همزیستی سامانه دولت الکترونیک با ضعف امنیتی
تاریخ انتشار: ۶ بهمن ۱۴۰۰ | کد خبر: ۳۴۲۳۶۱۰۷
چندی پیش لورفتن اطلاعات شخصی وزیر بهداشت درباره تزریق نوع واکسن در سامانه سلامت دولت الکترونیک خبرساز شد.
روزنامه ایران: چندی پیش لورفتن اطلاعات شخصی وزیر بهداشت درباره تزریق نوع واکسن در سامانه سلامت دولت الکترونیک خبرساز شد. بعد از آن اتفاق هم برخی از پزشکان از صدور نسخههایی از جانب آنها برای بیمارانی خبر دادند که از این موضوع بی خبر بودند.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
ضعف نظارت بر امنیت سامانهها
کاظم فلاحی کارشناس امنیت سایبری معتقد است سامانههای دولتی همه در بحث امنیتی دارای ضعفهای عمدهای هستند و اگر تست شوند براحتی میتوان ضعفهای زیادی را در آنها پیدا کرد و لو رفتن اطلاعات اخیر و نوشتن نسخ بدون اطلاع بیمار و حتی پزشکان و هک اطلاعات سامانه وزارت بهداشت در ابتدای شیوع بیماری کرونا نیز مؤید همین ضعف امنیتی است. فلاحی به «ایران» گفت: از آنجایی که سامانههای دولت الکترونیکی مانند وزارت بهداشت نیز حساس هستند و اطلاعات محرمانه 80 میلیون نفر نگهداری میشود، باید با تستهای دورهای، امنیت آن را افزایش دهند. وی افزود: متأسفانه بعد از راهاندازی هر سامانه دولتی و تست اولیه امنیتی بعد از آن دیگر هیچ تست امنیتی دورهای انجام نمیشود، این درحالی است که انجام تستهای دورهای جزو واجبات و ضروریات سامانههاست. وقتی در سامانه دولتی اطلاعاتی لو میرود و دسترسی به اطلاعات ممکن است کسانی که مسئول تست اولیه سامانهها هستند باید زیر سؤال بروند اما متأسفانه هیچ مسئولی زیر سؤال نمیرود این در حالی است که بحث لورفتن اطلاعات مردم در حوزه سلامت یا هر بخش دیگری به مطالبهگری در سطح بالا نیاز دارد، چرا که دادهها زیر سؤال رفته و این صرفاً مربوط به اطلاعات یک وزیر نمیشود. این کارشناس امنیت سایبری در ادامه گفت: تست نفوذی که در بانک مرکزی وجود دارد باید در سامانههای دولتی بخصوص دولت الکترونیکی نیز عملیاتی شود. بانک مرکزی هر سه ماه یکبار تستهای دورهای انجام داده و به مقامهای بالادستی گزارش میدهد و همین موضوع باعث شده کمترین مشکلات آسیبپذیری را در بانکها شاهد باشیم. فلاحی افزود: معمولاً باید نرمافزارها در آزمایشگاههای مراکز امنیتی تست شوند ولی تجربه شخصی نشان میدهد که گذراندن تستها در این آزمایشگاهها هم سفت و سخت نیست و حتی اگر نرم افزار دچار مشکل باشد، دورزدن و تأییدیه گرفتن با پرداخت هزینه بیشتر ممکن است. مهمتر اینکه برای دریافت مجوز تست، هیچ نظارتی هم صورت نمیگیرد که آیا بدرستی تستها طی شده و مجوز دریافت کرده اند؟ کارشناسی که کارمندی کار میکند و آنجا نشسته برایش مهم نیست که ممکن است اطلاعات و دادههای 80 میلیون نفر به فنا برود. وی انجام نظارت و تستهای دورهای را یکی از راهکارهای مهم برای مقابله با این دسته از مشکلات عنوان کرد و افزود: باید یک نهاد ناظر با قدرت اجرایی در این کار ورود کند. هم اکنون چندین نهاد موازی امنیتی در کشور وجود دارد که هیچکدام هم نمیدانند در حال انجام چه کاری هستند. به گفته این کارشناس امنیت سایبری، نهادها صرفاً به اعلام آسیبپذیریها بسنده کردهاند این درحالی است که یک کارشناس هم میداند آسیبپذیری وجود دارد در حقیقت مهم قدرت اجرایی و نظارت بر رفع آنها بعد از اعلام آسیبپذیریهاست. به عبارتی بعد از اعلام آسیبپذیری یا هر مشکل دیگری اگر نظارت صورت بگیرد و مشکل حل نشده باشد نه تنها باید در آنجا را تخته کنند بلکه باید مدیر مربوطه به همراه کارشناسان تست و... را پای میز محاکمه بکشانند، چرا که تا اینگونه عمل نشود این وضعیت لورفتن اطلاعات پابرجا خواهد بود. فلاحی در ادامه گفت: باید بحث امنیت و نظارت بر سامانههای دولت الکترونیکی جدی گرفته شود و آن را به کاردانش بسپارند، چرا که سوءاستفاده از اطلاعات مردم شوخی نیست و میتواند وقایع بسیار وحشتناک مانند کلاهبرداریهای عظیمی را رقم بزند.
نبود سیستم امنیت اطلاعات
علیرضا جباریان دیگر کارشناس امنیت سایبری نیز معتقد است در بخش هایی نظیر دولت الکترونیک و بخش مربوط به سلامت استانداردهای امنیتی تخصصی کسب و کار رعایت نشده است. جباریان به «ایران» گفت: استانداردهای تخصصی امنیتی در کسب و کار خاص باعث می شود تا نه تنها ریسک های موجود شناسایی شوند بلکه با ارائه راهکارهایی ریسکها را کاهش داده و به شدت تسهیل کند از این رو در بسیاری از کسب و کارهای موجود استفاده از استانداردهای عمومی نظیر استاندارد سیستم مدیریت امنیت اطلاعات (ISMS)تا حدودی پیاده سازی شده ولی باید در کنار آن به صورت همزمان از استانداردهای امنیتی تخصصی کسب و کار نیز استفاده کرد تا ریسک های احتمالی کاهش یافته و به حداقل برسد. وی افزود: در بسیاری موارد به خصوص در فاز تحلیل ها و ارزیابی های امنیتی طراحی و پیاده سازی سامانه، ریسک های فنی زیادی وجود دارد. به عبارتی تیم های ارزیاب و تحلیلگرهای امنیتی در برخی سامانهها، بدلیل آشنا نبودن با کسب و کار سامانه فقط آسیب پذیریهای امنیتی فنی را بررسی میکنند. این کارشناس امنیت سایبری در ادامه گفت: برای مثال آسیبپذیریهایی نظیر صحت سنجی نکردن صحیح دادههای ورودی یا آسیبپذیریهایی نظیر XSS (حمله از طریق تزریق کد) و یا توجه صرف به این آسیبپذیریها و بررسی نکردن پیادهسازی امن فرایندها، موجب میشود که برخی دسترسیهای غیرمجاز در سطح طراحی فرایندهای کسب و کاری سامانهها ایجاد شود و این آسیبپذیریها مدیریت نشوند. بنابراین باید ضمن صحت سنجی دادهها، باید آسیبپذیریها نیز بررسی شوند تا فرایند امنی را در سامانهها شاهد باشیم. به گفته جباریان در بسیاری از موارد پس از بررسی نشت اطلاعات مشخص میشود که هیچگونه حمله امنیتی خاصی به سامانه انجام نشده و اطلاعات بهدلیل وجود یک فرایند کسب و کاری آسیبپذیر نشت پیدا کرده است از اینرو توجه به استفاده از استانداردهای تخصصی کسب و کار و استفاده از تیمهای خبره کسب و کاری در کنار تیمهای ارزیاب امنیتی و تحلیلگر ریسک دارای اهمیت زیادی است و باید به این بخش توجه ویژهای شود.
انتهای پیام/
منبع: ایران آنلاین
کلیدواژه: کارشناس امنیت سایبری دولت الکترونیکی سامانه های دولت دولت الکترونیک تست های دوره ای لورفتن اطلاعات آسیب پذیری ها سامانه ها کسب و کار ریسک ها داده ها تست ها
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت ion.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «ایران آنلاین» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۳۴۲۳۶۱۰۷ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
مالیات طلافروشان سالی ۹ میلیون و ۶۰۰ هزارتومان است
حمیدرضا دهقانی نیا سخنگوی ستاد مبارزه با قاچاق کالا و ارز در برنامه گفت و گوی ویژه خبری گفت: ضوابط تبصره ۴ ماده ۱۸ قانون مبارزه با قاچاق کالا و ارز در رابطه با خرید، فروش، حمل و نگهداری بهصورت تجاری فلزات گرانبها و گوهرسنگها که شامل طلا، نقره، پلاتین و مصنوعات آنها است، باید رعایت شود. این دستورالعمل شامل ۶ تقسیمبندی الف: سکه و طلا ب: شمش و طلای آب شده ج: مصنوعات طلا و جواهرات د:، طلای استخراج شده از معادن کشور ه: گوهرسنگها و: سایر فلزات گرانبها مانند نقره و پلاتین و مصنوعات آنها است.
سخنگوی ستاد مبارزه با قاچاق کالا و ارز با بیان اینکه فروشندگان کالاهای مشمول میبایست موارد ذکر شده در ضوابط فروش تبصره ۴ ماده ۱۸ را رعایت کنند، گفت: ضرورت دارد که تمامی فروشندگان اطلاعات فروش خود را در سامانه جامع تجارت ثبت کنند،ضمن اینکه فروش به مصرفکننده نهایی نیز با ثبت اطلاعات تجاری توسط فروشنده انجام میشود و نیازمند تأیید نهایی اطلاعات خرید از سوی مصرفکننده نیست.
به گفته او،بازار سکه و طلا یکی از حوزههای موردتوجه برخی از سودجویان برای تقلب و کلاهبرداری است و از این رو باید مدنظر باشد.
دهقانی نیا افزود: در دولت هیچ اختلاف نظری وجود ندارد خواسته ما این است که همکاران صنف طلا به قانون عمل کنند.
محمدمهدی برادران، معاون صنایع عمومی وزیر صمت گفت:مطابق ماده ۶ دستورالعمل تبصره ۴ الحاقی ماده ۱۸ قانون مبارزه با قاچاق کالا و ارز، خریداران کالاهای موضوع قاچاق اعم از تاجران و تولیدکنندگان موظف هستند هنگام خرید این کالاها، از فروشنده صورتحساب (فاکتور) دریافت کنند.
او افزود: از آنجا که ضوابط اختصاصی گروه کالایی فلزات گرانبها و گوهرسنگها، اسناد فروش ثبت شده در سامانه جامع تجارت را بهعنوان فاکتور مورد قبول ماده ۶ دستورالعمل صدرالاشاره در نظر گرفته است، ضروری است دستور فرمائید همه اصناف ذی مدخل در هنگام فروش کالا اعم از آبشده، سکه و مصنوعات طلا، نسبت به صدور فاکتور مورد اشاره در سامانه جامع تجارت و تحویل آن به مشتری اقدام کنند.
برادران گفت:شخصی که سکه خریداری می کند باید بداند که این کالا قاچاق یا اصل هست یا خیر،این سامانه جامع تجارت ایجاد شفافیت زنجیره است،زیرساخت لازم در سامانه جامع تجارت پیادهسازی شده و فراگیری صدور فاکتور متحدالشکل میتواند از مشکلاتی نظیر صدور فاکتور غیرواقعی، محاسبه دستمزد، سود و مالیات بر ارزشافزوده بدون ضابطه توسط برخی سودجویان جلوگیری کند.
او افزود: در مرحله اول اطلاعات باید در سامانه جامع تجارت ثبت کنند و نیازی نیست در سامانه مودیان ثبت نام کنند،در سال گذشته فقط ۲ میلیارد دلار طلا وارد کشور شد و این دولت است که باید بداند این واردات از کجا و چگونه وارد کشور شده است به طور کل باید اطلاعات در سامانه جامع تجارت ثبت شود
در ادامه بذرافشان گفت:این سامانه تا حدودی مشکلاتی ایجاد کرد،طبق جلساتی که به نهادها داشتیم هنوز مشکل این دوسامانه حل نشده است،و امروز همکاران ما نگران این موضوع هستند.
او افزود:سامانه جامع تجارت از پارسال فعال بود اما در مورد عملکرد آن ابهاماتی برای صنف طلا وجود داشت که در این جلسه اعلام کردیم. در نهایت نیز مقرر شد که ثبت اطلاعات و سرمایه در سامانه جامع تجارت تا ۳ ماه به تعویق بیفتد تا اگر نیاز به اصلاح بود این اصلاحات صورت گیرد.
بذرافشان تصریح کرد: مشکل در تعدد سامانههاست که به ابهامات دامن زد و در نهایت منجر به مسموم شدن فضای مجازی با اطلاعات غیرکارشناسی شد و این شایعهها باعث شد تا شرایط برای صنف طلا و مردم کمی مختل شود
رئیس اتحادیه سازندگان و فروشندگان طلا و جواهر تهران با اشاره به عدم هماهنگی سامانه جامع تجارت و مودیان گفت: این سامانهها در مفاد اجرایی به خصوص در مورد دریافت کد ملی خریدار طلا عدم هماهنگی داشتند. به همین دلیل نیز ثبت اطلاعات در سامانه جامع تجارت سه ماه به تعویق افتاد.
در ادامه مهدی موحدی بکنظر سخنگوی سازمان امور مالیاتی در خصوص شایعات منتشر شده در بازار طلا، گفت: به نظر میرسد برای برخی افرادی که در یک فضای غیر شفاف، تاریک در جهت منافع خود رفتار میکردند، ایجاد شفافیت برای آنها سنگین آمده است و چه بسا بخشی از این شایعه سازیها به واسطه شفاف شدن شرایط مالیاتی باشد که در حال انجام است. بخشی از اتفاقات و شایعاتی که در چند روز گذشته رقم خورده اساساً هیچ ارتباطی به سازمان امور مالیاتی و مالیات ندارد.
موحدی افزود: فقط در سال گذشته مالیات طلا فروشان در طول یکسال میانگین ۹ میلیون ۶۰۰ هزار تومان بوده است.
باشگاه خبرنگاران جوان اقتصادی صنعت ، تجارت و کشاورزی