به نقل از «ایران آنلاین»

همزیستی سامانه دولت الکترونیک با ضعف امنیتی

تاریخ انتشار: ۶ بهمن ۱۴۰۰ | کد خبر: ۳۴۲۳۶۱۰۷

چندی پیش لورفتن اطلاعات شخصی وزیر بهداشت درباره تزریق نوع واکسن در سامانه سلامت دولت الکترونیک خبرساز شد.

روزنامه ایران: چندی پیش لورفتن اطلاعات شخصی وزیر بهداشت درباره تزریق نوع واکسن در سامانه سلامت دولت الکترونیک خبرساز شد. بعد از آن اتفاق هم برخی از پزشکان از صدور نسخه‌هایی از جانب آنها برای بیمارانی خبر دادند که از این موضوع بی خبر بودند.

بیشتر بخوانید: اخباری که در وبسایت منتشر نمی‌شوند!

  اما براستی مشکل و ضعف اصلی در سامانه‌های دولت الکترونیکی  به خصوص سامانه نسخ الکترونیکی چیست؟ آیا مشکل امنیتی است؟ و در این مسیر باید چه اقدام‌های مهمی را اجرا کرد. کارشناسان امنیت سایبری اعتقاد دارند که رعایت نکردن استانداردهای امنیتی، نبود امضای الکترونیکی و احراز هویت دقیق و نداشتن تخصص آی تی در راه اندازی سامانه سلامت باعث شده اطلاعات به راحتی در دسترس سوء‌استفاده کنندگان  قرار بگیرد.

ضعف نظارت بر امنیت سامانه‌ها
کاظم فلاحی کارشناس امنیت سایبری معتقد است سامانه‌های دولتی همه در بحث امنیتی دارای ضعف‌های عمده‌ای هستند و اگر تست شوند براحتی می‌توان ضعف‌های زیادی را در آنها پیدا کرد و لو رفتن اطلاعات اخیر و نوشتن نسخ بدون اطلاع بیمار و حتی پزشکان و هک اطلاعات سامانه وزارت بهداشت در ابتدای شیوع بیماری کرونا نیز مؤید همین ضعف امنیتی است. فلاحی به «ایران» گفت: از آنجایی که سامانه‌های دولت الکترونیکی مانند وزارت بهداشت نیز حساس هستند و اطلاعات محرمانه 80 میلیون نفر نگهداری می‌شود، باید با تست‌های دوره‌ای، امنیت آن را افزایش دهند. وی افزود: متأسفانه بعد از راه‌اندازی هر سامانه دولتی و تست اولیه امنیتی بعد از آن دیگر هیچ تست امنیتی دوره‌ای انجام نمی‌شود، این درحالی است که انجام تست‌های دوره‌ای جزو واجبات و ضروریات سامانه‌هاست. وقتی در سامانه دولتی اطلاعاتی لو می‌رود و دسترسی به اطلاعات ممکن است کسانی که مسئول تست اولیه سامانه‌ها هستند باید زیر سؤال بروند اما متأسفانه هیچ مسئولی زیر سؤال نمی‌رود این در حالی است که بحث لورفتن اطلاعات مردم در حوزه سلامت یا هر بخش دیگری به مطالبه‌گری در سطح بالا نیاز دارد، چرا که داده‌ها زیر سؤال رفته و این صرفاً مربوط به اطلاعات یک وزیر نمی‌شود. این کارشناس امنیت سایبری در ادامه گفت: تست نفوذی که در بانک مرکزی وجود دارد باید در سامانه‌های دولتی بخصوص دولت الکترونیکی نیز عملیاتی شود. بانک مرکزی هر سه ماه یکبار تست‌های دوره‌ای انجام داده و به مقام‌های بالادستی گزارش می‌دهد و همین موضوع باعث شده کمترین مشکلات آسیب‌پذیری را در بانک‌ها شاهد باشیم. فلاحی افزود: معمولاً باید نرم‌افزارها در آزمایشگاه‌های مراکز امنیتی تست شوند ولی تجربه شخصی نشان می‌دهد که گذراندن تست‌ها در این آزمایشگاه‌ها هم سفت و سخت نیست و حتی اگر نرم افزار دچار مشکل باشد، دورزدن و تأییدیه گرفتن با پرداخت هزینه بیشتر ممکن است. مهم‌تر اینکه برای دریافت مجوز تست، هیچ نظارتی هم صورت نمی‌گیرد که آیا بدرستی تست‌ها طی شده و مجوز دریافت کرده اند؟ کارشناسی که کارمندی کار می‌کند و آنجا نشسته برایش مهم نیست که ممکن است اطلاعات و داده‌های 80 میلیون نفر به فنا برود.  وی انجام نظارت و تست‌های دوره‌ای را یکی از راهکارهای مهم برای مقابله با این دسته از مشکلات عنوان کرد و افزود: باید یک نهاد ناظر با قدرت اجرایی در این کار ورود کند. هم اکنون چندین نهاد موازی امنیتی در کشور وجود دارد که هیچکدام هم نمی‌دانند در حال انجام چه کاری هستند. به گفته این کارشناس امنیت سایبری، نهادها صرفاً به اعلام آسیب‌پذیری‌ها بسنده کرده‌اند این درحالی است که یک کارشناس هم می‌داند آسیب‌پذیری وجود دارد در حقیقت مهم قدرت اجرایی و نظارت بر رفع آنها بعد از اعلام آسیب‌پذیری‌هاست. به عبارتی بعد از اعلام آسیب‌پذیری یا هر مشکل دیگری اگر نظارت صورت بگیرد و مشکل حل نشده باشد نه تنها باید در آنجا را تخته کنند بلکه باید مدیر مربوطه به همراه کارشناسان تست و... را پای میز محاکمه بکشانند، چرا که تا اینگونه عمل نشود این وضعیت لورفتن اطلاعات پابرجا خواهد بود.  فلاحی در ادامه گفت: باید بحث امنیت و نظارت بر سامانه‌های دولت الکترونیکی جدی گرفته شود و آن را به کاردانش بسپارند، چرا که سوءاستفاده از اطلاعات مردم شوخی نیست و می‌تواند وقایع بسیار وحشتناک مانند کلاهبرداری‌های عظیمی را رقم بزند.
نبود سیستم امنیت اطلاعات
علیرضا جباریان دیگر کارشناس امنیت سایبری نیز معتقد است در بخش هایی نظیر دولت الکترونیک و بخش مربوط به سلامت استانداردهای امنیتی تخصصی کسب و کار رعایت نشده است.  جباریان به «ایران» گفت: استانداردهای تخصصی امنیتی در کسب و کار خاص باعث می شود تا  نه تنها ریسک های موجود شناسایی شوند بلکه با ارائه راهکارهایی ریسک‌ها را کاهش داده و به شدت تسهیل کند از این رو در بسیاری از کسب و کارهای موجود استفاده از استانداردهای عمومی نظیر استاندارد سیستم مدیریت امنیت اطلاعات (ISMS)تا حدودی پیاده سازی شده ولی باید در کنار آن به صورت همزمان از استانداردهای امنیتی تخصصی کسب و کار نیز استفاده کرد تا ریسک های احتمالی کاهش یافته و به حداقل برسد.  وی افزود: در بسیاری موارد به خصوص در فاز تحلیل‎ ها و ارزیابی های امنیتی طراحی و پیاده سازی سامانه، ریسک های فنی زیادی وجود دارد. به عبارتی تیم های ارزیاب و تحلیلگرهای امنیتی در برخی سامانه‌ها، بدلیل آشنا نبودن با کسب و کار سامانه فقط آسیب پذیری‌های امنیتی فنی  را بررسی می‌کنند.  این کارشناس امنیت سایبری در ادامه گفت: برای مثال آسیب‌پذیری‌هایی نظیر صحت سنجی نکردن صحیح داده‌های ورودی یا آسیب‌پذیری‌هایی نظیر XSS (حمله از طریق تزریق کد) و یا توجه صرف به این آسیب‌پذیری‌ها و بررسی نکردن پیاده‌سازی امن فرایندها، موجب می‌شود که برخی دسترسی‌های غیرمجاز در سطح طراحی فرایندهای کسب و کاری سامانه‌ها ایجاد شود و این آسیب‌پذیری‌ها مدیریت نشوند. بنابراین باید ضمن صحت سنجی داده‌ها، باید آسیب‌پذیری‌ها نیز بررسی شوند تا فرایند امنی را در سامانه‌ها شاهد باشیم. به گفته جباریان در بسیاری از موارد پس از بررسی نشت اطلاعات مشخص می‌شود که هیچگونه حمله امنیتی خاصی به سامانه انجام نشده و اطلاعات به‌دلیل وجود یک فرایند کسب و کاری آسیب‌پذیر نشت پیدا کرده است از این‌رو توجه به استفاده از استانداردهای تخصصی کسب و کار و استفاده از تیم‌های خبره کسب و کاری در کنار تیم‌های ارزیاب امنیتی و تحلیلگر ریسک دارای اهمیت زیادی است و باید به این بخش توجه ویژه‌ای شود.

انتهای پیام/

منبع: ایران آنلاین

کلیدواژه: کارشناس امنیت سایبری دولت الکترونیکی سامانه های دولت دولت الکترونیک تست های دوره ای لورفتن اطلاعات آسیب پذیری ها سامانه ها کسب و کار ریسک ها داده ها تست ها

درخواست حذف خبر:

«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را به‌طور اتوماتیک از وبسایت ion.ir دریافت کرده‌است، لذا منبع این خبر، وبسایت «ایران آنلاین» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۳۴۲۳۶۱۰۷ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتی‌که در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.

با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.

خبر بعدی:

آغاز به کار سامانه نظارت و شفافیت اطلاعات صندوق ذخیره فرهنگیان

مدیرعامل صندوق ذخیره فرهنگیان اعلام کرد: همزمان با هفته گرامیداشت مقام معلم و در راستای یکپارچگی سازمانی، شفافیت حداکثری، نظارت هوشمند و انضباط مدیریتی به عنوان یکی از مطالبات و خواسته‌های فرهنگیان، «سامانه نظارت و شفافیت اطلاعات و اسناد صندوق ذخیره فرهنگیان» تحت عنوان «پنجره» امروز آغاز به کار کرد.

به گزارش ایسنا، محسن احمدی تصریح کرد: این سامانه، نخستین اقدام برای دستیابی به سیستم های کنترل هوشمند و از مهمترین زیرساخت‌های نوین و فناورانه برای مدیریت و نظارت همه جانبه و داده محور فعالیت هلدینگ‌ها و شرکت‌های تابعه صندوق ذخیره فرهنگیان محسوب می‌شود و به طور دقیق تر، این سامانه پنجره‌ای برای نظارت مستمر و آنلاین بر جریان اطلاعات و اسناد عملکردی هلدینگ‌ها و شرکت‌های تابعه است.

وی افزود: هدف از طراحی و تولید این سامانه، ساماندهی و حفظ اسناد و اطلاعات شرکت‌های زیر مجموعه صندوق، حفظ و توسعه شفافیت و آگاهی، حمایت از حقوق سرمایه‌گذاران (فرهنگیان)، نظارت موثر بر حسن اجرای قوانین و مقررات، تسهیل فرآیند تهیه و افشای اطلاعات، ایجاد هماهنگی بین واحدهای درون سازمانی و گام مثبتی در جهت پیشگیری از وقوع مشکلات است.

«پنجره» یک محصول دانش‌بنیان و بومی

مدیرعامل صندوق با اشاره به قابلیت‌ها و ظرفیتهای این مجموعه بزرگ اقتصادی اظهار کرد: پنجره محصولی است که به صورت کاملاً بومی و اختصاصی، توسط شرکت دانش‌بنیان پژوهش و نوآوری صنایع آموزشی از شرکت‌های تابعه صندوق ذخیره فرهنگیان طراحی و تولید شده است.

احمدی تاکید کرد: از آنجا که نظارت و شفافیت دو روی یک سکه هستند، این سامانه از طریق افزایش شفافیت، امکان پایش و ارزیابی دقیق، سریع و جامع برای کلیه ذینفعان را فراهم می‌کند.

ایجاد سامانه جامع صندوق ذخیره برای یکپارچگی سازمانی و افزایش انضباط مدیریتی و کنترلی

مدیرعامل صندوق ذخیره فرهنگیان با اشاره به اینکه سامانه پنجره، بخشی از برنامه و راهبرد جامع صندوق به منظور توسعه زیرساخت‌های نوین نظارتی و مدیریتی می باشد افزود هدف پنجره نظارت همه جانبه و داده‌محور بر فعالیت‌ها و عملکرد هلدینگ‌ها و شرکت‌های تابعه است.

احمدی در همین زمینه افزود: در تکمیل این رویکرد، سامانه یکپارچه برنامه، بودجه و عملکرد، با هدف پایش منظم میزان تحقق اهداف کمی و کیفی برنامه و بودجه سالیانه هر یک از هلدینگ‌ها و شرکت‌های تابعه و مقایسه با شاخص‌های مختلف در دستور کار قرار گرفته است.

توسعه و تکمیل سامانه جامع هوش تجاری در آینده نزدیک

مدیرعامل صندوق با اعلام اینکه ایجاد و راه اندازی سامانه جامع هوش تجاری (BI) اختصاصی صندوق ذخیره فرهنگیان نیز هدف گذاری شده است اظهار کرد: سامانه هوش تجاری به ‌منظور کنترل متمرکز بر روی شاخص‌های قابل اندازه‌گیری مدیریتی و در شرکت‌های تابعه، تحلیل مبتنی بر داده و اطلاعات عملکرد شرکت‌ها و مقایسه با یکدیگر و شرکت‌های فعال در صنعت مشابه، احصاء چالش‌ها و مشکلات پیش روی شرکت‌ها و انجام اقدامات پیشگیرانه و پیش‌بینی روند درآمدزایی و سود و زیان بنگاه‌های اقتصادی در حال تکمیل و توسعه است.

وی بیان کرد: اعمال مدیریت اثربخش‌تر و افزایش بهره‌وری سازمانی در تمام زنجیره ارزش اقتصادی صندوق ذخیره فرهنگیان از مزایای این سامانه است که در آینده نزدیک در چند فاز طراحی شده و در صندوق استقرار خواهد یافت.

امکان نظارت دقیق و برخط ذینفعان بر کلیه فعالیت‌های صندوق

محسن احمدی همچنین گفت: در بخش حقوقی نیز سامانه مدیریت امور دعاوی با هدف نظارت اثربخش بر پرونده‌های حقوقی شرکت‌ها و به اشتراک‌گذاری درس‌آموخته‌های شرکت‌ها با یکدیگر پیش‌بینی شده است.

وی در پایان تصریح کرد: این سامانه‌ها که در مجموع سیستم نظارتی و شفافیت صندوق ذخیره فرهنگیان را تشکیل می‌دهند، ابزار بسیار مهمی در اختیار کلیه ذینفعان به ویژه فرهنگیان خواهد بود تا از این طریق بر دارایی‌ها و سرمایه‌گذاری این مجموعه عظیم اقتصادی نظارت و کنترل دقیق داشته باشند.

به گزارش روابط عمومی و امور بین الملل صندوق ذخیره فرهنگیان، مدیرعامل صندوق ذخیره فرهنگیان درخصوص چگونگی دسترسی به سامانه هوشمند پنجره خاطرنشان کرد: بعد از تکمیل مرحله ورود داده‌ها و اطلاعات به این سیستم و طی یک زمان بندی مشخص بتدریج همه ذی‌نفعان به اطلاعات سامانه پنجره دسترسی خواهند داشت.

انتهای پیام