کارشناسان استفاده از روش‌ها و ابزارهای ارزان قیمت و فاقد امنیت لازم را علت اصلی بروز مخاطرات امنیتی برای سایت‌های حاکمیتی کشور طی هفته اخیر می دانند. هک‌های اخیر که اگر چه این بار اطلاعات مهم و حساسی را لو نداده است، اما مشخص نیست در صورت ادامه کم‌توجهی به استانداردهای امنیتی در آینده چه مخاطراتی بوجود آورد.

مریم یعقوبی:

طی چند روز گذشته برخی از سایت های دولتی در کشورمان مورد حمله قرارگرفته و از دسترس خارج شدند. این اتفاق نگرانی‌هایی را در جامعه بوجود آورده است. اگر چه مسئولان با توضیح و تشریح علل و ابعاد این حملات تا حدودی دغدغه‌های عمومی را برطرف کرده‌اند ولی به نظر می رسد ارائه توضیحات بیشتر ضروری است.

ضرورت ارائه این توضیحات و آشنا کردن مردم با جوانب مختلف امنیت در فضای مجازی از آن رو اهمیت فوق العاده‌ای دارد که ضریب نفوذ استفاده از از روش‌ها و ابزارهای الکترونیکی روز به روز در جامعه افزایش می یابد و به دنبال آن احتمال بروز مخاطرات هم.

علاوه بر مردم، مسئولان در رده‌های مختلف سازمان‌ها و نهادها هم باید دقت و وسواس بیشتری در انتخاب و بکارگیری ابزارهای ارائه خدمات و اطلاعات در فضای مجازی و سایبری به خرج دهند تا ضمن حفظ امنیت اطلاعات، اعتماد و اعتبار نهادهای حاکمیتی کشور از ناحیه سایبری نیز لطمه نبیند.

شاهین نوروزی کارشناس حوزه امنیت اطلاعات در این‌باره به خبرآنلاین گفت: "واقعیت این است که مشابه این اتفاقات را  تقریبا در تمامی کشورهای دنیا و در ارتباط با بسیاری از سایت‌ها شاهد بوده و هستیم و از این منظر اتفاق نادر و بی سابقه ای در کشور ما رخ نداده است. طی همین چند هفته به دفعات اخباری درباره حمله به سایت سوئیفت منتشر شد که در مواردی هم موفق بود بنا بر این نباید از وقوع چنین اتفاقاتی چندان تعجب کرد. بلکه مهم این است که علاوه بر ارتقای سطح دانش و آگاهی در حوزه امنیت اطلاعات در فضای مجازی چه برای عموم مردم و چه برای لایه‌های مختلف تصمیم گیر و مجری در سازمان و نهادهای حاکمیتی و ختی خصوصی، شیوه برخورد با این قبیل اتفاقات را نیز تمرین کرد تا نه بی جهت نگران شویم و نه از سر کم اطلاعی، ساده انگارانه با مقوله امنیت سایبری برخورد کنیم".

وی ادامه داد:" سایت‌هایی که در کشور ما مورد حمله قرار گرفته اند، پورتال‌هایی هستند که تنها اطلاعات عمومی و فاقد طبقه بندی یا حساسیت بر روی آن ها بارگذاری شده بود. به همین دلیل ما دچار مخاطره خاصی از ناحیه امنیت اطلاعات نشدیم. با این حال مسئله از زاویه دیگری باید مورد توجه ویژه قرار بگیرد چرا که مخاطره اصلی در هک شدن پورتال های عمومی که حاوی مطالب حساس نیستند، لو رفتن اطلاعات نیست بلکه در چنین مواردی درگیر مخاطرات اجتماعی هستیم؛ این مخاطره در حقیقت از جنس مخاطرات اعتباری است. به عبارت دیگر اگر چه اطلاعات محرمانه و طبقه بندی شده ای با هک شدن پورتال یک سازمان لو نرفته اما اعتبار سازمانی که سایت آن هک شده قطعا از منظر عمومی خدشه دار شده است. در ادبیات امنیت اطلاعات به این پدیده " مخاطره اعتباری" گفته می شود که پیامدهای آن از منظر سرمایه اجتماعی کمتر از لو رفتن اطلاعات ارزشمند و طبقه بندی شده نیست. به همین خاطر باید حتی المقدور جلوی تکرار این اتفاقات را گرفت چرا که اعتبار یک سازمان و اعتماد به آن، مقوله ای نیست که براحتی بتوان آن را بازسازی کرد".

این کارشناس حوزه امنیت اطلاعات گفت:" بررسی سایت هایی که مورد حمله قرار گرفته اند نشان می دهد وجه مشترک همه آن ها استفاده از سازه های عمومی یا همان Cms"" های عمومی و "متن باز" (Open sorce) است. این قبیل سازه ها در حالی از سوی متولیان سفارش سایت در نهادهای حاکمیتی ما انتخاب شده که حتی افراد تازه کار در طراحی سایت های اینترنتی هم می دانند استفاده از سازه های متن باز که اشراف کاملی نسبت به کدهای آن وجود ندارد مخاطرات فراوانی به دنبال خواهد داشت که نمونه آن را در هک شدن پورتال های عمومی چند دستگاه حاکمیتی و دولتی شاهد بودیم".

وی افزود: "ما پیش از این هم چنین ضرباتی را متحمل شده ایم و در همه این موارد کارشناسان امنیت اطلاعات تأکید کرده بودند که استفاده از سازه های متن باز بسیار پرمخاطره و اشتباه است. اکثر سایت هایی که طی چند هفته اخیر مورد حمله و هک قرارگرفته اند، سایت هایی بودند که از سیستم "دات نت نیوک"، "وردپرس" یا سایر سازه های متن باز استفاده کرده بودند. این سازه ها به خاطر رایگان بودن، ارزان بودن خدمات یا بکارگیری کارشناسان ارزان قیمتی که تنها در استفاده از همین سازه های عمومی و ساده تبحر دارند، جذابیت های زیادی برای سازمان ها و ارگان های ما دارد غافل از اینکه این  صرفه جویی ظاهری ، مخاطرات فراوانی به دنبال دارد که چندین برابر صرفه جویی اولیه به اعتبار و جایگاه و حتی بودجه سازمان ضربه می زند".

نوروزی گفت: "استفاده از سازه های متن باز عمومی همواره با چنین مخاطراتی مواجه است و حتی اگر سایت هایی که هک شده اند دوباره بازسازی و بارگذاری شوند تا زمانی که شرکت سازنده حفره امنیتی را برطرف نکند، باز هم احتمال هک شدنشان وجود دارد".

این کارشناس امنیت اطلاعات افزود: " اگرچه سازمان ها و نهادهای ما به این نکته اشراف دارند که نباید اطلاعات طبقه بندی شده و مهم را روی چنین بسترهای ناامنی قراردهند ولی واقعیت این است که هک شدن پورتال های حاکمیتی و دولتی حتی اگر حاوی اطلاعات مهمی نباشند، اعتماد عمومی را خدشه دار می کند بنا بر این توصیه اکید می کنم برای جلوگیری از تکرار این مخاطرات و مشکلات از دانش و ظرفیتی که در داخل کشور به آن دسترسی داریم، بهترین استفاده را ببریم. متولیان در صورت بهره گیری از توان داخلی علاوه بر اینکه سطح امنیت را بالا می برند با استفاده از ظرفیت های بالا و قابل اتکای شرکت های دانش بنیان و کارشناسان داخلی علاوه بر ارتقای سطح امنیت فضای مجازی کشور، اعتماد به نفس و خوداتکایی را نیز در بدنه کارشناسی کشورمان تقویت خواهندکرد".

وی ادامه داد: "حداقل حسن استفاده از ظرفیت های داخلی این است که اگر مشکل امنیتی یا هر مشکل دیگری در این سازه های بومی اتفاق بیفتد، مسئول این اتفاق مشخص است و متولی رفع آن هم در دسترس قرار دارد نه اینکه مانند اتفاقات اخیر استفاده کنندگان از سازه های عمومی متن باز نتوانند سراغ افراد مشخصی برای رفع این حفره های امنیتی بروند".

 

22339

 

کد خبر 541537

برچسب‌ها

نظر شما

شما در حال پاسخ به نظر «» هستید.
3 + 7 =

نظرات

  • نظرات منتشر شده: 5
  • نظرات در صف انتشار: 0
  • نظرات غیرقابل انتشار: 2
  • بی نام A1 ۱۳:۴۴ - ۱۳۹۵/۰۳/۱۰
    11
    این سایت ها بودجه ها ی میلیاردی میگرند اما از سیستم های رایگان استفاده میکنند بسیاری از سایت های قوه قضاییه این مشکل رو داره
  • hosein A1 ۱۴:۱۳ - ۱۳۹۵/۰۳/۱۰
    13
    عجب کارشناس بیسوادی میگه علت هک شدن سایت ها استفاده از سیستم های متن باز هست :
    • بی نام A1 ۰۶:۳۳ - ۱۳۹۵/۰۳/۱۶
      0
      غیر از اینه؟
  • بی نام A1 ۱۷:۲۶ - ۱۳۹۵/۰۳/۱۰
    1
    انتظار داشتيد خبر گزارى فارس ازيك كارشناس خبره استفاده كنه در حاليكه معتقد است تعهد بر تخصص ارجحيت دارد
  • محمد A1 ۲۱:۵۶ - ۱۳۹۵/۰۳/۱۰
    1
    به نظر من ما خیلی بی تجربه هستیم تو این زمینه. یادمه یه بنده خدا زمان توافقات هسته ای میگفت امریکایی ها حتی از عوض شدن بنر های روی دیوار نیروگاه نطنز خبر داشتن. سایت های دنیا اگه بیشتر از یک ساعت هک بمونن اعتبارشون از بین میره اونوقت تو ایران سایت قوه قضایه شب هک شده صبح امدن سر کار تازه فهمیدن درستش کردن. البته اگه اطلاعاتی محرمانه مونده باشه تو ایران. بیشتر خود مردم هستن که اطلاعاتشون راحت میریزن تو سرور های اونها. 400 تا سایت رو با هم هک می کنن. البته اونها همه چیزشون رو میخرن حتی باگ ها رو پس باید ضعف هامون رو بشناسیم و خودمون رو گول نزنیم. امنیت سایبری مثل حفاظت فیزیکی نیاز به اهمیت و دید ویژه داره.