طرح رتبه بندی اپلیکیشن های بومی اجرایی می شود
به گزارش مجله آزمون اول، برای حفظ حریم خصوصی و جلوگیری از بروز مسائل کاربران بخصوص در حوزه امنیت سایبری و انواع دسترسی ها (مانند گالری، دفترچه تلفن، لوکیشن و میکروفن) طرح رتبه بندی اپلیکیشن های بومی تلفن همراه با همکاری پلیس فتا تا دو ماه دیگر نهایی می شود. ابوالقاسم صادقی، معاون امنیت سازمان فناوری اطلاعات ایران با اعلام این خبر گفت: قصدمان این است که اپ استورها و توسعه دهندگان اپلیکیشن، نسبت به عرضه نرم افزارهای کاربردی متعهدتر عمل کنند و کاربران نیز در استفاده از آن، آگاه تر شوند.
در پی اعلام این خبر، روزنامه ایران به سراغ فعالان حوزه امنیت سایبری و برنامه نویسان رفت و نظر آنها را درباره این طرح جویا شد.
ارتقای اجباری امنیت سایبری اپ ها
کاظم فلاحی، کارشناس امنیت سایبری معتقد است که این طرح حرکت زیبایی است، چرا که این اقدام برای آگاهی دهی کاربران بسیار عالی و مفید است.
فلاحی با بیان اینکه حداقل کاربران با این کار می دانند کدام یک از اپ ها دارای چه رتبه ای در مراتب امنیت سایبری هستند، به ایران گفت: کاربری که تخصص ندارد، با مشاهده امتیازهایی که از نظر امنیتی و... برای یک اپ در نظر گرفته می شود براحتی تصمیم می گیرد که آن اپ را نصب کند یا نه، بنابراین اگر دارای امتیاز پایینی باشد، آن را دانلود نکرده و به سراغ برنامه ای مشابه با امنیت سایبری بالاتری می رود.
وی افزود: اگر این طرح عملیاتی شود، مهم ترین اتفاقی که روی خواهد داد این است که صاحبان اپ ها مجبور می شوند برای نصب بیشتر اپ خود از سوی کاربران، امنیت سایبری خود را ارتقا دهند تا در این راستا رتبه خوبی دریافت کنند. اکنون کسب و کارهای زیادی نیز دارای اپ هستند و با اینکه برای تبلیغات بیلبوردی آن هزینه های میلیاردی صرف می کنند ولی حاضر نیستند ریالی برای بخش امنیت سایبری و برای حفاظت از داده های شخصی کاربران خود هزینه کنند. آنها با اجرایی شدن این اقدام متوجه می شوند که اگر امنیت برنامه خود را ارتقا ندهند، کاربران آن را دانلود نمی کنند.این کارشناس امنیت سایبری معتقد است از آنجایی که در کشور ما اگر اطلاعات کاربران فاش شود قوانین سختگیرانه ای برای پیگیری مسئولان مربوطه و به دادگاه کشاندن آنها وجود ندارد، این اقدام می تواند تا حدی مانع از افشاگری اطلاعات کاربران شود.
فلاحی گفت: البته فروشگاه های برنامه های موبایلی، اپ ها را قبل از انتشار در فروشگاه خود، از بعد امنیت سایبری بررسی می کنند اما از آنجایی که حجم برنامه های ارسالی برای انتشار بالاست، بنابراین طبیعی است که نتوانند به صورت کامل و جامع بر این بخش نظارت داشته باشند.
وی با بیان اینکه باید ضمانت اجرایی قوی را برای متخلفان امنیت سایبری در نظر بگیرند، افزود: از آنجایی که برخی از کسب و کارها دارای کاربران زیادی هستند و این برنامه ها جزئی از زندگی روزمره مردم شده است، نمی توان به دلیل ارتقا ندادن امنیت سایبری، آن کسب و کار را متوقف کرد پس بهتر است ضمانت اجرایی، مشخص جریمه های مالی سنگین باشد.
این کارشناس امنیت سایبری اعتقاد دارد بهتر است دستگاه های بالادستی کسب و کارهای اینترنتی نیز برای بخش استارتاپ های حوزه خود تست نفوذ اجباری دوره ای در نظر بگیرند. دقیقاً کاری که بانک مرکزی از بانک ها می خواهد تا هر سه ماه یکبار تست نفوذ انجام دهند تا از منظر امنیتی تست شوند و اگر مسئله ای بود آن را رفع کنند و امنیت اپلیکیشن خود را ارتقا دهند. اگر تمام دستگاه های بالادستی این قانون را عملیاتی کنند، در بحث جلوگیری از آسیب پذیری ها چند گام به جلو حرکت می کنیم.
وی افزود: البته کسب و کارها می توانند برای ارتقای امنیت کسب و کار خود عضو پلتفرم های باگ بانتی شوند تا هکرهای کلاه سفید تست نفوذ انجام داده و در صورت داشتن باگ آن را رفع کرده و رتبه خوبی در بخش امنیت سایبری دریافت کنند.
پارسا یوسفی، دیگر کارشناس حوزه امنیت سایبری نیز این طرح را اقدام مثبتی بیان کرد و به ایران گفت: اگر چنین طرحی اجرا شود، اپ های دارای بدافزار شناسایی می شوند و از اعتبار آنها کاسته می شود.
یوسفی افزود: پیش از این در کشور ما و در اپ استورها، خیلی به این موضوع پرداخته نمی شد و قانون هم پیگیر نبود، از این رو خسارت های زیادی با نصب و دانلود اپ های ناامن به شهروندان و بخصوص در تلفن همراه و به حریم خصوصی افراد وارد می شد.
وی گفت: در زمینه اجرا و شناسایی بدافزارها و نرم افزارها باید مارکت های ایرانی بازوی اجرایی باشند و ناظر قضیه پلیس فتا و سازمان فناوری اطلاعات باشد.
کاهش آسیب پذیری ها
علی رضایی، دیگر کارشناس حوزه امنیت سایبری نیز با بیان اینکه دفاع و صیانت از کاربران در فضای مجازی و نظارت فنی بر امنیت ابزارهای کاربردی از کارکردهای اصلی حاکمیت است، به ایران گفت: این طرح در دو لایه آسیب پذیری های امنیتی برنامه های کاربردی تلفن همراه و دسترسی هایی که این برنامه ها در زمان اجرا دریافت می کنند، دنبال می شود. اول اینکه این طرح گام مؤثری در حفظ امنیت کاربران است. دوم اینکه با ارزیابی قابلیت های امنیتی برنامه های کاربردی، این اطمینان حاصل می شود که مکانیسم های امنیتی لازم در اپلیکیشن بخوبی پیاده سازی شده است و هم برنامه ها در برابر حملات بدافزارها مقاوم است، هم اینکه خود اپلیکیشن ها بدافزار نیستند بنابراین کاربر از هر دو تهدید در امان می ماند.
رضایی افزود: در ادبیات عمومی امنیت، قاعده ای با عنوان حداقل دسترسی مجاز داریم و با این طرح تنها دسترسی های مجاز برای برنامه مورد نظر قابل اجرا می شود و اگر برنامه ای نیازی به فعال شدن دوربین تلفن همراه نداشت، بنابراین آن دسترسی باید از برنامه مورد نظر حذف شود.
وی در ادامه گفت: این طرح برای آگاهی رسانی به کاربران مفید است. به طور مشخص، کاربر در زمان دریافت یک برنامه از فروشگاه برنامه های موبایلی، باید نشان امنیت و رتبه بندی برنامه کاربردی را مشاهده و اطمینان پیدا کند محصولی که در حال نصب آن است حداقل معیارهای مرتبط در آن رعایت شده است.
این کارشناس امنیت سایبری با بیان اینکه این طرح به ضمانت اجرایی نیاز دارد، گفت: همه چیز بستگی به سازوکار و روش اجرایی این رتبه بندی دارد. کاربران باید اطمینان حاصل کنند که یک برنامه کاربردی رتبه بندی شده، در هر به روزرسانی و تحت هر شرایطی، تهدیدی برای امنیت و حریم خصوصی آنها نیست.
وی افزود: به خصوص در برنامه های کاربردی مثل تاکسی های اینترنتی که اطلاعات شخصی کاربران نظیر آدرس های رفت و آمد و... ثبت می شود، بجز سطح فنی، به شکل حقوقی نیز نیازمند ضمانت های اجرایی است. به عبارتی برنامه کاربردی بجز سطح کاربر، در سطح سرور نیز داده های حریم خصوصی و امنیتی کاربران ذخیره می شود. ممکن است در زمان ارزیابی و رتبه بندی، امنیت لازم سرورهای ذخیره اطلاعات تأمین شده باشد، اما نیاز است با اخذ یک تعهد حقوقی از توسعه دهنده، از عدم انتشار داده های کاربران در طول چرخه عمر محصول نیز اطمینان حاصل شود.
رضایی با بیان اینکه این نوع رتبه بندی ها نیز در دنیا رعایت می شود، افزود: آزمایشگاه هایی در دنیا وجود دارند که اقدام به ارزیابی امنیتی برنامه های کاربردی تلفن همراه می کنند. همچنین نهادهایی وجود دارند که اقدام به طراحی و توسعه استانداردهای امنیتی و روش تست برنامه های کاربردی تلفن همراه می کنند. مثلاً بنیاد OWASP که به شکل تخصصی نیازمندی های امنیتی برنامه های کاربردی را بررسی و تهدیدات مرتبط را اعلام می کند.
10 تهدید اصلی برنامه های کاربردی تلفن همراه را اعلام کرده که شامل استفاده ناامن از پلتفرمی که برنامه در بستر آن کار می کند، ذخیره ناامن داده ها، ارتباطات شبکه ای ناامن، اعتبارسنجی ناامن، رمزنگاری ناکافی، کنترل دسترسی ناامن، برنامه نویسی ناامن در سطح برنامه کاربردی، آسیب پذیری کد برنامه در برابر حملات فیشینگ و بدافزارها، امکان مهندسی معکوس کد برنامه و وجود قابلیت های اضافه و مخفی از دید کاربر که توسط نفوذگر قابل سوءاستفاده است، می شود.
عماد رحمانی فعال بازی ساز، این طرح را اقدامی خوب و مثبت بیان کرد و گفت: رتبه بندی اپ ها بخصوص از منظر امنیتی و برای جلوگیری از آسیب پذیری برای کاربرانی که با این موارد آشنایی و تخصص کمی دارند و به عبارتی کاربران عام هستند، مفید خواهد بود.رحمانی با بیان اینکه به نظر می رسد سازمان فناوری اطلاعات با همکاری پلیس فتا می خواهد طرح گسترده تری را درخصوص بحث دسترسی ها و امنیت کاربران اجرا کند، افزود: ولی معمولاً بیشتر فروشگاه های برنامه های موبایلی خود محدودیت هایی برای دسترسی ها هنگام انتشار برنامه ها اعمال می کنند و هر برنامه ای که قرار است از سوی فروشگاه های برنامه های موبایلی منتشر شود باید درباره تمام دسترسی ها توضیح دهد که البته معمولاً نظارت نسبی دارند.
وی افزود: اما به نظر می رسد باید ضمانت اجرایی خوبی برای عملیاتی شدن این طرح در نظر بگیرند. از سوی دیگر باید ساختاری تعریف شود که فرایند زمانبر و هزینه بر نباشد و فروشگاه ها بتوانند آنها را با نظارت دولت و پلیس به راحتی انجام دهند تا بتوان اپلیکیشن های با امنیت بالا را به دست کاربران رساند تا کمتر دچار آسیب پذیری شده و اطلاعات آنها که بیشتر در تلفن همراه خود ذخیره می کنند، لو نرود.
منبع: ایران آنلاینگروه ساختمانی آبان: گروه ساختمانی آبان: بازسازی ساختمان و تعمیرات جزئی و کلی و طراحی ویلا و فضای سبز و روف گاردن، طراحی الاچیق، فروش درب های ضد سرقت را از ما بخواهید.