کدام جهت برای تضمین امنیت داده‌ها در عصر جدید ویتنام؟

در سمیناری با موضوع «امنیت داده‌ها و امنیت شبکه در عصر توسعه ملی» که در ۲۵ سپتامبر در روزنامه نهان دن برگزار شد، کارشناسان به خطرات و توصیه‌هایی در زمینه حفاظت از داده‌ها و امنیت شبکه در ویتنام اشاره کردند.

امنیت داده‌ها به اندازه حفاظت از حاکمیت ارضی اهمیت دارد.

در این سمینار، آقای فام دای دونگ - عضو کمیته مرکزی حزب و معاون رئیس کمیته سیاست‌گذاری و استراتژی مرکزی - گفت که امروزه، تحول دیجیتال در همه جا حضور دارد و به یک روند اجتناب‌ناپذیر زمانه تبدیل شده است. تحول دیجیتال با بسیاری از زمینه‌ها مانند دولت دیجیتال، اقتصاد دیجیتال و غیره ارتباط نزدیکی دارد. در این زمینه‌ها، داده‌ها عامل بسیار مهمی هستند و به عنوان یک دارایی ملی در نظر گرفته می‌شوند.

آقای فام دای دونگ تأکید کرد که امنیت داده‌ها همان معنای حفاظت از حاکمیت ارضی در دریا و خشکی را دارد. دولت مرکزی همواره به حفاظت از حاکمیت در فضای مجازی اهمیت می‌دهد و آن را وظیفه‌ای مستمر و جدایی‌ناپذیر در تضمین امنیت ملی می‌داند.

«داده‌ها یک دارایی استراتژیک ملی محسوب می‌شوند، بنابراین ما به استراتژی‌هایی برای تضمین امنیت داده‌ها و امنیت شبکه نیاز داریم. دیدگاه حزب و دولت در تضمین امنیت شبکه و امنیت داده‌ها این است که در سیاست‌گذاری، لازم است از تفکر دفاعی غیرفعال به شناسایی پیشگیرانه و فعال خطرات به موقع و اقدامات پیشگیرانه تغییر جهت دهیم.»

آقای دونگ گفت که این یک عامل بسیار مهم در حفاظت از امنیت داده‌ها است و همچنین مسئولیت نه تنها سازمان‌های دولتی، بلکه مشاغل و افراد - افرادی که مستقیماً از داده‌ها استفاده و بهره‌برداری می‌کنند - نیز می‌باشد. "اگر در گذشته قانون فقط در سطح پیشگیری متوقف می‌شد، با توسعه سریع فناوری امروز، لازم است بر نقش رهبری و جهت‌گیری پیشگیرانه تأکید شود."

آقای نگو توان آن - رئیس دپارتمان امنیت داده‌ها، انجمن ملی داده‌ها ( وزارت امنیت عمومی )، اظهار داشت که اشتراک‌گذاری داده‌ها مهم‌ترین جزء در سیستم است. بسیاری از نشت‌ها از آسیب‌پذیری‌های بسیار اساسی، عمدتاً از پیکربندی، آسیب‌پذیری‌های مربوط به ذخیره‌سازی و آسیب‌پذیری‌های مربوط به پشتیبان‌گیری، ناشی می‌شوند.

آقای توان آن گفت: «اول از همه، این یک مشکل پیکربندی است. ما تصور می‌کنیم که داده‌ها در یک «خانه» هستند اما به دقت قفل نشده‌اند. سیستم‌هایی وجود دارند که حاوی اطلاعات بسیار مهمی هستند اما از رمزهای عبور ضعیف، پیکربندی‌های پیش‌فرض یا مستقیماً در معرض اینترنت استفاده می‌کنند. وقتی یک سرویس در اینترنت قرار می‌گیرد، پس از چند دقیقه، ابزارهای اسکن و بهره‌برداری خودکار در سراسر جهان وجود خواهد داشت. به همین دلیل است که بسیاری از سیستم‌ها، فقط با یک روزنه کوچک، می‌توانند به صورت غیرقانونی قابل دسترسی باشند.»

به گفته آقای نگو توان آن، یکی دیگر از خطرات، وضعیت گسترده ذخیره‌سازی است. بسیاری از واحدها فرم‌های بسیار زیاد و داده‌های غیرضروری را ذخیره می‌کنند که منجر به افزایش هزینه‌های ذخیره‌سازی و گسترش سطح ریسک می‌شود. هنگامی که سیستم ذخیره‌سازی به خطر می‌افتد، کل بلوک داده می‌تواند در معرض خطر قرار گیرد. در چارچوب قانون تازه تکمیل شده در مورد حفاظت از داده‌های شخصی، واحد ذخیره‌سازی در صورت بروز خطرات از نظر قانونی مسئول خواهد بود.

در واقع، به گفته آقای توآن آن، هیچ سیستمی نمی‌تواند امنیت ۱۰۰٪ را تضمین کند. بررسی‌ها نشان می‌دهد که اگر یک فرد شرور انگیزه‌ای برای حمله داشته باشد، وقتی سیستم دارای نقاط ضعف باشد، میزان موفقیت بسیار بالا می‌رود. بنابراین، اقدامات دفاعی چند لایه ضروری است که در آن پشتیبان‌گیری یکی از عوامل حیاتی محسوب می‌شود.

در این بحث، آقای نگوین لو تان - بنیانگذار و رئیس اجرایی شرکت امنیتی Verichains - اظهار داشت که معمولاً سیستم‌ها اغلب توسط نقاط ضعف مورد حمله قرار می‌گیرند که ممکن است به دلیل قدیمی بودن سیستم یا بی‌دقتی در پیکربندی یا خطاهای محافظتی باشد. گاهی اوقات، این نقاط ضعف از مجوز اشتباه، خطاهای کاربر یا خطاهای مدیریت سیستم ناشی می‌شوند.

مهاجمان ابتدا به دنبال این نقص‌ها و نقاط ضعف در سیستم مدیریت پایگاه داده خواهند بود تا به آن حمله کنند. اگر عناصر سیستم به خوبی ساخته و کنترل شده باشند، آنها به دنبال نقاط ضعفی خواهند بود که محافظت از آنها دشوارتر است.

در این زمان، کاربران و مدیران به اهداف مهاجمان تبدیل خواهند شد. هر فرد بسته به ظرفیت و آگاهی خود از امنیت شخصی، توانایی مدیریت، محافظت و ایمن‌سازی اطلاعات خود را دارد.

مشکل دیگر ناشی از پدیده افراد و شرکت‌های کلاهبردار است که کارمندان یا همکاران پاره وقت را استخدام می‌کنند. پس از مدتی عضویت، این افراد به سیستم اطلاعاتی کاربر نفوذ می‌کنند و کاربر بدون اینکه بداند به بدافزار آلوده می‌شود. آقای تان فاش کرد: «مواردی وجود داشته است که افراد زیادی برای شغل در یک سازمان درخواست داده‌اند و پس از مدتی کار، اطلاعات شخصی آنها مورد حمله قرار گرفته است.»

در نهایت، به گفته آقای Thanh، افراد و سازمان‌هایی که به سیستم داده‌ها نفوذ می‌کنند، می‌توانند از طریق اشخاص ثالث حمله کنند. اینها شرکایی هستند که اغلب محصولات، خدمات و راه‌حل‌های مربوط به سیستم را ارائه می‌دهند. برای ساخت یک سیستم اطلاعاتی، ما باید از فناوری ارائه شده توسط بسیاری از اشخاص استفاده کنیم و گاهی اوقات نمی‌توانیم بر همه آنها تسلط و کنترل داشته باشیم. هر شخص ثالثی می‌تواند سهل‌انگار باشد و این فرصتی برای افراد فوق برای حمله است.

در واقع، به گفته این متخصص، حملات شخص ثالث از حملات کاربران و حملات مستقیم به آسیب‌پذیری‌های سیستم، پرشمارتر و مؤثرتر هستند.

این نشان می‌دهد که استقلال تکنولوژیکی برای کاهش وابستگی به اشخاص ثالث بسیار مهم است. با این حال، انجام این کار آسان نیست. زیرا ساختن یک سیستم نیازمند مراحل زیادی و همچنین مشارکت اجزای مختلف است و برای ما بسیار دشوار است که خودمان کل آن را بسازیم.

آقای تان معتقد است که باید مشخص شود هیچ سیستمی کاملاً ایمن نیست. آقای تان گفت: «در حال حاضر، اکثر واحدهای حمله سایبری مدرن، سازماندهی شده و بسیار سیستماتیک عمل می‌کنند. آنها انگیزه، اهداف و منابع مالی فراوانی دارند. بنابراین، باید متفاوت فکر کنیم تا مشخص کنیم کدام «دارایی‌ها» در کل سیستم اطلاعاتی مهمترین و ضروری‌ترین هستند. از اینجا، از اقدامات دیگری در زمینه حفاظت استفاده کنید تا در صورت بروز حادثه، از دست دادن داده‌ها زیاد نباشد، مقدار اطلاعات از دست رفته خیلی ارزشمند نباشد و آسیب جدی ایجاد نکند.»

به یک مهندس عمومی برای مدیریت داده‌ها و امنیت سایبری نیاز داریم

آقای فام دای دونگ - عضو کمیته مرکزی حزب، معاون رئیس کمیته سیاست و استراتژی مرکزی، گفت که برای محافظت از داده‌ها، ترکیب دو عنصر ضروری است: اول محافظت توسط فناوری، زیرساخت‌ها و فرآیندها - یعنی راه‌حل‌های فنی؛ دوم محافظت توسط سیستم حقوقی. ما در حال حاضر قوانین زیادی مانند قانون امنیت سایبری، قانون محافظت از داده‌های شخصی و... داریم و در آینده، مجلس ملی به بررسی و تکمیل قوانین مرتبط ادامه خواهد داد.

علاوه بر این، قطعنامه ۵۷/NQ-TW همچنین یک طرح اجرایی، از جمله طرح شماره ۱ در مورد فناوری‌های استراتژیک، را برای افزایش استقلال و تسلط بر فناوری‌های اصلی برای ایمن‌سازی داده‌ها تعیین می‌کند. دیدگاه ثابت، حرکت از پدافند غیرفعال به شناسایی زودهنگام ریسک، پیشگیری و واکنش پیشگیرانه است.

به گفته دکتر فان ون هونگ - معاون سردبیر روزنامه نهان دان، ما فاقد «مهندسان عمومی» در مدیریت داده‌ها و امنیت شبکه هستیم تا ترکیبی هماهنگ و همگام داشته باشیم.

با قابلیت کپی‌برداری بدون محدودیت، داده‌ها به ابزاری کلیدی برای تولید تبدیل می‌شوند که در اقتصاد دیجیتال بسیار مهم است. از نظر مدیریتی، ایجاد و نهادینه کردن یک نظام حقوقی هماهنگ در جهت هدایت قانون، ایجاد عدالت، محافظت از گروه‌های آسیب‌پذیر و تنظیم مقررات مطابق با اهداف دولت ضروری است.

به گفته دکتر فان ون هونگ، قانون باید حقوق مالکیت افراد و حقوق دولت را مشخص کند، چارچوبی برای اشتراک‌گذاری مشروط داده‌ها ایجاد کند و داده‌های عمومی و خصوصی را با هم ترکیب کند. اختلافاتی وجود خواهد داشت که قانون نمی‌تواند آنها را تنظیم کند، بنابراین دادستانی و سازمان‌های قضایی باید رویه‌هایی را ایجاد کنند تا سیستم حقوقی و حاکمیتی را به طور مؤثر هماهنگ کنند.

آقای نگو توان آنه، از دیدگاه یک متخصص امنیت سایبری، گفت: «از درس‌های عملی، لازم است روی سه گروه از راه‌حل‌ها تمرکز شود: تشدید پیکربندی امنیتی قبل از قرار دادن خدمات در اینترنت؛ مدیریت، طبقه‌بندی و محدود کردن ذخیره‌سازی داده‌های غیرضروری؛ ایجاد فرآیندی برای تشخیص زودهنگام، جداسازی، بازیابی و هماهنگی قانونی در هنگام وقوع حوادث. اینها گام‌های اساسی برای محافظت از مهم‌ترین دارایی سازمان، یعنی داده‌ها، هستند.»

آقای توان آن همچنین گفت که انجمن ملی داده‌ها در حال تدوین مجموعه‌ای از استانداردهای اساسی مربوط به امنیت داده‌ها است. انتظار می‌رود که در آینده نزدیک، این مجموعه استانداردها برای دریافت نظرات از ادارات و شعب منتشر شود تا واحدها، در درجه اول اعضا، از انتشار و اعمال آن پشتیبانی کنند و در نتیجه، انطباق با استانداردها بهبود یابد.

یکی دیگر از موارد مهم، توسعه پیشگیرانه راهکارهای امنیت سایبری است. واحدها و شرکت‌های داخلی، به همراه انجمن ملی امنیت سایبری، در حال هماهنگی برای توسعه یک اکوسیستم محصول امنیت سایبری داخلی هستند. در واقع، شواهد زیادی وجود دارد که نشان می‌دهد محصولات فناوری خارجی خطراتی را ایجاد می‌کنند، زیرا ممکن است آسیب‌پذیری‌هایی، چه عمدی و چه غیرعمدی، وجود داشته باشد که امکان استخراج و انتقال داده‌ها را فراهم کند.

نماینده انجمن ملی داده‌ها تأکید کرد: «مواردی وجود دارد که برخی از سیستم‌های امنیتی مستقر در ویتنام، داده‌ها را قبل از ذخیره شدن، به‌طور تصادفی از زیرساخت‌های خارجی عبور می‌دهند. این امر خطر نشت داده‌ها را افزایش می‌دهد. بنابراین، برای اطمینان از امنیت داده‌ها، باید بر استانداردسازی، اجرای انطباق و ترویج توسعه راه‌حل‌های امنیتی و ایمنی متعلق به ویتنام تمرکز کنیم.»

منبع: https://www.vietnamplus.vn/huong-di-nao-de-dam-bao-an-ninh-du-lieu-trong-ky-nguyen-moi-cua-viet-nam-post1064101.vnp