سازمان‌ها باید نسبت به افشا اطلاعات کاربران مسوولیت‌پذیر باشند

مرکز مدیریت امداد و هماهنگی عملیات رخدادها رایانه‌ای (ماهر) در دومین بیانیه خود طی یک ماه اخیر نسبت به روند افشاء داده‌های سازمان‌ها و کسب‌وکارها در فضای مجازی واکنش نشان داده است. این مرکز در این بیانیه تاکید کرده با توجه به مطالبه‌گیری شهروندان از این مرکز به دلیل افشأء اطلاعات، براساس نظام ملی مقابله با حوادث فضای مجازی کشور «مسوولیت پیشگیری و مقابله با حوادث فضای مجازی هر دستگاه، بر عهده بالاترین مقام آن دستگاه خواهد بود.»

 در این بیانیه ماهر از سازمان‌ها و دستگاه‌هایی که به هر دلیلی اطلاعات کاربرانشان افشاء شده خواسته است تا نسبت به این اتفاق مسئولیت‌پذیر و پاسخگو باشند. به نظر می‌رسد اشاره ماهر در این زمینه به افشاء اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام باشد که از طریق سامانه‌ای به نام شکار که متعلق به یک دستگاه امنیتی است رخ داد.

این مرکز در بیانیه جدید خود یادآور شده که بر اساس چارچوب‌های قانونی و ماموریت‌های محوله گزارش خود را در خصوص حوادث، صرفا برای مقامات مسوول ارسال می‌کند؛ هر چند پس از اتمام بحران این مرکز این حق را برای خود قائل است تا به تدوین گزارش‌هایی عمومی (با حفظ امنیت و حریم خصوصی داده‌ها) اقدام کند؛ تا به عنوان وظیفه ذاتی هر جزء از سیستم، با ارائه بازخوردهای مناسب گامی جهت ارتقاء و بهبود نظام حکمرانی داده بردارد.
در ادامه این بیانیه مرکز ماهر گفته است که به این اصل اعتقاد دارد که مقابله با آن دسته از حوادث فضای مجازی کشور که منجر به افشاء داده‌های شهروندان می‌شود، باید به صورت متمرکز و کاملا تخصصی، صرفا به یک مرکز مستقل دولتی واگذار شود تا امکان بررسی مستقل، بدون جانبداری، همراه با واکنش سریع و همچنین ایجاد زمینه مناسب برای اطلاع‌رسانی بموقع و باکیفیت همراه با انباشت دانش امنیت داده برای حفظ منافع ملی فراهم آید.
مرکز ماهر یادآور شده که  بر اساس وظایف ذاتی و قانونی خود موارد متعددی از این دست را همواره کشف و یا از افراد دلسوزی که به صورت مسوولانه و صادقانه اطلاع‌رسانی می‌کنند دریافت می‌کند. در این زمینه مرکز ماهر توضیح داده است:‌ «تمام این موارد پس از بررسی‌های فنی جهت راستی‌آزمایی و استخراج شواهد و راهکار مقابله بر اساس چارچوب‌های قانونی به صورت محرمانه به صاحبان سرویس‌ها و داده‌ها اطلاع‌رسانی می‌شود و تلاش دارد تا در صورت نیاز برای مقابله با آن اقدام عملیاتی مناسب انجام دهد.» در این بیانیه ماهر از  تمام متخصصان و کارشناسان امنیت سایبری خواسته است  که در صورت مشاهده هرگونه افشاء غیرمجاز یا آسیب‌پذیری در سامانه‌های بومی آن را از طریق کانال‌های ارتباطی مرکز ماهر اطلاع‌رسانی کنند. به باور مسئولان این مرکز اعلام عمومی یک داده افشا شده یا یک آسیب‌پذیری امنیتی از طریق رسانه و شبکه‌های اجتماعی بدون اطلاع قبلی به خود قربانی یا به نهادهای مسوول مانند مرکز ماهر یا مرکز افتا ریاست جمهوری، حرکت سازنده و همراه با مسوولیت اجتماعی محسوب نمی‌شود.
در پایان نیز مرکز ماهر از سازمان‌ها و دستگاه‌های مختلفی که اطلاعات کاربرانشان افشاء شده خواسته تا نسبت به این اتفاق مسئولیت‌پذیر باشند. در این زمینه در بیانیه مرکز ماهر آمده است: «به سازمان‌ها و دستگاه‌های مختلف یادآور می‌شود که «سکوت، پاسخ‌گویی مناسب نیست؛ بلکه تنها سرمایه اجتماعی را کاهش می‌دهد»؛ هرچند شهروندان و مطالبه‌گران از مرجع پاسخ‌گویی آگاهی نداشته باشند. امید می‌رود صاحبان بانک‌های اطلاعاتی که داده‌ها و اطلاعات شخصی مردم به صورت امانت در اختیار آنها است، نه تنها نسبت به حفظ این امانت و حریم خصوصی شهروندان، هم بر اساس قانون و هم بر اساس مسوولیت اجتماعی، حساسیت لازم را داشته باشند؛ بلکه با پاسخ‌گویی مناسب بتوانند امنیت روانی عمومی را نیز فراهم آورند.

دستورالعمل اقدامات پایه‌ای جهت پیش‌گیری از نشت اطلاعات سازمان‌ها و کسب و کارها

«ماهر»  برای پیشگیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانه‌ها توصیه‌هایی دارد که یکی از آن‌ها عدم اتصال مستقیم پایگاه‌های داده به صورت مستقیم به شبکه اینترنت است. ماهر تاکید کرده تا حد امکان لازم است دسترسی مستقیم به پایگاه‌های داده از طریق اینترنت برقرار نشود.

یکی از مواردی که باعث این اشتباه بزرگ می‌شود روال پشتیبانی شرکت‌های ارائه دهنده راهکارهای نرم‌افزاری کاربردی است که برای انجام پشتیبانی ۲۴*۷، مشتریان خود را الزام به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانک‌های اطلاعاتی می‌کنند. در صورت اجبار شرکت‌ها و سازمان‌ها به این مساله، این دسترسی حتما باید روی یک بستر امن و با استفاده از VPN ایجاد شود.

همچنین در راه‌اندازی پایگاه‌های داده‌ به ویژه انواع پایگاه‌های داده‌ NoSQL و اطمینان از عدم وجود دسترسی حفاظت نشده، دقت شود. بسیاری از موارد نشت اطلاعات مربوط به پایگاه‌های داده‌ای است که به طور موقت و جهت انجام فعالیت‌های موردی و کوتاه مدت راه‌اندازی شده است. لازم است اهمیت و حساسیت این نوع پایگاه‌های داده هم‌تراز پایگاه‌های اصلی در نظر گرفته شود.

در این بیانیه همچنین آمده است: بررسی و غیرفعال‌سازی قابلیت Directory Listing غیر ضروری در سرویس‌ دهنده‌های وب جهت جلوگیری از دسترسی به فایل‌ها،  دقت در وضعیت دسترسی به دایرکتوری‌های محل بارگزاری داده‌ها و اسناد توسط کاربران وبسایت نظیر دایرکتوری‌های uploads و temp و ...علاوه بر لزوم کنترل دسترسی‌ها و غیرفعالسازی قابلیت directory listing، لازم است تا حد امکان این اسناد به محل دیگری منتقل شده و از دسترس خارج شوند.

سرویس دهنده‌ی رایج و پرکاربرد Microsoft Exchange و Microsoft Sharepoint و Zimbra طی یک سال گذشته آسیب‌پذیری‌های جدی داشتند، در صورت استفاده از این سرویس‌دهنده‌ها لازم است نسبت به بروز بودن آن‌ها و نصب تمام وصله‌های امنیتی منتشر شده اطمینان حاصل شود.