معاون فنی پلیس فتا ناجا استفاده از نیروی انسانی فاقد مهارت تخصصی کافی را عامل اصلی نشت اطلاعات از برخی سرورها و سامانههای اطلاعاتی بیان کرد.
این مقام مسئول ضمن اشاره به اینکه امروزه بانکهای اطلاعاتی جزء با ارزشترین داراییهای هر سازمان و کسب و کار است، ادامه داد: افراد سودجود با اهداف مختلف برای دسترسی غیرمجاز بانک اطلاعاتی اقدام به نفوذ و یا سرقت اطلاعات میکنند و با قیمتهای ناچیزی در جهت بهره برداریهای نامتعارف و یا استفاده در سایر جرایم سایبری نظیر کلاهبرداریهای سایبری به فروش میرسانند.
وی بیان کرد: با توجه به وجود تهدیدات و آسیب پذیریهای فضای مجازی، انواع حملات سایبری مختلف به سرورها و شبکههای کشور و در راستای سند نظام پیشگیری و مقابله با حوادث رایانهای ابلاغی مرکز ملی فضای مجازی، پلیس فتا و سایر نهادهای ذی ربط به صورت مستمر و لحظهای، اقدام به شناسایی انواع آسیب پذیریهای نرم افزاری و سخت افزاری کرده است.
سرهنگ "نیک نفس "ادامه داد:با اقدامات صورت گرفته، تعداد سایتهای مهم ارزیابی امنیتی شده در سال ۹۸ به ۳۷ درصد ارتقاء یافته است و در این رابطه اطلاع رسانی به سازمانها و کسب و کارهای مربوطه صورت پذیرفته و بازخوردهای لازم تا رفع آسیب پذیری ارائه شده است که این اقدامات بر اساس تحلیل و بررسی آخرین وضعیت CMS ها، سیستم عامل ها، سکوهای برنامه نویسی، وب سرورها و اپلیکیشن ها، مشخص و اقدام شده است.
معاون فنی پلیس فتا ناجا با اشاره به اهمیت پایداری و امنیت خدمات عمومی سازمانها و دستگاههای مختلف در بستر اینترنت و اینکه جهت جلوگیری از آسیب پذیری ها، تهدیدات و آلودگیهای سایبری، اطلاع رسانی سریع و لحظهای به صورت ویژه از سال ۹۷ در دستورکار پلیس فتا قرار گرفته است، گفت: در این رابطه به طور نمونه در سال ۹۸ آسیب پذیریها در قالب ۹۱۸۲۱ پیامک و ایمیل به شرکتهای مختلف اعلام و اطلاع رسانی شده است، که در مجموع اطلاع رسانیها در سال ۹۸ نسبت به سال ۹۷ بالغ بر ۷۳ درصد افزایش یافته است.
این مقام انتظامی گفت: بر اساس بررسیهای کارشناسی مشخص شد استفاده از نیروی انسانی ناایمن، فاقد مهارت فنی، بی توجهی به الزامات امنیتی و سایبری و سهل انگاری در پیاده سازی سیاستها و الزامات امنیتی منشاء اصلی بروز این گونه رخدادها بوده است، البته انتشار برخی از این اخبار نیز از سوی افراد سودجو صرفا با هدف شایعه پراکنی و تشویش اذهان عمومی و یا کلاهبرداری از طریق فروش اطلاعات کذب صورت گرفته است.
این مقام انتظامی با تاکید بر برخورد قانونی پلیس فتا و سایر نهادهای مسئول با این اقدامات مجرمانه و شایعه سازان، یکی از اولویتهای کاری خود را مبارزه و شناسایی افراد مجرم در حوزه دسترسی غیرمجاز به بانکهای اطلاعاتی هموطنان عنوان و اعلام کرد: در این رابطه تعدادی از افراد مجرم شناسایی و دستگیر و به مراجع قضایی معرفی شده اند.
سرهنگ " نیک نفس " ضمن تاکید بر این نکته که مدیران عالی سازمانها باید امنیت اطلاعات و سامانههای در اختیار را در زمره امور مهم سازمان قرار دهند و شخصاً بر اعمال استانداردهای امنیتی مانند ISMS نظارت کنند، بر اساس پروندههای اخیر رسیدگی شده توصیههای امنیتی سایبری زیر را خطاب به شرکت ها، سازمانها و نهادهای دولتی و صاحبان مشاغل و کسب و کارهای مجازی اعلام کرد:
- سامانهها و شبکههای رایانهای بر اساس بازبینهای امنیتی به صورت منظم و دورهای توسط کارشناسان متخصص ارزیابی شود.
- صلاحیت فردی و شغلی مدیران و کارشناسان حوزه فناوری اطلاعات سازمان به خصوص کارکنان بخش امنیت، با استانداردهای بالا مورد توجه مدیران سازمانها قرار گیرد.
- کنترل دسترسی کاربران بخصوص کاربران با سطح دسترسی ادمین به طور دقیق مدیریت شده و لاگ تمامی کاربران ذخیره و به صورت منظم بررسی شود.
- جهت دسترسی راه دور به بخشهای حساس همانند پنل مدیریت وبسایت، سامانه، میزبان، سرور و پایگاه داده حتماً کنترلهای مبتنی بر توکن یا IP اعمال گردد و ملاحظات امنیتی رعایت شود.
- استفاده از روشهای احراز هویت دو مرحلهای کاربران علاوه بر رمز عبور قوی مد نظر باشد.
- از اتصال مستقیم پایگاههای داده حساس بدون واسط امن به شبکههای عمومی مانند اینترنت خودداری شود.
- تغییر تنظیمات و رمزهای عبور، نشانیهای دسترسی و تنظیمات امنیتی پیش فرض وبسایت، سامانه، هاست، سرور، پایگاه داده و ... جهت جلوگیری از دسترسی مجرمان سایبری به اطلاعات از طریق این تنظیمات انجام شود.
- از جمع آوری اطلاعات وبسایت توسط خزشگرها و روباتها جلوگیری شود.
- استفاده از رمزهای عبور پیچیده و تغییر دورهای تمامی رمزهای عبور انجام شود.
- به روزرسانی مستمر و اعمال بلادرنگ وصلههای امنیتی منتشر شده برای تمامی نرم افزارها، سرویسها و ماژولها صورت گیرد.
وی تصریح کرد:این موارد به هیچ عنوان جایگزین فرآیندهای کامل امنسازی و ارزیابی امنیتی نیستند و صرفا برطرف کننده شماری از ضعفهای جدی مشاهده شده هستند.