جایگاه ضعیف ایران در حفاظت از اطلاعات کاربران

/در , , , , /توسط
مرکز پژوهش های مجلس با اعلام گزارشی از وضع بسیار ضعیف ایران در ارزیایی جهانی حفاطت از حریم خصوصی کاربران، پیشنهاد داد لایحه «صیانت از داده های شخصی» در اولویت بررسی کمیسیون صنایع قرار گیرد.
 
 نشت اطلاعات و افشای پایگاه اطلاعات هویتی کاربران بسیاری از سازمان‌ها، اپراتورها، شرکت‌های دولتی و خصوصی در فضای مجازی طی ماههای اخیر یکی از موضوعات خبرساز بود به نحوی که به دلیل نبود قوانین مشخص و راهکارهای امنیتی، بسیاری از این اطلاعات در فضای مجازی خرید و فروش می‌شوند.
 
از جمله این اتفاقات می‌توان به نشت اطلاعات شناسنامه‌ای ۸۰ میلیون کاربر ایرانی از طریق سرورهای سازمان ثبت احوال و وزارت بهداشت، افشای بانک اطلاعاتی حاوی اطلاعات شمار زیادی از کاربران ایرانی تلگرام و شماری از کاربران یکی از بازارهای ایرانی نرم‌افزارهای آیفون، افشای اطلاعات کاربران یکی از اپراتورهای موبایل و سرقت پایگاه داده سازمان امور دانشجویان وزارت علوم، پایگاه ایرانداک و برخی شرکت‌های هواپیمایی و بانک‌ها اشاره کرد.
 
کارشناسان معتقدند که به دلیل نبود نظام حاکمیت امنیت سایبری در کشور، شاهد اتفاقاتی از نوع نشت اطلاعات و سرقت داده‌ها هستیم.
 
در این خصوص مرکز ماهر در گزارشی که پیش از این منتشر کرد، اعلام کرده بود که نشت اطلاعات عمدتاً متأثر از فهرست مشترکی از خطاها و ضعف‌های امنیتی در پیاده‌سازی و تنظیمات از سوی سازمان‌ها و متولیان پایگاه‌های داده است و این ضعف‌ها باعث می‌شوند در برخی موارد دسترسی به داده‌های سازمان‌ها و کسب و کارها حتی نیاز به دانش پایه‌ای هک و نفوذ نداشته باشد و با یکسری بررسی‌ها و جستجوهای ساده، داده‌ها افشا می‌شوند.
 
هفته گذشته نیز سردار باقری معاون فناوری اطلاعات سازمان پدافند غیرعامل در مراسم صدور گواهی امنیتی محصولات بومی حوزه فناوری اطلاعات با انتقاد از وضعیت فعلی کشور در حوزه امنیت سایبری گفت: با وجود اینکه تفکیک کار در حوزه امنیت سایبری در سازمان فناوری اطلاعات، مرکز افتای ریاست جمهوری و پدافند سایبری صورت گرفته اما وضعیت امنیت در دستگاه‌ها و نهادهای حاکمیتی مناسب نیست.
 
به گفته وی، اگر شبکه ملی اطلاعات به معنای کامل راه بیافتد و شاهد داشتن سیستم عامل بومی، مرورگر بومی و جستجوگر بومی و مواردی از این دست باشیم، آسیب پذیری سایبری حتماً کمتر خواهد شد.
 
جایگاه بسیار ضعیف ایران در حفاظت از حریم خصوصی کاربران
 
معاونت پژوهش‌های زیربنایی و امور تولیدی دفتر مطالعات انرژی، صنعت و معدن مرکز پژوهش‌های مجلس در گزارشی با بررسی وضعیت ایران در ارزیابی جهانی حفاظت از حریم خصوصی کاربران، بر لزوم تصویب «لایحه حفاظت و صیانت از داده‌های شخصی» در مجلس یازدهم تاکید کرده است.
 
 
در این جدول وضعیت ایران و سایر کشورهای جهان در زمینه حفظ حریم خصوصی کاربران در فضای مجازی آمده است و همانطور که مشاهده می‌شود طبق آمار موجود، وضعیت کشورمان نیز در حفاظت از حریم خصوصی کاربران در فضای مجازی بسیار ضعیف ارزیابی شده است.
 
چالش نشت اطلاعات شخصی کاربران در شبکه‌های اجتماعی
 
استانداردهای صیانت از داده روزبه روز درحال افزایش هستند و همه روزه شرکتها با این چالش روبه رو هستند که آیا عملیات‌های پردازش داده و نگهداری از داده ای که انجام می‌دهند و یا هرگونه فعالیتی که با داده‌های داخلی و خارجی خود انجام می‌دهند، منع قانونی دارد و یا خیر.
 
از آنجایی که داده ماهیتاً مرز نمی‌شناسد و نقش کلیدی در اقتصاد دیجیتال بازی می‌کند، در دهه‌های گذشته از داده به عنوان یک دارایی با ارزش یاد شده و حتی از آن به عنوان پول آینده یاد می‌شود. با این وجود از آنجایی که پیشرفت فناوری اطلاعات و ارتباطات پردازش و تبادل داده را به شدت آسان کرده است، پردازش داده‌های شخصی در حوزه‌های مختلف اقتصادی و اجتماعی به راحتی صورت می‌گیرد.
 
این درحالی است که حوادث بسیار زیادی در سراسر دنیا در زمینه نشت اطلاعات شخصی به وجود آمده که تبعات سیاسی و کسب و کاری فراوان داشته است.
 
از بزرگترین موارد این نشت اطلاعات مربوط به مورد فساد اطلاعاتی مشترک میان فیس بوک و شرکت کمبریج آنالیتیکا است که طبق گزارش گاردین، در این پرونده، شرکت کمبریج آنالیتیکا که یک شرکت تحلیل اطلاعاتی است، از میلیونها اطلاعات پروفایل‌های شخصی موجود در فیسبوک جهت تبلیغات سیاسی ریاست جمهوری آمریکا استفاده کرده است.
 
این موارد نشت اطلاعات شخصی در داخل کشور هم وجود داشته است. یکی از بزرگترین این موارد نشت اطلاعات اپراتورهای موبایل کشور بود که توسط یک ربات تلگرامی انجام شد و یا یکی از شرکتهای تاکسیرانی اینترنتی نشت اطلاعات رانندگان خود را تجربه کرد.
 
موضوع دیگری که به عنوان یک چالش در صیانت از داده‌های شخصی کاربران در اینترنت مطرح است، فعالیت شبکه‌های مجازی خارجی در ایران از جمله تلگرام، واتساپ، لاین، فیسبوک، توئیتر و.. و عضویت اغلب شهروندان ایرانی در آنها است.
 
طبق آخرین برآوردها، در ایران حدود ۴۶ میلیون کاربر فضای مجازی وجود دارد که بیش از ۴۵ میلیون نفر از آنها تنها در شبکه تلگرام فعال هستند. این آمار در سال ۹۴ تنها ۲۳ میلیون نفر بود.
 
با این وجود مرکز پژوهش‌های مجلس در این گزارش با توجه به نکات فوق و در اجرای دو اصلی که در زیر می‌آید، تصویب قانون صیانت و حفاظت از داده‌های شخصی را ضروری عنوان کرده است:
 
الف) اصول مختلف فصل سوم قانون اساسی جمهوری اسلامی ایران راجع به حقوق ملت به ویژه اصول نوزدهم، بیستم، بیست ودوم، بیست وسوم، بیست وپنجم، بیست وششم، سی وهشتم و سی ونهم؛
 
ب) سیاستهای کلی نظام، ابلاغی مقام معظم رهبری درباره شبکه‌های اطلاع رسانی رایانه‌ای به ویژه بندهای یک و ۷، نظام اداری به ویژه بند ۲۳، پدافند غیرعامل به ویژه بند ۱۱؛ امنیت فضای تولید و تبادل اطلاعات به ویژه بند یک و برنامه ششم توسعه به ویژه بندهای ۳۶، ۳-۵۵؛
 
وضعیت موجود ایران در حفظ حریم خصوصی کاربران
 
در تمامی کشورهای پیشرفته دنیا، شبکه‌های مجازی ملزم به تبعیت از قوانین فضای مجازی آن کشورها برای صیانت از حریم خصوصی کاربران هستند و در صورت نقض آنها با جریمه‌های سنگینی مواجه می‌شوند. برای مثال در سال ۲۰۱۳ فیسبوک در آمریکا به دلیل نقض حریم خصوصی کاربران و افشای نام و تصویر کاربرانی که تبلیغات Sponsored Stories را کلیک کرده بودند به پرداخت غرامت ۲۰ میلیون دلاری محکوم شد.
 
همچنین شبکه‌های اجتماعی گوگل و فیسبوک به موجب قانونی جدید در انگلیس، در صورت زیر پا گذاشتن حریم خصوصی کاربران ممکن است میلیاردها پوند جریمه نقدی شوند.
 
بنابراین در کشورهای پیشرفته برای صیانت از حریم خصوصی شهروندان در فضای مجازی، شبکه‌های اجتماعی ملزم به پیروی از قوانین آنها هستند؛ اما در ایران مشخص نبودن مصادیق گردآوری، استفاده، نگهداری، افشا و مسئولیت‌های متولیان داده‌های شخصی از جمله شبکه‌های اجتماعی داخلی و خارجی، حفاظت از حریم خصوصی کاربران در فضای مجازی را با سوالات جدی مواجه ساخته است.
 
با این حال چطور می‌توان انتظار داشت که حریم خصوصی کاربران فضای مجازی در ایران حفظ شود، درحالی که برای بسیاری از مصادیق نقض حریم خصوصی در فضای مجازی هنوز قانونی مصوب نشده است؟
 
ایران برای ملحق شدن به استاندارد جهانی آماده شود
 
در دنیا نیز اقداماتی در این زمینه انجام شده است. اتحادیه اروپا بعد از جریان کمبریج آنالیتیکا، قانون صیانت از اطلاعات شخصی به نام GDPR را به تصویب رساند.
 
این قانون از ۲۵ ماه می سال ۲۰۱۸ اجرایی شده است. بنابراین قانون، شرکتهای زیادی در داخل اتحادیه اروپا و حتی خارج از آن تحت تأثیر قرار می‌گیرند.
 
به عبارت دیگر، با اینکه GDPR یک قانون مصوبه در داخل اتحادیه اروپا است اما به دلیل محدوده تعریف شده در قانون آن، شامل تمامی کشورها و شرکتهایی که با اتحادیه اروپا مراوده و تراکنش دارند می‌شود.
 
همچنین شرکتهای زیادی در آمریکا و آسیا اعلام کرده اند که به این قانون پایبند خواهند بود. بنابراین پیش بینی می‌شود که این قانون تبدیل به یک استاندارد سطح جهانی برای حفاظت از اطلاعات شخصی شود.
 
با این اوصاف، کشور ایران نیز باید آمادگی ملحق شدن به این موج جهانی را داشته باشد و لوایح و قوانین مصوبه در زمینه حفاظت اطلاعات شخصی را بر مبنای قانون GDPR اصلاح و ویرایش کند.
 
همچنین، یکی از مسائل اصلی موجود در این زمینه تطبیق شرکتهای ایرانی با این قانون است. به این معنا که شرکت‌ها چه فعالیت‌ها و زیرساختهایی را باید جهت تطبیق با GDPR آماده داشته باشند و چه اقداماتی را باید انجام بدهند.
 
این درحالی است که به دنبال اتفاقاتی که در شرکتهای ایرانی در حوزه نشت اطلاعات رخ داد، اخیراً لایحه‌ای در دولت تحت عنوان «لایحه صیانت از داده شخصی» مطرح شده است که سعی دارد از نشت اطلاعات شخصی جلوگیری کند.
 
این لایحه مراحل آخر بررسی در دولت را طی می‌کند و انتظار می‌رود با توجه به اهمیت موضوع، در مجلس یازدهم و در کمیسیون صنایع در اولویت بررسی قرار گیرد.
 
به گزارش مهر، وزارت ارتباطات لایحه مربوط به صیانت از اطلاعات (GDPR) را به دولت ارائه کرده و امیدوار است که با تصویب این لایحه، بسیاری از مشکلات افشای اطلاعات در فضای مجازی حل شود.
 
در این خصوص امیرناظمی معاون وزیر ارتباطات نیز گفته است: این لایحه قبل از طرح در هیئت دولت برای بررسی کارشناسی در زمینه جرم انگاری به قوه قضائیه ارسال شده و هم اکنون به دولت بازگشته است. این لایحه در کمیسیون‌های تخصصی و فرعی دولت نیز مورد بررسی قرار گرفته و هم اکنون در انتظار ورود به هیئت وزیران برای تصویب نهایی است.

وب‌سایت‌های وردپرس هدف حمله هستند

/در , , , /توسط
۱.۳میلیون وب‌سایت وردپرس توسط یک کمپین مورد حمله قرار گرفته‌اند. مهاجمان سعی دارند با دانلود کردن یک فایل پیکربندی، نام کاربری و گذرواژه وب‌سایت‌ها را سرقت کنند.
 
به نقل از مرکز ماهر، از ۲۹ تا ۳۱ ماه می سال جاری، دیوار آتش وردفنس ۱۳۰ میلیون حمله روی وب‌سایت‌های وردپرس را شناسایی و مسدود کرده است. این حملات ۱.۳ میلیون وب‌سایت را هدف گرفته اند. گفته شده است که کاربران نسخه پرمیوم و نسخه رایگان فایروال وردفنس (wordfence) در برابر این حمله مصون هستند.
 
وردپرس نرم‌افزاری تحت وب است که از آن برای ساختن سرویس وبلاگ دهی و وبسایت استفاده می شود.
 
در این مدت حملات دیگری نیز روی ‫آسیب‌پذیری‌های افزونه‌ها و تم‌های وردپرس صورت گرفته و حملات این کمپین ۷۵ درصد کل چنین حملاتی را تشکیل می‌دادند. مهاجمانی که این کمپین را اداره می‌کنند، در اواخر ماه آوریل نیز در کمپین دیگری به دنبال سوءاستفاده از آسیب‌پذیری‌های XSS وردپرس بودند.
 
در کمپین قبلی، از ۲۰ هزار IP مختلف برای حمله استفاده می‌شد و در کمپین جدید نیز اکثر حملات با استفاده از همین IPها صورت گرفته‌اند. در حملات اخیر، یک میلیون وب‌سایت جدید نیز مورد هجوم واقع شده‌اند که جزء اهداف کمپین قبلی نبوده‌اند.
 
در هر دو کمپین، تقریباً تمام حملات، از آسیب‌پذیری‌های قدیمی استفاده می‌کردند که در افزونه‌ها یا تم‌های به‌روز نشده وردپرس وجود دارند. این آسیب‌پذیری‌ها امکان export یا دانلود کردن فایل‌ها را فراهم می‌کنند.
 
در کمپین جدید مهاجمان قصد دانلود فایل wp-config.php را داشتند. این فایل حاوی گذرواژه و اطلاعات اتصال به پایگاه داده است و همچنین شامل کلیدهای یکتا و saltهای احراز هویت است. اگر مهاجمی به این فایل دسترسی پیدا کند می‌تواند به پایگاه داده وب‌سایت که شامل محتویات وب‌سایت و مشخصات کاربران آن است، دست یابد.
 
به نظر می‌رسد مهاجمان به طور سیستماتیک کدهای بهره‌برداری را از وب‌سایت exploit-db.com و سایر منابع استخراج و آنها را روی لیستی از وب‌سایت‌ها اجرا می‌کنند. در حال حاضر مهاجمان مشغول استفاده از صدها آسیب‌پذیری هستند، اما آسیب‌پذیری‌های CVE-۲۰۱۴-۹۷۳۴، CVE-۲۰۱۵-۹۴۰۶، CVE-۲۰۱۵-۵۴۶۸ و CVE-۲۰۱۹-۹۶۱۸ جزء موارد با بیشترین استفاده بوده‌اند.
 
مرکز ماهر تاکید کرد: اگر وب‌سایت شما مورد حمله واقع شده باشد، می‌توانید اثرات آن را در فایل لاگ سرور خود مشاهده کنید.
 
در فایل لاگ به دنبال مدخل‌هایی بگردید که قسمت query آنها شامل wp-config بوده و پاسخ آنها کد ۲۰۰ است.
 
مرکز ماهر لیست ۱۰ آدرسی که بیشترین حملات از آنها صورت گرفته را منتشر کرده است.
 
این مرکز تاکید کرد: وب‌سایت‌هایی که از وردفنس استفاده می‌کنند در برابر این حملات مصون هستند. اگر از کاربران وردفنس نیستید و احتمال می‌دهید مورد حمله واقع شده باشید، گذرواژه پایگاه داده، کلیدها و saltهای احراز هویت را تغییر دهید. برای ایجاد این تغییرات ممکن است نیاز باشد تا با هاستینگ وب‌سایت خود تماس بگیرید. در ضمن برای جلوگیری از حملات، همه افزونه‌ها و تم‌های وردپرس را به‌روز نگه دارید.
 
از این رو اگر سرور شما طوری پیکربندی شده است که اجازه دسترسی از راه دور را به پایگاه داده می‌دهد، مهاجم با داشتن گذرواژه پایگاه داده می‌تواند به راحتی کاربر مدیر جدید اضافه کند، داده‌های حساس را سرقت کند یا کل وب‌سایت را پاک کند.
 
در صورتی که امکان دسترسی از راه دور به پایگاه داده فراهم نباشد نیز، ممکن است مهاجم با داشتن کلیدها و saltهای احراز هویت بتواند سایر مکانیزم‌های امنیتی را دور بزند.
 
 

بی‌اعتباری کسب‌وکارها با بی‌توجهی به امنیت داده‌ها

/در , , , /توسط
اگر سازمانی نتواند خود را با الزامات GDPR یا مقررات حفاظت از داده‌های عمومی تطبیق دهد و کارنامه قبولی نگیرد، با عواقب سنگینی مواجه خواهد شد که صرفاً محدود به مجازات‌های مالی نشده و می‌تواند اساس و شهرت یک بنگاه کسب‌وکار را با مخاطره جدی مواجه کند.
 
 دهه گذشته بی‌تردید تکامل گسترده جامعه شناختی جهانی است که نسل جدید و عصر ارتباطات و پردازش داده‌ها را تعریف و ایجاد کرده است. این دوران به دلیل اینکه شبکه‌های اجتماعی مختلف از جمله فیس‌بوک، اینستاگرام، توییتر و سایر برنامه‌ها و سایت‌ها در خط مقدم انتشار خبری و سازوکارهای ارتباطی بین کاربران خود قرار دارند، به‌عنوان دوران رسانه‌های اجتماعی توصیف شده است.
 
استفاده از شبکه‌های اجتماعی به‌عنوان یک روند آغاز طی این سال‌ها به یک ابزار ضروری در زندگی روزمره میلیون‌ها نفر تبدیل شده و زمینه‌ای آسان برای برقراری ارتباط، اشتراک‌گذاری و انتشار دیدگاه‌ها، اخبار و اطلاعات را فراهم می‌کند. امروزه داده‌ها به‌سرعت در حال تبدیل شدن به شاهرگ حیاتی اقتصاد جهانی هستند. در عصر کلان داده‌ها و هوش مصنوعی، داده می‌تواند هم به عنوان یک فرصت و هم به عنوان یک تهدید مطرح شود.
 
داده ارایه‌دهنده نوع جدیدی از دارایی اقتصادی است و می‌توان با مدیریت صحیح، منسجم، هدفمند، یکپارچه و به‌کارگیری یک تفکر راهبردی، آن را به یک مزیت رقابتی تبدیل کرد. عدم مدیریت مناسب داده خصوصا در مواردی  نظیر حفظ حریم خصوصی و حفاظت از داده‌های محرمانه و حساس مشتریان، می‌تواند به شهرت و اعتبار یک سازمان آسیب برساند و استمرار کسب‌وکار یک بنگاه اقتصادی را با چالش جدی مواجه کند.
 
صرف داشتن داده دلیلی بر موفقیت نیست، مهم شیوه جمع‌آوری، ذخیره‌سازی، آماده‌سازی، استخراج، عملیات، بهره‌برداری، پالایش، تولید و توزیع داده است. استفاده از این شبکه‌ها و قوانین انتقال گسترده اطلاعات شخصی در سراسر جهان مرتبط با قانون حفاظت از داده‌ها، مصوبه کمیسیون اروپا در سال ۱۹۹۵ است. این قانون به‌مدت طولانی قبل از عصر وب ۲، بدون شبکه‌های اجتماعی در نظر گرفته شده است. سپس در ماه می ۲۰۱۶، اتحادیه اروپا مقررات جدیدی را در مورد حفاظت از اطلاعات شخصی تصویب کرد.
 
با وجود پیامدهای شدید مخاطرات امنیت داده، تا همین اواخر، جریمه نقض مقررات حفاظت از داده‌ها، محدود بود و در عمل اقدامات اجرایی قابل ملاحظه‌ای انجام نمی‌شد. با افزایش جرائم اینترنتی، نیاز به امنیت آنلاین به‌طور فزاینده‌ای برای کسب‌ وکارهای مجازی افزایش می‌یابد. اطلاعات امنیتی به‌عنوان مسئول تأمین‌کننده امنیت مجازی یک شرکت، باید به‌روز باشند تا اطمینان حاصل شود که کسب‌وکار مجازی در یک فضای امن صورت می‌گیرد و اطلاعات دارای امنیت بالایی است و این نیازمند به‌روز بودن و سازگاری با مباحث امنیتی در حوزه فضای مجازی است.
 
تحول بنیادین در روش‌های حفاظت از داده مشتریان با GDPR
 
در نهایت اتحادیه اروپا با معرفی GDPR یا مقررات حفاظت از داده‌های عمومی (General Data Protection Regulation)، تنظیم و جایگزین قوانین کنونی حفاظت از داده‌های سال ۱۹۹۵، شاهد یک تحول بنیادین در روش‌های حفاظت داده مشتریان بوده و پیامد آن برای شرکت‌های ناسازگار با مقررات GDPR و ناقض داده، جرایم و مجازات‌های سنگین خواهد بود. مقررات حفاظت از اطلاعات عمومی به‌طور مستقیم در سطح ملی قابل اجراست و قوانین حفاظت از داده‌ها را در سراسر اتحادیه اروپا هماهنگ می‌کند.
 
 طبق گزارش سازمان تنظیم مقررات و ارتباطات رادیویی، مقررات حفاظت از داده‌های عمومی (GDPR) یک سند در حوزه حقوق اروپاست که برای حفاظت از داده‌ها و حریم خصوصی همگان در حوزه اتحادیه اروپایی و منطقه اقتصادی اروپا تدوین شده است. این سند همچنین به ارسال داده‌ها به خارج از اتحادیه و منطقه اقتصادی اروپا نیز می‌پردازد. این سند از تاریخ ۲۵ می ۲۰۱۸ لازم‌الاجرا بوده و هدف سند آن است که به شهروندان و افراد مقیم در حوزه اتحادیه و منطقه اقتصادی اروپا امکان کنترل بر اطلاعات شخصی‌شان اعطا کند و نظارت بر محیط کسب‌وکار بین‌المللی را تسهیل کند.
 
بر اساس این سند فرآیندهای کسب‌وکار که اطلاعات شخصی را مدیریت می‌کند باید با پیش‌فرض رعایت حریم خصوصی طراحی و از تنظیمات حریم خصوصی حداکثر استفاده شود، طوری که داده‌ها بدون رضایت صریح به‌طور عمومی در دسترس قرار نگیرند و استفاده نشوند. بر این اساس هیچ داده شخصی نمی‌تواند جز در صورت وجود یک مبنای قانونی یا رضایت صریح و صحیح موضوع داده (شخصی که داده‌های وی مورد کنترل و پردازش است) پردازش شود.
 
این موضوع در فضای تکنولوژی امروزه و به‌ویژه در زمینه بازاریابی دیجیتال، به دلیل تمرکز بیشتر روی حریم خصوصی حائز اهمیت است، ممکن است به عبارت دیگر بازاریاب‌ها برای ایجاد کمپین‌های موفق دیجیتال دسترسی کمتری به نوع داده‌های لازم داشته باشند. یک پردازنده اطلاعات شخصی باید به روشنی درباره اینکه چه اطلاعاتی را جمع‌آوری می‌کند، چگونه و چرا پردازش می‌شوند، چگونه نگهداری می‌شود و با اشخاص ثالثی به اشتراک گذارده می‌شود یا خیر توضیح دهند. همچنین کاربران حق دارند کپی اطلاعات خود را از پردازنده دریافت و در شرایط خاصی درخواست پاک شدن داده‌ها را کند.
 
یکی از ویژگی‌های برجسته GDPR نسبت به سایر مقررات موجود، گستردگی حفاظت از داده مشتریان است. لایحه GDPR شامل طیف گسترده‌ای از الزامات قانونی جدید است، از پیاده‌سازی شرایط لازم جهت جابجایی داده‌های بین‌المللی گرفته تا بررسی، به‌هنگام‌سازی و اقدامات فنی و سازمانی جهت حفاظت از داده مشتریان. الزامات قانونی فوق، به‌طور قابل توجهی بر نحوه جمع‌آوری، مدیریت، حفاظت و به اشتراک گذاشتن داده‌ها تأثیر خواهد گذاشت.
 
یکی از اهداف دیگر این است که از کسب‌وکارها برای حفظ و نگهداری داده‌ها برای مدت زمان طولانی جلوگیری شود و از آن استفاده نکنند. اساساً این سیاست تاریخ انقضای مصرف داده را تعیین می‌کند. در راستای اجرای این سند، ادارات و شرکت‌های خصوصی که فعالیت آنها حول محور پردازش منظم یا سیستماتیک اطلاعات شخصی قرار دارند، ملزم به استخدام افسر حفاظت از داده (DPO) هستند که موظف به انطباق فعالیت‌ها با سند GDPR است و کسب‌وکارها ملزم هستند هرگونه نقض و تخلف را در صورتی که اثر نامطلوبی بر حریم خصوصی داشته باشد، ظرف ۷۲ ساعت گزارش کنند.
 
دامنه اعمال سند  GDPR
 
این مقررات در صورتی اعمال می‌شود که کنترل‌کننده داده‌ها (سازمان یا مرکزی که داده‌ها را از کاربران مقیم اروپا جمع‌آوری می‌کند) یا پردازنده (مجموعه‌ای که اطلاعات جمع‌آوری‌شده را از طرف کنترل‌کننده مانند شرکت‌های خدمات Cloud Computing پردازش می‌کند) و یا موضوع داده در محدوده اتحادیه اروپا باشد. بنابراین در شرایط خاصی، این مقررات نسبت به مجموعه‌هایی در خارج از اتحادیه اروپا نیز قابل اعمال است و آن در صورتی است که این مجموعه‌ها اطلاعات افراد مقیم در حوزه اتحادیه اروپا را مورد پردازش قرار دهند.
 
براساس تعریف کمیسیون اروپا از داده‌های شخصی، داده شخصی هرگونه اطلاعات مربوط به یک فرد است، اعم از اینکه در رابطه با زندگی خصوصی، حرفه‌ای و یا عمومی وی باشد. بنابراین، این اطلاعات می‌تواند شامل هر داده‌ای اعم از آدرس منزل، ایمیل، جزییات حساب بانکی، اطلاعات پستی، شبکه‌های اجتماعی، پزشکی و حتی یک آدرس IP رایانه باشد. فعالیت‌های پردازش شامل جمع‌آوری، استفاده و افشای اطلاعات است که مقررات حفاظت از اطلاعات عمومی حفاظت بیشتری برای پردازش دسته‌های خاص اطلاعات شخصی فراهم می‌کند. کشورهای عضو ممکن است شرایط بیشتری شامل محدودیت‌های مربوط به پردازش داده‌های ژنتیکی و بیومتریک یا اطلاعات مربوط به سلامتی را ارائه دهند.
 
مقررات جدید حفاظت از داده‌ها در رابطه با تمامی داده‌هایی که امکان شناسایی مستقیم و یا غیرمستقیم یک فرد را توسط هر کسی فراهم می‌کند، اعمال می‌شود. در نتیجه، شناسه‌های کوکی، شناسه‌های آنلاین، شناسه‌های دستگاه و آدرس‌های IP به‌عنوان داده شخصی تحت طبقه‌بندی GDPR تلقی می‌شوند. مدیریت صحیح داده در سراسر چرخه حیات یکی از الزامات اولیه و مهم حفاظت داده است. این مقررات بر فعالیت‌های مربوط به پردازش داده‌های شخصی برای اهداف امنیت ملی یا اجرای قوانین اتحادیه اروپا، اعمال نمی‌شود.
 
با وجود این، گروه‌های صنعتی که نگران مواجه شدن با اختلافات احتمالی در قانون هستند، این سوال را مطرح کرده‌اند که آیا ماده ۴۸ از سند مصوب GDPR می‌تواند مانع کنترل‌کننده داده‌ها برای ارایه داده‌های یک مقیم اتحادیه اروپا به مقامات انتظامی، قضایی یا امنیتی یک کشور ثالث، فارغ از اینکه داده‌ها در داخل یا خارج اتحادیه باشد، به حساب بیاید یا خیر.
 
ماده ۴۸ بیان می‌کند که هرگونه رأی دادگاه یا محکمه و هرگونه دستور اداری کشور ثالث به کنترل‌کننده یا پردازش‌کننده‌ داده‌ها برای انتقال یا افشای داده‌های شخصی نمی‌تواند به رسمیت شناخته شود و قابل اجرا نیست؛ مگر اینکه درخواست براساس یک موافقت‌نامه بین‌المللی مانند معاهده معاضدت متقابل، بین کشور درخواست کننده (که عضو اتحادیه اروپا نیست) و اتحادیه اروپا یا یکی از کشورهای عضو اتحادیه باشد.
 
 مجموعه مقررات GDPR شامل دستورالعملی جداگانه برای حفاظت از داده‌ها برای پلیس و بخش عدالت کیفری (دادگستری) نیز هست که مقررات حاکم بر تبادل داده‌های شخصی را در سطح ملی، اروپایی و بین‌المللی نیز مشخص می‌کند. این مقررات بر تمام کشورهای عضو اتحادیه اروپا اعمال و هر کشور عضو یک نهاد نظارتی مستقل (ISA) برای استماع و بررسی شکایات، اعمال مجازات‌ برای تخلفات اداری و ایجاد می‌کند و این نهاد در هر کشور عضو با نهاد نظارتی دیگر کشورهای عضو در راستای کمک متقابل و سازماندهی اقدامات مشترک همکاری می‌کند.
 
چنانچه شرکتی در نقاط مختلف اتحادیه اروپا تشکیلات داشته باشد، نهاد ناظر بر آن، نهاد مستقر در مرکز امور مهم آن شرکت یا به عبارتی مرکز اصلی آن خواهد بود. (مرکز اصلی شرکت جایی است که شرکت در آنجا اداره می‌شود و امور اداری شرکت در آنجا متمرکز است. معمولاَ ارکان شرکت یعنی مجامع عمومی و هیات مدیره و مدیر عامل و بازرس یا بازرسان، در مرکز اصلی شرکت انجام وظیفه می‌کنند.)
 
مطابق ماده ۳ مقررات GDPR، برای مواردی که کنترل‌کننده داده‌ها و یا پردازنده‌های داده‌ای در اتحادیه اروپا ایجاد نشده‌اند، اما فعالیت‌های آن‌ها در محدوده مقررات GDPR قرار دارد، اطلاعات شخصی ممکن است در خارج از اتحادیه اروپا به کشورهای ثالث یا سازمان‌های بین‌المللی منتقل شوند که در اینصورت باید یک نماینده به‌عنوان نقطه تماس در یک کشور عضو اتحادیه اروپا تعیین کنند.
 
انتقال داده‌های شخصی به یک کشور سوم یا سازمان بین‌المللی که از تصمیمات کمیسیون اروپا مطلع نیست، می‌تواند از طریق تعدادی از ابزارهای موجود مانند مقررات حفاظت از داده‌های استاندارد، قوانین شرکت‌های اجباری و همچنین ابزارهای جدید، کدهای تاییدشده یا صدور گواهینامه ارائه شود. در مواردی که تصمیم‌گیری و حمایت مناسبی وجود نداشته باشد، انتقال داده‌های شخصی تنها در شرایط محدود می‌تواند صورت گیرد و پس از انتقال به سایر کشورهای ثالث نیز تحت این شرایط قرار می‌گیرند.
 
مبانی قانونی پردازش داده
 
داده‌ها نمی‌توانند پردازش شوند مگر اینکه حداقل یک مبنای قانونی برای آن وجود داشته باشد:
 
۱. شخص موضوع داده نسبت به پردازش آن برای یک یا چند هدف مشخص رضایت داده باشد. لایحه GDPR قوانین سختگیرانه‌ای را برای کسب رضایت داده شخصی مشتریان در نظر گرفته است. همچنین متن رضایت‌نامه باید صریح باشد و با شفافیت کامل دلایل و نوع استفاده از داده را به اطلاع کاربران برساند. رضایت کودکان باید توسط والدین یا قیم کودک اعلام شود. کنترل‌کننده داده باید بتواند رضایت را اثبات کند و چون رضایت دائمی نیست می‌تواند لغو شود.
 
با توجه به قوانین جدید، شرکت‌ها باید فرایند عدم رضایت را به همان سادگی فرایند رضایت پیاده‌سازی کنند تا در صورت لزوم بتوان با استفاده از آن، عدم رضایت خود برای پردازش داده‌های شخصی را اعلام کرد. همچنین به درخواست‌های مشتریان در خصوص لغو رضایت به یک شکل مناسب پاسخ و مراتب را در بانک‌های اطلاعاتی مربوطه ثبت تا در آینده از داده آنها استفاده نشود.
 
 ۲. پردازش داده‌ها برای اجرای یک قراردادی که شخص موضوع داده، طرف آن قرارداد است لازم باشد یا درخواست داده‌ها قدم اولیه برای ورود به قرارداد باشد.
 
۳. پردازش داده‌ها برای کنترل‌کننده جهت تطابق با تعهدات وی لازم باشد.
 
۴. پردازش برای حفاظت از منافع حیاتی شخص موضوع داده یا شخص حقیقی دیگری لازم باشد.
 
۵. پردازش برای اقدامی در جهت منافع عمومی و یا انجام وظایف حاکمیتی لازم باشد.
 
۶. پردازش برای اهداف مشروع کنترل‌کننده داده یا شخص ثالثی ضروری باشد، مگر اینکه با منافع یا حقوق و آزادی‌های اساسی شخص موضوع داده تعارض داشته باشد به خصوص اگر شخص موضوع داده کودک باشد.
 
مسئولیت‌پذیری و پاسخگویی
 
کنترل‌کننده داده برای رعایت مقررات GDPR باید اقداماتی را انجام دهد که به صورت پیش‌فرض با اصول حفاظت از داده‌ها منطبق باشد و در توسعه فرآیندهای کسب‌وکار باید اصول حریم خصوصی برای حفاظت از داده‌ها رعایت شود. انجام چنین اقداماتی در سریع‌ترین زمان ممکن باید شامل داده‌های شخصی شود. اقدامات موثر برای انطباق فعالیت‌های پردازش داده با مقررات GDPR جزو مسئولیت‌های کنترل‌کننده است حتی اگر پردازش توسط شخصی خارج از کنترل وی انجام شود.
 
هنگامی که داده‌ها جمع‌آوری می‌شود، کاربران باید به‌طور واضح در مورد میزان جمع‌آوری داده‌ها، مبنای قانونی برای پردازش داده‌های شخصی، مدتی که داده‌های شخصی نگهداری می‌شوند و اینکه آیا داده‌ها به خارج از اتحادیه اروپا یا اشخاص ثالثی منتقل می‌شود یا خیر اطلاع داشته باشند و اطلاعات افسر حفاظت از داده‌ها را به کاربران بدهند و آنها را از حقوق خود مبتنی‌بر GDPR  از جمله حق پس گرفتن رضایت پردازش اطلاعات، حق مشاهده اطلاعات شخصی و دسترسی به یک مرور کلی بر فرآیند پردازش، حق پاک کردن داده‌ها در شرایط خاص، داشتن یک نسخه کپی از داده‌هایشان، حق اعتراض و حق محدودیت مطلع کنند.
 
چگونگی تاثیر GDPR بر سازمان‌های داده محور
 
موافقت‌های قابل تأیید و مطمئن: رضایت کاربران برای پردازش و یا عدم پردازش داده‌های شخصی، یکی از مولفه‌های مهم GDPR است. لایحه  GDPR به شهروندان اتحادیه اروپا اجازه می‌دهد بر اساس موافقت، امکان پردازش داده‌های شخصی خود را در اختیار سازمان‌ها قرار دهند و قوانین سختگیرانه‌ای را برای کسب رضایت داده شخصی مشتریان در نظر گرفته است.
 
با توجه به قوانین جدید، شرکت‌ها باید فرآیند عدم رضایت را به همان سادگی فرآیند رضایت نیز پیاده‌سازی کنند تا در صورت لزوم  بتوان  با استفاده از آن، عدم رضایت خود را برای پردازش داده‌های شخصی اعلام کرد. همچنین متن رضایت‌نامه باید صریح باشد و با شفافیت کامل دلایل و نوع استفاده از داده را  به اطلاع کاربران برساند.
 
تاکید بر حفاظت داده به‌صورت پیش فرض و رعایت آن در طراحی: تا به امروز، کسب وکارها از  اقدامات فنی و سازمانی  متعددی برای حفاظت از داده‌های شخصی  استفاده می‌کردند ولی  پیاده‌سازی GDPR، شرکت‌ها  را ملزم می‌کند وضعیت و اقدامات حفاظت داده‌ها را به‌طور مستمر بررسی و به‌روز کنند.
 
ارزیابی اثرات حفاظت از داده‌ها: برای شناسایی، درک و کاهش هرگونه ریسکی که ممکن است در زمان ایجاد راه‌حل‌های جدید و یا انجام فعالیت‌های جدیدی که مستلزم پردازش داده مشتری نظیر تجزیه و تحلیل داده و تمامی برنامه‌های داده‌محور است (شامل برنامه‌های هوش کسب‌وکار، انبار داده و برنامه‌های بازاریابی) لازم است ارزیابی اثرات حفاظت از داده‌ها انجام شود. لایحه GDPR، ارزیابی اثرات حفاظت از داده‌ها را برای تمامی سازمان‌ها یک الزام اجباری در نظر گرفته است و در صورتی که نتایج ارزیابی نشان‌دهنده وجود یک تهدید و یا خطر امنیتی باشد، باید با یک مقام نظارتی حفاطت از داده مشورت شود.
 
در صورتی که یک سازمان نتواند خود را با الزامات GDPR تطبیق دهد و در ممیزی انجام‌شده کارنامه قبولی نگیرد، با عواقب سنگینی مواجه خواهد شد. عواقب فوق بر خلاف آنچه که اکثر مردم باور دارند، صرفاً محدود به مجازات‌های مالی نمی‌شود و می‌تواند اساس و شهرت یک بنگاه کسب‌وکار را با مخاطره جدی مواجه سازد. سه عامل اصلی از دست دادن اعتماد مشتریان، جرایم مالی و عدم استفاده از داده خصوصی مشتریان در هرگونه سیستم و یا برنامه، باعث شده است مقررات GDPR یکی از سخت‌گیرانه‌ترین و دقیق‌ترین قوانین حفاظت از داده‌ها باشد.
 
افشای داده‌ها و نقض قوانین حفاظت از داده
 
براساس قوانین و مقررات GDPR، کنترل‌کننده داده در صورت افشای داده‌ها، متعهد به اطلاع‌رسانی به نهاد نظارتی بدون تأخیر نامعقول (حداکثر۷۲ ساعت) است؛ مگر اینکه این افشای داده‌ها خطری برای حقوق و آزادی‌های اساسی اشخاص نداشته باشد که در این صورت الزامی به اطلاع به شخص موضوع داده‌ها ندارد.
 
اشخاصی که این تعهد را نقض کنند، مشمول مجازات‌هایی می‌شوند. این موارد عبارتند از تحریم‌هایی که می‌تواند نسبت به آنها اعمال شود، از جمله هشدار کتبی در بار اول در صورت غیرعمدی بودن؛ بازرسی‌های منظم ادواری برای حفاظت از داده‌ها؛ جریمه تا ۱۰ میلیون یورو و یا تا دو درصد از گردش مالی سالانه شرکت در سال مالی گذشته، در صورت نقض پاراگراف ۵ و ۶ ماده ۸۳ از سند GDPR؛ جریمه تا ۲۰ میلیون یورو یا تا ۴ درصد از گردش مالی سالانه شرکت در سال مالی گذشته، درصورت نقض پاراگراف ۴ ماده ۸۳ از سند GDPR؛ نقض قوانین حفاظت داده توسط یک شرکت می‌تواند از طریق درگیر شدن در پرونده‌های مدنی به اعتبار و شهرت یک سازمان صدمات جبران ناپذیری وارد کند.
 
برای پیشگیری از جرایم سنگین و مجازات شدید، کسب‌وکارها باید یک برنامه کامل، جامع و بالغ حاکمیت داده را پیرامون بازبینی کلیه قراردادهای موجود تا درخواست خرید سیستم‌های جدید مستقر کنند. همچنین باید تمامی روش‌های مدیریت داده را به‌منظور سازگاری با مقررات GDPR و کاهش خطرات مالی و اعتباری مطالعه و بررسی کنند.
 
اقدامات لازم جهت کاهش ریسک و انطباق با GDPR
 
این سوال مطرح می‌شود که چگونه می‌توان ریسک‌ها را کاهش داد و از اعتبار کسب‌وکار خود حفاظت کرد؟ با انجام اقدامات زیر می‌توان از تطابق با قوانین جدید حفاظت داده مطمئن شد:
 
تعریف داده شخصی مشتریان: داده‌های شخصی اطلاعات مربوط به یک فرد است و فراتر از نام آشکار، شماره تلفن و آدرس است و شامل اطلاعاتی مانند آدرس IP، آدرس ایمیل یا شماره تلفن، اطلاعات بانکی، عکس، شماره مربوط به حساب های مالی، اطلاعات پزشکی،   اطلاعات (مانند نام) مرتبط با پست‌های رسانه های اجتماعی می‌شود. فعالیت‌های پردازش شامل جمع‌آوری، استفاده و افشای اطلاعات است که مقررات GDPR حفاظت بیشتری برای پردازش دسته‌های خاص اطلاعات شخصی فراهم می‌کند. کشورهای عضو ممکن است شرایط بیشتری شامل محدودیت‌های مربوط به پردازش داده‌های ژنتیکی و بیومتریک یا اطلاعات مربوط به سلامتی را ارائه دهند.
 
برای مثال، تکنولوژی‌های جدیدی وجود دارد که به بازاریابان اجازه می‌دهد به‌راحتی خریداران را در زمان واقعی بر اساس آدرس MAC خود، که مشابه آدرس IP است، ردیابی کنند. خرده‌فروشان قادر به ردیابی رفتار خریدار خواهند بود که به خودی خود نقض مقررات نیست، با این حال نقض آن براساس مقرراتی است که بر رفتار نظارتی حاکم بر GDPR تمرکز می‌کنند. اساساً، نمایه‌سازی یا تجزیه و تحلیل بدون مجوز دارای مجازات است. برای این منظور، مهم است که کسب‌وکارها درک صحیحی از اطلاعات شخصی شامل شناسه‌های دیجیتال مانند آدرس‌های  IP و MAC و کوکی‌هایی که برای تجزیه و تحلیل، تبلیغات و ابزار چت استفاده می‌شود، دارا باشند.
 
مدیریت جریان داده و فرآیندها: برای انجام مدیریت جریان داده‌ها و فرایندهای مربوطه لازم است یک نقشه راه برای تعیین منابع ورود داده، ابزارهای پردازش داده، تکنیک‌ها و متدلوژی‌های استفاده‌شده و شیوه به اشتراک گذاشتن آن با سایر کسب‌وکارها را ایجاد کنند. پس از تهیه فهرستی از ورودی‌ها و خروجی‌ها، میزان تطابق آنها با مقررات جدید را بررسی و اقدامات لازم برای اطمینان از حاکمیت داده مناسب را انجام دهند.
 
تعیین یک متخصص حفاظت داده: یک متخصص ارشد افسر حفاظت داده (DPO) را که دارای دانش مناسب و اختیار لازم برای ارزیابی و کاهش خطرات عدم انطباق است، تعیین کنند. اطمینان از پاسخ سریع به درخواست‌های لغو: به درخواست‌های مشتریان در خصوص لغو رضایت به یک شکل مناسب پاسخ و مراتب را در بانک‌های اطلاعاتی مربوطه ثبت تا در بازاریابی مستقیم آتی از داده آنها استفاده نشود.
 
با معرفی قوانین و مقررات GDPR شاهد یک تحول اساسی در روش‌های حفاظت داده مشتریان خواهیم بود و پیامد آن برای شرکت‌های ناسازگار با آن قوانین و مقررات و ناقض داده، جرایم و مجازات‌های سنگین را به دنبال خواهد داشت. موفقیت در ارزیابی مطابقت قوانین و مقررات GDPR مستلزم انجام مجموعه‌ای از اقدامات و فعالیت‌های هدفمند و منسجم در حوزه‌های متعددی خصوصاً مدیریت داده‌ها است که بدون وجود یک فونداسیون قوی مدیریت داده نمی‌توان پاسخگوی الزامات قانونی GDPR باشد، زیرا حاکمیت داده با توجه به وظایف ذاتی خود می‌تواند در این مسیر بسیار موثر واقع شود.
 

برای مقابله با مسببان لو رفتن اطلاعات اراده‌ای نیست؟

/در , , , /توسط
با وجود اهمیت محافظت از داده‌های شخصی که در اختیار شرکت‌ها قرار می‌گیرد، به نظر می‌رسد اراده‌ای برای پیگیری نشت داده‌ها وجود ندارد و این موضوع هم به این منجر می‌شود که شرکت‌ها و سازمان‌ها با این نگاه که نشت داده‌ها اتفاق چندان بدی نیست، در این خصوص بی‌مبالاتی کنند.
 
 لو رفتن اطلاعات شخصی مربوط‌ به کاربران تلگرامی به دلیل استفاده از نسخه‌های غیررسمی این اپلیکیشن و استفاده‌کنندگان از فروشگاه‌های آنلاین داخلی و حتی اطلاعات ثبت احوالی ایرانیان در روزهای ابتدایی فروردین ماه سال جاری و پس از آن اخباری از نشت اطلاعات در برخی از سازمان‌ها، در ماه‌های گذشته از ابتدای سال، به یکی از مهم‌ترین و پرجنجال‌ترین اخبار تبدیل شده بود.
 
امیر ناظمی -رئیس سازمان فناوری اطلاعات - چندی پیش درباره لو رفتن اطلاعات سازمان‌ها گفته بود: هرچند قانون حفاظت از داده‌های عمومی یا همان GDPR در هزارتوی نظام بروکراسی محبوس مانده است، اما این به آن معنا نیست که قانونی برای اجبار سازمان‌ها و دستگاه‌ها به حفاظت از داده‌های شخصی وجود ندارد، بلکه به معنای آن است که همه نیازها را پاسخ نمی‌دهد. تک‌تک این مواد قانونی می‌تواند منجر به محکومیت هر فرد حقیقی و حقوقی شود که در محافظت از داده‌ها سهل‌انگاری کرده است.
 
با وجود این، شواهد نشان می‌دهد اگر پایگاه اطلاعات کسب‌وکاری فاش ‌شود، معمولا کارش به دادگاه نمی‌رسد، این شرکت‌ها هم ترجیح می‌دهند اتفاقات مشمول گذر زمان شود، درحالی که بحث حریم شخصی با دلجویی هم حل نمی‌شود، بلکه نیازمند قانون است و نشت اطلاعات باید تبعاتی داشته باشد.
 
در این راستا ابوالقاسم صادقی - معاون امنیت سازمان فناوری اطلاعات- در گفت‌وگو با ایسنا با اشاره به نقش بی‌مبالاتی و بی‌توجهی شرکت‌ها و سازمان‌ها در نشت اطلاعات داده کاربران بیان کرد: این شرکت‌ها دغدغه ندارند. حضور کارشناس امنیتی در این شرکت‌ها لازم است اما اکثر آن‌ها ندارند. کسب‌وکارهای حوزه آی‌تی، حتی شرکت‌های بزرگی که گردش‌ مالی بالایی دارند هم در این زمینه‌ها خست به خرج می‌دهند و وقتی نوبت به هزینه در حوزه امنیتی می‌شود، خرج نمی‌کنند.
 
وی با بیان این‌که این شرکت‌ها گاهی احساس می‌کنند خیلی هم اتفاق بدی نیفتاده است، گفت: اطلاعات بسیاری از شرکت‌ها و سازمان‌های بزرگ لو رفته که داده‌های حساسی هم داشتند، اما به نظر می‌رسد تصور آنها این است که اتفاق بدی نمی‌افتد و به همین دلیل هم بی‌مبالاتی می‌کنند. یک نگاه دیگر هم وجود دارد در کنار قانون و ابزارهای سلبی و ما سعی در مطرح کردن این نگاه داریم. اینکه این داده‌ها باید در حکم امانت تلقی شوند نزد کسب‌وکارها.
 
صادقی با بیان اینکه داده‌هایی که مردم نزد کسب‌وکارها می‌گذارند واقعا ویژگی‌های امانت را دارد، گفت: کسب‌وکارها به این توجه نمی‌کنند که افراد داده‌های شخصی خود را به اشتراک گذاشته و این موضوع شوخی‌بردار نیست. حتی اینکه چه تراکنش‌هایی در یک کسب‌وکار انجام می‌شود. نه الزاما تراکنش‌های مالی، اینکه چه فعل و انفعالاتی اتفاق می‌افتد و این اطلاعات بعدا می‌تواند در دست هر هکری بیفتد و افشا شود و تبعاتش برای زندگی فرد چیست؟ بی‌توجهی این کسب‌وکارها هم احتمالا به این خاطر است که دیدند این بی‌توجهی تبعاتی ندارد.
 
وی ادامه داد: ما اعتقادمان در سازمان فناوری اطلاعات این است که ظرفیت قانونی کافی برای پیگیری قانونی نشت اطلاعات، همین حالا هم وجود دارد. چه در مواد مربوط‌به قانون جرائم رایانه‌ای و چه در سایر قوانین دیگر، هتک حیثیت و انتشار داده‌های شخصی افراد، موارد بسیاری آمده است. مهم اراده قضایی برای این موضوع است. اراده‌ای که شکل می‌گیرد در حوزه قضایی که پیگیری جدی درخصوص این موارد صورت گیرد، صورت‌مساله ماست.
 
معاون امنیت سازمان فناوری اطلاعات در پاسخ به اینکه آیا برای پیگیری نشت داده‌های شرکت‌ها و سازمان‌ها اراده قضایی وجود ندارد، گفت: ما آنطور که باید و شاید نمی‌بینیم، زیرا در غیر این صورت شرایط متفاوت از حال بود. اما اینکه اراده‌ای وجود ندارد منجر به این خواهد شد که شرکت‌ها و حتی سازمان‌های دولتی در این خصوص بی‌مبالاتی کنند.
 
صادقی درباره تاخیر در اجرای لایحه صیانت از داده‌های شخصی که دو سال پیش رونمایی شده بود، توضیح داد: آن لایحه خروجی وزارت ارتباطات بود اما متاسفانه در بروکراسی‌های دولتی گیر کرده بود که اخیرا از کمیسیون آزاد شده تا در صف طرح در صحن هیات دولت قرار بگیرد. این لایحه چندین بار به‌صورت رفت و برگشتی ادامه داشته که منجر به تاخیر در این خصوص شده است و البته سازمان فناوری اطلاعات هم این موضوع را پیگیری می‌کند.

کشف حفره های امنیتی خطرناک در زوم برای همه رایانه ها

/در , , , , , /توسط
یک موسسه امنیتی از شناسایی آسیب پذیری های خطرناکی در نرم افزار ویدئو کنفرانس زوم خبر داده که هکرها با سوءاستفاده از آنها می توانند امنیت همه رایانه های شخصی را به خطر بیندازند.
 
 به نقل از هات هاردویر، همزمان با شیوع ویروس کرونا استفاده مردم از نرم افزارهای گپ گروهی و ویدئو کنفرانس برای برگزاری جلسات کاری، آموزش آنلاین و غیره افزایش یافته است. یکی از محبوب ترین این نرم افزارها زوم است که افشای حفره‌های امنیتی جدید آن توسط مؤسسه Cisco Talos نشان می‌دهد مشکلات این برنامه علیرغم به روزرسانی های اخیر برطرف نشده است.
 
Cisco Talos قبلاً نیز یک آسیب پذیری امنیتی را در نرم افزار زوم شناسایی کرده بود که شرکت سازنده آن را در ماه می با عرضه وصله TALOS-۲۰۲۰-۱۰۵۵ برطرف کرده بود.
 
این شرکت می‌گوید هکرها با سواستفاده از آسیب پذیری تازه می‌توانند پیام‌های حاوی فایل‌های آلوده و دستکاری شده با فرمت گیف را برای کاربران نرم افزار زوم ارسال کنند. البته این پیام‌ها باید از طریق سرورهای شرکت Gipghy ارسال شوند که در زمینه تولید انبوه فایل‌های متحرک گیف فعالیت می‌کند.
 
هکرها بعد از این کار می‌توانند به رایانه‌های شخصی آلوده شده نفوذ کرده و داده‌های شخصی آنها را سرقت کنند. کارشناسان Cisco Talos با شرکت زوم در تماس هستند تا بتوانند این مشکل را هر چه سریع‌تر برطرف کنند.

برنده شدید هم اطلاعات بانکی ندهید!

/در , , , , /توسط
استفاده از روش‌های مهندسی اجتماعی و گرفتن اطلاعات بانکی با ارائه پیشنهادهای جذاب و پرسود، از روش‌هایی است که به سرقت و کلاهبرداری منجر می‌شود و به همین دلیل لازم است افراد در لحظات حساس به‌درستی تصمیم‌گیری کنند و فریب وسوسه‌های مهاجمان را نخورند.
 
محمدجواد آذری جهرمی -وزیر ارتباطات و فناوری اطلاعات- در صفحه شبکه اجتماعی اینستاگرام نوشت: امروز سه تماس داشتم، همه قربانی کلاهبرداری تلفنی. پنج میلیون تومان از آنها دزدی شده بود. دزدها خود را مجری رادیو جا زده‌ و گفته‌اند با حضور وزیر جوان قرعه‌کشی شده و جایزه‌ای برده‌اید. شماره کارت بانکی گرفته‌ و حسابشان را خالی کرده‌اند. لطفا دیگران را هم آگاه کنید تا کلاه سرشان نرود.
 
موضوعی که وزیر ارتباطات به آن اشاره کرده، استفاده از مهندسی اجتماعی برای کلاهبرداری است. مهندسی اجتماعی یا social engineering، سوءاستفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است که به کمک مجموعه‌ای از تکنیک‌ها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد می‌کند.
 
در سیستم مهندسی اجتماعی، مهاجم به‌جای استفاده از روش‌های معمول و مستقیم نفوذ جمع‌آوری اطلاعات و عبور از دیواره آتش برای دسترسی به سیستم‌های سازمان و پایگاه داده‌های آن، از مسیر انسان‌هایی که به این اطلاعات دسترسی دارند و با استفاده از تکنیک‌های فریفتن، به جمع‌آوری اطلاعات در راستای دستیابی به خواسته‌های خود اقدام می‌کند. برای دفاع در مقابل حملات مهندسی اجتماعی، به شناسایی محرک‌های روانشناسی متقاعدسازی و سپس تکنیک‌های مورد استفاده در حملات نیاز است.
 
در اکثر حملات مهندسی اجتماعی پیشنهاداتی به شما ارائه می‌شود که در نگاه اول بسیار پرسود و جذاب به نظر می‌آیند، اما باید بر وسوسه پاسخ‌گویی به این دسته از پیشنهادات غلبه کرد، زیرا برخی از آنها طعمه‌هایی برای حملات مهندسی اجتماعی هستند. بسیاری از حملات مهندسی اجتماعی نیازی به اطلاعات فنی تخصصی ندارند و لازم نیست که یک متخصص رایانه و یک هکر حرفه‌ای به شما حمله کند، بلکه هر یک از افراد جامعه می‌تواند نقش یک مهاجم را ایفا کند، بنابراین باید همیشه نسبت به محیط اطراف آگاه بود.
 
مهم‌ترین منبع اطلاعاتی مهاجمان در حملات مهندسی اجتماعی مطالبی است که در مورد افراد در منابعی نظیر اینترنت قرار دارد و به سادگی قابل دسترس است. به ویژه اطلاعاتی که خود فرد در شبکه‌های اجتماعی منتشر می‌کند. در صورتی که افراد با مطالب شخصی خود آگاهانه رفتار کرده و آنها را در معرض دید عموم قرار ندهند،‌ امکان استفاده از این اطلاعات در حملات مهندسی اجتماعی نیز کاهش خواهد یافت.
 
نکته مهمی که برای مقابله با حملات مهندسی اجتماعی باید به آن توجه داشت، شناخت اطلاعات ارزشمند و داشته‌های فردی و سازمانی است. در صورتی که هر فرد بداند کدام یک از اطلاعات وی می‌تواند چه ارزشی برای مهاجمان داشته باشد، در زمان ارائه این اطلاعات به دیگران با احتیاط بیشتری عمل کرده و در نتیجه احتمال موفقیت حملات مهندسی اجتماعی کاهش می‌یابد.
 
ساده‌ترین و کارآمدترین راهکار برای مقابله با حملات مهندسی اجتماعی، ‌ آموزش افراد و افزایش آگاهی آنهاست. در صورتی که تک‌تک افراد نسبت به محیط خود آگاهی داشته باشند، در لحظات حساس به درستی و بر اساس اصول تصمیم‌گیری کنند و فریب وسوسه‌های مهاجمان را نخورند، دیگر هیچ حمله مهندسی اجتماعی موفقی رخ نمی‌دهد.
 

چه‌کسی مسوول نشت داده سازمان‌هاست؟

/در , , , /توسط
اگرچه برای اجبار سازمان‌ها و دستگاه‌ها به حفاظت از داده‌های شخصی، قانون وجود دارد،‌ اما این قانون پاسخگوی همه نیازها نیست و به گفته معاون وزیر ارتباطات و فناوری اطلاعات، در حال حاضر امنیت مربوط‌به داده‌های کسب‌وکارها بر عهده پلیس فتاست و وزارت ارتباطات در حال تلاش برای گرفتن این مسوولیت است.
 
 لو رفتن اطلاعات شخصی مربوط‌ به کاربران تلگرامی به دلیل استفاده از نسخه‌های غیررسمی این اپلیکیشن و استفاده‌کنندگان از فروشگاه‌های آنلاین داخلی و حتی اطلاعات ثبت احوالی ایرانیان در روزهای ابتدایی فروردین ماه سال جاری و پس از آن اخباری از نشت اطلاعات در برخی از سازمان‌ها، در ماه‌های گذشته از ابتدای سال، به یکی از مهم‌ترین و پرجنجال‌ترین اخبار تبدیل شده بود. امیر ناظمی -رئیس سازمان فناوری اطلاعات-  چندی پیش درباره لو رفتن اطلاعات سازمان‌ها گفته بود: هرچند قانون حفاظت از داده‌های عمومی یا همان GDPR در هزارتوی نظام بروکراسی محبوس مانده است، اما این به آن معنا نیست که قانونی برای اجبار سازمان‌ها و دستگاه‌ها به حفاظت از داده‌های شخصی وجود ندارد، بلکه به معنای آن است که همه نیازها را پاسخ نمی‌دهد. تک‌تک این مواد قانونی می‌تواند منجر به محکومیت هر فرد حقیقی و حقوقی شود که در محافظت از داده‌ها سهل‌انگاری کرده است.
 
همچنین مرکز ماهر در بیانیه‌ای در رابطه با روند افشا داده‌های سازمان‌ها و کسب‌وکارها در فضای مجازی، با بیان این نکته که ارتقا هر سیستمی، از جمله امنیت و حفاظت از داده‌های شهروندان نیازمند دریافت بازخوردها و تصحیح آن سیستم است، اعلام کرد: مطابق بند ۵-۱ نظام ملی مقابله با حوادث فضای مجازی کشور: «مسوولیت پیشگیری و مقابله با حوادث فضای مجازی هر دستگاه، بر عهده بالاترین مقام آن دستگاه خواهد بود.» به این ترتیب مسوولیت اصلی در پاسخ به سوالات امنیت بانک‌های داده و اطلاعات، در وهله اول بر عهده بالاترین مسوول دستگاه است.
 
اما در جدیدترین قسمت از سریال لو رفتن اطلاعات کاربران، هفته گذشته خبر نشت ۵.۵ میلیون اطلاعات مشترک اپراتور رایتل شنیده شد که در اینترنت برای فروش قرار گرفته که البته رایتل اعلام کرد مستندی به جز ۹ رکورد منتشرشده مبنی بر دزدیده شدن اطلاعات پنج و نیم میلیون مشترک این اپراتور به دست نیامده است که نتیجه بررسی این ۹ رکورد نشان می‌دهد  شش رکورد بسیار قدیمی بوده (سال ۹۴ و پیش از آن)  و عملا این مشترکین دیگر در شبکه رایتل فعال نیستند.
 
البته حسین فلاح جوشقانی - رئیس سازمان تنظیم مقررات و ارتباطات رادیویی - با تایید این موضوع اظهار کرد: مرکز ماهر درز اطلاعات رایتل را تایید کرده است. گزارش‌ها نشان می‌دهد اطلاعات لورفته متعلق به چهار سال پیش بوده و توسط عامل انسانی رخ داده است. در هر حال رایتل مسئول حفاظت از داده‌ی مشترکین است و باید برخورد مسئولانه‌ای از خود نشان دهد. طبق ضوابط پروانه برخورد جدی خواهیم کرد.
 
در این راستا امیر ناظمی در گفت‌وگو با ایسنا، درباره امنیت داده کسب‌وکارها و مشترکان اظهار کرد: باید یک مرکز فرماندهی و تصمیم‌گیری وجود داشته باشد. بر اساس سازوکارهای فعلی، امنیت مربوط‌به داده‌های کسب‌وکارها بر عهده پلیس فتا است که ما فکر می‌کنیم این رویکرد، مناسب نیست و در بیانیه‌های مختلف هم به این اشاره کردیم. ترجیح ما این است که  در این خصوص یک سیاست واحد امکان‌پذیر باشد.
 
معاون وزیر ارتباطات و فناوری اطلاعات در پاسخ به اینکه چرا مرکز ماهر در این زمینه پاسخگو نیست و تنها نقش کمکی در این زمینه را پذیرفته است، اظهار کرد: زیرا در قانون مسوولیت ندارد، هرکاری هم که ما انجام می‌دهیم توسط مسوول مرتبطش معمولا مورد نارضایتی قرار می‌گیرد که چرا در حیطه اختیارات آنها وارد شدیم.
 
رئیس سازمان فناوری اطلاعات درباره اینکه تصمیم‌گیری در این خصوص بر عهده کیست،‌ گفت: مرکز ملی فضای مجازی باید این تصمیم‌گیری را کند. ما هم بارها این درخواست را دادیم و مجددا می‌خواهیم نامه‌ای ارسال کنیم که این نامه به آقای فیروزآبادی - رئیس مرکز ملی فضای مجازی و رئیس‌جمهوری به عنوان رئیس شورای عالی فضای مجازی هم ارسال شود.
 

هنگ سایبری انگلیس آغاز به کار کرد

/در , , , , , /توسط
نخستین هنگ سایبری ارتش انگلیس به منظور حفاظت از عملیات خطوط مقدم در برابر حملات دیجیتالی آغاز به کار کرد.
 
به نقل از دیلی میل، ارتش انگلیس نخستین هنگ سایبری خود را برای حفاظت از عملیات خطوط مقدم در برابر حملات دیجیتالی ایجاد کرد.
 
طبق اعلام وزارت دفاع انگلیس، هنگ سیزدهم Signal مسئولیت فراهم کردن شبکه‌های دفاعی در عملیات‌های داخلی و خارجی ارتش این کشور را برعهده دارد. در حقیقت این هنگ مسئول ایجاد یک زره دیجیتالی اطراف پرسنل نظامی است و به فرماندهان ارتش و سربازان کمک می‌کند در فضای آنلاین به طور ایمن فعالیت کنند.
 
این واحد تخصصی از یکم ژوئن افتتاح شده است. به گفته وزارت دفاع انگلیس، این هنگ در حالی تشکیل شده که در فضای سایبری نیز یک خط مقدم به وجود آمده است.
 
بن والاس وزیر دفاع انگلیس در این باره می‌گوید: این گام تغییری در جهت مدرنیزه کردن نیروهای مسلح انگلیس با جنگ افزارهای جدید است. حملات سایبری مانند تهاجم‌های فیزیکی خطرناک هستند و ما باید برای دفاع از خودمان آماده باشیم. هنگ سیزدهم Signal یک بخش مهم در این زمینه است.
 
این هنگ شامل ۲۵۰ متخصص است که مهارت‌های فنی بالایی دارند.

نخستین دوره آموزشی جرم یابی دیجیتال برگزار می شود

/در , , , , , /توسط
رئیس پژوهشکده امنیت پژوهشگاه ICT از برگزاری نخستین دوره جرم یابی دیجیتال برای کارشناسان فنی پلیس فتا خبر داد.
 
 به نقل از پژوهشگاه ارتباطات و فناوری اطلاعات، ابوذر عرب سرخی فعالیت اداره آزمایشگاه های امنیتی پژوهشگاه ICT که شامل ۵ محور ارزیابی امنیتی، تائید نمونه، مشاوره، آموزش و توسعه محصولات امنیتی می شود را تشریح کرد.
 
وی درباره مساله آموزش به عنوان یکی دیگر از فعالیت های آزمایشگاههای امنیتی پژوهشگاه ICT تاکید کرد: در سال های گذشته مجموعه متنوعی از دوره های آموزشی به صورت تخصصی تئوری، کارگاهی و فنی ارائه شد. به تازگی نیز مجموعه پژوهشکده امنیت فاوا، با همکاری اداره آزمایشگاه های امنیتی این پژوهشگاه، نسبت به برگزاری نخستین دوره جرم یابی دیجیتال (Forensic) در داخل کشور برای کارشناسان فنی و مدیران پلیس فتا اقدام کرده است.
 
عرب سرخی با بیان اینکه در حوزه ارزیابی امنیتی، آزمایشگاه در ۳ محور ارزیابی های امنیتی شبکه، نرم افزار و نیز سامانه های کنترل صنعتی، کار خود را پیش می برد، گفت: این آزمایشگاه برای ارزیابی های امنیتی شبکه و نرم افزار، تائید صلاحیت سازمان فناوری اطلاعات و مرکز راهبردی افتا را دریافت کرده و تائید صلاحیت ارزیابی امنیتی سامانه های کنترل صنعتی را نیز ظرف یک ماه آینده دریافت می کند.
 
رئیس پژوهشکده امنیت پژوهشگاه ICT یکی دیگر از اقدامات اداره آزمایشگاه های امنیتی را تائید نمونه محصولات و خدمات عنوان کرد و ادامه داد: یکی از محورهایی که حدود ۵ سال روی آن کار کرده و گواهی متعددی هم راجع به آن تولید و ارائه کرده‌ایم، محصولات صیانت فرهنگی است که زیرنظر شرکت ارتباطات زیرساخت و برای تجهیزات اعمال سیاست در سطح شبکه و تجهیزات جانبی پالایش انجام می شود.
 
وی خاطرنشان کرد: یکی دیگر از محورهای تائید نمونه، مربوط به تجهیزات محصولات امنیتی است که در این زمینه نمونه های داخلی متعدد امنیتی مانند SIM ،Firewall و IDS تست شده‌اند.
 
عرب سرخی درباره ارائه انواع خدمات مشاوره در حوزه امنیت اطلاعات در اداره آزمایشگاه های امنیتی گفت: این مشاوره ها در محورهای طراحی ساختار امنیتی، فعال سازی تیم‌های امنیتی سازمانی و همچنین اصلاح پیکربندی تجهیزات زیرساختی شبکه و سرویس های تحت وب انجام می شود.
 
وی آخرین محور کاری اداره آزمایشگاه های امنیت را توسعه محصولات مدیریتی امنیت عنوان و اعلام کرد: در سال های گذشته با توجه به توانمندی فنی این مجموعه، نسبت به توسعه انواع جعبه ابزارهای مدیریت و ممیزی امنیت و حتی ابزارها و سازوکارهای سنجش بلوغ امنیتی، اقدام شده است که نمونه عمده ای از این کارها شامل بومی سازی ابزار «سی‌سِت» که برای سامانه های کنترل صنعتی است، جعبه ابزار سنجش تاب‌آوری که برای وزارت ارتباطات و فناوری اطلاعات توصیه شده و ابزار «پدسا» می شود.
 
رئیس پژوهشکده امنیت پژوهشگاه ICT گفت: سامانه «پدسا» آخرین ابزاری است که آزمایشگاه امنیت آن را توسعه داده و روی ممیزی و ارزیابی شاخص‌هایی تمرکز دارد که از منظر پدافند سایبری می تواند برای متولیان زیرساخت های حیاتی مانند وزارت ارتباطات و فناوری اطلاعات و مجموعه های تابعه، مهم و حائز اهمیت باشد.
 
به گفته وی، این جعبه ابزار کمک می کند تا متولی زیرساخت حیاتی، متناسب با زیرساخت و تجهیزاتی که استفاده می‌کند و به طبع آن، متناسب با استانداردهایی که در نظر می گیرد، نسبت به ارزیابی شرایط حاکم در زیرساخت‌ها و فناوری ها اقدام کرده، شرایط امنیتی موجود را بسنجد و مبتنی بر نتایج ارزیابی وضع موجود، نسبت به بهبود شرایط امنیتی و خلاءهای موجود اقدام کند.

نخستین دوره آموزشی جرم یابی دیجیتال برگزار می شود

/در , , , , , /توسط
رئیس پژوهشکده امنیت پژوهشگاه ICT از برگزاری نخستین دوره جرم یابی دیجیتال برای کارشناسان فنی پلیس فتا خبر داد.
 
 به نقل از پژوهشگاه ارتباطات و فناوری اطلاعات، ابوذر عرب سرخی فعالیت اداره آزمایشگاه های امنیتی پژوهشگاه ICT که شامل ۵ محور ارزیابی امنیتی، تائید نمونه، مشاوره، آموزش و توسعه محصولات امنیتی می شود را تشریح کرد.
 
وی درباره مساله آموزش به عنوان یکی دیگر از فعالیت های آزمایشگاههای امنیتی پژوهشگاه ICT تاکید کرد: در سال های گذشته مجموعه متنوعی از دوره های آموزشی به صورت تخصصی تئوری، کارگاهی و فنی ارائه شد. به تازگی نیز مجموعه پژوهشکده امنیت فاوا، با همکاری اداره آزمایشگاه های امنیتی این پژوهشگاه، نسبت به برگزاری نخستین دوره جرم یابی دیجیتال (Forensic) در داخل کشور برای کارشناسان فنی و مدیران پلیس فتا اقدام کرده است.
 
عرب سرخی با بیان اینکه در حوزه ارزیابی امنیتی، آزمایشگاه در ۳ محور ارزیابی های امنیتی شبکه، نرم افزار و نیز سامانه های کنترل صنعتی، کار خود را پیش می برد، گفت: این آزمایشگاه برای ارزیابی های امنیتی شبکه و نرم افزار، تائید صلاحیت سازمان فناوری اطلاعات و مرکز راهبردی افتا را دریافت کرده و تائید صلاحیت ارزیابی امنیتی سامانه های کنترل صنعتی را نیز ظرف یک ماه آینده دریافت می کند.
 
رئیس پژوهشکده امنیت پژوهشگاه ICT یکی دیگر از اقدامات اداره آزمایشگاه های امنیتی را تائید نمونه محصولات و خدمات عنوان کرد و ادامه داد: یکی از محورهایی که حدود ۵ سال روی آن کار کرده و گواهی متعددی هم راجع به آن تولید و ارائه کرده‌ایم، محصولات صیانت فرهنگی است که زیرنظر شرکت ارتباطات زیرساخت و برای تجهیزات اعمال سیاست در سطح شبکه و تجهیزات جانبی پالایش انجام می شود.
 
وی خاطرنشان کرد: یکی دیگر از محورهای تائید نمونه، مربوط به تجهیزات محصولات امنیتی است که در این زمینه نمونه های داخلی متعدد امنیتی مانند SIM ،Firewall و IDS تست شده‌اند.
 
عرب سرخی درباره ارائه انواع خدمات مشاوره در حوزه امنیت اطلاعات در اداره آزمایشگاه های امنیتی گفت: این مشاوره ها در محورهای طراحی ساختار امنیتی، فعال سازی تیم‌های امنیتی سازمانی و همچنین اصلاح پیکربندی تجهیزات زیرساختی شبکه و سرویس های تحت وب انجام می شود.
 
وی آخرین محور کاری اداره آزمایشگاه های امنیت را توسعه محصولات مدیریتی امنیت عنوان و اعلام کرد: در سال های گذشته با توجه به توانمندی فنی این مجموعه، نسبت به توسعه انواع جعبه ابزارهای مدیریت و ممیزی امنیت و حتی ابزارها و سازوکارهای سنجش بلوغ امنیتی، اقدام شده است که نمونه عمده ای از این کارها شامل بومی سازی ابزار «سی‌سِت» که برای سامانه های کنترل صنعتی است، جعبه ابزار سنجش تاب‌آوری که برای وزارت ارتباطات و فناوری اطلاعات توصیه شده و ابزار «پدسا» می شود.
 
رئیس پژوهشکده امنیت پژوهشگاه ICT گفت: سامانه «پدسا» آخرین ابزاری است که آزمایشگاه امنیت آن را توسعه داده و روی ممیزی و ارزیابی شاخص‌هایی تمرکز دارد که از منظر پدافند سایبری می تواند برای متولیان زیرساخت های حیاتی مانند وزارت ارتباطات و فناوری اطلاعات و مجموعه های تابعه، مهم و حائز اهمیت باشد.
 
به گفته وی، این جعبه ابزار کمک می کند تا متولی زیرساخت حیاتی، متناسب با زیرساخت و تجهیزاتی که استفاده می‌کند و به طبع آن، متناسب با استانداردهایی که در نظر می گیرد، نسبت به ارزیابی شرایط حاکم در زیرساخت‌ها و فناوری ها اقدام کرده، شرایط امنیتی موجود را بسنجد و مبتنی بر نتایج ارزیابی وضع موجود، نسبت به بهبود شرایط امنیتی و خلاءهای موجود اقدام کند.