همزیستی سامانه دولت الکترونیک با ضعف امنیتی

چندی پیش لورفتن اطلاعات شخصی وزیر بهداشت درباره تزریق نوع واکسن در سامانه سلامت دولت الکترونیک خبرساز شد.

روزنامه ایران: چندی پیش لورفتن اطلاعات شخصی وزیر بهداشت درباره تزریق نوع واکسن در سامانه سلامت دولت الکترونیک خبرساز شد. بعد از آن اتفاق هم برخی از پزشکان از صدور نسخه‌هایی از جانب آنها برای بیمارانی خبر دادند که از این موضوع بی خبر بودند.

بیشتر بخوانید: اخباری که در وبسایت منتشر نمی‌شوند!

  اما براستی مشکل و ضعف اصلی در سامانه‌های دولت الکترونیکی  به خصوص سامانه نسخ الکترونیکی چیست؟ آیا مشکل امنیتی است؟ و در این مسیر باید چه اقدام‌های مهمی را اجرا کرد. کارشناسان امنیت سایبری اعتقاد دارند که رعایت نکردن استانداردهای امنیتی، نبود امضای الکترونیکی و احراز هویت دقیق و نداشتن تخصص آی تی در راه اندازی سامانه سلامت باعث شده اطلاعات به راحتی در دسترس سوء‌استفاده کنندگان  قرار بگیرد.

ضعف نظارت بر امنیت سامانه‌ها
کاظم فلاحی کارشناس امنیت سایبری معتقد است سامانه‌های دولتی همه در بحث امنیتی دارای ضعف‌های عمده‌ای هستند و اگر تست شوند براحتی می‌توان ضعف‌های زیادی را در آنها پیدا کرد و لو رفتن اطلاعات اخیر و نوشتن نسخ بدون اطلاع بیمار و حتی پزشکان و هک اطلاعات سامانه وزارت بهداشت در ابتدای شیوع بیماری کرونا نیز مؤید همین ضعف امنیتی است. فلاحی به «ایران» گفت: از آنجایی که سامانه‌های دولت الکترونیکی مانند وزارت بهداشت نیز حساس هستند و اطلاعات محرمانه 80 میلیون نفر نگهداری می‌شود، باید با تست‌های دوره‌ای، امنیت آن را افزایش دهند. وی افزود: متأسفانه بعد از راه‌اندازی هر سامانه دولتی و تست اولیه امنیتی بعد از آن دیگر هیچ تست امنیتی دوره‌ای انجام نمی‌شود، این درحالی است که انجام تست‌های دوره‌ای جزو واجبات و ضروریات سامانه‌هاست. وقتی در سامانه دولتی اطلاعاتی لو می‌رود و دسترسی به اطلاعات ممکن است کسانی که مسئول تست اولیه سامانه‌ها هستند باید زیر سؤال بروند اما متأسفانه هیچ مسئولی زیر سؤال نمی‌رود این در حالی است که بحث لورفتن اطلاعات مردم در حوزه سلامت یا هر بخش دیگری به مطالبه‌گری در سطح بالا نیاز دارد، چرا که داده‌ها زیر سؤال رفته و این صرفاً مربوط به اطلاعات یک وزیر نمی‌شود. این کارشناس امنیت سایبری در ادامه گفت: تست نفوذی که در بانک مرکزی وجود دارد باید در سامانه‌های دولتی بخصوص دولت الکترونیکی نیز عملیاتی شود. بانک مرکزی هر سه ماه یکبار تست‌های دوره‌ای انجام داده و به مقام‌های بالادستی گزارش می‌دهد و همین موضوع باعث شده کمترین مشکلات آسیب‌پذیری را در بانک‌ها شاهد باشیم. فلاحی افزود: معمولاً باید نرم‌افزارها در آزمایشگاه‌های مراکز امنیتی تست شوند ولی تجربه شخصی نشان می‌دهد که گذراندن تست‌ها در این آزمایشگاه‌ها هم سفت و سخت نیست و حتی اگر نرم افزار دچار مشکل باشد، دورزدن و تأییدیه گرفتن با پرداخت هزینه بیشتر ممکن است. مهم‌تر اینکه برای دریافت مجوز تست، هیچ نظارتی هم صورت نمی‌گیرد که آیا بدرستی تست‌ها طی شده و مجوز دریافت کرده اند؟ کارشناسی که کارمندی کار می‌کند و آنجا نشسته برایش مهم نیست که ممکن است اطلاعات و داده‌های 80 میلیون نفر به فنا برود.  وی انجام نظارت و تست‌های دوره‌ای را یکی از راهکارهای مهم برای مقابله با این دسته از مشکلات عنوان کرد و افزود: باید یک نهاد ناظر با قدرت اجرایی در این کار ورود کند. هم اکنون چندین نهاد موازی امنیتی در کشور وجود دارد که هیچکدام هم نمی‌دانند در حال انجام چه کاری هستند. به گفته این کارشناس امنیت سایبری، نهادها صرفاً به اعلام آسیب‌پذیری‌ها بسنده کرده‌اند این درحالی است که یک کارشناس هم می‌داند آسیب‌پذیری وجود دارد در حقیقت مهم قدرت اجرایی و نظارت بر رفع آنها بعد از اعلام آسیب‌پذیری‌هاست. به عبارتی بعد از اعلام آسیب‌پذیری یا هر مشکل دیگری اگر نظارت صورت بگیرد و مشکل حل نشده باشد نه تنها باید در آنجا را تخته کنند بلکه باید مدیر مربوطه به همراه کارشناسان تست و... را پای میز محاکمه بکشانند، چرا که تا اینگونه عمل نشود این وضعیت لورفتن اطلاعات پابرجا خواهد بود.  فلاحی در ادامه گفت: باید بحث امنیت و نظارت بر سامانه‌های دولت الکترونیکی جدی گرفته شود و آن را به کاردانش بسپارند، چرا که سوءاستفاده از اطلاعات مردم شوخی نیست و می‌تواند وقایع بسیار وحشتناک مانند کلاهبرداری‌های عظیمی را رقم بزند.
نبود سیستم امنیت اطلاعات
علیرضا جباریان دیگر کارشناس امنیت سایبری نیز معتقد است در بخش هایی نظیر دولت الکترونیک و بخش مربوط به سلامت استانداردهای امنیتی تخصصی کسب و کار رعایت نشده است.  جباریان به «ایران» گفت: استانداردهای تخصصی امنیتی در کسب و کار خاص باعث می شود تا  نه تنها ریسک های موجود شناسایی شوند بلکه با ارائه راهکارهایی ریسک‌ها را کاهش داده و به شدت تسهیل کند از این رو در بسیاری از کسب و کارهای موجود استفاده از استانداردهای عمومی نظیر استاندارد سیستم مدیریت امنیت اطلاعات (ISMS)تا حدودی پیاده سازی شده ولی باید در کنار آن به صورت همزمان از استانداردهای امنیتی تخصصی کسب و کار نیز استفاده کرد تا ریسک های احتمالی کاهش یافته و به حداقل برسد.  وی افزود: در بسیاری موارد به خصوص در فاز تحلیل‎ ها و ارزیابی های امنیتی طراحی و پیاده سازی سامانه، ریسک های فنی زیادی وجود دارد. به عبارتی تیم های ارزیاب و تحلیلگرهای امنیتی در برخی سامانه‌ها، بدلیل آشنا نبودن با کسب و کار سامانه فقط آسیب پذیری‌های امنیتی فنی  را بررسی می‌کنند.  این کارشناس امنیت سایبری در ادامه گفت: برای مثال آسیب‌پذیری‌هایی نظیر صحت سنجی نکردن صحیح داده‌های ورودی یا آسیب‌پذیری‌هایی نظیر XSS (حمله از طریق تزریق کد) و یا توجه صرف به این آسیب‌پذیری‌ها و بررسی نکردن پیاده‌سازی امن فرایندها، موجب می‌شود که برخی دسترسی‌های غیرمجاز در سطح طراحی فرایندهای کسب و کاری سامانه‌ها ایجاد شود و این آسیب‌پذیری‌ها مدیریت نشوند. بنابراین باید ضمن صحت سنجی داده‌ها، باید آسیب‌پذیری‌ها نیز بررسی شوند تا فرایند امنی را در سامانه‌ها شاهد باشیم. به گفته جباریان در بسیاری از موارد پس از بررسی نشت اطلاعات مشخص می‌شود که هیچگونه حمله امنیتی خاصی به سامانه انجام نشده و اطلاعات به‌دلیل وجود یک فرایند کسب و کاری آسیب‌پذیر نشت پیدا کرده است از این‌رو توجه به استفاده از استانداردهای تخصصی کسب و کار و استفاده از تیم‌های خبره کسب و کاری در کنار تیم‌های ارزیاب امنیتی و تحلیلگر ریسک دارای اهمیت زیادی است و باید به این بخش توجه ویژه‌ای شود.

انتهای پیام/

منبع: ایران آنلاین

کلیدواژه: کارشناس امنیت سایبری دولت الکترونیکی سامانه های دولت دولت الکترونیک تست های دوره ای لورفتن اطلاعات آسیب پذیری ها سامانه ها کسب و کار ریسک ها داده ها تست ها

درخواست حذف خبر:

«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را به‌طور اتوماتیک از وبسایت ion.ir دریافت کرده‌است، لذا منبع این خبر، وبسایت «ایران آنلاین» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۳۴۲۳۶۱۰۷ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتی‌که در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.

با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.

خبر بعدی:

تفاوت ثبت اطلاعات توسط صنف طلافروشان با سایر اصناف در سامانه جامع تجارت

به گزارش قدس خراسان، دهم دی ماه سال پیش، خبر به تعویق افتادن سه ماهه ثبت اطلاعات و سرمایه طلافروشان در سامانه جامع تجارت توسط رئیس اتحادیه طلا و جواهر تهران پس از اعتراض طلافروشان در کشور به اجرای این قانون رسانه‌ای شد و این موج از اعتراضات با اعلام بررسی و رفع ابهامات پیش آمده توسط مراجع ذی‌صلاح فروکش کرد.

پس از اتمام این مهلت به ویژه در روزهای اخیر، با بسته شدن درب مغازه‌های طلافروشی توسط صاحبان آن‌ها، دوباره موجی از اعتراضات به اجرای این قانون در برخی از شهرهای کشور از جمله تهران، مشهد، اصفهان و شیراز شکل گرفت که واکنش‌های مختلفی را به دنبال داشت.

طلافروشان ادعا می‌کنند چون طلا یک کالای سرمایه‌ای است و مانند سایر کالاها مصرفی نیست، نباید صاحبان آن به دلایل امنیتی به صورت شفاف آن را بیان کنند، هرچند گمانه‌زنی‌هایی در خصوص ترس از رصد مالیاتی در میان فعالان در حوزه طلا و جواهر وجود دارد.

از سوی دیگر، متولیان این قانون دلیل اصلی ثبت اطلاعات در سامانه جامع تجارت را مبارزه با قاچاق و شفافیت در رصد طلا به عنوان یک سرمایه ملی عنوان می‌کنند. در بررسی دلایل اصلی ثبت اطلاعات فعالان حوزه طلا و جواهر در سامانه جامع تجارت، سرپرست کمیسیون مبارزه با قاچاق کالا و ارز خراسان رضوی در گفت‌وگو با خبرنگار ما می‌گوید: در ماده ۱۸ قانون مبارزه با قاچاق کالا و ارز، شرایط کالاها به تفکیک بیان شده که برای هر کالا چه حکمی در خصوص بحث قاچاق وجود دارد که کالاهای مطرح شده شامل کالاهای مجاز، مجاز مشروط و کالاهای دارای یارانه  است.

سعید سبزه محمدی اضافه می‌کند: در یکی از تبصره‌های ماده ۱۸ دستورالعمل مربوط به وظایف متولیان هر یک از بخش‌های کالاهای دارای زنجیره تأمین مشخص شده که این دستورالعمل توسط هیئت وزیران تهیه و ابلاغ شد و این دستورالعمل جامع و اولیه تبصره ۴ ذیل ماده ۱۸ قانون مبارزه با قاچاق کالا و ارز نامیده شده است.

ثبت اطلاعات کالاهای مختلف، متفاوت است

وی توضیح می‌دهد: در اصلاحیه ماده ۲ دستورالعمل تبصره ۴ ماده ۱۸، وزارتخانه‌های مختلف و ستاد مرکزی مبارزه با قاچاق کالا و ارز موظف شده‌اند کالاهایی را که دارای زنجیره تأمین و فراوانی قاچاق هستند، به عنوان کالاهایی که باید در سامانه جامع تجارت ثبت شوند، تعریف کنند. ما کالاهایی داریم که از لحظه ورود به کشور یا تولید در داخل، زنجیره تأمین دارند که باید مشخص شود یک کالا در هر مرحله به کجا می‌رود تا به مصرف‌کننده نهایی برسد.

سرپرست کمیسیون مبارزه با قاچاق کالا و ارز خراسان رضوی، گروه کالاهای سوخت و دارو را از نخستین گروه‌های تعریف شده در این قانون می‌داند و عنوان می‌کند: هفتمین گروه کالایی تعریف شده، گروه کالایی فلزات گرانبها و گوهرسنگ‌ها بود که ضوابط اختصاصی این گروه کالایی در ذیل این دستورالعمل در مرداد ۱۴۰۱ توسط رئیس جمهور ابلاغ و اجرای آن از مهر ۱۴۰۱ الزامی شد. در این ضوابط اختصاصی، فلزات گرانبها و گوهرسنگ‌ها در چند طبقه دسته‌بندی شده‌اند که برای هر طبقه یک بازه زمانی شروع و اجرا مشخص شده است. 

سبزه محمدی ضمن اشاره به تفاوت‌های موجود میان گروه کالاهای متفاوت خاطرنشان می‌کند: هدف از این اتفاق، مشخص بودن گردش کالا در هر قسمت از زنجیره تأمین است و ما نمی‌توانیم همه کالاها را مثل هم ببینیم. به عنوان مثال دارو با دام متفاوت است و هر کدام از گروه‌های کالایی شرایط خودشان را دارند که این موارد باید در زنجیره تأمین حفظ شوند. با توجه به شرایط ارزی و اقتصادی که در کشور حاکم است و همچنین زیورآلات طلا و به ویژه شمش که به عنوان ذخایر راهبردی کشور محسوب می‌شوند و در گروه فلزات گرانبها و گوهرسنگ‌ها مشمول قاچاق ورودی زیورآلات و خروج شمش و زیورآلات هستیم، شفافیت در زنجیره تأمین می‌تواند به پیشگیری و مبارزه هدفمند و هوشمند با قاچاق این گروه کالایی کمک قابل توجهی کند. از این رو به منظور کاهش هزینه‌های مبارزه با قاچاق کالا این دستورالعمل برای این گروه کالایی تعریف شد.

راه شناسایی کالای قاچاق 

وی ادامه می‌دهد: برای ورود شمش طلا به کشور همه گونه معافیت در نظر گرفته شده؛ اما از لحظه ورود این شمش باید مشخص باشد که به کجا می‌رود و سرنوشت آن چیست. در نهایت ما با شفافیت در این زنجیره روبه‌رو هستیم و هرگونه کالایی که خارج از این زنجیره شناسایی شود، مشمول کالای موضوع قاچاق خواهد بود. 

سرپرست کمیسیون مبارزه با قاچاق کالا و ارز خراسان رضوی با ارائه تعریفی درباره کالای قاچاق تشریح می‌کند: کالاهای شناسایی شده خارج از این زنجیره، قاچاق نیستند چون کالای قاچاق کالایی است که الزامات ورود و خروج گمرکی برای آن رعایت نشده و به آن قاچاق محرز می‌گویند؛ اما کالای موضوع قاچاق، کالایی است که ضوابط مربوط به خرید، فروش، حمل یا نگهداری آن براساس ضوابط ابلاغی رعایت نشده باشد و به عبارتی مشمول جرایم قاچاق کالا و ارز می‌شود. بنابراین برای هر مرحله از زنجیره تأمین الزاماتی تعریف شده که از لحظه ورود باید در سامانه جامع تجارت ثبت شود.

اتصال سامانه مؤدیان مالیاتی به سامانه جامع تجارت

سبزه محمدی به اجرایی شدن ثبت اطلاعات در سامانه جامع تجارت در سایر گروه‌های کالایی اشاره می‌کند و می‌گوید: هدف از این سامانه این نیست که ارتباطی با سامانه‌های دیگر داشته باشد؛ ولی نکته‌ای که به وجود آمد چون در سامانه مؤدیان مالیاتی باید به صورت جدا اطلاعات ثبت می‌کردند و در سامانه جامع تجارت همین ثبت اطلاعات وجود داشت، یکی از نگرانی‌هایی که خود اصناف مطرح کردند، تکرار این فرایندها بود و در حال حاضر براساس ابلاغ‌های صورت گرفته، کسانی که در سامانه جامع تجارت کالا را ثبت کنند، الزامی برای ثبت در سامانه مؤدیان مالیاتی ندارند و سامانه مؤدیان می‌تواند اطلاعات لازم را از سامانه جامع تجارت برداشت کند و یکی از دلایل به تعویق افتادن ثبت اطلاعات در پایان سال گذشته، ایجاد این امکان بود. 

وی ادامه می‌دهد: شفاف‌سازی به نفع اصناف خواهد بود چون این گلایه‌مندی وجود دارد که به اصناف مالیاتی بیشتر از آنچه باید پرداخت کنند، تحمیل می‌شود. با ثبت فعالیت و اطلاعات در سامانه جامع تجارت و تعریف شفاف گردش کالا حتی اگر مالیات بیشتری مطالبه شود، براساس اسناد موجود در سامانه جامع تجارت، امکان اعتراض مستدل برای کاهش مالیات وجود دارد. 

مدارا با طلافروشان

سرپرست کمیسیون مبارزه با قاچاق کالا و ارز خراسان رضوی به توضیح دو تفاوت ثبت اطلاعات توسط صنف طلافروشان با سایر اصناف در سامانه جامع تجارت می‌پردازد و می‌گوید: هر یک از گروه‌های کالایی خصوصیات منحصر به خود را دارند؛ اما در گروه کالایی فلزات گرانبها دو مسئله وجود ندارد؛ یکی ثبت انبارها به دلیل موضوعات امنیتی و دوم ثبت کد شناسه و کد رهگیری که به اجرای آن ملزم نشده‌اند.

وی تشریح می‌کند: ماده ۱۳ قانون مبارزه با قاچاق کالا برای لوازم یدکی، لوازم خانگی، آرایشی و بهداشتی و سایر کالاها کد رهگیری و شناسه را برای هر قطعه کالا علاوه بر اجرای موضوع تبصره۴ ماده ۱۸ الزامی کرده که فعالان مربوطه برای هر قطعه کالا باید کد شناسه را بگیرند و ثبت کنند و این مسئله هنوز مشمول فلزات گرانبها نشده و فلزات گرانبها فقط در قسمت ثبت در سامانه جامع تجارت و شفافیت در گردش کالا ثبت می‌شوند و ضرورت همه این کارها پیگیری و مبارزه هدفمند و سیستماتیک با مسئله قاچاق کالا و ارز است.

سرپرست کمیسیون مبارزه با قاچاق کالا و ارز خراسان رضوی می‌گوید: در پاسخ به اینکه طلا یک کالای سرمایه‌ای است و نباید ثبت شود، این پرسش مطرح می‌شود که چرا گردش کالای سرمایه‌ای نباید ثبت شود و چه تفاوتی با بقیه کالاها دارد؟ در بحث املاک که یک کالای سرمایه‌ای است، سامانه‌های مربوط در حال شفاف‌سازی هستند. بحث ما سرمایه‌ای بودن یا نبودن یک کالا نیست؛ بحث این است که جریان گردش کالا به عنوان یک کالای راهبردی برای ما شفاف باشد.

تأمین مالی قاچاق با طلا

وی اضافه می‌کند: با توجه به ماهیت فلزات گرانبها به ویژه طلا که کالای سرمایه‌ای است در مواردی مانند تروریسم، پولشویی و قاچاق، تنها دلار یا ریال مورد استفاده نیست و از طلا هم استفاده می‌شود و پرونده‌های مشابه زیادی وجود دارد که از طلا به عنوان تراکنش و تأمین مالی و موارد خارج از عرف در قاچاق و سایر موارد استفاده شده و اگر شفافیت در گردش کالا ایجاد شود، موجب پیشگیری هدفمند از این مسائل هم خواهد شد.

سبزه محمدی ادامه می‌دهد: سامانه جامع تجارت و اجرای ضوابط اختصاصی گروه کالایی فلزات گرانبها و گوهرسنگ‌ها از مهرماه ۱۴۰۱ لازم‌الاجرا شده و از این تاریخ تا به امروز اطلاع‌رسانی‌ها، تبیین، تشریح و آموزش‌های متعدد به اتحادیه‌ها در رده‌های مختلف چند نوبت در سال ۱۴۰۱ و در نیمه دوم ۱۴۰۲ انجام شده و یک سال و نیم هم فرصت داده شد که در هیچ گروه کالایی این فرصت اختصاص داده نشد و به طلافروشان گفتیم تا در هر مرحله از ثبت به اشکال برخوردند، برای رفع آن اقدام می‌کنیم و باید گفت مصوبات هیئت وزیران در حکم قانون بوده و قانون هم لازم‌الاجراست مگر اینکه نقض این قانون ابلاغ شود. پس در اجرای این قانون همه کمک کنیم تا مشکلات کمتری داشته باشیم.

سرپرست کمیسیون مبارزه با قاچاق کالا و ارز خراسان رضوی در پایان قانون را فصل‌الخطاب همه موارد می‌داند و تأکید می‌کند: اگر نسبت به اجرای هر فرایند قانونی که در کشور ابلاغ می‌شود، نظر و ملاحظه‌ای وجود دارد، فرایند رفع این مسئله مبادی قانونی هستند و نحوه اصلاح آن هم معلوم است.

طاهره فجرداودلی