بالاترین مقام هر دستگاه‌ مسوول مقابله با حملات اینترنتی است

 در این بیانیه ماهر از سازمان‌ها و دستگاه‌هایی که به هر دلیلی اطلاعات کاربرانشان افشا شده خواسته است تا نسبت به این اتفاق مسوولیت‌پذیر و پاسخگو باشند. به‌نظر می‌رسد اشاره ماهر در این زمینه به افشای اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام باشد که از طریق سامانه‌ای به نام شکار که متعلق به یک دستگاه امنیتی است رخ داد. این مرکز در بیانیه جدید خود یادآور شده که بر اساس چارچوب‌های قانونی و ماموریت‌های محوله گزارش خود را درخصوص حوادث، صرفا برای مقامات مسوول ارسال می‌کند؛ هرچند پس از اتمام بحران این مرکز این حق را برای خود قائل است تا به تدوین گزارش‌هایی عمومی (با حفظ امنیت و حریم خصوصی داده‌ها) اقدام کند؛ تا به‌عنوان وظیفه ذاتی هر جزء از سیستم، با ارائه بازخوردهای مناسب گامی جهت ارتقا و بهبود نظام حکمرانی داده بردارد.

در ادامه این بیانیه مرکز ماهر گفته است که به این اصل اعتقاد دارد که مقابله با آن دسته از حوادث فضای مجازی کشور که منجر به افشای داده‌های شهروندان می‌شود، باید به‌صورت متمرکز و کاملا تخصصی، صرفا به یک مرکز مستقل دولتی واگذار شود تا امکان بررسی مستقل، بدون جانبداری، همراه با واکنش سریع و همچنین ایجاد زمینه مناسب برای اطلاع‌رسانی به‌موقع و باکیفیت همراه با انباشت دانش امنیت داده برای حفظ منافع ملی فراهم‌ آید. مرکز ماهر یادآور شده که بر اساس وظایف ذاتی و قانونی خود موارد متعددی از این دست را همواره کشف یا از افراد دلسوزی که به‌صورت مسوولانه و صادقانه اطلاع‌رسانی می‌کنند دریافت می‌کند. در این زمینه مرکز ماهر توضیح داده است:‌ «تمام این موارد پس از بررسی‌های فنی جهت راستی‌آزمایی و استخراج شواهد و راهکار مقابله بر اساس چارچوب‌های قانونی به‌صورت محرمانه به صاحبان سرویس‌ها و داده‌ها اطلاع‌رسانی می‌شود و تلاش دارد تا در صورت نیاز برای مقابله با آن اقدام عملیاتی مناسب انجام دهد.» در این بیانیه ماهر از تمام متخصصان و کارشناسان امنیت سایبری خواسته است که در صورت مشاهده هرگونه افشای غیرمجاز یا آسیب‌پذیری در سامانه‌های بومی آن را از طریق کانال‌های ارتباطی مرکز ماهر اطلاع‌رسانی کنند. به باور مسوولان این مرکز اعلام عمومی یک داده افشا شده یا یک آسیب‌پذیری امنیتی از طریق رسانه و شبکه‌های اجتماعی بدون اطلاع قبلی به خود قربانی یا به نهادهای مسوول مانند مرکز ماهر یا مرکز افتا ریاست جمهوری، حرکت سازنده و همراه با مسوولیت اجتماعی محسوب نمی‌شود.

در پایان نیز مرکز ماهر از سازمان‌ها و دستگاه‌های مختلفی که اطلاعات کاربرانشان افشا شده خواسته تا نسبت به این اتفاق مسوولیت‌پذیر باشند. در این زمینه در بیانیه مرکز ماهر آمده است: «به سازمان‌ها و دستگاه‌های مختلف یادآور می‌شود که «سکوت، پاسخگویی مناسب نیست؛ بلکه تنها سرمایه اجتماعی را کاهش می‌دهد»؛ هرچند شهروندان و مطالبه‌گران از مرجع پاسخگویی آگاهی نداشته باشند. امید می‌رود صاحبان بانک‌های اطلاعاتی که داده‌ها و اطلاعات شخصی مردم به‌صورت امانت در اختیار آنها است، نه‌تنها نسبت به حفظ این امانت و حریم خصوصی شهروندان، هم بر اساس قانون و هم بر اساس مسوولیت اجتماعی، حساسیت لازم را داشته باشند؛ بلکه با پاسخگویی مناسب بتوانند امنیت روانی عمومی را نیز فراهم آورند.

   دستورالعمل سازمان‌ها و کسب و کارها

«ماهر» برای پیشگیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانه‌ها توصیه‌هایی دارد که یکی از آنها عدم اتصال مستقیم پایگاه‌های داده به‌صورت مستقیم به شبکه اینترنت است. ماهر تاکید کرده تا حد امکان لازم است دسترسی مستقیم به پایگاه‌های داده از طریق اینترنت برقرار نشود. یکی از مواردی که باعث این اشتباه بزرگ می‌شود روال پشتیبانی شرکت‌های ارائه‌دهنده راهکارهای نرم‌افزاری کاربردی است که برای انجام پشتیبانی ۲۴*۷، مشتریان خود را الزام به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانک‌های اطلاعاتی می‌کنند. در صورت اجبار شرکت‌ها و سازمان‌ها به این مساله، این دسترسی حتما باید روی یک بستر امن و با استفاده از VPN ایجاد شود.

در راه‌اندازی پایگاه‌های داده‌ به‌ویژه انواع پایگاه‌های داده‌ NoSQL و اطمینان از نبود دسترسی حفاظت نشده، دقت شود. بسیاری از موارد نشت اطلاعات مربوط به پایگاه‌های داده‌ای است که به‌طور موقت و جهت انجام فعالیت‌های موردی و کوتاه‌مدت راه‌اندازی شده است. لازم است اهمیت و حساسیت این نوع پایگاه‌های داده هم‌تراز پایگاه‌های اصلی در نظر گرفته شود.

بررسی و غیرفعال‌سازی قابلیت Directory Listing غیرضروری در سرویس‌‌دهنده‌های وب جهت جلوگیری از دسترسی به فایل‌ها، دقت در وضعیت دسترسی به دایرکتوری‌های محل بارگزاری داده‌ها و اسناد توسط کاربران وب‌سایت نظیر دایرکتوری‌های uploads و temp و...علاوه بر لزوم کنترل دسترسی‌ها و غیرفعالسازی قابلیت directory listing، لازم است تا حد امکان این اسناد به محل دیگری منتقل شده و از دسترس خارج شوند. سرویس‌دهنده‌ رایج و پرکاربرد Microsoft Exchange و Microsoft Sharepoint و Zimbra طی یک سال گذشته آسیب‌پذیری‌های جدی داشتند، در صورت استفاده از این سرویس‌دهنده‌ها لازم است نسبت به بروز بودن آنها و نصب تمام وصله‌های امنیتی منتشر‌شده اطمینان حاصل شود.