ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

۱۸۸۱ مطلب با موضوع «security» ثبت شده است

تحلیل


هیأت رئیسه کمیسیون مشترک طرح حمایت از کاربران در فضای مجازی در نامه‌ای خطاب به معاون قوانین مجلس نسبت به کارشکنی‌ها در مسیر کار کمیسیون اعتراض کردند.

 به گزارش فارس، متن کامل نامه هیأت رئیسه کمیسیون مشترک به معاون قوانین مجلس به شرح زیر است:

جناب آقای دکتر پورسید

معاون محترم قوانین مجلس شورای اسلامی

سلام علیکم

بازگشت به نامه شماره ۱۰۵۷۲۷ مورخ ۱۴۰۰/۱۲/۳ موارد ذیل به اطلاع جنابعالی می‌رسد. البته این موارد قبلا در تاریخ ۱۴۰۰/۱۲/۲۸ طی نامه شماره ۱۱۴۵۰۰ به اطلاع رئیس محترم مجلس شورای اسلامی رسیده است، ولیکن از آنجا که تا کنون پاسخی دریافت نشده است، مجددا اعلام می‌گردد.

متأسفانه بعد از انتشار نامه بازگشتی فوق که خارج از ساعت اداری تنظیم و صادر گردیده و قبل از تحویل به ما در اختیار رسانه‌ها قرار گرفته بود، اقدامات متعدد جنابعالی در جلوگیری از فعالیت کمیسیون مشترک اصل ۸۵ قانون اساسی مشهود بوده و عملا موجب اختلال جدی در انجام وظایف نمایندگی اعضای محترم کمیسیون مشترک طرح حمایت از حقوق کاربران و خدمات پایه کاربردی فضای مجازی گردیده است.

اطلاع دارید کمیسیون مشترک اصل ۸۵ قانون اساسی طرح حمایت پس از برگزاری ۱۳ جلسه رسمی و ۳۵ جلسه جانبی از جمله جلسات کارگروه مشترک با مرکز پژوهش‌های مجلس، در تاریخ سوم اسفند ماه کلیات طرح را با رأی موافق ۱۹ عضو از ۲۰ نفر اعضای حاضر تصویب کرد. جنابعالی در ساعت ۲۱ همان روز اقدام به انتشار نامه‌ای خطاب به رئیس کمیسیون مشترک اصل ۸۵ قانون اساسی نمودید و به استناد مواد (۱۶۵)، (۱۶۶) و (۱۴۲) آیین نامه داخلی مجلس، روند اخذ آرای اعضای کمیسیون را مغایر آیین نامه دانستید؛ لذا قابل ذکر است:

١. چنین رویه‌ای بدون اطلاع دقیق از موارد مذکور و مستندات و رسانه‌ای کردن آن ناشی از عدم دقت و کم توجهی به مفاد آیین نامه بوده، در حالی که دقیقا آیین نامه‌های مربوط رعایت گردیده و قابل ارائه است.

۲. این کمیسیون علاوه بر جلسات برگزار شده در دفتر رئیس محترم مجلس (دو جلسه)، دفتر نائب رئیس محترم اول مجلس (سه جلسه)، جلسات کارگروه و کمیته‌ها، حداقل پانزده جلسه کارشناسی، جلسات متعدد با مرکز پژوهش‌ها، جلسات منظم هفتگی از ۱۴۰۰/۷/۲۵ تا ۱۴۰۰/۱۲/۳ حداقل چهل و هشت جلسه بررسی و جلسه اظهار نظرات موافقان و مخالفان شکل گرفته است و القاء شبهه عدم رعایت مواد (۱۶۵) و (۱۶۶) کاملا نادرست است و اعمال ماده (۱۴۲) آیین نامه داخلی نیز از اختیارات کمیسیون است.

۳. در جلسه ۱۴۰۰/۸/۲۵ پس از برگزاری جلسه و طی فرایند بررسی برابر آیین نامه داخلی کلیات طرح آماده رای گیری بود و لیکن به دلیل دریافت نامه محرمانه مورخ ۱۴۰۰/۸/۲۵ وزیر محترم ارتباطات و فناوری اطلاعات که خطاب به ما صادر و رونوشت آن برای ریاست محترم مجلس نیز ارسال شده بود، در تاریخ ۱۴۰۰/۹/۱ به دعوت رئیس محترم جلسه‌ای با حضور اعضای هیات رئیسه کمیسیون مشترک اصل ۸۵ قانون اساسی طرح، وزیر محترم ارتباطات و فناوری اطلاعات، رئیس محترم مرکز ملی فضای مجازی و معاون محترم قوانین مجلس شورای اسلامی برگزار شد که هدف آن اتخاذ تصمیم درباره درخواست وزیر محترم مبنی بر اعمال نظرات آن وزارتخانه و رئیس محترم مرکز ملی فضای مجازی قبل از بررسی نسخه ۲۶ تیرماه ۱۴۰۰ (نسخه تهیه شده توسط مرکز پژوهش‌های مجلس در اجرای ماده (۱۴۲) آیین نامه داخلی و تصویب شده در کمیسیون فرهنگی قبل از ارسال به صحن) بود.

فلذا در آن جلسه مقرر شد در جهت همکاری مجلس و دولت محترم و دبیرخانه شورای عالی فضای مجازی، با رأی اعضای محترم کمیسیون، طرح برای تهیه نسخه جدید به کارگروه مشترک مرکز پژوهشهای مجلس با کمیسیون مشترک اصل ۸۵ قانون اساسی ارجاع شود. این پیشنهاد در جلسه مورخ ۱۴۰۰/۹/۹ کمیسیون مشترک اصل ۸۵ قانون اساسی طرح شد.

در آن جلسه که مانند سایر جلسات، کمیسیون با شفافیت کامل و به طور زنده و مستقیم از طریق رسانه‌ها پخش شد و جنابعالی هم در جلسه حضور داشتید، اعضای محترم کمیسیون طرح را جهت تهیه نسخه جدید به کارگروه مشترک ارسال نمودند؛ فلذا تهیه نسخه جدید توسط کارگروه مشترک نه تنها وجاهت دارد، بلکه با توجه به تصمیم جلسه ۱۴۰۰/۹/۱ و مصوبه جلسه ۱۴۰۰/۹/۹ کمیسیون، به عنوان تکلیف قانونی معین گردیده و در همان زمان کمیسیون مشترک اصل ۸۵ قانون اساسی اراده خود مبنی بر بررسی نسخه جدید را بیان نموده است. حال این سؤال مطرح می‌شود چنانچه برابر اعلام جنابعالی قرار بود کمیسیون مشترک اصل ۸۵ قانون اساسی کلیات نسخه اولیه ارجاعی به کمیسیون یعنی نسخه ۲۶ تیرماه ۱۴۰۰ را به رأی بگذارد، اساسا چه نیازی به تشکیل جلسه اول آذر ماه با حضور رئیس مجلس و سه جلسه بعدی که در حضور نائب رئیس اول و مرکز پژوهشهای مجلس وجود داشت؟ رئیس مجلس در جلسه ۱۴۰۰/۱۰/۷ به آقایان تقی پور و سیاهکلی توصیه فرمودند با توجه به درخواست مرکز پژوهش‌های مجلس طی نامه مورخ ۱۴۰۰/۹/۳۰ مهلت مجددا به مدت بیست روز تمدید شود. اگر بنا بود نسخه جدید مورد استفاده قرار نگیرد، آیا این همه صرف وقت برای تهیه نسخه جدید که بسیار پخته تر بوده و به اقرار اکثر صاحب‌نظران، عمده ایرادات واردشده به نسخه قبلی در آن مرتفع گردیده است، توجیه منطقی دارد؟

اگر قرار بود کلیات نسخه ۲۶ تیرماه رای گیری شود تشکیل جلسه اول آذرماه در حضور رئیس مجلس برای چه بود؟ جنابعالی شخصا در آن جلسه حضور داشتید و اعمال تغییرات مد نظر وزارت ارتباطات و مرکز ملی فضای مجازی را نه تنها پذیرفتید بلکه توصیه کردید! طرح موضوع در جلسه ۱۴۰۰/۹/۹ کمیسیون مشترک اصل ۸۵ قانون اساسی که با تصمیم جلسه مذکور صورت گرفت و جنابعالی هم حضور داشتید، برای چه بود؟

۴. در طول چهل و چهار سال گذشته، توقف کار صحن مجلس با کمیسیون جانشین آن با چنین رویه‌ای در مجلس شورای اسلامی بی‌سابقه بوده، این امر به عنوان یک اقدام غیرمتعارف، نظام قانونگذاری را در آینده تهدید می‌کند.

ایراد شکلی طرح شده در نامه بازگشتی فوق توسط جنابعالی به دلیل مسکوت بودن در آیین نامه قابل استناد نمی باشد.

در ادامه نظر جنابعالی را به موارد متعدد تخلف انجام شده توسط معاونت قوانین جلب می‌کنیم:

1- در تاریخ ۱۴۰۰/۱۲/۲۶ کارکنان زیر مجموعه جنابعالی از بارگذاری دعوت‌نامه‌های ارسالی توسط ما به اعضای محترم کمیسیون در سامانه مکاتبات مجلس ممانعت به عمل آورده اند و عملا بدون قبول مسئولیت حقوقی تعطیلی جلسات، کمیسیون مشترک اصل ۸۵ قانون اساسی را تعطیل نموده‌اید و این تخلف بزرگ خلاف قانون اساسی که در اصل ... بیان می‌نماید: هیچ کس نمی‌تواند ...

عملا نمایندگان را از انجام وظیفه نمایندگی خود منع نموده‌اید.

۲- در تاریخ ۱۴۰۰/۱۲/۲۶ در یک اقدام آشکار خلاف قانون، نسخه ارجاعی به کمیسیون را از سامانه قانونگذاری حذف نموده‌اید؛ دلیل این کار چیست؟ آیا اراده‌ای خارج از مجلس و رأی نمایندگان به شما فرمان می‌دهد؟

۳- برابر قانون اساسی، جنابعالی و هیچ شخص دیگری حق تعطیل کردن مجلس و کمیسیون‌های ذیل آن را ندارد؛ فلذا لازم است بدون فوت وقت ضمن بارگذاری مصوبه کمیسیون مشترک اصل ۸۵ قانون اساسی در سامانه قانونگذاری مجلس و اعلام مهلت لازم جهت ثبت پیشنهادات نمایندگان محترم، دعوتنامه‌های کمیسیون را جهت تشکیل جلسات برابر آیین نامه بارگذاری نمایند تا اعضای کمیسیون مشترک اصل ۸۵ قانون اساسی بتوانند به موقع وظایف خود را نسبت به بررسی جزئیات و تصویب به موقع طرح به انجام برسانند.

بدیهی است در صورت ادامه کارشکنی‌ها در مسیر فعالیت کمیسیون مشترک اصل ۸۵ قانون اساسی و عدم همکاری جنابعالی، پیگیری‌ها و اقدامات قانونی از طریق کمیسیون اصل نودم و سایر مراجع قانونی به عمل خواهد آمد.

اعضاء هیات رئیسه کمیسیون مشترک
اصل ۸۵ قانون اساسی

توصیه پلیس قبل از خرید از سایت‌های درج آگهی

سه شنبه, ۲۳ فروردين ۱۴۰۱، ۱۰:۳۰ ق.ظ | ۰ نظر

رئیس مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا ناجا گفت: کاربران قبل از اطمینان به صحت اطلاعات ارائه شده فروشنده، اقدام به واریز وجه نکنید و حتی‌الامکان ارتباطات و خرید وفروش‌ها را به صورت حضوری انجام دهید.

به گزارش صدا و سیما، سرهنگ علی محمد رجبی اظهار کرد: کاربران قبل از اطمینان به صحت اطلاعات ارائه شده فروشنده، اقدام به واریز وجه نکنید و حتی‌الامکان ارتباطات و خرید وفروش‌ها را به صورت حضوری انجام دهید و از افرادی خرید کنید که امکان ملاقات حضوری آن‌ها پیش از انجام معامله فراهم باشد و قبل از خرید، کالا را با دقت موردبررسی قرار دهید.

این مقام انتظامی خاطرنشان کرد: ارائه اطلاعات حساب از سوی فروشنده نباید موجب اعتماد شما شود، زیرا ممکن است اطلاعات شخص دیگری مورد سوءاستفاده قرارگرفته باشد و تحت هیچ عنوان پیش از دریافت کالا هزینه‌ای پرداخت نکنید.

سرقت کلان در بازار سیاه معاملات ارز دیجیتال

دوشنبه, ۲۲ فروردين ۱۴۰۱، ۰۵:۰۸ ب.ظ | ۰ نظر

براساس گزارشاتی که توسط مالباختگان حوزه ارز دیجیتال در سامانه سوت‌زنی خبرگزاری فارس ثبت شده است، چندین سایت و کانال مجازی با تبلیغات وسوسه‌آمیز و جذب سرمایه‌های بسیاری از مردم، اقدام به کلاه‌برداری و سرقت کلان اینترنتی کرده‌اند.

 ظهور ارزهای دیجیتال فرصت بزرگی را برای سودجویان با ترفندهای مختلف کلاه‌برداری اینترنتی ایجاد کرده است، به نحوی که در سال اخیر براساس اخبار رسانه‌ها، بیش از ۵۰ هزار میلیارد ریال از دارایی مردم در این حوزه به سرقت رفته است.

براساس ده‌ها گزارشی که از جانب مالباختگان این شرکت‌ها در سامانه سوت‌زنی خبرگزاری فارس ثبت شده است، اخیرا در سایت‌هایی مانند بهکام‌کوین و نیوسنتری پیشنهاد سرمایه‌گذاری با سودهای وسوسه‌آمیز داده شده بود که پس از جذب سرمایه‌های مردم، این سایت‌ها متوقف شده‌اند.

برای کسب اطلاعات بیشتر در راستای کلاهبرداری اینترنتی سایت نیوسنتری به سراغ گزارشگر مربوطه می‌رویم، که وی در این رابطه اظهار کرد: کانال تلگرامی نیوسنتری از ۲۱ مهر سال گذشته آغاز به کار کرد، به نحوی که بیشتر فعالیت‌ها از طریق پیشنهاد سودهای روزانه با خرید ارز ترون(TRX) در این کانال‌ انجام می‌شد و معاملات در سایت صورت می‌گرفت.

این گزارشگر به ترفند جذب سرمایه توسط این مجموعه اشاره کرد و گفت: کانال تلگرامی مذکور در تاریخ‌های مختلف اعلام می‌کرد که به خاطر ایجاد دو مزرعه جدید استخراج ارز دیجیتال ترون، جشنواره سه روزه برای کاربران درنظر گرفته است، به‌طوری که هرکس در این سه روز دارایی خود را سرمایه‌گذاری کند مشمول سود ۵۰ درصدی می‌شود، که تقریبا همه‌ی جمعیت حدود ۵۰ هزار نفری عضو  نیوسنتری دارایی کیف پول مجازی خود را در سایت تخلیه می‌کردند.

وی در ادامه افزود: در آخرین فراخوان مورخ ۱۱ تا ۱۴ اسفند سال گذشته، اطلاع دادند که واریزی‌ها به علت به‌روزرسانی سایت با تاخیر انجام می‌شود، اما در نهایت ۱۷ اسفند با بهانه‌ ارتقای سیستم اعلام کردند برای برداشت سرمایه باید ۳ درصد کل دارایی را مجدد پرداخت کنید، که پس از این واریزی سایت به‌طور کلی بسته شد و همه مدیران کانال تلگرام اکانت خود را پاک کرده و راه ارتباطی ما با آن‌ها کاملا قطع شد.

گزارشگر به ادامه فعالیت کلاه‌برداران اینترنتی اشاره کرد و ادامه داد: من از طریق کاربری به اسم سجاد جذب این سرمایه‌گذاری شدم، که این اکانت به محض بسته شدن سایت نیوسنتری کانال جدیدی تاسیس کرده و درگاه‌های سرمایه‌گذاری دیگری را با محوریت ارز دیجیتال ترون تبلیغ می‌کند.

وی در پایان شکایت مالباختگان را مطرح کرد و گفت: پس از مدتی که نسبت به کلاه‌برداری نیوسنتری مطمئن شدیم، با مراجعه به قوه قضائیه شکایت خود از این مجموعه را ثبت کردیم تا ادمین‌های سودجوی ارز دیجیتال که اکثرا با محوریت ارز ترون معامله می‌کنند، افراد بیشتری را فریب ندهند.

همچنین بخش دیگری از گزارشات کلاه‌برداری اینترنتی که در سامانه سوت‌زنی خبرگزاری فارس ثبت شده به شرکت بهکامان تبلور پاسارگاد مربوط می‌شود، به نحوی که این شرکت در ۲۹ خرداد ۱۴۰۰ به شماره ثبت ۱۸۶۳۴ و به شناسه ملی ۱۴۰۱۰۱۰۴۳۷۴ تاسیس شد، که براساس آخرین آگهی تغییرات این شرکت در ۲۵ شهریور سال اخیر روزنامه رسمی جمهوری اسلامی ایران، مجموع سرمایه شرکت با مدیریت سه نفر تنها ۱۵۰ هزار تومان بود.

با این حال این شرکت با ارائه سه طرح سرمایه‌گذاری، ادعا می‌کرد با استخراج رمزارز از طریق انرژی خورشیدی در منطقه سلفچگان قم، می‌تواند با سرمایه اولیه ده و سی میلیون تومانی تا ۶۵ درصد سود ماهانه تخصیص دهد.

پس از مدتی صفحه اینستاگرام این شرکت در ۲۱ دی سال اخیر طی پیامی از طرف مدیرعامل خود اعلام کرد، به دلیل ناهماهنگی وزارت‌خانه‌های صمت و نیرو قادر به ادامه فعالیت نبوده و سرمایه‌های مردم برگردانده‌ خواهد شد.

با این وجود اولین گزارش از کلاهبرداری این شرکت در ۱۴ دی سال گذشته در سامانه سوت‌زنی خبرگزاری فارس ثبت شد و تاکنون ده‌ها گزارش از طرف مالباختگان این سرمایه‌گذاری اینترنتی درج شده است.

براساس مطالب فوق، به دلیل خلا قانونی در حوزه معاملات ارزهای دیجیتال، بستر آماده‌ای برای سودجویان فراهم شده است تا با تبلیغات وسیع و وسوسه آمیز سرمایه‌های مردم را سرقت کنند، بنابراین از متولیان امر انتظار می‌رود با وضع قوانین موردنیاز و نظارت مستمر جلوی کلاهبردای بیشتر این شیادان را بگیرند.

عضو کمیسیون شوراهای مجلس با بیان اینکه ده‌ها هزار میلیارد تومان به صورت قمار در سایه فقدان قانون در فضای مجازی از کشور خارج شده، گفت: در اکثر کشورها فضای مجازی مرز و مرزبان دارد، اما در کشور ما مردم در فضای مجازی بی‌پناه هستند.

ابوالفضل ابوترابی نماینده مردم نجف آباد در مجلس شورای اسلامی در گفت‌وگو با فارس، گفت: فضای مجازی در اکثر کشورها دارای قانون و ضابطه و مرز و مرزبان است، اما متأسفانه در کشور ما این گونه نیست و مردم ما در فضای مجازی بی‌پناه هستند.

وی افزود: با توجه به گستره فضای مجازی این حوزه نیز باید مثل فضای حقیقی دارای قانون، مرز و مرزبان باشد و نباید کار به حال خود یله و رها شده باشد.

عضو کمیسیون شوراهای مجلس اظهار داشت: ما جزو کشورهایی هستیم که فضای مجازی کشورمان هیچ ضابطه، قانون، مرز و مرزبانی ندارد و در سایه فقدان این قانون و مرز ده‌ها هزار میلیارد تومان به صورت قمار از کشور خارج شده است.

ابوترابی خاطرنشان کرد: امروز بخش اعظمی از فعالیت‌های اقتصادی و امور دیگر بخش‌ها در کشور ما در فضای مجازی انجام می‌شود و این مسأله ضرورت قانونمند کردن فضای مجازی را‌‌‌‌‌‌‌‌ بیش از پیش به ما گوشزد می‌کند.

وی افزود: قانونمند کردن فضای مجازی به معنای اعمال محدودیت علیه مردم نیست، بلکه فضای مجازی نیز باید مانند فضای حقیقی دارای قانون و ضابطه باشد.

عضو کمیسیون شوراهای مجلس اظهار داشت: طرح مجلس برای حمایت از کاربران در فضای مجازی هم همین مسأله را‌‌‌‌‌‌‌‌ دنبال می‌کنند و به دنبال صیانت از حقوق مردم و ایجاد جوی و آرام و امن برای من در فضای مجازی است.

نماینده ویژه وزیر ارتباطات در امنیت فاوا گفت: از آنجاییکه وزارت ارتباطات متولی امنیت سازمان‌های غیرزیرساختی کشور است، راه اندازی مرکز مدیریت امنیت سایبری در مقیاس ملی، در دستورکار قرار گرفت.

امیر محمدزاده لاجوردی در گفتگو با خبرنگار مهر، با اشاره به برنامه‌های مدنظر برای ارتقای موضوع امنیت فناوری اطلاعات و ارتباطات اظهار داشت: اقدامی که پیگیر انجام آن هستیم، «راه اندازی مرکز مدیریت یکپارچه امنیت در وزارت ارتباطات» است.

وی گفت: از آنجایی که وزارت ارتباطات هم اکنون متولی امنیت سازمان‌های غیر زیرساختی کشور است، ما قصد راه اندازی مرکز عملیات امنیت سایبری در مقیاس ملی را داریم تا بتوانیم رخدادها و حملات سایبری را به صورت برخط شناسایی کرده و در لحظه، با آنها مقابله کنیم.

نماینده ویژه وزیر ارتباطات در امنیت فناوری اطلاعات و ارتباطات با بیان اینکه در حال حاضر مرکز ماهر به نوعی این مسئولیت را برعهده دارد اما ضعف‌هایی وجود دارد و ما با نقطه ایده آل فاصله داریم، ادامه داد: پتانسیل‌های خوبی وجود دارد اما نیازمند همگرایی بخش‌ها هستیم.

وی گفت: برای راه اندازی این مرکز، پیش بینی سرمایه‌ای بیش از ۳ هزار میلیارد تومان شده اما پتانسیل‌هایی نیز در وزارت ارتباطات وجود دارد که می‌شود برای راه اندازی این مرکز با هزینه کمتر از این پتانسیل‌ها استفاده کرد.

لاجوردی با اشاره به پروژه دیگری که در حوزه امنیت فضای مجازی دنبال می‌شود، از «اصلاح نظام ارزیابی تجهیزات و محصولات و خدمات حوزه امنیت» خبر داد.

وی گفت: این نظام ارزیابی امنیتی و عملکردی خواهد بود. چرا که متأسفانه تاکنون در کشور ارزیابی عملکردی در این حوزه به خوبی انجام نشده است و ما معتقدیم که این نظام باید تصحیح شود تا کارآیی اصلی خود را داشته باشد.

عضو هیأت مدیره شرکت ارتباطات زیرساخت خاطرنشان کرد: ضروری است که نظام ارزیابی تجهیزات و محصولات و خدمات حوزه امنیت در مورد ارزیابی تجهیزات خارجی نیز پیاده سازی شود. چرا که هم اکنون شاهد هستیم که روی تجهیزات داخلی برای ورود به زیرساخت یک سازمان، سختگیری صورت می‌گیرد اما در مورد تجهیزات خارجی اینگونه نیست و عملاً برعکس است. به همین جهت در حال تدوین آئین نامه‌ای در این زمینه هستیم.

نماینده ویژه وزیر ارتباطات در امنیت فناوری اطلاعات و ارتباطات اجرای این دو پروژه را در راستای برنامه‌های کلان شبکه ملی اطلاعات در حوزه امن سازی عنوان کرد و درباره زمان بندی اجرای این برنامه‌ها گفت: ما در اقدامات کلان شبکه ملی اطلاعات برنامه زمان بندی متفاوتی داریم و باید یک سری از پروژه‌ها را تا سال ۱۴۰۲ و یک سری را تا ۱۴۰۳ پیش ببریم. اما برنامه ما این است که بیشترین وزن انجام پروژه‌ها را در دو سال پیش رو یعنی سال‌های ۱۴۰۱ و ۱۴۰۲ داشته باشیم.

وی با اشاره به اینکه از ۵۳ اقدام کلان تعریف شده در سند طرح کلان شبکه ملی اطلاعات، حدود ۲۰ اقدام کاملاً امنیتی است، مستقل از اینکه کدام سازمان و نهادی مجری آن باشد، گفت: متولی اصلی ۱۸ مورد از این ۲۰ اقدام وزارت ارتباطات است. از این رو یکی از چالش‌هایی که در ابتدای کار داشتیم این بود که بسیاری از اقدامات فقط در حد عنوان بود و برای تعریف اقدامات و وظایف با ابهام مواجه بودیم.

لاجوردی ادامه داد: از میان ۱۸ اقدامی که جز تکالیف ما بود، بسیاری طرح تفصیلی نداشت و به همین دلیل جلساتی را در حوزه‌های مختلف داخل و بیرون وزارت ارتباطات داشتیم و تفسیر این اقدامات را پیگیری کردیم. در همین حال از مرکز ملی فضای مجازی نیز خواستیم تا تفسیرشان را در مورد اقدامات و تکالیف در اختیار ما بگذارند تا نگاهمان در خصوص این پروژه‌ها هم‌راستا شود و این‌طور نباشد که چهار سال بگذرد بعد متوجه شویم که تفسیرها از اهداف مدنظر، متفاوت بوده است.

کلاهبرداری سایبری میلیاردی از۶۰ نفر

چهارشنبه, ۱۷ فروردين ۱۴۰۱، ۰۳:۲۸ ب.ظ | ۰ نظر

رئیس پلیس فتا پایتخت از دستگیری ۳ متهم کلاهبرداری سایبری خبرداد.

به گزارش فارس، رئیس پلیس فتا پایتخت از شناسایی و دستگیری کلاهبرداران اینترنتی خبر داد که با ترفند ارسال پیامکهای جعلی از مدارک هویتی شهروندان سواستفاده می کردند.

 سرهنگ داود معظمی گودرزی در تشریح جزئیات این خبر اظهار داشت: در پی مراجعه تعدادی از شهروندان به پلیس فتا پایتخت مبنی بر برداشت غیرمجاز از حسابشان بعد از دریافت پیامک جعلی سامانه ثنا و ابلاغ قضایی و یا کلاهبرداری به نام آنها از اشخاص دیگر ،موضوع در دستور کار پلیس قرار گرفت.

سرهنگ گودرزی تصریح کرد: در این ترفند با عنوان سامانه «ثنا»، عده‌ای از مجرمین سایبری با طراحی و ارسال پیامک حاوی یک لینک آلوده به بدافزار فیشینگ، کاربران را ترغیب به ورود به سامانه جعلی و مشاهده ابلاغیه خود در ازای واریز وجوه اندک می‌کنند که در نهایت به کلاهبرداری از شهروندان منجر می شود .

وی ادامه داد: کارشناسان پلیس فتا پایتخت بلافاصله اقدامات تخصصی خود را آغاز کرده و با تلاش شبانه روزی و بهره گیری از روش‌های فنی و علمی موفق شدند ردپای مجرمین را شناسایی کرده و به هویت اعضای این باند که 3 نفر بودند دست پیدا کنند، همچنین در تحقیقات مشخص شد اعضای این باند علاوه بر برداشت غیر مجاز اینترنتی از حساب شهروندان با درج آگهی های جعلی استخدام در حوزه رمز ارز در سایت های اینترنتی و دریافت مدارک هویتی شهروندان و حسابهای کاربری آنها در صرافی های اینترنتی مختلف و فروشگاه های آنلاین اقدام به سوء استفاده می کردند.

رئیس پلیس فتا پایتخت افزود:در نهایت پرونده وارد مرحله عملیاتی شده و این مجرمین پس از تشریفات قضایی در یکی از مناطق جنوبی تهران در مخفیگاه خود دستگیر و به همراه تجهیزات الکترونیک به پلیس فتا منتقل شد. 

سرهنگ گودرزی با اشاره به اینکه متاسفانه ارسال پیامک های حاوی لینک و یا بدافزار فیشینگ خصوصا ارسال پیامک سامانه ثنا و سهام عدالت ، رجیستری تلفن همراه از جمله ترفندهای شایع مورد استفاده متهمان است، افزود : متهمان پس از انتقال به پلیس فتا همه چیز را انکار کرده اما با مشاهده مستندات و ادله دیجیتال جمع آوری شده توسط پلیس ضمن پذیرش بزه انتسابی پرده از چگونگی اقدامات مجرمانه خود برداشت و به برداشت مبالغی از حساب بیش از 60 نفر از شهروندان با ارزش ریالی حدودا یک میلیارد تومانی و سوء استفاده از مدارک هویتی بیش از 100 نفر اعتراف کردند.

رئیس پلیس فتا تهران بزرگ با تاکید بر اینکه مهمترین عامل پیشگیری از این نوع کلاهبرداری، افزایش آگاهی در این خصوص است به شهروندان توصیه کرد: به هیچ عنوان مدارک شخصی و هویتی خود و یا رمز ورود به حسابهای کاربری مختلف خود را در فضای مجازی به افراد غیر واگذار نکرده و به پیامک های ناشناس که دارای لینک هستند توجه نکرده و دقت داشته باشند که هیچ سازمان رسمی و دولتی از جمله قوه قضائیه با شماره های شخصی پیامک ارسال نمی کند،شهروندان همچنین می توانند هرگونه موضوع مشکوک و مشابه را از طریق تماس با شماره 110 و یا سایت پلیس فتا به آدرس www.cyberpolice.ir گزارش کنند.

کلاهبرداری و پولشویی با ترفند«اجاره کارت بانکی»

سه شنبه, ۱۶ فروردين ۱۴۰۱، ۰۳:۳۰ ب.ظ | ۰ نظر

رییس مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا درخصوص کلاهبرداری مجرمان سایبری با ترفند اجاره «کارت بانکی» هشدار داد.

سرهنگ علی‌محمد رجبی رئیس مرکز تشخیص و پیشگیری از جرایم‌ سایبری پلیس فتا انتظامی‌ در گفت‌وگو با فارس به موضوع « اجا‌ره کارت‌های بانکی» اشاره و اظهار داشت: از قراردادن کارت بانکی در اختیار افراد غیر خودداری کرده و خود را در مظان اتهام‌های کلاهبرداری، پولشویی و بدهکاران مالیاتی قرار ندهند.

وی گفت: مسئولیت همه تراکنش‌ها و مبادلاتی که از طریق حساب و کارت بانکی شهروندان انجام می‌شود به عهده دارنده صاحب حساب است و هیچ ادعایی مبنی بر اجاره دادن حساب برای مراجع قانونی، مالیاتی، انتظامی و قضائی قابل قبول نیست.

رئیس مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا انتظامی‌ تصریح کرد: یکی از دلایل فریب افراد برای در اختیار گذاشتن کارت بانکی خود، تبلیغات جعلی کلاهبرداران سایبری تحت عنوان درآمد بالا در شبکه‌های اجتماعی با استفاده از اجاره کارت‌های بانکی است این در حالیست که اجاره کارت‌های بانکی یکی از ابزارهای کلاهبرداران و مجرمان سایبری برای انجام فعالیت مجرمانه و پولشویی به خصوص از طریق فضای مجازی همچون استفاده در سایت‌های قمار و شرط بندی است.

رییس پلیس فتای تهران بزرگ از دستگیری عامل فروش داروهای کمیاب یا غیرمجاز در فضای مجازی خبر داد.

به گزارش ایسنا، سرهنگ داود معظمی گودرزی در حاشیه دستگیری این فرد گفت: فروش دارو در فضای مجازی جرم بوده و پلیس نیز برابر مقررات با آن برخورد خواهد کرد. در همین راستا نیز تیم های رصد پلیس فتای تهران بزرگ چنین مواردی را در رصد خود دارند. در همین راستا نیز چند روز پیش کارشناسان پلیس فتا با پروفایلی در اینستاگرام مواجه شدند که بیش از ۶۰ هزار دنبال کننده داشت و اقدام به انتشار پست هایی درباره فروش داروهای نایاب و غیرمجاز کرده بود.  

وی با بیان اینکه اقدامات پلیس برای شناسایی گرداننده یا گردانندگان این صفحه در دستورکار قرارگرفت، گفت:  ماموران پلیس فتا با بهره گیری از روش های فنی و علمی موفق شدند مجرم را در فضای مجازی مورد شناسایی قرار دهند. پس از آن نیز مجوزهای قضایی لازم اخذ شد و این فرد در یکی از مناطق جنوبی تهران دستگیر شد.

معظمی گودرزی با بیان اینکه بیش از ۲۵۰ هزار قلم انواع داروی کمیاب و نایاب از محل دستگیری این فرد کشف و ضبط شد، گفت: متهم پس از انتقال به پلیس فتا به فروش داروهایی که برخی از آنها فاسد و تاریخ گذشته هم بودند، در پوشش داروی کمیاب و نایاب اعتراف کرد.

به گفته رییس پلیس فتای تهران بزرگ برای این فرد پرونده ای تشکیل شده و متهم برای ادامه روند رسیدگی به جرم روانه دادسرا شد. همچنین داروها نیز به سازمان غذا و دارو تحویل داده شد تا اقدامات بعدی در مورد آن صورت بگیرد.

تلاش جمعی از نمایندگان برای ارایه درخواست بازگشت طرح صیانت از فضای مجازی به صحن بهارستان در نشست امروز مجلس ناکام ماند. 

تلاش جمعی از نمایندگان برای ارایه درخواست بازگشت طرح صیانت از فضای مجازی به صحن بهارستان در نشست امروز مجلس ناکام ماند. 

در حالی که شب گذشته جلال رشیدی کوچی، نماینده مرودشت و از امضا کنندگان درخواست بازگشت طرح صیانت به صحن مجلس ، از ارایه این درخواست با 185 امضا به هیات رئیسه در نشست امروز بهارستان خبر داده بود، این  وعده محقق نشد.

از اواخر اسفندماه سال گذشته قریب به 185 نماینده درصددند بررسی طرح را به صحن بهارستان بازگردانند تا جزییات تدوین و تهیه قانون صیانت از فضای مجازی به جای کمیسیون ویژه در نشست های علنی مجلس و حضور رسانه ها مورد بحث و بررسی قرار گیرد.

 درهمین راستا ساعاتی قبل رشیدی کوچی و در گفتگو با همشهری آنلاین درباره چرایی تلاش جمعی از نمایندگان برای بازگرداندن طرح صیانت به صحن مجلس گفته بود که اینکه ۱۸ نماینده بخواهند چنین طرح مهمی را در ذیل اصل ۸۵ قانون اساسی و کمیسیون مشترک پیش ببرند، موجب ایجاد نگرانی برای مردم می شود و ممکن از بحث شفاف سازی هم فاصله بگیریم. ما به دنبال این هستیم که این طرح را از کمیسیون مشترک بگیریم و در صحن مجلس بررسی کنیم و تاکنون هم ۱۸۵ نماینده این تقاضای قانونی را به امضا رسانده اند که این نامه امروز تقدیم هیات رئیسه می شود. بعد از بررسی کلیات اگر طرح با قید دوفوریت باشد باید ظرف مدت حداکثر یک هفته و اگر یک فوریت باشد حداکثر یک ماه و در صورت عادی بودن در نوبت بررسی قرار می گیرد.

 

طرح صیانت همچنان سرگردان در خانه‌ ملت
خبرگزاری آنا نیز در این خصوص گزارش داد طرح صیانت با درخواست نمایندگان از کمیسیون ویژه خارج و قرار است در صحن علنی بررسی شوند ولی هنوز مشخص نیست فرایند قانون‌گذاری در حوزه فضای مجازی چه زمانی تکمیل می‌شود.


به اعتقاد اکثر کارشناسان حوزه فناوری و ارتباطات قانون‌گذاری برای مدیریت فضای مجازی و ساماندهی به خدمات در حال ارائه در اینترنت ضروری است و برای اعمال حاکمیت ملی در فضای سایبری راه‌حلی جز وضع قوانین همه‌جانبه وجود ندارد. اگرچه اقدام مجلس برای قانون‌گذاری در حوزه فضای مجازی از ابتدای طرح موسوم به «صیانت از حقوق کاربران فضای مجازی» با جنجال‌های زیادی همراه بوده است و بررسی‌ها حاکی از آن است برای جلوگیری از اعمال نفوذ اپلیکیشن‌های غیرایرانی بر ابعاد مختلف زندگی مردم در کشور باید هرچه زودتر قانون جامعی برای نظارت بر نحوه فعالیت سکوهای خارجی در کشور تصویب و اجرا شود.

اعضای کمیسیون ویژه رسیدگی به طرح صیانت از حقوق کاربران فضای مجازی در آخرین روزهای سال ۱۴۰۰ کلیات این طرح را تصویب و اعلام کردند قصد بررسی جزئیات طرح صیانت را در آینده نزدیک دارند. ابهامات گسترده در روند بررسی و قانون‌گذاری بزرگ‌ترین طرح ساماندهی فضای مجازی و وجود اشکالات فنی در جزئیات طرح صیانت موجب شد پس از انتشار خبر تصویب کلیات طرح در کمیسیون ویژه موجی از نگرانی در جامعه ایجاد شد و بسیاری از مردم این اقدام نمایندگان مجلس را زمینه‌ساز نابودی هزاران کسب‌وکار فعال در بستر فضای مجازی و به ویژه شبکه‌های اجتماعی دانستند.

مدت کوتاهی پس از تصویب کلیات طرح صیانت در کمیسیون ویژه تعداد زیادی از نمایندگان به روند بررسی این طرح انتقاد کرده و طی نامه‌ای رسمی به رئیس مجلس خواستار بررسی طرح صیانت در صحن علنی مجلس شورای اسلامی و با حضور تمامی نمایندگان شدند. در همین زمان برخی از رسانه‌ها نیز از تلاش برخی از نمایندگان برای ارائه طرحی جدید با عناوین «صیانت پلاس» یا «صیانت ۲» خبر دادند. البته اکثر نمایندگان اعمال محدودیت بر شبکه‌های اجتماعی فعال در کشور را بر اساس طرح صیانت ۲ را رد کرد و به گفته حسن همتی، عضو کمیسیون امنیت ملی مجلس «طرح صیانت تحت هیچ شرایطی به معنای محدود کردن و قطع کردن اینترنت نیست. همه می‌دانند که امروز فضای مجازی بستری برای ادامه فعالیت بسیاری از کسب‌وکارهاست و هیچ کس حق ندارد در این حوزه محدودیت ایجاد کند. این طرح نباید تنها توسط عده‌ای محدود و در کمیسیون ویژه بررسی شود بلکه باید از نظرات مختلف استفاده شده و همه فرایندها قانون‌گذاری در حوزه فضای مجازی شفاف باشد.»

 

تصمیم‌گیری در خصوص روند بررسی طرح صیانت
روز گذشته جلال رشیدی کوچی، عضو کمیسیون امور داخلی کشور و شوراها در توئیتر خود نوشت: «فردا صبح درخواست ۱۸۵ نماینده مجلس مبنی بر بازگرداندن طرح صیانت از کمیسیون مشترک به صحن علنی مجلس تقدیم هیأت رئیسه خواهم کرد. طبق آئین‌نامه این تقاضا در همان جلسه اعلام و در جلسه بعد طبق ماده ۱۶۵ آئین‌نامه به آن رسیدگی می‌شود.»

تلاش نمایندگان برای رسیدگی به طرح صیانت از حقوق کاربران در حالی ادامه دارد که فعالان بخش خصوص ضمن ابراز نگرانی از عدم هماهنگی جزئیات منتشر شده طرح با مباحث تخصصی و کارشناسی در حوزه فناوری اطلاعات و ارتباطات خواستار تعامل گسترده نمایندگان با نخبگان این حوزه برای رفع اشکالات موجود شدند. بر اساس اعلام حسین اسلامی، رئیس سازمان نظام صنفی رایانه‌ای استان تهران «روشی که تاکنون برای تصویب طرح صیانت در پیش گرفته شده است روشی نبوده که کارشناسان حوزه فناوری اطلاعات مد نظر دارند. می‌کوشیم حتی یک قدم به سمت منافع مورد در حوزه قانون‌گذاری در فضای مجازی برداریم. طرح کنونی پاسخ مناسبی به دغدغه‌های مردم نیست و امیدواریم پیگیری‌های دولت منجر به کاهش نکات منفی طرح صیانت شود.»

در حالی که به نظر می‌رسد روند بررسی طرح صیانت طبق اصل ۸۵ قانون اساسی و در کمیسیون ویژه به زودی تغییر می‌کند هنوز برخی از اعضای این کمیسیون بر عدم ابطال کلیات طرح اصرار دارند. در همین خصوص احمد حسین فلاحی، عضو کمیسیون ویژه طرح صیانت از حقوق کاربران فضای مجازی می‌گوید «به طور کلی هیچ طرح جدیدی در حوزه فضای مجازی در مجلس مطرح نشده است. در صحبت‌های کسانی که چنین ادعاهایی را مطرح می‌کنند تناقضات بسیاری وجود دارد. برخی نمایندگان مخالف با طرح صیانت عنوان می‌کنند اصلاً مجلس حق قانون‌گذاری در حوزه فضای مجازی را ندارد و شورای عالی فضای مجازی باید در این زمینه قانون‌گذاری کنند.»

برخی از نمایندگان ورود دولت به حوزه طراحی قانون در زمینه فضای مجازی را لازمه ارائه طرحی جامع و دقیق برای ساماندهی خدمات آنلاین می‌دانند و معتقدند شورای عالی فضای مجازی برای نظارت و کنترل فضای مجازی از ابزارهای کافی برخوردار است ولی به اذعان احمد حسین فلاحی «نمایندگان شورای عالی فضای مجازی در بیش از پنجاه جلسه کمیسیون ویژه رسیدگی به طرح صیانت از حقوق کاربران حضور داشتند و اگر قرار بود مصوبه شورای عالی فضای مجازی بازدارنده و کافی باشد چرا رهبر معظم انقلاب اسلامی بارها نسبت به رهاشدگی فضای مجازی گلایه کردند. یعنی با وجود چنین شورایی در کشور فضای مجازی فاقد نظام مدیریتی کارآمدی است و برخی به این رهاشدگی افتخار می‌کنند.»

 

اعمال محدودیت پس از تصویب طرح صیانت صرفاً در حد ادعا است
مهرداد گودرزوند چگینی درباره چگونگی ادامه فرایند رسیدگی به طرح صیانت در مجلس شورای اسلامی در گفت‌وگو با خبرنگار گروه علم و فناوری خبرگزاری آنا اظهار کرد: بیش از ۲۰۰ نماینده مجلس خواستار خارج شدن طرح صیانت از اصل ۸۵ قانون اساسی شدند و اعلام کردند این طرح باید رد صحن علنی مجلس بررسی شود. از طرفی شورای عالی فضای مجازی نیز در خصوص جزئیات منتشر شده از طرح صیانت مباحثی را مطرح کرده است.

وی افزود: به نظر می‌رسد این هفته تکلیف ادامه رسیدگی به طرح صیانت در مجلس به طور کامل مشخص شود. هیأت رئیسه مجلس باید در خصوص چگونگی بررسی طرح در صحن علنی یا در کمیسیون ویژه تصمیم‌گیری کند. پس از انتشار درخواست نمایندگان برای خارج شدن طرح صیانت از کمیسیون مشترک تغییراتی در طرح ایجاد شد و با وجود این تغییرات هنوز جزئیات دقیق طرح نهایی مشخص نیست.

عضو کمیسیون ویژه طرح صیانت از حقوق کاربران فضای مجازی بیان کرد: بنده معتقدم وجود قانون در حوزه فضای مجازی ضروری است ولی اگر دولت لایحه‌ای در این زمینه به مجلس ارائه دهد طرح جامعیت بیشتری خواهد داشت. نمی‌توانیم در کشور از خدمات آنلاین استفاده کنیم ولی قوانین به‌روز نداشته باشیم. مهم‌ترین ایرادی که نمایندگان مخالف بررسی طرح صیانت در کمیسیون مشترک به آن می‌گیرند اعمال محدودیت و مسدودسازی شبکه‌های اجتماعی خارجی است. البته چنین محدودیت‌هایی از مدت‌ها پیش با موافقت اعضای کمیسیون از جزئیات طرح حذف شد. مابقی صحبت‌هایی که از سوی برخی نمایندگان مطرح می‌شود صرفاً تبلیغاتی و در حد جنجال‌سازی است.

رئیس مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا ناجا گفت: کاربران از دانلود خودکار تصاویر و فیلم در پیام‌رسان واتس آپ جلوگیری کنند.
سرهنگ علی محمد رجبی در گفت‌وگو با میزان گفت: اپلیکیشن‌های پیام رسان همگی قابلیت دانلود خودکار را دارا هستند.

وی افزود: با وجود اینکه این قابلیت کارآمد است، اما گاهی اوقات ممکن است با وجود بدافزار‌های موجود در فضای مجازی که باعث آلوده شدن سیستم می‌شوند آزار دهنده باشد.

رئیس مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا ناجا تصریح کرد: برای غیر فعال کردن این قابلیت یک مسیر ساده پیش روی شما خواهد بود.
وی افزود: کاربران شبکه مجازی واتس آپ با بازکردن سه نقطه صفحه اصلی پیامرسان و با مراجعه به بخش تنظیمات settings به بخش storag and data مراجعه کنند.

سرهنگ رجبی اظهار کرد: کاربران در ادامه انجام این فرآیند به بخش mediaauto – download یا بارگیری خودکار رسانه بروند و در ادامه با توجه به نوع استفاده از اینترنت تلفن همراه یا ... تمام دانلود‌های خودکار خود را غیرفعال کنند.

کاهش ۳۱ درصدی برداشت اینترنتی غیر مجاز بانکی

دوشنبه, ۸ فروردين ۱۴۰۱، ۰۴:۰۳ ب.ظ | ۰ نظر

رئیس پلیس فتا گفت:جرم برداشت اینترنتی غیر مجاز بانکی در سال ۱۴۰۰ کاهش ۳۱ درصدی داشته است.

به گزارش خبرگزاری مهر، سردار وحید مجید پس از حضور در جلسه قرارگاه نوروزی ستاد فرماندهی انتظامی استان و دریافت گزارشات مسئولین حاضر در جلسه و ابلاغ سلام فرمانده محترم کل انتظامی کشور به جمع حاضر از اقدامات صورت پذیرفته انتظامی و دریابانی استان اظهار رضایت نمود.

این مقام ارشد انتظامی ضمن تشریح اهمیت مأموریت‌های محوله با توجه به شرایط خاص استان از منظر موقعیت استراتژیک و دارا بودن اماکن حساس و طبقه‌بندی شده و بازه زمانی ویژه حاضر، خواستار تداوم برقراری امنیت پایدار فعلی تا خاتمه ایام تعطیلات گردیده و سپس در اولین اقدام در دیدار با خانواده شهید کرامت بحرینی به نیابت از فرمانده کل انتظامی کشور قدردانی و آنها را مورد تفقد قرار داده و در ادامه با حضور در پلیس فتا مرکز استان ضمن بازدید از وضعیت ساختمان، تجهیزات و امکانات، با یکایک کارکنان بصورت چهره به چهره دیدار نمودند.

رئیس پلیس فتا انتظامی کشور در ادامه با حضور دربین کارکنان از عملکرد پلیس فتا استان بوشهر در مقوله‌های پی جویی و کشف جرایم سایبری در سال ۱۴۰۰، کاهش ۳۱ درصدی جرم برداشت اینترنتی غیر مجاز بانکی، اقدامات پیشگیرانه و مرتبط با ارتقا سواد رسانه‌ای و آموزشی حوزه سایبر، بررسی‌های علمی فانزیکی آزمایشگاهی و به‌ویژه پشتیبانی از سایر پلیس‌های تخصصی و یگان‌های انتظامی اعلام رضایت نموده و تأکید فرمودند که این روحیه شاداب و انگیزه‌های بالای فعلی کارکنان می‌بایست حفظ شود.

رئیس پلیس فتا انتظامی کشور در خاتمه با آرزوی موفقیت و سربلندی برای کلیه هم‌وطنان عزیز تأکید کرد: به جهت مقابله با جرایم سایبری و افزایش امنیت هم‌وطنان در فضای مجازی، ارتقا سطح آموزش و دانش اینترنتی کاربران لازم و ضروری می‌باشد.

نبود مدیریت بر فضای مجازی و اهمیت حکمرانی بر این فضا کلیدواژه‌های پرتکراری هستند که در سال ۱۴۰۰ بارها از سوی مقام معظم رهبری خطاب به مسئولان و مردم تکرار شدند.

به گزارش خبرنگار مهر، اهمیت فضای مجازی و دغدغه‌های حاکم بر این فضا طی سال‌های اخیر در بیانات رهبر انقلاب بارها شنیده شده است و ایشان در اظهارات متعددی غفلت از آسیب‌های مرتبط با این فضا را گوشزد کرده و تعابیری راهبردی به کار گرفته‌اند. حتی ایشان در جایی فرمودند: «اگر من امروز رهبر انقلاب نبودم حتماً رئیس فضای مجازی کشور می‌شدم» که این بیانات اهمیت فضای مجازی را نشان می‌دهد.

رهبر انقلاب در جایی دیگر نیز فرموده اند: «اهمیت فضای مجازی به اندازه اهمیت انقلاب اسلامی است».

اگرچه این اظهارات و تعابیر راهبردی مقام معظم رهبری، تبیین اهمیت فضای مجازی را به همراه دارد و یکی از اولویت‌ها و ارجحیت‌های مدیریت اجرایی کشور را به روشنی بیان می‌کند اما با این وجود، بی توجهی به مدیریت عالمانه و هوشمند مسائل مرتبط با فضای مجازی در کشور و نبود اعمال حاکمیت جمهوری اسلامی بر این فضا سبب شد تا رهبر انقلاب در بیش از ۱۰ سخنرانی در سال ۱۴۰۰ اشاره مستقیم به ابعاد مختلف فضای مجازی داشته باشند. ایشان در روز اول فروردین ۱۴۰۰ از ولنگاری فضای مجازی انتقاد کردند و طی سال گذشته نیز در بیانات دیگری نیز این موضوع را به مسئولان گوشزد کردند.

 

«ول بودن» فضای مجازی افتخار ندارد

مقام معظم رهبری در ابتدای سال ۱۴۰۰ و در سخنرانی نوروزی خطاب به ملت ایران با اشاره به سوء‌استفاده و منفی‌بافی برخی‌ها با بزرگنمایی مشکلات موجود به خصوص در فضای مجازی و تبلیغات خارجی دشمنان گفتند: برخی آیه یأس می‌خوانند و راه را بن‌بست نشان می‌دهند اما اصلاً این‌طور نیست و ایران می‌تواند با استفاده از ظرفیت‌های مختلف داخلی از شکوفاترین اقتصادهای منطقه و حتی جهان باشد.

حضرت آیت‌الله خامنه‌ای با اشاره به استفاده حداکثری از فضای مجازی برای دلسرد کردن مردم و همچنین از رونق انداختن انتخابات، از نحوه مدیریت فضای مجازی در کشور انتقاد کردند و گفتند: همه کشورهای دنیا روی فضای مجازی خودشان اِعمال مدیریت می‌کنند، در حالی که ما افتخار می‌کنیم به اینکه ما فضای مجازی را ول کرده‌ایم! این افتخار ندارد؛ این به هیچ وجه افتخار ندارد. فضای مجازی را باید مدیریت کرد.

رهبر انقلاب اسلامی تأکید کردند: مردم باید از فضای مجازی که وسیله آزادی است، استفاده کنند اما این فضا را نباید در اختیار دشمن قرار داد که بتواند علیه کشور و علیه ملّت توطئه کند. اما متأسفانه در فضای مجازی کشور ما آن رعایت‌های لازم با وجود این همه تأکیدی که من کرده ام صورت نمی‌گیرد و در یک جهاتی واقعاً «ول» است، که بایستی آن کسانی که مسئول هستند حواسشان باشد.

 

فضای مجازی نیازمند راه‌های ابتکاری و فکر نو

رهبر انقلاب در ۲۱ اردیبهشت ماه ۱۴۰۰ نیز در ارتباط تصویری با نمایندگان تشکل‌های دانشجویی در بیاناتی به مساله آسیب‌های ناشی از فضای مجازی اشاره کردند و گفتند: مسائل جدیدی هم هست که در گذشته نبود؛ از جمله فضای مجازی که یک مسئله جدیدی است، پدیده‌ی تازه‌ای است و قبلاً این پدیده وجود نداشته است بنابراین، برای پیشگیری از مشکلات ناشی از این پدیده -بالاخره هر پدیده‌ای یک مشکلاتی دارد، یک منافعی دارد- و برای اینکه کشور و جامعه از مشکلاتش و ضررهایش و آسیب‌هایش مصون بماند، امروز به فکرهای جدید و راه‌های ابتکاری و در واقع دانش و فکر نو نیاز است.

 

هر چه در فضای مجازی برجسته شد، حتماً خواست مردم نیست

بیانات رهبر انقلاب در روز ششم خرداد ۱۴۰۰ در ارتباط تصویری با نمایندگان مجلس شورای اسلامی در آستانه انتخابات ریاست جمهوری نیز به مساله استفاده از فضای مجازی اختصاص یافت.

ایشان گفتند: من شنیدم گفته شده که نامزدها در مناظرات و در گفتگوها نظر خودشان را در باب فضای مجازی بگویند یا در باب سیاست خارجی بگویند؛ نه آقا، مسئله اصلی مردم فضای مجازی و سیاست خارجی و ارتباط با این دولت و آن دولت نیست؛ مسئله اصلی مردم چیزهای دیگر است؛ مسئله اصلی مردم بیکاری جوان‌ها است، مسئله اصلی مردم معیشت طبقات ضعیف جامعه است.

مقام معظم رهبری فرمودند: برنامه مخالفین هم -که ما تا حدودی اطلاع داریم- به جان هم انداختن طرف‌دارها است؛ طرف‌دار این نامزد با طرف‌دار آن نامزد، این علیه او بد بگوید، او علیه این بد بگوید و آنها از فضای مجازی دارند به این وسیله استفاده می‌کنند؛ یعنی در فضای مجازی از زبان یک نفری در این ستاد، علیه یک کسی در آن ستاد و از زبان او علیه این به دروغ یک حرفی منتشر می‌کنند و اینها را به جان هم می‌اندازند؛ این برنامه است، توجه داشته باشید. انگیزه‌های دشمنان برای اخلال و ایجاد اختلال انگیزه‌های خیلی عمیقی است و دنبال این مسئله هستند.

ایشان افزودند: در فضای مجازی یک چیزهایی برجسته می‌شود که اینها لزوماً بازتاب خواست مردم نیست. این جور نیست که هر چه در فضای مجازی برجسته شد، حتماً خواست مردم است؛ نخیر، گاهی یک چیزی را برجسته می‌کنند، بزرگ می‌کنند.

 

انتقاد مجدد رهبری از رها بودن فضای مجازی

رهبر انقلاب بار دیگر در سخنرانی تلویزیونی به مناسبت سی‌ودومین سالگرد رحلت امام خمینی در ۱۴ خرداد ۱۴۰۰ به مساله رهابودن فضای مجازی انتقاد کردند.

ایشان گفتند: در جریان عدم احراز صلاحیت، به بعضی از کسانی که صلاحیتشان احراز نشده بود جفا شد، ظلم شد؛ یا به خودشان یا به خانواده‌هایشان نسبت‌هایی داده شد که واقعیت نداشت؛ به کسانشان نسبت‌هایی داده شد و خانواده‌های محترم و عفیف، دچار مواجهه با یک چنین نسبت‌هایی شدند. اینها گزارش‌های خلافی بود، غلطی بود؛ بعد هم ثابت شد که خلاف است، معلوم شد که خلاف است، منتها در دهان مردم پخش شد و متأسّفانه در فضای مجازی؛ اینکه من می گویم فضای مجازی رها است، یک نمونه‌اش همین است که بدون هیچ قید و بندی این چیزها را منتشر کردند.

مقام معظم رهبری افزودند: حفظ آبروی انسان‌ها جزو مهم‌ترین مسائل است. جزو بالاترین حقوق انسان‌ها است. خواهشم این است و مطالبه‌ام از دستگاه‌های مسئول این است که جبران کنند. مواردی که یک گزارشی خلاف واقع داده شده مربوط به فرزند کسی، مربوط به خانواده کسی، بعد هم معلوم شده که خلاف واقع است، این را جبران کنند و اعاده حیثیت کنند.

 

امکانات فضای مجازی برای روشنگری مغتنم است

حضرت آیت الله خامنه ای در پایان مراسم عزاداری اربعین حسینی در ۵ مهرماه ۱۴۰۰ در بیاناتی امکانات ناشی از فضای مجازی و رسانه‌ای را برای روشنگری و پاسخ به ابهامات مغتنم خواندند و فرمودند: از این کاری که بعضی‌ها در فضای مجازی یا در مطبوعات و در مقاله‌ها و اینجا و آنجا انجام می‌دهند که با دشنام، با تهمت و فریب و دروغ با افکار عمومی مواجه می‌شوند، باید بشدت اجتناب کرد.

 

رعایت عدالت در فضای مجازی

ایشان در دوم آبان ماه ۱۴۰۰ در دیدار میهمانان کنفرانس وحدت اسلامی و جمعی از مسئولان نظام گفتند: برای رعایت عدالت باید توجه شود که عدالت فقط هم عدالت در تقسیم اموال و ثروت نیست؛ عدالت در همه چیز است؛ عادلانه برخورد کردن [در همه چیز]. امروز در فضای مجازی انسان گاهی اوقات بی‌عدالتی مشاهده می‌کند؛ خلاف می‌گویند، تهمت می‌زنند، دروغ می‌گویند، قول بغیر علم می‌گویند؛ اینها بی‌عدالتی است، اینها نباید انجام بگیرد. آن کسی که با فضای مجازی سر و کار دارد، باید خودش مراقبت کند، و آن کسی که فضای مجازی را در اختیار دارد، باید مراقبت مضاعف کند که این کارها انجام نگیرد. یاد بگیریم، عادت کنیم که عادلانه با مردم رفتار بکنیم.

 

فضای مجازی زیر کلید مستکبران است

رهبر انقلاب در روز ۱۱ دی ماه ۱۴۰۰ در دیدار خانواده و ستاد سالگرد شهید سپهبد حاج قاسم سلیمانی در بیاناتی، شأن برخورد حذفی مستکبران با شهید سلیمانی در فضای مجازی را نشانه ترس آنها حتی از اسم شهید و واهمه‌شان از رواج و تکثیر آن الگوی گران‌سنگ دانستند و گفتند: در دنیای امروز، فضای مجازی زیر کلید مستکبران است و این واقعیت باید مسئولین فضای مجازی کشور را نیز هوشیار کند تا به‌نحوی عمل کنند که دشمن نتواند به هر شکل و هر جا که اراده کرد، در فضای مجازی برخورد کند.

ایشان تاکید کردند: امروز هم مستکبران از نام او وحشت دارند، از یاد او وحشت دارند؛ ببینید در فضای مجازی لابد بیشتر از من اطلاع دارید دیگر؛ با اسم او چه برخوردی دارند می‌کنند؛ این هم یک تنبیه دیگری است، تنبه بیشتری است برای ما و مسئولین فضای مجازی کشور که بفهمند چه کار باید بکنند، تا دشمن نتواند هر جور دلش می‌خواهد، یا هر جایی که دلش می‌خواهد رفتار کند.

 

برخی با وسوسه‌های خود در فضای مجازی جوانان را ناامید می‌کنند

مقام معظم رهبری در ۱۹ دی ماه ۱۴۰۰ در ارتباط تصویری با مردم قم در بیاناتی تاکید کردند: توجه کنید که یکی از کارهایی که امروز به شدت در برنامه‌ریزی‌های دشمنان انقلاب و دشمنان نظام جمهوری اسلامی مطرح است، عبارت است از حساسیت‌زدایی نسبت به اصول و بینات و مبانی انقلاب. مردم حساسند دیگر؛ مردم نسبت به مسائل اساسی انقلاب حساسند؛ کسی به این مبانی تعرض کند، مردم موضع می‌گیرند. می‌خواهند این حساسیت را به تدریج کم کنند؛ این هم باز از راه همین تبلیغات وسیعی است که این روزها در فضای مجازی، در رسانه‌های جمعی بیگانه به انواع مختلف انجام می‌گیرد. گاهی حرف بعضی افراد گوناگون را، آدم‌هایی را که خیلی ارزشی هم ندارند نه حرفشان، نه فکرشان برجسته می‌کنند و بزرگ می‌کنند افراد کم‌مایه و پُرمدعایی هستند که همین مبانی انقلاب را، اصول انقلاب را زیر سوال می‌برند.

ایشان فرمودند: اینها بخشی از یک جنگ نرم وسیع و متنوع دشمن است که این را دنبال می‌کنند. باید به این توجه داشت و در مقابل این حساسیت‌زدایی ایستاد. اهل فکر، اهل قلم، اهل بیان، اهل فعالیت‌های گوناگون اجتماعی، اهل فعالیت در فضای مجازی، آن کسانی که می‌توانند و دستشان باز است، در این زمینه مسئولیت دارند؛ و نگذارند که دشمنان به تدریج این حساسیت و حمیت مردمی را کمرنگ کنند.

رهبر انقلاب افزودند: البته تذکرات دیگری هم هست که بارها گفته شده: تقویت امید و چشم‌انداز به آینده؛ این یکی از مسائل مهم امروز ما است. کسانی هستند که سعی می‌کنند امید را در جوان‌ها تضعیف کنند و جوان‌ها را نسبت به آینده ناامید و بی‌اعتماد کنند، تا چشم‌اندازی در مقابل آنها وجود نداشته باشد؛ این وظیفه ما است که این امید را در دل‌ها تقویت بکنیم. تقویت این امید فقط هم با حرف زدن نمی‌شود؛ با تلاش، با حرکت باید باشد. مسئولین کشور، دولتمردان کشور که بحمدالله مشغول کار و فعالیت هستند، به این نکته توجه کنند که بسیاری از کارهای مثبت آنها می‌تواند دل جوان‌ها را پر از امید کند، لبریز از امید کند و اینها را امیدوار کند. وقتی که جوان امید داشت، در میدان‌های مختلف خوب کار می‌کند، خوب تلاش می‌کند، خوب درس می‌خواند، خوب تحقیق می‌کند. یکی این است که نگذارید بعضی با وسوسه‌های خود در فضای مجازی و غیر فضای مجازی در جهت مخالف امیدوار کردن جوان‌ها حرکت کنند.

 

قدرت‌های غربی از فضای مجازی برای تخریب جمهوری اسلامی استفاده می‌کنند

حضرت آیت‌الله خامنه‌ای در روز ۱۹ بهمن ماه ۱۴۰۰ در دیدار فرماندهان و کارکنان نیروی هوایی و پدافند هوایی ارتش، دیکتاتوری رسانه‌ای را یکی از انواع دیکتاتوری قدرت‌های غربی با وجود ادعای آزادی بیان آنها خواندند و با اشاره به مصادیقی از آن همچون حذف نام و عکس شهید سلیمانی در فضای مجازی خاطرنشان کردند: آنها هر کلمه و تصویری را که با سیاست‌های غربی معارض باشد، ممنوع الانتشار می‌کنند و در مقابل از همین فضا برای تخریب اسلام و جمهوری اسلامی، استفاده حداکثری می‌کنند.

ایشان گفتند: قدرت‌های غربی معروف به دیکتاتوری هستند دیگر، یعنی همین‌هایی که حالا به خیال خودشان، به ادعای خودشان با دیکتاتوری‌های دنیا می‌خواهند مقابله کنند، خودشان دیکتاتورترین‌ها هستند؛ در زمینه سیاسی، در زمینه اقتصادی، نسبت به همه دنیا دیکتاتوری به خرج می‌دهند. امروز یک قلم بر این دیکتاتوری‌ها افزوده‌اند و آن، دیکتاتوری رسانه‌ای است؛ دیکتاتوری رسانه‌ای. یعنی مثلاً فرض کنید که شما در مجموعه فضای مجازی اسم شهید سلیمانی را نمی‌توانید بیاورید، حذف می‌کنند. در فضای مجازی که کلیدش دست آنها است و زیر کلید آنها است، تحمل اسم شهید سلیمانی را ندارند، تحمل عکس او را ندارند؛ امروز این جور است.

 

بخش نرم افزاری جنگ نرم نیازمند تقویت و نوآوری

رهبر انقلاب در ۱۹ اسفند ۱۴۰۰ نیز در دیدار اعضای مجلس خبرگان رهبری، وضعیت کشور در بخش سخت‌افزاری جنگ نرم و فضای مجازی را نسبتاً خوب و البته نیازمند بهبود و همت رئیس‌جمهور و همکاران برشمردند و گفتند: اما بخش نرم‌افزاری یعنی بیان سخن نو با شیوه‌های جذاب نیازمند تقویت و نوآوری است.

ایشان فرمودند: در جنگ‌های سخت با سلاح‌های قدیمی دیگر نمی‌شود جنگید. امروز با شمشیر و با نیزه و با این چیزها، نمی‌شود به جنگ توپ و موشک و مانند اینها رفت. در جهاد تبیین هم همین جور است؛ با شیوه‌های قدیمی نمی‌شود کار کرد. البته بعضی از شیوه‌های قدیمی جایگزین ندارد، مثل منبر، مثل مداحی؛ اینها قدیمی است اما اینها جایگزین ندارد؛ اینها همچنان اثرگذار است و هیچ چیز دیگری جای اینها را نمی‌گیرد، لکن از لحاظ ابزارهای گوناگون باید به روز حرکت کرد. البته ما امروز در این زمینه سلاح‌های سخت‌افزاری‌مان خوب است؛ یعنی بخش فضای مجازی و امثال اینها بالاخره فعالند و کار می‌کنند و اگر چه فضای مجازی مشکلاتی دارد که ان‌شاء‌الله جناب آقای رئیسی و دوستانشان باید همت کنند و هر چه زودتر باید این مشکلات برطرف شود لکن به هر حال در دسترس است.

مقام معظم رهبری تاکید کردند: کارهایی که بایستی انجام بگیرد، از لحاظ سخت‌افزاری در دسترس است؛ مهم بخش نرم‌افزاری قضیه است. سلاح تبیین یک بخش نرم‌افزاری مهمی دارد؛ در اینجا بایستی نوآوری صورت بگیرد، بایستی سخن نو گفته شود و شیوه نو در بیان ذکر شود.

سرهنگ گودرزی گفت: یکی از شگرد‌های رایج مجرمان سایبری در سرقت رمز ارز‌ها این است که آن‌ها بعد از ساخت کیف پول و شارژ موجودی، سرقت را انجام می‌دهند.
سرهنگ داوود معظمی گودرزی، رئیس پلیس فتای تهران بزرگ گفت: در طول یک سال اخیر پرونده‌های مربوط به رمز ارز‌ها رشد قابل توجهی داشته است. مجرمان سایبری با استفاده از بدافزارها، تلفن همراه کاربران را به ویروس آلوده می‌کنند و رمز و کد‌های امنیتی کاربران را به سرقت می‌برند و به کیف پول دیجیتال شهروندان دسترسی پیدا می‌کنند.

به گفته گودرزی، بیشترین سرقت کد‌های امنیتی به این دلیل است که ساخت کیف دیجیتال به دست افراد بیگانه صورت می‌گیرد و این افراد بعد از مشاهده میزان موجودی و شارژ، سرقت خود را انجام می‌دهند.

در بحث فیشینگ‌ها هم، شبکه‌های اجتماعی کاربران را به صفحاتی هدایت می‌کنند که کاربر مجبور می‌شود رمز خود را در اختیار آن‌ها قرار دهد تا از اطلاعات تخصصی و خدمات مربوط به صرافی‌ها و ... بهره‌مند شود. در نهایت اطلاعات کیف پول کاربران مورد سرقت مجرمان قرار می‌گیرد. 

پیش از این، سرهنگ داوود معظمی گودرزی، رئیس پلیس فتای تهران بزرگ گفته بود، مجرمین سایبری با طراحی برنامه‌های مخرب و بدافزار به دنبال سرقت اطلاعات کاربران هستند؛ بنابراین برای جلوگیری از نصب بدافزار‌ها باید اپلیکیشن‌ها و برنامه‌های مورد نیاز خود را از اپ استور‌ها و مراکز معتبر دانلود کرد.  به مجوز‌های درخواستی هنگام نصب یک اپلیکیشن دقت کنند و  از یک آنتی ویـروس و برنامه امـنیتی بر روی تلفن همراه استفاده کرد.

پیمان جبلی، رئیس سازمان صداوسیما می‌گوید روزانه ده‌ها هزار حمله به آن‌ها می‌شود؛ یا به صورت روباتیک یا از سوی شخصی که آن پشت نشسته و دارد تلاش می‌کند وارد سیستم‌ها شود. او تاکید می‌کند یعنی هزاران عملیات حمله سایبری در روز اتفاق می‌افتد.
به گزارش خبرآنلاین، ۱۲ بهمن ۱۴۰۰ بود که خبر آمد زیرساخت تلوبیون (پلتفرم پخش زنده و آرشیو شبکه‌های سازمان صداوسیما) هک شده است، اتفاقی که چند روز پیش از آن، در هفتم بهمن برای شبکه یک سیما نیز رخ داده بود. حال پیمان جبلی، رئیس سازمان صداوسیما در گفت‌وگو با سالنامه «همشهری» در مورد علت این اتفاق چنین گفته است: «هنوز بررسی‌ها تکمیل نشده و خودمان هم از نتیجه قطعی  کاملا باخبر نیستیم، چون نهادهای متخصص در کشور روی این موضوع کار می‌کنند، کما اینکه در هک سامانه‌های سوخت هم موضوع پیچیده‌ای اتفاق افتاد، آن‌جا هم دارد کار می‌شود، به هر حال ببینید، وب‌محور شدن زندگی بشر در جامعه امروز، آسیب‌پذیرترش کرده است. یعنی یک زمانی در خانه‌مان که می‌نشستیم، دیوار خانه ما مرز خانه ما بود. الان ما هیچ چیز شخصی و حریم شخصی برای خودمان، به خاطر وب‌محور شدن زندگی‌مان، نداریم. شما امکان دارد که بتوانید بدون واتساب زندگی کنید؟ الان سال ۱۴۰۰؟ نمی‌شود.»

او ادامه داد: «آدم یک‌جور احساس می‌کند که در اتاق شیشه‌ای، خانه شیشه‌ای، در کشور شیشه‌ای و در یک جامعه شیشه‌ای زندگی می‌کند. این تا زمانی که به زندگی شخصی مربوط می‌شود، بالاخره افراد اختیارات خودشان را دارند و بعضی‌ها می‌گویند برای این که من حریم خودم را حفظ کنم وارد هیچ شبکه اجتماعی‌ای نمی‌شوم، این یک استثناست. در جامعه ما، حداقل جامعه تحصیل‌کرده شهری نخبه که امکانات در اختیارشان هست، بالای ۹۶ درصد هستند که بالاخره به نحوی این فضا در اختیارشان است اما وقتی کار به دستگاه‌هایی مثل صداوسیما یا نهادهای دیگر می‌رسد، خیلی خطرناک می‌شود. این فقط یک واقعیت نیست، بلکه واقعیت خطرناکی است.»

رییس سازمان صداوسیما درباره سابقه روی‌دادن این اتفاق در تمام کشورهای دنیا گفت: «زمانی بود که برودکست ما از طریق نوار بود و کاغذ. نوار می‌بردیم در استودیو پلی می‌کردیم، از روی کاغذ هم گوینده می‌خواند. الان دیگر تیپلس و پیپرلس یعنی نه نواری وجود دارد و نه کاغذی. نوار از طریق فایل منتقل می‌شود از این نقطه به آن نقطه و متن هم باز به شکل فایل از این نقطه به آن نقطه منتقل می‌شود. یعنی ما الان فایل‌محور شده‌ایم. برودکست هستیم ولی برودکست ما به شدت فایل‌محور است و بر مبنای برودبند است. خب این خیلی آسیب را زیاد می‌کند. یعنی وقتی که تبدیل می‌شویم به مجموعه‌ای که از طریق سیستم‌های اینترانتی و اینترنتی باید پخش و تولید کنیم، امکان نفوذ و هک در ما خیلی زیاد می‌شود، کما این که در کشورهای پیشرفته دنیا هم بارها این‌ها مورد هجوم قرار گرفته‌اند و رخنه‌های امنیتی در آن‌ها به وجود آمده در مورد سرایت‌ها که الی‌ماشاء‌الله، روزی نیست که ده‌ها بلکه صدها و هزاران سایت مورد حمله قرار نگیرد. همه‌شان هم ممکن است انگیزه سیاسی نداشته باشند، خیلی‌ها انگیزه سوءاستفاده دارند، باج‌گیری یا چیزهای دیگر که در دنیا دارد اتفاق می‌افتد.»

رئیس سازمان صداوسیما: روزانه، ده‌ها هزار حمله به ما می‌شود

جبلی درباره هک فایل‌ها گفت: «به خاطر همین یکی از پرمنفعت‌ترین بیزینس‌های دنیا، بیزینس‌های آنتی ویروس و فایروال و این چیزهاست که دارند تولید می‌کنند. ما هم از این آسیب مصون نیستیم و همیشه صداوسیما مراقبت داشته منتها هرچه جلوتر می‌رویم، هرچه فایل محورتر می‌شویم و لازمه‌اش هم هست، ما نمی‌توانیم در سیستم‌های قدیمی بمانیم روزبه‌روز به این سمت می‌رویم که فایل‌محورتر شویم برای جلوگیری از ورود به سیستم ارتباطی، هک فایل‌ها و بارگذاری فایل‌های مخرب، خیلی باید تلاش کنیم. ما هم علاوه بر این که تجهیزات‌مان در بعضی قسمت تجهیزات به‌روزی نیست و این یک زنگ خطر برای کشور و ماست. ما بارها این هشدار را داده‌ایم، وقتی می‌گوییم بودجه، متأسفانه دستگاه‌های مسئول فقط فکر می‌کنند که می‌خواهیم افزایش حقوق بدهیم، ما برای نگهداری، به‌روزرسانی و ارتقای سیستم‌هایمان نیاز به بودجه داریم. وقتی که ما یک سیستم را نتوانیم به‌روز کنیم، اصلا خود آن سیستم ویروس می‌شود، خودش اختلال می‌شود.»

او درباره تکرار این اتفاق گفت: «سیستم‌های امنیتی و ایمنی ما انصافا بد نیست در صداوسیما، پیشرفته است، شاید در روز ده‌ها هزار حمله به ما می‌شود، SOCهایی که داریم رصد می‌کند، بعضی‌ها به صورت رباتیک است و بعضی‌ها هم نه، شخصی پشت آن است و دارد تلاش می‌کند که وارد سیستم‌های ما شود. یعنی هزاران عملیات حمله در روز اتفاق می‌افتد. اتفاقی که افتاد یک اتفاق سازماندهی شده تخریبی و هدفمندی بود که توسط دشمن اتفاق افتاد. اطلاعات اولیه‌ای که داریم بسیار کار حساب شده‌ای بوده و با شناسایی بعضی از حفره‌هایی که یا به دلیل سخت‌افزار و یا به دلیل نرم‌افزار مغفول مانده بود، توانسته بودند از آن مسیر وارد شوند و در واقع آن فایل نامربوط را روی پلی لیست ما بارگذاری کنند و پلی لیست ما هم آن را پخش کرد. دستگاه‌ها و سیستم‌هایی داشتیم که باز سیستم ایمنی‌شان بالاتر بوده و آن فایل را نامربوط تشخیص داده و پخش نکرده، اما بعضی از جاها و بعضی از شبکه‌هایمان مثل شبکه یک یا یکی از شبکه‌های دیگر، چند ثانیه از آن را پخش کردند. باید تلاش کنیم و واقعا داریم این کار را می‌کنیم که از این اتفاقی که افتاده به عنوان یک فرصت استفاده کنیم یعنی بفهمیم و متوجه شویم که نقاط آسیب‌پذیرمان کجاست، نه تنها آن نقاط را سد کنیم و پوشش دهیم بلکه سیستم‌هایی را هم که می‌تواند باعث ایجاد این نفوذها و منفذها شود جلویش را بگیریم و تغییر دهیم.»

۶ پرده از فراز و فرود طرح صیانت

جمعه, ۵ فروردين ۱۴۰۱، ۰۴:۴۴ ب.ظ | ۰ نظر

ماجرای طرح «صیانت» یا «حمایت از حقوق کاربران فضای مجازی» را می توان مهمترین اتفاق سال ۱۴۰۰ در حوزه فضای مجازی دانست که روند تصویب آن به دلیل وجود چالش‌های متعدد، به سال ۱۴۰۱ موکول شده است.

به دنبال نبود قانون مشخص در حوزه فضای مجازی و برخی ناکارآمدی‌ها در مصوبات شورای عالی فضای مجازی، عده‌ای از نمایندگان مجلس بر آن شدند تا قانونی جامع برای فضای مجازی تصویب کنند و این تصمیم ماجرای طرح جنجالی و پر فراز و نشیب «صیانت» را در یک سال اخیر رقم زد.

عدم برگزاری به موقع جلسات شورای عالی فضای مجازی در دولت یازدهم، عدم ساماندهی فضای مجازی، مشکلات مربوط به شبکه‌های اجتماعی خارجی و پیام رسان ها و نیز نبود ضمانت اجرایی برای مصوبات شبکه ملی اطلاعات، نمایندگان مجلس را مصمم کرد تا فضای مجازی کشور را زیر ذره‌بین قرار داده و ساماندهی این فضا را در اولویت بگذارند.

مروری بر آنچه که از ابتدا تاکنون بر ضرورت قانونگذاری حوزه فضای مجازی و انتقادات وارد بر آن، گذشته است، خالی از لطف نخواهد بود.

 

پرده اول؛ ساماندهی پیام رسان ها

از آنجایی که مصوبه ساماندهی پیام رسان های اجتماعی در سال ۹۶ در شورای عالی فضای مجازی به تصویب رسید اما به دلیل نبود ضمانت اجرایی، نتیجه عملیاتی در پی نداشت، سال ۹۷ کمیسیون فرهنگی مجلس دهم، پیش‌نویس «طرح ساماندهی پیام‌رسان‌های اجتماعی» را منتشر کرد تا قانونی برای اجرای مصوبه شورای عالی فضای مجازی باشد. ابتدا این طرح با انتقادهایی روبرو شد و منتقدان به برخی موضوعات از جمله محتوای محدودکننده در این طرح واکنش نشان دادند.

پس از آن این طرح حدود دو سال مسکوت ماند و در شهریورماه سال ۹۹ در مجلس یازدهم طرحی با عنوان «صیانت از حقوق کاربران در فضای مجازی و ساماندهی پیام‌رسان‌های اجتماعی» به امضای حدود ۴۰ نماینده رسید و اعلام وصول شد.

به موازات آن نیز حدود ۷۰ نماینده مجلس، طرح «حمایت از توسعه و رقابت پذیری پلتفرم‌های ارائه دهنده خدمات پایه و کاربردی شبکه ملی اطلاعات» را امضا کردند.

نمایندگان، این دو طرح را با هدف تدوین ضمانت قانونی برای اجرای مصوبات شورای عالی فضای مجازی به ویژه طرح شبکه ملی اطلاعات و تنظیم گری و قانون گذاری خدمات پایه کاربردی فضای مجازی در کشور در دستور کار قرار دادند.

پس از گذشت حدود ۲ ماه از بررسی این طرح‌ها در کمیسیون‌های مجلس و اعلام وصول پیش نویس طرح «صیانت از حقوق کاربران در فضای مجازی و ساماندهی پیام‌رسان‌های اجتماعی» و انتشار آن در ۲۷ آبان سال ۹۹، دیگر خبری از بررسی طرح «حمایت از توسعه و رقابت پذیری پلتفرم‌های ارائه دهنده خدمات پایه و کاربردی شبکه ملی اطلاعات» نشد و اینطور به نظر رسید که این دو طرح به نوعی در یکدیگر ادغام شدند.

طراحان طرح «صیانت از حقوق کاربران در فضای مجازی و ساماندهی پیام‌رسان‌های اجتماعی»، در تشریح دلایل توجیهی برای این طرح به این نکته اشاره کردند که «با توجه به نقش مؤثر پیام‌رسان‌های اجتماعی به عنوان مرجع اثرگذار تعاملات روزمره که سهم فراوانی در شکل‌گیری مناسبات مختلف در جامعه دارد، نمی‌شود نسبت به ابعاد، آثار و آسیب‌های آن بی‌تفاوت بود. بنابراین لازم است که این فضا از طریق قانونی سامان‌دهی و نظارت شود.»

در این مقدمه توجیهی بر حمایت از ظرفیت‌های داخلی از طریق سازوکارهای قانونی تأکید شد؛ حمایتی که هدف آن اعتمادسازی و صیانت از حقوق شهروندی، حریم خصوصی، فرهنگ عمومی و امنیت ملی بود.

یکی از بخش‌های این طرح به موضوع فعالیت پیام‌رسان‌ها اشاره داشت؛ به این ترتیب که عرضه و ارائه خدمات پیام‌رسان‌های داخلی و خارجی در ایران را مستلزم ثبت در پنجره واحد و رعایت قوانین کشور می‌کرد.

پیش نویس این طرح که توسط کمیسیون فرهنگی مجلس مطرح شده بود در سال ۹۹ توسط برخی کمیسیون‌ها از جمله کمیسیون صنایع و امنیت ملی نیز مورد بررسی قرار گرفت و آماده ارائه در صحن علنی در سال ۱۴۰۰ شد.

 

پرده دوم؛ صیانت از خدمات پایه کاربردی

جنجال بر سر طرح صیانت به ابتدای تیرماه سال ۱۴۰۰ بازمی گردد که این طرح با هدف رفع خلاء قانونی در حقوق کاربران فضای مجازی و نیز حمایت از تولیدات داخلی در دستور کار مجلس قرار گرفت و همزمان با آن، نسخه قدیمی این طرح و جزئیات مندرج در آن، منتشر شد. این موضوع باعث شد تا برخی رسانه‌ها و کاربران در فضای مجازی، آن را به ایجاد محدودیت در فضای مجازی تعبیر کرده و انتقادهایی به آن داشته‌باشند.

این طرح در پنجم تیرماه ۱۴۰۰ با عنوان جدید «صیانت از حقوق کاربران و خدمات پایه کاربردی فضای مجازی» منتشر شد و دارای چند سرفصل مهم بود؛ از جمله آنکه نهادی فراقوه‌ای تنظیم‌گری مرتبط با پیام‌رسان‌های اجتماعی را بر عهده گیرد.

در طرح توجیهی این طرح نیز تاکید شده بود که «تأثیرات مختلف اقتصادی، اجتماعی، امنیتی، فرهنگی و سیاسی پیام‌رسان های اجتماعی به عنوان یک زیرساخت نرم افزاری، ارائه طرح قانونی صیانت از حقوق کاربران در فضای مجازی و ساماندهی پیام‌رسان های اجتماعی را با هدف اعمال حاکمیت و حمایت از حقوق کاربران ضروری ساخته است.»

تشکیل هیأتی برای نظارت و ساماندهی پیام‌رسان های اجتماعی، قانونمندشدن فعالیت پیام‌رسان های خارجی و داخلی، صیانت از حریم داده کاربران، تکلیف وزارت ارتباطات در احراز هویت کاربران در فضای مجازی، صیانت از حقوق کودکان در فضای پیام رسانی، تشکیل صندوق حمایت از پیام‌رسان های داخلی، ممنوعیت عرضه رمز ارز توسط پیام‌رسان های خارجی و تعیین جریمه برای تکثیر و توزیع VPN و فیلترشکن از جمله سرفصل‌های مهم این نسخه از طرح بود.

با این حال این طرح از حیث ابهامات در شرایط و ضوابط فعالیت خدمات پایه کاربردی از جمله شبکه‌های اجتماعی و پیام رسان ها و از حیث مقرراتی که برای ارائه دهندگان این خدمات و کسب و کارها در نظر گرفته بود با انتقادات بسیاری روبرو شد.

 

پرده سوم؛ نگرانی کاربران از قطع اینترنت

۲۶ تیرماه ۱۴۰۰ پیش نویس طرح «قانون صیانت از حقوق کاربران و خدمات پایه کاربردی فضای مجازی» که پیش از این با انتقادات و مشکلاتی همراه بود پس از بررسی کارشناسی، اصلاح و برای طرح در صحن علنی مجلس آماده شد.

در آن زمان بیشترین انتقادات و ابهاماتی که به این طرح وارد شد به نگرانی از ایجاد محدودیت برای کاربران و کسب و کارهای فضای مجازی، انتقاد از پرداختن به کل موضوعات فضای مجازی در قالب یک طرح عریض و طویل، تنظیم‌گری فضای مجازی با تشکیل کمیسیون عالی ذیل مرکز ملی فضای مجازی، نحوه حمایت از خدمات پایه کاربردی داخلی و تکلیف و تعهدات خدمات پایه خارجی و تکالیفی درباره مرزبانی سایبری مربوط می‌شد.

ششم مرداد ۱۴۰۰ نیز نمایندگان مجلس شورای اسلامی با بررسی طرح صیانت از حقوق کاربران در فضای مجازی و خدمات پایه کاربردی بر اساس اصل ۸۵ قانون اساسی موافقت کردند.

طبق اصل ۸۵ قانون اساسی، مجلس می‌تواند در موارد ضروری اختیار وضع بعضی از قوانین را به کمیسیون‌های داخلی خود تفویض کند، در این صورت این قوانین در مدتی که مجلس تعیین می‌کند به صورت آزمایشی اجرا می‌شود و تصویب نهایی آنها با مجلس خواهد بود.

بنابراین با موافقت نمایندگان با این درخواست، طرح صیانت از حقوق کاربران در فضای مجازی به جای بررسی در صحن علنی مجلس در کمیسیون مشترک و ویژه وارد فاز بررسی شد.

پس از هشتاد و پنجی شدن طرح صیانت، فضای انتقادات به طرح پررنگ‌تر شد و بسیاری از منتقدان عدم شفافیت به دلیل بررسی طرح در کمیسیون مشترک را در کنار سایر ابهامات موجود، مطرح کردند.

برای مثال ویدئویی توسط یکی از کاربران فضای مجازی در شبکه‌های اجتماعی در خصوص این طرح دست به دست چرخید که در آن گفته شده بود که با تصویب این طرح در مجلس شورای اسلامی، کلیه سرویس‌هایی که هم اکنون کاربران از آن استفاده می‌کنند مثل اینستاگرام و واتس اپ و گوگل مسدود و فیلتر می‌شود و یک سال بعد دیگر خبری از اینترنتی که هم اکنون می‌شناسیم نیست!

 

پرده چهارم؛ حمایت از حقوق کاربران در فضای مجازی

طرح صیانت از حقوق کاربران فضای مجازی و خدمات پایه کاربردی که بررسی آن از مهرماه سال ۱۴۰۰ توسط کمیسیون مشترکی از نمایندگان معرفی شده از سوی هیأت رئیسه مجلس، آغاز شد، پس از مدتی به طرح «حمایت از حقوق کاربران فضای مجازی» تغییر نام داد و نسبت به نسخه‌های اولیه با تغییرات مهمی همراه شد.

با این حال اما همچنان منتقدان این طرح، محدودسازی و منع فعالیت کسب و کارهای فضای مجازی را نتیجه آن دانسته و با آن مخالفت می‌کردند.

در ۶ ماهه دوم سال ۱۴۰۰ طرح حمایت از حقوق کاربران فضای مجازی دستخوش اتفاقات متعددی به دلیل اعلام نظرات مخالفان و موافقان شد و بیش از ۴۸ جلسه کارشناسی با حضور کارشناسان و نمایندگان و صاحبنظران بخش خصوصی و دولتی برای بررسی این طرح انجام شد و نشست‌های رسمی کمیسیون نیز با هدف شفافیت، به صورت آنلاین پخش می‌شد.

مرکز پژوهش‌های مجلس که از جمله طراحان اولیه این طرح بود در بیانیه‌های متعددی محدودسازی پلتفرم‌ها در این طرح را تکذیب و برای رفع نگرانی‌ها اعلام کرد که «در طرح حمایت از حقوق کاربران پلتفرم‌هایی نظیر تلگرام یا اینستاگرام باید ضوابط کشور را بپذیرند و چه بسا اگر بپذیرند شاهد رفع فیلتر تلگرام یا توئیتر باشیم اما اگر نپذیرند دولت باید طی یک سال جایگزین آن را تهیه کند. اگر دولت در این زمینه اقدام نکند با دولت برخورد خواهد شد اما باز محدودسازی مطرح نیست.»

پس از آن نیز بررسی کلیات این طرح حدود ۳ بار از سوی کمیسیون مشترک، برای کارشناسی بیشتر به مرکز پژوهش‌های مجلس سپرده شد تا ایرادات آن با حضور کارشناسان و صاحبنظران این حوزه و با حضور نمایندگانی از دولت، رفع شود.

در نهایت نیز در ۵ دی ماه ۱۴۰۰ نسخه‌ای از طرح با عنوان طرح «تنظیم مقررات خدمات فضای مجازی» جایگزین طرح صیانت پیشین شد. این طرح ترکیبی از مفاد نسخه قبلی و پیشنهادات وزارت ارتباطات و مرکز ملی فضای مجازی بود تا کلیات آن در کمیسیون مشترک به بحث گذاشته شود.

در این طرح که در ۲۱ ماده و ۸ صفحه تنظیم شد، بحث تنظیم‌گری در فضای مجازی اولویت قرار گرفت. سرفصل‌هایی از جمله اینکه «هرگونه استفاده دستگاه‌های اجرایی از خدمات فضای مجازی خارجی و تبلیغ آن‌ها ممنوع است» و «ارائه‌دهندگان خدمات فضای مجازی خارجی که از محل فعالیت در ایران منفعت مالی کسب می‌کنند مشمول مالیات می شوند» در این نسخه دیده می‌شد.

پس از انتشار این نسخه نیز مرکز پژوهش‌های مجلس ۲۰ روز کاری زمان خواست تا این نسخه را مورد بررسی قرار دهد.

 

پرده پنجم؛ نظام تنظیم گری فضای مجازی

کلیات طرح نظام تنظیم گری فضای مجازی پس از فراز و فرودهای بسیار در بررسی و تغییر متعدد عنوان و نسخه‌های پیشنهادی طرح، در نهایت سوم اسفند ماه با رأی حداکثری نمایندگان عضو به تصویب کمیسیون رسید.

رضا تقی پور رئیس کمیسیون مشترک بررسی طرح، در تشریح روند بررسی این طرح جنجالی گفت: نسخه ۲۶ تیرماه بعد از ۴۰ روز بررسی در ۲۵ آذرماه به درخواست وزیر ارتباطات برای شنیدن نظرات این وزارتخانه به بررسی کارشناسی مجدد گذاشته شد. در آن زمان در جلسه‌ای با حضور رئیس مجلس شورای اسلامی به این جمع بندی رسیدیم که در خصوص این نسخه و پیشنهادات وزارت ارتباطات قدری تأمل شود و بر این اساس اعضا به تشکیل کارگروه مشترک با حضور مرکز پژوهش‌های مجلس، وزارت ارتباطات و مرکز ملی فضای مجازی رأی دادند و مقرر شد در آن کارگروه، نظرات اعضا و سایر نهادها و فعالان کسب و کارها مورد بررسی قرار گیرد. نهایتاً نیز نسخه ۵ دی ماه حاصل کار بود.

وی افزود: از تاریخ ۱۸ مهرماه و با تشکیل کمیسیون مشترک بررسی این طرح، ۴۸ جلسه برگزار شد که ۱۳ جلسه آن به صورت زنده پخش عمومی شد و سایر جلسات مربوط به حضور در دستگاه‌های مختلف و جلسات کارشناسی بود که صورت جلسات آن موجود است. بر این اساس تمام جلسات رسمی کمیسیون پخش شده و ما معتقدیم کمیسیون مشترک، مصادیق جهاد تبیین را رعایت کرده و ما توانستیم با تبیین و روشنگری در مورد این طرح با مردم صحبت کنیم.

رئیس کمیسیون مشترک طرح حمایت از حقوق کاربران فضای مجازی که از این پس با نام «طرح نظام تنظیم مقررات فضای مجازی» دنبال می‌شود، تأکید کرد: از این پس وارد بررسی جزئیات نسخه سوم اسفندماه که مطابق با رأی گیری، کلیات آن به تصویب رسید، می‌شویم.

تقی پور با اشاره به تفاوت‌هایی که طرح تنظیم مقررات فضای مجازی با نسخه‌های قبلی دارد، گفت: ما در این طرح موضوع قانونگذاری را محدود به چند عنوان اصلی کردیم و اسم قبلی این طرح مقداری گسترده‌تر بود و نمی‌شد به تمام موارد در این طرح پرداخت. به همین دلیل روی موضوع مهم تنظیم مقررات در فضای مجازی تمرکز کردیم. در طرح تنظیم مقررات فضای مجازی که در ۱۰ صفحه و ۲۲ ماده تدوین شده است، فصل اول مربوط به تعاریف می‌شود و فصل دوم در چهار ماده مربوط به نظام تنظیم گری فضای مجازی است که در آن کمیسیون عالی تنظیم مقررات فضای مجازی که در حال حاضر در مرکز ملی فضای مجازی دایر است، تنظیم گری را برعهده دارد و مسئول انسجام بخشی به تنظیمگری این حوزه است. یعنی این کمیسیون عالی، تنظیمگر تنظیم گرها است و سایر نهادهای تنظیمگر مانند سازمان تنظیم مقررات و ارتباطات رادیویی در ذیل این کمیسیون حضور دارند.

به گفته وی در ماده ۳ این طرح وظایف و اختیارات تنظیم گران دیده شده است؛ در ماده ۵ این طرح نیز گفته شده در جهت تسهیل و ایجاد خدمات کسب و کار مطابق با بند ۲۱ اصل ۴۴ قانون اساسی، کسب و کارها باید در یک پنجره واحد فعالیت خود را ثبت و کارشان را آغاز کنند؛ الزامات دستگاه‌های اجرایی در سه ماده در فصل سوم این طرح آمده است و در فصل چهارم نیز به موضوع گذرگاه‌های مرزی اشاره شده است که با توجه به تهدیدات فضای مجازی و آسیب‌هایی که کشور از هجمه‌های سایبری متحمل می‌شود، متولی این بخش مشخص شده است.

تقی پور ادامه داد: در ماده ۹ این فصل، تأکید شده که کارگروهی با ریاست مرکز ملی فضای مجازی تشکیل شود و نسبت به امنیت اطلاعات و مدیریت ترافیک تصمیمات لازم را اتخاذ کنند. در ماده ۱۰ نیز به این موضوع اشاره شده که باید نظامی در این حوزه تنظیم شود و در کمیسیون عالی به تصویب برسد. ماده ۱۱ نیز به حفظ حریم خصوصی کاربران تأکید دارد و باید کارگروهی به ریاست قوه قضائیه در مورد این بخش دستورالعمل بنویسد. فصل ۵ این طرح مربوط به بندهای حمایتی برای ارائه دهندگان خدمات در حوزه فضای مجازی است و در این فصل ردیف حساب مستقل برای حمایت از سکوهای داخلی دیده شده که باید دستورالعمل آن نوشته شود. در فصل ششم نیز در سه ماده حمایت از حقوق کاربران و حفظ حریم خصوصی آنها دیده شده است.

به گفته وی در فصل هفتم برای اولین بار ضمانت اجرایی برای مصوبات شورای عالی فضای مجازی تعیین شده که فعالیت این شورا پس از ۱۰ سال ضمانت اجرایی به خود بگیرد. از جمله نقاط قوت این طرح این است که فعالیت سکوهای خدمات رسان در صورت شکایت مردم مشمول تذکر، جریمه نقدی و محدودیت خواهد شد. روالی که ممنوع است و در شرح وظایف وزارت ارتباطات برای اپراتورهای ارتباطی نیز وجود دارد. به این معنی که در صورتی که اپراتوری به تعهدات خود عمل نکند، مدت فعالیتش محدود می‌شود. در این طرح نوع برخورد صراحتاً برای تنظیم گران تعیین شده است.

 

پرده ششم؛ اجماع ۳ قوه برای تعیین تکلیف طرح صیانت

اسفندماه ۱۴۰۰ به موضوع ضرورت قانونگذاری مجلس بر فضای مجازی و زیر سوال بردن شأن شورای عالی فضای مجازی اختصاص یافت و نحوه رأی گیری کمیسیون مشترک برای کلیات طرح تنظیم مقررات فضای مجازی و اظهارنظرهای مختلف در خصوص طرح، محل بحث و مناقشه بود. در این ماه همزمان با بررسی بودجه ۱۴۰۱ جلسات کمیسیون مشترک بررسی طرح برگزار نشد و بررسی جزئیات این طرح به سال ۱۴۰۱ موکول شد.

با این حال همچنان در محافل مختلف کارشناسی و شبکه‌های اجتماعی، بازار طرح صیانت داغ است و مخالفان و موافقان بسیاری در مورد آن سخن می‌گویند.

شاید بتوان فصل الخطاب طرح پر حاشیه صیانت در سال ۱۴۰۰ را تصمیم رؤسای ۳ قوه حاضر در شورای عالی فضای مجازی دانست که در آخرین روزهای اسفند بر آن شدند تا در یک اجماع نظر، سرنوشت این طرح را برای سال آینده شفاف کنند.

شورای عالی فضای مجازی در آخرین جلسه خود در سال ۱۴۰۰ که به بحث و بررسی طرح صیانت از فضای مجازی توسط برخی از اعضای شورای عالی فضای مجازی اختصاص یافت، تأکید کرد که «چون وظیفه قانون‌گذاری به عهده مجلس شورای اسلامی است این طرح نیز بهتر است در مجلس به سرانجام برسد.»(منبع:مهر)

وزیر نفت اعلام کرد : حمله هکری به سامانه سوخت با همکاری نفوذی های داخلی انجام شد.

به گزارش صدا و سیما جواد اوجی درباره حمله هکری به سامانه سوخت گفت:صنعت نفت ایران یکی از اهداف اصلی دشمن برای آسیب زدن به مردم و کشور است. بنده بارها به همکارانم تاکید کرده‌ام که صنعت نفت در حال حاضر در خط مقدم جنگ اقتصادی آمریکا علیه ایران است. چون دشمن می‌داند صنعت نفت ایران چه جایگاهی در تامین انرژی کشور دارد و برنامه‌ریزی می‌کند که با اختلال در این صنعت، آسایش و رفاه مردم را از بین برده و سبب نارضایتی شود.

وی افزود: همچنین نقش این صنعت در صادرات نفت و تامین درآمدهای ارزی کشور هم مشخص است و دشمن سعی می‌کند با دست گذاشتن و ایجاد محدودیت در این نقطه نیز برای دولت چالش ایجاد کند. به همین دلیل جدای از حربه‌های تحریمی علیه صادرات نفت و میعانات گازی و فرآورده‌های نفتی ایران، دشمن برنامه‌ریزی کرد که با استفاده از نفوذی‌های داخلی و خارجی در سامانه سوخت کشور اختلال ایجاد کند؛ بدین ترتیب سه‌شنبه ۴ آبان‌ماه همه جایگاه‌های سوخت کشور با حمله سایبری دشمن دچار اختلال شد.

وی در پاسخ به این سئوال که پس شما همکاری نفوذی‌های داخلی را در ماجرای هک سامانه سوخت تایید می‌کنید؟ گفت : بله هم نفوذی‌های داخلی در این ماجرا نقش داشتند و هم عوامل خارجی. چون فقط یک حمله نبود و دو سه بار با روش‌های مختلف به ما حمله کردند.

«تهران» رتبه اول فراوانی جرم سایبری را دارد

چهارشنبه, ۱۸ اسفند ۱۴۰۰، ۰۲:۲۴ ب.ظ | ۰ نظر

رئیس پلیس فتا بابیان افزایش ۱۵ درصدی کشفیات و دستگیری ۳۰ درصدی مجرمان فضای مجازی گفت: قدرت کشف پلیس فتا در حوزه جرائم سایبری ۹۶ درصد شده است.

به گزارش فارس، سردار وحید مجید رییس پلیس فتا انتظامی‌ در حاشیه اختتامیه دومین پویش مردمی کودکان سایبری در جمع خبرنگاران اظهار داشت: در سال جاری، پویش مردمی کودکان سایبری اجرا شد که در حوزه تولید محتوا بالغ بر ۵۰۰ مورد تولید داشتیم و بالغ بر ۳۴ سازمان و نهاد از این پویش حمایت کردند.

وی به موضوع کسب و کار در فضای مجازی اشاره و تصریح کرد: در فضای مجازی یک‌ میلیون شغل داریم که همگی را تقسیم بندی می کنیم، یکسری مشاغل در پلتفرم های خارجی مشغول هستند، یکسری دیگر نیز دارای مجوزهای فعالیت در فضای مجازی هستند که باید قوانین را رعایت کنند.

رییس پلیس فتا انتظامی‌ به عملکرد پلیس پرداخت و گفت: در سال جاری کشفیات پلیس فتادر حوزه جرایم ۱۵ درصد و در حوزه دستگیری ۳۰ درصد افزایش داشته و قدرت کشف جرایم با افزایش یک درصدی نسبت به سال گذشته به میزان ۹۶ درصد رسیده است.

وی با بیان افزایش ۱۴ درصدی وقوع جرم سایبری در سال جاری گفت: ۷۶ درصد دستگیر شده ها آقا و ۲۴ درصد نیز خانم بودند.

سردار مجید با بیان اینکه بیشترین فراوانی جرایم سایبری در استان های تهران با ۱۱ درصد، خراسان جنوبی با ۹ درصد و اصفهان و  شیراز با ۸ و ۶ درصد بوده است، گفت: جزیره کیش و استان‌های سیستان و بلوچستان، خراسان شمالی و کهگیلویه و بویر احمد کمترین میزان وقوع جرایم سایبری را به خود اختصاص داده اند.

وی با بیان اینکه بیشترین افزایش کلاهبرداری‌ها را در حوزه خرید های اینترنتی داشتیم،به شهروندان توصیه کرد که قبل از تحویل گرفتن کالا از پرداخت بیعانه و  پول به بازارهای آنلاین خودداری کنند.

سردار مجید از شگرد جدید کلاهبرداران سایبری و ارسال پیامک حاوی لینک های آلوده به تلفن همراه افراد اشاره و اظهار کرد: اگر شخص روی لینک آلوده کلیک کرده  و بحث قبول درخواست را مطرح کنند فرد کلاهبردار به گوشی مالباخته دسترسی پیدا کرده و با شماره وی به سایر افراد پیامک میدهد یعنی این فرد قربانی می شود.

وی به بحث سامانه جامع اطلاع رسانی اشاره و خاطرنشان کرد: درصدد هستیم تا سامانه جامع پلیس فتا راه اندازی شود، در این سامانه به جای سر شماره ، پیام با الگو و نماد شرکت و اماکن ارسال می شود.

ایران در رتبه سوم قربانیان حملات باج افزاری

دوشنبه, ۱۶ اسفند ۱۴۰۰، ۰۵:۲۸ ب.ظ | ۰ نظر

بررسی ها نشان می‌دهد از میان ۱۰.۵ میلیون بدافزار شناسایی‌شده از ۱۱ دی تا ۱۰ بهمن امسال، ۴۳ درصد آن به باج‌افزار واناکرای مربوط است و ایران در رتبه سوم کشورهای قربانی این باج‌افزار قرار دارد.

به گزارش مرکز مدیریت راهبردی افتا، باج‌افزار واناکرای (WannaCry) از سال ۲۰۱۷ قربانی می‌گیرد و همچنان به عنوان تهدیدی جدی و فعال باقی‌مانده است.

به طور معمول باج افزار واناکرای سیستم عامل ویندوز را هدف قرار می‌دهد و با رمزگذاری انواع فایل‌های موجود در سیستم عامل، خواستار دریافت باج از طریق بیت کوین (Bitcoin) می‌شود.

در ماه می سال ۲۰۱۷ میلادی، حمله سایبری عظیمی با استفاده از باج‌افزار واناکرای آغاز شد که بیش از ۳۰۰ هزار رایانه را در ۱۵۰ کشور جهان آلوده کرد.

علیرغم حجم گسترده حملات واناکرای، اقدام به موقع و پیشگیرانه مرکز مدیریت راهبردی افتا، مانع از وقوع حادثه سایبری همچون آمریکا در سازمان‌های دارای زیرساخت حیاتی ایران شد.

کارشناسان نرم‌افزاری معتقدند که باج‌افزار واناکرای از نادیده گرفتن نقطه‌ضعفی شکل گرفته است که اولین بار توسط آژانس امنیت ملی آمریکا کشف شد و سپس به یکی از نیرومندترین حملات سایبری جهان تبدیل شد.

بررسی‌های شرکت امنیتی دیفندر نشان می‌دهد که پس از واناکرای، بدافزار GandCrab با ۱۳ درصد در مقام دوم قرار دارد؛ علیرغم اینکه این باج‌افزار، از سال ۲۰۱۹، خدمات خود را به‌عنوان یک باج‌افزار اجاره‌ای (Ransomware-as-a-Service – به‌اختصار RaaS) متوقف کرده بود.

آخرین آمار حاکی‌است، باج‌افزارها در ۱۴۹ کشور قربانی می‌گیرند و ۲۴ درصد آنها در آمریکا فعال هستند، کانادا با ۱۵ درصد دومین کشور جهان از لحاظ میزان فعالیت باج‌افزارها است و کشورهای برزیل و ایران، هر یک با ۱۱ درصد در رتبه سوم قرار گرفته‌اند.

مراکز دولتی با ۲۶ درصد حملات، در صدر حمله باج افزارها هستند و پس‌از آن، بخش‌های مخابرات با ۲۴ درصد، آموزشی و تحقیقات با ۲۴ درصد و فناوری با ۹ درصد قرار دارد.

اطلاعات کامل تخصصی و فنی درباره باج افزار واناکرای در پایگاه اینترنتی مرکز مدیریت راهبردی افتا برای متخصصان، کارشناسان و مدیران IT منتشر شده است.

هند: حمله هکرهای ایرانی رو به افزایش است

يكشنبه, ۱۵ اسفند ۱۴۰۰، ۰۶:۵۲ ب.ظ | ۰ نظر

کارشناسان هندی مدعی شدند که حملات سایبری از سوی هکرهای ایران در حال افزایش است.
به گزارش سایبریان؛ کارشناسان هندی ادعا کرده‌اند که با وجود شناخته بودن تهدید دارایی‌های راهبردی سایبری هند به‌وسیله هکرهای پاکستان و چین، اخیراً با پدیده جدیدی در خصوص مواجهه ادارات دولتی هند با هکرها در ایران روبرو شده‌اند.

منابع هندی مدعی هستند که در هفته‌های اخیر چندین بخش دولتی از جمله وزارت دفاع، بانکداری، ادارات پلیس ایالتی، آموزش، مخابرات و شرکت های خصوصی فناوری اطلاعات مورد حمله هکرهای ایرانی قرار گرفته‌اند و بیشتر این حملات در کرالا و پس از آن دهلی نو مشاهده شده است. حملات سایبری مشابهی نیز در ایالت‌هایی مانند بیهار، آسام، بنگال غربی، آندرا پرادش، تلانگانا و ماهاراشترا مشاهده شد.

بنابر ادعای منابع وزارت کشور هند، کارشناسان برای مقابله با موج جدیدی از حملات باج‌افزاری، که منشأ آن به ایران بازمی‌گردد، وارد عمل شده‌اند. یک مقام ارشد هندی در گفتگو با نیو ایندین اکسپرس (New Indian Express) ادعا کرد که ماهیت حملات روزافزون از سوی ایران، در اصطلاح امنیت سایبری به عنوان عملیات «قفل و نشت» توصیف می‌شود. در این حملات سایبری، هکرها با استفاده از باج‌افزار، یک سیستم آنلاین را به طور کامل قفل، اطلاعات حساس را از سیستم دانلود، سپس از قربانیان برای پرداخت پول باج‌گیری می‌کنند، در غیر این صورت مهاجمان داده‌ها را در دارک‌وب منتشر می‌کنند.

در ماه نوامبر سال گذشته، مایکروسافت بیانیه‌ای با ادعای شیوع فزاینده هکرهای ایرانی خطاب به کشورها و شرکت‌های خصوصی در سرتاسر جهان منتشر کرد. براساس گزارش منتشر شده از سوی مرکز اطلاعات تهدید مایکروسافت و واحد امنیت دیجیتال، گروه‌های هکر مستقر در ایران به طور فزاینده‌ای شرکت‌های هندی در حوزه فناوری اطلاعات را همراه با شرکت‌هایی در سرزمین‌های اشغالی و امارات هدف قرار می‌دهند.

وعده‌های دولت برای امنیت اطلاعات مجازی

چهارشنبه, ۱۱ اسفند ۱۴۰۰، ۰۴:۲۵ ب.ظ | ۰ نظر

دستیار وزیر ارتباطات در امور امنیت فناوری اطلاعات ضمن تشریح برنامه های جدید این وزارتخانه در حوزه امنیت گفت: تکالیف مربوط به امنیت طبق اهداف شبکه ملی اطلاعات تنها ۲۱ درصد اجرا شده است.

خبرگزاری مهر - معصومه بخشی پور: دستیابی به شبکه‌ای امن و تأمین پدافند سایبری در زیرساخت‌های کشور در چارچوب سیاست‌های کلی نظام قرار دارد و از برنامه پنجم توسعه که در آن سند راهبردی امنیت فضای تبادل اطلاعات – افتا – گنجانده شده تاکنون چندین سند حوزه فضای سایبری به موضوع امنیت اختصاص یافته است.

برای مثال در برنامه ششم توسعه بر آمادگی ایران در حوزه امنیت سایبری تاکید شده تا ایران به یکی از قدرت‌های سایبری منطقه در حوزه امنیت تبدیل شود. در سند تبیین الزامات شبکه ملی اطلاعات نیز موضوع مصون سازی، کاهش آسیب پذیری، افزایش پایداری و تاب آوری امنیتی و دفاعی شبکه ملی اطلاعات در برابر تهدیدات مورد توجه قرار گرفته است. در همین حال در طرح کلان و معماری شبکه ملی اطلاعات نیز موضوع امنیت در پیوست حدود ۲۰ اقدام جای دارد.

با این وجود اما وقوع حملات سایبری، نفوذ به سامانه‌های اطلاعاتی و نشت اطلاعات به صورت متعدد در کشور طی چند سال اخیر نشان می‌دهد که حوزه امنیت فضای سایبری با اهداف اساسی سیاست‌های نظام فاصله دارد و اقدامات مدنظر آنطور که باید پیش نرفته است.

از این رو عیسی زارع پور وزیر ارتباطات دولت سیزدهم در زمان ارائه برنامه به مجلس شورای اسلامی برای اخذ رأی اعتماد از نمایندگان، «حفظ حریم خصوصی و امنیت فضای تبادل اطلاعات» را یکی از رئوس برنامه‌های خود عنوان کرد.

بنا بر اظهارات وی، دوگانه «احراز هویت» در مقابل «نقض حریم خصوصی» بعضاً دستاویزی برای امنیتی جلوه دادن فضای مجازی کشور شده است. در حالی که در واقع عدم تحقق امنیت و بی توجهی به سند الزامات شبکه ملی اطلاعات، باعث نا امن تر شدن این فضا و ضرر و زیان مادی و معنوی کاربران فضای مجازی کشور شده است.

زارع پور حدود ۱۴ راهبرد را برای رفع چالش‌های حوزه امنیت عنوان کرده که از جمله مهمترین آنها می‌توان به ارتقای توان داخلی و کاهش وابستگی به خارج از کشور، بومی سازی فناوری، خدمات و تجهیزات مورد نیاز کشور با استفاده از زیست بوم شرکت‌های دانش بنیان داخلی، حمایت از شرکت‌های دانش بنیان داخلی فعال در حوزه فاوا، پیگیری راه اندازی مرکز ملی پایش امنیت زیرساخت‌های ارتباطی و اطلاعاتی کشور برای کشف و دفع حملات، تهیه و در اختیار قرار دادن ابزارهای مناسب برای استفاده در سازمان‌های دولتی و خصوصی با هدف مقابله با حملات سایبری، تربیت نیروهای متخصص حوزه امنیت فناوری اطلاعات در کشور، پیگیری ایجاد سازوکار قانونی لازم جهت پیگیری حقوقی در ابعاد بین الملل در صورت حمله به زیرساخت‌های کشور و فراهم کردن زیرساخت‌های فنی و حقوقی لازم برای حمایت از حقوق کاربران در فضای مجازی اشاره کرد.

حدود ۳ ماه پیش نیز وزیر ارتباطات برای نیل به این اهداف، امیر محمدزاده لاجوردی را به عنوان نماینده ویژه خود در امور امنیت فناوری اطلاعات منصوب کرد.

محمدزاده لاجوردی که عضو هیأت مدیره شرکت ارتباطات زیرساخت نیز است، دارای مدرک دکتری مهندسی کامپیوتر با گرایش امنیت شبکه از دانشگاه صنعتی شریف و دانشجوی پسا دکتری مهندسی کامپیوتر گرایش تحلیل مبتنی بر جریان جهت شناسایی حملات مانای پیشرفته در دانشگاه صنعتی شریف و نیز متخصص شبکه‌های کامپیوتری و امنیت فناوری اطلاعات است.

با وی به گفتگو نشستیم تا روند برنامه‌های وزارت ارتباطات را در حوزه امنیت جویا شویم.

محمدزاده لاجوردی معتقد است که حدود ۲۱ درصد از وظایف مرتبط با وزارت ارتباطات مطابق با اسناد شبکه ملی اطلاعات در حوزه امنیت انجام شده است و ما در حوزه امنیت دچار عقب ماندگی هستیم.

متن این گفتگو به شرح زیر است:

 

* شما به عنوان نماینده ویژه وزیر ارتباطات در امور امنیت فاوا از سوی زارع‌پور منصوب شده اید، با توجه به اینکه این پست برای نخستین بار در این وزارتخانه تعریف شده است، ضرورت آن را چه می‌دانید؟ در سند طرح کلان و معماری شبکه ملی اطلاعات چندین سرفصل به موضوع امنیت و تکالیف وزارت ارتباطات در مورد آن اشاره دارد؛ به طور کل چه برنامه‌هایی را در دست انجام دارید؟

اسناد مرجعی که ما باید بر اساس آن در حوزه امنیت کار را جلو ببریم شامل سند تبیین الزامات و سند معماری و طرح کلان شبکه ملی اطلاعات می‌شود که از سند تبیین الزامات به عنوان «قانون اساسی شبکه ملی اطلاعات» تعبیر می‌شود و در سال ۹۶ تصویب شده است. سند معماری و طرح کلان شبکه ملی اطلاعات نیز یک سند اجرایی است که تصویب آن به سال ۹۹ بازمی گردد.

در سند طرح کلان و معماری شبکه ملی اطلاعات که ۵۳ اقدام کلان دارد و یک سری اجزا و اهداف عملیاتی و کمی نیز در آن دیده شده است، ما باید در ۳ طبقه بندی تکالیفی را در حوزه امنیت پیاده سازی کنیم.

به نحوی که از ۵۳ اقدام کلان تعریف شده در این سند، حدود ۲۰ اقدام کاملاً امنیتی است، مستقل از اینکه کدام سازمان و نهادی مجری آن باشد. از این ۲۰ اقدام، متولی اصلی ۱۸ مورد آن وزارت ارتباطات است.

در همین حال ۳۳ اقدام باقی مانده نیز که کاملاً امنیتی نیستند نیازمند طراحی امنیتی هستند که به اشتباه به آن پیوست امنیتی نیز گفته می‌شود.

به عبارت دیگر در معماری شبکه ملی اطلاعات، یک ستون عمودی در طرح کلان با موضوع امنیت وجود دارد. به این معنی که تمام پروژه‌ها باید طراحی امنیتی داشته باشد.

 

* با این وجود کار بسیار بزرگی در پیش دارید. حال با توجه به اینکه اسناد مرجعی که از آن نام برده اید در سال‌های گذشته به تصویب رسیده است، چه میزان از این تکالیف انجام شده و چه بخش‌هایی برای کار همچنان باقی مانده است؟

بله؛ کار بسیار بزرگی است و ارزیابی ما نشان می‌دهد که در این حوزه باید با سرعت بیشتری پیش رفت و طبق بررسی‌های ما حدود ۲۱ درصد از وظایف مرتبط با وزارت ارتباطات مطابق با این اسناد، در حوزه امنیت انجام شده است. این نشان می‌دهد که ما در حوزه امنیت دچار عقب ماندگی هستیم.

 

* شما دلیل این عقب ماندگی را در چه مواردی می‌دانید؟

به نظر می‌رسد که حوزه امنیت در وزارت ارتباطات تاکنون حوزه‌ای واگرا بوده و بخش‌های مختلف حوزه امنیت در این وزارتخانه با هم همگرا نیستند. حداقل ۶ معاونت و اداره‌کل مختلف در وزارت ارتباطات به نوعی مرتبط با حوزه امنیت هستند که لازم است حتماً با یکدیگر همگرا شوند. که شامل معاونت امنیت سازمان فناوری اطلاعات، مرکز امنیت سامانه‌های صیانتی زیرساخت، اداره کل امنیت سیستم‌های ارتباطی سازمان تنظیم مقررات و ارتباطات رادیویی، کمیته پدافند غیرعامل وزارت ارتباطات، پژوهشکده امنیت پژوهشگاه ارتباطات و تیم‌های سرت (CERT) دستگاه‌های زیرمجموعه وزارت ارتباطات، می‌شوند. اما موضوع این است که هر کدام از این بخش‌ها برای خود پروژه مستقل انجام می‌دهند و همگرا نیستند.

در حالی که می‌توان بسیاری از امور را با مساعدت یکدیگر انجام داد و در زمان و هزینه صرفه جویی کرد. به همین دلیل آقای وزیر تصمیم گرفتند که در وزارت ارتباطات یک نقطه کانونی برای حوزه امنیت ایجاد کنند.

 

* حدود ۳ ماه از انتصاب شما در این مسئولیت می‌گذرد. تاکنون موفق به همگرایی این بخش‌ها و سایر نهادهای مرتبط با حوزه امنیت شده اید؟

ما در ۳ ماه گذشته حدود ۲۵۰ جلسه با حضور این بخش‌ها در وزارتخانه داشتیم تا این واحدهای امنیتی از نظر تعریف مسئولیت، یکپارچه شوند.

در خارج از وزارت ارتباطات هم ما نیازمند این همگرایی هستیم. هم اکنون نهادهای مختلفی از جمله مرکز ملی فضای مجازی، افتای ریاست جمهوری، پدافند غیرعامل، پلیس فتا، معاونت فضای مجازی دادستانی، حراست‌های سازمانی و مراکز امنیتی مانند وزارت اطلاعات به نوعی درگیر موضوعات امنیت هستند و همگرایی این بخش‌ها نیز بسیار مهم است. باید برای این هماهنگی بیشتر هم راهکاری در نظر گرفت.

از این رو مرکز ملی فضای مجازی در تلاش است که این دستگاه‌ها و نهادها را با یکدیگر هماهنگ کند.

 

* با توجه به کلیتی که از ساختار موجود امنیت در کشور بیان کردید، اولویت برنامه‌های شما در این حوزه، مربوط به چه مواردی می‌شود؟

بحث امنیت بسیار گسترده است اما ما اولویت را روی «مقابله با حملات امنیتی فناوری اطلاعات»، «امن‌سازی و سالم‌سازی» و «مراقبت از کودک» معطوف کرده ایم.

در این زمینه کار جدیدی که در زمینه امنیت و سالم سازی در دست انجام داریم مربوط به «راه اندازی اپراتورهای خدمات امنیتی» می‌شود که پیگیر آن هستیم. به بیان دیگر اپراتورهایی که خدمات امنیتی ارائه می‌دهند را شناسایی خواهیم کرد و مدل کسب و کار آنها را اقتصادی خواهیم کرد تا بتوانند سرویس پایدار و با کیفیت ارائه دهند.

این گواهی فعالیت با توجه به مقیاس فعالیتی که این اپراتورها دارند و سرویس دهی آن شامل افراد عادی و خانواده و یا کسب و کارها، سازمان‌ها و زیرساخت‌ها، متفاوت خواهد بود.

ما اپراتورهای امنیت را راه اندازی می‌کنیم. این اپراتورها همان بخش خصوصی هستند که به صورت نظام مند خدمات حوزه امنیت را برای تأمین نیازهای مردم ارائه می‌دهند.

این اپراتورها می‌توانند خدمات امنیتی در مقیاس ملی ارائه دهند. در نگاه کلان‌تر هم اپراتور خدمات امنیت می‌تواند در زمان رخداد سایبری، به سازمان‌ها سرویس داده و رخدادهای امنیتی را پیشگیری و یا پیگیری کند.

این اپراتورها می‌توانند برای مدیریت دسترسی کودکان در فضای مجازی در حوزه خانواده، سرویس‌های مربوط به کودک ارائه کنند تا کودکان به صورت مدیریت شده با نظارت والدین در فضای مجازی حضور داشته باشند.

این پروژه در دست انجام است.

 

* در حوزه امن سازی پروژه دیگری در اولویت انجام ندارید؟

پروژه‌های زیادی را پیگیری می‌کنیم. برای مثال یکی از پروژه‌های ما «ایجاد و ارتقای گذرگاه‌های ایمن» است که این گذرگاه‌ها می‌تواند مرزی و یا داخلی باشد. هدف از اجرای این پروژه این است که ما بدانیم مرز سایبری مان کجاست؟ در این صورت اگر قرار بر ورود حملاتی به سازمان‌ها و یا شرکت های‌مان است، قبل از آن که حمله‌ای وارد شود، در همان مرز بتوانیم آن را پیش بینی و کنترل کنیم.

 

* هم اکنون وضعیت کنترل مرزهای فضای سایبری ما چگونه است؟

در حال حاضر ما نظارت خوبی در مرزهای مجازی نداریم و مهاجم از این طریق نفوذ می‌کند و به سازمان‌ها و زیرساخت‌های ما ورود پیدا می‌کند.

ما با ایجاد گذرگاه‌های ایمن، می‌توانیم این حملات را عقب تر بکشانیم؛ البته این پروژه مستلزم انجام یک کار فنی و هم نیازمند تجهیزات است. البته با توجه به اقداماتی که تاکنون انجام شده و تجهیزاتی که آماده است، می‌توان با زیرساخت قبلی هم بخشی از نیاز این کار را پیش برد. ما بررسی کردیم و دیدیم که می‌شود با زیرساخت پروژه‌های دیگر، نیاز این پروژه را تأمین کرد.

ما در حوزه مباحث ضد تحریم هم پروژه‌هایی تعریف کرده ایم تا تحریم‌هایی که کشورهای خارجی علیه ما انجام می‌دهند، اثربخشی لازم را نداشته باشد.

برای مثال بخشی از این تحریم‌ها، دسترسی به سرویس‌های مختلفی را برای شرکت‌های کامپیوتری و برنامه نویسان و توسعه دهندگان محدود می‌کند. این بی صداقتی شرکت‌های خارجی است که به بهانه تحریم، نمی‌خواهند ما در تولید نرم افزار و تجهیزات کامپیوتری رشد داشته باشیم و به همین دلیل دسترسی به برخی سرویس‌های توسعه‌ای را به روی مهندسان ایرانی محدود می‌کنند. تلاش ما این است که با یک سری اقدامات، با این رویکرد مقابله کرده و دسترسی به این سرویس‌های مسدود شده را باز کنیم.

شاید بسیاری از این موضوعات از نظر فنی از دید کاربر پنهان باشد اما در بخش‌هایی که مربوط به نیازمندی‌های متخصصان حوزه کامپیوتر است، ارائه این راهکارها برای این متخصصان بسیار کارساز است.

 

* در حوزه امنیت اطلاعات یکی از خلاءهای موجود به نبود قانون‌های مرتبط با این بخش بر می‌گردد. آیا در پیشبرد پروژه‌ها با خلاءهای قانونی حوزه امنیت نیز برخورد کرده اید؟

ما معتقدیم که وزارت ارتباطات در حوزه قانونگذاری امنیت باید به سایر نهادها کمک کند. چرا که در حوزه امنیت و فضای مجازی قوانینمان باید به روز و پخته‌تر شود.

در حوزه حریم خصوصی و حفاظت از داده‌های کاربر باید قانونگذاری صورت گیرد. همانطور که در اروپا نیز قانون GDPR در این زمینه تصویب شده است، ما هم باید به سراغ آن برویم.

در این زمینه وزارت ارتباطات برای لایحه حفاظت از داده‌های کاربران، پیشنهاداتی را تهیه کرده و اصلاحاتی را روی این لایحه اعمال کرده تا با تصویب دولت، به مجلس ارائه شود.

از این لایحه می‌توان برای طراحی‌های امنیتی پروژه‌های حوزه امنیت نیز استفاده کرد.

 

* طی سال‌های گذشته با مشکلات بسیاری به دلیل نبود امنیت در سازمان‌ها و کسب و کارها در خصوص نشت اطلاعات کاربران مواجه بودیم، آیا برنامه‌ای برای پیشگیری اینگونه رخدادها دارید؟

یکی از برنامه‌های مهم ما ساماندهی کسب و کارها در حوزه امنیت است. ما باید به کسب و کارها در این زمینه کمک کنیم. همانطور که اشاره کردید متأسفانه در دو سه سال گذشته نسبت به قبل، بیشترین مقدار انتشار اطلاعات خصوصی کاربران، کسب و کارها، و یا سازمان‌ها و شرکت‌ها را شاهد بوده ایم. البته ناگفته نماند که حجم حملات نیز به شدت افزایش یافته است.

ما در این باره تمهیداتی داریم تا اینگونه رخدادها را به حداقل برسانیم. در این زمینه کارگروهی تشکیل شده است که البته فقط وزارت ارتباطات درگیر آن نیست و بازیگران مختلفی در این حوزه حضور دارند.

 

*در مورد نشت اطلاعات چالشی که همواره در کشور وجود دارد این است که در زمان وقوع رخداد، سازمان‌های متولی مطابق با سند تقسیم کار مقابله با حوادث فضای مجازی (مصوب شورای عالی فضای مجازی)، مسئولیت را برعهده نمی‌گیرند و به نوعی موضوع در میان پاسکاری سازمان‌های متولی به فراموشی سپرده می‌شود.

طبق آن سند، مسئول نشت اطلاعات در هر سازمان و دستگاهی، بالاترین مقام همان سازمان است. یعنی وقتی در کسب و کاری نشت اطلاعات رخ می‌دهد مدیر آن کسب و کار مسئول است. اما موضوع این است که مسئولان آن سازمان‌ها پاسخگو نیستند. این موضوع دلایل مختلفی دارد.

برای مثال طبق بخشنامه‌ای، ۱۵ درصد از بودجه فناوری اطلاعات سازمان‌ها باید به حوزه امنیت تخصیص داده شود. اما آمارها نشان می‌دهد که در سالهای گذشته بودجه فناوری اطلاعات سازمان‌ها در مجموع حدود ۲ هزار میلیارد تومان بوده است که ۱۵ درصد آن، ۳۰۰ میلیارد تومان می‌شود. سوال این است که آیا با این مبلغ می‌شود امنیت دستگاه‌ها را تأمین و تضمین کرد؟

حوزه امنیت نیازمند هزینه و البته هزینه کرد آن نیز غیرقابل ملموس است. البته هم اکنون سازمان‌ها و مراکزی که دچار حمله سایبری شده اند حاضرند هزینه کنند که آن اتفاق مجدداً نیافتد.

البته باید توجه داشت که امنیت یک هنر است و فقط یک علم نیست (The security is an art, is not just a science) . اینکه احساس کنیم تنها با خرید تجهیزات و نیروی انسانی و یک دستور العمل، امنیت در یک سازمان تأمین می‌شود درست نیست. فرهنگ امنیت باید در مجموعه و یا سازمان نهادینه شود؛ این همان هنر است.

اگر هزاران اپلیکیشن و اپراتور و سامانه برای خانواده‌ها و سازمان‌ها راه اندازی شود اما فرهنگ حوزه امنیت وجود نداشته باشد، این تمهیدات بی فایده است.

از سوی دیگر همانطور که گفتم بودجه دولتی برای حوزه امنیت کم است و به همین جهت ما معتقدیم که باید مدل کسب و کار حوزه امنیت را در کشور اصلاح کنیم؛ به همین دلیل به دنبال اپراتورهای حوزه امنیت هستیم.

در این میان مشکل دیگری که وجود دارد این است که ما در کشور جایی نداریم که اپراتورهای حوزه امنیت را ارزیابی عملکردی کند. به دلیل نبود مرجع ارزیابی عملکردی محصولات و تجهیزات حوزه امنیت، هر یک از سازمان‌ها، متفاوت از سازمان دیگر تضمین امنیت یک محصول امنیتی را قبول دارد. این یک خلا است.

هم اکنون گواهی‌هایی مانند گواهی ISMS ، گواهی خدمات و گواهی ارزیابی تجهیزات از سوی سازمان فناوری اطلاعات صادر می‌شود اما این به معنای ارزیابی عملکرد نیست. این گواهی‌ها برای ارزیابی امنیتی است.

آنچه که مسلم است این است که ما در ارزیابی عملکردی سیستم‌های امنیتی در کشور خوب کار نکرده ایم و باید فکری به حال این موضوع کرد.

به همین دلیل آئین نامه‌ای با کمک چندین نهاد از جمله وزارت ارتباطات، سازمان ملی استاندارد و سازمان نظام صنفی رایانه‌ای به عنوان بخش خصوصی در دست تدوین است تا امکان ارزیابی عملکردی محصولات و تجهیزات حوزه امنیت فراهم شود و رویه‌ای باشد که همه سازمان‌ها مطابق آن پیش بروند و هر کس ساز خود را نزند.

ما معتقدیم که این حوزه باید ساماندهی شود. این آئین نامه در حال تدوین است تا تمامی گواهینامه‌های حوزه امنیت در سازمان‌ها یکپارچه شود.

 

* در سند اقدامات کلان شبکه ملی اطلاعات به موضوع ایجاد سیستم عامل امن نیز اشاره شده است. شما چه برنامه‌ای برای تحقق این هدف دارید؟

موضوع سیستم عامل امن در دو سیستم عامل بومی و سیستم عامل تلفن همراه دنبال می‌شود که ایجاد سیستم عامل داخلی برای مراکز امنیتی و نظامی، حیاتی و حساس مهم بر عهده وزارت دفاع و وزارت اطلاعات گذاشته شده است. از سوی دیگر ایجاد سیستم عامل تلفن همراه نیز برعهده وزارت ارتباطات است که در ذیل مسئولیت معاون فناوری و نوآوری این وزارتخانه دنبال می‌شود.

اگرچه هر یک از این پروژه‌ها نیازمند طراحی امنیتی است و ما باید آن را تهیه کنیم اما ما به طور مستقیم در این پروژه‌ها نقشی نداریم.

 

* در سند طرح کلان و معماری شبکه ملی اطلاعات در حوزه ساماندهی VPN ها نیز تکالیفی دیده شده است. در این زمینه برنامه‌ای دارید؟

بله ؛ باید توجه داشت که ساماندهی VPN ها کار پر چالشی است، چرا که در این اقدام، عوامل مختلفی دخیل هستند و ما نمی‌توانیم یکسره به سراغ آنها برویم.

متأسفانه به اشتباه شاید ساماندهی VPN ها معادل مسدود سازی و فیلترینگ عنوان می‌شود اما این درست نیست. برای ساماندهی این موضوع باید چند کار به پیش رود.

یکی از موضوعات به مباحث ضد تحریم باز می‌گردد. یعنی از VPN برای دور زدن تحریم‌ها استفاده می‌شود و باید در این خصوص فرهنگسازی شود و بالا بردن سواد رسانه‌ای کاربران در دستور کار قرار گیرد. در کنار آن بحث اقتصادی و نیز بومی سازی پلتفرم داخلی نیز مطرح است. همچنین موضوع قوانین حریم خصوصی نیز در این سطح باید مورد توجه قرار گیرد و تمامی این موارد باید به موازات هم پیش رود. همه اینها یک چرخه است و نمی‌شود به تنهایی بگوییم که استفاده از VPN را ساماندهی می‌کنیم.

برای مثال در ایالت متحده چون پلتفرم‌ها در اختیارش خودشان است، اعمال خط مشی در لایه پلتفرم انجام می‌پذیرد. به این معنی که دسترسی به توئیتر و اینستاگرام را نمی‌بندد اما در آن پلتفرم‌ها، خط مشی خود را اعمال می‌کنند و عکس حاج قاسم را حذف می‌کند. اگر امکان اعمال خط مشی در این پلتفرم‌ها وجود نداشته باشد، اولین جایی که آن‌ها را می‌بندد همان ایالت متحده است.

 

* به فیلترینگ هوشمند اشاره کردید. پروژه‌های متعددی در سالهای گذشته در این باره مطرح شد و برای مثال قرار بود به جای مسدودسازی پلتفرم اینستاگرام، محتوای نامناسب فیلتر شود. این پروژه‌ها به کجا رسید؟

به خاطر پیشرفت تکنولوژی و رمزگذاری داده این روش امکان پذیر نیست؛ ما اگر بخواهیم مشکلات فضای مجازی مان حل شود باید در حوزه فضای مجازی مانند فناوری‌های هسته‌ای و نانو روی لبه تکنولوژی حرکت کنیم.

اینکه می‌بینیم در فضای مجازی عقب هستیم و به فرموده مقام معظم رهبری این فضا ول است، دلیلش این است که در این حوزه معمولاً از تکنولوژی عقب بوده ایم.

فیلترینگ هوشمند در لایه محتوا روی پلتفرم‌های خارجی عملاً برای ما امکان پذیر نیست و کشورهای خارجی با صاحبان پلتفرم وارد مذاکره شده و اعمال خط مشی می‌کنند.

ما دو راه بیشتر نداریم؛ یا باید با این پلتفرم‌های خارجی تعامل کنیم که در کشور ما بیایند و شرایط ما را بپذیرند و یا اینکه نسخه‌های داخلی خودمان را راه اندازی کنیم.

 

* آیا بومی سازی سامانه‌های امنیتی هم در تکالیف وزارت ارتباطات طبق سند اقدامات کلان شبکه ملی اطلاعات آمده است؟

بله؛ بومی سازی ۱۰۰ درصدی سامانه‌های امنیتی جز تکلیف شبکه ملی اطلاعات است که البته مسئولیت آن در اختیار نهاد دیگری است و ما معتقدیم می‌توان آن را ۱۰۰ درصد بومی کرد. اما بومی سازی سامانه‌های غیرامنیتی به صورت ۱۰۰ درصد، تقریباً غیرممکن است.

برای مثال در تشخیص یک حمله سایبری، نیازمند این هستیم که سامانه ناظر و تشخیصی بومی در زیرساخت خودمان داشته باشیم و این سامانه نباید خارجی باشد.

 

* شما به سامانه‌های ناظر و تشخیصی حوزه امنیت اشاره کردید. یکی از سامانه‌های امنیتی که سال‌های گذشته معرفی و از آن به عنوان سپری برای جلوگیری از حملات سایبری نام برده شد، «دژفا» بود. این پروژه هم اکنون چه عملکردی دارد؟

ممکن است در هر دوره‌ای برای سامانه‌هایی اسم‌های خاصی گذاشته شود اما مستقل از این اسم، سالیان سال است که مرکز ماهر، سامانه‌های مختلفی را ایجاد می‌کند که اغلب جدای از هم هستند. در مقطعی مقرر شد که این سامانه‌ها یکپارچه شوند و نام آن را دژفا گذاشتند. البته اگر عملکرد دژفا نیز مانند اسمش بود الان خیلی از اقدامات کلان شبکه ملی اطلاعات انجام شده بود و دیگر هزینه نمی‌کردیم. دژفا اقدامات با ارزشی است که دوستان در سال‌های گذشته در حوزه امنیت انجام دادند اما کار بر زمین مانده زیاد است.

ما در حوزه امنیت باید قابلیت‌های بسیاری را به شبکه ملی اطلاعات اضافه کنیم. این سامانه‌ها باید به هم وصل شده و مقیاس پذیر (scalable) باشند نه واگرا!

 

* با این حال نمی‌توان امیدوار بود که سپر دژفا امنیت اطلاعات را تضمین کند و از نشت اطلاعات جلوگیری کند؟

ببینید حمله سایبری از طرق مختلف صورت می‌گیرد. باید یک سری سامانه داشته باشیم که این حملات روی کل ترافیک را تحلیل و همبسته‌سازی (اصطلاحاً Correlation) کند که هم اکنون این سامانه‌ها با حالت ایده‌آل ما فاصله دارد.

اما خیلی از حملات از طریق اینترنت رخ نمی‌دهد و نیروی نفوذی مثل استاکس نت در شبکه داخلی بدافزار را منتشر می‌کند.

به این قبیل حملات APT ( حملات مانای پیشرفته) می‌گویند که توسط دولت‌ها و حکومت‌ها به واسطه مهندسی اجتماعی و تحلیل ساختار، ساخته شده و هدایت می‌شوند . تاکنون ۱۲۰ مورد از این حملات در دنیا شناسایی شده است.

برای مثال در حمله اخیر به صدا و سیما که یک حمله سایبری تشخیص داده شد، نفوذ از طریق اشراف اطلاعاتی و به کمک بدافزار اتفاق افتاد. البته هنوز تحقیقات در حال انجام است اما اینکه حمله بدافزاری بوده، قطعی است.

در پاسخ به سوال شما به این نکته نیز باید توجه کرد که نظام ملی پیشگیری و مقابله با حوادث سایبری وظایف همه دستگاه‌های مرتبط را دسته بندی کرده است.

در مورد حمله سایبری باید توجه داشت که حمله، موضوعی امنیتی است و نهادهای امنیتی و نظامی هم در آن دخیل می‌شوند. البته حمله سایبری در آستانه‌های مختلف تعریف متفاوتی دارد و شاید برخی تهدیدات به معنای جنگ سایبری باشد و نیروی نظامی و انتظامی درگیر آن شوند.

با کپی کارت ملی و شناسنامه‌ مردم و جعل‌کردن امضایشان، می‌شود به راحتی آنها را عضو هیئت‌مدیره یک شرکت کرد. این مشکلی قدیمی و حل‌نشده در ادارات ثبت شرکت‌ها است. احراز هویت و تصدیق الکترونیکی راهکار جلوگیری از جعل عنوان در ادارات ثبت شرکت‌ها و مؤسسات غیرتجاری است.

فارس- با کپی کارت ملی و شناسنامه‌ مردم و جعل‌کردن امضایشان، می‌شود به راحتی آنها را عضو هیئت‌مدیره یک شرکت کرد. این مشکلی قدیمی و حل‌نشده در ادارات ثبت شرکت‌ها است. احراز هویت و تصدیق الکترونیکی راهکار جلوگیری از جعل عنوان در ادارات ثبت شرکت‌ها و مؤسسات غیرتجاری است.

در حال حاضر برای تأسیس و ثبت تغییرات شرکت‌ها و مؤسسات غیرتجاری، سازوکاری جهت احراز هویت اعضای هیئت‌مدیره و راستی‌آزمایی امضای آنان وجود ندارد. درواقع با دردست‌‌‌داشتن کپی کارت ملی و شناسنامه ‌ شما و همچنین جعل کردن امضایتان، می‌شود به راحتی شما را عضو هیئت‌مدیره یک شرکت کرد. در مراحل ثبتی بدون راستی‌آزمایی، فرض را بر صحت و اصالت امضای شما در صورتجلسات ارائه شده توسط متقاضی گذاشته و از شخص شما هیچگونه استعلام و تأییدی گرفته نمی‌شود. در نهایت پس از ثبت نهایی صورتجلسات هم کمترین اطلاع‌رسانی به شما حتی در حد پیامک انجام نمی‌شود.

البته برای مسئولان سازمان ثبت اسناد و املاک کشور و مؤسساتی که از ثبت شرکت برای دیگران امرار معاش می‌کنند، این خبر تازه‌ای نیست. این مردم هستند که از همه‌جا بی‌خبر و به طور ناگهانی با بدهی مالیاتی و ممنوع‌الخروجی مواجه می‌شوند.

 

تجربه ‌تلخ قربانیان جعل امضا

شاید لازم باشد یکبار نام خود و اطرافیانتان را در سامانه روزنامه رسمی به نشانی rrk.ir جستجو کنید تا مطمئن شوید که عضو شرکتی نیستید. در غیر این صورت احتمالاً به صورت ناگهانی پس از توقیف اموال و یا مواجه شدن با مشکل در هنگام خروج از کشور از عضویت چندین ساله خود در یک شرکت آگاه می‌شوید. ناگزیر جهت احقاق حقوق خود مسیر طولانی و پرهزینه شکایت را طی می‌نماییدمی نمایید تا ثابت کنید که امضایتان جعل شده است و هیچ ارتباطی با شرکت ندارید. اگر پس از هزینه ایاب ‌ و  ‌ذهاب، مشاور حقوقی، وکیل و کارشناس خط شکایتتان به جایی نرسید خیلی غافلگیر نشوید. ممکن است امضای شما را طوری با ظرافت جعل کرده باشند که کارشناسان خط هم ادعای شما را نپذیرند. اما اگر خوش‌شانس باشید و بتوانید ادعای خود را ثابت کنید تازه به نقطه آغازین خواهید رسید. یعنی پس از رفت‌وآمدهای متعدد و مراجعه به اداره آگاهی، ثبت شرکت‌ها، دادسرا، دادگاه بدوی و تجدیدنظر تازه ثابت خواهد شد که شما عضو آن شرکت نیستید.

 حالا باید امیدوار باشید و دعا کنید که دوباره کسی هوس سوءاستفاده از کپی مدارک هویتی شما به سرش نزند. چون سازوکاری برای پیشگیری از آن وجود ندارد. چیزی که گفته شد یک افسانه یا داستان فانتزی نیست؛ بلکه در عالم واقع آن هم فقط در یکی از شرکت‌هایی که گزارش ‌ آن به خبرگزاری رسیده برای چندین خانم و آقا اتفاق افتاده است. در این پرونده، یک شرکت به راحتی اقدام به جعل امضای این افراد و استفاده از نام و اعتبار آنان نموده است. در نهایت پس از دو سال رفت‌وآمد به مراجع قضایی و اثبات جعل، هنوز نامشان از اعضای هیئت‌مدیره شرکت مذکور خارج نشده.

 

مُهر تایید رییس کمیسیون اصل نود مجلس به وجود مشکل

شاید در وهله اول قابل باور نباشد که حفره‌ای قانونی با این ابعاد، در یکی از ادارات زیرمجموعه قوه قضاییه وجود دارد. اما این اتفاق مکرراً در حال وقوع است. حسن شجاعی، رئیس کمیسیون اصل نود مجلس شورای اسلامی چندی پیش در مصاحبه‌ای با رسانه‌ها وقوع این امر را تصریح کرده است:

 ««قربانیان این تخلفات به صورت اتفاقی متوجه می‌شوند که نامشان بدون اطلاع قبلی، به عنوان یکی از اعضای هیئت‌مدیره ‌ یا سهامداران یک شرکت قید شده است. بدیهی است جعلی بودن امضای صورتجلسات شرکت‌ها، می‌تواند منجر به تحمیل بدهی‌های مالیاتی، ممنوع‌الخروجی و توقیف اموال قربانیان و در نتیجه تشکیل پرونده‌های متعدد کیفری و حقوقی در دستگاه قضا شود.»

وی افزود: «مشکل اصلی، فقدان سازوکار احراز هویتِ برخطِ جمیعِ ذی‌نفعان در زمان ثبت شرکت و صورتجلسات تغییرات است. پس از اتمام مراحل نیز غیر از فرد ثبت‌کننده، اطلاع‌رسانی و ابلاغی به سایر ذی‌نفعان، حتی در حد ارسال پیامک انجام نمی‌شود.»

 

احراز هویت الکترونیکی راهکار جلوگیری از جعل

احراز هویت و تصدیق الکترونیکی چیزی شبیه به سازوکار رمز دوم پویای بانک برای خرید اینترنتی است که تا رمز در سامانه وارد نشود عملیات خرید تکمیل نمی‌شود. نمونه این سازوکار در برخی از سامانه‌های تأمینتامین اجتماعی، تعویض و انتقال سیم‌کارت و ... در کشور انجام می‌شود. کافی است هنگام تأسیس و ثبت صورتجلسات تغییرات یک شرکت افرادی که ذی‌نفع هستند، از طریق سامانه ثنا با یک پیامک حامل کد تأیید، احراز هویت الکترونیکی شوند.

 احراز هویت و تصدیق الکترونیکی تمام اعضای هیئت‌مدیره به معنی طولانی شدن فرایند ثبت شرکت‌ها نیست. بلکه صرفاً فرد متقاضی هنگام اقدام به ثبت تأسیس شرکت یا تغییرات آن، با اعضای هیئت‌مدیره هماهنگ خواهد کرد که پیامک‌های کد تایید احراز هویت الکترونیکی را برای او بفرستند؛ یا خودشان شخصاً از طریق لینک درج شده در پیامک اقدام به درج کد مختص به خود نمایند. در این سازوکار لازم خواهد بود که تا زمانی که کد تایید هر کدام از افراد در سامانه ثبت شرکت‌ها وارد نشود، نتوان شخص را به عنوان عضو هیئت‌مدیره شرکت منصوب کرد. به همین سادگی و با کمترین هزینه از حقوق قانونی و امنیت روانی مردم صیانت شده و از ایجاد تعداد زیادی شرکت صوری با قصد فرار مالیاتی و تعداد زیادی پرونده در دستگاه قضا جلوگیری می‌شود. این یعنی درآمد بیشتر برای دولت به خاطر کاهش فرار مالیاتی و هزینه کمتر برای دستگاه قضا به‌خاطر کاهش ورودی پرونده‌ها.

 

دایره گسترده جعل عنوان در سایه نبود احراز هویت

 مسئله جعل در هرجایی که احراز هویت به صورت فردمحور و صرفاً با تطبیق تصویر کارت ملی و چهره فرد یا اسکن اثرانگشت انجام می‌شود قابل وقوع است. برای مثال نقل و انتقالات در دفاتر اسناد رسمی، افتتاح حساب در بانک‌ها و تمدید جوازهای کسب‌وکار از جمله مواردی هستند که برای امنیت بیشتر، نیاز به احراز هویت الکترونیکی دارند. درواقع لازم است هرجایی که امضای فرد برای وی تکلیف قانونی ایجاد می‌کند، برای شماره تلفن همراه وی پیامک ارسال شود. با این شیوه هم خود فرد از عملیات مطلع شده و آن را تأیید می‌کند هم متصدی آن اداره در احراز هویت متقاضیان دچار مشکل نخواهد شد.

 

احراز هویت الکترونیکی در ایستگاه پایانی

مدتی است که ادارات ثبت شرکت‌ها و مؤسسات غیرتجاری، ثبت تأسیس و تغییرات را منوط به عضویت در سامانه ثنا برای تمام اعضای هیئت‌مدیره کرده‌اند. این امر مقدمه‌ای برای احراز هویت الکترونیکی است که البته کافی نیست. در حال حاضر ثبت‌نام ثنا در این ادارات کارکردی برای احراز هویت ندارد. هیچ‌گونه ابلاغی در خصوص شرکت‌ها نه به صورت پیامکی نه در سامانه ابلاغ الکترونیکی قوه قضاییه به افراد انجام نمی‌شود.

سابقه اقدامات انجام شده در سازمان ثبت اسناد و املاک کشور و اداره کل ثبت شرکت‌های تجاری و مؤسسات غیرتجاری خصوصاً در چند ماه اخیر مثبت بوده است. اقداماتی از قبیل توسعه سامانه ثبت من شایسته تقدیر است. انتظار می‌رود مسئولین ذی‌ربط جهت حفظ حقوق عامه فعال‌کردن سازوکار احراز هویت الکترونیکی و ابلاغ نهایی پس از ثبت صورتجلسات شرکت‌ها را در اولویت کار خود قرار دهند.

عباس پورخصالیان - "فضای نبرد" یا Battle-space، فضای توأمان مجازی و واقعی در شرایط جنگی و در دوران ناآرامی های خیابانیِ به سرعت فراگیر است؛ یعنی "فضای نبرد" را باید فراتر از فضای سایبری دانست؛

عضو شورای عالی نظام پزشکی با اظهار تاسف از این که هیچ ‌یک از پیش نیازهای اجرای طرح نسخه الکترونیک که در متن قانون صراحتا بیان شده ، بطور کامل وجود ندارد؛ گفت: هنوز اقدامات لازم جهت اخذ « گواهی ارزیابی امنیتی افتا » روی سامانه های نسخه الکترونیک انجام نشده  و همچنین مرکز راهبردی افتا صراحتا سامانه های مذکور را فاقد امنیت لازم اعلام نموده است.
دکتر محمد باقر حیدری در گفت و گو با خبرنگار اداره کل روابط عمومی در خصوص اجرای طرح نسخه نویسی الکترونیک بیان کرد:  این برنامه فقط بخشی از طرح ارائه خدمات الکترونیک سلامت است که طبق ماده ۷۴ قانون برنامه ششم توسعه، وزارت بهداشت را مکلف می کند تا ظرف دو سال نسبت به استقرار سامانه پرونده الکترونیک سلامت ایرانیان و سامانه های مراکز خدمات سلامت اقدام نموده و پس از استقرارکامل سامانه با اولویت اجرای برنامه پزشک خانواده و نظام ارجاع، به صورتی یکپارچه، مبتنی بر فناوری اطلاعات و با حفظ حریم خصوصی و امنیت داده ها، خدمات بیمه سلامت در تعامل با پرونده الکترونیک سلامت ایرانیان را ساماندهی کند.

  وی افزود: هنوز اقدامات لازم جهت اخذ « گواهی ارزیابی امنیتی افتا » روی سامانه های نسخه الکترونیک انجام نشده است و همچنین مرکز راهبردی افتا صراحتا سامانه های مذکور را فاقد امنیت لازم اعلام نموده است. (حداقل    6 تا 12 ماه دیگر زمان نیاز دارد)

عضو شورای عالی نظام پزشکی با اشاره به این که موضوع « امضای الکترونیک نسخ » که تصریح قانون بودجه 1400 بوده ، هنوز عملیاتی نشده است، تصریح کرد:  طبق قانون بودجه 1400، پرداخت نسخه الکترونیک از سوی سازمانهای بیمه گر، منوط به تحقق امضای الکترونیک است و باید در ابتدا برای هر ایرانی پیش از نسخه الکترونیک، پرونده الکترونیک سلامت راه اندازی شود.

 به گفته حیدری هنوز اقدامات لازم جهت اجرایی نمودن کدینگ ارسالی وزارت بهداشت در سامانه های فعلی بیمه ها تکمیل نشده است بنابر این امکان تبادل اطلاعات با پرونده الکترونیک سلامت (مورد تاکید در قانون مذکور) وجود ندارد.

 رئیس شورای هماهنگی کرمانشاه با بیان این که  وجود کدهای چندگانه دارو و تطابق دستی کدها توسط پرسنل پشتیبانی پلتفرم های نسخ الکترونیک، قطعا بدون خطا نیست؛ خاطرنشان کرد: این امر برخی اوقات سبب مغایرت دارو با تجویز پزشک معالج می شود که به راحتی جان و سلامتی بیماران  را در موارد بیشماری به خطر می اندازد.

  وی اذعان کرد : حتی در صورت تحقق صد در صدی برنامه نسخه الکترونیک ، بیمه ها باید با در نظر گرفتن مواردی نظیر قطعی برق و اینترنت، حملات سایبری، اختلالات فنی که موجب قطعی خدمت می شود، مناطقی که دسترسی  به زیرساختهای ارتباطی یا سخت افزاری لازم را ندارند، همکاران مسن تر و یا مراکز بیمارستانی ودرمانگاههای شبانه روزی و ... مجاز به پرداخت حداقل 30 درصد نسخ به صورت کاغذی علاوه بر نسخ الکترونیک باشند.

عضو شورای عالی نظام پزشکی ضمن ابراز تاسف از ا ین که هیچ ‌یک از پیش نیازهای اجرای طرح نسخه الکترونیک که در متن قانون صراحتا بیان شده ، بطور کامل وجود ندارد؛ خاطرنشان کرد:  در طراحی و بهره برداری نرم افزاری سایت نیز کاستی های بسیار فراوانی مشهود است و عدم استفاده از نظرات کارشناسان باعث شده تا مسائل حیاتی مانند نیازهای کاربران تخصصی، مصلحت بیماران ،  مدیریت اقتصادی سامانه ،  مدیریت زمان ، سهل الوصول بودن دسترسی و  ایجاد یک سامانه جامع یکپارچه برای همه بیمه ها و ... در نظر گرفته نشود و اجرای این طرح ناقص و ناکارآمد و شتابزده را، آن هم به طور یکپارچه و کشوری غیرممکن نموده است.

وی با تاکید بر این که اشکالات اساسی بیشمار در سامانه های متفاوت موجود در این طرح  قطعا منجر به بروز نارضایتی در سطح وسیع کشوری برای بیماران ، پزشکان ، کلیه مراکز و موسسات درمانی دولتی ، خصوصی و کلیه اعضای سازمان نظام پزشکی سراسر کشورخواهد شد؛ گفت: خواستار رفع نواقص و اشکالات اساسی موجود و اجرایی نمودن کلیه پیش نیازهای قانونی این برنامه و نیز اجرای گام به گام بر حسب اولویتهای ماده ۷۴ قانون ششم توسعه هستیم تا درشرایط روحی و اقتصادی سخت کنونی، جامعه پزشکی و مردم دچار تنش و نگرانی مضاعف نشوند.

معاون اجتماعی پلیس فتا گفت: سامانه «ADLIRAN» اکنون در صدر جرایم سایبری است و به دلیل آنکه اطلاع‌رسانی خوبی در این زمینه انجام نشده، کلاهبرداران از این سرشماره سوءاستفاده‌های بسیاری کرده‌اند.

سرهنگ رامین پاشایی در گفتگو با خبرنگار مهر با اشاره به ارسال پیامک‌های جعلی منتسب به سازمان‌های مختلف برای مردم گفت: متأسفانه رویه نامرسومی در کشور در حال رخ دادن است و آن هم این است که هر سازمان می‌خواهد اطلاع‌رسانی یا ارائه خدمات داشته باشد، بدون هماهنگی با پلیس فتا، پیامک‌هایی را به صورت انبوه برای مردم ارسال می‌کند.

وی ادامه داد: قبل از آنکه این پیامک‌ها برای مردم ارسال شود، باید کار رسانه‌ای انجام شود و مردم از آن سر شماره مطلع شوند اما متأسفانه هیچ‌کدام از نهادها و سازمان‌های ما چنین کاری را انجام نمی‌دهند که منجر به افزایش جرایم سایبری شده است.

معاون اجتماعی پلیس فتا گفت: سامانه «ADLIRAN» اکنون در صدر جرایم سایبری است و به دلیل آنکه اطلاع‌رسانی خوبی در این زمینه انجام نشده، کلاهبرداران از این سر شماره سوءاستفاده‌های بسیاری کرده‌اند.

 

راه‌اندازی سامانه جامع ارائه خدمات دولتی از سوی پلیس فتا

وی اظهار داشت: پلیس فتا پیگیر راه‌اندازی سامانه جامع ارائه خدمات دولتی است یعنی یک سامانه مشخص باشد و هر نهادی که می‌خواهد پیامک‌های انبوه ارسال کند، سر شماره خود را در آن سامانه ثبت کند.

پاشایی بیان کرد: روند ارسال پیامک باعث سردرگمی مردم و سوءاستفاده مجرمان سایبری شده و پلیس فتا حتماً با ارسال‌کننده‌های پیامک به صورت انبوه و جزیره‌ای برخورد می‌کند.

به گفته معاون اجتماعی پلیس فتا، چندی پیش پیامک‌هایی از سامانه «نفوس و مسکن» برای مردم ارسال شد که ضربه شدیدی به کاربران زد.

 

روش کلاهبرداری با سرشماره های جعلی به چه صورت است؟

پاشایی ادامه داد: روش کلاهبرداران در این پیامک‌ها آن است که پیامکی با محتواهایی نظیر «ابلاغیه»، «ثبت شکایت در سامانه» یا «ثبت‌نام» در سامانه مذکور که حاوی لینک است، به شهروندان ارسال شده و جهت مشاهده ابلاغیه، از آنان درخواست می‌شود با کلیک بر روی لینک، مبلغ ناچیزی پرداخت کنند اما این لینک‌ها یک بدافزار هستند که تمام اطلاعات کارت بانکی متقاضیان را به سرقت می‌برند.

وی ضمن تاکید به سازمان‌ها برای اطلاع‌رسانی وسیع و گسترده در رابطه با سرشماره‌های خود به مردم گفت: پیامکی از طرف قوه قضائیه با سر شماره شخصی ارسال نمی‌شود، پیامک‌های دارای لینک، جعلی و کلاهبرداری است و پیامک ارسالی از طرف قوه قضائیه تنها با سر شماره ADLIRAN است.

لایحه حفاظت از داده‌های شخصی به جریان افتاد

چهارشنبه, ۲۰ بهمن ۱۴۰۰، ۰۵:۳۰ ب.ظ | ۰ نظر

لایحه «حفاظت از داده‌های شخصی» با هدف اتخاذ راهکارهای قانونی در حفظ حریم خصوصی کاربران، بار دیگر در جریان تصویب در دولت قرار گرفت تا با ارائه به مجلس، نظام حاکمیت داده در کشور قانونمند شود.

 معصومه بخشی پور: نشت اطلاعات و افشای پایگاه اطلاعات هویتی کاربران یکی از موضوعات دارای اهمیت سال‌های اخیر فضای مجازی بوده که هر بار پس از گذشت چند روز، به دلیل نبود قوانین مشخص در مواجهه با آن، به دست فراموشی سپرده می‌شود.

برای مثال کمتر از ۲ سال پیش نشت اطلاعات شناسنامه‌ای ۸۰ میلیون کاربر ایرانی از طریق سرورهای سازمان ثبت احوال و وزارت بهداشت خبرساز شد. پس از آن نیز شاهد افشای بانک اطلاعاتی حاوی اطلاعات شمار زیادی از کاربران ایرانی یکی از شبکه‌های اجتماعی و شماری از کاربران یکی از بازارهای ایرانی نرم‌افزارهای موبایلی بودیم؛ سرقت پایگاه داده سازمان امور دانشجویان وزارت علوم و برخی شرکت‌های هواپیمایی و بانک‌ها نیز از همین دست اتفاقات بوده است که متأثر از فهرست مشترکی از خطاها و ضعف‌های امنیتی در پایگاه‌های داده، عموماً تکرار می‌شود.

افشای داده تنها مربوط به کشور ما نیست و نشت اطلاعات میلیون‌ها پروفایل شخصی مربوط به مشترکان فیس بوک در جریان تبلیغات سیاسی انتخابات ریاست جمهوری آمریکا که توسط شرکت کمبریج آنالیتیکا (یک شرکت تحلیل اطلاعاتی) صورت گرفت از جمله بزرگترین این پرونده‌ها است.

این در حالی است که «داده» در دنیای امروز یک دارایی با ارزش محسوب می‌شود که نشت و سرقت آن تبعات بسیار اقتصادی، اجتماعی و سیاسی را در بردارد و حفاظت قانونی از آن، باید در سازوکارهای مرتبط با نظام حاکمیت داده جای گیرد.

 

الزامات قانون نویسی برای حفاظت از اطلاعات

الزامات قانونگذاری در حفاظت از اطلاعات را می‌توان در قالب چند محور از جمله الزامات استفاده و نگهداری از داده‌های شخصی کاربران، الزامات افشای داده‌های شخصی، حقوق کاربران در زمینه حریم خصوصی، مسئولیت‌های متولیان داده‌های شخصی و الزامات دسترسی کاربر به داده‌های شخصی در فضای مجازی، تعریف کرد.

در گزارشی که پیش از این با عنوان «حفاظت از داده‌های کاربران و رویکردهای جهانی» توسط مرکز پژوهش‌های مجلس منتشر شده است، پس از بررسی اسناد و مدارک بین‌المللی و منطقه‌ای حریم خصوصی و حفاظت از داده‌های کاربران، این نتیجه‌گیری حاصل شده که «حفاظت از داده‌های کاربران با توجه به توسعه فناوری اطلاعات و ارتباطات و فضای مجازی به یکی از اولویت‌های سیاستی و قانونگذاری کشورها تبدیل شده و اغلب کشورهای توسعه یافته به تصویب قوانین بخشی یا یکپارچه در این زمینه اقدام کرده‌اند. در این میان کشورهایی همچون پاکستان، گواتمالا، هند، ترکیه، مالزی، مکزیک، فیلیپین، سنگاپور، ونزوئلا دارای کمبود قوانین در این حوزه هستند. ایالات متحده آمریکا و ژاپن دارای رویکرد قانونگذاری بوده‌اند و کره جنوبی، استرالیا، کانادا، اتریش، بلژیک، فرانسه، ایتالیا، کانادا، دانمارک، فنلاند، آلمان، یونان، بلژیک، نروژ، ایرلند، پرتغال، اسپانیا، سوئد، سوئیس و انگلستان از جمله کشورهایی هستند که دارای قانونگذاری یکپارچه در عرصه حفاظت از داده‌های کاربران هستند. بر این اساس ضرورت تصویب قانون صیانت و حفاظت از داده‌های شخصی در کشور ما نیز احساس می‌شود.»

این ضرورت بر مبنای اصول مختلف فصل سوم قانون اساسی جمهوری اسلامی ایران راجع به حقوق ملت به ویژه اصول ۱۹، ۲۰، ۲۲، ۲۳، ۲۵، ۲۶، ۳۸ و ۳۹ قانون اساسی و نیز سیاست‌های کلی نظام، ابلاغی مقام معظم رهبری درباره شبکه‌های اطلاع رسانی رایانه‌ای به ویژه بندهای یک و ۷، نظام اداری به ویژه بند ۲۳، پدافند غیرعامل به ویژه بند ۱۱، امنیت فضای تولید و تبادل اطلاعات به ویژه بند یک و برنامه ششم توسعه به ویژه بندهای ۳۶، ۳-۵۵ قابل پیگیری است و با در نظر گرفتن این اسناد، می‌توان به شاخص‌ها و سیاست‌های مشخصی برای قانونگذاری درباره حفاظت از داده دست یافت.

 

GDPR و تلاش برای محافظت از حریم خصوصی کاربران

حریم خصوصی کاربران فضای مجازی در ایران تاکنون مشمول قانونی نبوده و به همین دلیل بسیاری از مصادیق نقض حریم خصوصی در فضای مجازی به وفور اتفاق می‌افتد.

به دلیل مشخص نبودن مصادیق گردآوری، استفاده، نگهداری و افشای اطلاعات و مسئولیت‌های متولیان داده‌های شخصی از جمله شبکه‌های اجتماعی داخلی و خارجی، حفاظت از حریم خصوصی کاربران در فضای مجازی با ابهامات جدی همراه است.

این در حالی است که بسیاری از کشورهای دنیا، برای حفاظت از اطلاعات در فضای مجازی قوانین مشخصی تدوین کرده‌اند و اتحادیه اروپا نیز قانون جامعی از صیانت از اطلاعات شخصی به نام GDPR را به تصویب رسانده است. این قانون از ۲۵ ماه می سال ۲۰۱۸ اجرایی شده و شرکت‌های زیادی در داخل اتحادیه اروپا و حتی خارج از آن، تحت تأثیر این قانون قرار گرفته‌اند.

این قانون که حتی مشمول قوانین و مقرراتی برای صادرات اطلاعات شخصی به خارج از اتحادیه اروپا نیز می‌شود، شبکه‌های مجازی را ملزم به تبعیت از قوانین فضای مجازی کشورها برای صیانت از حریم خصوصی کاربران می‌کند و در صورت نقض این قانون، این شبکه‌ها با جریمه‌های سنگینی مواجه می‌شوند.

در این قانون به این ابهامات پاسخ داده می‌شود که کدام داده‌های جمع آوری شده شامل حریم خصوصی می‌شود؛ چه کسانی می‌توانند از آن استفاده کنند و چه کارهایی باید انجام پذیرد تا کاربر از حفاظت و امانت این اطلاعات مطمئن شود. در نهایت اینکه تحلیل این داده‌ها تحت چه قوانینی ممکن خواهد بود.

به همین دلیل گفته می‌شود که اگرچه GDPR یک قانون مصوب در داخل اتحادیه اروپا محسوب می‌شود اما محدوده تعریف شده آن تمامی کشورها و شرکت‌هایی که به نوعی با اتحادیه اروپا مراوده دارند را نیز دربرمی گیرد. از این رو شرکت‌های زیادی در آمریکا و آسیا نیز اعلام کرده‌اند که به این قانون پایبند خواهند بود. بنابراین می‌توان گفت که این قانون تبدیل به یک استاندارد سطح جهانی برای حفاظت از اطلاعات شخصی شده است.

 

تصویب GDPR به عمر دولت دوازدهم قد نداد

در ایران نیز با توجه به ایجاد موج جهانی برای ملحق شدن به قانون GDPR ، بحث تصویب « قانون حفاظت از اطلاعات شخصی» از حدود ۳ سال پیش توسط دولت دوازدهم مطرح شد و این‌طور گفته شد که قرار است حفاظت از داده در کشور بر مبنای قانون GDPR اصلاح و ویرایش شود.

خرداد سال ۹۷ محمدجواد آذری جهرمی وزیر وقت ارتباطات و فناوری اطلاعات در پیامی توئیتری اجرای قانون حفاظت از اطلاعات شخصی در اتحادیه اروپا را تبریک گفت و از انتظار برای تصویب چنین لایحه‌ای در ماه‌های آتی در ایران خبر داد.

مرداد ۹۷ نیز پیش‌نویس لایحه صیانت از داده‌های شخصی در این لینک از سوی وزارت ارتباطات منتشر شد.

در آن زمان با همکاری مرکز پژوهش‌های مجلس و پژوهشگاه قوه قضائیه و وزارت ارتباطات، پیش‌نویس اولیه مشترک میان دولت، مجلس و قوه قضائیه تهیه شد تا در قالب لایحه‌ای از سمت دولت به مجلس برود. برای مثال کارشناسی در زمینه جرم انگاری در این لایحه در قوه قضائیه انجام شد و برخی کمیسیون‌های تخصصی و فرعی دولت نیز موارد دیگری را مورد بررسی قرار دادند تا بسیاری از مشکلات افشای اطلاعات در فضای مجازی به صورت قانونی حل شود.

با این وجود آنطور که انتظار می‌رفت مسیر تصویب این لایحه پیش نرفت و دولت دوازدهم موفق نشد لایحه را برای ارائه به مجلس به سرانجام برساند.

 

بازنگری در GDPR ایرانی و حرکت به سمت حفاظت از حریم خصوصی

اغلب کشورهای دنیا با در نظر گرفتن ویژگی‌های بومی و فرهنگی خود، به جای اینکه از ابتدا قانونی مانند GDPR بنویسند، قانون اتحادیه اروپا را به قانون داخلی خود تغییر داده و بازنگری کرده‌اند.

با توجه به دغدغه‌هایی که در کشور ما در خصوص قانون نویسی در حوزه فضای مجازی و حفظ اطلاعات شخصی کاربران وجود دارد، باید رویه‌ای دنبال شود که در کنار بومی سازی قانونی مانند GDPR، به موضوعات فنی داخلی نیز توجه ویژه شده و مشخص شود که تطبیق شرکت‌های داخلی، سایت و اپلیکیشن‌ها با این قانون چگونه انجام خواهد شد. به این معنا که شرکت‌ها برای آماده سازی خود با قانون GDPR نیازمند چه فعالیت‌ها و زیرساخت‌هایی هستند و چه اقداماتی را باید انجام بدهند و یا اینکه فرآیند قانونی حفاظت از حریم شخصی و حفاظت از داده‌ها برای پلتفرم‌های پر مخاطب چگونه دنبال می‌شود؟ در کنار این موضوع، بحث تقسیم بندی وظایف متولیان امنیت داده در کشور نیز در درجه اهمیت قرار دارد و باید در سطح دستگاه‌های حساس و حیاتی و سایر نهادهای مسئول، مورد توجه قرار گیرد.

 

لایحه حفاظت از داده‌های شخصی به جریان افتاد

با این وجود هم اکنون معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات از اهتمام دولت سیزدهم برای به ثمر رساندن لایحه حفاظت از حریم خصوصی کاربران خبر داده و گفته است که این لایحه قرار است از سوی دولت به مجلس ارائه شود.

محمد خوانساری در گفتگو با خبرنگار مهر در تشریح برنامه‌های وزارت ارتباطات برای حفظ حریم خصوصی کاربران و صیانت از داده‌های شخصی، با اشاره به لایحه‌ای که در دولت قبل در این خصوص به سرانجام نرسید، اظهار داشت: ما در حال بازبینی لایحه GDPR که در دولت قبل برای «حفظ حریم خصوصی و حفاظت از داده» مطرح شده بود، هستیم.

وی با بیان اینکه مجدداً این لایحه را فعال خواهیم کرد تا در کمیسیون‌های دولت به تصویب برسد و در نهایت از سوی هیأت دولت به مجلس تقدیم شود، گفت: این مهمترین کاری است که باید در حوزه حفاظت از اطلاعات انجام شود و به همین خاطر تاکید ما این است که سریع‌تر به نتیجه برسد.

معاون وزیر ارتباطات در پاسخ به این سوال که آیا این لایحه ، برگردانی از قانون GDPR اتحادیه اروپا خواهد بود، گفت: قاعدتاً خیر؛ این لایحه را با شرایطی که در کشور داریم باید تطبیق دهیم و بالطبع، قوانین و مقررات ما در کشور برای حفظ حقوق داده و مردم متفاوت است و هر کشور نیز شرایط خاص خود را دارد. اما به نظر می‌رسد خط مشی یکی است و به همین خاطر می‌توان از راهنمایی‌های این قانون استفاده کرد.

رئیس سازمان فناوری اطلاعات ایران با اشاره به اینکه نسخه مفصلی از قانون حفاظت از اطلاعات در فضای مجازی از سوی سازمان فناوری اطلاعات آماده شده بود، گفت: در دولت سیزدهم و حسب یافته‌ها و تغییراتی که ایجاد شده، وزیر ارتباطات این مسئولیت را به اینجانب محول کردند که بازبینی این لایحه را به شکل خاص دنبال کنم.

 

اتمام بازنگری لایحه حفاظت از اطلاعات تا پایان سال

وی با تاکید بر اینکه GDPR را به عنوان لایحه‌ای که از سوی دولت باید نهایی شود و سریع‌تر به مجلس ارائه شود در دستور کار قرار داده‌ایم، افزود: پیش بینی ما این است که رویه کارشناسی بازنگری این لایحه، تا قبل سال به پایان برسد و ما از ظرفیت کارگروه ویژه اقتصاد دیجیتال دولت برای تصویب شدن این لایحه نیز استفاده خواهیم کرد.

خوانساری با بیان اینکه بازبینی مجدد با هدف ارائه یک لایحه جامع و کامل در حوزه حفاظت از اطلاعات در فضای مجازی مدنظر است، گفت: طبیعتاً ما یک بار می‌توانیم شانس خود را برای ارائه لایحه با این مضمون، به مجلس امتحان کنیم. به همین علت بهتر است که این لایحه کامل باشد و چیزی از قلم نیافتد تا قانونی محکم در حفاظت از حقوق مردم تصویب شود و مردم از ثمرات آن بهره مند شود.

معاون وزیر ارتباطات گفت: در صورت نهایی شدن این لایحه در وزارت ارتباطات، پیش‌نویس آن را منتشر خواهیم کرد، گفت: این حق مردم است که در جریان قرار بگیرند و ما چیز پنهانی نداریم. قصدمان دفاع از حقوق مردم به صورت قانونی است. دولت انرژی زیادی خواهد گذاشت تا این لایحه را به مجلس ببرد.

وی در مورد تفاوت این طرح با طرح حمایت از حقوق کاربران فضای مجازی و خدمات پایه کاربردی که هم اکنون در مجلس شورای اسلامی در دست بررسی است، گفت: سطوح عملکرد این دو طرح کاملاً متفاوت است. اگرچه قطعاً این طرح‌ها متناقض هم نبوده بلکه مکمل هم خواهند بود. اما در طرح حفاظت از اطلاعات، قوانین مرتبط با انتشار داده‌های شخصی قرار است تصویب شود.

به گزارش مهر، موضوع قانون گذاری در حوزه حکمرانی داده از سال گذشته نیز در مجلس یازدهم مورد پیگیری قرار گرفت و نمایندگان به دلیل خلأ قوانین مرتبط با این حوزه، دو طرح «طرح یکپارچه سازی داده و اطلاعات ملی» و «الزام به انتشار داده و اطلاعات عمومی» را در جریان تصویب قرار داده‌اند.

از سوی دیگر بخشی از طرح حمایت از حقوق کاربران و خدمات پایه فضای مجازی نیز در راستای تنظیم‌گری حقوق کاربران فضای مجازی تعریف شده است.

حال در صورتی که روند بازنگری لایحه دولت در زمینه حفاظت از اطلاعات نیز تا پایان امسال به اتمام برسد و دولت روند تصویب آن را سرعت بخشد، می‌توان امیدوار بود که این لایحه از ابتدای سال ۱۴۰۱ با قید فوریت در کنار سایر قوانین مرتبط در مجلس، وارد فرآیند تصویب شود.

به این ترتیب از سال آینده شاهد پیاده سازی نظام حاکمیت داده در کشور و قانونمند شدن انتشار اطلاعات در فضای مجازی خواهیم بود.

مهاجمان سایبری در آستانه تسلط بر ویندوز

سه شنبه, ۱۹ بهمن ۱۴۰۰، ۰۳:۱۳ ب.ظ | ۰ نظر

 مرکز مدیریت راهبردی افتا ریاست جمهوری اعلام‌کرد: وجود ضعفی امنیتی در ویندوز، به مهاجمان سایبری دسترسی ادمین می‌دهد تا آنان بتوانند دستگاه کاربران را آلوده کنند.

به گزارش مرکز مدیریت راهبردی افتا (امنیت فضای تبادل اطلاعات)، مهاجمان با دسترسی محدود از طریق سوءاستفاده از این ضعف امنیتی می‌توانند به‌راحتی در یک دستگاه آسیب‌پذیر، مجوز و دسترسی‌های خود را برای گسترش آلودگی در شبکه، ایجاد کاربران جدید ادمین و اجرای فرمان‌های خاص افزایش دهند.

این آسیب‌پذیری با کد شناسایی CVE-۲۰۲۲-۲۱۸۸۲ سیستم‌عامل ویندوز۱۰، نسخه ۱۹۰۹ و بالاتر، سیستم‌عامل ویندوز۱۱ و سیستم‌عامل Windows Server ۲۰۱۹ و بالاتر را قبل از اصلاحیه‌های امنیتی ماه گذشته مایکروسافت (ژانویه ۲۰۲۲) تحت تأثیر قرار می‌دهد.

آژانس دولتی «امنیت سایبری و امنیت زیرساخت آمریکا» (Cybersecurity & Infrastructure Security Agency یا به اختصار CISA) با انتشار هشداری به مراکز تحت پوشش خود، نصب اصلاحیه برای ترمیم آسیب‌پذیری CVE-۲۰۲۲-۲۱۸۸۲ را در مدت ۲ هفته الزامی کرده است.

بسیاری از مدیران شبکه به‌دلیل اشکالات متعددی که پس از نصب اصلاحیه‌های ژانویه ۲۰۲۲ گزارش‌شده، از اعمال این اصلاحیه‌ها خودداری کرده‌اند.  

کارشناسان مرکز مدیریت راهبردی افتا می‌گویند: عدم اعمال اصلاحیه‌های ژانویه ۲۰۲۲ موجب می‌شود که سیستم‌ها در شبکه محافظت نشوند و در برابر ضعف‌های امنیتی و تهدیدات سایبری از جمله تهدیدات مستمر و پیشرفته آسیب‌پذیر باشند.

اطلاعات تخصصی و فنی، اشکالات گزارش شده در پایگاه اینترنتی مرکز مدیریت راهبردی افتا منتشر شده است.

کلاهبرداری‌های رمزارز ۷ برابر شد

يكشنبه, ۱۷ بهمن ۱۴۰۰، ۰۳:۵۳ ب.ظ | ۰ نظر

فاطمه مرادیان - پیگیری پلیس در حوزه پلتفرم‌های خارجی سخت‌تر است چون بحث گمنامی وجود دارد و مسائل دیگری که هر روز در این حوزه‌‌ها پیش می‌آید. پس مردم وقتی خریدهای اینترنتی در حوزه اینستاگرام، تلگرام و... انجام می‌دهند باید به آنها توجه کنند.

معاون امنیت سازمان فناوری اطلاعات ایران گفت: مسئولیت تأمین امنیت هر دستگاه‌ ابتدا با خود آن دستگاه است؛ اما اخیراً ابلاغ شده که این سازمان باید ارزیابی امنیتی دستگاه‌ها را انجام دهد.

به گزارش فارس، محمود خالقی معاون امنیت سازمان فناوری اطلاعات ایران در نشست خبری ارائه راهبردهای آینده سازمان فناوری اطلاعات ایران، درباره آسیب پذیری های شبکه ها و سایت های ایرانی در برابر حوادث هکری،‌ گفت: مسئولیت تأمین امنیت هرکدام از دستگاه‌ها ابتدا با خود آن دستگاه است.

وی گفت: یعنی در وهله اول، متولی اصلی تامین امنیت با خود دستگاه است.

معاون امنیت سازمان فناوری اطلاعات ایران افزود: علاوه بر این، اما اخیراً به ما ابلاغ شده که سازمان فناوری اطلاعات ایران باید انجام ارزیابی امنیتی را هم در دستورکار خود قرار دهد که از این پس این کار را هم انجام خواهیم داد که قبلاً انجام این ارزیابی را بر عهده نداشتیم.

وی گفت:‌ البته بخشی از دستگاه‌های زیرساختی که با زیرساخت‌های حیاتی سر و کار دارند، باید سطوح امنیتی بالاتری را نسبت به دیگر دستگاه ها لحاظ کنند که این دستورالعمل‌ها توسط مرکز مدیریت راهبردی افتا به آنها ابلاغ شده است.

وی درباره تعامل مرکز ماهر با دستگاه ها و با رسانه ها در جریان رخدادهای رایانه ای که با انتقاداتی همراه بوده است، گفت: ضعف‌هایی در تعاملات و ارتباطات وجود داشته است که در حال تلاش برای رفع آنها هستیم. البته ارتباطات مرکز ماهر شامل دو سطح عمومی و تخصصی است که مخاطبان متفاوتی دارد.

معاون امنیت سازمان فناوری اطلاعات ایران افزود: همچنین در تلاش هستیم که زیست‌بوم افتا را با حضور متخصصان تشکیل دهیم و ظرفیت آنها را در جهت تقویت مرکز ماهر به کار گیریم و این مجموعه‌ها به عنوان پشتیبان مرکز ماهر فعالیت کنند.

شرکت امنیت سایبری اسرائیلی چک پوینت در یکی دیگر از زنجیره اتهامات بی اساس خود، مدعی شد گروه هکری ایرانی APT35 توانسته است در حملات خود به آسیب پذیری log4j، در پشتی پاورشل جدیدی به نام CharmPower را مورد استفاده قرار دهد.
به گزارش سایبربان؛ شرکت صهیونیستی چک پوینت مدعی شد هکرهای گروه ایرانی APT35 (چارمینگ کیتِن یا Phosphorus) با بهره گیری از حملات Log4Shell اقدام به رها سازی یک در پشتی پاورشِل جدید کرده اند. 

این پی لود چند بخشی می تواند ارتباطات کنترل و فرمان را مدیریت، نام های کاربری، نام سیستم ها، منابع شبکه، Share ها و سرویس ها از یک سیستم را استخراج و در نهایت ماژول های اضافی را دریافت، رمزگشایی و بارگذاری کند. 

Log4Shell یک آسیب پذیری جدی اجرای راه دور کد در کتابخانه جاوا log4j آپاچی است که در ماه دسامبر افشا شد.

طبق ادعای محققین چک پوینت، APT35 جزو اولین بازیگران مخربی بود که پیش از اعمال آپدیت امنیتی از سوی هدف، این آسیب پذیری را مورد سوء استفاده قرار داد.

چک پوینت که این تلاش ها را زیر نظر داشت، این بهره برداری را گروه APT35 ارتباط داد چون حملات این گروه با استفاده از زیرساخت های پیشن و افشا شده این گروه صورت پذیرفته است. (به دلیل عجله آن ها)

تحلیلگران این شرکت در بخشی از تحقیقات خود مورد جدیدی به نام CharmPower (چارم پاور) را به شکل یک در پشتی چند بخشی پاورشل شناسایی کردند. 

بهره برداری از آسیب پذیری CVE-2021-44228 به اجرای یک فرمان پاورشل با پی لود کد گذاری شده base64 و انتقال ماژول چارم پاور از ذخیره ساز ابری S3 bucket ختم خواهد شد. (این ذخیره ساز ابری توسط مهاجمین کنترل می شود)

این ماژول اصلی می توانید کارهای زیر را اجرا کند:

تایید اعتبار اتصال شبکه
استخراج و جمع آوری نام های کاربری، نام سیستم ها، منابع شبکه، Share ها و سرویس ها
بازیابی دامین کنترل و فرمان 
دریافت، رمزگشایی و اجرای ماژول های بعدی
این ماژول مرکزی و اصلی به ارسال درخواست های HTTP POST به سرور کنترل و فرمان ادامه می دهد. این کار می تواند دانلود پاورشل یا ماژول C# اضافی را آغاز کند. 

چارم پاور مسئول رمزگشایی و بارگذاری این ماژول ها می باشند. این کار می تواند کانال ارتباطی مستقلی را با سرور کنترل و فرمان ایجاد کند. 

لیست ماژول های ارسالی به نقاط انتهایی آلوده به صورت خودکار مبتنی بر داده های اولیه بازیابی شده توسط چارم پاور تولید می شود. ( در مرحله شناسایی)

لیست ماژول های اضافی ارسال شده توسط سرور کنترل و فرمان:

اپلیکیشن ها: استفاده از فرمان wmic برای شناسایی اپلیکیشن های نصب شده بر روی سیستم آلوده
اسکرین شات: تهیه اسکرین شات و آپلود آن ها بر روی سرور FTP با استفاده از داده های احراز هویت کد گذاری شده
فرآیند: کنترل فرآیندهای با استفاده از فرمان تسک لیست
اطلاعات سیستم: اجرای دستور "systeminfo" برای جمع آوری اطلاعات سیستم
اجرای فرمان: مژول اجرای راه دور کد
پاکسازی: از بین بردن تمامی رد پاهای باقی مانده در سیستم در معرض خطر 
چک پوینت شباهت های میان چارم پاور و جاسوس افزار اندرویدی مورد استفاده APT35 در گذشته را مورد توجه قرار داد. از جمله این شباهت ها می توان به عملکردهای مشابه لاگینگ و فرمت اشاره کرد. 

همین شباهت ها باعث شد تا چک پوینت طی یک ادعای بی اساس، این کمپین را به APT35 ارتباط دهد. 

بر اساس ادعای چک پوینت، CharmPower نمونه ای از پاسخ سریع بازیگران مخرب پیچیده به پیدایش آسیب پذیری هایی مانند CVE-2021-44228 و کنار هم قرار دادن کد ابزارهای افشا شده پیشین برای ساخت موارد موثر در عبور از لایه های امنیتی است.

مدیران اجرایی شرکت‌ها می‌توانند با راهبردهای ارائه‌شده در این گزارش امنیت سایبری سازمان‌های خود را تقویت کنند.
به گزارش کارگروه امنیت سایبربان به نقل از مجله امنیتی؛ بر اساس مطالعه‌ای که توسط شرکت امنیت سایبری اسپاین سایبری (Sapien Cyber)انجام شده است، از هر سه شرکت آمریکایی، دو شرکت معتقدند که اختلالات ناشی از ویروس کرونا «خطر قابل‌توجهی» برای محیط‌های فناوری عملیاتی (OT) ایجاد کرده است.

در این گزارش که راهنمای مدیران اجرایی در حوزه تهدیدات سایبری (The C-Suite's Guide to Cyber Risk) نام دارد از 100 مدیر ارشد امنیت (CSO)، مدیر ارشد امنیت اطلاعات (CISO) و سایر کارشناسان امنیتی سطح هیئت‌مدیره در شرکت‌های بزرگ آمریکایی نظرسنجی کرده تا بفهمد که چگونه مدیران اجرایی با تهدیدات امنیت سایبری در حال تحول مقابله می‌کنند.

درحالی‌که این مطالعه اثرات مخرب بالقوه همه‌گیری کرونا بر محیط‌های فناوری عملیاتی در سراسر آمریکا را نشان می‌دهد، 90 درصد از شرکت‌ها تهدیداتی که در این محیط‌ها با آن مواجه هستند را ارزیابی کرده‌اند و این نشانه‌ای دلگرم‌کننده است به این دلیل که سازمان‌ها این حوزه حیاتی از سیستم‌های فناوری اطلاعات خود را نادیده نگرفته‌اند.

این گزارش شش راهبرد در سطح مدیران اجرایی را که رهبران امنیتی معتقدند می‌تواند به کاهش خطرات سایبری کمک کند، مطرح می‌کند، ازجمله:

گفتگو در حوزه امنیت سایبری به‌طور برجسته در جلسات هیئت‌مدیره (79%)
ارزیابی کامل خطرات تجاری ناشی از تهدیدات سایبری (64%)
مدیران عامل باید مسئولیت کلی امنیت سایبری سازمانی را بر عهده بگیرند (63%)
افزایش بودجه امنیت سایبری (62%)
توسعه راهبرد‌های امنیت سایبری بلندمدت (57%)
اصلاح ساختارهای گزارش دهی برای دسترسی مستقیم هیئت‌مدیره به مسائل امنیتی (50%)
یک‌سوم از مدیران ارشد امنیتی و سایر کارشناسان امنیتی در سطح هیئت‌مدیره با اشاره به عدم شناخت اهمیت امنیت سایبری در میان رهبران شرکت‌ها معتقد بودند که مدیران عامل بزرگ‌ترین مانع برای بهبود امنیت سایبری سازمان‌ها هستند.

دامیان هیندز، وزیر امنیت و مرزهای انگلیس، روسیه، چین و ایران را کشورهای متخاصم سایبری خواند!
به گزارش سایبربان؛ وزیر امنیت و مرزهای انگلیس، دامیان هیندز، روسیه، چین و ایران را جزو کشورهای متخاصم سایبری برشمرد و آن ها را به انجام کمپین های اطلاعات جعلی متهم کرد.

هیندز گفت: این سه کشور که من به آن ها اشاره کردم، حضور فعالی در عرصه سایبری دارند و در حوزه جاسوسی، حملات سایبری، سربازان آماده باش و کمپین های اطلاعات جعلی قابلیت های زیادی از خود نشان داده اند.

وی افزود: کره شمالی را نیز باید به عنوان کشور چهارم به این لیست اضافه کنیم.

این اولین بار نیست که چنین اظهارات پوچی از سوی مقامات انگلیسی مطرح می شود. رایچارد مور، رئیس سرویس اطلاعات مخفی انگلیس اواخر نوامبر مدعی شده بود که شاهد تهدیدات سایبری جدی از سوی روسیه هستیم و در تلاشیم تا آن ها را خنثی کنیم.

مسکو به دفعات متذکر شده که هیچ کشوری را تهدید نمی کند و چنین اظهاراتی پوچ و بی اساس هستند.

مرکز مدیریت راهبردی افتای ریاست جمهوری با اشاره به سومین حمله مهاجمان سایبری به کتابخانه Log۴j درکمتر از یکماه اعلام کرد: این آسیب پذیری مدیران امنیتی IT سازمان‌ها را دچار سردرگمی کرده است.

به گزارش خبرگزاری مهر به نقل از مرکز مدیریت راهبردی افتا، با وجود ترمیم دو ضعف امنیتی در کتابخانه Log۴j در ۲۵ روز گذشته، سومین آسیب‌پذیری این کتابخانه، بنیاد تولید کننده آن و مدیران امنیتی IT سازمان‌ها را دچار دردسر و سردرگمی کرده است.

کتابخانه log۴j یکی از کتابخانه های محبوب مدیریت log برنامه است.

از آنجایی‌که این کتابخانه در بسیاری از سرویس‌های ابری و سرورها تعبیه‌شده است، سوءاستفاده از این ضعف امنیتی نیازی به تخصص فنی سطح بالا و احراز هویت ندارد.

بخش قابل‌توجهی از نرم‌افزارهای سازمانی، برنامه‌های تحت وب و انواع مختلف سرورهای آپاچی در برابر سوءاستفاده از این ضعف امنیتی و حملات RCE مبتنی بر آن، به شدت آسیب‌پذیر هستند.

ضعف امنیتی کتابخانه Log۴j به مهاجمان سایبری اجازه می‌دهد تا اسکریپت‌های مخرب را دانلود و اجرا کرده و امکان کنترل از راه دور سیستم را به طور کامل برای هکرها فراهم می‌کند؛ ازاین‌رو، شرکت آپاچی نسخه Log۴j ۲.۱۵.۰ را برای ترمیم آسیب‌پذیری CVE-۲۰۲۱-۴۴۲۲۸ منتشر کرد.

این باگ به‌عنوان یک حمله منع سرویس Denial of Service) – به‌اختصار DoS) نیز شناخته می‌شود. این ضعف امنیتی، از نوع Infinite Recursion است و بر تمامی نسخه‌های Log۴j و حتی نسخه دوم منتشرشده در ۲۵ روز گذشته تأثیر می‌گذارد.

برای ضعف امنیتی جدید کتابخانه Log۴j، شدت ۷.۵ از ۱۰ و درجه اهمیت بالا گزارش‌شده است.

شرکت‌های بیت دیفندر و مایکروسافت نیز تلاش‌های متعدد مهاجمان سایبری با استفاده از باگ Log۴Shell را برای استقرار باج‌افزار روی سیستم‌های آسیب‌پذیر گزارش کرده‌اند و مایکروسافت تصریح کرده که مهاجمان در حال انتشار باج‌افزار Khonsari روی سرور Minecraft هستند.

بنیاد نرم‌افزاری آپاچی (Apache Software Foundation) در پی کشف سومین ضعف امنیتی در کتابخانه Log۴j، با نامگذاری این آسیب پذیری امنیتی به شناسه CVE-۲۰۲۱-۴۵۱۰۵، نسخه ۲.۱۷.۰ - را برای این کتابخانه منبع باز مبتنی بر Java منتشر کرده است.

این سومین نسخه ترمیم شده کتابخانه Log۴j در ۲۵ روز گذشته است.

کارشناسان حوزه امنیت سایبری مرکز مدیریت راهبردی افتا با توجه به تأکیدهای مکرر بنیاد نرم‌افزاری آپاچی، از مدیران امنیتی IT سازمان‌ها و زیرساخت‌های حیاتی خواسته‌اند تا در اولین فرصت، کتابخانه Log۴j را در سیستم‌های سازمان‌های خود به نسخه ۲.۱۷.۰، ارتقا دهند.

اطلاعات تخصصی و فنی درباره این ضعف جدید امنیتی در کتابخانه Log۴j، اطلاعات دو آسیب پذیری قبلی این کتابخانه و توصیه‌نامه امنیتی بنیاد نرم‌افزاری آپاچی در پایگاه اینترنتی مرکز مدیریت راهبردی افتا منتشر شده است.

مرکز مدیریت راهبردی افتا از کارشناسان، متخصصان و مدیران IT دستگاه‌های دارای زیر ساخت حیاتی خواسته است تا ضمن مطالعه دقیق خبر تخصصی مربوط به سومین ضعف امنیتی در کتابخانه Log۴j، بلافاصله نسبت به ترمیم این ضعف امنیتی و به روز کردن آن در سیستم‌ها و سرویس‌های ابری سازمان خود اقدام کنند.

شرکت امنیت سایبری سیف بریچ (SafeBreach) مدعی است یک کمپین ایرانی به دنبال سرقت اطلاعات کاربری جیمیل و اینستاگرام است.
به گزارش سایبربان؛ شرکت امنیت سایبری آمریکایی اسرائیلی سیف بریچ اخیراً طی گزارشی مدعی شد یک کمپین ایرانی را شناسایی کرده که از اوایل سال جاری با هدف جمع‌آوری اطلاعات کاربری جیمیل و اینستاگرام اهداف بسیاری را در کشورهای مختلف هدف حملات فیشینگ قرار داده که تقریباً نیمی از این اهداف نزدیک به 46% در آمریکا بوده است.

این شرکت مدعی است کمپین یادشده را ابتدا در ماه سپتامبر شناسایی کرده اما با بررسی‌های بیشتر به این نتیجه رسیده که زمان برخی از حملات فیشینگ این کمپین به ماه ژوئیه نیز برمی‌گردد.

همچنین سیف بریچ مدعی است یک کد پاورشل (PowerShell) کشف کرده که محققان این شرکت آن را پاور شورت شل (PowerShortShell) می‌نامند، کدی که مهاجمان از آن برای سرقت طیفی از داده‌های حیاتی از قربانیان مانند تصاویر و فایل‌های تلگرام استفاده می‌کرده است.

کد مذکور معمولاً از طریق اسناد آفیس ارسال‌شده از طریق ایمیل اجرا می‌شده است. در یکی از این فایل‌های وورد ارسالی از آسیب‌پذیری (CVE-2021-40444) برای حذف کد مخرب PowerShell استفاده شده که در مرحله بعدی داده‌ها را از رایانه آلوده‌شده جمع‌آوری می‌کند.

سیف بریچ مدعی شد تصویر ذیل نیز یک سایت فیشینگ است که قربانی را به URL کوتاه https://yun[.]ir/jcccj. هدایت می‌کند.

اطلاعات کاربری سرقت شده در فایل out.txt ذخیره می‌شد که البته برای مرور در دسترس است.

محققان این شرکت مدعی هستند سایتی با آدرس https://signin[.]dedyn[.]io/Social/Instagram/Account.

کشف کرده‌اند که برای سرقت اطلاعات کاربری حساب‌های اینستاگرام بوده و اطلاعات مسروقه را در همان فایل out.txt مذکور ذخیره می‌کرده است.

سیف بریچ در انتها خاطرنشان کرد آمار دقیقی از قربانیان در دست ندارد اما توانسته یک نقشه حرارتی از قربانیان تهیه کند.

"مرکز بلفِر برای علم و امور بین المللی" مستقر در دانشگاه هاروارد، در گزارشی مفصل با محوریت قدرت سایبری ایران می نویسد: «ساده انگاری های مقام های غربی در مورد قدرت سایبری ایران موجب شده تا تهران بتواند از این مساله نهایت استفاده را ببرد و عملا به نقاطی نفوذ کند که آمریکایی ها و اسرائیل، حتی تصور آن را نیز نمی توانستند بکنند».

به گزارش الف؛ "مرکز بلفِر برای علم و امور بین المللی"، در دانشکده هاروارد-کندیِ آمریکا که از سال 2017 میلادی تاکنون، توسط "اَش کارتر" وزیر دفاع سابق آمریکا مدیریت می شود، به تازگی در یک گزارش راهبردی با عنوانِ "ارزیابی مجدد در مورد راهبردهایِ سایبری ایران"، به بررسی قدرت و توان سایبری ایران پرداخته و به طور خاص این مساله را مورد اشاره قرار داده است که اساسا بسیاری از رهبران غربی به اشتباه، ماهیت توان سایبری ایران را "واکنشی"(به مثابه واکنشی در برابر انجام اقدامات مختلف علیه ایران) ارزیابی می کنند. این مرکز همچنین معتقد است که همین تصورِ اشتباه، در ذهنِ بسیاری از تصمیم سازان غربی به باوری غالب تبدیل شده و عملا موجب شده تا آن ها خلاقیت های قابل توجه و پیشرفت های سریعِ توان و قدرت سایبری ایران را نبینند. 

گزارش راهبردی مذکور می نویسد: "بسیاری از سیاست سازان غربی، تصوری ابتدایی از قدرت سایبری ایران دارند. آن ها معتقدند ایران به گزینه انجام اقدامات سایبری تنها در صورتی می اندیشد که بخواهد پاسخی برای اقدامات علیه خود ارائه کند. از طرفی، یک ایده دیگر نیز در این راستا مطرح است و آن این که اساسا رهبران غربی سعی دارند با هماهنگ سازی جریان های رسانه ای خود علیه توان سایبری ایران و تصویرسازی از ایران به عنوان بازیگری که در حوزه سایبر، رویه های غیرمنطقی را در پیش می گیرد، عملا فضا را برای توجیه اقداماتِ نادرست و تهاجمی خود علیه ایران فراهم کنند و در عین حال تا جای ممکن از انتقادات گسترده افکار عمومی جهانی علیه خود نیز در امان باشند". 

"مرکز بلفِر برای علم و امور بین المللیِ" دانشکده هاروارد-کندی معتقد است که "ایران رویه ها و راهبردهای هوشمندانه ای را در عرصه مسائل سایبری در پیش گرفته است و عملا از این توان خود برای جمع آوری اطلاعات، و همچنین ترویج روایت ها و گفتمان هایی که به عنوان نماد آن ها در عرصه بین المللی شناخته می شود استفاده می کند. از این منظر، قدرت سایبری ایران از ماهیتی چند لایه برخوردار است". 

این مرکز همچنین به طور خاص به این مساله اشاره دارد که "آنچه در شرایط کنونی بازیگران منطقه ای، مخصوصا اسرائیل و کشورهای عرب حاشیه خلیج فارس را نگران کرده این است که ایران به نحو فزاینده ای در محیط سایبری قدرت می گیرد و عملا قادر است آن ها را با چالش هایی اساسی رو به رو سازد. در این راستا، بسیاری از نهادهای تحقیقاتی اسرائیلی به مقام های اسرائیل هشدار داده اند که اگر ایران بخواهد دست به تشدید نزاع های سایبری با اسرائیل بزند، بدون تردید این اسرائیل خواهد بود که بازنده بازی است. دلیل اصلی این مساله نیز کاملا روشن است زیرا ایران به صورت هدفمند می تواند بانک ها، مراکز تجاری و اقتصادی و بسیاری از زیرساخت های حیاتی اسرائیل را هدفِ حملات سایبری قرار دهد که این مساله در نوع خود خسارت های جبران ناپذیری را برای تل آویو به همراه خواهد داشت. موضوعی که حتی می تواند اقتصاد اسرائیل را نیز تا حد زیادی فلج سازد". 

این گزارش به طور خاص به این مساله اشاره کرده که "ساده انگاری های مقام های غربی در مورد قدرت سایبری ایران موجب شده تا تهران بتواند از این مساله نهایت استفاده را ببرد و عملا به نقاط نفوذ کند که آمریکایی ها و اسرائیلی ها حتی تصور آن را نیز نمی توانستند بکنند". 

در پایان، "مرکز بلفِر برای علم و امور بین المللی" در گزارش خود ضمن تکرار این مساله که "رهبران غربی باید برنامه و قدرت سایبری ایران را در قالبی منسجم و کاملا عقلانی و هدفمند ارزیابی کنند و تفاسیر کهنه خود را دراین رابطه دور بیندازند"، چند پیشنهاد اساسی را جهت مهار توانمندی های سایبری ایران مطرح کرده است.

پای باج‌افزار Khonsari به ایران هم باز شد

چهارشنبه, ۲۴ آذر ۱۴۰۰، ۰۵:۳۵ ب.ظ | ۰ نظر

طبق ادعای شرکت رومانیایی Bitdefender، مهاجمین در تلاش اند با بهره برداری از آسیب پذیری Log4Shell سیستم های ویندوز را آلوده به باج افزار Khonsari کنند.
به گزارش سایبربان؛  شرکت امنیت سایبری رومانیایی بیت دیفندر مدعی شد که مهاجمین سایبری در تلاش اند تا با بهره برداری از آسیب پذیری Log4Shell کتابخانه جاوا Log4j آپاچی و تروجان دسترسی راه دوری به نام Orcus، دستگاه های ویندوز را آلوده به باج افزاری جدید به نام Khonsari (خونساری) کنند.

مهاجمین در این حمله با استفاده از آسیب اجرای از راه دور کد نام برده، اقدام به دانلود پی لودهای اضافی می کنند. این پی لودها باینری .Net ای هستند که با افزونه "khonsari." تمامی فایل ها را از یک سرور راه دور، رمزنگاری می کنند و یادداشت درخواست باج را برای قربانیان به نمایش می گذارند. (مهاجمین مدعی می شوند که قربانیان می توانند با پرداخت بیت کوین، دسترسی خود را بازیابی کنند.)

Log4Shell می تواند سیستم های آلوده را به دانلود نرم افزار مخرب مجبور کند. آسیب پذیری نام برده یک پایگاه دیجیتال در شبکه های سازمانی و سرور را در اختیار مهاجمین قرار می دهد.

آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) نیز به صورت جدی در مورد بهره برداری از این آسیب پذیری هشدار داده و مدعی است در صورت اصلاح نشدن آن، بایستی منتظر سری حملات سایبری جدید به شرکت های مختلف دنیا باشیم.

مهاجم می تواند با ارسال درخواستی جعلی به یک سیستم آسیب پذیر، موجب اجرای کد دلخواه بر آن شود. این درخواست می تواند امکان به دست گرفتن کنترل کامل سیستم توسط مهاجم را مهیا کند. مجرم در این خواهد توانست اطلاعات را به سرقت ببرد، باج افزار را اجرا کند و دیگر فعالیت های مخرب را صورت دهد.

شرکت اسرائیلی چک پوینت مدعی است در کم تر از 24 ساعت، 60 گونه جدید از کد مخرب اصلی Log4j معرفی شده است. این شرکت Log4Shell را یک پاندمی سایبری واقعی خواند.

طبق ادعای کسپرسکی اکثر اقدامات مربوط به بهره برداری، به ترتیب نشات گرفته از کشورهای زیر می باشد:

 

روسیه ( 4هزار و 275 مورد )
برزیل ( 2هزار و 493 مورد )
آمریکا ( 1هزار و 746 مورد )
مکزیک ( 1هزار و 336 مورد )
ایتالیا ( 1هزار و 177 مورد )
فرانسه ( 1هزار و 8 مورد )
ایران ( 976 مورد )
چین ( 351 مورد )
Log4j به صورت قابل توجهی در اپلیکیشن های مدیریت کننده و کنترل کننده فرآیندهای صنعتی مانند تاسیسات آبی، برقی، غذایی و تنقلات، تولیدی و.. را در معرض بهره برداری و دسترسی راه دور قرار می دهد.

ترکش های این بهره برداری ها می توانند شرکت های معروف دنیا را تحت الشعاع قرار دهند.

طبق گزارشات ظاهرا دومین آسیب پذیری موجود در Log4j نیز شناسایی شده است. این آسیب پذیری (CVE-2021-45046) با نمره شدت 3.7 از 10 تمامی نسخه های Log4j را تحت تاثیر قرار می دهد.

این رویداد Log4j بر خلاف دیگر حملات سایبری که تعداد محدودی از نرم افزارها در آن دخیل هستند، تمامی محصولات یا سرویس وب مبتنی بر جاوا را درگیر می کند. حل این معضل کار بسیار مشکلی خواهد بود!

رئیس قرارگاه سایبری گفت: کشور به شدت به طیف وسیعی از نیروهای امنیت سایبری نیاز دارد که باید با اعمال حمایت‌های موثر مانع از مهاجرت چنین ظرفیت‎‌های ارزشمندی شد.

به گزارش ایرنا، محمدرضا  فرجی پور در همایش ملی امنیت سایبری دانشگاه خلیج فارس در بوشهر افزود: رقابت شدید در بازار کار برای جذب مختصصان امنیت سایبری وجود دارد و بتازگی کشورهای همسایه نیز برای جذب نیروهای متخصص این حوزه با تمرکز روی ایران فعال شده‌اند.

وی بیان کرد: با این شرایط  و با توجه به نیاز مبرم کشور به کارشناسان و متخصصان حوزه سایبری نسبت به جذب و اعمال حمایت موثر از آنان اقدام شود.

فرجی پور ادامه داد: مهم‌ترین مسئله‌ای که باید در کنار دفاع سایبری حل شود فقدان یک نهاد حقوقی شناخته شده جهانی برای حل منازعات سایبری است اما با این وجود مشکل اجرای قانون نیز در این گونه موارد وجود دارد.

وی عنوان کرد: در بیشتر زمان ها نیز منبع حمله‎‌های سایبری نامشخص است و نمی‌‎توان شواهدی جمع آوری و برای تحلیل حقوقی ارائه داد.

فرجی پور اضافه کرد: قوانین بین المللی نیز هنوز در تعیین آستانه زمانی که یک حمله سایبری به جنگ سایبری تبدیل می‎‌شود و اینکه آیا باید از نیروی نظامی استفاده کند، توسعه نیافته است.

وی گفت: آنچه امکان پذیرتر است ایجاد یک دستورالعمل هنجاری بین المللی است که باید توسط سازمانی بین المللی مانند مجمع عمومی سازمان ملل تهیه شود.

فرجی پور اظهار کرد: از نظر راهبردی امنیت سیستم‌های اطلاعاتی و ارتباطی کشور به شدت وابسته به اقدامات حفاظتی در برابر حملات سایبری به مراتب پیچیده‌تر است و به مسائل امنیتی باید قبل از رسیدن به وضعیت خطرناک رسیدگی شود.

وی تاکید کرد: باید منابعی برای ابزارهای امنیتی اختصاص یابد تا اقدام‌هایی همچون دستیابی به تاب آوری مطلوب شبکه، هشدار و پاسخ اولیه سایبری، اشراف اطلاعات سایبری(مراقبت، نظارت و شناسایی)، احراز هویت کاربر خودی و تشخیص و شناسایی مهاجم بخوبی محقق شود.

فرجی پور ادامه داد: در حوزه سایبری نباید مثل روال گذشته کار کرد بلکه باید اطمینان حاصل شود که این حوزه در حال تکامل تفکر، فلسفه، برنامه و معماری است.

وی عنوان کرد: در این حوزه قوانین و مقررات بیشتری برای محافظت از مردم و توجه به امنیت در راس تصمیم‌‎های مدیریتی نیاز است.

فرجی پور ادامه داد: در راستای تامین امنیت و آسایش مردم زیرساخت‎‌های حیاتی باید مطمئن، قابل اعتماد، قوی، ایمن و غیرقابل نفوذ برای حمله‎‌های سایبری خارجی و داخلی باشد.

وی گفت: حملات اینترنت اشیا از دیگر تهدیدهای امنیت سایبری زیرساخت های حیاتی و حساس کشور است زیرا پیش بینی شده شمار دستگاه‌‎های متصل به اینترنت اشیا تا سال ۲۰۲۵ به ۷۵ میلیارد دستگاه برسد.

فرجی پور اضافه کرد: در این حوزه حصول اطمینان از قابلیت‌های امنیت پدافند سایبری موثر در زیرساخت‌های حیاتی کشور ( تمام زیرساخت‌های در اختیار بخش‌‎های دولتی یا خصوصی)، یافتن شیوه‌های کارآمد برای همکاری ذینفعان بخش‌های دولتی و خصوصی با تکیه بر نقاط قوت یکدیگر و به اشتراک‌گذاری تخصص و دانش، تعامل سازمانده و هدفمند با جامعه دانشگاهی و استعدادهای پژوهشی کشور و طراحی و بکارگیری رویه‌های صریح برای مقابله با پیامدها به عنوان بخشی از فرایند پیشگیری و دفاع سایبری باید مورد توجه جدی قرار گیرد.

وی گفت: در حوزه سایبری همه آحاد کشور باید احساس مسئولیت کنند زیرا ظرفیت دستگاه‌‎ها محدود است و به تنهایی راه به جایی نمی‌‏برند.

همایش ملی امنیت سایبری با محوریت "امنیت زیر ساخت‌های حیاتی" در دانشگاه خلیج فارس بوشهر گشایش یافت.

به گزارش ایرنا، در این همایش ۲ روزه رئیسان سازمان‌ پدافند غیرعامل و قرارگاه سایبری کشور، نمایندگان ویژه وزیر ارتباطات و فناوری اطلاعات در حوزه امنیت فاوا، وزارت دفاع و پشتبانی نیروهای مسلح و نظام بانکی و پرداخت کشور و و رئیس دانشگاه خلیج فارس سخنرانی کردند

رئیس سازمان پدافند غیرعامل گفت: الگوی پدافند ترکیبی سایبری - زیرساختی در سازمان پدافند غیرعامل کشور طراحی و تدوین شده است.

به گزارش خبرنگار مهر، سردار غلامرضا جلالی پیش از ظهر سه‌شنبه در ارتباط ویدئو کنفرانسی با همایش ملی امنیت سایبری در دانشگاه خلیج فارس بوشهر اظهار داشت: شکل و نحوه اجرای تهدیدهای سایبری تغییر یافته و با پیشرفت تکنولوژی با تغییراتی روبرو شده است.

وی دانشگاه را پایگاه اصلی مقابله با تهدیدهای سایبری عنوان کرد و ادامه داد: باید این تهدیدها توسط دانشگاه به طور دقیق شناسایی شود و راه‌های کنترل و مدیریت مناسب برای مقابله با این تهدیدها ارائه شود.

رئیس سازمان پدافند غیر عامل ارائه آموزش‌های مناسب به نیروهای مرتبط را یکی از نیازهای مقابله با تهدیدات سایبری عنوان کرد و افزود: در سازمان پدافند غیرعامل الگوی پدافند ترکیبی سایبری زیرساختی تنظیم شده و با همکاری دیگر دستگاه‌ها اجرا می‌شود.

وی یکی از چالش‌های جدید در حوزه پدافند غیرعامل را نداشتن تئوری، مدل، الگوی برنامه پدافندی و فناوری‌‎ دانست و تصریح کرد: تاکنون به خوبی در پژوهش‌ها به این موضوع پرداخته نشده است و باید بهتر دیده شود.

جلالی حوزه صنعتی را یکی از مؤلفه‌های تهدید سایبری زیرساختی دانست و خاطرنشان کرد: این تهدیدها با استفاده از ابزارهای مختلف مانند سلاح‌های سایبری، ویروس‌‏ها و عنصرهای کاشته شده از قبل انجام می‎‌شود.

وی جنگ سایبری نظامی، ترویج شبکه‌های اجتماعی و بکارگیری نیروی مردمی برای ایجاد جنگ داخلی و شهری را از دیگر تهدیدهای مهم عنوان کرد و افزود: در این راستا رویکردهای متفاوتی از جمله رویکرد پیشگیرانه شامل رصد، پایش و کنترل تشخیص یا تهدید است که قبل از انجام تهدید صورت می‏‌گیرد.

رئیس سازمان پدافند غیرعامل با تاکید بر انجام اقدام‌های دفاع فعال قبل از حمله سایبری تاکید کرد: در لایه‌های سایبری سه لایه ایمنی، امنیت و دفاع و جنگ است که الگوها و ساختارها در این سه لایه متفاوت است.

وی مردم‌محور بودن، استفاده از فضای سایبری و ایجاد لایه‌های ترکیبی را از ویژگی‌های جدید تهدیدها عنوان کرد و افزود: عنصرهای اصلی در جنگ ترکیبی متفاوت و بسته‌ای و مولفه‌ای نقطه‌های قوت و ضعف است و می‌تواند مورد استفاده در جنگ سایبری قرار گیرد.

مایکروسافت در جدیدترین اتهامات خود علیه ایران مدعی شده هکرهای ایرانی برای دسترسی به زنجیره تأمین جهانی، شرکت‌های فناوری اطلاعات هند را هدف حمله قرار می‌دهند.
به گزارش سایبربان به نقل از بیزنس تودی؛ مایکروسافت به‌تازگی مدعی شده هکرهای ایرانی شرکت‌های فناوری اطلاعات هند را هدف حملات خود قرار می‌دهند و تعداد این حملات در چند ماه گذشته افزایش یافته است. این در حالی است که این شرکت پیش‌ازاین انگشت اتهامات خود را به سمت هکرهای چینی نشانه رفته بود.

شرکت مایکروسافت در پیامی اعلام کرد: ازآنجایی‌که هند و برخی دیگر از کشورها در حال تبدیل‌شدن به‌عنوان مراکز اصلی خدمات فناوری اطلاعات هستند، عوامل دولتی بیشتری این زنجیره تأمین را دنبال می‌کنند تا مشتریان بخش دولتی و خصوصی این ارائه‌دهندگان را در سراسر جهان مطابق با منافع دولت خود هدف قرار دهند.

این شرکت در ادامه اتهام‌پراکنی‌های خود علیه ایران مدعی شد: عوامل ایرانی در حال افزایش حملات خود علیه شرکت‌های خدمات فناوری اطلاعات به‌عنوان راهی برای دسترسی به شبکه‌های مشتریان آن‌ها هستند. این فعالیت قابل‌توجه است زیرا باهدف قرار دادن شرکت‌های طرف ثالث احتمال دسترسی به یک زنجیره تأمین و سوءاستفاده از سازمان‌های حساس‌تر وجود دارد.

مایکروسافت افزود: هدف از این حملات سرقت اطلاعات ورود به شبکه مشتریان پایین‌دستی است تا احتمال انجام حملات بیشتر فراهم شود.

بنا به ادعای مایکروسافت، این شرکت بیش از 1600 اعلان در پاسخ به حملات ایران در سال جاری برای بیش از 40 شرکت فناوری اطلاعات در سراسر جهان صادر کرده درحالی‌که این آمار برای سال گذشته میلادی 48 اعلان بوده است. طبق گزارش‌ها، عوامل تهدید ایرانی در اواسط اوت شروع به حمله به شرکت‌های مستقر در هند کردند و مایکروسافت 1788 اعلان برای این هکرها برای مشتریان سازمانی خود صادر کرد. از این مشتریان سازمانی، حدود 80 درصد شرکت‌های فناوری اطلاعات بودند. مایکروسافت خاطرنشان کرد که در سه سال گذشته تنها حدود 10 اعلان در مورد عوامل تهدیدکننده ایرانی در هند صادر شده است.

مایکروسافت مدعی است طبق ارزیابی مرکز اطلاعات تهدید و واحد امنیت دیجیتال این شرکت این اقدامات هکرهای ایرانی بخشی از یک هدف گسترده‌تر برای نفوذ به سازمان‌های موردعلاقه ایران است.

ازآنجایی‌که شرکت‌های فناوری اطلاعات هند اغلب زیرساخت‌های پشتیبانی برخی از شرکت‌های برتر جهانی را مدیریت می‌کنند، تصور مایکروسافت این است که این شرکت‌ها به اهدافی جدید تبدیل شده‌اند، زیرا هکرها در تلاش برای دستیابی به دسترسی غیرمستقیم به شرکت‌های تابعه و مشتریان خارج از هند هستند.

نشتی دنباله‌دار سامانه‌های داخلی

دوشنبه, ۱۵ آذر ۱۴۰۰، ۰۴:۵۷ ب.ظ | ۰ نظر

برخی سامانه ها و سایت های بعضی از مراکز در چند ماه اخیر دچار مشکلات و نشتی های اطلاعاتی شده است و این در حالی است که در روزهای اخیر مردم شاهد ارسال گسترده پیامک جعلی ابلاغیه بودند.

به گزارش خبرنگار مهر، در چند ماه اخیر بارها خبرهای متعددی از نشت اطلاعاتی برخی سامانه ها و هک شدن تعدادی از سایت های داخلی مطرح شد البته این موضوع جدیدی نیست و اواخر سال گذشته هم یک هکر مدعی هک یکی از سامانه های قضایی و نفوذ به اطلاعات ۲۵ میلیون نفر شد.

خبری که اگر چه تکذیب شد اما تلنگری بود برای بستن راه تکرار بر خطر که گویا این راه تکرار همچنان باز است و در سال جاری بارها شاهد مسائل مشابه چه در سطح وسیع تر و چه در سطح خردتر و ارسال پیامک های ابلاغ قضایی بودیم.

در سال جاری، خبر هک سایت دانشگاه تهران، اختلال در سامانه سوخت کشور، هک دوربین های زندان اوین و روز گذشته هم نشت اطلاعات سامانه پایگاه مستقل کانون وکلای دادگستری از جمله رخدادهای قابل تاملی است که شاهد بودیم.

البته به غیر از این موارد رسمی چندین مورد دیگر از هک و نشت اطلاعات شهروندان اعلام شده بود که برخی از آنها تایید رسمی نشدند.

نشتی های دنباله دار سامانه ها/دومینوی پیامک شکوائیه علیه مردم

اگر هک سایت ها و سامانه های مهم قضایی و کشوری را فاکتور بگیریم، موضوع ارسال پیامک های ابلاغی جعلی و کلاهبرداری از این طریق، شیوه‌ای است که همچنان قربانیان خود را دارد.

البته تلاقی ارسال این پیامک ها با رخدادهایی از جمله هک و نشت اطلاعات قابل تامل است به طوری که از عصر روز گذشته بسیاری از شهروندان از ارسال پیامک های ابلاغیه در سطح گسترده خبر دادند که در موارد متعددی هم متاسفانه منجر به برداشت از حساب و کلاهبرداری از طریق این پیامک ها شده است.

در تعدادی از پیامک های ارسالی روز گذشته به شهروندان اعلام شده است که شکوائیه علیه شما با کد رهگیری ثبت گردید و در صورت عدم پیگیری پرونده شما طی ۲۴ ساعت ارجاع می گردد.

نشتی های دنباله دار سامانه ها/دومینوی پیامک شکوائیه علیه مردم

متاسفانه پیامک هایی همانند پیامک فوق، پیامک های هوشمند کلاهبرداری هستند که با کلیک بر روی لینک درج شده، حساب شخص خالی شده و پیامک مشابه به مخاطبانی که شماره آنها در گوشی فرد ذخیره شده است ارسال می شود و این دومینوی کلاهبرداری ادامه دار می شود.

اخیراً پیامک های این چنینی علاوه بر افرادی که به نوعی در دستگاه قضا پرونده دارند برای شهروندان عادی هم ارسال می شود که به فرد اعلام می شود شکایتی علیه شما ثبت شده است و سپس از فرد تقاضا می شود مبلغ ناچیزی پرداخت کند. پس از این مرحله و واریز این مبلغ ناچیز، دسترسی به حساب فرد فراهم و سپس موجودی بانکی او برداشت می شود.

اگر چه این موضوع بارها رخ داده است اما مسئله صیانت از اطلاعات مردم و همچنین حفظ امنیت سایت های داخلی از موضوعات حیاتی است که باید بیش از گذشته به آن توجه کرد چرا که این مسئله یکی از مصادیق حفظ حقوق شهروندان است.

علاوه بر این به گفته سردار غلامرضا جلالی رئیس پدافند غیر عامل، در زمینه جنگ سایبری و حفظ امنیت سایت های داخلی باید قانون و همچنین حمایت قوه قضائیه وجود داشته باشد

اگر چه این تراژدی تلخ در دو سویه نشت اطلاعات سامانه ها و هک سایت ها و همچنین کلاهبرداری های پیامکی مطرح شد اما در حال حاضر ساده ترین و پیش پا افتاده ترین راهکار برای بستن راه تکرار بر خطر افزایش آگاهی مردم است. لازم به ذکر است که اگر فردی مشکل قضایی دارد باید به سامانه ثنا قوه قضائیه اعلام شکایت کند و اطلاعات شخصی خود را برای ثبت نام در این سامانه را در اختیار دیگران قرار ندهد.

برای پیگیری شکایت ها پس از ثبت دادخواست نیز مردم باید اطلاع داشته باشند که در پیامک های ارسالی از سوی قوه قضائیه هیچ لینکی جهت ورود به درگاه پرداخت بانکی وجود ندارد و برای مشاهده ابلاغیه های قضایی نیاز به هیچ گونه پرداخت وجهی وجود نخواهد داشت.

از سوی دیگر هم اگر چه طبق گفته مسئولان مربوطه موضوع امنیت سایت ها و سامانه ها با توجه به حیاتی بودن این مسئه طبق استاندارها به صورت مکرر کارشناسی می شود اما به نظر می رسد این موضوع باید بیش از پیش مورد توجه قرار گیرد. شهروندان هم اگر متوجه هک سایت یا سامانه‌ای شدند می توانند اطلاعات آن را در سامانه‌ای مربوط به این کار در دادستانی کل کشور اعلام کنند.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای دستورالعمل اقدامات پایه جهت پیشگیری از نشت اطلاعات سازمان‌ها و کسب و کارها را منتشر کرد.

به گزارش خبرگزاری مهر به نقل از مرکز ماهر، وقوع رخدادهای متعدد نشت اطلاعات از پایگاه‌های داده شرکت‌ها و سازمان‌های دولتی و خصوصی در فضای مجازی عمدتاً متأثر از فهرست مشترکی از خطاها و ضعف‌های امنیتی در پیاده‌سازی و تنظیمات است.

این ضعف‌ها باعث می‌شوند در برخی موارد دسترسی به داده‌های سازمان‌ها و کسب و کارها حتی نیاز به دانش عمیق هک و نفوذ نداشته باشد و با یکسری بررسی‌ها و جستجوهای ساده داده‌ها افشا می‌شوند.

لذا به‌منظور پیشگیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانه‌ها اکیداً توصیه می‌شود اقدامات زیر صورت پذیرد:

 

- عدم اتصال مستقیم پایگاه‌های داده به صورت مستقیم به شبکه اینترنت

تا حد امکان لازم است دسترسی مستقیم به پایگاه‌های داده از طریق اینترنت برقرار نشود. یکی از مواردی که باعث این اشتباه بزرگ می‌شود روال پشتیبانی شرکت‌های ارائه دهنده راهکارهای نرم‌افزاری کاربردی است که برای انجام پشتیبانی ۲۴*۷، مشتریان خود را الزام به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانک‌های اطلاعاتی می‌کنند. در صورت اجبار شرکت‌ها و سازمان‌ها به این مساله، این دسترسی حتماً باید روی یک بستر امن و با استفاده از VPN ایجاد شود.

 

- دقت در راه‌اندازی پایگاه‌های داده به ویژه انواع پایگاه‌های داده NoSQL و اطمینان از عدم وجود دسترسی حفاظت نشده

لازم به توجه است بسیاری از موارد نشت اطلاعات مربوط به پایگاه‌های داده‌ای است که به طور موقت و جهت انجام فعالیت‌های موردی و کوتاه مدت راه‌اندازی شده است. لازم است اهمیت و حساسیت این نوع پایگاه‌های داده هم‌تراز پایگاه‌های اصلی در نظر گرفته شود.

 

- بررسی و غیرفعال‌سازی قابلیت Directory Listing غیرضروری در سرویس دهنده‌های وب برای جلوگیری از دسترسی به فایل‌ها

دقت در وضعیت دسترسی به دایرکتوری‌های محل بارگذاری داده‌ها و اسناد توسط کاربران وب‌سایت نظیر دایرکتوری‌های uploads و temp و … .علاوه بر لزوم کنترل دسترسی‌ها و غیرفعال‌سازی قابلیت directory listing، لازم است تا حد امکان این اسناد به محل دیگری منتقل شده و از دسترس خارج شوند.

سرویس دهنده‌های رایج و پرکاربرد Microsoft Exchange و Microsoft Sharepoint و Zimbra با توجه به انتشار عمومی آسیب‌پذیری‌های حیاتی و اکسپلویت‌های مربوطه طی سال‌های اخیر مورد سوءاستفاده جدی قرار گرفته‌اند. در صورت استفاده از این سرویس‌دهنده‌ها لازم است نسبت به بروز بودن آنها و نصب تمام وصله‌های امنیتی منتشر شده اطمینان حاصل شود.

 

- از عدم دسترسی مستقیم از طریق اینترنت به هرگونه سرویس مدیریتی نظیر RDP، iLo، کنسول مدیریت vCenter و ESX، کنسول مدیریت فایروال و … اطمینان حاصل شود

این دسترسی‌ها لازم است از طریق سرویس VPN اختصاصی و یا بر اساس آدرس IP مبدا مجاز محدود شوند.

 

- از نگهداری هرگونه نسخه پشتیبان از سیستم‌ها روی سرور وب خودداری شود

جهت اطمینان از عدم وجود دسترسی به سرویس‌ها و سامانه‌ها به صورت ناخواسته، نسبت به اسکن ساده سرویس‌های فعال روی بلوک‌های IP سازمان خود به صورت مداوم اقدام کرده و سرویس‌های مشاهده شده غیرضروری را از دسترسی خارج کنید..

مرکز ماهر تاکید کرد: این موارد به هیچ عنوان جایگزین فرآیندهای کامل امن‌سازی و ارزیابی امنیتی نبوده و صرفاً برطرف کننده شماری از ضعف‌های جدی مشاهده شده هستند.