به نقل از «ایران آنلاین»

همزیستی سامانه دولت الکترونیک با ضعف امنیتی

تاریخ انتشار: ۶ بهمن ۱۴۰۰ | کد خبر: ۳۴۲۳۶۱۰۷

چندی پیش لورفتن اطلاعات شخصی وزیر بهداشت درباره تزریق نوع واکسن در سامانه سلامت دولت الکترونیک خبرساز شد.

روزنامه ایران: چندی پیش لورفتن اطلاعات شخصی وزیر بهداشت درباره تزریق نوع واکسن در سامانه سلامت دولت الکترونیک خبرساز شد. بعد از آن اتفاق هم برخی از پزشکان از صدور نسخه‌هایی از جانب آنها برای بیمارانی خبر دادند که از این موضوع بی خبر بودند.

بیشتر بخوانید: اخباری که در وبسایت منتشر نمی‌شوند!

  اما براستی مشکل و ضعف اصلی در سامانه‌های دولت الکترونیکی  به خصوص سامانه نسخ الکترونیکی چیست؟ آیا مشکل امنیتی است؟ و در این مسیر باید چه اقدام‌های مهمی را اجرا کرد. کارشناسان امنیت سایبری اعتقاد دارند که رعایت نکردن استانداردهای امنیتی، نبود امضای الکترونیکی و احراز هویت دقیق و نداشتن تخصص آی تی در راه اندازی سامانه سلامت باعث شده اطلاعات به راحتی در دسترس سوء‌استفاده کنندگان  قرار بگیرد.

ضعف نظارت بر امنیت سامانه‌ها
کاظم فلاحی کارشناس امنیت سایبری معتقد است سامانه‌های دولتی همه در بحث امنیتی دارای ضعف‌های عمده‌ای هستند و اگر تست شوند براحتی می‌توان ضعف‌های زیادی را در آنها پیدا کرد و لو رفتن اطلاعات اخیر و نوشتن نسخ بدون اطلاع بیمار و حتی پزشکان و هک اطلاعات سامانه وزارت بهداشت در ابتدای شیوع بیماری کرونا نیز مؤید همین ضعف امنیتی است. فلاحی به «ایران» گفت: از آنجایی که سامانه‌های دولت الکترونیکی مانند وزارت بهداشت نیز حساس هستند و اطلاعات محرمانه 80 میلیون نفر نگهداری می‌شود، باید با تست‌های دوره‌ای، امنیت آن را افزایش دهند. وی افزود: متأسفانه بعد از راه‌اندازی هر سامانه دولتی و تست اولیه امنیتی بعد از آن دیگر هیچ تست امنیتی دوره‌ای انجام نمی‌شود، این درحالی است که انجام تست‌های دوره‌ای جزو واجبات و ضروریات سامانه‌هاست. وقتی در سامانه دولتی اطلاعاتی لو می‌رود و دسترسی به اطلاعات ممکن است کسانی که مسئول تست اولیه سامانه‌ها هستند باید زیر سؤال بروند اما متأسفانه هیچ مسئولی زیر سؤال نمی‌رود این در حالی است که بحث لورفتن اطلاعات مردم در حوزه سلامت یا هر بخش دیگری به مطالبه‌گری در سطح بالا نیاز دارد، چرا که داده‌ها زیر سؤال رفته و این صرفاً مربوط به اطلاعات یک وزیر نمی‌شود. این کارشناس امنیت سایبری در ادامه گفت: تست نفوذی که در بانک مرکزی وجود دارد باید در سامانه‌های دولتی بخصوص دولت الکترونیکی نیز عملیاتی شود. بانک مرکزی هر سه ماه یکبار تست‌های دوره‌ای انجام داده و به مقام‌های بالادستی گزارش می‌دهد و همین موضوع باعث شده کمترین مشکلات آسیب‌پذیری را در بانک‌ها شاهد باشیم. فلاحی افزود: معمولاً باید نرم‌افزارها در آزمایشگاه‌های مراکز امنیتی تست شوند ولی تجربه شخصی نشان می‌دهد که گذراندن تست‌ها در این آزمایشگاه‌ها هم سفت و سخت نیست و حتی اگر نرم افزار دچار مشکل باشد، دورزدن و تأییدیه گرفتن با پرداخت هزینه بیشتر ممکن است. مهم‌تر اینکه برای دریافت مجوز تست، هیچ نظارتی هم صورت نمی‌گیرد که آیا بدرستی تست‌ها طی شده و مجوز دریافت کرده اند؟ کارشناسی که کارمندی کار می‌کند و آنجا نشسته برایش مهم نیست که ممکن است اطلاعات و داده‌های 80 میلیون نفر به فنا برود.  وی انجام نظارت و تست‌های دوره‌ای را یکی از راهکارهای مهم برای مقابله با این دسته از مشکلات عنوان کرد و افزود: باید یک نهاد ناظر با قدرت اجرایی در این کار ورود کند. هم اکنون چندین نهاد موازی امنیتی در کشور وجود دارد که هیچکدام هم نمی‌دانند در حال انجام چه کاری هستند. به گفته این کارشناس امنیت سایبری، نهادها صرفاً به اعلام آسیب‌پذیری‌ها بسنده کرده‌اند این درحالی است که یک کارشناس هم می‌داند آسیب‌پذیری وجود دارد در حقیقت مهم قدرت اجرایی و نظارت بر رفع آنها بعد از اعلام آسیب‌پذیری‌هاست. به عبارتی بعد از اعلام آسیب‌پذیری یا هر مشکل دیگری اگر نظارت صورت بگیرد و مشکل حل نشده باشد نه تنها باید در آنجا را تخته کنند بلکه باید مدیر مربوطه به همراه کارشناسان تست و... را پای میز محاکمه بکشانند، چرا که تا اینگونه عمل نشود این وضعیت لورفتن اطلاعات پابرجا خواهد بود.  فلاحی در ادامه گفت: باید بحث امنیت و نظارت بر سامانه‌های دولت الکترونیکی جدی گرفته شود و آن را به کاردانش بسپارند، چرا که سوءاستفاده از اطلاعات مردم شوخی نیست و می‌تواند وقایع بسیار وحشتناک مانند کلاهبرداری‌های عظیمی را رقم بزند.
نبود سیستم امنیت اطلاعات
علیرضا جباریان دیگر کارشناس امنیت سایبری نیز معتقد است در بخش هایی نظیر دولت الکترونیک و بخش مربوط به سلامت استانداردهای امنیتی تخصصی کسب و کار رعایت نشده است.  جباریان به «ایران» گفت: استانداردهای تخصصی امنیتی در کسب و کار خاص باعث می شود تا  نه تنها ریسک های موجود شناسایی شوند بلکه با ارائه راهکارهایی ریسک‌ها را کاهش داده و به شدت تسهیل کند از این رو در بسیاری از کسب و کارهای موجود استفاده از استانداردهای عمومی نظیر استاندارد سیستم مدیریت امنیت اطلاعات (ISMS)تا حدودی پیاده سازی شده ولی باید در کنار آن به صورت همزمان از استانداردهای امنیتی تخصصی کسب و کار نیز استفاده کرد تا ریسک های احتمالی کاهش یافته و به حداقل برسد.  وی افزود: در بسیاری موارد به خصوص در فاز تحلیل‎ ها و ارزیابی های امنیتی طراحی و پیاده سازی سامانه، ریسک های فنی زیادی وجود دارد. به عبارتی تیم های ارزیاب و تحلیلگرهای امنیتی در برخی سامانه‌ها، بدلیل آشنا نبودن با کسب و کار سامانه فقط آسیب پذیری‌های امنیتی فنی  را بررسی می‌کنند.  این کارشناس امنیت سایبری در ادامه گفت: برای مثال آسیب‌پذیری‌هایی نظیر صحت سنجی نکردن صحیح داده‌های ورودی یا آسیب‌پذیری‌هایی نظیر XSS (حمله از طریق تزریق کد) و یا توجه صرف به این آسیب‌پذیری‌ها و بررسی نکردن پیاده‌سازی امن فرایندها، موجب می‌شود که برخی دسترسی‌های غیرمجاز در سطح طراحی فرایندهای کسب و کاری سامانه‌ها ایجاد شود و این آسیب‌پذیری‌ها مدیریت نشوند. بنابراین باید ضمن صحت سنجی داده‌ها، باید آسیب‌پذیری‌ها نیز بررسی شوند تا فرایند امنی را در سامانه‌ها شاهد باشیم. به گفته جباریان در بسیاری از موارد پس از بررسی نشت اطلاعات مشخص می‌شود که هیچگونه حمله امنیتی خاصی به سامانه انجام نشده و اطلاعات به‌دلیل وجود یک فرایند کسب و کاری آسیب‌پذیر نشت پیدا کرده است از این‌رو توجه به استفاده از استانداردهای تخصصی کسب و کار و استفاده از تیم‌های خبره کسب و کاری در کنار تیم‌های ارزیاب امنیتی و تحلیلگر ریسک دارای اهمیت زیادی است و باید به این بخش توجه ویژه‌ای شود.

انتهای پیام/

منبع: ایران آنلاین

کلیدواژه: کارشناس امنیت سایبری دولت الکترونیکی سامانه های دولت دولت الکترونیک تست های دوره ای لورفتن اطلاعات آسیب پذیری ها سامانه ها کسب و کار ریسک ها داده ها تست ها

درخواست حذف خبر:

«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را به‌طور اتوماتیک از وبسایت ion.ir دریافت کرده‌است، لذا منبع این خبر، وبسایت «ایران آنلاین» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۳۴۲۳۶۱۰۷ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتی‌که در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.

با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.

خبر بعدی:

مالیات طلافروشان سالی ۹ میلیون و ۶۰۰ هزارتومان است

حمیدرضا دهقانی نیا سخنگوی ستاد مبارزه با قاچاق کالا و ارز در برنامه گفت و گوی ویژه خبری گفت: ضوابط تبصره ۴ ماده ۱۸ قانون مبارزه با قاچاق کالا و ارز در رابطه با خرید، فروش، حمل و نگهداری به‌صورت تجاری فلزات گران‌بها و گوهرسنگ‌ها که شامل طلا، نقره، پلاتین و مصنوعات آن‌ها است، باید رعایت شود. این دستورالعمل شامل ۶ تقسیم‌بندی الف: سکه و طلا ب: شمش و طلای آب شده ج: مصنوعات طلا و جواهرات د:، طلای استخراج شده از معادن کشور ه: گوهرسنگ‌ها و: سایر فلزات گران‌بها مانند نقره و پلاتین و مصنوعات آن‌ها است.

سخنگوی ستاد مبارزه با قاچاق کالا و ارز با بیان اینکه فروشندگان کالاهای مشمول می‌بایست موارد ذکر شده در ضوابط فروش تبصره ۴ ماده ۱۸ را رعایت کنند، گفت: ضرورت دارد که تمامی فروشندگان اطلاعات فروش خود را در سامانه جامع تجارت ثبت کنند،ضمن اینکه فروش به مصرف‌کننده نهایی نیز با ثبت اطلاعات تجاری توسط فروشنده انجام می‌شود و نیازمند تأیید نهایی اطلاعات خرید از سوی مصرف‌کننده نیست.

به گفته او،بازار سکه و طلا یکی از حوزه‌های موردتوجه برخی از سودجویان برای تقلب و کلاهبرداری است و از این رو باید مدنظر باشد.

دهقانی نیا افزود: در دولت هیچ اختلاف نظری وجود ندارد خواسته ما این است که همکاران صنف طلا به قانون عمل کنند.

محمدمهدی برادران، معاون صنایع عمومی وزیر صمت گفت:مطابق ماده ۶ دستورالعمل تبصره ۴ الحاقی ماده ۱۸ قانون مبارزه با قاچاق کالا و ارز، خریداران کالاهای موضوع قاچاق اعم از تاجران و تولیدکنندگان موظف هستند هنگام خرید این کالاها، از فروشنده صورت‌حساب (فاکتور) دریافت کنند.

 

او افزود: از آنجا که ضوابط اختصاصی گروه کالایی فلزات گران‌بها و گوهرسنگ‌ها، اسناد فروش ثبت شده در سامانه جامع تجارت را به‌عنوان فاکتور مورد قبول ماده ۶ دستورالعمل صدرالاشاره در نظر گرفته است، ضروری است دستور فرمائید همه اصناف ذی مدخل در هنگام فروش کالا اعم از آب‌شده، سکه و مصنوعات طلا، نسبت به صدور فاکتور مورد اشاره در سامانه جامع تجارت و تحویل آن به مشتری اقدام کنند.

برادران گفت:شخصی که سکه خریداری می کند باید بداند که این کالا قاچاق یا اصل هست یا خیر،این سامانه جامع تجارت ایجاد شفافیت زنجیره است،زیرساخت لازم در سامانه جامع تجارت پیاده‌سازی شده و فراگیری صدور فاکتور متحدالشکل می‌تواند از مشکلاتی نظیر صدور فاکتور غیرواقعی، محاسبه دستمزد، سود و مالیات بر ارزش‌افزوده بدون ضابطه توسط برخی سودجویان جلوگیری کند.

او افزود: در مرحله اول اطلاعات باید در سامانه جامع تجارت ثبت کنند و نیازی نیست در سامانه مودیان ثبت نام کنند،در سال گذشته فقط ۲ میلیارد دلار طلا وارد کشور شد و این دولت است که باید بداند این واردات از کجا و چگونه وارد کشور شده است به طور کل باید اطلاعات در سامانه جامع تجارت ثبت شود

در ادامه بذرافشان گفت:این سامانه تا حدودی مشکلاتی ایجاد کرد،طبق جلساتی که به نهادها داشتیم هنوز مشکل این دوسامانه حل نشده است،و امروز همکاران ما نگران این موضوع هستند.

او افزود:سامانه جامع تجارت از پارسال فعال بود اما در مورد عملکرد آن ابهاماتی برای صنف طلا وجود داشت که در این جلسه اعلام کردیم. در نهایت نیز مقرر شد که ثبت اطلاعات و سرمایه در سامانه جامع تجارت تا ۳ ماه به تعویق بیفتد تا اگر نیاز به اصلاح بود این اصلاحات صورت گیرد.

بذرافشان تصریح کرد: مشکل در تعدد سامانه‌هاست که به ابهامات دامن زد و در نهایت منجر به مسموم شدن فضای مجازی با اطلاعات غیرکارشناسی شد و این شایعه‌ها باعث شد تا شرایط برای صنف طلا و مردم کمی مختل شود

رئیس اتحادیه سازندگان و فروشندگان طلا و جواهر تهران با اشاره به عدم هماهنگی سامانه جامع تجارت و مودیان گفت: این سامانه‌ها در مفاد اجرایی به خصوص در مورد دریافت کد ملی خریدار طلا عدم هماهنگی داشتند. به همین دلیل نیز ثبت اطلاعات در سامانه جامع تجارت سه ماه به تعویق افتاد.

در ادامه مهدی موحدی بکنظر سخنگوی سازمان امور مالیاتی در خصوص شایعات منتشر شده در بازار طلا، گفت: به نظر می‌رسد برای برخی افرادی که در یک فضای غیر شفاف، تاریک در جهت منافع خود رفتار می‌کردند، ایجاد شفافیت برای آن‌ها سنگین آمده است و چه بسا بخشی از این شایعه سازی‌ها به واسطه شفاف شدن شرایط مالیاتی باشد که در حال انجام است. بخشی از اتفاقات و شایعاتی که در چند روز گذشته رقم خورده اساساً هیچ ارتباطی به سازمان امور مالیاتی و مالیات ندارد.

موحدی افزود: فقط در سال گذشته مالیات طلا فروشان در طول یکسال میانگین ۹ میلیون ۶۰۰ هزار تومان بوده است.

باشگاه خبرنگاران جوان اقتصادی صنعت ، تجارت و کشاورزی