راه پرداخت
رسانه فناوری‌های مالی ایران

 پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشت‌ماه ۱۳۹۰ شروع کرده و اکنون پرمخاطب‌ترین رسانه ایران در زمینه فناوری‌های مالی، بانکداری و پرداخت و استارت‌آپ‌های فین‌تک است.

انتخاب سردبیر

خلأهای امنیت اطلاعات در سازمان‌ها چیست؟ / نسخه کارشناسان برای در امان‌ ماندن اطلاعات از هک

نویسنده: مهسا طاعتی 0

با خبرساز شدن هک اطلاعات و حمله سایبری به سازمان‌هایی همچون تپسی و شرکت‌های بیمه در روزهای اخیر و نگرانی کاربران آنها، باز هم ارتقای امنیت اطلاعات و ضعف‌های موجود در این حوزه، نقل محافل شده است. «راه پرداخت» به همین منظور، به گفت‌وگو با برخی از کارشناسان پرداخته تا ضمن بررسی خلأهای موجود در امنیت اطلاعات، پیشنهادهایی برای ارتقای امنیت اطلاعات سازمان‌ها ارائه دهد. تدوین قوانین، آموزش کارکنان، استفاده از فناوری‌های نوین مبتنی بر نرم‌افزار و پایش منظم روند امن‌سازی اطلاعات برخی از پیشنهادهای این کارشناسان است.

تقریباً در  یک هفته، سیستم اطلاع‌رسانی اپلیکیشن هف‌هشتاد، تپسی و اطلاعات برخی از شرکت‌های بیمه هک شد و بحث بر سر ارتقای امنیت از سوی این سازمان‌ها در جهت رفع نگرانی کاربران و مشتریان شرکت‌ها را بر سر زبان انداخت. این موضوع، بیش‌ازپیش اهمیت امنیت اطلاعات و ضعف‌های عملکردی سازمان‌ها در این حوزه را نشان داد. به همین دلیل، با پویا پور اعظم، متخصص و مشاور فناوری در صنعت بانکداری و پرداخت، محمدرضا قلعه‌نوی، عضو هیئت‌مدیره سازمان نصر تهران و حمیدرضا ولی‌زاده، مدیر دپارتمان امنیت شرکت رادین گفت‌وگو کردیم تا ضمن بررسی خلأهای موجود در امنیت اطلاعات، پیشنهادهایی برای ارتقای امنیت اطلاعات سازمان‌ها ارائه دهیم که در ادامه این گزارش، می‌توانید جزئیات این گفت‌وگوها را بخوانید.

خلاء قانونی در امنیت اطلاعات

پویا پور اعظم، متخصص و مشاور فناوری در صنعت بانکداری و پرداخت خلأهای موجود در امنیت اطلاعات را در دو بعد قانون‌گذاری و نیروی انسانی معرفی می‌کند. او در این‌ خصوص توضیح می‌دهد: «یکی از ضعف‌های جدی امنیت اطلاعات در کشور ما این است که قوانین بازدارنده‌ای در این حوزه تدوین نشده است. همچنین، جریمه و ضمانت اجرایی برای آن در راستای امنیت اطلاعات در نظر گرفته نشده است.»

پور اعظم در ادامه صحبت‌های خود به مقررات عمومی حفاظت از داده اتحادیه اروپا اشاره می‌کند و در این باره می‌گوید: «در این مقررات، برای افشای هر نوع اطلاعات جریمه تعیین شده و اگر سازمانی قصد ارسال و انتقال اطلاعات کاربران و مشتری‌های خود به نهاد دیگری را داشته باشد، باید کاربر را در جریان قرار دهد.»

طبق گفته این کارشناس، معادل مقررات عمومی حفاظت از داده اتحادیه اروپا در ایران وجود ندارد. این در حالی است که وجود این قوانین می‌تواند در ارتقای امنیت اطلاعات بسیار تأثیرگذار باشد.   

پویا پور اعظم، متخصص و مشاور فناوری در صنعت بانکداری و پرداخت

او خلاء دیگر امنیت اطلاعات را در حوزه نیروی انسانی می‌داند و معتقد است که دسترسی مدیریت‌نشده کارکنان یک سازمان به اطلاعات کاربرانش، امنیت اطلاعات را تهدید می‌کند.

پور اعظم در این زمینه بیان می‌کند: «دسترسی مدیریت‌نشده کارکنان سازمان‌ها به اطلاعات کاربران به‌صورت عمدی یا غیرعمدی امکان انتشار اطلاعات را فراهم خواهد کرد. به همین منظور، برای ارتقای امنیت اطلاعات باید توجه و نظارت بیشتری به چگونگی دسترسی کارکنان به اطلاعات کاربران یک سازمان شود.»

محمدرضا قلعه‌نوی، عضو هیئت‌مدیره سازمان نصر تهران نیز خلأهای موجود در حوزه امنیت اطلاعات را ناآگاهی تیم‌های فنی و توسعه محصولات نسبت به استانداردها و راهکارهای امن‌سازی، فشار مدیران بالادستی این تیم‌ها برای راه‌اندازی یا به‌روزرسانی هرچه سریع‌تر سامانه‌ها و سکوهای ارتباطی بدون درنظرگرفتن کنترل‌های امنیتی و نبود تیم متخصص امنیت اطلاعات یا حداقل مشاور حوزه امنیت اطلاعات در کنار این تیم‌ها اعلام می‌کند.

او در ادامه صحبت‌های خود در این زمینه توضیح می‌دهد: «شاید این تفکر که حملات سایبری و هک اطلاعات، متعلق به دیگران است و برای ما رخ نخواهد داد، باعث می‌شود که سازمان‌ها توجهی به امینت اطلاعات نکنند. شاید هم خود را با نسبی بودن امنیت، توجیه می‌کنند. اما نکته حائز اهمیت این است که بسیاری از اقدامات پیشگیرانه ساده که از چشم راهبران سامانه‌ها و زیرساخت‌های مرتبط با آنها نادیده گرفته می‌شود، به‌راحتی می‌تواند باعث کاهش اثرات حملات سایبری به اطلاعات سازمان‌ها شود.»

پیشنهادهایی برای ارتقای امنیت اطلاعات

این عضو هیئت‌مدیره سازمان نصر تهران با طرح این سؤال که با هر بار هک اطلاعات در سال‌های اخیر، آیا صرفاً به بازگردانی اطلاعات یا پاک‌سازی سیستم و سامانه‌ها در همان زمان بسنده شده یا اینکه اقدامات پیشگیرانه و استانداردها و دستورالعمل‌های امنیتی پس از آن نیز لحاظ شده است، پیشنهادهایی برای ارتقای امنیت اطلاعات بیان کرده است.

محمدرضا قلعه‌نوی، عضو هیئت‌مدیره سازمان نصر تهران

از جمله پیشنهادهای قلعه‌نوی برای ارتقای امنیت اطلاعات می‌توان به استفاده از ظرفیت مشاوران در حوزه امن‌سازی زیرساختی و سامانه‌ها، استقرار نظام‌ها و استانداردهای حوزه امنیت اطلاعات به‌صورت اصولی و متعهد کردن اعضای سازمان‌ها در هر سطحی به اجرای درست و منسجم فرایند و دستورالعمل‌های اجرایی آنها اشاره کرد.

همچنین، پایش منظم و مستمر در بازه‌های زمانی کوتاه‌مدت برای اطمینان از اجرای درست فرایندها، برگزاری رویدادها و همایش‌های دوره‌ای امنیت اطلاعات برای اطلاع‌رسانی، آگاهی‌رسانی و ارتقای سطح دانش امنیتی اعضای سازمان‌ها و کسب‌وکارها، استفاده از فناوری‌های نوین مبتنی بر نرم‌افزار (Software Defined) و توزیع‌شدگی زیرساخت و سامانه‌ها از دیگر پیشنهادهای عضو هیئت‌مدیره سازمان نصر تهران برای ارتقای امینت اطلاعات است.

حمیدرضا ولی‌زاده، مدیر دپارتمان امنیت شرکت رادین نیز با انتقاد از محدودشدن امنیت اطلاعات در ایران به چند دستورالعمل ساده، معتقد است که از کوچک‌ترین تا بزرگ‌ترین فرد در یک سازمان ملزم به حفظ امنیت اطلاعات هستند. اما در ایران، امنیت اطلاعات فقط به استفاده از فایروال محدود می‌شود و به باقی الزامات امنیت اطلاعات توجه نمی‌شود.

حمیدرضا ولی‌زاده، مدیر دپارتمان امنیت شرکت رادین

او در بخش دیگری از صحبت‌های خود با بیان اینکه رخنه‌های امنیتی از پایین‌ترین تا بالاترین سطح یک سازمان رخ می‌دهد، می‌گوید: «کارکنان یک سازمان به‌راحتی از فلش برای انتقال اطلاعات مورد نیاز خود استفاده می‌کنند که نشان می‌دهد ملزومات امنیت اطلاعات به کارکنان سازمان‌ها آموزش داده نشده است.»

مهسا طاعتی

مهسا طاعتی لاطران، خبرنگار راه پرداخت هستم. کارشناسی و کارشناسی ارشد، رشته علوم اجتماعی و گرایش مطالعات فرهنگی و رسانه در دانشگاه تهران خوندم و در حوزه بانک و بیمه خبرنگاری می‌کنم.

مطالب پیشنهادی مطالب بیشتر از این نویسنده
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.