اخبار آنلاین روزنامه ایران (ایران آنلاین) وابسته به موسسه فرهنگی و مطبوعاتی ایران

  • جمعه ۳۰ اردیبهشت ۱۴۰۱
اخبار آنلاین روزنامه ایران (ایران آنلاین) وابسته به موسسه فرهنگی و مطبوعاتی ایران
کارشناسان امنیت سایبری در گفت‌وگو با «ایران» مطرح کردند

همزیستی سامانه دولت الکترونیک با ضعف امنیتی

همزیستی سامانه دولت الکترونیک با ضعف امنیتی
سوسن صادقی خبرنگار

چندی پیش لورفتن اطلاعات شخصی وزیر بهداشت درباره تزریق نوع واکسن در سامانه سلامت دولت الکترونیک خبرساز شد.

روزنامه ایران: چندی پیش لورفتن اطلاعات شخصی وزیر بهداشت درباره تزریق نوع واکسن در سامانه سلامت دولت الکترونیک خبرساز شد. بعد از آن اتفاق هم برخی از پزشکان از صدور نسخه‌هایی از جانب آنها برای بیمارانی خبر دادند که از این موضوع بی خبر بودند.  اما براستی مشکل و ضعف اصلی در سامانه‌های دولت الکترونیکی  به خصوص سامانه نسخ الکترونیکی چیست؟ آیا مشکل امنیتی است؟ و در این مسیر باید چه اقدام‌های مهمی را اجرا کرد. کارشناسان امنیت سایبری اعتقاد دارند که رعایت نکردن استانداردهای امنیتی، نبود امضای الکترونیکی و احراز هویت دقیق و نداشتن تخصص آی تی در راه اندازی سامانه سلامت باعث شده اطلاعات به راحتی در دسترس سوء‌استفاده کنندگان  قرار بگیرد.

ضعف نظارت بر امنیت سامانه‌ها
کاظم فلاحی کارشناس امنیت سایبری معتقد است سامانه‌های دولتی همه در بحث امنیتی دارای ضعف‌های عمده‌ای هستند و اگر تست شوند براحتی می‌توان ضعف‌های زیادی را در آنها پیدا کرد و لو رفتن اطلاعات اخیر و نوشتن نسخ بدون اطلاع بیمار و حتی پزشکان و هک اطلاعات سامانه وزارت بهداشت در ابتدای شیوع بیماری کرونا نیز مؤید همین ضعف امنیتی است. فلاحی به «ایران» گفت: از آنجایی که سامانه‌های دولت الکترونیکی مانند وزارت بهداشت نیز حساس هستند و اطلاعات محرمانه 80 میلیون نفر نگهداری می‌شود، باید با تست‌های دوره‌ای، امنیت آن را افزایش دهند. وی افزود: متأسفانه بعد از راه‌اندازی هر سامانه دولتی و تست اولیه امنیتی بعد از آن دیگر هیچ تست امنیتی دوره‌ای انجام نمی‌شود، این درحالی است که انجام تست‌های دوره‌ای جزو واجبات و ضروریات سامانه‌هاست. وقتی در سامانه دولتی اطلاعاتی لو می‌رود و دسترسی به اطلاعات ممکن است کسانی که مسئول تست اولیه سامانه‌ها هستند باید زیر سؤال بروند اما متأسفانه هیچ مسئولی زیر سؤال نمی‌رود این در حالی است که بحث لورفتن اطلاعات مردم در حوزه سلامت یا هر بخش دیگری به مطالبه‌گری در سطح بالا نیاز دارد، چرا که داده‌ها زیر سؤال رفته و این صرفاً مربوط به اطلاعات یک وزیر نمی‌شود. این کارشناس امنیت سایبری در ادامه گفت: تست نفوذی که در بانک مرکزی وجود دارد باید در سامانه‌های دولتی بخصوص دولت الکترونیکی نیز عملیاتی شود. بانک مرکزی هر سه ماه یکبار تست‌های دوره‌ای انجام داده و به مقام‌های بالادستی گزارش می‌دهد و همین موضوع باعث شده کمترین مشکلات آسیب‌پذیری را در بانک‌ها شاهد باشیم. فلاحی افزود: معمولاً باید نرم‌افزارها در آزمایشگاه‌های مراکز امنیتی تست شوند ولی تجربه شخصی نشان می‌دهد که گذراندن تست‌ها در این آزمایشگاه‌ها هم سفت و سخت نیست و حتی اگر نرم افزار دچار مشکل باشد، دورزدن و تأییدیه گرفتن با پرداخت هزینه بیشتر ممکن است. مهم‌تر اینکه برای دریافت مجوز تست، هیچ نظارتی هم صورت نمی‌گیرد که آیا بدرستی تست‌ها طی شده و مجوز دریافت کرده اند؟ کارشناسی که کارمندی کار می‌کند و آنجا نشسته برایش مهم نیست که ممکن است اطلاعات و داده‌های 80 میلیون نفر به فنا برود.  وی انجام نظارت و تست‌های دوره‌ای را یکی از راهکارهای مهم برای مقابله با این دسته از مشکلات عنوان کرد و افزود: باید یک نهاد ناظر با قدرت اجرایی در این کار ورود کند. هم اکنون چندین نهاد موازی امنیتی در کشور وجود دارد که هیچکدام هم نمی‌دانند در حال انجام چه کاری هستند. به گفته این کارشناس امنیت سایبری، نهادها صرفاً به اعلام آسیب‌پذیری‌ها بسنده کرده‌اند این درحالی است که یک کارشناس هم می‌داند آسیب‌پذیری وجود دارد در حقیقت مهم قدرت اجرایی و نظارت بر رفع آنها بعد از اعلام آسیب‌پذیری‌هاست. به عبارتی بعد از اعلام آسیب‌پذیری یا هر مشکل دیگری اگر نظارت صورت بگیرد و مشکل حل نشده باشد نه تنها باید در آنجا را تخته کنند بلکه باید مدیر مربوطه به همراه کارشناسان تست و... را پای میز محاکمه بکشانند، چرا که تا اینگونه عمل نشود این وضعیت لورفتن اطلاعات پابرجا خواهد بود.  فلاحی در ادامه گفت: باید بحث امنیت و نظارت بر سامانه‌های دولت الکترونیکی جدی گرفته شود و آن را به کاردانش بسپارند، چرا که سوءاستفاده از اطلاعات مردم شوخی نیست و می‌تواند وقایع بسیار وحشتناک مانند کلاهبرداری‌های عظیمی را رقم بزند.
نبود سیستم امنیت اطلاعات
علیرضا جباریان دیگر کارشناس امنیت سایبری نیز معتقد است در بخش هایی نظیر دولت الکترونیک و بخش مربوط به سلامت استانداردهای امنیتی تخصصی کسب و کار رعایت نشده است.  جباریان به «ایران» گفت: استانداردهای تخصصی امنیتی در کسب و کار خاص باعث می شود تا  نه تنها ریسک های موجود شناسایی شوند بلکه با ارائه راهکارهایی ریسک‌ها را کاهش داده و به شدت تسهیل کند از این رو در بسیاری از کسب و کارهای موجود استفاده از استانداردهای عمومی نظیر استاندارد سیستم مدیریت امنیت اطلاعات (ISMS)تا حدودی پیاده سازی شده ولی باید در کنار آن به صورت همزمان از استانداردهای امنیتی تخصصی کسب و کار نیز استفاده کرد تا ریسک های احتمالی کاهش یافته و به حداقل برسد.  وی افزود: در بسیاری موارد به خصوص در فاز تحلیل‎ ها و ارزیابی های امنیتی طراحی و پیاده سازی سامانه، ریسک های فنی زیادی وجود دارد. به عبارتی تیم های ارزیاب و تحلیلگرهای امنیتی در برخی سامانه‌ها، بدلیل آشنا نبودن با کسب و کار سامانه فقط آسیب پذیری‌های امنیتی فنی  را بررسی می‌کنند.  این کارشناس امنیت سایبری در ادامه گفت: برای مثال آسیب‌پذیری‌هایی نظیر صحت سنجی نکردن صحیح داده‌های ورودی یا آسیب‌پذیری‌هایی نظیر XSS (حمله از طریق تزریق کد) و یا توجه صرف به این آسیب‌پذیری‌ها و بررسی نکردن پیاده‌سازی امن فرایندها، موجب می‌شود که برخی دسترسی‌های غیرمجاز در سطح طراحی فرایندهای کسب و کاری سامانه‌ها ایجاد شود و این آسیب‌پذیری‌ها مدیریت نشوند. بنابراین باید ضمن صحت سنجی داده‌ها، باید آسیب‌پذیری‌ها نیز بررسی شوند تا فرایند امنی را در سامانه‌ها شاهد باشیم. به گفته جباریان در بسیاری از موارد پس از بررسی نشت اطلاعات مشخص می‌شود که هیچگونه حمله امنیتی خاصی به سامانه انجام نشده و اطلاعات به‌دلیل وجود یک فرایند کسب و کاری آسیب‌پذیر نشت پیدا کرده است از این‌رو توجه به استفاده از استانداردهای تخصصی کسب و کار و استفاده از تیم‌های خبره کسب و کاری در کنار تیم‌های ارزیاب امنیتی و تحلیلگر ریسک دارای اهمیت زیادی است و باید به این بخش توجه ویژه‌ای شود.

انتهای پیام/

کپی