سازمانها باید نسبت به افشا اطلاعات کاربران مسوولیتپذیر باشند
مرکز ماهر در بیانیهای اعلام کرد: بر اساس نظام ملی مقابله با حوادث فضای مجازی کشور، مسوولیت پیشگیری و مقابله با حوادث فضای مجازی هر دستگاه، بر عهده بالاترین مقام آن دستگاه خواهد بود.
مرکز مدیریت امداد و هماهنگی عملیات رخدادها رایانهای (ماهر) در دومین بیانیه خود طی یک ماه اخیر نسبت به روند افشاء دادههای سازمانها و کسبوکارها در فضای مجازی واکنش نشان داده است. این مرکز در این بیانیه تاکید کرده با توجه به مطالبهگیری شهروندان از این مرکز به دلیل افشأء اطلاعات، براساس نظام ملی مقابله با حوادث فضای مجازی کشور «مسوولیت پیشگیری و مقابله با حوادث فضای مجازی هر دستگاه، بر عهده بالاترین مقام آن دستگاه خواهد بود.»
در این بیانیه ماهر از سازمانها و دستگاههایی که به هر دلیلی اطلاعات کاربرانشان افشاء شده خواسته است تا نسبت به این اتفاق مسئولیتپذیر و پاسخگو باشند. به نظر میرسد اشاره ماهر در این زمینه به افشاء اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام باشد که از طریق سامانهای به نام شکار که متعلق به یک دستگاه امنیتی است رخ داد.
این مرکز در بیانیه جدید خود یادآور شده که بر اساس چارچوبهای قانونی و ماموریتهای محوله گزارش خود را در خصوص حوادث، صرفا برای مقامات مسوول ارسال میکند؛ هر چند پس از اتمام بحران این مرکز این حق را برای خود قائل است تا به تدوین گزارشهایی عمومی (با حفظ امنیت و حریم خصوصی دادهها) اقدام کند؛ تا به عنوان وظیفه ذاتی هر جزء از سیستم، با ارائه بازخوردهای مناسب گامی جهت ارتقاء و بهبود نظام حکمرانی داده بردارد.
در ادامه این بیانیه مرکز ماهر گفته است که به این اصل اعتقاد دارد که مقابله با آن دسته از حوادث فضای مجازی کشور که منجر به افشاء دادههای شهروندان میشود، باید به صورت متمرکز و کاملا تخصصی، صرفا به یک مرکز مستقل دولتی واگذار شود تا امکان بررسی مستقل، بدون جانبداری، همراه با واکنش سریع و همچنین ایجاد زمینه مناسب برای اطلاعرسانی بموقع و باکیفیت همراه با انباشت دانش امنیت داده برای حفظ منافع ملی فراهم آید.
مرکز ماهر یادآور شده که بر اساس وظایف ذاتی و قانونی خود موارد متعددی از این دست را همواره کشف و یا از افراد دلسوزی که به صورت مسوولانه و صادقانه اطلاعرسانی میکنند دریافت میکند. در این زمینه مرکز ماهر توضیح داده است: «تمام این موارد پس از بررسیهای فنی جهت راستیآزمایی و استخراج شواهد و راهکار مقابله بر اساس چارچوبهای قانونی به صورت محرمانه به صاحبان سرویسها و دادهها اطلاعرسانی میشود و تلاش دارد تا در صورت نیاز برای مقابله با آن اقدام عملیاتی مناسب انجام دهد.» در این بیانیه ماهر از تمام متخصصان و کارشناسان امنیت سایبری خواسته است که در صورت مشاهده هرگونه افشاء غیرمجاز یا آسیبپذیری در سامانههای بومی آن را از طریق کانالهای ارتباطی مرکز ماهر اطلاعرسانی کنند. به باور مسئولان این مرکز اعلام عمومی یک داده افشا شده یا یک آسیبپذیری امنیتی از طریق رسانه و شبکههای اجتماعی بدون اطلاع قبلی به خود قربانی یا به نهادهای مسوول مانند مرکز ماهر یا مرکز افتا ریاست جمهوری، حرکت سازنده و همراه با مسوولیت اجتماعی محسوب نمیشود.
در پایان نیز مرکز ماهر از سازمانها و دستگاههای مختلفی که اطلاعات کاربرانشان افشاء شده خواسته تا نسبت به این اتفاق مسئولیتپذیر باشند. در این زمینه در بیانیه مرکز ماهر آمده است: «به سازمانها و دستگاههای مختلف یادآور میشود که «سکوت، پاسخگویی مناسب نیست؛ بلکه تنها سرمایه اجتماعی را کاهش میدهد»؛ هرچند شهروندان و مطالبهگران از مرجع پاسخگویی آگاهی نداشته باشند. امید میرود صاحبان بانکهای اطلاعاتی که دادهها و اطلاعات شخصی مردم به صورت امانت در اختیار آنها است، نه تنها نسبت به حفظ این امانت و حریم خصوصی شهروندان، هم بر اساس قانون و هم بر اساس مسوولیت اجتماعی، حساسیت لازم را داشته باشند؛ بلکه با پاسخگویی مناسب بتوانند امنیت روانی عمومی را نیز فراهم آورند.
دستورالعمل اقدامات پایهای جهت پیشگیری از نشت اطلاعات سازمانها و کسب و کارها
«ماهر» برای پیشگیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانهها توصیههایی دارد که یکی از آنها عدم اتصال مستقیم پایگاههای داده به صورت مستقیم به شبکه اینترنت است. ماهر تاکید کرده تا حد امکان لازم است دسترسی مستقیم به پایگاههای داده از طریق اینترنت برقرار نشود.
یکی از مواردی که باعث این اشتباه بزرگ میشود روال پشتیبانی شرکتهای ارائه دهنده راهکارهای نرمافزاری کاربردی است که برای انجام پشتیبانی ۲۴*۷، مشتریان خود را الزام به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانکهای اطلاعاتی میکنند. در صورت اجبار شرکتها و سازمانها به این مساله، این دسترسی حتما باید روی یک بستر امن و با استفاده از VPN ایجاد شود.
همچنین در راهاندازی پایگاههای داده به ویژه انواع پایگاههای داده NoSQL و اطمینان از عدم وجود دسترسی حفاظت نشده، دقت شود. بسیاری از موارد نشت اطلاعات مربوط به پایگاههای دادهای است که به طور موقت و جهت انجام فعالیتهای موردی و کوتاه مدت راهاندازی شده است. لازم است اهمیت و حساسیت این نوع پایگاههای داده همتراز پایگاههای اصلی در نظر گرفته شود.
در این بیانیه همچنین آمده است: بررسی و غیرفعالسازی قابلیت Directory Listing غیر ضروری در سرویس دهندههای وب جهت جلوگیری از دسترسی به فایلها، دقت در وضعیت دسترسی به دایرکتوریهای محل بارگزاری دادهها و اسناد توسط کاربران وبسایت نظیر دایرکتوریهای uploads و temp و ...علاوه بر لزوم کنترل دسترسیها و غیرفعالسازی قابلیت directory listing، لازم است تا حد امکان این اسناد به محل دیگری منتقل شده و از دسترس خارج شوند.
سرویس دهندهی رایج و پرکاربرد Microsoft Exchange و Microsoft Sharepoint و Zimbra طی یک سال گذشته آسیبپذیریهای جدی داشتند، در صورت استفاده از این سرویسدهندهها لازم است نسبت به بروز بودن آنها و نصب تمام وصلههای امنیتی منتشر شده اطمینان حاصل شود.