دیدگان فعالان امنیت سایبری درباره نشت‌های اطلاعات اخیر
هاکوپیان: حفظ امنیت اطلاعات یک همکاری جمعی را می‌طلبد
اختصاصی افتانا
کد مطلب: 16597
تاریخ انتشار : يکشنبه ۱۴ ارديبهشت ۱۳۹۹ ساعت ۱۳:۰۰
 
سروژ هاکوپیان، رئیس هیئت‌مدیره شرکت پویه گام، ‏درباره نشت پی‌درپی اطلاعات شهروندان گفت: ‏امنیت در ‏سازمان حاصل همکاری یک مجموعه از متخصصان است و ضعیف‌ترین نقطه همکاری محل بالقوه ‏نشت و از ‏دست دادن اطلاعات خواهدبود و صیانت از داده‌ها یک همکاری جمعی را می‌طلبد.‏ ‏
هاکوپیان: حفظ امنیت اطلاعات یک همکاری جمعی را می‌طلبد
 
 
Share/Save/Bookmark
سروژ هاکوپیان، رئیس هیئت‌مدیره شرکت پویه گام، ‏درباره نشت پی‌درپی اطلاعات شهروندان گفت: ‏امنیت در ‏سازمان حاصل همکاری یک مجموعه از متخصصان است و ضعیف‌ترین نقطه همکاری محل بالقوه ‏نشت و از ‏دست دادن اطلاعات خواهدبود و صیانت از داده‌ها یک همکاری جمعی را می‌طلبد.‏ ‏

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در روزها و هفته‌های اخیر فعالان ‏امنیت ‏سایبری ‏از ‏افشای پایگاه اطلاعات هویتی کاربران برخی سازمان‌ها و شرکت‌های دولتی و خصوصی خبر ‏دادند‎ ‎و ‏در ‏این ‏موضوع از سازمان‌ها و شرکت‌های دولتی و خصوصی متعددی نام برده‌شد تا آنجا که مرکز ماهر ‏هم ‏اقدام ‏به ‏پایش پایگاه‌های داده حفاظت‌نشده کرد. در این شرایط بر آن شدیم تا دیدگاه کارشناسان ‏و ‏فعالان ‏امنیت ‏سایبری کشور را در این مورد جویا شویم و ببینیم آنها برای چنین روزهایی چه ‏دغدغه‌هایی ‏داشته و ‏دارند و ‏دیدگاه‌شان در مورد این اتفاقات چیست.‏ با ‏سروژ هاکوپیان، رئیس هیئت‌مدیره ‏شرکت پویه گام، در این مورد گفت‌وگویی داشتیم.‏
‏ ‏
در روزهای اخیر اخبار نشت اطلاعات از سازمان‌ها و شرکت‌ها و استارتاپ‌های مختلف ‏زیاد ‏شده‌است. اگر مایل‌اید تحلیل خود را از این موضوع تشریح کنید.‏
این رخدادها ضعف‌های موجود داخل سازمان‌ها و بین سازمان‌های مربوطه را که مورد سوءاستفاده قرار ‏گرفته‌اند، نشان می‌دهد. در ریسک‌های محیطی مختلف این اتفاق‌ها سر بازخواهندکرد. مهارت و دانش ارتقا ‏سطح امنیت با حفظ کارایی سازمان تا حد زیادی در داخل کشور وجود دارد، ولی سازمان‌ها آمادگی و آگاهی ‏لازم برای بهبود وضعیت خود را ندارند. حتی افتای ریاست جمهوری در مدل ارتقای امنیت خود، پارامتر بلوغ ‏را نیز در نظر گرفته‌است ولی هنوز این دیدگاه جایگاه اثرگذاری خود را نیافته‌است. برخی از سرویس‌ها امروزه ‏از ارتباط و همکاری چندین سازمان حاصل می‌شود لذا ضعف هریک از سازمان‌ها در این همکاری ضعف کل ‏سرویس محسوب می‌شود. پس بحث صیانت دارایی‌ها از حوزه یک سازمان فراتر می‌رود و یک همکاری جمعی ‏را می‌طلبد.‏

نشت داده ممکن است عمدی یا غیرعمد اتفاق افتاده‌باشد، نتیجه در هر حالت خسارت بالایی را می تواند ‏ایجاد کند. نشت غیر عمد را می‌توان نتیجه نقص فرایند، اجرای ناقص آن، استفاده از تکنولوژی نامناسب یا ‏پیکربندی نامناسب تکنولوژی دانست. در نشت عمدی انگیزه‌های مهاجم به هیجانات ناشی از نگرانی، ‏برتری‌جویی، بیکاری، ناامیدی، رکود اقتصادی و مرتبط است. نشت داده‌های اخیر نشانگر صعود هیجانات ‏فوق‌الذکر است. که نیاز به رشد فرهنگ در این زمینه را آشکار می‌کند. سازمان‌ها می‌توانند برای شرایط ‏بحران، آمادگی را در خود تقویت کنند.‏

این روزها به خاطر شیوع کرونا حجم دورکاری‌ها افزایش پیدا کرده و جلسات بیشتری به صورت ‏آنلاین برگزار می‌شود و قطعا همین موضوع می‌تواند دسترسی بهتری برای نفوذگران به داده‌های ‏سازمانی و شخصی کارکنان و مشتریان سازمان‌ها بدهد. چه تدبیری می‌توان اندیشید که این ‏آسیب‌ها کمتر شود؟
موضوع عمومیت یافتن دورکاری برای بخش بزرگی از مردم (دانش‌آموزان، معلم‌ها، اداری-مالی، فنی، مدیریت، ‏حوزه‌های صنعت، آموزش‌وپرورش، پیش‌دبستانی، آموزش عالی، بانک، بازرگانی، تولید، خرده‌فروشی، بهداشت ‏و...) ایمن بودن این دسترسی را طلب می‌کند. آموزش این افراد در نحوه دسترسی به اطلاعات، حفظ ‏محرمانگی، امانت‌داری دارایی‌های سازمانی و عمومی بسیار مهم است. لازم است سازمان‌ها، ابزار نظارتی ‏موردنیاز جهت صحت و سلامت این فرایندها را در خود ایجاد کنند و از سوی دیگر لازم است سازمان‌ها ‏طبقه‌بندی محرمانگی اطلاعات خود را جدی بگیرند و اطمینان حاصل کنند که اطلاعات حیاتی به هیچ ‏عنوان در خارج از سازمان در دسترس واقع نشود.‏

سازوکار قانونی و حقوقی مسائل مربوط به پایگاه داده‌ها و حریم شخصی افراد و سازمان‌ها در ‏فضای مجازی چقدر در کاهش امنیت اطلاعات جامعه موثر است و تلاش‌هایی که در دنیا در این مورد ‏می‌شود (مثل ‏GDRP‏ ) تا چه اندازه اثرگذار است؟ ‏
تعاریف مربوط به مالکیت اطلاعات، مالکیت پردازش‌های صورت پذیرفته بر روی اطلاعات و... بسیار جوان است ‏و در دنیا و تعریف درستی برای این مفاهیم ایجاد نشده و در سیستم‌ها هم این مسیله هنوز جای کار فراوان ‏دارد. جامعه اطلاعاتی و امنیت فضای تبادل اطلاعات بسیار به ایجاد این معنی‌ها وابسته هستند.‏‎ ‎مثال ‏GDPR‏ ‏یکی از نمونه‌های ایجاد راهکار برای این نیاز است البته هنوز در حال تکوین و تکامل است.‏


آموزش امنیت و آگاهی‌رسانی در مورد راهکارها و تدابیر امنیتی در سطوح مختلف جامعه اعم از ‏مدیران ارشد سازمانی تا مردم، چگونه می‌تواند کمک کند که شاهد اتفاقات کمتری از این دست ‏باشیم؟
بحث درک جنبه‌های یک کسب‌وکار، سازمان، جامعه... و دیدن نقاط آسیب‌پذیری موجود در آن همیشه ‏بوده‌است: دانستن حقوق، نتیجه عمل، بازخورد محیط. آموزش همیشه بوده، هست و در جریان است، ولی ‏این آموزش لازم است قابل استفاده و منطبق با درک کاربران باشد. اگر در رویدادهای اخیر مواردی هستند، ‏نشانگر این است که در آموزش‌ها جذب مخاطب نشده‌است. به نسبت وجود افراد متخصص در سازمان‌ها ‏امنیت سازمان‌ها کمتر رشد داشته‌است و این نشانگر کمبود همکاری و تعاملات مربوط است. امنیت در ‏سازمان حاصل همکاری یک مجموعه از متخصصان است و ضعیف‌ترین نقطه همکاری محل بالقوه نشت و از ‏دست دادن اطلاعات خواهدبود. ‏