به گزارش دریای اندیشه، افشای اطلاعات پایگاههای داده، سرورها و نسخههای پشتیبان (Backup) نهتنها امنیت سازمانها و ادارات را به خطر میاندازد، بلکه میتواند به نقض حریم خصوصی شهروندان و خسارات مالی و اعتباری گسترده منجر شود.
در گفتوگویی با خانم نکیسا ادیبی، کارشناس ارشد فناوری اطلاعات و متخصص در حوزه شبکه کامپیوتری، ابعاد حقوقی و فنی این پدیده را بررسی کردهایم.
دریای اندیشه: خانم نکیسا ادیبی، از نگاه فنی، منشأ اصلی دسترسی به دادهها در سازمانها چیست؟ عوامل انسانی بیشتر نقش دارند یا تهدیدات بیرونی؟
نکیسا ادیبی – کارشناس ارشد فناوری اطلاعات و امنیت فضای مجازی:
بر اساس بررسیهای فنی و گزارشهای امنیت سایبری در سالهای اخیر، یکی از عوامل افشای دادهها، خطای انسانی و ضعف در مدیریت امنیت اطلاعات در داخل سازمانهاست.
در بسیاری از موارد، دادهها از طریق پیکربندی نادرست سرورها (Misconfiguration)، ذخیره نسخههای پشتیبان در فضای ابری عمومی بدون رمزگذاری، یا عدم کنترل دسترسی مناسب کاربران داخلی در معرض افشا قرار میگیرند.
یکی از آسیبپذیریهای رایج، عدم تفکیک سطح دسترسی (Access Control) میان کارکنان و پیمانکاران است. به موجب استانداردهای بینالمللی امنیت اطلاعات از جمله استاندارد ISO/IEC 27001، هر فرد باید صرفاً به میزان ضرورت شغلی (Principle of Least Privilege) به دادهها دسترسی داشته باشد.
عدم رعایت این اصل، موجب میشود کاربران غیرمسئول بتوانند بدون نظارت، به دادههای حساس سازمانی یا اطلاعات شخصی شهروندان دسترسی یابند.
از سوی دیگر، تهدیدات موسوم به «خروج داده از درون» (Insider Threats)، اعم از افشای عمدی یا سهوی توسط کارکنان، یکی از جدیترین چالشهای امنیت سایبری محسوب میشود.
در این وضعیت، حتی بدون وقوع حمله خارجی، دادههای حیاتی سازمان از طریق حسابهای داخلی به بیرون منتقل میشود — وضعیتی که کنترل آن نیازمند نظام دقیق پایش رفتار کاربران (User Behavior Monitoring) و ثبت لاگهای امنیتی قابل ممیزی است.
به بیان دیگر، اگرچه حملات خارجی مانند نفوذ به سامانهها یا بدافزارها همچنان تهدید محسوب میشوند، اما آمارها نشان میدهد بخش عمدهای از افشاهای اطلاعاتی ناشی از ضعف در کنترل داده (Data Governance) و فقدان چارچوب امنیتی داخلی یکپارچه در سازمانهاست.
از همین رو، امنیت اطلاعات صرفاً یک مسئله فنی نیست، بلکه نیازمند رویکرد مدیریتی، آموزشی و نظارتی مستمر است
دریای اندیشه: خانم نکیسا ادیبی، از منظر فنی و مدیریتی، سازمانها برای جلوگیری از افشای دادهها چه اقداماتی باید انجام دهند تا هم از بُعد امنیتی مصون بمانند و هم از منظر حقوقی پاسخگو نباشند؟
نکیسا ادیبی – کارشناس ارشد فناوری اطلاعات و کارشناس امنیت فضای مجازی: پیشگیری از افشای داده، صرفاً یک اقدام فنی نیست، بلکه ترکیبی از مدیریت، سیاستگذاری، نظارت و آموزش است.
هر سازمانی، چه دولتی و چه خصوصی، برای حفاظت از دادههای خود و اطلاعات شهروندان باید یک نظام جامع امنیت اطلاعات (Information Security Management System – ISMS) طراحی و پیادهسازی کند.
در این چارچوب، چند رکن اساسی اهمیت ویژه دارد:
1.مدیریت دسترسی و تفکیک نقشها (Access Control & Role Separation):
هر کاربر باید صرفاً به دادههایی دسترسی داشته باشد که برای انجام وظایفش ضروری است.
اصل «حداقل دسترسی» (Principle of Least Privilege) از پایههای امنیت سازمانی است که در استاندارد ISO/IEC 27001:2022 نیز بر آن تأکید شده است.
2.رمزنگاری دادهها و ذخیرهسازی ایمن نسخههای پشتیبان:
تمام دادههای حساس باید در حالت سکون (At Rest) و حین انتقال (In Transit) رمزگذاری شوند.
نسخههای پشتیبان (Backups) باید در محیطهای ایزوله با دسترسی محدود ذخیره و دورهای صحت آنها بررسی شود.
بسیاری از افشای اطلاعاتی ناشی از ذخیره بکآپها بر روی فضای ابری عمومی یا درایوهای غیرایمن بوده است.
3.پایش و ثبت رخدادها (Monitoring & Logging):
سازمانها باید تمامی دسترسیها، تغییرات دادهها و فعالیتهای کاربران را در قالب «لاگهای امنیتی» ثبت و نگهداری کنند تا در صورت بروز حادثه، امکان تحلیل و پیگیری دقیق وجود داشته باشد.
این اقدام نهتنها از نظر امنیتی، بلکه برای اثبات عدم تقصیر سازمان در مراجع قضایی نیز اهمیت دارد.
4.آموزش مستمر کارکنان و ارتقاء فرهنگ امنیت اطلاعات:
بسیاری از رخدادها ناشی از بیتوجهی کاربران یا قربانی شدن در حملات مهندسی اجتماعی (Social Engineering) است.
برگزاری دورههای آموزشی منظم و تدوین آییننامههای داخلی برای رفتار ایمن در فضای مجازی، بخش جداییناپذیر از حکمرانی داده است.
5.انجام ارزیابیهای امنیتی ادواری (Security Audits):
مطابق استانداردهای بینالمللی و بخشنامههای داخلی از جمله الزامات مرکز ماهر و سازمان فناوری اطلاعات ایران، سازمانها باید بهصورت دورهای تستهای نفوذ (Penetration Test) و ارزیابی آسیبپذیری انجام دهند تا نقاط ضعف احتمالی شناسایی و اصلاح گردد.
در نهایت، باید تأکید کرد: رعایت این الزامات، تنها یک انتخاب فنی نیست؛ بلکه بهمنزله رعایت تکالیف قانونی و مسئولیت حرفهای سازمانها در قبال دادههای عمومی است.
چنانچه سازمانی این اقدامات را انجام دهد و مستندات آن را نگهداری کند، در صورت وقوع حادثه، میتواند در مراجع قضایی به عنوان دلیل بر عدم تقصیر و رعایت موازین ایمنی از آن بهره گیرد.
در واقع، امنیت دادهها امروز نه فقط نشانه بلوغ فنی، بلکه معیار اعتبار حقوقی و اخلاقی هر سازمان در قبال شهروندان است
دریای اندیشه: خانم نکیسا ادیبی، برخی مدیران معتقدند حفظ امنیت داده و اطلاعات سازمانی مستلزم هزینههای بسیار بالاست و در توان مجموعههای کوچکتر نیست. آیا واقعاً تأمین امنیت اطلاعات، الزاماً پرهزینه است؟
نکیسا ادیبی – کارشناس ارشد فناوری اطلاعات و متخصص امنیت فضای مجازی: این باور که امنیت داده صرفاً در گرو هزینههای سنگین سختافزاری و نرمافزاری است، یک تصور نادرست اما رایج است.
در واقع، امنیت داده بیش از آنکه یک پروژه هزینهبر باشد، یک فرآیند مدیریتی و فرهنگی است.
بخش عمدهای از آسیبپذیریهای امنیتی ناشی از بیتوجهی به اصول اولیه و کمهزینهای است که اجرای آنها، نیاز به بودجههای کلان ندارد.
به عنوان نمونه:
1.مدیریت صحیح رمزها و حسابهای کاربری
بسیاری از رخدادهای افشای اطلاعات بهدلیل استفاده از رمزهای تکراری یا اشتراک حسابهای کاربری میان چند نفر رخ میدهد.
استفاده از رمزهای قوی، تغییر دورهای آنها و فعالسازی احراز هویت دومرحلهای (2FA) تقریباً بدون هزینه است اما سطح امنیت را چندین برابر میکند.
2.بهروزرسانی منظم نرمافزارها و سامانهها
حملات سایبری اغلب از طریق آسیبپذیریهای قدیمی در نسخههای منسوخ نرمافزارها صورت میگیرد.
اعمال وصلههای امنیتی (Security Patches) یک اقدام رایگان اما حیاتی است.
3.آموزش کاربران و کارکنان
تجربه جهانی نشان میدهد بیش از ۷۰ درصد رخدادهای امنیتی، منشأ انسانی دارند.
آموزش کارکنان درباره فیشینگ، مهندسی اجتماعی و نحوه برخورد با ایمیلهای مشکوک، مؤثرترین و کمهزینهترین اقدام امنیتی است.
4.تدوین دستورالعملها و آییننامههای داخلی امنیت اطلاعات
سازمانها باید خطمشی مشخصی درباره نگهداری دادهها، سطح دسترسی و فرآیند پاسخ به رخدادهای امنیتی داشته باشند.
این اقدام بیشتر نیازمند انضباط سازمانی و مدیریت داخلی است تا هزینه مالی.
البته در مراحل پیشرفتهتر، اجرای پروژههای امنیتی تخصصی مانند تست نفوذ، رمزنگاری گسترده یا راهاندازی SOC نیازمند سرمایهگذاری است؛اما چنانچه سازمانها از ابتدا، اصول پایه را رعایت کنند، نهتنها هزینه نهایی آن پروژهها کاهش مییابد بلکه فرهنگ امنیت در سازمان نهادینه میشود.
در واقع، امنیت داده یک «هزینه» نیست، بلکه نوعی «سرمایهگذاری پیشگیرانه» است؛زیرا هزینه مقابله با یک نشت اطلاعات، از دست رفتن اعتبار سازمان و تبعات حقوقی و کیفری آن، چندین برابر بیشتر از هزینه پیشگیری است.
به زبان سادهتر:سازمانهایی که امنیت را از ابتدا در ساختار خود پیشبینی میکنند، در آینده کمتر ناچار به پاسخگویی در برابر افکار عمومی، رسانهها و مراجع قضایی خواهند بود
دریای اندیشه: با توجه به ضرورت شفافیت اطلاعات در سازمانها از یکسو، و الزام به حفظ امنیت دادهها از سوی دیگر، چگونه میتوان میان این دو ارزش مهم توازن برقرار کرد؟
نکیسا ادیبی – کارشناس ارشد فناوری اطلاعات و امنیت فضای مجازی: از دیدگاه فنی، شفافیت و امنیت در تعارض نیستند؛ بلکه دو بخش از یک نظام سالم اطلاعاتیاند.
شفافیت به معنای دسترسی آزاد و کنترلشده است، نه افشای بیضابطه.
در دنیای امروز، با ابزارهای فنی نظیر سطوح دسترسی (Access Levels)، ناشناسسازی دادهها (Data Anonymization) و ثبت رویدادهای دسترسی (Audit Trails) میتوان دادهها را در عین شفاف بودن، ایمن نگه داشت.
به عنوان مثال، سامانههای آماری یا اقتصادی میتوانند دادههای تجمیعی را منتشر کنند، بدون آنکه اطلاعات هویتی اشخاص در دسترس قرار گیرد.
این همان چیزی است که در استانداردهای جهانی تحت عنوان «Privacy by Design» شناخته میشود؛ یعنی طراحی سیستمها بهگونهای که از ابتدا حریم خصوصی در ساختار آن لحاظ شود.
در نهایت، شفافیت واقعی بدون امنیت پایدار ممکن نیست.
سازمانهایی که امنیت داده را جدی میگیرند، در انتشار اطلاعات نیز قابل اعتمادترند.
بنابراین، شفافیت و امنیت نه رقیب، بلکه مکمل یکدیگرند؛ دو ضلع از یک مثلث که ضلع سوم آن، «اعتماد عمومی» است وی در آخر مطرح کرد:مصونسازی دادهها و حفظ اعتماد عمومی، نیازمند همکاری همزمان دو حوزه است — حقوق و فناوری.
هرقدر قوانین شفافتر و سازوکارهای فنی دقیقتر باشند، افشای اطلاعات کمتر، پاسخگویی بیشتر و امنیت پایدارتر خواهد بود
