نیروی انسانی فاقد مهارت تخصصی، عامل اصلی نشت اطلاعات
معاون فنی پلیس فتا ناجا سهل انگاری و استفاده از نیروی انسانی فاقد مهارت تخصصی کافی را عامل اصلی نشت اطلاعات از برخی سرورها و سامانه های اطلاعاتی عنوان کرد.
به گزارش ایسنا، سرهنگ علی نیک نفس در تشریح این مطلب اظهار کرد: افزایش بیش از پیش ضریب نفوذ اینترنت و رشد خدمات سازمان ها و نهادهای دولتی و کسب و کارها در بسترهای سایبری، تولید و تبادل اطلاعات با سرعتی باور نکردنی گسترش یافته و موجب تشکیل بانک های اطلاعاتی با ارزش در مراجع سرویس دهنده شده است.
وی ضمن اشاره به اینکه امروزه بانک های اطلاعاتی جزء با ارزش ترین دارایی های هر سازمان و کسب و کار است، ادامه داد : افراد سودجو با اهداف مختلف برای دسترسی غیرمجاز بانک اطلاعاتی اقدام به نفوذ و یا سرقت اطلاعات می کنند و با قیمت های ناچیزی در جهت بهره برداری های نامتعارف و یا استفاده در سایر جرایم سایبری نظیر کلاهبرداری های سایبری به فروش می رسانند.
وی گفت: با توجه به وجود تهدیدات و آسیب پذیری های فضای مجازی، انواع حملات سایبری مختلف به سرورها و شبکه های کشور و در راستای سند نظام پیشگیری و مقابله با حوادث رایانه ای ابلاغی مرکز ملی فضای مجازی، پلیس فتا و سایر نهادهای ذیربط به صورت مستمر و لحظه ای، اقدام به شناسایی انواع آسیب پذیری های نرم افزاری و سخت افزاری کرده است.
سرهنگ نیک نفس ادامه داد: با اقدامات صورت گرفته ، تعداد سایت های مهم ارزیابی امنیتی شده در سال ۹۸ به ۳۷ درصد ارتقاء یافته است و در این رابطه اطلاع رسانی به سازمان ها و کسب و کارهای مربوطه صورت پذیرفته و بازخوردهای لازم تا رفع آسیب پذیری ارائه شده است که این اقدامات بر اساس تحلیل و بررسی آخرین وضعیت CMS ها، سیستم عامل ها، سکوهای برنامه نویسی، وب سرورها و اپلیکیشن ها، احصاء و اقدام شده است.
معاون فنی پلیس فتا ناجا با اشاره به اهمیت پایداری و امنیت خدمات عمومی سازمان ها و دستگاه های مختلف در بستر اینترنت و اینکه جهت جلوگیری از آسیب پذیری ها، تهدیدات و آلودگی های سایبری، اطلاع رسانی سریع و لحظه ای به صورت ویژه از سال ۹۷ در دستور کار پلیس فتا قرار گرفته بیان داشت : در این رابطه به طور نمونه در سال ۹۸ آسیب پذیری ها در قالب ۹۱۸۲۱ پیامک و ایمیل به شرکت های مختلف اعلام و اطلاع رسانی شده است، که در مجموع اطلاع رسانی ها در سال ۹۸ نسبت به سال ۹۷ بالغ بر ۷۳ درصد افزایش یافته است.
وی گفت: بر اساس بررسی های کارشناسی مشخص شد استفاده از نیروی انسانی ناایمن، فاقد مهارت فنی، عدم توجه به الزامات امنیتی و سایبری و سهل انگاری در پیاده سازی سیاست ها و الزامات امنیتی منشاء اصلی بروز این گونه رخدادها بوده. البته انتشار برخی از این اخبار نیز از سوی افراد سودجو صرفا با هدف شایعه پراکنی و تشویش اذهان عمومی و یا کلاهبرداری از طریق فروش اطلاعات کذب صورت گرفته است.
وی با تاکید بر برخورد قانونی پلیس فتا و سایر نهادهای مسئول با این اقدامات مجرمانه و شایعه سازان ،یکی از اولویت های کاری خود را مبارزه و شناسایی افراد مجرم در حوزه دسترسی غیر مجاز به بانک های اطلاعاتی هموطنان عنوان کرد و گفت: در این رابطه تعدادی از افراد مجرم شناسایی و دستگیر و به مراجع قضایی معرفی شده اند .
سرهنگ نیک نفس ضمن تاکید بر این نکته که مدیران عالی سازمان ها باید امنیت اطلاعات و سامانه های در اختیار را در زمره امور مهم سازمان قرار دهند و شخصا بر اعمال استانداردهای امنیتی مانند ISMS نظارت کنند، بر اساس پرونده های اخیر رسیدگی شده توصیه های امنیتی سایبری زیر را خطاب به شرکت ها، سازمان ها و نهادهای دولتی و صاحبان مشاغل و کسب و کارهای مجازی بیان داشت :
- سامانه ها و شبکه های رایانه ای بر اساس بازبین های امنیتی به صورت منظم و دوره ای توسط کارشناسان متخصص ارزیابی شود .
- صلاحیت فردی و شغلی مدیران و کارشناسان حوزه فناوری اطلاعات سازمان به خصوص کارکنان بخش امنیت، با استانداردهای بالا مورد توجه مدیران سازمان ها قرار گیرد.
- کنترل دسترسی کاربران بخصوص کاربران با سطح دسترسی ادمین به طور دقیق مدیریت شده و لاگ تمامی کاربران ذخیره و به صورت منظم بررسی شود .
- جهت دسترسی راه دور به بخش های حساس همانند پنل مدیریت وب سایت ، سامانه، میزبان، سرور و پایگاه داده حتما کنترل های مبتنی بر توکن یا IP اعمال گردد و ملاحظات امنیتی رعایت شود.
-استفاده از روش های احراز هویت دو مرحله ای کاربران علاوه بر رمز عبور قوی مد نظر باشد.
- از اتصال مستقیم پایگاه های داده حساس بدون واسط امن به شبکه های عمومی مانند اینترنت خودداری شود.
- تغییر تنظیمات و رمزهای عبور، آدرس های دسترسی و تنظیمات امنیتی پیش فرض وب سایت ، سامانه، هاست، سرور، پایگاه داده و … جهت جلوگیری از دسترسی مجرمان سایبری به اطلاعات از طریق این تنظیمات انجام شود.
- از جمع آوری اطلاعات وب سایت توسط خزشگرها و روبات ها جلوگیری شود.
- استفاده از رمزهای عبور پیچیده و تغییر دوره ای تمامی رمزهای عبور انجام شود.
- به روزرسانی مستمر و اعمال بلادرنگ وصله های امنیتی منتشر شده برای تمامی نرم افزارها، سرویس ها و ماژول ها صورت گیرد.
وی تصریح کرد: این موارد به هیچ عنوان جایگزین فرآیندهای کامل امن سازی و ارزیابی امنیتی نبوده و صرفا برطرف کننده شماری از ضعف های جدی مشاهده شده هستند.
انتهای پیام
به گزارش ایسنا، سرهنگ علی نیک نفس در تشریح این مطلب اظهار کرد: افزایش بیش از پیش ضریب نفوذ اینترنت و رشد خدمات سازمان ها و نهادهای دولتی و کسب و کارها در بسترهای سایبری، تولید و تبادل اطلاعات با سرعتی باور نکردنی گسترش یافته و موجب تشکیل بانک های اطلاعاتی با ارزش در مراجع سرویس دهنده شده است.
وی ضمن اشاره به اینکه امروزه بانک های اطلاعاتی جزء با ارزش ترین دارایی های هر سازمان و کسب و کار است، ادامه داد : افراد سودجو با اهداف مختلف برای دسترسی غیرمجاز بانک اطلاعاتی اقدام به نفوذ و یا سرقت اطلاعات می کنند و با قیمت های ناچیزی در جهت بهره برداری های نامتعارف و یا استفاده در سایر جرایم سایبری نظیر کلاهبرداری های سایبری به فروش می رسانند.
وی گفت: با توجه به وجود تهدیدات و آسیب پذیری های فضای مجازی، انواع حملات سایبری مختلف به سرورها و شبکه های کشور و در راستای سند نظام پیشگیری و مقابله با حوادث رایانه ای ابلاغی مرکز ملی فضای مجازی، پلیس فتا و سایر نهادهای ذیربط به صورت مستمر و لحظه ای، اقدام به شناسایی انواع آسیب پذیری های نرم افزاری و سخت افزاری کرده است.
سرهنگ نیک نفس ادامه داد: با اقدامات صورت گرفته ، تعداد سایت های مهم ارزیابی امنیتی شده در سال ۹۸ به ۳۷ درصد ارتقاء یافته است و در این رابطه اطلاع رسانی به سازمان ها و کسب و کارهای مربوطه صورت پذیرفته و بازخوردهای لازم تا رفع آسیب پذیری ارائه شده است که این اقدامات بر اساس تحلیل و بررسی آخرین وضعیت CMS ها، سیستم عامل ها، سکوهای برنامه نویسی، وب سرورها و اپلیکیشن ها، احصاء و اقدام شده است.
معاون فنی پلیس فتا ناجا با اشاره به اهمیت پایداری و امنیت خدمات عمومی سازمان ها و دستگاه های مختلف در بستر اینترنت و اینکه جهت جلوگیری از آسیب پذیری ها، تهدیدات و آلودگی های سایبری، اطلاع رسانی سریع و لحظه ای به صورت ویژه از سال ۹۷ در دستور کار پلیس فتا قرار گرفته بیان داشت : در این رابطه به طور نمونه در سال ۹۸ آسیب پذیری ها در قالب ۹۱۸۲۱ پیامک و ایمیل به شرکت های مختلف اعلام و اطلاع رسانی شده است، که در مجموع اطلاع رسانی ها در سال ۹۸ نسبت به سال ۹۷ بالغ بر ۷۳ درصد افزایش یافته است.
وی گفت: بر اساس بررسی های کارشناسی مشخص شد استفاده از نیروی انسانی ناایمن، فاقد مهارت فنی، عدم توجه به الزامات امنیتی و سایبری و سهل انگاری در پیاده سازی سیاست ها و الزامات امنیتی منشاء اصلی بروز این گونه رخدادها بوده. البته انتشار برخی از این اخبار نیز از سوی افراد سودجو صرفا با هدف شایعه پراکنی و تشویش اذهان عمومی و یا کلاهبرداری از طریق فروش اطلاعات کذب صورت گرفته است.
وی با تاکید بر برخورد قانونی پلیس فتا و سایر نهادهای مسئول با این اقدامات مجرمانه و شایعه سازان ،یکی از اولویت های کاری خود را مبارزه و شناسایی افراد مجرم در حوزه دسترسی غیر مجاز به بانک های اطلاعاتی هموطنان عنوان کرد و گفت: در این رابطه تعدادی از افراد مجرم شناسایی و دستگیر و به مراجع قضایی معرفی شده اند .
سرهنگ نیک نفس ضمن تاکید بر این نکته که مدیران عالی سازمان ها باید امنیت اطلاعات و سامانه های در اختیار را در زمره امور مهم سازمان قرار دهند و شخصا بر اعمال استانداردهای امنیتی مانند ISMS نظارت کنند، بر اساس پرونده های اخیر رسیدگی شده توصیه های امنیتی سایبری زیر را خطاب به شرکت ها، سازمان ها و نهادهای دولتی و صاحبان مشاغل و کسب و کارهای مجازی بیان داشت :
- سامانه ها و شبکه های رایانه ای بر اساس بازبین های امنیتی به صورت منظم و دوره ای توسط کارشناسان متخصص ارزیابی شود .
- صلاحیت فردی و شغلی مدیران و کارشناسان حوزه فناوری اطلاعات سازمان به خصوص کارکنان بخش امنیت، با استانداردهای بالا مورد توجه مدیران سازمان ها قرار گیرد.
- کنترل دسترسی کاربران بخصوص کاربران با سطح دسترسی ادمین به طور دقیق مدیریت شده و لاگ تمامی کاربران ذخیره و به صورت منظم بررسی شود .
- جهت دسترسی راه دور به بخش های حساس همانند پنل مدیریت وب سایت ، سامانه، میزبان، سرور و پایگاه داده حتما کنترل های مبتنی بر توکن یا IP اعمال گردد و ملاحظات امنیتی رعایت شود.
-استفاده از روش های احراز هویت دو مرحله ای کاربران علاوه بر رمز عبور قوی مد نظر باشد.
- از اتصال مستقیم پایگاه های داده حساس بدون واسط امن به شبکه های عمومی مانند اینترنت خودداری شود.
- تغییر تنظیمات و رمزهای عبور، آدرس های دسترسی و تنظیمات امنیتی پیش فرض وب سایت ، سامانه، هاست، سرور، پایگاه داده و … جهت جلوگیری از دسترسی مجرمان سایبری به اطلاعات از طریق این تنظیمات انجام شود.
- از جمع آوری اطلاعات وب سایت توسط خزشگرها و روبات ها جلوگیری شود.
- استفاده از رمزهای عبور پیچیده و تغییر دوره ای تمامی رمزهای عبور انجام شود.
- به روزرسانی مستمر و اعمال بلادرنگ وصله های امنیتی منتشر شده برای تمامی نرم افزارها، سرویس ها و ماژول ها صورت گیرد.
وی تصریح کرد: این موارد به هیچ عنوان جایگزین فرآیندهای کامل امن سازی و ارزیابی امنیتی نبوده و صرفا برطرف کننده شماری از ضعف های جدی مشاهده شده هستند.
انتهای پیام
گفتگو با هوش مصنوعی
💬 سلام! میخوای دربارهی «نیروی انسانی فاقد مهارت تخصصی، عامل اصلی نشت اطلاعات» بیشتر بدونی؟ من اینجام که راهنماییت کنم.