سامانه‌های دولتی متعدد ریسک امنیت داده‌های شهروندان را افزایش داد

بهناز ملکی تحریریه

۲ آذر ۱۴۰۴

زمان مطالعه : ۶ دقیقه

تعدد سامانه‌های اداری موازی با کارکردهای مشابه باعث ثبت داده‌ها در تعداد زیادی پایگاه داده مختلف شده است. مسئله‌ای که حمله سایبری را برای مهاجمان به امری آسان‌تر تبدیل می‌کند. البته کارشناسان امنیت سایبری می‌گویند مهم‌تر از مسئله تعدد سامانه‌ها موضوع چگونگی اشتراک‌گذاری داده‌ها و تعدد پایگاه‌های داده، که اتفاقاً داده‌های کثیف دارند، از اهمیت بیشتری برخوردار است.

به گزارش پیوست، درهم‌تنیدگی سامانه‌های اداری برای دریافت خدمات از دستگاه‌های مختلف دولتی چالشی بزرگ برای شهروندان است. در کنار دردسرهایی که تعدد سامانه‌ها به‌صورت مستقیم برای کاربران به وجود می‌آورد، این موضوع مدیریت داده‌ها را نیز دچار چالش می‌کند چرا که افراد مشخصات خود را در سامانه‌های متعدد ثبت می‌کنند و همین موضوع باعث ایجاد داده‌های تکراری و موازی در دستگاه‌های مختلف می‌شود؛ موضوع اخیر تهدید نشت داده و امکان حمله سایبری را افزایش می‌دهد.

تعارض منافع بین دستگاه‌ها مانع کاهش تعداد سامانه‌ها است

سازمان فناوری اطلاعات اکنون یکی از منتقدان اصلی تعدد سامانه‌ها است در حالی که این نهاد متولی توسعه دولت الکترونیکی بوده است.
علی اصغر صفائی دستیار سازمان فناوری اطلاعات ایران درباره لزوم ابتدایی توسعه سامانه‌ها می‌گوید: «شکل‌گیری سامانه‌ها ناظر بر قوانین حاکم بر کشور و لزوم توسعه دولت الکترونیکی انجام شد؛ در این راستا هر کدام از دستگاه‌های اداری کشور تصمیم گرفتند با توجه به ماموریت خود برای سیستم اداری خود یک سامانه طراحی کنند؛ طراحی این سامانه‌ها در برخی موارد باعث دخالت در ماموریت دستگاه‌های دیگر شد.»

علی‌اصغر صفائی، دستیار سازمان فناوری اطلاعات

او ادامه می‌دهد که اکنون برای احراز آدرس پستی و نشانی چند سامانه در کشور وجود دارد. شورای اجرایی فناوری اطلاعات باید بر این موارد رسیدگی اما دستگاه‌ها نیز برای این رسیدگی‌ها مقاومت می‌کنند زیرا در میان دستکاه‌ها تعارض منافع برای ادامه کار سامانه‌ها وجود دارد.

او در ادامه تاکید می‌کند که سازمان فناوری اطلاعات صرفاً بر فرایندهای فنی سامانه‌ها نظارت داشته است و بر جنبه‌های اداری و قانونی و اجرایی نظارتی ندارد.
صفائی در ادامه پنجره واحد خدمات دولت را تلاشی برای توسعه نگاه واحد در ارائه خدمات اداری توصیف می‌کند اما می‌گوید: این پروژه نیز در نهایت در یکپارچه‌سازی خدمات ناکام بوده است زیرا کاربر باید باز هم در بین سامانه‌های متعدد مشابه به دنبال سامانه درست بگردد.

علی‌اصغر صفائی یکی از مشکلات بزرگ تعدد سامانه‌ها را چالش در حکمرانی داده و امنیت داده‌ها عنوان می‌کند: «حکمرانی داده به این معنی است که دستگاه‌ها ملزم به نگهداری چه داده‌هایی هستند و کدام داده‌ها را می‌توانند با دیگر دستگاه‌ها به اشتراک بگذارند. این موضوع در کشور به درستی اتفاق نمی‌افتد.»

به گفته او اما در طرح زیست‌بوم دیجیتال که داده‌های خام به صورت مستقیم در بین دستگاه‌ها جابه‌جا نمی‌شود و خطرات امنیتی و ناهمگونی داده‌ها کمتر می‌شود.

داده‌های تکراری ثبت شده در نقاط مختلف مساوی با افزایش خطر نشت اطلاعات است

پویا پوراعظم کارشناس امنیت سایبری می‌گوید: هر طرح تازه در سیستم‌های اداری ابتدا باید در محیط‌های سندباکس و برای مدت طولانی تحت آزمایش قرار بگیرد تا امنیت آن به صورت همه‌جانبه بررسی شود.

او همچنین تاکید می‌کند: تعدد سامانه‌ها به خودی خود باعث نشت اطلاعات یا افزایش خطر حملات سایبری نیست. او در اینباره توضیح می‌دهد: «تعدد سامانه‌ها باعث می‌شود نقاط یا همان پایگاه‌های داده که اطلاعات کاربران را ثبت می‌کنند افزایش یابد. به عبارتی وقتی کاربر مجبور است برای استفاده از خدمات یک سامانه دولتی اطلاعات حوزه خاصی را به صورت مکرر از ابتدا ثبت کند اطلاعات شخصی و هویتی به دفعات ثبت می‌شوند که این موضوع خطر حمله سایبری را افزایش می‌دهد به عبارتی سطح احتمال سو استفاده از این اطلاعات افزایش پیدا می‌کند.»

پویا پوراعظم، متخصص و مشاور امنیت فناوری اطلاعات

پوراعظم در ادامه درباره اهمیت امنیت در اشتراک‌گذاری بین دستگاهی داده‌ها می‌گوید: «اما بیش از این که بحث نگهداری دادها اهمیت داشته باشد بحث اشتراک گذاری داده‌ها اهمیت دارد. برای مثال تصور کنید اطلاعات فرد در یک اپراتور تلفن همراه وجود دارد ممکن است این اپراتور اطلاعات هویتی کاربر خود ر ا در اختیار سازمان‌های دیگر قرار دهد که البته ممکن است آن سازمان‌ها مجوزهای لازم را برای دریافت اطلاعات داشته باشند و اپراتور هم برای ارائه داده‌ها الزام داشته باشد؛ اما دقیقاً همین جاست که معمولاً تهدیدات امنیتی خطرناک می‌شوند زیرا ممکن است اشتراک‌گذاری امن صورت نگیرد یا اینکه ممکن است سازمان دوم الزامات امنیتی را به‌درستی رعایت نکرده باشد.»

به گفته پوراعظم زمانی امنیت داده کاربران تامین می‌شود که سازمان‌ها از نظر امنیت ممیزی شوند.

او در ادامه توضیح می‌دهد که قانون ممیزی امنیت دستگاه‌ها در اروپا ذیل قانون GDPR انجام می‌شود و مشابه این قانون تحت عنوان «قانون حفاظت و صیانت از داده‌های شخصی» در ایران نیز وجود دارد که البته به دلیل چالش‌هایی هنوز به تصویب نرسیده است.

طعمه‌های آسان مهاجمان سایبری

اما امنیت داده کاربران بیشتر در کدام دستگاه‌ها در خطر است؟ فرشید فرح‌خواه متخصص دفاع در امنیت سایبری می‌گوید: پیش از هر چیز مهاجمان به دنبال یک پایگاه داده ضعیف می‌گردند که البته با وجود تعدد پایگاه‌های داده در کشور یافتن یک پایگاه ضعیف برای مهاجمان چندان سخت نیست.

به عقیده او حوزه هویت و احراز هویت یکی از این حوزه‌های جذاب هستند؛ زیرا تعدد سامانه‌های هویتی مانند ثبت‌احوال، سامانه‌های احراز هویت بانکی و پورتال‌های استانی و سازمانی) باعث شده یک کوچک در یک نقطه به امکان جعل یا دسترسی غیرمجاز به داده‌های هویتی منجر شود.

او در ادامه می‌گوید: «حوزه رفاه و خدمات مردمی دومین حوزه جذاب است. سامانه‌های تأمین اجتماعی، بیمه و پشتیبانی معیشتی به‌طور پراکنده توسط نهادهای مختلف اداره می‌شوند؛ همین پراکندگی باعث ناسازگاری داده‌ها و آسیب‌پذیری‌های زنجیره‌ای است و نفوذ یا نشت در یک سامانه می‌تواند به افشای اطلاعات شمار زیادی از افراد منتهی شود و فرایندهای پرداخت یا تخصیص یارانه را مختل کند.»

فرح‌خواه سومین حوزه پرطرفدار در میان مهاجمان هکری را حوزه مالی و عملیاتی می‌داند: «شواهد علنی نشان می‌دهد بخش مالی بیش از سایر بخش‌ها از حملات سایبری ضربه خورده است. زیرا حملات سال ۲۰۲۴ و ۲۰۲۵ عملاً خدمات بانکی و رمزارزی مردم را هدف قرار دادند.»

او در آخر اشاره می‌کند که حوزه‌های هویت و رفاه نیز از منظر ریسک ساختاری بسیار آسیب‌پذیرند اما گزارش‌های عمومی واضح و یکپارچه درباره حملات کامل آنها کمتر منتشر شده است.

https://pvst.ir/myz

0 نظر

ارسال دیدگاه لغو پاسخ