کیاییفر، مدیر توسعه محصول شرکت مدبران، درباره نشتهای پیدرپی اطلاعات شهروندان گفتهاست: نشت اطلاعات از سازمانهای دولتی و استارتاپها ادامه خواهد داشت و خسارت ناشی از آن میتواند تبعات امنیتی ملی داشتهباشد. اطلاعات موجب تسلط بر مردم و تاثیر در سرنوشت آنها میشود و حتی بر حاکمیت کشورها و مدیریتها تاثیر میگذارد، بنابراین در سطح ملی باید برای این وضعیت نابهسامان امنیتی فکری کرد.
۰
اختصاصی افتانا- از ضعف قوانین حوزه امنیت دادهها تا کمتوجهی به هکرهای کلاهسفید
کیاییفر: نشت اطلاعات ادامه خواهد داشت
خسارت ناشی از آن میتواند تبعات امنیتی ملی داشتهباشد
منبع : گفتگو از: علیرضا صالحی
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در روزها و هفتههای اخیر فعالان امنیت سایبری از افشای پایگاه اطلاعات هویتی کاربران برخی سازمانها و شرکتهای دولتی و خصوصی خبر دادند و در این موضوع از سازمانها و شرکتهای دولتی و خصوصی متعددی نام بردهشد تا آنجا که مرکز ماهر هم اقدام به پایش پایگاههای داده حفاظتنشده کرد. در این شرایط بر آن شدیم تا دیدگاه کارشناسان و فعالان امنیت سایبری کشور را در این مورد جویا شویم و ببینیم آنها برای چنین روزهایی چه دغدغههایی داشته و دارند و دیدگاهشان در مورد این اتفاقات چیست. علی کیاییفر، مدیر توسعه محصول شرکت مدبران و کارشناس امنیت اطلاعات، گفتوگویی در این مورد با افتانا داشت که در ادامه میخوانید.
در روزهای اخیر اخبار نشت اطلاعات از سازمانها و شرکتها و استارتاپهای مختلف زیاد شدهاست. به عنوان یک کارشناس امنیت اطلاعات چه تحلیلی از این نشتها دارید؟
آسیبپذیریهای سازمانها و شرکتها مثل یک کوه یخی است و این اخبار نشت اطلاعات فقط بخشهایی از کوه یخی است که از آب بیرون آمدهاست. این اخبار برای کارشناسان امنیتی چیز عجیبی نیست چون وضعیت امنیت سازمانها خیلی بحرانیتر از این حرفهاست.
یعنی معتقدید این اخبار نشت اطلاعات کماکان ادامه خواهد داشت؟
اگر با همین فرمان جلو برویم قطعا! ببینید، امکان نفوذ و دسترسی به اطلاعات از قبل هم وجود داشته و چه بسا سوءاستفادههای زیادی هم شدهباشد. خود ما بارها آسیبپذیریهایی را به مسئولان سازمانهای بزرگ و کوچک اطلاع دادیم اما واقعا عکسالعمل مناسب ندیدیم. به نظر میرسد یا تهدیدها جدی گرفته نمیشوند و یا واقعا در لایه مدیریت، درکی از خطرات و پیامدهای نشت اطلاعات وجود ندارد.
به عنوان یک مثال کوچک حدودا ۶ ماه پیش یک آسیبپذیری در پورتال یکی از مدارس زنجیرهای کشور پیدا شد که امکان دسترسی کامل به پرونده چندهزار دانش آموز و کارنامه آنها را میداد. مشکل به آنها گزارش شد. اما بعد از ۶ ماه این آسیبپذیری برطرف نشد. حتی به مرکز ماهر هم اعلام شد، اما متاسفانه پیگیری لازم صورت نگرفت. اخیرا به پلیس فتا گزارش کردیم خوشبختانه سریع اقدام و پیگیری کردند. در مثالهای دیگر آسیبپذیریهای بحرانی در برخی استارتاپها و سازمانهای دولتی کشف شد که برخی از آنها همچنان پابرجاست. حتی آسیبپذیریهایی در نرمافزارهای ایرانی کشف شد که در کسبوکارهای مختلف در سطح کشور مورد استفاده قرار میگیرند و هماکنون اطلاعات خصوصی شهروندان از طریق این نرمافزارها قابل نشت است. اما واقعا عجیب است که با وجود این همه سرنخ، موضوعات امنیتی پیگیری نمیشود.
گاهی احساس می شود که دوستان مسئول، تحت فشار کاری بیش از حد نمی توانند همه این موارد را بررسی کنند. این موارد تنها زمانی اهمیت پیدا میکنند که اخبار نشت اطلاعات رسانهای می شود و مدیران را به واکنش وامیدارد. مثلا همزمان با روزهایی که خبر هک شدن سایت تامین اجتماعی رسانهای شدهبود ما یک آسیبپذیری در سرورهای سازمان فناوری اطلاعات کشف کردیم که بلافاصله موضوع به سازمان گزارش شد بعد از چند روز مشکل برطرف شد. در آخر هم گفتند که چیز مهمی نبوده! واقعیت این است که مسئولان دو نوع واکنش در خصوص آسیبپذیریهایشان دارند. دسته اول انکار میکنند و یا پشت گوش میاندازند. دسته دوم هم یک تشکر خشک و خالی میکنند و میگویند چیز مهمی نبوده! البته دسته سومی هم وجود دارد که تعدادشان بسیار اندک است. مثل سازمان فناوری اطلاعات شهرداری تهران که نه تنها آسیبپذیریهایش را انکار نمیکند بلکه برای گزارش کردن آنها جایزه هم میدهد.
شما ریشه اصلی این مشکلات و نشتهای اطلاعات مردم را چه می دانید؟
به نظر من ریشه اصلی مشکلات، ضعف در قوانین و ضعف در سیستمهای نظارتی است. طبق قوانین فعلی، سازمانها به سه دسته تقسیم شدهاند. دسته اول؛ سازمانهای حساس و حیاتی هستند که مسئولیت رسیدگی به مسائل امنیتی آنها برعهده افتای ریاست جمهوری است. دسته دوم؛ کسبوکارها هستند که رسیدگی به جرایمی که در خصوص آنها رخ میدهد، برعهده پلیس فتاست. رسیدگی به رخدادهای امنیتی سایر سازمانهای دولتی نیز بر عهده وزارت ارتباطات و مرکز ماهر است. من معتقدم این دستهبندی تا حد زیادی اشتباه است و باعث موازیکاری و اختلافنظر می شود. این اختلافات از دور هم قابل تشخیص است. مثلا مرکز ماهر ساعت ۲ نیمه شب اطلاعیهای در مورد نشت اطلاعات سازمان ثبت احوال منتشر میکند و تلویحا مشکل را به زمین افتا می اندازد و صبح روز بعد مجبور به حذف اطلاعیه میشود. به عقیده من، نیاز به یک «سازمان امنیت اطلاعات» واحد داریم که تمام مسائل را زیر یک چتر و تحت مدیریت واحد به پیش ببرد.
علاوه بر این، ما در تدوین قوانین نیز بهشدت ضعف داریم. لایحه صیانت از دادههای خصوصی شهروندان ۲ سال است که تقدیم مجلس شده اما بلاتکلیف ماندهاست. قوانین موجود هم به هیچ وجه بازدارنده نیستند. فرض کنید شما به عنوان یک هکر کلاهسفید یک آسیبپذیری در یک دستگاه دولتی پیدا میکنید و آن را گزارش میکنید. طبق قوانین فعلی و بسته به نظر مدیران آن سازمان ممکن است از شما تقدیر شود و یک چک بانکی هم به عنوان پاداش در وجه شما کشیدهشود و یا ممکن است علیه شما به جرم تلاش برای ورود به سیستمهای اطلاعاتی سازمان شکایت شود و بازداشت شوید! این ضعف قانونی باعث میشود افرادی که روزنههای نفوذ به شبکههای حساس و اطلاعات خصوصی مردم را کشف میکنند سکوت کنند و جرات مطرح کردن آن را نیابند. چون هیچ قانونی وجود ندارد که از هکرهای کلاهسفید حمایت کند.
ولی سازمان فناوری اطلاعات یک سامانه به نام «کلاهسفید» را راهاندازی کردهاست و برای کشف آسیبپذیریها جایزه هم تعیین کردهاست.
سامانه کلاهسفید به هیچ وجه موثر و پاسخگوی چالشهای فعلی نیست. شما در سایت کلاهسفید ثبتنام میکنید و از شما خواسته میشود تلاش کنید صرفا به چند سایت محدود که نه بازدیدکننده زیادی دارند و نه اطلاعات مهمی در آنها وجود دارد نفوذ کنید و بر اساس سطح نفوذ و کشف آسیبپذیری هم جایزه میگیرید. خب! این چه مشکلی را حل میکند؟ درحالی که همزمان به سامانههای دولتی حساس ما ظرف چند ساعت میشود یک نفوذ عمیق و اساسی داشت! همین الان تنها با ۴ ساعت زمان میتوانید بیش از ۳۰ سازمان دولتی را پیدا کنید و تا عمق آنها نفوذ کنید! چرا چنین چیزی ممکن است؟ چون ما امنیت را صرفا در گرفتن چند گواهینامه ISMS و روالهای فرمالیته میدانیم. افراد متخصص را جذب نمیکنیم چون نمیتوانیم حقوق درخواستی آنها را مطابق با نظام پرداخت هماهنگ سازمان پرداخت کنیم!
انتظار داریم حقوق یک متخصص امنیت به اندازه حقوق یک کارمند در واحد اداری یا مالی باشد! نتیجه میشود وضعیت فعلی. ولی هکرهای حرفهای دولتهای بیگانه، هم کار خودشان را خوب بلدند و هم خوب حقوق میگیرند! بیسروصدا، نفوذ و سوءاستفاده میکنند بدون اینکه کسی متوجه شود. بهتر است راههای قانونی را برای هکرهای کلاهسفید که تعدادشان در کشور کم هم نیست باز کنیم.
نشت اطلاعات علاوهبر نگرانیهای شخصی چه عواقبی در سطح ملی میتواند به همراه داشتهباشد؟
اگر اطلاعات هویتی من به عنوان یک شهروند در اینترنت نشت شود به حریم خصوصی من تجاوز شدهاست اما این یک بعد کوچک از ماجراست. وقتی اطلاعات سجلی من در یک دیتابیس و اطلاعات سفرهای درون شهری من، اطلاعات پروازهای من، متنهای گفتوگوی خصوصی من، اطلاعات نرمافزارهای نصبشده روی موبایل من، اطلاعات تحصیلی من و فرزندانم و ... هریک در دیتابیسهای جداگانهای نشر و نشت شود یک پایگاه عظیم و باارزش برای تحلیل اطلاعات میلیونها شهروند بهوجود میآید که تحلیل آن میتواند عواقب سنگینی داشتهباشد. از تجمیع این اطلاعات میتوان فهمید ما که هستیم؟ چه می کنیم؟ اعتقادات ما چیست؟ با که دوست و فامیل هستیم؟ وضع فعلی ما چیست؟ اطلاعات تجمیعی ما در مقایسه با اطلاعات دیگران چقدر است؟ به چه فکر میکنیم؟ اطلاعات ما چیست؟ (یعنی داشتن اطلاعات در مورد میزان و نوع اطلاعات ما). استخراج و تحلیل این اطلاعات در مورد میلیونها ایرانی میتواند فاجعهبار باشد. در دنیای فعلی، دولتی که سلاحهای جنگی بیشتری داشتهباشد لزوما قدرتمندتر نیست بلکه دولتی قویتر است که اطلاعات بیشتری در اختیار داشته باشد. اطلاعات موجب تسلط بر مردم و تاثیر در سرنوشت آنها میشود. حتی بر حاکمیت کشورها و مدیریتها تاثیر میگذارد. بنابراین در سطح ملی باید برای این وضعیت نابهسامان امنیتی فکری کرد. راهکار اتحادیه اروپا برای دفاع از حریم خصوصی شهروندان تدوین قانون GDPR در سال ۲۰۱۶ و اجرایی کردن آن از سال ۲۰۱۸ بودهاست.
طبق قانون GDPR اگر یک شرکت در حراست از حریم خصوصی شهروندان سهلانگاری کرده و امنیت شهروندان را به خطر بیندازد باید ۴ درصد از سود سالیانه خود و یا ۲۰ میلیون یورو (هرکدام که بیشتر باشد) را به عنوان جریمه پرداخت کند. این جریمه آنقدر سنگین و بازدارنده است که کسبوکارهای استارتاپی را وادار میکند که حفاظت از اطلاعات شهروندان را واقعا جدی بگیرند. زیرا میدانند سهلانگاری در این حوزه به معنای نابودی آنهاست. اما در ایران نه تنها ما چنین قانونی نداریم بلکه سازمان فناوری اطلاعات هم نگاه سختگیرانهای به این موضوع ندارد و استدلال میکند که نباید برای استارتاپها خیلی مانع بتراشیم و اجازه بدهیم که رشد کنند. شاید این استدلال تا حدی قابل درک باشد اما نتیجه آن میشود انبوه نفوذها و نشتهایی که خبرهای آن یکی در میان رسانهای میشود و کاری هم از دست هیچکس ساخته نیست.
آیا صرفا تدوین قانونی مثل GDPR میتواند جلوی چنین نشتهایی را بگیرد؟
قانون GDPR فقط شامل جرائم نیست. این قانون ۱۱ فصل است که بخش اصلی آن تعریف چارچوبهایی برای نگهداری اطلاعات و نحوه دسترسی به آنهاست. این چارچوب بهگونهای تدوین شدهاست که اجرا شدن آن سطح امنیت اطلاعات را افزایش میدهد و نفوذ به یک سیستم منجر به نشت اطلاعات شهروندان نمیشود. به عنوان مثال در قانون GDPR تاکید شده اطلاعات هنگام ذخیرهسازی در دیتابیس باید Pseudonymized شوند. به عبارت بهتر، اطلاعات فیلدهای حساس بهگونه ای در دیتابیس رمزنگاری میشوند. این کمک میکند که لو رفتن دیتابیس خطر زیادی را ایجاد نکند. بحث در مورد قانون GDPR بسیار گسترده است. در صورت لزوم میتوانیم در موقعیت دیگری بیشتر در مورد آن گفتوگو کنیم.
اگر این گفتوگو را جمعبندی کنیم باید بگوییم که در سطح قانون و سازوکار اجرایی و نظارت بر استارتاپها مشکلات و نقایصی داریم؟
بله. شورای عالی فضای مجازی به عنوان بالاترین نهاد سیاستگذار باید نقش پررنگتری در تصویب قانون صیانت از حقوق شهروندان داشتهباشد. قانون GDPR محصول هزاران ساعت کار کارشناسی دقیق حقوقی است که اکنون مستند آن در اختیار ماست. میتوانیم از این سند استفاده کرده و آن را بومیسازی کنیم. بومیسازی فقط در محصولات نیست. میتوانیم قوانین فضای مجازی را هم بومیسازی کنیم. ریلهای قانونی و ضوابط اجرایی آن که شفاف شود استارتاپ و شرکتها ها هم حساب کار دستشان میآید و دغدغههای امنیتی را جدیتر میگیرند.
مدیریت شرکتها و سازمانها هم اگر ببینند نشت اطلاعات میتواند جرائم سنگین برای آنها به همراه داشتهباشد قطعا برای امنیت هزینه خواهندکرد و بیتفاوت از کنار آن نخواهندگذشت و درنهایت شاهد نشتهای کمتری خواهیمبود.
کد مطلب : 16563
https://aftana.ir/vdcaemn6.49nii15kk4.htmlaftana.ir/vdcaemn6.49nii15kk4.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵