21 - 07 - 2020
سارقان سایبری
گروه فناوری- اطلاعات شخصی و بانکی کاربران در فضای مجازی همواره در خطر است؛ حملات سایبری دستکمی از ویروس کرونا ندارند؛ هکرها هم بر اثر سهلانگاری کاربران به آنها حمله میکنند. یکی از عوامل فاش شدن اطلاعات کاربران بیمبالاتی خودشان است. همواره گفته شده است که بدافزارها و باجافزارهای بسیاری در فضای مجازی وجود دارند، نباید هر فایلی که برایمان ایمیل شده است را باز کرد، رمز عبور باید پیچیده باشد و نرمافزارها باید بهروزرسانی شوند، با این همه بسیاری از کاربران به این عوامل توجهی نمیکنند و مورد حملات سایبری قرار میگیرند. راهاندازی رمزپویا موجب کاهش چشمگیر سرقتهای سایبری شده اما اطلاعات شخصی کاربران همچنان مورد حمله هکرها قرار میگیرند.
کاربران فضایمجازی باید از کلیک کردن روی لینکهای مشکوک و دانلود نرمافزار از منابع نامعتبر اجتناب و از نرمافزارهای امنیتی برای حفاظت مداوم سیستمهای خود استفاده کنند.
بدافزارهایی با اهداف خاص میتواند توسط هکرها طراحی شود و در شبکههای اجتماعی با نامهای تحریکآمیز و اغواکننده به اشتراک گذاشته شود که حاوی یک بدافزار باشند و با باز کردن آنها امکان افشای اطلاعات شما وجود دارد. همچنین ارسال یک ایمیل آلوده یا جعلی بسیار ساده و بدون دردسر است و یک مهاجم بهسادگی میتواند اقدام به ارسال یک ایمیل آلوده کند.
نرمافزارهایی وجود دارند که قابلیت دسترسی به نرمافزار و سختافزار گوشی مثل صندوق پیامک، دفترچه تلفن، دوربین و امکان ذخیره صدا را به هکر میدهند، به همین دلیل همانطور که پلیس فتا هشدار میدهد، کاربران فضایمجازی باید در حفظ و نگهداری اطلاعات خود کوشا بوده و از نصب اپلیکیشنهای نامعتبر خودداری کنند. همه کاربران فضای مجازی باید نرمافزارهای امنیتی مانند آنتی ویروس و فایروال به روز شده را در دستگاه متصل به اینترنت خود استفاده کنند.با دسترسی هکرها به محتوای پیامکهای فرد قربانی این امر نیز متصور است که شبکه اجتماعی یا ایمیل قربانی نیز مورد سوءاستفاده واقع شود و هکر میتواند با تغییر شماره تماس یا ایمیل پشتیبانی، اکانت شبکه اجتماعی قربانی را به طور کامل از دسترس وی خارج کند.مجرمان سایبری برای گرفتن قربانی غالبا از راه انتشار تبلیغات و آگهیهای جعلی با محتوای اغواکننده و موضوعات تاملبرانگیز و بهروز جامعه در شبکههای اجتماعی مختلف و فضای مجازی سعی در تشویق کاربران به نصب نرمافزارهای جاسوسی خود میکنند؛ برای مثال آگهی نرمافزار افزایش تعداد اعضای کانال یا گروه یکی از موضوعاتی است که بعضی کاربران فضای مجازی اعتماد کرده و به دام مجرمان سایبری گرفتار میشوند.کاربران شبکههای اجتماعی به هیچوجه نباید از منابع نامعتبر و نامطمئن اقدام به دانلود، نصب و اجرای نرمافزار کنند و لازم است درصورت بروز مشکل و مواجهه با جرائم رایانهای، با مراجعه به پلیس فتا از مشاورهها و راهنماییکارشناسان جهت رفع مشکلات احتمالی استفاده کنند. البته نصب برنامههای نامعتبر و نرمافزارهای مخرب از فروشگاههایی مانند گوگلپلی هم امکانپذیر است. همانطور که پیش از این، جعل نرمافزارهای امنیتی در گوگلپلی توسط نویسندگان بدافزار، منجر شده بود کاربران اطلاعات خود را به این برنامههای مخرب بدهند.
دلایل افشای اطلاعات
ابوذر عربسرخی در خصوص دلایل درز و افشای اطلاعات بسیاری از سازمانها و کاربران فضای مجازی طی ماههای اخیر در کشور گفت: دلیل نشت اطلاعات از یک سازمان به سازمان دیگر و از یک زیرساخت ارتباطی به یک زیرساخت ارتباطی دیگر، کاملاً تغییر میکند و ما نمیتوانیم یک فاکتور یا نسخه واحد برای این مشکل بپیچیم و بگوییم که دلیل تمامی موارد نشت اطلاعات، یک موضوع است.
وی گفت: گسترهای از موضوعات کاملاً فنی تا غیرفنی میتواند دلیل بروز و ظهور نشت اطلاعات باشد. در فضای فنی موضوعاتی مانند طراحی ضعیف و ناامن یا پیکربندی یا مدیریت ضعیف یک کاربر یا سیستم و سرویسدهنده میتواند دلیل بروز مشکلات امنیتی باشد و در فضای غیرفنی نیز مواردی از قبیل خطای انسانی، فیشینگ و تکنیکهای مهندسی اجتماعی، میتوانند عامل نشت اطلاعات در شرایط خاص باشند.رییس پژوهشکده امنیت پژوهشگاه ارتباطات و فناوری اطلاعات ادامه داد: هم اکنون ما در کشور، مشکلات فنی در طراحی و پیادهسازی و مدیریت سیستم داریم و طراحی روال نگهداری و انتقال اطلاعات ما ضعیف است. از سوی دیگر خطای انسانی که میتواند از سوی اپراتور یا کاربر یا حتی مدیر سیستم نیز رخ دهد، میتواند منجر به نشت اطلاعات شود. همه این موارد معرف ضعفها و آسیبپذیریهای حیاتی امنیت سایبری است که میتواند منشا و علت بروز مشکلاتی مانند افشا و نشت اطلاعات باشد.او با اشاره به قانون حفاظت داده نیز گفت: سال گذشته پیش نویس «لایحه حفاظت از داده» با همکاری مشترک بین پژوهشکده فناوری اطلاعات پژوهشگاهICT ، معاونت امنیت سازمان فناوری اطلاعات و اداره کل امنیت سازمان تنظیم مقررات و ارتباطات رادیویی و نیز پژوهشکده قوه قضاییه، آماده شد و قرار است به صحن علنی مجلس برای تبدیل شدن به قانون برود.عربسرخی تاکید کرد: نکته این است که این لایحه صرفا یک رکن از موضوعات حفاظت از داده به شمار میرود و باید به مواردی چون بلوغ زیرساختها، طراحی و پیکربندی و آموزش نیروی انسانی نیز توجه داشت.
خطای انسانی
او گفت: مطابق گزارش سال ۲۰۱۹ مرکز تحقیقاتی IDC بیش از ۸۵ درصد تهدیدات امنیتی ناشی از خطای انسانی است. این در حالی است که ما بالغ بر ۹۵ درصد هزینههای امنیتی را روی ارتقای زیرساختها میگذاریم. این به این معنی است که اگر نیروی انسانی (مدیر سیستم، کاربر یا توسعهدهنده) خطایی انجام دهد، با بهترین سیستم هم نمیتوان جلوی آن را گرفت.رییس پژوهشکده امنیت پژوهشگاه ارتباطات و فناوری اطلاعات خاطرنشان کرد: هماکنون در اکثر شکایات مربوط به نشت داده و نقض حریم خصوصی که بسیاری از آنها در حوزه شبکههای اجتماعی مطرح میشود، مشکل اصلی مربوط به کاربر است که مبادرت به صدور مجوز دسترسی، انتشار اطلاعات و در حقیقت خودافشایی کرده اما مدعی نقض حریم خصوصی شده است.
او افزود: کاربر نباید مدعی حفظ حریم خصوصی باشد اما دست به خودافشایی بزند. بالاخره زمانی که از فناوری استفاده میکند باید بداند که فناوری محدودیتهایی نیز دارد. فناوری مانند تیغ دولبه است که استفاده درست از آن، برخی نیازها را تامین میکند و استفاده نادرست از آن میتواند تبعاتی برای اطلاعات شخصی و حریم خصوصی به همراه داشته باشد.
عربسرخی ادامه داد: البته نباید تصور کرد که تنها دلیل هک اطلاعات برخی سازمانهای دولتی و اپراتورها یک موضوع انسانی یا رویهای خاص است. خیلی وقتها طراحی ضعیف و ناامن سیستم و پیکربندی آن، آسیبزا بوده و باعث نشت اطلاعات میشود. حتی اگر قانون حفاظت از داده نیز داشته باشیم اما طراحی زیرساخت شبکه، پیادهسازی و مدیریت و بهرهبرداری مناسبی نشود، میتواند باعث نشت اطلاعات شود. از سوی دیگر حتی اگر قانون هم وجود داشته باشد، زیرساخت هم درست باشد اما عامل انسانی در الزامات امنیتی به درستی عمل نکند، باز هم شاهد نشت اطلاعات خواهیم بود.
بازار افتا
او با اشاره به بررسی موضوع حفاظت از دادهها در کشور و نقاط ضعف و قوت مربوط به آن در پژوهشکده امنیت در قالب تعریف پروژه گفت: ما در پروژههایمان موضوع مربوط به حفاظت از دادهها و بخشی از خلأهای موجود را در سطح توان یک مرکز پژوهشی در کشور آسیبشناسی و شناسایی میکنیم.
عربسرخی اضافه کرد: بررسیها نشان میدهد که در جایی این خلأ مربوط به عدم وجود نهاد متولی بوده است. برای مثال ما در «طرح ملی رمز» و «نظام محرمانگی» سعی کردیم این نهاد را طراحی و فعالسازی کنیم. در جایی دیگر مشکلات مربوط به شبکهسازی را شناسایی کردیم و در جای دیگر، در ساختار با خلأ مواجه شدیم. حتی در مواردی متوجه شدیم که باید فناوری را توسعه داد.
رییس پژوهشکده امنیت پژوهشگاه ارتباطات و فناوری اطلاعات با بیان اینکه بحث این است که پروژهها را با هدف شناسایی آسیبها، ضعفها و راهحلشان، براساس توانمندیمان انجام میدهیم، ادامه داد: در حوزه توسعه فناوری و برنامههای کاربردی حوزه امنیت، واقعا باید از بخش خصوصی حمایت ویژه شود و ما در این حوزه مشکلات جدی داریم چرا که هماکنون بخش زیادی از بازار افتای ما گرنتی و دست یک تعداد شرکت محدود است. شاید از جنبههایی این موضوع خوب باشد و سطح اعتماد و پاسخگویی را بالا میبرد اما دیگر فرصتی به استفاده از ظرفیتهای شرکتهای کوچک و استارتآپ داده نمیشود.

لطفاً براي ارسال دیدگاه، ابتدا وارد حساب كاربري خود بشويد