من علیرضا طباطبایی وکیل پایه یک با همکاری جمعی از وکلا، مهندسان کامپیوتر و کارشناسان جرائم رایانه ای در سال ۹۳ گروه حقوقی تخصصی وکیل سایبری را تاسیس کردم. اینجا مطالب روز دانش حقوقی جهان را دنبال کنید
خبرنامه وکیل سایبری (20 خرداد)
بسمه تعالی
خبرنامه وکیل سایبری
آخرین اخبار روز حقوق سایبری و جرایم سایبری جهان را با وکیل سایبری دنبال کنید.
این خبرنامه زیرنظر مستقیم علیرضا طباطبایی وکیل متخصص حوزه جرایم سایبری آماده می شود.
20 خرداد 1402
خبر اول:
بررسی مرز باریک ما بین جرایم سایبری و هک اخلاقی
خوشحالی ناشی از انجام کار هیجان انگیز هک می تواند اعتیادآور باشد. اما بسیاری بر این باورند که هکرهای کلاه سیاه (غیرقانونی) میتوانند قوه تشخیص خوب از بد ایجاد کنند و یاد بگیرند که از مهارتهای خود به خوبی استفاده کنند. البته مداخله مقامات در زمانی که هکرها هنوز جوان هستند هم میتواند اثرگذار باشد.
در عصر دیجیتال امروزی، که فناوری در تمام جنبههای زندگی ما نفوذ میکند، خطر جرایم سایبری قابل توجه می باشد. با توجه به اینکه هکرها دائماً در حال پیشرفت هستند، بررسی انگیزه ها و اخلاقیات در پشت پرده هک بسیار مهم تلقی می شود.
جرایم سایبری گروه سنی نمی شناسد و متأسفانه کودکان، ساده لوح و آسیب پذیر، اکثریت افرادی هستند که به این گروه از مجرمان سایبری تبدیل می شوند.
هکرهای «کلاه سیاه» و «کلاه سفید»
هکر کلاه سفید هکری می باشد که به روشی کاملا قانونی هک می کند. او دارای قرارداد کاری و تایید شرکتی برای هک می باشد.
این هکرها افرادی هستند که به صورت قانونی و با مجوز هک، آزمایش امنیت سیستمها و شبکهها را انجام میدهند. این هکرها اغلب قراردادها یا توافقنامههایی با شرکتها یا سازمانها دارند که به آنها اجازه میدهد ارزیابی امنیتی انجام داده و ضعفها را شناسایی کنند.
هکر کلاه سیاه دقیقا برعکس هکر کلاه سفید عمل می کند. انگیزه وی نسبتاً خودخواهانه و بدون توجه به عواقب قانونی آن می باشد. بیشتر اوقات انگیزه از انجام هک پول می باشد اما می تواند برای شهرت هم انجام شود.
دنیای هک دنیایی چند وجهی می باشد. علاوه بر جرایم سایبری، هک اخلاقی را هم در بر می گیرد. درک انگیزه ها و اخلاقیات در پشت پرده هک برای مقابله با تهدید فزاینده جرایم سایبری بسیار مهم می باشد. با ارائه آموزش، مداخله و پشتیبانی، جوامع می توانند افراد با استعداد را به سمت هک اخلاقی هدایت کنند و یک چشم انداز دیجیتال امن تر را برای همه ایجاد کنند.
برنامهها و آموزشهایی که برای جلوگیری از هکر شدن غیرقانونی و ترغیب به استفاده از مهارتهای هک در زمینههای قانونی طراحی شدهاند، میتوانند نقشی موثر در تغییر جهت فکری هکرها داشته باشند. علاوه بر این، ارائه فرصتها و بسترهایی برای استفاده از مهارتهای هک در حوزههای امنیتی و حفاظتی میتواند به هکرها کمک کند تا مسیری قانونی را دنبال کنند و به جامعه کمک کنند.
منبع خبر : euronews
خبر دوم:
چالش های ناشی از استفاده مجرمانه هوش مصنوعی برای مجریان قانون
با وجود پیشرفت های هوش مصنوعی (AI) که می تواند کارهای خوب زیادی انجام دهد، اداره تحقیقات فدرال (FBI) شاهد استفاده مجرمان از این ابزار با اهداف مخرب می باشد.
با ظهور هر فناوری جدید، مجرمان راهی برای استفاده از آن فناوری برای خود پیدا می کنند. همانطور که هوش مصنوعی به سرعت بخشی از جامعه می شود، مجرمان هم به همان سرعت از آن در فعالیت های خود استفاده می کنند.
مجرمان سایبری به هر طریقی که ممکن باشد از آن استفاده می کنند. در حال حاضر، ما شاهد ظهور هوش مصنوعی در موارد اخاذی، در موارد تهدیدهای دروغین، آدم ربایی مجازی جهت دریافت باج می باشیم.
در موارد اخاذی، مجرمان از کودکان عکس می گیرند، آنها را به گونه ای تغییر می دهند که مانند عکس های برهنه به نظر برسند، و از عکس ها برای مطالبه پول از خانواده استفاده می کنند. به گفته ی مجرمان پرداخت باج می تواند به حذف تصویر از اینترنت کمک می کند.
در مورد آدم ربایی مجازی برای باج گیری نیز وضعیت مشابهی وجود دارد. هوش مصنوعی به جای استفاده از عکس، یک تماس تلفنی با صدای جعلی یکی از اعضای خانواده ایجاد می کند. در پشت تلفن، گویی فرد در شرایط خطرناک قرار دارد و باید فورا پرداختی انجام شود.
یکی از نمونه های عمومی از هوش مصنوعی که باعث هرج و مرج و سردرگمی شده در ماه گذشته در شهر یوجین (آمریکا) اتفاق افتاده است. دو دانش آموز در دبیرستان یوجین جنوبی به شخصی به صورت آنلاین پول داده اند تا صدای تهدید آمیزی توسط هوش مصنوعی تولید و با مدرسه تماس بگیرند.
به مدت چهار هفته، هر چهارشنبه تلفن در مدرسه زنگ میخورد و تماسگیرنده میگفت که با تفنگ و مواد منفجره در سرویس بهداشتی می باشد. هر چهارشنبه، مدرسه در قرنطینه قرار میگرفت و پلیس محوطه مدرسه را زیر و رو میکرد. با اینکه دانشآموزان در نهایت دستگیر شدند و تهدیدها متوقف شد، اما نگرانی هایی هنوز در میان همکلاسیها وجود دارد.
با اینکه این تماس تلفنی یک فریب بود، اما مجری قانون باید این مسئله را جدی بگیرد چون بچهها و مردم فریب داده میشوند تا از این فناوری برای شوخی استفاده کنند، منابع مجری قانون ساعتها زمان صرف می کنند و در نتیجه به کل کلاس درس آسیب وارد میشود.
اف بی آی (FBI) به طور مداوم مشغول تحقیق و پژوهش درباره فناوریهای جدید می باشد تا بتواند پا به پای جنایتکاران اقدام کند. اما از نظر تاریخی، جنایتکاران سریعتر از قانونگذاران عمل میکنند چون سعی میکنند قوانینی برای فناوریهای جدید ایجاد کنند.
متأسفانه، ما باید منتظر سیاستهای نظارتی و قوانینی باشیم که به ما ابزاری جدید جهت مبارزه با هر چیزی که استفاده میشود، ارائه بدهد. اما در عین حال هم، باید اطمینان حاصل کنیم که از ابزارهایی که در دسترس داریم، به طور کامل استفاده میکنیم تا از هر گونه آسیب بیشتر جلوگیری کنیم و هر نقشهای که در حال حاضر شاهد آن هستیم را متوقف کنیم.
منبع خبر : kptv
خبر سوم:
تهدید استراتژی دفاعی سازمان ها بواسطه کمبود مهارتهای سایبری
بر اساس گزارشات جدید، کمبود مهارت های امنیت سایبری بر استراتژی های دفاعی سازمان ها در سراسر جهان تأثیر می گذارد.
با تسریع روند تحول دیجیتال، 66 درصد از رهبران کسبوکار، شانس خود را برای جذب مهارتهای سایبری لازم در سازمان خود ارزیابی نمیکنند و دلیل اصلی آن ناتوانی در برآورده کردن انتظارات حقوقی می باشد. 72 درصد از رهبران کسبوکار معتقدند که رویدادهای جهانی اخیر، مانند درگیریهای ژئوپلیتیک و همهگیری، بر نمایه ریسک سایبری در سازمان شان تأثیر گذاشته است و به گفته 84 درصد از رهبران، سازمان آنها یک حمله فیشینگ را در سازمانشان در سال 2022 تجربه کرده است. این امر منجر به آگاهی بیشتر کارکنان از تهدیدات بالقوه شده است.
آیا سرمایه گذاری در امنیت سایبری از زمان شیوع بیماری همه گیر آسان تر شده است؟
17 درصد از رهبران کسب و کار معتقدند که اینطور نیست. با این حال، تقریباً نیمی از آنها انتظار حداقل تغییر در بودجه فناوری اطلاعات خود را در سال 2023 دارند. متعاقباً، 68 درصد از رهبران امنیت سایبری می گویند که نگران سطح سرمایه گذاری در امنیت سایبری و بودجه فناوری اطلاعات خود هستند.
از آنجایی که تقاضا برای متخصصان امنیت سایبری بیشتر از عرضه می باشد، 90 درصد از رهبران معتقدند که فقدان مهارت های موجود بر اجرای امنیت آنها تأثیر می گذارد. برای ایفای این نقشها و به عنوان یکی از راههای غلبه بر شکافهای موجود در تیمهایشان، بیش از نیمی از رهبران اظهار داشتند که احتمالاً افرادی را استخدام کنند که مجوز رسمی ندارند.
رهبران همچنین بر این باورند که ارتقاء مهارت و آموزش متقابل اعضای تیمشان، مانند آموزش نحوه اجرای نقش های جدید، بهترین راه برای رسیدن به موفقیت برای کمک به کاهش شکاف مهارتی می باشد. اکثر رهبران، معتقدند که سازمان آنها باید بر روی آموزش کارکنان در مهارت های امنیت سایبری سرمایه گذاری کند.
ارتقای مهارتهای موجود نه تنها تضمین میکند که سازمانها به راحتی مهارتهای مورد نیاز خود را در دسترس دارند، بلکه میدانیم که ارائه منابع یادگیری راهی ارزشمند برای حفظ کارکنان می باشد. راهحلهای دیگری که توصیه می شود، شامل استخدام افراد حرفهای است که تجربه یا مهارت کامل ندارند اما مهارتهای قابل انتقال مناسبی دارند، یا در نظر گرفتن افراد حرفهای با مهارتی که دارای موانعی جهت ورود به محل کار هستند، مانند افرادی که اختلال اوتیسم را تجربه می کنند، افرادی دارای زمینه های اجتماعی-اقتصادی پایین تر یا افرادی که دارای معلولیت هستند.
تأمین نیروی کار ماهر در حوزه امنیت سایبری نقش بسیار مهمی در حفاظت از اطلاعات و دادههای حساس سازمانها دارد. بنابراین، توجه به این مسئله و ایجاد استراتژیهای مناسب برای مواجهه با کمبود مهارتهای امنیت سایبری امری ضروری می باشد.
منبع خبر : www2
خبر چهارم:
انتشار پیش نویس دستورالعمل مقابله با سوء استفاده آنلاین (چین)
مقامات چین در روز جمعه اعلام کردند که در حال جمع آوری نظر عمومی در مورد پیش نویس دستورالعملهای قابل استفاده برای مجازات سوء استفاده آنلاین هستند. این اقدام در پاسخ به نگرانیهایی می باشد که درباره مزاحمت های سایبری و حملاتی که به ویژه بر زنان و کودکان در بزرگترین جامعه اینترنتی جهان تاثیر می گذارد، ایجاد شده است.
این دستورالعمل ها به طور مشترک توسط نهادهایی از جمله وزارت امنیت عمومی و دادگاه عالی در پاسخ به خطری که سوء استفاده آنلاین برای نظم اجتماعی و حقوق افراد ایجاد می کند، تهیه شده است.
خشونت سایبری شامل رفتارهایی مانند انتشار شایعات آنلاین، توهین و افشاسازی می باشد که در برخی موارد، بسته به شدت آن، بر اساس پیش نویس دستورالعمل، مقامات اقداماتی را جهت مجازات قانونی کیفری در نظر می گیرند.
بنا به اطلاعات ارائه شده، مقامات چین خواستار این مسئله شدهاند که پلیس چین باید بهصورت به قربانیان خشونت سایبری کمک کند و اگر شکایتی دارند، ثبت شود.
این اقدام نشان میدهد که دولت چین تمایل دارد تا با ارائه حمایت قانونی مناسب و بهموقع، به قربانیان خشونت سایبری کمک کند و از آنان در صورت ثبت شکایت، حمایت کند. مهلت ارائه نظر تا تاریخ 25 ژوئن نیز بهمنظور جمعآوری نظرات عمومی و بهرهگیری از دیدگاههای مختلف در فرآیند تصمیمگیری درباره این پیش نویس تعیین شده است.
حوادث اخیر گزارش شده توسط رسانه های چینی بحث های عمومی را در مورد افشاسازی برانگیخته است. افشاسازی اصطلاحی می باشد که برای توصیف انتشار اطلاعات خصوصی افراد در اینترنت بدون رضایت آنها و نحوه برخورد با چنین حوادثی استفاده می شود.
در یکی از موارد اخیر، رسانه ها خودکشی یک مادر جوان در شهر مرکزی ووهان را پس از مرگ پسر شش ساله اش که توسط ماشین معلم در محوطه مدرسه زیر گرفته شده بود، به انتقاد رسانه های اجتماعی از رفتار او نسبت دادند.
منبع خبر : reuters
خبر پنجم:
نجات سازمان غیرانتفاعی از چنگال مجرمان سایبری
وقتی یک سازمان غیرانتفاعی را اداره میکنید، این احتمال وجود دارد که امنیت سایبری آخرین چیزی باشد که به ذهن تان میرسد. ممکن است به نظر برسد که در دنیای غیرانتفاعی، افرادی که به دنبال سود و بهرهبرداری ناعادلانه از سازمان هستند، وجود ندارند. اما واقعیت این است که حملات سایبری به سازمانهای غیرانتفاعی هم رخ میدهند و برای جنایتکاران سایبری جذابیت دارند.
سازمانهای کوچکتر بیشتر قربانی حملات سایبری میشوند، زیرا احتمال کمتری دارد که منابع محدود خود را برای تقویت امنیت خود صرف کنند. این مورد به ویژه در مورد سازمان های غیرانتفاعی بیشتر صادق می باشد.
حتی اگر رهبران امنیتی، امنیت سایبری را به عنوان یک موضوع مهم در نظر بگیرند، ممکن است تصور کنند که بدون پول یا زمان کافی، نمی توانند از سازمان های خود محافظت کنند. اما چندین قدم وجود دارد که نیازی به تخصیص مقدار زیادی از منابع به امنیت ندارد. فقط همکاری تیم های یک سازمان و نظارت بیشتر از سوی IT حرف اول را می زند.
هشت گام موثر برای ایمن سازی سازمان غیرانتفاعی:
در جریان بهترین شیوه های امنیتی باشید
اگر از نرمافزار قدیمی استفاده کنید، هکرها براحتی می توانند وارد سازمان شما شوند. از آن دسته سازمان هایی نباشید که هنوز به اینترنت اکسپلورر متکی هستند. همه نرم افزارها و سیستم عامل ها را به روز کنید تا اطمینان حاصل کنید که نقض های امنیتی شناخته شده در اسرع وقت وصله می شوند. به روز نگه داشتن همه چیز به رهبران امنیتی کمک می کند تا عملکرد بهینه را از سوی سخت افزار خود دریافت کنند.
رمز عبور خود را تقویت کنید
همه افراد در یک سازمان باید از رمزهای عبور پیچیده و تصادفی استفاده کنند که نفوذ به آنها دشوار و حدس زدن آنها عملاً غیرممکن باشد. یک تیم نباید از این رمزعبورها برای سایتهای دیگر استفاده کند و باید آنها را مرتباً تغییر دهد (رهبران امنیتی میتوانند تنظیم کنند تا رمزعبورها در یک بازه زمانی خاص تغییر کنند).
از همه افراد بخواهید به جای ذخیره رمزهای عبور مستقیم در رایانه خود از یک مدیر رمز عبور استفاده کنند. این کار باعث می شود تا کارمندان به راحتی رمزهای عبور پیچیده ای را که ایجاد می کنند، به خاطر بسپارند.
اجرای احراز هویت دو مرحله ای (2FA)
رمز عبور باید تنها بخشی از فرایند ورود باشد. رهبران امنیتی باید 2FA را در سراسر یک سازمان پیاده سازی کنند. این امر به عنوان یک خط دفاعی دیگر در هنگام سرقت رمز عبور عمل می کند. کاربران باید با تأیید ورود به سیستم از طریق دستگاه دوم (معمولاً تلفن خود) تأیید کنند که کاربر واقعی هستند. در حالت ایده آل، این فرایند احراز هویت باید از طریق یک برنامه انجام شود. پیامک راحتتر از برنامههای احراز هویت اختصاصی مورد سرقت قرار می گیرد.
پشتیبان گیری معمول از داده هایتان را در اولویت قرار دهید
با این که پشتیبانگیری از دادههای مهم، مانع قربانی شدن یک سازمان در برابر حمله سایبری نمی شود اما در صورت وقوع حمله، می تواند سازمان را در موقعیت بسیار بهتری قرار دهد. برای مثال، در حملات باجافزاری، اگر از دادههایی که تهدید به حذف آنها میشوند، بهطور امن در جای دیگری پشتیبانگیری شده باشد، مهاجمان قدرت خود را از دست میدهند. پشتیبان گیری در حادثه سرقت، از دست دادن یا خرابی سخت افزار امری ضروری می باشد.
نسخه های پشتیبان باید در مکانی امن خارج از سایت نگهداری شوند. این مورد تضمین میکند که هرگونه حادثه ای که بر ذخیرهسازی اولیه تأثیر گذارد، بر روی سیستم های ضد خطا تأثیری نخواهد گذاشت.
نسبت به تهدیدات احتمالی هوشیار باشید
حضور آنلاین را به طور پیوسته زیر نظر داشته باشید تا هر گونه فعالیت مشکوکی را قبل از اینکه مشکل ساز شو،د شناسایی و مدیریت کنید. یعنی بر روی شبکه ها، سرورها، وب سایت و حضور در رسانه های اجتماعی نظارت کامل داشته باشید. به دنبال هر گونه آسیب پذیری یا نقضی باشید که بر پلتفرم های یک سازمان تأثیر می گذارد. به این ترتیب، حتی اگر در معرض نفوذ شخص دیگری قرار گیرند، رهبران امنیتی می توانند به سرعت آسیب را کاهش دهند.
اطلاعات حساس خود را رمزگذاری کنید
واقعیت تاسفبار درباره امنیت سایبری این است که، حتی با وجود تمام حفاظتهای مناسب، همچنان میتواند رخ دهد، به همین دلیل بسیار مهم است که همه دادههای شخصی و خصوصی کاملا رمزگذاری شوند. به این ترتیب، حتی اگر کسی بتواند فایلها و اسناد حساس را سرقت کند، نمیتواند به آنها دسترسی داشته باشد.
رمزگذاری فقط بر روی داده های ذخیره شده اعمال نمی شود. رهبران امنیتی در صورت ارسال یا دریافت اطلاعات خصوصی باید این کار را از طریق کانال های رمزگذاری شده انجام دهند. اگر به ایمیلها متکی هستید، از PGP یا سایر گزینههای رمزگذاری استفاده کنید. بهتر است از پلتفرمی استفاده کنید که به طور پیش فرض رمزگذاری را برای ارسال و دریافت اطلاعات ارائه می دهد.
مجوزهای دسترسی را محدود کنید
در حالی که ارائه دسترسی آزاد به دادههای یک سازمان برای همه اعضای تیم ممکن است آسانتر باشد، اما آسیبپذیری بزرگی محسوب میشود. رفتار پیشفرض باید ممانعت از دسترسی به اطلاعات باشد، مگر اینکه کارمند نیاز به دیدن مطلبی داشته باشد. وقتی کارمندی شرکت را ترک میکند یا دیگر نیازی به دسترسی ندارد، اطمینان حاصل کنید که مجوزها را حذف کرده باشید. این سیاستی ست که باید همیشه بخاطر داشته باشید.
مستندسازی مراحل و آموزش تیم
بهترین روشهای امنیت سایبری تنها زمانی کار میکنند که همه آنها را اجرا کنند. بهترین شیوه ها را تدوین کنید و تیم خود را در مورد آنها آموزش دهید. تصور نکنید که همه می دانند که کارهایی مانند اجتناب از وای فای عمومی یا به روز نگه داشتن همه چیز را باید انجام دهند. آموزش امنیت را به یک امر عادی تبدیل کنید. همانطور که تمرینات به روز می شوند، تیم هم باید بروز شود.
ممکن است به نظر برسد که چون یک سازمان غیرانتفاعی کوچک می باشد، احتمال اینکه توسط جنایتکاران سایبری که به دنبال کسب سود هستند، مورد توجه قرار گیرد، کمتر است. اما واقعیت این است که این ویژگیها سبب میشوند که آنها هدف دقیقی برای جنایتکاران سایبری باشند. بهتر است منتظر نباشید تا بعد از یک فاجعه اطلاعاتی، بر روی امنیت سرمایهگذاری کنید.
سازمانهای غیرانتفاعی، چه بزرگ یا کوچک، دارای اطلاعات حساس و ارزشمندی هستند که برای جنایتکاران سایبری جذابیت دارد. از جمله این اطلاعات میتوان به اطلاعات مالی و مشتریان، اطلاعات شخصی و اطلاعات سازمانی اشاره کرد. بنابراین، سازمانهای غیرانتفاعی باید به امنیت دادههای خود توجه و تلاش کنند تا در مقابل تهدیدهای سایبری مقاومت کنند.
سرمایهگذاری در امنیت سایبری یک نیاز ضروری است و انجام آن نباید به تأخیر افتد. با ایجاد سیاستها و فرآیندهای امنیتی مناسب، اعمال اقدامات پیشگیرانه، آموزش کارکنان درباره مسائل امنیتی و ایجاد نسخههای پشتیبان از دادهها، سازمانهای غیرانتفاعی میتوانند بهبود قابل توجهی در امنیت خود داشته باشند. همچنین، همکاری با متخصصان امنیت سایبری و استفاده از ابزارهای به روز هم کمک کننده می باشد.
منبع خبر : securitymagazine
مطلبی دیگر از این انتشارات
خبرنامه وکیل سایبری (31 مرداد)
مطلبی دیگر از این انتشارات
خبرنامه وکیل سایبری (8 خرداد)
مطلبی دیگر از این انتشارات
خبرنامه وکیل سایبری (26 تیر)