اقداماتی جهت پیشگیری از نشت داده سازمان‌ها

۱۳۹۹/۰۲/۰۸ - ۰۰:۰۰:۰۰
کد خبر: ۱۶۶۵۴۷

عدم اتصال مستقیم پایگاه‌های داده به صورت مستقیم به شبکه اینترنت، دقت در راه‌اندازی پایگاه‌های داده‌ و خودداری از نگهداری هرگونه نسخه پشتیبان از سیستم‌ها روی سرور وب از مواردی است که مرکز ماهر به عنوان اقدامات پایه‌ای جهت پیشگیری از نشت اطلاعات سازمان‌ها و کسب وکارها به آنها اشاره کرده است. به گزارش ایسنا، لو رفتن اطلاعات شخصی مربوط‌به کاربران تلگرامی به دلیل استفاده از نسخه‌های غیررسمی این اپلیکیشن و استفاده‌کنندگان از فروشگاه‌های آنلاین داخلی و حتی اطلاعات ثبت احوالی ایرانیان در روزهای ابتدایی فروردین ماه سال جاری، به یکی از مهم‌ترین و پرجنجال‌ترین اخبار تبدیل شد. در این راستا مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) دستورالعملی با محوریت اقدامات پایه‌ای جهت پیشگیری از نشت اطلاعات سازمان‌ها و کسب‌و‌کارها منتشر کرد که در آن آمده است: طی هفته‌های اخیر، موارد متعددی از نشت اطلاعات مختلف از پایگاه‌های داده شرکت‌ها و سازمان‌های دولتی و خصوصی در فضای مجازی منتشر شد. این موارد در کنار سایر نمونه‌هایی که به‌طور خصوصی و مسوولانه به این مرکز گزارش می‌شوند یا در رصد‌های مداوم کارشناسان مرکز ماهر شناسایی می‌شوند، ‌عمدتا متاثر از فهرست مشترکی از خطاها و ضعف‌های امنیتی در پیاده‌سازی و تنظیمات است. این ضعف‌ها باعث می‌شوند در برخی موارد دسترسی به داده‌های سازمان‌ها و کسب‌‌وکارها حتی نیاز به دانش پایه‌ای هک و نفوذ نداشته باشد و با یکسری بررسی‌ها و جست‌وجوهای ساده داده‌ها افشا می‌شوند. لذا به‌‌منظور پیشگیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانه‌ها اکیدا توصیه می‌شود اقداماتی صورت پذیرد: عدم اتصال مستقیم پایگاه‌های داده به صورت مستقیم به شبکه اینترنت. تا حد امکان لازم است دسترسی مستقیم به پایگاه‌های داده از طریق اینترنت برقرار نگردد. یکی از مواردی که باعث این اشتباه بزرگ می‌شود روال پشتیبانی شرکت‌های ارایه‌دهنده راهکارهای نرم‌افزاری کاربردی است که برای انجام پشتیبانی 24*7، مشتریان خود را الزام به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانک‌های اطلاعاتی می‌کنند. در صورت اجبار شرکت‌ها و سازمان‌ها به این مساله، این دسترسی حتما باید روی یک بستر امن و با استفاده از VPN ایجاد شود. دقت در راه‌اندازی پایگاه‌های داده‌ به ویژه انواع پایگاه‌های داده‌ NoSQL و اطمینان از عدم وجود دسترسی حفاظت‌نشده. بسیاری از موارد نشت اطلاعات مربوط به پایگاه‌های داده‌ای است که به‌طور موقت و جهت انجام فعالیت‌های موردی و کوتاه‌مدت راه‌اندازی شده است.