اقداماتی جهت پیشگیری از نشت داده سازمانها
عدم اتصال مستقیم پایگاههای داده به صورت مستقیم به شبکه اینترنت، دقت در راهاندازی پایگاههای داده و خودداری از نگهداری هرگونه نسخه پشتیبان از سیستمها روی سرور وب از مواردی است که مرکز ماهر به عنوان اقدامات پایهای جهت پیشگیری از نشت اطلاعات سازمانها و کسب وکارها به آنها اشاره کرده است. به گزارش ایسنا، لو رفتن اطلاعات شخصی مربوطبه کاربران تلگرامی به دلیل استفاده از نسخههای غیررسمی این اپلیکیشن و استفادهکنندگان از فروشگاههای آنلاین داخلی و حتی اطلاعات ثبت احوالی ایرانیان در روزهای ابتدایی فروردین ماه سال جاری، به یکی از مهمترین و پرجنجالترین اخبار تبدیل شد. در این راستا مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای) دستورالعملی با محوریت اقدامات پایهای جهت پیشگیری از نشت اطلاعات سازمانها و کسبوکارها منتشر کرد که در آن آمده است: طی هفتههای اخیر، موارد متعددی از نشت اطلاعات مختلف از پایگاههای داده شرکتها و سازمانهای دولتی و خصوصی در فضای مجازی منتشر شد. این موارد در کنار سایر نمونههایی که بهطور خصوصی و مسوولانه به این مرکز گزارش میشوند یا در رصدهای مداوم کارشناسان مرکز ماهر شناسایی میشوند، عمدتا متاثر از فهرست مشترکی از خطاها و ضعفهای امنیتی در پیادهسازی و تنظیمات است. این ضعفها باعث میشوند در برخی موارد دسترسی به دادههای سازمانها و کسبوکارها حتی نیاز به دانش پایهای هک و نفوذ نداشته باشد و با یکسری بررسیها و جستوجوهای ساده دادهها افشا میشوند. لذا بهمنظور پیشگیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانهها اکیدا توصیه میشود اقداماتی صورت پذیرد: عدم اتصال مستقیم پایگاههای داده به صورت مستقیم به شبکه اینترنت. تا حد امکان لازم است دسترسی مستقیم به پایگاههای داده از طریق اینترنت برقرار نگردد. یکی از مواردی که باعث این اشتباه بزرگ میشود روال پشتیبانی شرکتهای ارایهدهنده راهکارهای نرمافزاری کاربردی است که برای انجام پشتیبانی 24*7، مشتریان خود را الزام به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانکهای اطلاعاتی میکنند. در صورت اجبار شرکتها و سازمانها به این مساله، این دسترسی حتما باید روی یک بستر امن و با استفاده از VPN ایجاد شود. دقت در راهاندازی پایگاههای داده به ویژه انواع پایگاههای داده NoSQL و اطمینان از عدم وجود دسترسی حفاظتنشده. بسیاری از موارد نشت اطلاعات مربوط به پایگاههای دادهای است که بهطور موقت و جهت انجام فعالیتهای موردی و کوتاهمدت راهاندازی شده است.