کد خبر:۸۴۳۶۷۹
نیروی انسانی نا ایمن، عامل اصلی نشت اطلاعات
معاون فنی پلیس فتا ناجا سهل انگاری و استفاده از نیروی انسانی فاقد مهارت تخصصی کافی را عامل اصلی نشت اطلاعات از برخی سرورها و سامانههای اطلاعاتی عنوان کرد.
به گزارش گروه اجتماعی خبرگزاری دانشجو، سرهنگ " علی نیک نفس " گفت: افزایش بیش از پیش ضریب نفوذ اینترنت و رشد خدمات سازمانها و نهادهای دولتی و کسب و کارها در بسترهای سایبری، تولید و تبادل اطلاعات با سرعتی باور نکردنی گسترش یافته و موجب تشکیل بانکهای اطلاعاتی با ارزش در مراجع سرویس دهنده شده است.
این مقام مسئول ضمن اشاره به اینکه امروزه بانکهای اطلاعاتی جزء با ارزشترین داراییهای هر سازمان و کسب وکار میباشد، ادامه داد: افراد سودجود با اهداف مختلف برای دسترسی غیرمجاز بانک اطلاعاتی اقدام به نفوذ و یا سرقت اطلاعات میکنند و با قیمتهای ناچیزی در جهت بهره برداریهای نامتعارف و یا استفاده در سایر جرایم سایبری نظیر کلاهبرداریهای سایبری به فروش میرسانند.
وی بیان داشت: با توجه به وجود تهدیدات و آسیب پذیریهای فضای مجازی، انواع حملات سایبری مختلف به سرورها و شبکههای کشور و در راستای سند نظام پیشگیری و مقابله با حوادث رایانهای ابلاغی مرکز ملی فضای مجازی، پلیس فتا و سایر نهادهای ذی ربط به صورت مستمر و لحظهای، اقدام به شناسایی انواع آسیب پذیریهای نرم افزاری و سخت افزاری کرده است.
سرهنگ "نیک نفس "ادامه داد:با اقدامات صورت گرفته، تعداد سایتهای مهم ارزیابی امنیتی شده در سال ۹۸ به ۳۷ درصد ارتقاء یافته است و در این رابطه اطلاع رسانی به سازمانها و کسب و کارهای مربوطه صورت پذیرفته و بازخوردهای لازم تا رفع آسیب پذیری ارائه شده است که این اقدامات بر اساس تحلیل و بررسی آخرین وضعیت CMS ها، سیستم عامل ها، سکوهای برنامه نویسی، وب سرورها و اپلیکیشن ها، احصاء و اقدام شده است.
معاون فنی پلیس فتا ناجا با اشاره به اهمیت پایداری و امنیت خدمات عمومی سازمانها و دستگاههای مختلف در بستر اینترنت و اینکه جهت جلوگیری از آسیب پذیری ها، تهدیدات وآلودگیهای سایبری، اطلاع رسانی سریع و لحظهای به صورت ویژه از سال ۹۷ در دستورکار پلیس فتا قرار گرفته بیان داشت: در این رابطه به طور نمونه در سال ۹۸ آسیب پذیریها در قالب ۹۱۸۲۱ پیامک و ایمیل به شرکتهای مختلف اعلام و اطلاع رسانی شده است، که در مجموع اطلاع رسانیها در سال ۹۸ نسبت به سال ۹۷ بالغ بر ۷۳ درصد افزایش یافته است.
این مقام انتظامی گفت: بر اساس بررسیهای کارشناسی مشخص شد استفاده از نیروی انسانی ناایمن، فاقد مهارت فنی، عدم توجه به الزامات امنیتی و سایبری و سهل انگاری در پیاده سازی سیاستها و الزامات امنیتی منشاء اصلی بروز این گونه رخدادها بوده. البته انتشار برخی از این اخبار نیز از سوی افراد سودجو صرفا با هدف شایعه پراکنی وتشویش اذهان عمومی و یا کلاهبرداری از طریق فروش اطلاعات کذب صورت گرفته است.
این مقام انتظامی با تاکید بربرخورد قانونی پلیس فتا و سایر نهادهای مسئول با این اقدامات مجرمانه و شایعه سازان، یکی از اولویتهای کاری خود را مبارزه و شناسایی افراد مجرم در حوزه دسترسی غیر مجاز به بانکهای اطلاعاتی هموطنان عنوان کرد و اعلام کرد: در این رابطه تعدادی از افراد مجرم شناسایی و دستگیر و به مراجع قضایی معرفی شده اند.
سرهنگ " نیک نفس " ضمن تاکید بر این نکته که مدیران عالی سازمانها باید امنیت اطلاعات و سامانههای در اختیار را در زمره امور مهم سازمان قرار دهند و شخصاً بر اعمال استانداردهای امنیتی مانند ISMS نظارت کنند، بر اساس پرندههای اخیر رسیدگی شده توصیههای امنیتی سایبری زیر را خطاب به شرکت ها، سازمانها و نهادهای دولتی و صاحبان مشاغل و کسب و کارهای مجازی بیان داشت:
- سامانهها و شبکههای رایانهای بر اساس بازبینهای امنیتی به صورت منظم و دورهای توسط کارشناسان متخصص ارزیابی شود.
- صلاحیت فردی و شغلی مدیران و کارشناسان حوزه فناوری اطلاعات سازمان به خصوص کارکنان بخش امنیت، با استانداردهای بالا مورد توجه مدیران سازمانها قرار گیرد.
- کنترل دسترسی کاربران بخصوص کاربران با سطح دسترسی ادمین به طور دقیق مدیریت شده و لاگ تمامی کاربران ذخیره و به صورت منظم بررسی شود.
- جهت دسترسی راه دور به بخشهای حساس همانند پنل مدیریت وبسایت، سامانه، میزبان، سرور و پایگاه داده حتماً کنترلهای مبتنی بر توکن یا IP اعمال گردد و ملاحظات امنیتی رعایت شود.
-استفاده از روشهای احراز هویت دو مرحلهای کاربران علاوه بر رمز عبور قوی مد نظر باشد.
- از اتصال مستقیم پایگاههای داده حساس بدون واسط امن به شبکههای عمومی مانند اینترنت خودداری شود.
- تغییر تنظیمات و رمزهای عبور، آدرسهای دسترسی و تنظیمات امنیتی پیش فرض وبسایت، سامانه، هاست، سرور، پایگاه داده و ... جهت جلوگیری از دسترسی مجرمان سایبری به اطلاعات از طریق این تنظیمات انجام شود.
- از جمع آوری اطلاعات وبسایت توسط خزشگرها و روباتها جلوگیری شود.
- استفاده از رمزهای عبور پیچیده و تغییر دورهای تمامی رمزهای عبور انجام شود.
- به روزرسانی مستمر و اعمال بلادرنگ وصلههای امنیتی منتشر شده برای تمامی نرم افزارها، سرویسها و ماژولها صورت گیرد.
وی تصریح کرد:این موارد به هیچ عنوان جایگزین فرآیندهای کامل امنسازی و ارزیابی امنیتی نبوده و صرفا برطرف کننده شماری از ضعفهای جدی مشاهده شده هستند.
این مقام مسئول ضمن اشاره به اینکه امروزه بانکهای اطلاعاتی جزء با ارزشترین داراییهای هر سازمان و کسب وکار میباشد، ادامه داد: افراد سودجود با اهداف مختلف برای دسترسی غیرمجاز بانک اطلاعاتی اقدام به نفوذ و یا سرقت اطلاعات میکنند و با قیمتهای ناچیزی در جهت بهره برداریهای نامتعارف و یا استفاده در سایر جرایم سایبری نظیر کلاهبرداریهای سایبری به فروش میرسانند.
وی بیان داشت: با توجه به وجود تهدیدات و آسیب پذیریهای فضای مجازی، انواع حملات سایبری مختلف به سرورها و شبکههای کشور و در راستای سند نظام پیشگیری و مقابله با حوادث رایانهای ابلاغی مرکز ملی فضای مجازی، پلیس فتا و سایر نهادهای ذی ربط به صورت مستمر و لحظهای، اقدام به شناسایی انواع آسیب پذیریهای نرم افزاری و سخت افزاری کرده است.
سرهنگ "نیک نفس "ادامه داد:با اقدامات صورت گرفته، تعداد سایتهای مهم ارزیابی امنیتی شده در سال ۹۸ به ۳۷ درصد ارتقاء یافته است و در این رابطه اطلاع رسانی به سازمانها و کسب و کارهای مربوطه صورت پذیرفته و بازخوردهای لازم تا رفع آسیب پذیری ارائه شده است که این اقدامات بر اساس تحلیل و بررسی آخرین وضعیت CMS ها، سیستم عامل ها، سکوهای برنامه نویسی، وب سرورها و اپلیکیشن ها، احصاء و اقدام شده است.
معاون فنی پلیس فتا ناجا با اشاره به اهمیت پایداری و امنیت خدمات عمومی سازمانها و دستگاههای مختلف در بستر اینترنت و اینکه جهت جلوگیری از آسیب پذیری ها، تهدیدات وآلودگیهای سایبری، اطلاع رسانی سریع و لحظهای به صورت ویژه از سال ۹۷ در دستورکار پلیس فتا قرار گرفته بیان داشت: در این رابطه به طور نمونه در سال ۹۸ آسیب پذیریها در قالب ۹۱۸۲۱ پیامک و ایمیل به شرکتهای مختلف اعلام و اطلاع رسانی شده است، که در مجموع اطلاع رسانیها در سال ۹۸ نسبت به سال ۹۷ بالغ بر ۷۳ درصد افزایش یافته است.
این مقام انتظامی گفت: بر اساس بررسیهای کارشناسی مشخص شد استفاده از نیروی انسانی ناایمن، فاقد مهارت فنی، عدم توجه به الزامات امنیتی و سایبری و سهل انگاری در پیاده سازی سیاستها و الزامات امنیتی منشاء اصلی بروز این گونه رخدادها بوده. البته انتشار برخی از این اخبار نیز از سوی افراد سودجو صرفا با هدف شایعه پراکنی وتشویش اذهان عمومی و یا کلاهبرداری از طریق فروش اطلاعات کذب صورت گرفته است.
این مقام انتظامی با تاکید بربرخورد قانونی پلیس فتا و سایر نهادهای مسئول با این اقدامات مجرمانه و شایعه سازان، یکی از اولویتهای کاری خود را مبارزه و شناسایی افراد مجرم در حوزه دسترسی غیر مجاز به بانکهای اطلاعاتی هموطنان عنوان کرد و اعلام کرد: در این رابطه تعدادی از افراد مجرم شناسایی و دستگیر و به مراجع قضایی معرفی شده اند.
سرهنگ " نیک نفس " ضمن تاکید بر این نکته که مدیران عالی سازمانها باید امنیت اطلاعات و سامانههای در اختیار را در زمره امور مهم سازمان قرار دهند و شخصاً بر اعمال استانداردهای امنیتی مانند ISMS نظارت کنند، بر اساس پرندههای اخیر رسیدگی شده توصیههای امنیتی سایبری زیر را خطاب به شرکت ها، سازمانها و نهادهای دولتی و صاحبان مشاغل و کسب و کارهای مجازی بیان داشت:
- سامانهها و شبکههای رایانهای بر اساس بازبینهای امنیتی به صورت منظم و دورهای توسط کارشناسان متخصص ارزیابی شود.
- صلاحیت فردی و شغلی مدیران و کارشناسان حوزه فناوری اطلاعات سازمان به خصوص کارکنان بخش امنیت، با استانداردهای بالا مورد توجه مدیران سازمانها قرار گیرد.
- کنترل دسترسی کاربران بخصوص کاربران با سطح دسترسی ادمین به طور دقیق مدیریت شده و لاگ تمامی کاربران ذخیره و به صورت منظم بررسی شود.
- جهت دسترسی راه دور به بخشهای حساس همانند پنل مدیریت وبسایت، سامانه، میزبان، سرور و پایگاه داده حتماً کنترلهای مبتنی بر توکن یا IP اعمال گردد و ملاحظات امنیتی رعایت شود.
-استفاده از روشهای احراز هویت دو مرحلهای کاربران علاوه بر رمز عبور قوی مد نظر باشد.
- از اتصال مستقیم پایگاههای داده حساس بدون واسط امن به شبکههای عمومی مانند اینترنت خودداری شود.
- تغییر تنظیمات و رمزهای عبور، آدرسهای دسترسی و تنظیمات امنیتی پیش فرض وبسایت، سامانه، هاست، سرور، پایگاه داده و ... جهت جلوگیری از دسترسی مجرمان سایبری به اطلاعات از طریق این تنظیمات انجام شود.
- از جمع آوری اطلاعات وبسایت توسط خزشگرها و روباتها جلوگیری شود.
- استفاده از رمزهای عبور پیچیده و تغییر دورهای تمامی رمزهای عبور انجام شود.
- به روزرسانی مستمر و اعمال بلادرنگ وصلههای امنیتی منتشر شده برای تمامی نرم افزارها، سرویسها و ماژولها صورت گیرد.
وی تصریح کرد:این موارد به هیچ عنوان جایگزین فرآیندهای کامل امنسازی و ارزیابی امنیتی نبوده و صرفا برطرف کننده شماری از ضعفهای جدی مشاهده شده هستند.
لینک کپی شد
گزارش خطا
۰
اخبار مرتبط
ارسال نظر
*شرایط و مقررات*
خبرگزاری دانشجو نظراتی را که حاوی توهین است منتشر نمی کند.
لطفا از نوشتن نظرات خود به صورت حروف لاتین (فینگیلیش) خودداری نمايید.
توصیه می شود به جای ارسال نظرات مشابه با نظرات منتشر شده، از مثبت یا منفی استفاده فرمایید.
با توجه به آن که امکان موافقت یا مخالفت با محتوای نظرات وجود دارد، معمولا نظراتی که محتوای مشابهی دارند، انتشار نمی یابد.