سهل انگاری کوچک عامل افشای اطلاعات سازمان دولتی
وقوع رخدادهای متعدد نشت اطلاعات از پایگاههای دادهی شرکتها و سازمانهای دولتی و خصوصی، عمدتا ناشی از خطاها و ضعفهای امنیتی در پیادهسازی و تنظیمات است که باعث میشود گاهی حتی بدون نیاز به دانش عمیق هک و نفوذ و با یکسری بررسیها و جستوجوهای ساده، دادهها افشا شوند.
اعتماد مهمترین حلقه زنجیره خدمات در هر سرویس است، سرویسهای مجازی هر روز در حال رشدند، بنابراین کسانی که اطلاعات شهروندان را نگه میدارند، باید از قبل فرآیند شفافسازی را انجام دهند تا دسترسی به اطلاعات مردم کار مشکلی باشد. به همین دلیل لازم است ضریب حریم خصوصی را به نحو قابل بهبودی افزایش داد. این در حالی است که اخیرا زیرساختهای کشور هم تحت حملات سایبری قرار میگیرد و به دنبال آن برخی از کسبوکارها نیز تحت تاثیر این حملات هستند که در برخی موارد منجر به هک شدن برخی سرورها نیز شده است.
به عبارتی، در زمینه فناوری اطلاعات و ارتباطات در کشور نیازمند قوانین جدی و بهروز هستیم و این خلأ قانونی در حوزه امنیت سایبری نیز به مراتب پررنگتر است. هماکنون نشتهای اطلاعاتی که در کشور رخ میدهد بیشتر مربوط به آسیبپذیری از سهلانگاریهای کوچکی است که با آموزش قابل پیشگیری خواهد بود. در حال حاضر قوانین کیفری و جرمانگاری ویژه برای نشت اطلاعات در قوانین موجود کشور وجود ندارد و به همین دلیل است که سهلانگاریها گاهی بیشتر میشود. این در حالی است که در اغلب کشورهای دنیا نقض حریم خصوصی مشمول جریمه پنج درصدی از درآمد شرکتها میشود.
هرچند قانون حفاظت از دادههای عمومی یا همان GDPR در هزارتوی نظام بروکراسی محبوس مانده است، اما این به آن معنا نیست که قانونی برای اجبار سازمانها و دستگاهها به حفاظت از دادههای شخصی وجود ندارد، بلکه به معنای آن است که همه نیازها را پاسخ نمیدهد. تکتک این مواد قانونی میتواند منجر به محکومیت هر فرد حقیقی و حقوقی شود که در محافظت از دادهها سهلانگاری کرده است. با وجود این، شواهد نشان میدهد اگر پایگاه اطلاعات کسبوکاری فاش شود، معمولا کارش به دادگاه نمیرسد، این شرکتها هم ترجیح میدهند اتفاقات مشمول گذر زمان شود، درحالی که بحث حریم شخصی با دلجویی هم حل نمیشود، بلکه نیازمند قانون است و نشت اطلاعات باید تبعاتی داشته باشد.
دستورالعمل اقدامات پایه جهت پیشگیری از نشت اطلاعات سازمانها و کسبوکارها
وقوع رخدادهای متعدد نشت اطلاعات از پایگاههای دادهی شرکتها و سازمانهای دولتی و خصوصی در فضای مجازی عمدتا متاثر از فهرست مشترکی از خطاها و ضعفهای امنیتی در پیادهسازی و تنظیمات است. این ضعفها باعث میشوند در برخی موارد دسترسی به دادههای سازمانها و کسبوکارها حتی نیاز به دانش عمیق هک و نفوذ نداشته باشد و با یکسری بررسیها و جستوجوهای ساده، دادهها افشا میشوند. به همین منظور مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای) بهمنظور پیشگیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانهها، توصیههایی کرده است.
لازم است در راهاندازی پایگاههای داده به ویژه انواع پایگاههای دادهی NoSQL و اطمینان از عدم وجود دسترسی حفاظتنشده دقت شود. بسیاری از موارد نشت اطلاعات مربوط به پایگاههای دادهای است که به طور موقت و جهت انجام فعالیتهای موردی و کوتاهمدت راهاندازی شده است. لازم است اهمیت و حساسیت این نوع پایگاههای داده همتراز پایگاههای اصلی درنظر گرفته شود.
بررسی و غیرفعالسازی قابلیت Directory Listing غیرضروری در سرویسدهندههای وب جهت جلوگیری از دسترسی به فایلها از دیگر راههای پیشگیری است. همچنین در وضعیت دسترسی به دایرکتوریهای محل بارگزاری دادهها و اسناد توسط کاربران وبسایت نظیر دایرکتوریهای uploads و temp هم باید دقت شود و علاوه بر لزوم کنترل دسترسیها و غیرفعالسازی قابلیت Directory listing، لازم است تا حد امکان این اسناد به محل دیگری منتقل شده و از دسترس خارج شوند.
عدم اتصال مستقیم پایگاههای داده بهصورت مستقیم به شبکه اینترنت
تا حد امکان لازم است دسترسی مستقیم به پایگاههای داده از طریق اینترنت برقرار نشود. یکی از مواردی که باعث این اشتباه بزرگ میشود، روال پشتیبانی شرکتهای ارائهدهنده راهکارهای نرمافزاری کاربردی است که برای انجام پشتیبانی 24*7، مشتریان خود را الزام به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانکهای اطلاعاتی میکنند. در صورت اجبار شرکتها و سازمانها به این مساله، این دسترسی حتما باید روی یک بستر امن و با استفاده از ویپیان ایجاد شود.
سرویسدهندههای رایج و پرکاربردی مانند مایکروسافت اکسچنج، مایکروسافت شیرپوینت و زیمبرا، با توجه به انتشار عمومی آسیبپذیریهای حیاتی و اکسپلویتهای مربوطه طی سالهای اخیر مورد سوءاستفاده جدی قرار گرفتهاند. به همین دلیل در صورت استفاده از این سرویسدهندهها لازم است نسبت به بروز بودن آنها و نصب تمام وصلههای امنیتی منتشرشده اطمینان حاصل شود. همچنین لازم است از عدم دسترسی مستقیم از طریق اینترنت به هرگونه سرویس مدیریتی نظیر RDP، iLo، کنسول مدیریت vCenter و ESX، کنسول مدیریت فایروال اطمینان حاصل کنید. این دسترسیها لازم است از طریق سرویس ویپیان اختصاصی و یا بر اساس آدرس آیپی مبدا مجاز محدود شوند.
لازم است از نگهداری هرگونه نسخه پشتیبان از سیستمها روی سرور وب خودداری کنید و همچنین جهت اطمینان از عدم وجود دسترسی به سرویسها و سامانهها به صورت ناخواسته، نسبت به اسکن سادهی سرویسهای فعال روی بلوکهای IP سازمان خود بهصورت مداوم اقدام کرده و سرویسهای مشاهدهشدهی غیرضروری را از دسترسی خارج کنید. البته تمامی این موارد به هیچ عنوان جایگزین فرایندهای کامل امنسازی و ارزیابی امنیتی نبوده و صرفا برطرفکننده شماری از ضعفهای جدی مشاهدهشده هستند.