بسمه تعالی

خبرنامه وکیل سایبری

آخرین اخبار روز حقوق سایبری و جرایم سایبری جهان را با وکیل سایبری دنبال کنید.

این خبرنامه زیرنظر مستقیم علیرضا طباطبایی وکیل متخصص حوزه جرایم سایبری آماده می شود.

19 اردیبهشت 1402

خبر اول:

راه حلی برای به حداکثر رساندن حفاظت سایبری

نقض داده ها و حملات سایبری به طور نگران کننده ای در دنیای دیجیتال امروزی رایج شده است. در حال حاضر، امنیت سایبری و انعطاف پذیری سایبری برای هر سازمان، کوچک و بزرگ، حیاتی تلقی می شود. این دو استراتژی برای محافظت از داده ها در مراحل مختلف یک حمله سایبری با هم کار می کنند. در حالت ایده‌آل، سازمان‌ها برای دستیابی به حداکثر حفاظت سایبری باید به هر دو مورد متکی باشند.

امنیت سایبری به اقداماتی اطلاق می‌شود که برای محافظت از سیستم‌ها و شبکه‌های رایانه‌ای از دسترسی، سرقت و آسیب غیرمجاز انجام می‌شود.

از سوی دیگر، انعطاف‌پذیری سایبری به توانایی یک سازمان برای حفظ عملکردهای اساسی خود و بازیابی سریع یک حمله سایبری یا رویداد مخرب اشاره دارد. انعطاف‌پذیری سایبری علاوه بر محافظت در برابر تهدیدات سایبری، شامل برنامه ریزی و آماده سازی برای بدترین نوع سناریو می شود.

نیاز حیاتی به حفاظت سایبری

حملات سایبری می تواند عواقب شدیدی برای سازمان ها داشته باشد، از جمله آسیب به اعتبار، مسئولیت های قانونی و از دست دادن اعتماد مشتری. حمله سایبری که شناسایی نشده باشد می تواند منجر به خسارات مالی هنگفتی شود و حتی باعث شود که یک کسب و کار کوچک ورشکست شود.

حفاظت در برابر حملات سایبری

برای محافظت در برابر حملات سایبری، سازمان ها باید اقدامات امنیت سایبری را در هر مرحله حمله اجرا کنند. این فرایند شامل محافظت در برابر حملات اولیه، شناسایی، واکنش به حملات، و بازیابی حملات می شود.

چگونه می توان انعطاف پذیری سایبری را بهبود بخشید؟

امنیت سایبری برای محافظت در برابر حملات سایبری ضروری می باشد. ولی، انعطاف‌پذیری سایبری هم به همان اندازه برای اطمینان از اینکه سازمان می‌تواند به سرعت پس از یک حمله بهبود یابد، ضروری می باشد.

انعطاف‌پذیری سایبری شامل برنامه‌ریزی و آماده‌سازی برای انواع سناریوهای مختلف حملات سایبری و داشتن یک برنامه مشخص برای واکنش در برابر آن می باشد. مطالعات اخیر نشان می‌دهد که 82 درصد از سازمان‌ها موافق هستند که امنیت سایبری یک اولویت بزرگ می باشد، اما انعطاف‌پذیری سایبری اغلب مورد تاکید قرار نمی‌گیرد.

روشهای بهبود انعطاف پذیری سایبری کسب و کار شما

انجام ارزیابی‌های دوره‌ای امنیت سایبری

توسعه راه حل‌های بک آپ گیری و بازیابی

منبع خبر : tripwire

خبر دوم:

باگ وردپرس، تهدیدی برای دو میلیون وب سایت

به گفته ی محققان امنیتی، میلیون‌ها وب‌سایت مجهز به وردپرس از افزونه‌های Advanced Custom Fields و Advanced Custom Fields Pro استفاده می‌کنند که در برابر حملات (XSS) آسیب‌پذیر بوده‌اند.

آسیب پذیری افزونه می تواند چندین وب سایت را در برابر حملات (XSS (تزریق کد‌های مخرب جاوا اسکریپت به یک برنامه کاربردی وب)) تهدید کند.

این اتفاق زمانی می‌افتد که یک هکر بی‌وجدان، کدها یا اسکریپت‌های مخرب را به یک کد بی‌خطر که توسط یک برنامه یا وب‌سایت استفاده می‌شود، تزریق می‌کند.

این "آسیب با شدت بالا" می تواند توسط "هکر " برای تزریق کد به ریدایرکت ها، تبلیغات و سایر محتوای HTML استفاده شود که بواسطه آن کاربران بازدیدکننده وب سایت آلوده را هدف قرار می دهد.

شدت این آسیب توسط اعتماد به تکنیک مهندسی اجتماعی کاهش یافته، یعنی فرد مخرب، کاربر دیگری با کلیک بر روی یک لینک مخرب فریب می دهد. یک مهاجم ناشناس باید کاربری که با دسترسی مناسب وارد شده را فریب دهد تا برای اجرای حمله، آدرس وب سایت مخرب را بازدید کند.

منبع خبر : cybernews

خبر سوم:

آنچه مدیران مالی باید درباره امنیت سایبری بدانند....

شکی نیست که امنیت سایبری اکنون در دستور کار CFO (مقام مالی ارشد) قرار دارد. مدیران مالی امروزی باید چه چیزهایی را در مورد امنیت سایبری بدانند و بپرسند؟

سوال 1: خطرات کسب و کار من چه خطراتی هستند؟

این سؤالی است که مدیر مالی می تواند بپرسد و به پاسخ آن کمک کند. امنیت سایبری خوب مبتنی بر تهدید و ریسک می باشد. یعنی "چه" و "چگونه" سایبری، به یک "چرا" واضح مرتبط می باشد. چه داده‌ها و سیستم‌هایی در صورت به خطر افتادن، بدترین تأثیر تجاری را خواهند داشت؟ کدام پیامدهای یک حمله (به عنوان مثال، اعتبار، مقررات، مالی، ایمنی) به طور کلی برای شرکت بیشترین آسیب را خواهد داشت؟

این سوال برای مدیران مالی و مدیران غیر فنی مهم می باشد زیرا زمینه را برای همه چیز در مورد سایبر ایجاد می کند.

سوال 2: وظایف من چیست و آیا ما این وظایف را به نحو احسن انجام می دهیم؟

رؤسای دپارتمان مالی باید از رهبران اجرایی امنیتی و فناوری اطلاعات و رهبران تطابق سؤالاتی مانند این را بپرسند: چه الزاماتی در زمینه سایبری باید برآورده شود؟ آیا ما در حال برآورده کردن این الزامات هستیم؟ چه چیزهایی را به ناظران گزارش می دهیم و چه تأثیرات مالی از سوی گزارش نادرست یا عدم تطابق کامل به وجود می آید؟

سوال 3: آیا هزینه های ما مناسب و موثر می باشد؟

این سوال، یک سوال در مورد کاهش هزینه نمی باشد. همه مدیران مالی باید بدانند که سایبر مرکز هزینه نمی باشد، بلکه تضمین کننده کسب و کار می باشد. سازمان‌های امنیتی به دلیل تلاش برای پیگیری تهدیدات همواره در حال هزینه‌گذاری بیشتری هستند و در پی بازاریابی ابزارها و محصولات امنیتی جدید هستند. به همین دلیل، رؤسای دپارتمان مالی نقش بسیار مهمی در تست استرس و کمک به تناسب اندازه هزینه‌های امنیتی ایفا می‌کنند.

سؤال چهارم: آیا ما می‌توانیم به درستی واکنش نشان دهیم و بازیابی کنیم؟

این سؤال برای بررسی آمادگی سازمان برای مقابله با حملات سایبری و بازیابی از آنها مطرح می‌شود. سازمان باید دارای سیاست‌های واکنش به حوادث سایبری، برنامه‌ها و کتابچه‌های بازیابی باشد که حداقل سالانه با یک میزگرد تمرین شود. سؤال مطرح شده برای اطمینان از این است که آیا سازمان آمادگی کافی برای واکنش به حملات سایبری دارد و آیا می‌تواند به سرعت بازیابی را انجام دهد. در صورتی که CFO به میزگرد های تمرینی دعوت نشده باشد، ممکن است نشانگر این باشد که شرکت به اندازه کافی مورد توجه و تست قرار نمی‌گیرد.

سوال 5: یک مدل ذهنی خوب برای ایجاد حس امنیت سایبری چیست؟

این سؤال برای تبیین یک مدل ذهنی مناسب برای درک امنیت سایبری مطرح می‌شود. امنیت سایبری مانند مالیات شرکتی و حسابداری، می‌تواند پیچیده، پراهمیت، دارای اصطلاحات واژگان خاص و دشوار باشد.. سؤال مطرح شده برای اطمینان از این است که یک مدل ذهنی مناسب برای درک امنیت سایبری برای تمامی مدیران ارشد تعریف شده و اجرا شود.

منبع خبر : infosecurity

خبر چهارم:

قانون جدیدی جهت کاهش سرعت گسترش جرایم سایبری در سنگاپور

دولت سنگاپور به دنبال تصویب قانون جدیدی است که به آن اجازه می دهد دستورالعمل هایی را برای مبارزه با "مقیاس و سرعت" فعالیت های مجرمانه سایبری، از جمله مسدود کردن دسترسی به سایت های مشکوک به کلاهبرداری، صادر کند.

قانون پیشنهادی جرایم مجرمانه آنلاین که در روز دوشنبه در پارلمان بررسی شد، پنج راهنمای کلی را برای صدور دستورالعمل در هنگامی که دولت مشکوک به استفاده از هر وب سایت، حساب آنلاین یا فعالیت آنلاین برای کلاهبرداری یا فعالیت‌های مخرب می باشد، ارائه می دهد.

در این حالت، ارائه دهندگان خدمات آنلاین می‌توانند درخواست دریافت کنند که محتوای خاصی، مانند یک صفحه وب یا پست، شامل کپی‌هایی از محتوا به‌طوری که در سنگاپور دیگر قابل مشاهده نباشد، غیرفعال شود. همچنین، آن‌ها می‌توانند درخواست مسدود کردن دسترسی به یکURL را دریافت کنند.

همچنین، از فروشگاه‌های برنامه نیز ممکن است درخواست حذف برنامه‌هایی که شامل فعالیت‌های مجرمانه هستند را دریافت کنند تا دیگر کاربران در سنگاپور نتوانند آنها را دانلود کنند.

به گفته وزارت امور داخلی، این قانون پیشنهادی در مورد نه رده از جرایم مجرمانه قابل اجرا است، از جمله فعالیت‌هایی که امنیت ملی را تحت تاثیر قرار می‌دهد، بازی‌های قمار غیرقانونی و فعالیت‌هایی که خشونت را افزایش می‌دهند.

دستورالعمل‌های دولتی می‌توانند زمانی صادر شوند که «ظن منطقی» وجود داشته باشد که یک فعالیت آنلاین برای تسهیل یک جرم انجام شود.

وزارت داخله گفت که رویکرد "فعال" برای مقابله با مقیاس و سرعتی که توسط جرایم سایبری به دست می آید ضروری می باشد. آنها به این نکته اشاره کردند که گروه های جنایی پیچیده تر می شوند و فعالیت های مخرب می تواند به سرعت منتشر شود.

پیش‌نویس این قانون همچنین دستورالعمل‌هایی برای خدمات آنلاین مشخص کرده که ممکن است بخواهند سیستم‌ها و فرآیندهایی را برای جلوگیری از فعالیت‌های سایبری مخرب در اختیار داشته باشند.

منبع خبر : zdnet

خبر پنجم:

آیا نظارت بر متاورس سخت می باشد؟

جهان متاورس در حال رشد و گسترش می باشد و این رشد، موضوعات امنیتی جدیدی را به وجود آورده است. همانطور که بسیاری از افراد به دنبال فرار از دنیای واقعی و ورود به دنیای مجازی هستند، سوالات امنیتی مربوط به تجربه آنها نیز بیشتر شده است.

با توجه به این که بسیاری از افراد در دنیای مجازی به دنبال تجربه هایی هستند که در دنیای واقعی نمی‌توانند داشته باشند، نظارت بر فضای مجازی نیز با چالش هایی رو به رو شده است. اما همکاری بین اشخاص، نهادها و تکنولوژی های جدید، می تواند در جلوگیری از فعالیت های مخرب در فضای مجازی موثر باشد.

رویکرد لازم، تقویت همکاری بین نهادها و اشخاص می باشد. این همکاری می تواند در بهبود پاسخگویی به خطراتی که در فضای مجازی وجود دارد، موثر باشد. برای مثال، اگر یک کاربر مشکوک به فعالیت های خطرناک در فضای مجازی شناسایی شود، پلیس می تواند با شرکت های فضای مجازی همکاری کند تا در مورد فعالیت های این کار در فضای مجازی تحقیقات لازم انجام شود.

با افزایش تعداد کاربران متاورس، نگرانی‌های امنیتی در مورد بحران پولی، سوءاستفاده جنسی و دیگر خطرات احتمالی نیز افزایش یافته است. با این حال، در مورد متاورس، که در اصل یک فضای مجازی می باشد، اعمال محدودیت‌ها و کنترل‌های قانونی که در دنیای واقعی وجود دارد، چالش بزرگی می باشد. این فضای مجازی توسط شبکه های اجتماعی و شرکت های تجاری تحت تأثیر قرار گرفته است که در برخی موارد با نظارت و کنترل رسمی ارائه شده توسط دولت ها مخالفت می کنند.

این مسئله در شرایطی بیشتر از آنچه که در دنیای واقعی قابل تصور می باشد، مشکل است، به خصوص زمانی که در مورد قانون و نظم در فضای مجازی صحبت می کنیم. شناخت و پیدا کردن مسئولیت ها در مورد امنیت در متاورس، چالشی است که باید با آن روبرو شویم.

با اینکه به نظر می‌رسد دولت‌ها نمی‌توانند در کنترل فضای مجازی متاورس وارد شوند، اما همچنان می‌توانند تأثیر گذار باشند. این موضوع در مورد برخی قوانین و مقررات بحث برانگیز است که می‌تواند برای حفظ امنیت در فضای مجازی موثر باشد.

مقاماتی که مجبور به پیروی از استانداردها و مقررات قانونی و اخلاقی هستند "به طور مداوم پشت سر دشمنان خود خواهند بود." اما اکنون، با توجه به سرعت تغییرات تکنولوژیکی و سرعت "این شکاف در حال گسترده تر شدن می باشد."

نظارت بر متاورس به دلیل پیچیدگی و ابعاد گسترده آن، بسیار سخت می باشد. متاورس به عنوان یک جامعه مجازی، محلی است که افراد می‌توانند به صورت آنلاین در آن شرکت کنند و از طریق آواتارهای مجازی خود، با دیگران تعامل داشته باشند.. هر فرد می‌تواند آواتار مجازی خود را ایجاد کند و در فضای متاورس حضور داشته باشد، به همین دلیل، تعیین هویت و تشخیص تخلفات در محیط متاورس بسیار سخت می باشد. همچنین، با توجه به این که متاورس توسط چندین شرکت و بستر تحت عنوان شبکه‌های متفاوت اداره می‌شود، نظارت بر همه این شبکه‌ها و هماهنگی بین آن‌ها نیز چالش‌هایی را برای نظارت بر متاورس ایجاد می‌کند.

منبع خبر : magazine