با خبرساز شدن هک اطلاعات و حمله سایبری به سازمانهایی همچون تپسی و شرکتهای بیمه در روزهای اخیر و نگرانی کاربران آنها، باز هم ارتقای امنیت اطلاعات و ضعفهای موجود در این حوزه، نقل محافل شده است. «راه پرداخت» به همین منظور، به گفتوگو با برخی از کارشناسان پرداخته تا ضمن بررسی خلأهای موجود در امنیت اطلاعات، پیشنهادهایی برای ارتقای امنیت اطلاعات سازمانها ارائه دهد. تدوین قوانین، آموزش کارکنان، استفاده از فناوریهای نوین مبتنی بر نرمافزار و پایش منظم روند امنسازی اطلاعات برخی از پیشنهادهای این کارشناسان است.
تقریباً در یک هفته، سیستم اطلاعرسانی اپلیکیشن هفهشتاد، تپسی و اطلاعات برخی از شرکتهای بیمه هک شد و بحث بر سر ارتقای امنیت از سوی این سازمانها در جهت رفع نگرانی کاربران و مشتریان شرکتها را بر سر زبان انداخت. این موضوع، بیشازپیش اهمیت امنیت اطلاعات و ضعفهای عملکردی سازمانها در این حوزه را نشان داد. به همین دلیل، با پویا پور اعظم، متخصص و مشاور فناوری در صنعت بانکداری و پرداخت، محمدرضا قلعهنوی، عضو هیئتمدیره سازمان نصر تهران و حمیدرضا ولیزاده، مدیر دپارتمان امنیت شرکت رادین گفتوگو کردیم تا ضمن بررسی خلأهای موجود در امنیت اطلاعات، پیشنهادهایی برای ارتقای امنیت اطلاعات سازمانها ارائه دهیم که در ادامه این گزارش، میتوانید جزئیات این گفتوگوها را بخوانید.
خلاء قانونی در امنیت اطلاعات
پویا پور اعظم، متخصص و مشاور فناوری در صنعت بانکداری و پرداخت خلأهای موجود در امنیت اطلاعات را در دو بعد قانونگذاری و نیروی انسانی معرفی میکند. او در این خصوص توضیح میدهد: «یکی از ضعفهای جدی امنیت اطلاعات در کشور ما این است که قوانین بازدارندهای در این حوزه تدوین نشده است. همچنین، جریمه و ضمانت اجرایی برای آن در راستای امنیت اطلاعات در نظر گرفته نشده است.»
پور اعظم در ادامه صحبتهای خود به مقررات عمومی حفاظت از داده اتحادیه اروپا اشاره میکند و در این باره میگوید: «در این مقررات، برای افشای هر نوع اطلاعات جریمه تعیین شده و اگر سازمانی قصد ارسال و انتقال اطلاعات کاربران و مشتریهای خود به نهاد دیگری را داشته باشد، باید کاربر را در جریان قرار دهد.»
طبق گفته این کارشناس، معادل مقررات عمومی حفاظت از داده اتحادیه اروپا در ایران وجود ندارد. این در حالی است که وجود این قوانین میتواند در ارتقای امنیت اطلاعات بسیار تأثیرگذار باشد.
او خلاء دیگر امنیت اطلاعات را در حوزه نیروی انسانی میداند و معتقد است که دسترسی مدیریتنشده کارکنان یک سازمان به اطلاعات کاربرانش، امنیت اطلاعات را تهدید میکند.
پور اعظم در این زمینه بیان میکند: «دسترسی مدیریتنشده کارکنان سازمانها به اطلاعات کاربران بهصورت عمدی یا غیرعمدی امکان انتشار اطلاعات را فراهم خواهد کرد. به همین منظور، برای ارتقای امنیت اطلاعات باید توجه و نظارت بیشتری به چگونگی دسترسی کارکنان به اطلاعات کاربران یک سازمان شود.»
محمدرضا قلعهنوی، عضو هیئتمدیره سازمان نصر تهران نیز خلأهای موجود در حوزه امنیت اطلاعات را ناآگاهی تیمهای فنی و توسعه محصولات نسبت به استانداردها و راهکارهای امنسازی، فشار مدیران بالادستی این تیمها برای راهاندازی یا بهروزرسانی هرچه سریعتر سامانهها و سکوهای ارتباطی بدون درنظرگرفتن کنترلهای امنیتی و نبود تیم متخصص امنیت اطلاعات یا حداقل مشاور حوزه امنیت اطلاعات در کنار این تیمها اعلام میکند.
او در ادامه صحبتهای خود در این زمینه توضیح میدهد: «شاید این تفکر که حملات سایبری و هک اطلاعات، متعلق به دیگران است و برای ما رخ نخواهد داد، باعث میشود که سازمانها توجهی به امینت اطلاعات نکنند. شاید هم خود را با نسبی بودن امنیت، توجیه میکنند. اما نکته حائز اهمیت این است که بسیاری از اقدامات پیشگیرانه ساده که از چشم راهبران سامانهها و زیرساختهای مرتبط با آنها نادیده گرفته میشود، بهراحتی میتواند باعث کاهش اثرات حملات سایبری به اطلاعات سازمانها شود.»
پیشنهادهایی برای ارتقای امنیت اطلاعات
این عضو هیئتمدیره سازمان نصر تهران با طرح این سؤال که با هر بار هک اطلاعات در سالهای اخیر، آیا صرفاً به بازگردانی اطلاعات یا پاکسازی سیستم و سامانهها در همان زمان بسنده شده یا اینکه اقدامات پیشگیرانه و استانداردها و دستورالعملهای امنیتی پس از آن نیز لحاظ شده است، پیشنهادهایی برای ارتقای امنیت اطلاعات بیان کرده است.
از جمله پیشنهادهای قلعهنوی برای ارتقای امنیت اطلاعات میتوان به استفاده از ظرفیت مشاوران در حوزه امنسازی زیرساختی و سامانهها، استقرار نظامها و استانداردهای حوزه امنیت اطلاعات بهصورت اصولی و متعهد کردن اعضای سازمانها در هر سطحی به اجرای درست و منسجم فرایند و دستورالعملهای اجرایی آنها اشاره کرد.
همچنین، پایش منظم و مستمر در بازههای زمانی کوتاهمدت برای اطمینان از اجرای درست فرایندها، برگزاری رویدادها و همایشهای دورهای امنیت اطلاعات برای اطلاعرسانی، آگاهیرسانی و ارتقای سطح دانش امنیتی اعضای سازمانها و کسبوکارها، استفاده از فناوریهای نوین مبتنی بر نرمافزار (Software Defined) و توزیعشدگی زیرساخت و سامانهها از دیگر پیشنهادهای عضو هیئتمدیره سازمان نصر تهران برای ارتقای امینت اطلاعات است.
حمیدرضا ولیزاده، مدیر اسبق دپارتمان امنیت شرکت رادین نیز با انتقاد از محدودشدن امنیت اطلاعات در ایران به چند دستورالعمل ساده، معتقد است که از کوچکترین تا بزرگترین فرد در یک سازمان ملزم به حفظ امنیت اطلاعات هستند. اما در ایران، امنیت اطلاعات فقط به استفاده از فایروال محدود میشود و به باقی الزامات امنیت اطلاعات توجه نمیشود.
او در بخش دیگری از صحبتهای خود با بیان اینکه رخنههای امنیتی از پایینترین تا بالاترین سطح یک سازمان رخ میدهد، میگوید: «کارکنان یک سازمان بهراحتی از فلش برای انتقال اطلاعات مورد نیاز خود استفاده میکنند که نشان میدهد ملزومات امنیت اطلاعات به کارکنان سازمانها آموزش داده نشده است.»