سازمان‌ها باید نسبت به افشا اطلاعات کاربران مسئولیت‌پذیر باشند

مرکز ماهر در بیانیه‌ای اعلام کرد: بر اساس نظام ملی مقابله با حوادث فضای مجازی کشور، مسئولیت پیشگیری و مقابله با حوادث فضای مجازی هر دستگاه، بر عهده بالاترین مقام آن دستگاه خواهد بود.

به گزارش خبرگزاری شبستان، مرکز مدیریت امداد و هماهنگی عملیات رخدادها رایانه‌ای (ماهر) در دومین بیانیه خود طی یک ماه اخیر نسبت به روند افشاء داده‌های سازمان‌ها و کسب‌وکارها در فضای مجازی واکنش نشان داده است.

بیشتر بخوانید: اخباری که در وبسایت منتشر نمی‌شوند!

این مرکز در این بیانیه تاکید کرده با توجه به مطالبه‌گیری شهروندان از این مرکز به دلیل افشأء اطلاعات، براساس نظام ملی مقابله با حوادث فضای مجازی کشور «مسوولیت پیشگیری و مقابله با حوادث فضای مجازی هر دستگاه، بر عهده بالاترین مقام آن دستگاه خواهد بود.»

 در این بیانیه ماهر از سازمان‌ها و دستگاه‌هایی که به هر دلیلی اطلاعات کاربرانشان افشاء شده خواسته است تا نسبت به این اتفاق مسئولیت‌پذیر و پاسخگو باشند. به نظر می‌رسد اشاره ماهر در این زمینه به افشاء اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام باشد که از طریق سامانه‌ای به نام شکار که متعلق به یک دستگاه امنیتی است رخ داد.

این مرکز در بیانیه جدید خود یادآور شده که بر اساس چارچوب‌های قانونی و ماموریت‌های محوله گزارش خود را در خصوص حوادث، صرفا برای مقامات مسوول ارسال می‌کند؛ هر چند پس از اتمام بحران این مرکز این حق را برای خود قائل است تا به تدوین گزارش‌هایی عمومی (با حفظ امنیت و حریم خصوصی داده‌ها) اقدام کند؛ تا به عنوان وظیفه ذاتی هر جزء از سیستم، با ارائه بازخوردهای مناسب گامی جهت ارتقاء و بهبود نظام حکمرانی داده بردارد.
در ادامه این بیانیه مرکز ماهر گفته است که به این اصل اعتقاد دارد که مقابله با آن دسته از حوادث فضای مجازی کشور که منجر به افشاء داده‌های شهروندان می‌شود، باید به صورت متمرکز و کاملا تخصصی، صرفا به یک مرکز مستقل دولتی واگذار شود تا امکان بررسی مستقل، بدون جانبداری، همراه با واکنش سریع و همچنین ایجاد زمینه مناسب برای اطلاع‌رسانی بموقع و باکیفیت همراه با انباشت دانش امنیت داده برای حفظ منافع ملی فراهم آید.
مرکز ماهر یادآور شده که  بر اساس وظایف ذاتی و قانونی خود موارد متعددی از این دست را همواره کشف و یا از افراد دلسوزی که به صورت مسوولانه و صادقانه اطلاع‌رسانی می‌کنند دریافت می‌کند. در این زمینه مرکز ماهر توضیح داده است:‌ «تمام این موارد پس از بررسی‌های فنی جهت راستی‌آزمایی و استخراج شواهد و راهکار مقابله بر اساس چارچوب‌های قانونی به صورت محرمانه به صاحبان سرویس‌ها و داده‌ها اطلاع‌رسانی می‌شود و تلاش دارد تا در صورت نیاز برای مقابله با آن اقدام عملیاتی مناسب انجام دهد.» در این بیانیه ماهر از  تمام متخصصان و کارشناسان امنیت سایبری خواسته است  که در صورت مشاهده هرگونه افشاء غیرمجاز یا آسیب‌پذیری در سامانه‌های بومی آن را از طریق کانال‌های ارتباطی مرکز ماهر اطلاع‌رسانی کنند. به باور مسئولان این مرکز اعلام عمومی یک داده افشا شده یا یک آسیب‌پذیری امنیتی از طریق رسانه و شبکه‌های اجتماعی بدون اطلاع قبلی به خود قربانی یا به نهادهای مسوول مانند مرکز ماهر یا مرکز افتا ریاست جمهوری، حرکت سازنده و همراه با مسوولیت اجتماعی محسوب نمی‌شود.
در پایان نیز مرکز ماهر از سازمان‌ها و دستگاه‌های مختلفی که اطلاعات کاربرانشان افشاء شده خواسته تا نسبت به این اتفاق مسئولیت‌پذیر باشند. در این زمینه در بیانیه مرکز ماهر آمده است: «به سازمان‌ها و دستگاه‌های مختلف یادآور می‌شود که «سکوت، پاسخ‌گویی مناسب نیست؛ بلکه تنها سرمایه اجتماعی را کاهش می‌دهد»؛ هرچند شهروندان و مطالبه‌گران از مرجع پاسخ‌گویی آگاهی نداشته باشند. امید می‌رود صاحبان بانک‌های اطلاعاتی که داده‌ها و اطلاعات شخصی مردم به صورت امانت در اختیار آنها است، نه تنها نسبت به حفظ این امانت و حریم خصوصی شهروندان، هم بر اساس قانون و هم بر اساس مسوولیت اجتماعی، حساسیت لازم را داشته باشند؛ بلکه با پاسخ‌گویی مناسب بتوانند امنیت روانی عمومی را نیز فراهم آورند.

دستورالعمل اقدامات پایه‌ای جهت پیش‌گیری از نشت اطلاعات سازمان‌ها و کسب و کارها

«ماهر»  برای پیشگیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانه‌ها توصیه‌هایی دارد که یکی از آن‌ها عدم اتصال مستقیم پایگاه‌های داده به صورت مستقیم به شبکه اینترنت است. ماهر تاکید کرده تا حد امکان لازم است دسترسی مستقیم به پایگاه‌های داده از طریق اینترنت برقرار نشود.

یکی از مواردی که باعث این اشتباه بزرگ می‌شود روال پشتیبانی شرکت‌های ارائه دهنده راهکارهای نرم‌افزاری کاربردی است که برای انجام پشتیبانی ۲۴*۷، مشتریان خود را الزام به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانک‌های اطلاعاتی می‌کنند. در صورت اجبار شرکت‌ها و سازمان‌ها به این مساله، این دسترسی حتما باید روی یک بستر امن و با استفاده از VPN ایجاد شود.

همچنین در راه‌اندازی پایگاه‌های داده‌ به ویژه انواع پایگاه‌های داده‌ NoSQL و اطمینان از عدم وجود دسترسی حفاظت نشده، دقت شود. بسیاری از موارد نشت اطلاعات مربوط به پایگاه‌های داده‌ای است که به طور موقت و جهت انجام فعالیت‌های موردی و کوتاه مدت راه‌اندازی شده است. لازم است اهمیت و حساسیت این نوع پایگاه‌های داده هم‌تراز پایگاه‌های اصلی در نظر گرفته شود.

در این بیانیه همچنین آمده است: بررسی و غیرفعال‌سازی قابلیت Directory Listing غیر ضروری در سرویس‌ دهنده‌های وب جهت جلوگیری از دسترسی به فایل‌ها،  دقت در وضعیت دسترسی به دایرکتوری‌های محل بارگزاری داده‌ها و اسناد توسط کاربران وبسایت نظیر دایرکتوری‌های uploads و temp و ...علاوه بر لزوم کنترل دسترسی‌ها و غیرفعالسازی قابلیت directory listing، لازم است تا حد امکان این اسناد به محل دیگری منتقل شده و از دسترس خارج شوند.

سرویس دهنده‌ی رایج و پرکاربرد Microsoft Exchange و Microsoft Sharepoint و Zimbra طی یک سال گذشته آسیب‌پذیری‌های جدی داشتند، در صورت استفاده از این سرویس‌دهنده‌ها لازم است نسبت به بروز بودن آن‌ها و نصب تمام وصله‌های امنیتی منتشر شده اطمینان حاصل شود.  /

پایان پیام/50

منبع: شبستان

کلیدواژه: مرکز ماهر هک هکر مقابله با حوادث فضای مجازی پایگاه های داده اطلاع رسانی سازمان ها مرکز ماهر داده ها بر اساس

درخواست حذف خبر:

«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را به‌طور اتوماتیک از وبسایت shabestan.ir دریافت کرده‌است، لذا منبع این خبر، وبسایت «شبستان» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۲۷۷۳۴۱۷۲ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتی‌که در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.

با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.

خبر بعدی:

خروج واحد تولیدی مکمل غذایی دام و طیور بعد از ۶ سال از ورشکستگی با حمایت دستگاه قضا

علی القاصی، رئیس کل دادگستری استان تهران از خروج از ورشکستگی یک واحد تولیدی مکمل غذایی دام و طیور با حمایت‌ها و پیگیری‌های قضایی پس از شش سال خبر داد و گفت: این واحد تولیدی با موضوع فعالیت تولید کربنات کلسیم از سنگ‌های آهکی برای مصرف دام و طیور به‌عنوان مکمل غذایی در شهرستان ساوه از سال ۱۳۹۶ به‌طور کامل تعطیل و در معرض فروپاشی و ورشکستگی قرار گرفت.

رئیس کل دادگستری استان تهران خاطرنشان کرد: این شرکت بر اساس نوسانات نرخ ارز، عدم رقابت با تولیدکنندگان بزرگ، دریافت تسهیلات بانکی و معوق شدن اقساط بانکی و عدم پرداخت به موقع مطالبات سازمان امور مالیاتی و سازمان تامین اجتماعی ورشکسته شناخته شد که با ورود اداره تصفیه امور ورشکستگی دادگستری کل استان تهران همزمان با پیشبرد امر تصفیه، جلسات متعددی با بستانکاران عمده اعم از بانک، سازمان امور مالیاتی و سازمان تامین اجتماعی تشکیل گردید و رفع موانع موجود در مسیر فعالیت این واحد تولیدی در دستور کار قرار گرفت.

وی با بیان اینکه خوشبختانه با پیگیری‌های صورت‌گرفته در نهایت صد در صد مطالبات بستانکاران به صورت نقدی پرداخت و این شرکت از ورشکستگی خارج گردید، اذعان کرد: این واحد تولیدی در حال حاضر با اشتغال ۳۱ نفر نیروی کار به‌صورت مستقیم به چرخه تولید بازگشت و به طور کامل تحویل مالکین و سهامداران گردید.

القاصی در پایان با اشاره به ایجاد بستر جدید توسعه در واحد تولیدی مذکور و افزایش تولید تا هزار تن در روز خاطرنشان کرد: در حال حاضر تمامی مطالبات اعم از حقوق و مزایای کارگری، هزینه‌های جاری از جمله حق بیمه، مالیات، برق و گاز پرداخت شد و با خروج از ورشکستگی، این واحد تولیدی در روزجاری تحویل مالکین و سهامداران شد.

باشگاه خبرنگاران جوان اجتماعی حقوقی قضایی