وبسایت رسمی اوستا هکر

یک وبسایت عالی و کاربردی

چرا وب سایت های دولتی در برابر حملات سایبری امن نیستند؟

Denial of service or DDoS attack concept with faceless hooded male person using tablet computer, low key red and blue lit image and digital glitch effect

در ماه اخیر حملات بسیار زیادی به وب سایت های دولتی و سازمانی ایرانی از جانب گروه های هکری سعودی و وهابی انجام شد که با اسامی و القاب مختلفی انجام شدند. از این موضوع بگذریم و دوست نداریم در این خصوص بحث کنیم که آیا واقعا حملات از طریق هکرهای سعودی و وهابی انجام شده است یا خیر ، این موضوع چیز تازه ای نیست ، سالهاست که وب سایت ها و گروه های هک داخلی و خارجی حملاتی را بصورت روزمره به وب سایت های همدیگر انجام می دهند و بعضا دسترسی هایی وجود دارد که در مواقع خاصی به نمایش گذاشته می شوند .

قرار نیست وب سایت ها در همان لحظه ای که هک انجام می شود در اصطلاح Deface شوند. کاری نداریم که ممکن است این وب سایت های داخلی از طریق گروه ها یا اشخاصی داخل خود ایران هک شده باشند ما فقط قرار است یک تحلیل امنیتی در خصوص چرای مسئله داشته باشیم ؟ این سئوال را باید از خودمان بپرسیم که چرا به یکباره چندین وب سایت دولتی ما هک شده و Deface می شوند ؟ هر چند اساسا در وب سایت های دولتی ما در بسیاری از موارد اطلاعات حیاتی و سازمانی طبقه بندی شده وجود ندارد اما به هر حال وب سایت یک سازمان دمو یا ویترین کار آن سازمان است و هک شدن آن اعتبار یک سازمان را ممکن است دچار اختلال کند.

خوب یکی دیگر از سئوالاتی که در خبرگزاری ها مطرح شده بود و در برنامه ای که با همین موضوع در شبکه خبر هم پخش شد مطرح شد این بود که با توجه به اینکه پلیس و نیروهای سایبری که مسئولیت اطلاع رسانی در خصوص اینگونه حملات را بر عهده دارند چرا در خصوص این حملات اشاره کردند که حملات پیش پا افتاده و ساده بوده است و هیچ اطلاعات طبقه بندی شده ای به دست مهاجمین نیوفتاده است ، سوال اینجاست که چرا وب سایت های دولتی ما با همین حملات ساده و پیش پا افتاده هک می شوند ؟ این چهره امنیت را خدشه دار می کند ؟ اما من به عنوان یک فرد متخصص کوچک در این حوزه که سالها سعی کرده ام حداقل در حوزه کاری خودم تحلیل های درستی ارائه بدهم توجه شما را به چند نکته جلب می کنم که این موارد زنگ خطری برای همه سازمان های ایران در خصوص حملات سایبری و هکری خواهد بود.

😳امنیت یک معیار کاملا نسبی است ، امنیت با مدرک و گواهینامه ایجاد نمی شود😳

زمانی بود که پفک نمکی شرکت مینو یکی از قسمت های تبلیغاتی خودش را به دارا بودن گواهینامه ISO 9000 اختصاص داده بود و این را یک افتخار می دانست ، این گواهینامه نمایانگر رعایت استانداردهای کیفی لازم در جهت تولید این محصول بود و بعد از رعایت این پارامترها به این شرکت این گواهینامه داده شده بود. ما چنین گواهینامه ای را در حوزه امنیت اطلاعات هم داریم که آن را به ISO 27000 می شناسیم .

داشتن گواهینامه ISO 27000 امروزه یک الزام برای یک سازمان دولتی است و نمایانگر این است که کلیه استانداردهای امنیتی در آن سازمان رعایت شده است و مشتری شما با دیدن این گواهینامه متوجه می شود که سازمان مورد نظر تمهیدات و کنترل های امنیتی لازم را در سازمانش انجام داده است. اما آیا صرفا دریافت ISO 27000 به این معنا است که سازمان شما امن است ؟ آیا مهاجمین با توجه به اینکه شما این مدرک را دارید دیگر به شما حمله نمی کنند ؟

متاسفانه ما در ایران بحث جالبی به نام تب داریم ، یعنی مثلا تب تلگرام ، تب وایبر ، تب ایزو 9000 و البته تب ایزو 27001 و هزاران تب دیگر ، یعنی اینکه به یکباره هزاران شرکت و سازمان به این فکر می افتند که به خاطر چشم و هم چشمی هم که شده باید ایزو دریافت کنند و خودشان را به هر دری می زنند که در هر محدوده ای کوچکی از سازمان خودشان این گواهینامه را برای چشم و هم چشمی دریافت کنند ، البته بگذریم که فرآیند دریافت این گواهینامه هم چندان ارزان قیمت نیست و پول خوبی این وسط برای این تب ها رد و بدل می شود.

تب گرفتن هم مشکل نیست اما متاسفانه در ایران دریافت یک گواهینامه مثل دریافت مدرک تحصیلی دانشگاه است ، به جای اینکه فارق التحصیل دانشگاهی به فکر بالا بردن دانش خودش باشد به فکر این است که مدرک را دریافت کرده است و دیگر باید به فکر چیز دیگری باشد. در ایران هم دریافت گواهینامه ISO 27000 فقط در حد دریافت گواهینامه است ، متاسفانه اکثر سازمان ها و شرکت های دولتی ما صرفا چون یک تکلیف بر عهده آنها گذاشته شده است اقدام به دریافت این گواهینامه می کنند و همانطور که داشتن مدرک دانشگاهی دلیلی بر داشتن سواد فنی نیست ، داشتن گواهینامه سیستم مدیریت امنیت اطلاعات هم دلیلی بر امنیت یک سازمان نیست .

اما ما ایرانی ها مدرک را دوست داریم ، تصورمان این است که هر چقدر مدرک بیشتر داشته باشیم بهتر هستیم. امروزه تقریبا در هر شهری و هر محله ای شرکتی وجود دارد که در حوزه امنیت اطلاعات فعالیت می کند ، بعضا حتی با واژه های فنی در حوزه امنیت اطلاعات هم آشنایی ندارند اما در این حوزه با قدرت فعالیت می کنند ، چون مهم دریافت کردن این مدرک است و این مدرک فقط چند گزینه پیاده سازی دارد ، مستند سازی کنید ، طراحی کنید ، مستند سازی کنید ، مستند سازی کنید ، مستندات را تایید کنید ، تمام شد شما امن هستید ... خوشحال باشید.

🥰همین وتمام خیلی دوستون دارم🥰