انتشار دستورالعمل اقدامات پیشگیرانه از نشت اطلاعات سازمانها
مرکز ماهر با اعلام بیانیه ای در رابطه با روند افشای داده های سازمانها و کسب وکارها در فضای مجازی، دستورالعمل اقدامات پایهای جهت پیشگیری از نشت اطلاعات سازمانها و کسب وکارها را منتشر کرد.
به گزارش خبرنگار مهر، هفته گذشته فعالان امنیت سایبری از افشای پایگاه اطلاعات هویتی کاربران برخی سازمانها و شرکتهای دولتی و خصوصی خبر دادند که این اطلاعات در فضای مجازی در حال خرید و فروش است. در همین حال اواسط فروردین ماه نیز نشت اطلاعات شناسنامهای ۸۰ میلیون کاربر ایرانی از طریق سرورهای سازمان ثبت احوال و وزارت بهداشت، افشای بانک اطلاعاتی حاوی اطلاعات شمار زیادی از کاربران ایرانی تلگرام و شماری از کاربران یکی از بازارهای ایرانی نرمافزارهای آیفون، خبرساز شده بود.
در این راستا مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای اعلام کرد: در هفتههای اخیر، موارد متعددی از نشت اطلاعات مختلف از پایگاههای داده شرکتها و سازمانهای دولتی و خصوصی در فضای مجازی منتشر شد. این موارد در کنار سایر نمونههایی که به طور خصوصی و مسئولانه به این مرکز گزارش میشوند و یا در رصدهای مداوم کارشناسان مرکز ماهر شناسایی میشوند، عمدتا متاثر از فهرست مشترکی از خطاها و ضعفهای امنیتی در پیادهسازی و تنظیمات است.
این ضعفها باعث میشوند در برخی موارد دسترسی به دادههای سازمانها و کسب و کارها حتی نیاز به دانش پایهای هک و نفوذ نداشته باشد و با یکسری بررسیها و جستجوهای ساده دادهها افشا میشوند.
بیانیه مرکز ماهر درباره افشای داده های شهروندان
مرکز ماهر پیرو پرسشهایی که در خصوص اخبار مربوط به افشاء دادههای شهروندان مطرح شده با انتشار بیانیه ای به نکات زیر اشاره کرد:
- ارتقا هر سیستمی، از جمله امنیت و حفاظت از دادههای شهروندان نیازمند دریافت بازخوردها و تصحیح آن سیستم است. همچنین مطالبهگری صحیح، نقطه آغازین بهبود و اصلاح هر سیستمی است.
- مطابق بند ۵-۱ نظام ملی مقابله با حوادث فضای مجازی کشور، «مسئولیت پیشگیری و مقابله با حوادث فضای مجازی هر دستگاه، بر عهده بالاترین مقام آن دستگاه خواهد بود.» به این ترتیب مسئولیت اصلی در پاسخ به سوالات امنیت بانکهای داده و اطلاعات، در وهله اول بر عهده بالاترین مسئول دستگاه است.
- مرکز ماهر بر اساس چارچوبهای قانونی و ماموریتهای محوله، گزارش خود را در خصوص حوادث، صرفا برای مقامات مسئول ارسال میکند؛ هر چند پس از اتمام بحران این مرکز این حق را برای خود قائل است تا به تدوین گزارشهایی عمومی (با حفظ امنیت و حریم خصوصی دادهها ) اقدام کند؛ تا به عنوان وظیفه ذاتی هر جزء از سیستم، با ارائه بازخوردهای مناسب گامی جهت ارتقاء و بهبود نظام حکمرانی داده بردارد.
- مرکز ماهر به این اصل اعتقاد دارد که مقابله با آن دسته از حوادث فضای مجازی کشور که منجر به افشاء دادههای شهروندان میشود، باید به صورت متمرکز و کاملا تخصصی، صرفا به یک مرکز مستقل دولتی واگذار شود تا امکان بررسی مستقل، بدون جانبداری، همراه با واکنش سریع و همچنین ایجاد زمینه مناسب برای اطلاعرسانی به موقع و باکیفیت همراه با انباشت دانش امنیت داده برای حفظ منافع ملی فراهم آید.
- مرکز ماهر بر اساس وظایف ذاتی و قانونی خود موارد متعددی از این دست را همواره کشف و یا از افراد دلسوزی که به صورت مسئولانه و صادقانه اطلاعرسانی میکنند دریافت میکند. تمام این موارد پس از بررسیهای فنی جهت راستیآزمایی و استخراج شواهد و راهکار مقابله بر اساس چارچوبهای قانونی به صورت محرمانه به صاحبان سرویسها و دادهها اطلاعرسانی میشود و تلاش دارد تا در صورت نیاز برای مقابله با آن اقدام عملیاتی مناسب انجام دهد.
- دعوت همیشگی مرکز ماهر از تمام متخصصان و کارشناسان امنیت سایبری این است که در صورت مشاهده هرگونه افشاء غیرمجاز یا آسیبپذیری در سامانههای بومی آن را از طریق کانالهای ارتباطی مرکز ماهر اطلاعرسانی کنند. طبیعتا اعلام عمومی یک داده افشا شده یا یک آسیبپذیری امنیتی از طریق رسانه و شبکههای اجتماعی بدون اطلاع قبلی به خود قربانی یا به نهادهای مسئول مانند مرکز ماهر یا مرکز افتای ریاست جمهوری، حرکت سازنده و همراه با مسئولیت اجتماعی محسوب نمیشود.
- به سازمانها و دستگاههای مختلف یادآور میشود که «سکوت، پاسخگویی مناسب نیست؛ بلکه تنها سرمایه اجتماعی را کاهش میدهد»؛ هرچند شهروندان و مطالبهگران از مرجع پاسخگویی آگاهی نداشته باشند.
دستورالعمل اقدامات پیشگیرانه از نشت اطلاعات در فضای مجازی
در همین حال این مرکز با انتشار دستورالعمل اقدامات پایه ای جهت پیشگیری از نشت اطلاعات سازمان ها و کسب و کارها در فضای مجازی و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانهها، به نکات زیر تاکید کرده است:
- عدم اتصال مستقیم پایگاههای داده به صورت مستقیم به شبکه اینترنت
تا حد امکان لازم است دسترسی مستقیم به پایگاههای داده از طریق اینترنت برقرار نشود.
یکی از مواردی که باعث این اشتباه بزرگ میشود روال پشتیبانی شرکتهای ارائه دهنده راهکارهای نرمافزاری کاربردی است که برای انجام پشتیبانی ۲۴*۷، مشتریان خود را الزام به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانکهای اطلاعاتی میکنند. در صورت اجبار شرکتها و سازمانها به این مساله، این دسترسی حتما باید روی یک بستر امن و با استفاده از VPN ایجاد شود.
- دقت در راهاندازی پایگاههای داده به ویژه انواع پایگاههای داده NoSQL و اطمینان از عدم وجود دسترسی حفاظت نشده
لازم به توجه است بسیاری از موارد نشت اطلاعات مربوط به پایگاههای دادهای است که به طور موقت و جهت انجام فعالیتهای موردی و کوتاه مدت راهاندازی شده است. لازم است اهمیت و حساسیت این نوع پایگاههای داده همتراز پایگاههای اصلی درنظر گرفته شود.
- بررسی و غیرفعالسازی قابلیت Directory Listing غیرضروری در سرویس دهندههای وب جهت جلوگیری از دسترسی به فایلها
دقت در وضعیت دسترسی به دایرکتوریهای محل بارگذاری دادهها و اسناد توسط کاربران وبسایت نظیر دایرکتوریهای uploads و temp و ... .علاوه بر لزوم کنترل دسترسیها و غیرفعالسازی قابلیت directory listing، لازم است تا حد امکان این اسناد به محل دیگری منتقل شده و از دسترس خارج شوند.
- سرویس دهنده رایج و پرکاربرد Microsoft Exchange و Microsoft Sharepoint و Zimbra با توجه به انتشار عمومی آسیبپذیریهای حیاتی و اکسپلویتهای مربوطه طی یکسال گذشته مورد سواستفاده جدی قرار گرفتهاند. در صورت استفاده از این سرویسدهندهها لازم است نسبت به بروز بودن آنها و نصب تمام وصلههای امنیتی منتشر شده اطمینان حاصل شود.
- از عدم دسترسی مستقیم از طریق اینترنت به هرگونه سرویس مدیریتی نظیر RDP، iLO، کنسول مدیریت vCenter و ESX، کنسول مدیریت فایروال و ... اطمینان حاصل کنید.
این دسترسیها لازم است از طریق سرویس VPN اختصاصی و یا بر اساس آدرس IP مبدا مجاز محدود شوند.
- از نگهداری هرگونه نسخه پشتیبان از سیستمها روی سرور وب خودداری کنید
- جهت اطمینان از عدم وجود دسترسی به سرویسها و سامانهها به صورت ناخواسته، نسبت به اسکن ساده سرویسهای فعال روی بلوکهای IP سازمان خود به صورت مداوم اقدام کرده و سرویسهای مشاهده شده غیرضروری را از دسترسی خارج کنید
این موارد به هیچ عنوان جایگزین فرآیندهای کامل امنسازی و ارزیابی امنیتی نبوده و صرفا برطرف کننده شماری از ضعفهای جدی مشاهده شده هستند.
مرکز ماهر اظهار امیدواری کرده است که صاحبان بانکهای اطلاعاتی که دادهها و اطلاعات شخصی مردم به صورت امانت در اختیار آنها است، نه تنها نسبت به حفظ این امانت و حریم خصوصی شهروندان، هم بر اساس قانون و هم بر اساس مسئولیت اجتماعی، حساسیت لازم را داشته باشند و با پاسخگویی مناسب بتوانند امنیت روانی عمومی را نیز فراهم آورند.