گزارشی از وضعیت امنیتی سایت های دولتی و هک شدن پیاپی آن ها
ناآگاهی مسئولین و هدر رفتن بودجه های کلان در بخش فناوری اطلاعات استان
یزدفردا - ابرکوه نیوز :خبر هک شدن سایت های اینترنتی دولتی مخصوصا در استان یزد به خبری عادی برای فعالان فناوری اطلاعات استان و کشور تبدیل شده است. برای مثال در همین چند وقت اخیر
۱- سایت استانداری یزد
۲- سرور پارک علم و فناوری یزد
۳- سایت سازمان آموزش و پرورش استان یزد
۴- سایت سازمان بازرگانی استان یزد
۵- سایت سازمان امور اقتصادی و دارایی استان یزد
۶- سایت ایران خودرو یزد
۷- سایت شهرداری اشکذر
۸- سایت شهرداری تفت
۹- سایت اداره بازرگانی میبد
و تعداد دیگری از سایت های دولتی استان مورد حمله قرار گرفته که در تمام موارد موفقیت آمیز بوده است. در این میان خبر دسترسی غیرقانونی به یکی از سرور های پارک علم و فناوری یزد که مسئولین و به اصطلاح متخصصان آن، متولی طراحی برخی دیگر از سایت های ادارات و ارگان های دولتی هستند افتضاحی غیر قابل بخشش است.
علت چیست؟
متاسفانه به علت ناآگاهی مسئولین در بخش فناوری اطلاعات، چند شرکت دانه درشت طراحی سایت های ادارات دولتی را با هزینه های بسیار بیشتر از هزینه واقعی بر عهده گرفته و در این راه با نصب یک نرم افزار کدباز رایگان به اصطلاح قضیه را ماست مالی می کنند.
استفاده از نرم افزارهای کدباز (Open Source) به خودی خود یک عیب در طراحی سایت ها به حساب نمی آید، اما دلایلی از جمله دلایل زیر مشکل ساز می شوند:
۱- همان طور که در بالا اشاره شد این نرم افزارها به صورت رایگان عرضه می شوند، اما مافیای طراحی سایت های دولتی در قراردادهای خود با ادارات و ارگان ها مبالغ میلیونی طلب می کنند.
۲- طراحی و برنامه نویسی نرم افزارهای رایگان به خودی خود هیچ سود و منفعتی برای تیم طراح این نرم افزار ندارد. تنها برنامه نویسان در بخش هایی از صفحات، مالکیت معنوی خود بر این نرم افزار را اعلام می کنند که طبیعتا حذف کردن این جملات غیرقانونی و غیر شرعی است، که متاسفانه با بی مهری افراد به اصطلاح طراح سایت های ادارات دولتی این جملات حذف شده تا استفاده آنها از یک نرم افزار رایگان پنهان بماند.
۳- تعداد زیادی از نرم افزارهای کدباز رایگان در کشورهای دیگر و به زبان های خارجی تهیه می شوند، اما گروه هایی که معمولا از جوانان متخصص کشورمان تشکیل شده اند بدون هیچ گونه چشم داشت مالی و تنها در جهت توسعه محتوای فارسی در فضای مجازی نسبت به فارسی سازی این نرم افزارها اقدام می کنند. این بدین معناست که شرکت های طرف قرارداد با ادارات دولتی حتی زحمت فارسی سازی این نرم افزارها را هم به خود نمی دهند.
۴- با توجه به این که دریافت نرم افزارهای کدباز و رایگان برای همه آزاد است، به راحتی می توان به محتوای این نرم افزارها دسترسی پیدا کرد. در نتیجه مشکلات امنیتی این نرم افزارها بسیار زود شناسایی می شوند. هر قدر که این اتفاق فرصتی برای از بین بردن این مشکلات به شمار می رود، در صورت به روز نگه داشته نشدن این نرم افزار ها، تهدیدی برای امنیت سایت هایی است که بر این اساس ایجاد شده اند. متاسفانه در اکثر موارد این شرکت ها این وظیفه را هم به درستی انجام نمی دهند، که باعث ضعف امنیتی شدید این سایت ها می گردد.
علاوه بر دلایل فوق الذکر سایت های ادارات دولتی بر روی سرورهایی با سرعت و امنیت بسیار پایین نگه داری می شود که این خود نیز عاملی است در جهت تشدید وخامت وضع امنیتی سایت های دولتی!
راهکارها:
از آنجا که تا کنون جهت طراحی سایت های بی مصرف ادارات دولتی، هزینه های زیادی از بیت المال پرداخت شده، توقف هر چه سریعتر این روند امری ضروری به نظر می رسد. در این راستا نگارنده پیشنهاداتی به شرح زیر دارد:
۱- در مورد سایت هایی که تا کنون مورد حمله واقع شده و آسیب پذیر نشان داده اند اقدام لازم به عمل آید تا علاوه بر جریمه شرکت ها و افرادی که مسئولیت طراحی را بر عهده داشته اند، هر چه سریعتر مشکلات امنیتی این سایت ها برطرف گردد.
۲- ادارات و ارگان هایی که قصد طراحی سایت جدیدی دارند در قرارداد خود شرکت طراح را ملزم به قبول مسئولیت امنیت سایت کنند و جریمه های سنگینی برای طراحی سایت های غیر ایمن در نظر بگیرند.
۳- مسئولین ادارات از یک مشاور امین و متخصص در زمینه فناوری اطلاعات بهره جویی کنند تا علاوه بر جلوگیری از تنظیم قراردادهای یک طرفه به سود شرکت طراح، مبلغی عادلانه و عاقلانه برای انجام این پروژه ها اختصاص داده شود. متاسفانه برخی ادارات از مشاورانی استفاده می کنند که با شرکت های طراح در رابطه هستند و این امر امانت در گفتار ایشان را خدشه دار نموده است.
۴- حذف نام و جملاتی که حاکی از مالکیت معنوی طراحان و مترجمان نرم افزار است در واقع تضییع حقوق این افراد به شمار می رود. در این راستا از مسئولین انتظار می رود تا ترتیبی اتخاذ نمایند تا از این اقدام بی شرمانه جلوگیری به عمل آید.
۵- خوشبختانه گروه هایی فعال و دلسوز در میان جوانان ایرانی تشکیل شده که در طراحی سایت های اینترنتی تبحر بالایی دارند. شایسته است مسئولین با شناسائی این گروه ها و واگذاری پروژه ها به آن ها علاوه بر کاهش دادن هزینه های زاید خود در بخش فناوری اطلاعات بر کیفیت طراحی و همچنین امنیت سایت هایشان بیفزایند.
۱- سایت استانداری یزد
۲- سرور پارک علم و فناوری یزد
۳- سایت سازمان آموزش و پرورش استان یزد
۴- سایت سازمان بازرگانی استان یزد
۵- سایت سازمان امور اقتصادی و دارایی استان یزد
۶- سایت ایران خودرو یزد
۷- سایت شهرداری اشکذر
۸- سایت شهرداری تفت
۹- سایت اداره بازرگانی میبد
و تعداد دیگری از سایت های دولتی استان مورد حمله قرار گرفته که در تمام موارد موفقیت آمیز بوده است. در این میان خبر دسترسی غیرقانونی به یکی از سرور های پارک علم و فناوری یزد که مسئولین و به اصطلاح متخصصان آن، متولی طراحی برخی دیگر از سایت های ادارات و ارگان های دولتی هستند افتضاحی غیر قابل بخشش است.
علت چیست؟
متاسفانه به علت ناآگاهی مسئولین در بخش فناوری اطلاعات، چند شرکت دانه درشت طراحی سایت های ادارات دولتی را با هزینه های بسیار بیشتر از هزینه واقعی بر عهده گرفته و در این راه با نصب یک نرم افزار کدباز رایگان به اصطلاح قضیه را ماست مالی می کنند.
استفاده از نرم افزارهای کدباز (Open Source) به خودی خود یک عیب در طراحی سایت ها به حساب نمی آید، اما دلایلی از جمله دلایل زیر مشکل ساز می شوند:
۱- همان طور که در بالا اشاره شد این نرم افزارها به صورت رایگان عرضه می شوند، اما مافیای طراحی سایت های دولتی در قراردادهای خود با ادارات و ارگان ها مبالغ میلیونی طلب می کنند.
۲- طراحی و برنامه نویسی نرم افزارهای رایگان به خودی خود هیچ سود و منفعتی برای تیم طراح این نرم افزار ندارد. تنها برنامه نویسان در بخش هایی از صفحات، مالکیت معنوی خود بر این نرم افزار را اعلام می کنند که طبیعتا حذف کردن این جملات غیرقانونی و غیر شرعی است، که متاسفانه با بی مهری افراد به اصطلاح طراح سایت های ادارات دولتی این جملات حذف شده تا استفاده آنها از یک نرم افزار رایگان پنهان بماند.
۳- تعداد زیادی از نرم افزارهای کدباز رایگان در کشورهای دیگر و به زبان های خارجی تهیه می شوند، اما گروه هایی که معمولا از جوانان متخصص کشورمان تشکیل شده اند بدون هیچ گونه چشم داشت مالی و تنها در جهت توسعه محتوای فارسی در فضای مجازی نسبت به فارسی سازی این نرم افزارها اقدام می کنند. این بدین معناست که شرکت های طرف قرارداد با ادارات دولتی حتی زحمت فارسی سازی این نرم افزارها را هم به خود نمی دهند.
۴- با توجه به این که دریافت نرم افزارهای کدباز و رایگان برای همه آزاد است، به راحتی می توان به محتوای این نرم افزارها دسترسی پیدا کرد. در نتیجه مشکلات امنیتی این نرم افزارها بسیار زود شناسایی می شوند. هر قدر که این اتفاق فرصتی برای از بین بردن این مشکلات به شمار می رود، در صورت به روز نگه داشته نشدن این نرم افزار ها، تهدیدی برای امنیت سایت هایی است که بر این اساس ایجاد شده اند. متاسفانه در اکثر موارد این شرکت ها این وظیفه را هم به درستی انجام نمی دهند، که باعث ضعف امنیتی شدید این سایت ها می گردد.
علاوه بر دلایل فوق الذکر سایت های ادارات دولتی بر روی سرورهایی با سرعت و امنیت بسیار پایین نگه داری می شود که این خود نیز عاملی است در جهت تشدید وخامت وضع امنیتی سایت های دولتی!
راهکارها:
از آنجا که تا کنون جهت طراحی سایت های بی مصرف ادارات دولتی، هزینه های زیادی از بیت المال پرداخت شده، توقف هر چه سریعتر این روند امری ضروری به نظر می رسد. در این راستا نگارنده پیشنهاداتی به شرح زیر دارد:
۱- در مورد سایت هایی که تا کنون مورد حمله واقع شده و آسیب پذیر نشان داده اند اقدام لازم به عمل آید تا علاوه بر جریمه شرکت ها و افرادی که مسئولیت طراحی را بر عهده داشته اند، هر چه سریعتر مشکلات امنیتی این سایت ها برطرف گردد.
۲- ادارات و ارگان هایی که قصد طراحی سایت جدیدی دارند در قرارداد خود شرکت طراح را ملزم به قبول مسئولیت امنیت سایت کنند و جریمه های سنگینی برای طراحی سایت های غیر ایمن در نظر بگیرند.
۳- مسئولین ادارات از یک مشاور امین و متخصص در زمینه فناوری اطلاعات بهره جویی کنند تا علاوه بر جلوگیری از تنظیم قراردادهای یک طرفه به سود شرکت طراح، مبلغی عادلانه و عاقلانه برای انجام این پروژه ها اختصاص داده شود. متاسفانه برخی ادارات از مشاورانی استفاده می کنند که با شرکت های طراح در رابطه هستند و این امر امانت در گفتار ایشان را خدشه دار نموده است.
۴- حذف نام و جملاتی که حاکی از مالکیت معنوی طراحان و مترجمان نرم افزار است در واقع تضییع حقوق این افراد به شمار می رود. در این راستا از مسئولین انتظار می رود تا ترتیبی اتخاذ نمایند تا از این اقدام بی شرمانه جلوگیری به عمل آید.
۵- خوشبختانه گروه هایی فعال و دلسوز در میان جوانان ایرانی تشکیل شده که در طراحی سایت های اینترنتی تبحر بالایی دارند. شایسته است مسئولین با شناسائی این گروه ها و واگذاری پروژه ها به آن ها علاوه بر کاهش دادن هزینه های زاید خود در بخش فناوری اطلاعات بر کیفیت طراحی و همچنین امنیت سایت هایشان بیفزایند.
منبع:پایگاه اطلاع رسانی شهرستان ابرکوه - Abarkoohnews.com
یزدفردا
- نویسنده : یزد فردا
- منبع خبر : خبرگزاری فردا
http://www.yazdfarda.com/news/af/12657/
چهارشنبه 09,ژوئیه,2025