میرنیوز
به گزارش ایسنا، اعتماد مهمترین حلقه زنجیره خدمات در هر سرویس است، سرویسهای مجازی هر روز در حال رشدند، بنابراین کسانی که اطلاعات شهروندان را نگه میدارند، باید از قبل فرآیند شفافسازی را انجام دهند تا دسترسی به اطلاعات مردم کار مشکلی باشد. به همین دلیل لازم است ضریب حریم خصوصی را به نحو قابل بهبودی افزایش داد. این در حالی است که اخیرا زیرساختهای کشور هم تحت حملات سایبری قرار میگیرد و به دنبال آن برخی از کسبوکارها نیز تحت تاثیر این حملات هستند که در برخی موارد منجر به هک شدن برخی سرورها نیز شده است.
به عبارتی، در زمینه فناوری اطلاعات و ارتباطات در کشور نیازمند قوانین جدی و بهروز هستیم و این خلأ قانونی در حوزه امنیت سایبری نیز به مراتب پررنگتر است. هماکنون نشتهای اطلاعاتی که در کشور رخ میدهد بیشتر مربوط به آسیبپذیری از سهلانگاریهای کوچکی است که با آموزش قابل پیشگیری خواهد بود. در حال حاضر قوانین کیفری و جرمانگاری ویژه برای نشت اطلاعات در قوانین موجود کشور وجود ندارد و به همین دلیل است که سهلانگاریها گاهی بیشتر میشود. این در حالی است که در اغلب کشورهای دنیا نقض حریم خصوصی مشمول جریمه پنج درصدی از درآمد شرکتها میشود.
هرچند قانون حفاظت از دادههای عمومی یا همان GDPR در هزارتوی نظام بروکراسی محبوس مانده است، اما این به آن معنا نیست که قانونی برای اجبار سازمانها و دستگاهها به حفاظت از دادههای شخصی وجود ندارد، بلکه به معنای آن است که همه نیازها را پاسخ نمیدهد. تکتک این مواد قانونی میتواند منجر به محکومیت هر فرد حقیقی و حقوقی شود که در محافظت از دادهها سهلانگاری کرده است. با وجود این، شواهد نشان میدهد اگر پایگاه اطلاعات کسبوکاری فاش شود، معمولا کارش به دادگاه نمیرسد، این شرکتها هم ترجیح میدهند اتفاقات مشمول گذر زمان شود، درحالی که بحث حریم شخصی با دلجویی هم حل نمیشود، بلکه نیازمند قانون است و نشت اطلاعات باید تبعاتی داشته باشد.
دستورالعمل اقدامات پایه جهت پیشگیری از نشت اطلاعات سازمانها و کسبوکارها
وقوع رخدادهای متعدد نشت اطلاعات از پایگاههای دادهی شرکتها و سازمانهای دولتی و خصوصی در فضای مجازی عمدتا متاثر از فهرست مشترکی از خطاها و ضعفهای امنیتی در پیادهسازی و تنظیمات است. این ضعفها باعث میشوند در برخی موارد دسترسی به دادههای سازمانها و کسبوکارها حتی نیاز به دانش عمیق هک و نفوذ نداشته باشد و با یکسری بررسیها و جستوجوهای ساده، دادهها افشا میشوند. به همین منظور مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای) بهمنظور پیشگیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانهها، توصیههایی کرده است.
لازم است در راهاندازی پایگاههای داده به ویژه انواع پایگاههای دادهی NoSQL و اطمینان از عدم وجود دسترسی حفاظتنشده دقت شود. بسیاری از موارد نشت اطلاعات مربوط به پایگاههای دادهای است که به طور موقت و جهت انجام فعالیتهای موردی و کوتاهمدت راهاندازی شده است. لازم است اهمیت و حساسیت این نوع پایگاههای داده همتراز پایگاههای اصلی درنظر گرفته شود.
بررسی و غیرفعالسازی قابلیت Directory Listing غیرضروری در سرویسدهندههای وب جهت جلوگیری از دسترسی به فایلها از دیگر راههای پیشگیری است. همچنین در وضعیت دسترسی به دایرکتوریهای محل بارگزاری دادهها و اسناد توسط کاربران وبسایت نظیر دایرکتوریهای uploads و temp هم باید دقت شود و علاوه بر لزوم کنترل دسترسیها و غیرفعالسازی قابلیت Directory listing، لازم است تا حد امکان این اسناد به محل دیگری منتقل شده و از دسترس خارج شوند.
عدم اتصال مستقیم پایگاههای داده بهصورت مستقیم به شبکه اینترنت
تا حد امکان لازم است دسترسی مستقیم به پایگاههای داده از طریق اینترنت برقرار نشود. یکی از مواردی که باعث این اشتباه بزرگ میشود، روال پشتیبانی شرکتهای ارائهدهنده راهکارهای نرمافزاری کاربردی است که برای انجام پشتیبانی 24*7، مشتریان خود را الزام به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانکهای اطلاعاتی میکنند. در صورت اجبار شرکتها و سازمانها به این مساله، این دسترسی حتما باید روی یک بستر امن و با استفاده از ویپیان ایجاد شود.
سرویسدهندههای رایج و پرکاربردی مانند مایکروسافت اکسچنج، مایکروسافت شیرپوینت و زیمبرا، با توجه به انتشار عمومی آسیبپذیریهای حیاتی و اکسپلویتهای مربوطه طی سالهای اخیر مورد سوءاستفاده جدی قرار گرفتهاند. به همین دلیل در صورت استفاده از این سرویسدهندهها لازم است نسبت به بروز بودن آنها و نصب تمام وصلههای امنیتی منتشرشده اطمینان حاصل شود. همچنین لازم است از عدم دسترسی مستقیم از طریق اینترنت به هرگونه سرویس مدیریتی نظیر RDP، iLo، کنسول مدیریت vCenter و ESX، کنسول مدیریت فایروال اطمینان حاصل کنید. این دسترسیها لازم است از طریق سرویس ویپیان اختصاصی و یا بر اساس آدرس آیپی مبدا مجاز محدود شوند.
لازم است از نگهداری هرگونه نسخه پشتیبان از سیستمها روی سرور وب خودداری کنید و همچنین جهت اطمینان از عدم وجود دسترسی به سرویسها و سامانهها به صورت ناخواسته، نسبت به اسکن سادهی سرویسهای فعال روی بلوکهای IP سازمان خود بهصورت مداوم اقدام کرده و سرویسهای مشاهدهشدهی غیرضروری را از دسترسی خارج کنید. البته تمامی این موارد به هیچ عنوان جایگزین فرایندهای کامل امنسازی و ارزیابی امنیتی نبوده و صرفا برطرفکننده شماری از ضعفهای جدی مشاهدهشده هستند.
انتهای پیام
منبع : خبرگزاری ایسنا
هفدهمین حراج شمش طلا درحال برگزاری است
قیمت طلا، قیمت دلار، قیمت سکه و قیمت ارز ۱۴۰۳/۰۱/۲۶
آغاز حراج گسترده سکه از فردا در مرکز مبادله+شرایط
ایران پاسخ درخوری به رژیم کودککش صهیونیستی داد
ریزش قیمتها دربازار طلا و سکه/ حباب سکه کم شد
صادرات محصولات کشاورزی و پتروشیمی به روسیه افزایش یافت
مسافران برای بازگشت وجه بلیت به دفاتر هما مراجعه کنند
هشدار قرمز بارشهای سیلآسا در ۵ استان
شرایط عادی در پمپبنزینها/ تکذیب بزرگنمایی رسانههای معاند
گزارش تسنیم از بازار ارز/ دلار ۶۴هزارتومانی هم خریدار ندارد
افت ۱۱ هزار واحدی شاخص بورس در معاملات یکشنبه
۸۵ درصد سهام سرخابیها برای واگذاری، دوباره آگهی شد
ابطال پروازها تا ۶ صبح فردا ۲۷ فروردین تمدید شد
گزارش تسنیم از بازار ارز/دلار ۶۴ هزار تومانی هم خریدار ندارد
چرا قیمت طلا در بازار جهانی رو به افزایش است؟
جزئیات خرید توافقی گندم اعلام شد
کاهش فرونشست زمین در برخی مناطق کشور
پرشدگی سدها به ۶۰درصد رسید
اثر موقت درگیری نظامی و بازگشت آرامش در بازارهای سهام
چطور رشد اقتصادی را سر سفره بیاوریم؟
جزئیات منابع و مصارف هدفمندسازی/ ۳۱۵ همت سهم یارانه نقدی شد
حذف تخفیف در بازار لوازم خانگی/ عرضه و تقاضا کم شد
سامانه فروش نهضت ملی مسکن راهاندازی میشود
بودجه ۳۰۰ همت کسری دارد/ واردات ۲ میلیارد دلار بنزین در۱۴۰۲
اختصاصی| جزئیات جداول بخش دوم بودجه ۱۴۰۳ منتشر شد
تعطیلی «جهش تولید» در وزارت صمت؟
یارانه ۴۰۰هزار تومانی سه دهک اول واریز شد
شرایط واریز وجه دنا پلاس ۶ سرعته اعلام شد
دامنه گواهی سکه و شمش طلا ۱ درصد شد
مردم نگران تامین بنزین نباشند