در حال بار گذاری
امروز: چهارشنبه ۲۲ مرداد ۱۳۹۹

فناوری > طراحي انتقال اطلاعات در کشور ضعيف است

گروه فناوري:رئيس پژوهشکده امنيت پژوهشگاه ICT مشکل فني در طراحي پياده‌سازي و مديريت سيستم را از دلايل نشت اطلاعات در فضاي مجازي برشمرد و گفت: در اکثر شکايات نشت داده در شبکه‌هاي اجتماعي، کاربر مقصر است.

    گروه فناوري:رئيس پژوهشکده امنيت پژوهشگاه ICT مشکل فني در طراحي  پياده‌سازي و مديريت سيستم را از دلايل نشت اطلاعات در فضاي مجازي برشمرد و گفت: در اکثر شکايات نشت داده در شبکه‌هاي اجتماعي، کاربر مقصر است.
    ابوذر عرب سرخي، رئيس پژوهشکده امنيت پژوهشگاه ارتباطات و فناوري اطلاعات، در خصوص دلايل درز و افشاي اطلاعات بسياري از سازمان‌ها و کاربران فضاي مجازي طي ماه‌هاي اخير در کشور، گفت: دليل نشت اطلاعات از يک سازمان به سازمان ديگر و از يک زيرساخت ارتباطي به يک زيرساخت ارتباطي ديگر، کاملاً تغيير مي‌کند و ما نمي‌توانيم يک فاکتور و يا نسخه واحد براي اين مشکل بپيچيم و بگوييم که دليل تمامي موارد نشت اطلاعات، يک موضوع است.
    وي گفت: طيف گستره‌اي از موضوعات کاملاً فني تا غيرفني مي‌تواند دليل بروز و ظهور نشت اطلاعات باشد. در فضاي فني موضوعاتي مانند طراحي ضعيف و ناامن يا پيکربندي و يا مديريت ضعيف يک کاربر يا سيستم و سرويس‌دهنده مي‌تواند دليل بروز مشکلات امنيتي باشد و در فضاي غيرفني نيز مواردي از قبيل خطاي انساني، فيشينگ و تکنيک‌هاي مهندسي اجتماعي، مي‌توانند عامل نشت اطلاعات در شرايط خاص باشند.
    رئيس پژوهشکده امنيت پژوهشگاه ارتباطات و فناوري اطلاعات ادامه داد: هم‌اکنون ما در کشور، مشکلات فني در طراحي و پياده‌سازي و مديريت سيستم داريم و طراحي روال نگهداري و انتقال اطلاعات ما ضعيف است. از سوي ديگر خطاي انساني که مي‌تواند از سوي اپراتور يا کاربر و يا حتي مدير سيستم نيز رخ دهد، مي‌تواند منجر به نشت اطلاعات شود. همه اين موارد معرف ضعف‌ها و آسيب‌پذيري‌هاي حياتي امنيت سايبري است که مي‌تواند منشاء و علت بروز مشکلاتي مانند افشا و نشت اطلاعات باشد.
    وي با اشاره به قانون حفاظت داده نيز گفت: سال گذشته پيش‌نويس »لايحه حفاظت از داده« با همکاري مشترک بين پژوهشکده فناوري اطلاعات پژوهشگاه ICT ، معاونت امنيت سازمان فناوري اطلاعات و اداره کل امنيت سازمان تنظيم مقررات و ارتباطات راديويي و نيز پژوهشکده قوه قضاييه، آماده شد و قرار است به صحن علني مجلس براي تبديل شدن به قانون برود.
    عرب سرخي تاکيد کرد: نکته اين است که اين لايحه صرفاً يک رکن از موضوعات حفاظت از داده به شمار مي‌رود و بايد به مواردي چون بلوغ زيرساخت‌ها، طراحي و پيکربندي و آموزش نيروي انساني نيز توجه داشت.
    وي گفت: مطابق گزارش سال 2019 مرکز تحقيقاتي IDC بيش از 85 درصد تهديدات امنيتي ناشي از خطاي انساني است و اين درحالي است که ما بالغ بر 95 درصد هزينه‌هاي امنيتي را روي ارتقاي زيرساخت‌ها مي‌گذاريم. اين به اين معني است که اگر نيروي انساني (مديرسيستم، کاربر يا توسعه‌دهنده) خطايي انجام دهد با بهترين سيستم هم نمي‌توان جلوي آن را گرفت.
    رئيس پژوهشکده امنيت پژوهشگاه ارتباطات و فناوري اطلاعات خاطرنشان کرد: هم‌اکنون در اکثر شکايات مربوط به نشت داده و نقض حريم خصوصي که بسياري از آنها در حوزه شبکه‌هاي اجتماعي مطرح مي‌شود، مشکل اصلي مربوط به کاربر است که مبادرت به صدور مجوز دسترسي، انتشار اطلاعات و در حقيقت خودافشايي کرده اما مدعي نقض حريم خصوصي شده است.
    وي اضافه کرد: کاربر نبايد مدعي حفظ حريم خصوصي باشد اما دست به خودافشايي بزند. بالاخره زماني که از فناوري استفاده مي‌کند بايد بداند که فناوري محدوديت‌هايي نيز دارد. فناوري مانند تيغ دولبه است که استفاده درست از آن، برخي نيازها را تامين مي‌کند و استفاده نادرست از آن مي‌تواند، تبعاتي براي اطلاعات شخصي و حريم خصوصي به همراه داشته باشد.
    عرب سرخي ادامه داد: البته نبايد تصور کرد که تنها دليل هک اطلاعات برخي سازمان‌هاي دولتي و اپراتورها يک موضوع انساني يا رويه‌اي خاص است. خيلي وقت‌ها طراحي ضعيف و ناامن سيستم و پيکربندي آن، آسيب زا بوده و باعث نشت اطلاعات مي‌شود. حتي اگر قانون حفاظت از داده نيز داشته باشيم، اما طراحي زيرساخت شبکه، پياده سازي و مديريت و بهره برداري مناسبي نشود، مي‌تواند باعث نشت اطلاعات شود. از سوي ديگر حتي اگر قانون هم وجود داشته باشد، زيرساخت هم درست باشد، اما عامل انساني در الزامات امنيتي به درستي عمل نکند، بازهم شاهد نشت اطلاعات خواهيم بود.
    وي با اشاره به بررسي موضوع حفاظت از داده‌ها در کشور و نقاط ضعف و قوت مربوط به آن در پژوهشکده امنيت در قالب تعريف پروژه گفت: ما در پروژه‌هايمان موضوع مربوط به حفاظت از داده‌ها و بخشي از خلاءهاي موجود را در سطح توان يک مرکز پژوهشي در کشور آسيب‌شناسي و شناسايي مي‌کنيم.
    عرب سرخي اضافه کرد: بررسي‌ها نشان مي‌دهد که در جايي اين خلاء مربوط به عدم وجود نهاد متولي بوده است. براي مثال ما در »طرح ملي رمز« و »نظام محرمانگي«سعي کرديم اين نهاد را طراحي و فعال سازي کنيم. در جايي ديگر مشکلات مربوط به شبکه سازي را شناسايي کرده و در جاي ديگر، در ساختار با خلا مواجه شديم. حتي در مواردي متوجه شديم که بايد فناوري را توسعه داد.
    به گزارش امانت به نقل از افتانا، رئيس پژوهشکده امنيت پژوهشگاه ارتباطات و فناوري اطلاعات با بيان اينکه بحث اين است که پروژه‌ها را با هدف شناسايي آسيب‌ها، ضعف‌ها و راه حل‌شان، براساس توانمندي‌مان انجام مي‌دهيم، ادامه داد: در حوزه توسعه فناوري و برنامه‌هاي کاربردي حوزه امنيت، واقعاً بايد از بخش خصوصي حمايت ويژه شود و ما در اين حوزه مشکلات جدي داريم. چرا که هم‌اکنون بخش زيادي از بازار افتاي ما گرنتي و دست يک تعداد شرکت محدود است. شايد از جنبه‌هايي اين موضوع خوب باشد و سطح اعتماد و پاسخگويي را بالا مي‌برد، اما ديگر فرصتي به استفاده از ظرفيت‌هاي شرکت‌هاي کوچک و استارتاپ‌ها داده نمي‌شود.

نظر خود را بنویسید ...

نظر سنجی