آیا بازار امنیت اطلاعات در کشور انحصاری است؟ رئیس پژوهشکده امنیت پژوهشگاه ICT مشکل فنی در طراحی، پیادهسازی و مدیریت سیستم را از دلایل نشت اطلاعات در فضای مجازی برشمرد و گفت: در اکثر شکایات نشت داده در شبکههای اجتماعی، کاربر مقصر است. ابوذر عربسرخی در گفتوگو با مهر، درخصوص دلایل درز و افشای اطلاعات […]
آیا بازار امنیت اطلاعات در کشور انحصاری است؟
رئیس پژوهشکده امنیت پژوهشگاه ICT مشکل فنی در طراحی، پیادهسازی و مدیریت سیستم را از دلایل نشت اطلاعات در فضای مجازی برشمرد و گفت: در اکثر شکایات نشت داده در شبکههای اجتماعی، کاربر مقصر است.
ابوذر عربسرخی در گفتوگو با مهر، درخصوص دلایل درز و افشای اطلاعات بسیاری از سازمانها و کاربران فضای مجازی طی ماههای اخیر در کشور، گفت: دلیل نشت اطلاعات از یک سازمان به سازمان دیگر و از یک زیرساخت ارتباطی به یک زیرساخت ارتباطی دیگر، کاملاً تغییر میکند و ما نمیتوانیم یک فاکتور و یا نسخه واحد برای این مشکل بپیچیم و بگوییم که دلیل تمامیموارد نشت اطلاعات، یک موضوع است.
وی گفت: گسترهای از موضوعات کاملاً فنی تا غیرفنی میتواند دلیل بروز و ظهور نشت اطلاعات باشد. در فضای فنی موضوعاتی مانند طراحی ضعیف و ناامن یا پیکربندی و یا مدیریت ضعیف یک کاربر یا سیستم و سرویسدهنده میتواند دلیل بروز مشکلات امنیتی باشد و در فضای غیرفنی نیز مواردی از قبیل خطای انسانی، فیشینگ و تکنیکهای مهندسی اجتماعی، میتوانند عامل نشت اطلاعات در شرایط خاص باشند.
طراحی انتقال اطلاعات در کشور ضعیف است
رئیس پژوهشکده امنیت پژوهشگاه ارتباطات و فناوری اطلاعات ادامه داد: هماکنون ما در کشور، مشکلات فنی در طراحی و پیادهسازی و مدیریت سیستم داریم و طراحی روال نگهداری و انتقال اطلاعات ما ضعیف است. از سوی دیگر خطای انسانی که میتواند از سوی اپراتور یا کاربر و یا حتی مدیر سیستم نیز رخ دهد، میتواند منجر به نشت اطلاعات شود. همه این موارد معرف ضعفها و آسیبپذیریهای حیاتی امنیت سایبری است که میتواند منشأ و علت بروز مشکلاتی مانند افشاء و نشت اطلاعات باشد.
وی با اشاره به قانون حفاظت داده نیز گفت: سال گذشته پیشنویس «لایحه حفاظت از داده» با همکاری مشترک بین پژوهشکده فناوری اطلاعات پژوهشگاه ICT ، معاونت امنیت سازمان فناوری اطلاعات و اداره کل امنیت سازمان تنظیم مقررات و ارتباطات رادیویی و نیز پژوهشکده قوهقضاییه، آماده شد و قرار است به صحن علنی مجلس برای تبدیل شدن به قانون برود.
عربسرخی تأکید کرد: نکته این است که این لایحه صرفاً یک رکن از موضوعات حفاظت از داده بهشمار میرود و باید به مواردی چون بلوغ زیرساختها، طراحی و پیکربندی و آموزش نیروی انسانی نیز توجه داشت.
۸۵ درصد تهدیدات امنیتی ناشی از خطای انسانی است
وی گفت: مطابق گزارش سال ۲۰۱۹ مرکز تحقیقاتی IDC بیش از ۸۵ درصد تهدیدات امنیتی ناشی از خطای انسانی است و این درحالی است که ما بالغ بر ۹۵ درصد هزینههای امنیتی را روی ارتقای زیرساختها میگذاریم. این به این معنی است که اگر نیروی انسانی (مدیرسیستم، کاربر یا توسعهدهنده) خطایی انجام دهد، با بهترین سیستم هم نمیتوان جلوی آن را گرفت.
رئیس پژوهشکده امنیت پژوهشگاه ارتباطات و فناوری اطلاعات خاطرنشان کرد: هماکنون در اکثر شکایات مربوط به نشت داده و نقض حریمخصوصی که بسیاری از آنها در حوزه شبکههای اجتماعی مطرح میشود، مشکل اصلی مربوط به کاربر است که مبادرت به صدور مجوز دسترسی، انتشار اطلاعات و در حقیقت خودافشایی کرده اما مدعی نقض حریمخصوصی شده است.
وی اضافه کرد: کاربر نباید مدعی حفظ حریمخصوصی باشد اما دست به خودافشایی بزند. بالاخره زمانی که از فناوری استفاده میکند باید بداند که فناوری محدودیتهایی نیز دارد. فناوری مانند تیغ دولبه است که استفاده درست از آن، برخی نیازها را تأمین میکند و استفاده نادرست از آن میتواند، تبعاتی برای اطلاعات شخصی و حریمخصوصی به همراه داشته باشد.
عربسرخی ادامه داد: البته نباید تصور کرد که تنها دلیل هک اطلاعات برخی سازمانهای دولتی و اپراتورها یک موضوع انسانی یا رویهای خاص است. خیلی وقتها طراحی ضعیف و ناامن سیستم و پیکربندی آن، آسیبزا بوده و باعث نشت اطلاعات میشود. حتی اگر قانون حفاظت از داده نیز داشته باشیم، اما طراحی زیرساخت شبکه، پیادهسازی و مدیریت و بهرهبرداری مناسبی نشود، میتواند باعث نشت اطلاعات شود. از سوی دیگر حتی اگر قانون هم وجود داشته باشد، زیرساخت هم درست باشد، اما عامل انسانی در الزامات امنیتی به درستی عمل نکند، بازهم شاهد نشت اطلاعات خواهیم بود.
وی با اشاره به بررسی موضوع حفاظت از دادهها در کشور و نقاط ضعف و قوت مربوط به آن در پژوهشکده امنیت در قالب تعریف پروژه گفت: ما در پروژههایمان موضوع مربوط به حفاظت از دادهها و بخشی از خلأهای موجود را در سطح توان یک مرکز پژوهشی در کشور آسیبشناسی و شناسایی میکنیم.
عربسرخی اضافه کرد: بررسیها نشان میدهد که در جایی این خلأ مربوط به عدم وجود نهاد متولی بوده است. برای مثال ما در «طرح ملی رمز» و «نظام محرمانگی» سعی کردیم این نهاد را طراحی و فعالسازی کنیم. در جایی دیگر مشکلات مربوط به شبکهسازی را شناسایی کرده و در جای دیگر، در ساختار با خلأ مواجه شدیم. حتی در مواردی متوجه شدیم که باید فناوری را توسعه داد.
رئیس پژوهشکده امنیت پژوهشگاه ارتباطات و فناوری اطلاعات با بیان اینکه بحث این است که پروژهها را با هدف شناسایی آسیبها، ضعفها و راهحلشان، براساس توانمندیمان انجام میدهیم، ادامه داد: در حوزه توسعه فناوری و برنامههای کاربردی حوزه امنیت، واقعاً باید از بخشخصوصی حمایت ویژه شود و ما در این حوزه مشکلات جدی داریم. چرا که هماکنون بخش زیادی از بازار افتای ما گرنتی و دست یک تعداد شرکت محدود است. شاید از جنبههایی این موضوع خوب باشد و سطح اعتماد و پاسخگویی را بالا میبرد، اما دیگر فرصتی به استفاده از ظرفیتهای شرکتهای کوچک و استارتآپ داده نمیشود.
این مطلب بدون برچسب می باشد.
دیدگاه بسته شده است.