازم است ضریب حریم خصوصی را به نحو قابل بهبودی افزایش داد. این در شرایطی است که بتازگی زیرساخت های کشور هم تحت حملات سایبری قرار می گیرد و به دنبال آن تعدادی از کسب وکارها نیز تحت تاثیر این حملات هستند که در بعضی موارد منجر به هک شدن برخی سرورها نیز شده است.
به عبارتی، در حوزه فناوری اطلاعات و ارتباطات در کشور نیازمند قوانین جدی و به روز هستیم و این خلأ قانونی در زمینه امنیت سایبری نیز بمراتب پررنگ تر است. اکنون نشت های اطلاعاتی که در کشور رخ می دهد بیشتر مربوط به لطمه پذیری از سهل انگاری های کوچکی است که با آموزش قابل پیشگیری خواهد بود. هم اکنون قوانین کیفری و جرم انگاری ویژه برای نشت اطلاعات در قوانین موجود کشور وجود ندارد و بنا بر این است که سهل انگاری ها گاهی بیشتر می شود. این در شرایطی است که در بیشتر کشورهای دنیا نقض حریم خصوصی مشمول جریمه پنج درصدی از درآمد شرکتها می شود.
هرچند قانون حفاظت از داده های عمومی یا همان GDPR در هزارتوی نظام بروکراسی محبوس مانده است، اما این به آن معنا نیست که قانونی برای اجبار سازمان ها و دستگاهها به حفاظت از داده های شخصی وجود ندارد، بلکه به مفهوم آنست که همه نیازها را پاسخ نمی دهد. تک تک این مواد قانونی می تواند منجر به محکومیت هر فرد حقیقی و حقوقی شود که در محافظت از داده ها سهل انگاری کرده است. با این وجود، شواهد نشان میدهد اگر پایگاه اطلاعات کسب وکاری فاش شود، بطور معمول کارش به دادگاه نمی رسد، این شرکتها هم ترجیح می دهند اتفاقات مشمول گذر زمان شود، درحالی که بحث حریم شخصی با دلجویی هم حل نمی گردد، بلکه نیازمند قانون است و نشت اطلاعات باید تبعاتی داشته باشد.
دستورالعمل اقدامات پایه جهت پیش گیری از نشت اطلاعات سازمان ها و کسب وکارها
وقوع رخدادهای گوناگون نشت اطلاعات از پایگاه های داده ی شرکتها و سازمان های دولتی و خصوصی در فضای مجازی عمدتاً متاثر از لیست مشترکی از خطاها و ضعف های امنیتی در پیاده سازی و تنظیمات است. این ضعف ها موجب می شوند در بعضی موارد دسترسی به داده های سازمان ها و کسب وکارها حتی نیاز به دانش عمیق هک و نفوذ نداشته باشد و با یک سری بررسی ها و جست وجوهای ساده، داده ها افشا می شوند. بدین منظور مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای کامپیوتر ای) بمنظور پیش گیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانه ها، سفارش هایی کرده است.
لازم است در راه اندازی پایگاه های داده خصوصاً انواع پایگاه های داده ی NoSQL و اطمینان از عدم وجود دسترسی حفاظت نشده دقت شود. خیلی از موارد نشت اطلاعات مربوط به پایگاه های داده ای است که بطور موقت و جهت انجام کارهای موردی و کوتاه مدت به راه افتاده است. لازم است اهمیت و حساسیت این نوع پایگاه های داده هم تراز پایگاه های اصلی درنظر گرفته شود.
بررسی و غیرفعال سازی قابلیت Directory Listing غیرضروری در سرویس دهنده های وب جهت جلوگیری از دسترسی به فایل ها از دیگر راه های پیشگیری است. همین طور در وضعیت دسترسی به دایرکتوری های محل بارگزاری داده ها و اسناد توسط کاربران سایت نظیر دایرکتوری های uploads و temp هم باید دقت شود و علاوه بر لزوم کنترل دسترسی ها و غیرفعال سازی قابلیت Directory listing، لازم است تا حد امکان این اسناد به محل دیگری منتقل شده و از دسترس بیرون بروند.
عدم اتصال مستقیم پایگاه های داده بصورت مستقیم به شبکه اینترنت
تا حد امکان لازم است دسترسی مستقیم به پایگاه های داده بوسیله اینترنت برقرار نشود. یکی از مواردی که موجب این اشتباه بزرگ می شود، روال پشتیبانی شرکت های ارائه دهنده راهکارهای نرم افزاری کاربردی است که برای انجام پشتیبانی 24*7، مشتریان خودرا الزام به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانکهای اطلاعاتی می کنند. در صورت اجبار شرکتها و سازمان ها به این مساله، این دسترسی حتما باید روی یک بستر امن و با استفاده از وی پی ان ایجاد شود.
سرویس دهنده های رایج و پرکاربردی مانند مایکروسافت اکسچنج، مایکروسافت شیرپوینت و زیمبرا، باتوجه به انتشار عمومی لطمه پذیری های حیاتی و اکسپلویت های مربوطه طی سالهای اخیر مورد سوءاستفاده جدی قرار گرفته اند. بنا بر این در صورت استفاده از این سرویس دهنده ها لازم است نسبت به بروز بودن آنها و نصب تمام وصله های امنیتی منتشرشده اطمینان حاصل شود. همین طور لازم است از عدم دسترسی مستقیم بوسیله اینترنت به هرگونه سرویس مدیریتی نظیر RDP، iLo، کنسول مدیریت vCenter و ESX، کنسول مدیریت فایروال اطمینان حاصل کنید. این دسترسی ها لازم است بوسیله سرویس وی پی ان اختصاصی و یا برمبنای آدرس آی پی مبدا مجاز محدود شوند.
لازم است از نگهداری هرگونه نسخه پشتیبان از سیستم ها روی سرور وب خودداری کنید و همین طور جهت اطمینان از عدم وجود دسترسی به سرویس ها و سامانه ها بصورت ناخواسته، نسبت به اسکن ساده ی خدمات فعال روی بلوک های IP سازمان خود بصورت مداوم اقدام نموده و خدمات مشاهده شده ی غیرضروری را از دسترسی خارج کنید. البته تمامی این موارد به هیچ عنوان جایگزین فرایندهای کامل امن سازی و ارزیابی امنیتی نبوده و فقط برطرف کننده شماری از ضعف های جدی مشاهده شده هستند.
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان آنی تل در مورد این مطلب