امنیت، واژه راهبردی است و در عصر امروز از زمانی که برخی نگرانیها درخصوص تعرض به حریم خصوصی افراد و سازمانها و قطع سرویسهای ضروری ظاهر شد، متخصصان فناوری اطلاعات برای مقابله با این تهدیدات و تامین پایداری خدمات تحت شبکه بنگاهها و نیز افراد و دستگاههای مختلف، تلاشهای ارزشمندی را سازماندهی کردند تا فضای اعتماد به تبادلات الکترونیکی دچار آسیب کمتری شود. در همین راستا تولید محصولات مختلف امنیتی اعم از سختافزاری و نرمافزاری در حوزههای گوناگون، ارایه راهکارها و تدوین سیاستهای خرد و کلان برای صیانت از امنیت و پایداری فضای تبادل اطلاعات، تربیت نیروهای متخصص به منظور حفاظت از شبکههای تبادل اطلاعات، همچنین ایجاد آمادگی در برابر حوادث ناشی از تهدیدات الکترونیکی همگام با پیشرفت دانش IT، در صحنه دنیای دیجیتال، نمود بیشتری پیدا کرده است.
در بانکداری سنتی نیز افراد با برخی تهدیدات مواجه بودند که این تهدیدات در سیستم الکترونیکی به صورت دیگری وجود دارد. بانکها برای تامین و افزایش امنیت در بانکداری الکترونیکی و کاهش تهدیدها در کنار رعایت سیاستهای امنیتی مانند محرمانگی، سندیت، تمامیت وغیره باید از ابزارهای امنیتی همچون تکنیکهای رمزنگاری نظیر رمز دوعاملی، استفاده از کد کاربری و رمز عبور، گواهیهای دیجیتال، امضای دیجیتال، نرمافزارها و پروتکلهای امنیتی بهره گیرند.
از این رو، در این میزگرد آنلاین از سلسله نشستهای تخصصی حوزه بانکداری، موضوع «رویکرد مدیریت امنیت در تحول دیجیتال» با حضور سرهنگ داوود معظمی گودرزی رییس پلیس فتا تهران بزرگ، نوشآفرین مومن واقفی مدیرعامل هلدینگ فناوری بانک تجارت (تفتا) و علی عباسنژاد، مدیرعامل گروه شرکتهای کهکشان، با تاکید بر شناسایی تهدیدات عمده سایبری در فضای کسبوکار و تجربیات موجود در این عرصه، مورد بحث و تبادل نظر قرار گرفته است. ماحصل این میزگرد، پیشروی شماست.
*در ماههای اخیر، اخبار زیادی درباره مشکلات متعدد در زمینه عدم دسترسی سرویسهای مختلف، از کارگزاریهای بورس تا سرویسهای مخابراتی وغیره شنیده شد. با توجه به رویکرد تحول دیجیتال در حوزه بانکداری کشور، استفاده هرچه بیشتر از خدمات بانکداری برخط و وابستگی فراوان زیرساختهای بانکی به فناوری، بالاخص فناوریهای امن بیشتر شده است. جناب سرهنگ معظمی، با توجه به افزایش تمایل به استفاده از خدمات برخط، نفوذگران به شبکههای بانکی، عمدتا چه کسانی هستند؟ هدف آنها از حملات به شبکه بانکی و زیرساختهای آن چیست؟
معظمی گودرزی: حمله به زیرساختهای کشور از سازمان بورس تا سایر نهادها، همواره وجود دارد. برخی مواردی که اشاره کردید، در پلیس فتا با عنوان پروندههای جرایم سایبری تحت بررسی هستند. پلیس فتا در یک نگاه امنیتی، لابراتوار امنیتی است و فعالیتهای سازمانها بعد از اینکه اقدامات امنیتی خود را در بالاترین سطح انجام میدهند یا برای آن سطح تعیین میکنند، از طریق پروندههایی که در دست پلیس فتاست، سنجش میشود. مثلا یک سازمان یا بانک مدعی میشود که بالاترین سطح امنیت را برقرار کرده است. در این حالت، اولین پرونده جرایم سایبری که به سمت ما میآید، آسیبپذیری آن را متوجه میشویم و آن را گوشزد میکنیم. افراد یا سازمانها ممکن است با انگیزههای مختلفی اعم از اقتصادی، اجتماعی، فرهنگی و سیاسی این نفوذ یا حملات را انجام دهند. براساس ورودیهای پروندههایی که در پلیس سایبری داریم، حملات انجامشده در شبکه بانکی، توسط اشخاصی انجام میشود که انگیزه مالی دارند. حملات آنها، بیشتر فیشینگ یا دسترسی به اطلاعات است که پیرو آن، باجخواهی صورت میگیرد و بحث باجافزارها نیز در اینجا مطرح میشود.
*روزهای گذشته، خبری در خبرگزاریهای رسمی دنیا منتشر شد. یاهونیوز به نقل از یک منبع آگاه رسمی ایالات متحده اعلام کرد که گویا ترامپ به سازمان سیا برای نفوذ و خرابکاری به زیرساختهای ایران اختیار تام داده است. با توجه به رویکرد متخاصم آمریکا در برابر ایران، میتوان گفت آیا در حالت فعلی، ممکن است به شبکه بانکی ما نفوذ کرده باشند؟ و اصولا باید نگران خرابکاری از سوی این دولتها باشیم یا خیر؟
عباسنژاد: سوال خیلی خوبی است. در کشور ما وقتی از تعبیر امنیت سایبری استفاده میشود، این اصطلاح بیشتر برای افراد بهکار میرود نه دولتهای متخاصم. موضوعی که اشاره کردید، از پایان سال ۲۰۱۸ اتفاق افتاده است؛ یعنی از ابتدای سال ۲۰۱۹، نوع دیگری از حملات سایبری را در کشور شاهد بودیم. دستور ترامپ دو تفاوت کلی داشته و محدودیتهای قبلی را برداشته است. اولین تفاوت این است که نوع حمله، فرق میکند و دومی اینکه چه کسانی مخاطب هدف (target) هستند. در حال حاضر، سیا اجازه دارد به راحتی علیه ما حملات سایبری انجام دهد بدون اینکه دستور از کاخ سفید بگیرد در حالی که قبلا باید هماهنگ میکردند. بنابراین ما الان باید به بازیگران تهدید که به شبکه بانکی کشور حمله میکنند، علاوه بر افراد با انگیزههای مالی، یک دولت متخاصم را هم اضافه کنیم. مساله بعدی این است که براساس دستور ترامپ، هدف، ایجاد اختلال و قطع کردن سرویسها (disruption) است. نمونه disruptionها، بحث قطع برق یا آشکارسازی اطلاعات محرمانه افراد، اعضا و حتی مشتریان سازمانهاست. ما از سال ۲۰۰۹ بعد از استاکسنت، نمونههای متعددی از حملات دولت متخاصم را به کشور داریم اما با این دستور باید مشکلات جدید و متفاوتی را متصور باشیم. نوع حملات بسیار زیادتر خواهد بود و با توجه به شرایط کشورمان، باید در شبکه بانکی توجه ویژهای به حوزه امنیت سایبری داشته باشیم.
*در ماههای گذشته، نشت اطلاعات در صنایع و نهادهای مختلف اعم از دانشگاهها، اپراتورهای مخابراتی، ثبت احوال، استارتآپها و حملونقل، بهطور متعدد مطرح شده است. حتی سال گذشته شنیده شد که وزارت رفاه، اطلاعات تمامی مشتریان شبکه بانکی از صدر تا ذیل را از بانک مرکزی خواسته بود و بانک مرکزی در قالب یک سیدی این اطلاعات را به وزارت رفاه داده است. آیا شما این موضوع را تایید میکنید یا خیر؟ اخیرا نیز این موضوع در ثبت احوال برای وزارت صمت اتفاق رخ داد و اطلاعات در قالب یک سیدی در اختیار سازمان دیگری قرار داده و روی اینترنت بارگذاری شد. با این وضعیت، عملا به نشت اطلاعات عادت میکنیم! خانم واقفی به نظر شما، با توجه به ذخیره اطلاعات بسیار زیاد شبکه بانکی و محرمانگی این اطلاعات، ابزارهای دفاعی کافی را در کشور داریم؟ آیا شبکه بانکی ما ایمن است؟ البته مثالهای مطرحشده نشان میدهد اگر به صورت سیستمی، ایمن هستیم در حوزه پرسنلی ایمن نیستیم. دلایل این اتفاقات چیست؟
واقفی: یکی از زیرساختهای جذاب و حیاتی هر کشور، زیرساخت فناوری پولی و بانکی آن کشور است. هر اختلال امنیتی که در این زیرساخت اتفاق میافتد بسته به سطح آن، میتواند تبعاتی در یک کسب وکار، صنعت یا یک کشور داشته باشد. به نظر من، هنوز در کشور رخداد جدی نداشتیم و آنچه شما اشاره کردید، نسبت به آن چیزی که با توجه به شرایط خاص کشور میتواند رخ دهد، طنز کوچکی است! نوع واکنش نسبت به آن موارد و ریشهیابی دلایل آن، موجب نگرانی میشود. هر اقدامی انجام شود، امنیت صددرصد نخواهیم داشت بنابراین وجود رخدادهای امنیتی و حتی نشت دیتا در تمام دنیا وجود دارد و ما هم از این قاعده مستثنا نیستیم اما علت ایجاد آن چیست؟ آیا تیم هکری پیشرفته به دیتاها دسترسی پیدا کردهاند یا اینکه یک دانشآموز دبیرستانی به یک آسیبپذیری که در چند سال گذشته وجود داشته و مهار نکردیم، دسترسی پیدا کرده است. از دیدگاه بنده، واقعیت این است با توجه به سطح ریسک، اقدامات لازم را در سطح کلان کشور انجام ندادهایم. فرایند برخورد با یک رخداد امنیتی باید شفاف باشد. با مواردی که خطرپذیری بالا هم تلقی نمیشوند، برخورد سیستماتیک مناسبی نداشتیم و اگر همگرایی بین ساختارهایی که در کشور بدون تحلیل ریسک و بدون اقدام جدی در حوزه طراحی و منابع انسانی، بخشنامه و دستورالعمل در حوزه دیتا صادر میکنند، انجام نشود، انتظار سونامی در نشت واقعی دیتا را در آینده باید شاهد باشیم. آنچه تا کنون اتفاق افتاده در مقایسه با اتفاق اصلی، چیز زیادی نیست.
*آقای دکتر عباسنژاد، آیا شما به واسطه تجربیاتتان، نمونههای دیگری به جز مواردی که ذکر کردم، سراغ دارید؟
عباسنژاد: در تحول دیجیتال در حوزه بانکی، همانطور که خانم واقفی فرمودند، هنوز اتفاقی نیفتاده است. اما اینکه در سالهای گذشته در صنعت بانکی و در حوزه پولی و اعتباری در کشور اتفاقی افتاده یا خیر، باید عرض کنم اتفاق افتاده است؛ شاید برخی از آنها خبری و رسانهای نشده باشد یا کنترل شده باشد اما مدیرانی که در همین پادکست حضور دارند، یادشان هست که اتفاقاتی رخ داده است؛ یکی از این موارد، شرکت انیاک و افشای اطلاعات کارتهای بانکی بود که مردم مجبور به تعویض رمز شدند. این، یک نمونه ساده است. همچنین مواردی که نقلوانتقال پول به دلیل آسیبپذیری شبکه بانکی -نه به دلیل فیشینگ و نظایر آن- وجود داشته که در بانکهای بزرگ کشور اتفاق افتاده است. هرچند در حال حاضر با خارج از کشور، ارتباط مالی چندانی نداریم و امکان اینکه پول در کشور دیگری نقد شود، چندان وجود ندارد اما روشهایی برای استفاده از این پولها وجود دارد. اگر بگوییم ریسک، پارامتری از احتمال وقوع در شدت اثر است، احتمال وقوع آن زیاد است و بعید میدانم بانکی وجود داشته باشد که اعلام کند چنین تجربهای را نداشته است. با این وجود فکر میکنم تمام اتفاقاتی که رخ داده، نسبت به اتفاقاتی که میتوانست ایجاد شود، چندان جدی نیست. با این حال، به دلیل شرایط خاص کشور از نظر سیاسی، جغرافیایی و اقتصادی در نقطهای هستیم که باید توجه بیشتری به امنیت سایبری شود به دلیل اینکه دولت متخاصم هم نگاه جدی به این حوزه دارد و به دنبال این است که شبکه پولی و بانکی کشور را دچار مشکل کند.
*برخی بانکهای خارجی در اقدامات نوآورانه، موضوع امنیت خود را به شرکتهای دیگر، برونسپاری میکنند. البته برخی بانکهای داخلی نیز در حال حرکت به این سمت هستند. جناب معظمی، نظر شما به عنوان پلیس در این حوزه چیست؟ آیا برونسپاریها عامل تهدید نیستند یا اینکه قابل مدیریت هستند؟
معظمی گودرزی: متاسفانه این برونسپاریها، بدون لحاظ کردن تمهیدات امنیتی صورت گرفته و یکسری بانکها این اقدام را انجام دادهاند. ما براساس گزارش رخدادهای دریافتی، موضوعات را دستهبندی کردیم و متاسفانه ایرادات زیرساختی به این موضوع وارد است. ما در بالاترین سطوح لازم، استانداردهای امنیتی را از بانکها مطالبه میکنیم، غافل از اینکه بخش اعظمی از دیتا که در بالاترین سطح محرمانگی قرار دارد در اختیار شرکتی است که هیچ تمهیدات امنیتی را رعایت نمیکند و اتفاقاتی رخ میدهد که برای ما به عنوان پلیس بهتر قابل لمس است. چند نمونه از مشکلات برونسپاری امنیت در شبکههای بانکی را تشریح میکنم.
اولین نکته، عدم چابکی در بهینهسازی سیستمها در شرکتهای برونسپاری است. مثلا وقتی به بانکها گفته میشود OTP یا رمز پویا را روی اینترنت بانک اجرا کنید، باید با آن شرکت مذاکره کنند که ممکن است چندین ماه طول بکشد و هزینههای هنگفتی هم بپردازند و نهایتا زمان مشخصی برای انجام آن به ما اعلام نمیشود. در حالی که هر روز پروندههایی را شاهد هستیم زیرا جرایم به این سمت، تغییر یافتهاند. متاسفانه این کار منوط به شرکتهایی شده که چندان چارچوبهای امنیتی را نیز رعایت نمیکنند.
دومین نکته، خطر نشت اطلاعات در برونسپاری اطلاعات به سایر شرکتهاست. در مواردی، اطلاعات محرمانه در اختیار شرکتهایی بوده که برونسپاری شده و مشاهده شده که اطلاعات به صورت آشکار در اختیار آنها قرار میگیرد و افرادی که هیچگونه تاییدیه امنیتی ندارند به محرمانهترین اطلاعات آن بانک دسترسی دارند. یک کارمند ناراضی میتواند اطلاعات را استخراج و باجخواهی کند. همچنین پروتکلها و استانداردهای امنیتی بههیچ عنوان از سوی این شرکتها رعایت نمیشود.
سومین نکته عدم توجه به قراردادهای منعقدشده است. متاسفانه در برخی بانکها، اشراف لازم روی حقوق فناوری وجود ندارد و بدون توجه به محتوای قرارداد، بالاترین سطح دسترسی آن شرکت برونسپاریشده به کُر وجود دارد که این امر، محرمانگی، اطلاعات خصوصی مردم و امنیت ملی را خدشهدار میکند.
چهارمین نکته این است که هرچند بسیاری از بانکها فعالیتهای مناسبی در این زمینه دارند و با پلیس هماهنگ هستند اما متاسفانه برخی بانکها، با بعضی شرکتها قرارداد میبندند و بر آن پافشاری میکنند. وقتی آسیبشناسی صورت میگیرد، تبانیهایی با برخی پیمانکاران مشاهده میشود. افرادی که در این شرکتها هستند، قبلا در این بانک فعال بودند و امنیت خدشهدار میشود.
پنجمین نکته مشکل ساختاری در بحث برونسپاری است که به حوزه ساختاری بانکها برمیگردد. امیدواریم رگولاتورهای مربوطه در این حوزه، دستورالعمل جامعتر و قابل اجرا صادر کنند. مستحضر هستید که امور فناوری تمام بانکها فعال است اما در کنار آن باید حوزه امنیت از نظر ساختاری زیرنظر بالاترین رده بانکی یعنی مدیرعامل باشد. در حالی که حوزه امنیت یا در دل فناوری است یا بنا به دلایلی بسیاری از حملات گزارش نمیشوند یا امنیت در بانکها، زیرنظر حراست و بازرسی قرار گرفته است. این ایراد ساختاری برای پلیس فتا، نگرانی ایجاد کرده و موجب شده برخی موضوعات، گزارش نشود و تناقضاتی در آمار داشته باشیم.
ششمین نکته، کارمندان ناراضی بانکها هستند. این کارمندان، میتوانند بیشترین ضربه را بزنند زیرا مسیرها را میدانند و دسترسیهایی دارند. در این زمینه، جمع کردن اتفاقاتی که رخ میدهد، بسیار دشوار است.
اگر این موارد در قالب پروتکلهای امنیتی توسط بانکها رعایت شود، قطعا شاهد بانکداری امنتر خواهیم بود و پلیس فتا نیز در کنار بانکهاست تا امنیت را روزبهروز ارتقا دهد.
عباسنژاد: درباره اظهارات جناب سرهنگ معظمی و موضوع برونسپاری حوزه امنیت از سوی بانکها، یک مساله خیلی مهم است. ریسک آبرویی و ریسک امنیت، قابل انتقال نیست؛ یعنی بانک نمیتواند با واگذاری خدمات امنیتی به شرکتهای پیمانکار، ریسک امنیتی را به آن شرکت منتقل کند زیرا هرچه ضمانتهای مختلف اخذ شود، به هر حال آبروی یک بانک و امنیت کاربران آن مطرح است. آنچه بانک منتقل میکند، فرایندهای عملیاتی است. اینکه متاسفانه بانکها در انتخاب پیمانکار حوزه امنیت اطلاعات، روالهای درستی را انتخاب نمیکنند بنده نیز قبول دارم و باید تصحیح شود. در کشور ما، سازوکارهایی برای انتخاب شرکتهای امنیتی معتمد مانند مرکز راهبردی افتا وجود دارد که شرکتهای امنیتی را از نظر خدمات طبقهبندی کرده و این شرکتها تحت نظارت فنی و امنیتی هستند تا هم کارشان را درست انجام دهند و هم افرادی را استخدام کنند که متبحر و قابل اعتماد باشند.
مورد دوم یعنی مشکل ساختاری که اشاره شد، نیز کاملا درست است. ساختار امنیتی باید ساختاری مستقل باشد. امنیت هیچگاه برای سازمان، ارزش جدیدی ایجاد نمیکند. هدف امنیت، از بین نرفتن سایر ارزشهای یک سازمان است. بنابراین اگر امنیت در زیرمجموعه واحد فناوری باشد، در نهایت موضوع به مدیر فناوری اطلاعات ارجاع میشود و وی مشکل را گزارش نمیکند اما با توجه به اینکه ما به سمت تحول دیجیتال و وابستگی بیشتر به سمت فناوری اطلاعات حرکت میکنیم، اگر ساختار جداگانه برای امنیت وجود داشته باشد، این مشکلات باید به سرعت گزارش شود تا مدیران ارشد بانکی فورا آن را حل کنند. این مشکل ساختاری با کمک رگولاتور یعنی بانک مرکزی، میتواند هرچه سریعتر حل شود.
*در کشورهای پیشرفته با سیستم بانکی کارآمد، یکی از ارکان موفقیت حوزه بانکی، رگولاتورهای شبکه بانکی هستند. به عنوان فردی که سالها در این حوزه فعالیت داشتهاید، نقش رگولاتور را در حوزه امنیت سایبری چقدر جدی میدانید، آیا تاکنون نقش خود را به خوبی ایفا کرده است؟
واقفی: خوشبختانه در چند سال اخیر، بحث امنیت سایبری در کشور تا حدی موردتوجه بوده و نهادها و سازمانهای مختلفی نیز در این حوزه در بخش متولیگری آن وارد شدهاند اما نکته اینجاست که آیا با توجه به موارد دارای ریسک و خطرپذیری بالا، برنامهریزی کردهایم و به تدوین قوانین پرداختهایم یا خیر؟ این موضوع، بحث مفصلی میطلبد. قطعا رگولاتور نقش بسیار مهمی در حوزه امنیت دارد و البته یک چاقوی دولبه است. اگر قوانینی داشته باشیم که به شدت سختگیرانه باشد یا کار تخصصی روی آن انجام نشده باشد، میتواند ریسک بزرگتری ایجاد کند. اگر به حوزه صنعت بانکی دنیا نگاه کنیم، میبینیم که چقدر در این حوزه خلأ بانکی داریم. این خلأهای قانونی، موجب شده مشتریان سرویسهای بانکی کسانی باشند که با ریسکها و چالشهای جدی مواجه شوند؛ مثلا در بانکداری باز در دنیا چند سال در حوزه PSP2 کار میکنند و بعد وارد حوزه تکنیکال آن میشوند. ما در ایران، دو سه سال در بحث بانکداری باز از نظر فنی کار میکنیم و چهارپنج روز هم در زمینه رگولیشن کار میکنیم؛ این مثال، تفاوت نگاه را در حوزههای مختلف در ایران و دنیا نشان میدهد، بنابراین ما نیازمند اصلاح قوانین هستیم که متخصصان روی آن کار کنند. نمونه دیگر، قانون GDPR اروپا، در حوزه حریم خصوصی است. در کشور ما، اطلاعات یک مشتری بانکی بدون اجازه وی در اختیار دیگری قرار میگیرد در صورتی که در GDPR نسبت به این موضوعات، بسیار سختگیرانه برخورد میشود، بنابراین ما در حوزه فناوری طی یک دهه گذشته یا در ۱۵ سال قبل، پیشرفت خیلی خوبی داشتهایم اما متناسب با آن، هنوز نتوانستهایم الزامات، قوانین، ساختارهای اجرایی و حسابرسیهای IT را ایجاد کنیم. این امر، یکی از نقاط آسیبپذیر ماست که باید انرژی بیشتری برای بهبود آن گذاشته شود. ضمن اینکه رگولاتور لزوما نباید فقط سند بدهد. ما در بسیاری از زیرساختها که نیاز اصلی امنیت است، عقب هستیم مثلا ۱۵ سال است که وضعیت امضای دیجیتال مشخص نیست. این موارد موجب میشود در فضاهای فنی و امنیتی به شدت دچار چالش شویم.
*ما در شماره اخیر هفتهنامه عصر ارتباط، گزارشی را درباره شاپرک منتشر و نقش این نهاد را در نظارت بر عملکرد PSPها بررسی کردیم. به نظر میرسد رگولاتور بانکی ما به جای اینکه به دنبال راهحل برای رفع مشکلات باشد، بیشتر به دنبال اعمال جریمه سنگین در حوزه تخلفات، اعم از امنیت یا سایر حوزههاست و از این طریق، سعی در مدیریت حوزه امنیت دارد؛ آیا این رفتار منطقی است و با جریمه کردن حل میشود؟
واقفی: بنده این رگولیشن را هنوز ملاحظه نکردم و بنابراین اظهارنظر من، قطعی نیست اما یک نکته مهم وجود دارد. برخی مواقع قانون بد صدمات بیشتری از نبود قانون ایجاد میکند. قطعا در تمام دنیا، جرایم وجود دارد و یکی از راهکارهای برخورد، جرایم است اما اینکه این جرایم، متناسب با جرم است یا خیر؟ و اینکه آیا این جرم توسط آن افراد یا شرکتها و سازمانها، قابل پیشگیری و مدیریت است یا خیر؟ قطعا باید در مقرراتگذاری دیده شود. اولین بحث در امنیت، شفافسازی نقشها و مسوولیتهاست. اگر با مسوولیتی که داده شده، واقعا آن شرکت یا سازمان میتواند جلوی تخلفات را بگیرد و این کار را انجام نمیدهد، باید جریمه شود وگرنه حتما قانون دچار ضعف است که موجب ایجاد این فضا شده است.
*در حوزه واگذاریهای API کارت به کارت به بعضی از شرکتها، اتقاقات بدی رخ داد و اطلاعات بسیاری از مردم منتشر شد و سوءاستفادههایی از آن صورت گرفت اما چندان رسانهای نشد. در اینجا مسوولیت API بانک، تماما به عهده بانک گذاشته شده و اگر خطایی اتفاق بیفتد مسوولیت با بانک است. با یکی از مدیران اسبق نظارتی بانک مرکزی صحبت میکردم، اشاره داشتند که در این مواقع، بانک را به خاطر کوتاهی در نظارت جریمه میکردیم اما با یک تماس با رییس کل یا دیگران در رگولاتور بانکی، این جریمه منتفی میشد و عملا زور ما به جریمه نمیرسید! راهحل دیگر این بود که اصلا چرا این سرویس واگذار شد یا مسیر به شکلی طرحریزی شد که بانک اجازه داشته باشد این سرویس را به هرکس بدون نظارت بدهد. شما اطلاعات کاملتری در این زمینه دارید؟
عباسنژاد: بنده چون در بخش خصوصی فعالیت میکنم به صراحت باید عرض کنم رگولاتور مسوولیت خودش را در زمینه امنیت سایبری اصلا انجام نمیدهد. تمام رگولاتورهای بانکی دنیا به طور مستقیم نظارت را انجام میدهند و مقرراتگذاری میکنند و چارچوبهایی ارایه میکنند که پیادهسازی شود و رگولاتور آن را آدیت یا ممیزی میکند. کما اینکه مثلا راهنمای امنیت شاپرک با ورژن خاص اجازه میدهد که PSPها، ممیزی شوند اما آیا درباره سایر نقشهای بانکها در شبکه بانکی و پولی و مالی، رگولاتور راهکاری ارایه داده است؟ یک نمونهاش همین APIهایی است که بانکها در اختیار سایرین قرار میدهد و شما اشاره کردید. آیا جریمه بانک، کافی است و به درستی اتفاق میافتد؟ آیا قانون مناسبی برای آن وجود دارد؟ آیا به بانک گفته شده اگر قرار است APIها در اختیار دیگری قرار داده شود چه کنترلهایی باید روی آن انجام شود؟ زمانی که این اقدامات انجام نشده، طبیعی است که این مشکلات پیش بیاید. در این حوزهها، بانک مرکزی، هیچ کار جدی انجام نداده است. ما در بانکها از تمام نهادهای نظارتی اعم از پلیس فتا، شورای عالی فضای مجازی، مرکز راهبردی افتا وغیره نامه میگیریم اما از بانک مرکزی، آن چیزی که مختص امنیت سایبری حوزه بانکی باشد، متاسفانه خروجی مناسبی دیده نمیشود.
فکر می کنید رویکرد تحول دیجیتال در صنعت بانکی، در بحث امنیت سایبری چه نقشی دارد؟
واقفی: یکی از مباحث رایج این روزها، تحول دیجیتال است که فکر میکنیم در اکوسیستم صنعت بانکی میتواند به طور جدی تحولآفرین باشد که در این رابطه، مفاهیمی مانند بانکداری دیجیتال مطرح میشود. طبیعتا تغییر پارادایمهایی از سرویسهای سنتی در حوزه صنعت بانکی به سمت سرویسهای جدید خواهیم داشت و یکسری کلانروندهایی مانند هوش مصنوعی، اینترنت اشیا، بلاکچین و بحثهای مرتبط با زیرساختهای امنیت استفاده میشود. تحول دیجیتال، فقط بعد فناوری ندارد اما متاسفانه فقط به این بعد توجه میشود و ابعاد مرتبط با مدل کسب وکار، ساختار، فرایند، ریسک وغیره چندان موردتوجه نیست. همزمان با صحبت از مفاهیم جدید در بانکداری، نگاهماه را باید از حوزه مدیریت سنتی امنیت به راهکارهای نوین امنیت ببریم و راهبردها و مدلهای کسبوکار ما با بحثهای جدید امنیت بازنگری شود. به نظر میرسد که میتوانیم از حوزه هوش مصنوعی برای ظرفیت تحلیل کلاندادهها و از این موضوع، برای بحثهای مرتبط با امنیت استفاده کنیم. یکی از این موارد، سامانههای مدیریت تقلب و پولشویی است که میتوان از مباحث ماشین لرنینگ و تحلیل دیتا استفاده کرد و موارد تقلب و پولشویی را به صورت دینامیک مبتنی بر ریسک شناسایی کرد. اینها مواردی است که باید همزمان به آن توجه کرد و در لایههای زیرین بانکداری دیجیتال و تحول دیجیتال مدنظر قرار گیرد. هنوز موضوعاتی مانند امضای دیجیتال و احراز هویت دیجیتال که ستونهای بانکداری دیجیتال هستند، بلاتکلیف است و وضعیت مناسبی در این زمینه نداریم. در این فضا، واقعیت این است که اگر به تحول دیجیتال فکر میکنیم این موضوع باید در امنیت هم دیده شود تا کل این زنجیره ارزش، قابلیت تولید ارزش واقعی را داشته باشد. در غیر این صورت، تنها میزگرد و صحبت خواهد بود اما در عمل تحول خاصی را در حوزه صنعت مشاهده نخواهیم کرد.
طبق نظرات خانم واقفی، بحث تحول دیجیتال با امنیت سایبری گره خورده است. مشکلات موجود در این عرصه، به دلیل ضعف بانکهاست یا شرکتهای خصوصی یا اینکه اصلا این موضوع، در اولویت رگولاتور نیست؟ آیا امنیت سایبری میتواند یکی از عوامل موفقیت در تحول دیجیتال باشد یا خیر؟
عباسنژاد: یکی از گزارشهایی که در امنیت سایبری بسیار به آن رجوع میکنیم، گزارش (DBIR) Data Breach Investigations Report است که هر سال به وسیله Verizon منتشر میشود. براساس گزارش سال ۲۰۲۰، تعداد ۳۹۵۰ نفوذ که در دنیا اتفاق افتاده، از دیدگاههای مختلف، موردبررسی قرار گرفته است. یکی از نکات مهم گزارش، این است که ۸۰ درصد حملات، اهداف مالی داشتند. بنابراین صنعت بانکی بهترین هدف برای کسانی است که قصد سوءاستفاده دارند. باید بپذیریم احتمال اینکه شبکه بانکی موردسوءاستفاده قرار گیرد، بسیار زیاد است. آمار دیگر این گزارش نشان میدهد ۷۲ درصد حملات در کسبوکارهای بزرگ انجام میشود. از آنجا که حوزه بانکی جزء کسبوکارهای بزرگ محسوب میشود باز هم احتمال وقوع حملات در صنعت بانکی بیشتر است. بنابراین باید برای آن فکر اساسی صورت گیرد. در این زمینه، رگولاتور باید نقش خود را کلیدیتر ایفا کند. همچنین این سوال، مطرح میشود که آیا باید امنیت سایبری را یک عامل کلیدی بدانیم یا خیر؟ در پاسخ باید عرض کنم وقتی برای بانک یک مشکل امنیتی ایجاد میشود، اعتماد کاربران کاهش مییابد و سپردههای خود را به بانکهای دیگر منتقل کرده و از بستر الکترونیک در آن بانک کمتر استفاده میکنند و به تدریج عدم اطمینان ایجاد میشود. همچنین اگر به وبسایت یک بانک حمله شود، ممکن است هیچ اطلاعاتی از کاربران دچار مشکل نشود و نفوذگر به هیچ دیتایی از کاربران دسترسی نداشته باشد اما کافی است یک عکس بر روی وبسایت یا خودپردازهای آن بانک نمایش داده شود که این بانک، قابل اطمینان نیست. در این صورت مشتری، به آن بانک اطمینان نمیکند. وقتی به تحول دیجیتال فکر میکنیم باید به عنوان یک بعد تاثیرگذار به امنیت سایبری هم فکر کنیم و به همان میزان که بانکها در ارایه خدمات، قدرتمندتر ظاهر میشوند، در ایمن بودن آن خدمات نیز باید قوی باشند.
البته رگولاتور قبلا هم عنوان کرده که تحت فشار نهادهای نظارتی و پلیس در زمینه اجرای رمز پویا ورود کرد و بانکها را تحت فشار گذاشت. در حال حاضر با استفاده از رمز دوم پویا، چه میزان از تخلفات فیشینگ، مدیریت میشود و آن قسمت که مدیریت نمیشود، دلیل آن چیست؟
معظمی گودرزی: اقداماتی که پیرو تعامل پلیس فتا، بانک مرکزی و قوه قضائیه درخصوص رمز پویا صورت گرفت، اقدام مناسبی بود. چون ما در حوزه عملیاتی فعالیت میکنیم و شاهد پروندههای تخلفات و مشکلات مردم در این زمینه هستیم، این موضوع را کاملا درک میکنیم. بررسیها و راهکارهایی برای کاهش تخلفات در این عرصه انجام شد. موضوع رمز دوم پویا یا OTP از چندسال پیش موردتوجه بود و با توجه به زیرساختهای بومی در بانکداری الکترونیک ما و ارتباط بین اپراتورها و بانکها، به این نتیجه رسیدیم که بهترین راه برای کاهش تخلفات، رمز دوم پویاست. خوشبختانه راهاندازی رمز دوم پویا، تاثیرات مثبتی داشت و از آن زمان تاکنون، بالغ بر ۵۰ درصد جرایم فیشینگ کاسته شده که عدد بسیار بالایی است. هر یک شاکی موجب میشود هم حوزه بانکی زیرسوال برود و هم مردم مستاصل شوند. با این حال باز هم فیشینگ اتفاق میافتد که این موضوع را در تعامل با خود بانکها و بانک مرکزی آسیبشناسی کردیم که این موارد نیز در حال مرتفع شدن هستند. یکی از دلایل تداوم فیشینگ، با وجود رمز دوم، همان زمان ۱۲۰ ثانیه است که اصلاحاتی در این زمینه، در حال انجام است. همچنین در اینترنت بانکِ برخی از بانکها، رمز دوم پویا فعال نیست اما با ورود به فازهای بعدی، چشمانداز ما این است که وضعیت بسیار بهتر خواهد شد. از نظر پلیس، ایجاد رمز دوم پویا اقدام بسیار مناسبی بود و امیدوارم با همکاری بانک مرکزی، اقدامات دیگری انجام دهیم که از سایر جرایم نیز جلوگیری شود. در حال حاضر برخی جرایم به سمت کلاهبرداریهای اینترنتی، اسکیمرها وغیره تغییر مسیر دادهاند که امیدوارم در این زمینه نیز بتوانیم اقدامات پیشگیرانه مناسبی را انجام دهیم.
هر تحولی در سازمان نیاز به سیاستگذاریهای مناسب در ابتدای طراحی سیستم دارد. در فرایند تحول دیجیتال، براساس اظهارات مطرحشده قبلی، امنیت و قابلیت اعتماد به عنوان یکی از عوامل کلیدی موفقیت مطرح شد. خانم واقفی! وضعیت بانکهای کشور و شبکه پرداخت الکترونیک در لایه سیاستگذاری امنیت را از زبان شما بشنویم.
واقفی: همانطور که عرض کردم به خاطر نگاه سنتی به امنیت، آن را یکسری کنترلهای ایستا و از جنس QC میدیدیم که وقتی محصول یا سرویسی آماده میشود، کنترل عملیاتی روی آن صورت میگیرد. این نگاه، با وضعیت امروز همخوان نیست. امنیت زمانی میتواند موفق باشد که جزئی از کل چرخه حیات طراحی، تولید و عملیاتیسازی سرویس باشد. در عقد قرارداد با یک پیمانکار، تولید و برونسپاری، باید دانش متخصص امنیت سایبری را داشته باشیم. بحث کدنویسی امن باید برای محصول موردتوجه قرار گیرد. اگر اینها نهادینه نشود، به مشکل برمیخوریم. باید انعکاس این موارد را در سیاستهای سازمان مشاهده کنیم. اگر این موارد در سیاستهای سازمان شفاف باشد، میتوان انتظار پیگیری و اجرا داشت تا تضمینی برای بحث امنیت باشد اما در غیر این صورت اگر بخشی از زنجیره دچار آسیب شود، اتفاقاتی که نباید رخ دهد، در سرویسها روی میدهد در حال حاضر، توجیه مدیران ارشد برای خرید ابزارهای مختلف، بسیار راحتتر از توجیه این موضوع است که در عقد قرارداد با شرکت دیگر به عنوان شخص ثالث باید فرایند امنیت و ریسکها دیده شود. این موارد باید در کل صنعت بانکی موردتوجه باشد و اصلاح شود وگرنه حوزه فناوری به تنهایی نمیتواند موجب شود پاشنه آشیل این صنعت موردهدف قرار نگیرد.
نقش رگولاتور در مواردی که خانم واقفی اشاره کردند، چیست؟ آیا در اسناد بالادستی امنیت در شبکه بانکی، تاکنون کاری انجام شده است؟
عباسنژاد: به نظرم رگولاتور در این عرصه، چندان فعال وارد نشده و بنابراین مدیران ارشد بانکها نیز چندان توجه نمیکنند. در حال حاضر در بانکها نگاه به امنیت، در واحد فناوری، صرفا فنی است. امنیت، فقط تکنولوژی نیست بلکه مردم و فرایند هم جزئی از آن هستند که در این دو حوزه، رگولاتور نقش خود را در عرصههای اطلاعرسانی، آموزش، منابع انسانی و اینکه چه فرایندهای سیستماتیکی برای استقرار امنیت لازم است، به خوبی انجام نمیدهد. علاوه بر تکنولوژی، مردم و فرایند، عامل مهم دیگر حاکمیت است؛ یعنی مدیران ارشد بانک باید در امنیت دخیل باشند. در تمام این موارد، رگولاتور باید ایفای نقش کند و مدیران ارشد بانک را توجیه نماید. عمده مشکلات ما در شبکه بانکی در حوزه امنیت در سالهای اخیر، الزاما موارد فنی نبوده بلکه عدم کنترل مناسب پیمانکار بوده است. در این زمینه رگولاتور باید دستورالعمل و راهنما داشته باشد و ممیزی کند و بانک را کنترل نماید و در نهایت یک مدیر ارشد بانکی باید درگیر شود تا امنیت به خوبی پیادهسازی گردد.
درباره امنیت بومی در کشور صحبتهای مختلفی مطرح میشود. تجربیات مختلف در حوزههای نظامی و دفاعی کشور، بیانگر موفقیتهای بسیاری بوده است. نظرتان درباره استفاده از توان و دانش داخلی در محصولات امنیت داخلی در شبکه بانکی کشور چیست؟
واقفی: نکته اصلی سوال شما، همان اعتماد است. هنوز این اعتماد شکل نگرفته است. ممکن است بخشنامه و ابلاغیه از سازمانهای بالادستی مبنی بر استفاده از یک ابزار داخلی وجود داشته باشد اما وقتی داخل سازمان، درباره حوزههایی که باید در طراحی از این ابزارها استفاده کنند، وارد تعامل با همکاران شوید، عموما با این توجیه مواجه میشوید که اگر با استفاده از این ابزار، سرویس، دچار مشکل شود، آیا پاسخگو هستید؟! در این حالت، مجبور به عقبنشینی میشوید. این امر، نشان میدهد اگر قرار است توان داخلی را تقویت کنیم، راهحل فقط نامهنگاری با سازمانها و اجبارِ بخشنامهای نیست بلکه باید نیروهای متخصصِ لایههای کارشناسی را متقاعد و این اعتماد را ایجاد کنیم. این موضوع، جای کار زیادی دارد و در بیشتر صنایع کشور، اصلا شکل نگرفته است.
آقای دکتر اینالوئی سوالی مطرح کردهاند مبنی بر اینکه بسیاری از بانکهای بزرگ کشور، از ویست (VSAT) برای ارایه خدمات بانکی استفاده میکنند. شاید در نقاطی که امکان ارتباطی برقرار نیست یا شاید هم به عنوان بکبن (Backbone). ایشان معتقدند چون ما روی ترانسپوندرهای ماهوارهای کنترل چندانی نداریم، ممکن است این موضوع، موجب نشت اطلاعات شود. در این زمینه چرا هیچ اقدامی انجام نمیشود؟
واقفی: ویست که در برخی از زیرساختهای بانکی استفاده میشود، در حوزه back up و ویژه فضاهایی است که دسترسی به شبکههای زمینی نداریم. بنابراین دیفالت ارایه سرویسهای بانکی ما، روی زیرساختهای ملی کشور است و خوشبختانه طی یکی دو سال گذشته که دوستان پدافند، مانورهای خوبی در حوزه شبکه ملی اینترانت کشور برگزار کردند، موجب شد بانکها تا حد زیادی سرویسهای خودشان را به این حوزه منتقل کنند. در شرایط خاص که شبکه زمینی، قطع شود و امکان سرویسدهی نداشته باشیم، ممکن است فقط سرویس شعب برای چند ساعت روی ویست، سوئیچ کند که رمزگذاریشده است و اگر تحلیل ریسک انجام شود، در مقایسه با ریسکی که در حوزههای دیگر داریم، از نظر من قابل چشمپوشی است. بحث استمرار سرویسدهی نیز از شاخههای اصلی امنیت است که نمیتوان از کنار آن گذشت.
آیا شرکتهای دانشبنیان در حوزه امنیت، اقدام خاصی انجام دادهاند؟ و راه حلی برای اعتماد به راهکارهای داخلی وجود دارد یا اینکه همانند خرید اجناس و کالاها، تمایل به مسیرها و راهکارهای خارجی است؟
عباسنژاد: محصول خارجی در حوزه امنیت سایبری، معمولا یا محصولات آمریکایی است یا اسرائیلی و متاسفانه عمدتا اسرائیلی است. پس اگر محصول امنیتی آمریکایی خریداری میکنیم، مانند این است که یک تجهیز امنیتی خریداری کردهایم که جلوی اسرائیل را بگیریم که اتفاقا خود محصول، اسرائیلی است! این موضوع را باید به صورت پیشفرض بپذیریم.
مهم این است که ما امنیت را ایجاد میکنیم که جلوی هکر داخلی را بگیریم تا از شبکه بانکی سوءاستفاده نکند و یا جلوی یک دولت متخاصم را میگیریم که خودش آن را ایجاد کرده است. مثال میزنم. چند روز پیش یک آسیبپذیری روی سرویس DNS در پلتفرمهای سرورهای مایکروسافتی پیدا شد. این آسیبپذیری، ۱۷ سال است که در سیستمهای مایکروسافت وجود دارد؛ یعنی از زمان ویندوز ۲۰۰۳ تا امروز! ما نیز از سیستمهای عامل مایکروسافتی در شبکه بانکی زیاد استفاده میکنیم. آیا در ۱۷ سال گذشته ما آسیبپذیر بودهایم؟ پاسخ مثبت است. آیا کسی نمیدانسته این آسیبپذیری وجود دارد؟ قطعا بسیاری میدانستند و از آن در زیرساختهای ما سوءاستفاده میکردهاند اما ما نمیدانستیم. بنابراین باید بپذیریم چنین مواردی میتواند وجود داشته باشد. بسیاری از تجهیزاتی که خریداری میکنیم عجیب است که علیرغم تحریمها، چگونه میتوانیم یک تجهیز امنیتی جدی خریداری نماییم و در زیرساختهای کشور نصب کنیم؟ اینکه ما توان داخلی برای تولید این تجهیزات را داریم یا خیر، بحث دیگری است.
درخصوص توانایی شرکتهای داخلی، به نظرم شرکتهای دانشبنیان در کشور ما طی سالهای گذشته تلاشهای زیادی انجام دادهاند. ما در حوزه دفاعی و نظامی کشور به تولید ملی اعتماد کردیم و باید به حوزه محصولات امنیتی داخلی کشور نیز اعتماد کنیم. اعتماد این نیست که تمام زیرساختها منتقل شود. ما باید اجازه و فرصت به شرکتهای دانشبنیان بدهیم که محصولاتشان را ارایه کنند و بعد از تست در آزمایشگاه و کنترل آن، در شبکه بانکی مورد استفاده قرار گیرد. قطعا امنیت سایبری، در حوزه تکنولوژی است و در حوزه تکنولوژی، این امکان وجود دارد که تست گرفته و کنترل شود و سپس در شبکه بانکی قرار گیرد. متاسفانه بانکهای کشور، فرصت ایجاد نمیکنند تا این امر اتفاق بیفتد. هوآوی در چین بزرگ ترین سرویسدهنده مخابراتی است و در حوزه ۵G، هوآوی، لیدر دنیاست و تقریبا همه استانداردهای اصلی حوزه ۵G را توسعه دادهاند. در چین به هوآوی اعتماد شد که این کار را انجام دهد، برای آن هزینه شد، تست کردند و به آن فرصت دادند که فعالیت کند. وقتی صحبت از جهش تولید و حمایت از محصول بومی مطرح میشود، یکی از نقاط قابل اعتماد، امنیت سایبری است و خوشبختانه شرکتهای فناور دانشبنیان خوبی در کشور ما وجود دارند که قادرند امنیت سایبری را حداقل برای حوزه بانکی شروع کنند و به نظرم در آینده میتوانند موفق شوند.
در اظهاراتتان از هوآوی صحبت کردید. هفته پیش خبری منتشر شد که بریتانیا به خاطر استفاده از چیپستهای جاسوسی در تجهیزات ۵G، هوآوی را از بازار ارتباطی خودش اخراج کرده و به آن اجازه فعالیت نمیدهد. به نظر میرسد ما هم در این حوزه، تجهیزاتی را استفاده میکنیم اما اینکه بر روی این تجهیزات قبل از استفاده در شبکه بانکی از طریق آزمایشگاه وغیره تست امنیتی شود که بعدا مشکلی پیش نیاید، مهم است. نکته دیگر اینکه به خاطر تحریمها، بسیاری از این تجهیزات از مسیرهای قاچاق وارد کشور میشود. آیا این تجهیزات زمانی که بانکها قصد استفاده از آن را دارند، به آزمایشگاه داده میشود یا خیر؟ آقای اینالوئی هم در گروه سوال کردهاند که جایگزین سیسکو و اچپی در حال حاضر چیست؟
عباسنژاد: هوآوی برای چینیها یک مزیت رقابتی است؛ همچنان که برای ما مهم است سامانه پدافندی S300 یا S400 بخریم. طی هفت هشت سال آینده، وابستگی به حوزه فناوری اطلاعات، آنقدر زیاد میشود و مساله امنیت سایبری آنقدر جدی میشود که همان چیزی که درباره سامانه S300 یا S400 وجود دارد، همان موضوع نیز درباره امنیت سایبری مطرح خواهد شد. هوآوی مزیت رقابتی زیادی ایجاد کرده و بسیاری از کشورهای دنیا، از آن استفاده میکنند. شک نکنید چین هم ابزار شنود و جاسوسی وغیره را در فناوریهای خود دارد. همه دولتها دارند و طبیعی است که چنین اتفاقی رخ دهد. آیا محصولات آمریکابی مانند سیسکو، اچپی، آیبیام وغیره هیچکدام بکدور (Back Door) ندارد. فارغ از این موارد، تجهیزات امنیتی مورداستفاده مانند Fortinet که در شبکه بانکی کشور بسیار متداول است، در دو سال اخیر انواع بکدور، مشخصا به خواست تولیدکننده روی آن قرار گرفته است. این موارد، حتما آسیبپذیریهای جدیدی را نیز ایجاد میکند. پس نمیتوان گفت تجهیزات خارجی این مسائل را ندارند. اینکه آیا این موارد کنترل میشود یا خیر، در حوزه کل فناوری اطلاعات، اطلاعی ندارم اما در حوزه تجهیزات امنیتی، پنج آزمایشگاه حوزه امنیت سایبری داریم که با مجوز مرکز راهبردی افتا کار میکنند و تجهیزات امنیتی وارداتی، در این آزمایشگاهها تست میشود. اینکه توانمندی کافی در آزمایشگاه برای شناسایی این آسیبپذیری وجود دارد یا خیر، مساله مهمی است که باید بررسی شود. موضوع دیگر اینکه آیا تجهیزاتی که به کشور ارسال میشود، counterfeit hardware نیستند. مثلا اگر سیسکو وارد میکنیم، ممکن است ورژن دیگری از سیسکو باشد که مخصوصا مشکل داشته باشد.
درباره سوال آقای اینالوئی هم عرض کنم همکاران شبکه بانکی باید در نقطهای به شرکتهای دانشبنیان اعتماد کنند. گرانی هر روزه قیمت دلار، بیشتر ما را به این سمتوسو سوق میدهد که به شرکتهای داخلی اعتماد کنیم. در حوزه تجهیزات امنیتی، شرکتهای ما به نقطهای رسیدهاند که در حوزههایی قادرند نیازمندیهای کشور را مرتفع کنند مشروط بر اینکه براساس نیازمندیهای واقعی حرکت کنیم. البته ممکن است زمانی تجهیزاتی از شرکت داخلی خواسته شود که لیست امکانات آن، کاملا یک تجهیز آمریکایی است در این صورت، سالها تلاش هم فایده نخواهد داشت.
دکتر مرتضی ترکتبریزی، عضو هیات مدیره بانک تجارت که در لایوکست حضور دارند، درخصوص مباحث مطرحشده، نکاتی مدنظر دارند. در خدمتتان هستیم.
ترکتبریزی: وضعیت ما در کشور، جنگی است و دائما دچار مشکلات مختلف امنیتی در فضای آیتی هستیم. همه بانکها بخش امنیت دارند و پروژههای مختلفی را در قالب آن دنبال میکنند و همگی نیز تحت فشار هستند. یک روز برای سهام عدالت، یک روز برای راهاندازی سامانه سیاح و نظایر آن. همه این پروژهها با فشار، به معاون فناوری ارجاع میشود و باید به سرعت آن را با لحاظ کردن امنیت در فضای امن راهاندازی نماید که همواره از سوی بخشهای امنیت در همان بانک با چالش مواجه است و مدام از طریق مدیرعامل یا بیرون بانک فشار وارد میشود که سریعتر ایجاد شود. بخش امنیتی همه بانکها زیرنظر مدیرعامل است اما واقعا مدیرعامل یک بانک چقدر میتواند برای بخش امنیت که با چالشها و موضوعات بسیار زیاد مواجه است، وقت بگذارد؟ ما هفتهای یکی دو روز مشکل DDOS (منع سرویس)، حمله به سایت، فیشینگ وغیره را داریم و همواره نیز ریسک و مسوولیت کار برعهده بانک است! اما واقعا مراجع دیگر، غیر از بانک نباید کاری انجام دهند؟ درخصوص قوانینی مانند GDPR چقدر باید صبر کنیم که ضربه بزرگ بخوریم تا بین چند سازمان حاکمیتی توافق صورت گیرد و بانکها درخصوص بحثهای دیتا اینقدر عذاب نکشند. بنابراین موضوعات زیادی وجود دارد که بانکها نیز قادر به انجام وظایف خود نباشند.
الان با بحث مهاجرت در حوزه امنیت مواجه هستیم. واقعا چقدر نیروی انسانی برای جذب در این حوزه با اشل حقوقی موردنظر آنها و اشل حقوقی بانکها در اختیار داریم؟ چقدر قادر هستیم تجهیزات امنیتی را به سرعت خریداری کنیم که موردنیاز زیرساخت ماست و اگر نباشد، هر روز ریسک ما افزایش خواهد داشت؟ چقدر به لایسنسها و مراجع حاکمیتی که نقش مشاور را در قبال بانکها داشته باشند، دسترسی داریم؟ واقعا کمیسیون معاملات بانکها چقدر در حوزه امنیت اعم از تامین مواردی مانند لایسنسها، نیروهای انسانی، تجهیزات وغیره توجیه هستند؟ اینها، ماژولهایی است که امنیت را در بانکها میسازد. البته بانک، مسوول است اما حتما باید بازیگران دیگری که نیاز است نقششان را به درستی ایفا کنند، وجود داشته باشند تا تمام شبکه بانکی در زمینه امنیت رو به جلو حرکت کنند. این شبکه مانند دومینو است که اگر یک شعبه دچار مشکل شود، تا شعبه آخر بانک با مشکل مواجه میشود و تمام معاونان بانک مانند ویبره، شبانهروز نگران این موضوع هستند! یک نیروی انسانی پیمانکار بانک، میتواند یک بمب ساعتی باشد و یک بانک را دچار مشکل کند در حالی که تایید آن از مراجع بیرونی نیز گرفته شده است. البته در این زمینه واقعا بخش حراست با بخش آیتی بانک به شدت هماهنگ هستند. اگر این حلقههای گمشده قادر نباشند در این اکوسیستم با هم کار کنند، این خطرات و حملات را خواهیم داشت که در نهایت موجب نارضایتی مشتریان میشود و برند بانکها را نیز خدشهدار میکند. سرویسهای متعدد آنلاین بانکها بدون آنکه همه بازیگران نقش خود را به درستی ایفا کنند، خصوصا در نقش مشاور، واقعا کاری از پیش نمیبرند. در پروژههایی که نیازمند مشارکت جمعی از حاکمیت است، باید انرژی بیشتری بگذاریم تا سیستم بانکی نیز وظیفهاش را به درستی انجام دهد.
بحث موازیکاری در حوزه امنیت هم وجود دارد. در این زمینه مرکز ماهر، پدافند غیرعامل و مرکز کاشف در بانک مرکزی را داریم. برخی مواقع این موازیکاریها، موجب کندی سرعت عمل میشود و اجازه نمیدهد اتفاقات به درستی مدیریت شود. نکته دیگر – که البته به خاطر امنیتی بودن، چندان در رسانهها مطرح نمیشود – این است که وقتی اطلاعات یک بانک، افشا میشود یا تحت نفوذ قرار میگیرد، اولین اقدام، محرمانه نگهداشتن آن است تا اصلا خبری درز نکند و بلافاصله موضوع، تکذیب میشود. البته این هماهنگی بین شبکه بانکی نیز وجود ندارد. نظرتان درباره این موضوع چیست؟ چرا در این زمینه مستندی برای هماهنگی بیشتر بین شبکه بانکی از سوی رگولاتور وجود ندارد؟
ترکتبریزی: اگر همانطور که میهمانان میزگرد اشاره کردند، امنیت بخش مستقل باشد – که در بانکهایی که بنده حضور داشتم، مستقل بوده – در چند سال اخیر، خوشبختانه، ارتباط خوب و مستحکمی با مرکز افتای ریاست جمهوری وجود داشته است؛ یعنی اطلاعات وضعیت بانک، اصلا مخفی نمیماند. آخرین وضعیت امنیتی به اطلاع افتا میرسد و از افتا به داخل بانکها. اینکه تعداد سازمانهای نظارتی ما در حوزه امنیت، بسیار زیاد است، کاملا سخن درستی است اما به هرحال وظایف هرکدام از اینها در قانون، کاملا مشخص است. اینکه نقش پدافند غیرعامل یا پلیس یا افتا یا کاشف چیست، تعیین شده است. البته به نظرم برخی از این سازمانها، شاید وظیفه خود را به دلیل ضعیف شدن، نیروی انسانی محدود و حتی عدم هماهنگی بانکها با آنها، دقیق انجام نمیدهند اما اینگونه نیست که موازی همدیگر باشند. با این وجود، در مواقعی که دچار مشکل امنیتی میشویم، هماهنگی این سازمانها با بانک مربوطه بسیار مهم است تا بتوانیم سیستم را به حالت طبیعی برگردانیم و سرویسدهی تداوم یابد و سپس راههای بستن نفوذ را طراحی کنیم. بنابراین وجود این سازمانها و مراکز لازم است؛ فقط باید هماهنگتر عمل شود.
اگر درباره اظهارات آقای ترکتبریزی، نکتهای وجود دارد، بفرمایید.
معظمی گودرزی: بحثی مطرح شد که چرا آمار حملات سایبری توسط بانکها ارایه نمیشود. این موضوع، چند دلیل دارد. برخی مواقع اصلا بانکها متوجه حمله نمیشوند. نکته دیگر اینکه بعضا حملات، اطلاع داده نمیشود. ممکن است ردههای بالای بانک، سختگیری برای این اطلاعرسانی نداشته باشند و الزامی برای این کار نبینند. موضوع دیگر اینکه در پیجویی مباحث جرایم سایبری موضوعی به نام «رقم سیاه» وجود دارد. رقم سیاه، جرایمی است که اتفاق میافتد اما به مراجع ذیصلاح مانند پلیس، سیستم قضایی و ردههای رگولاتوری اطلاع داده نمیشود. در این موارد نیز ممکن است بانکها به خاطر بیزینس و رقابت بین بانکی، تا زمانی که کار به مرحله حساس نرسیده، اطلاعرسانی نکنند. مورد دیگر همان جداسازی حوزه فناوری از امنیت است که معاون فناوری به خاطر ترس از مواخذه مدیران بالادستی این کار را انجام نمیدهد. همچنین با پیجوییهای پلیس فتا، برخی بانکها از پیگیری موضوع، ناامید هستند مثلا به خاطر اینکه IP فرد متخلف، مربوط به خارج از کشور است. بعضا نیز اعلام میکنند سیستم در حال بهروزرسانی است و علت وقفه در خدماترسانی، همین موضوع بوده است و یا اعلام میکنند سرویس بانک، ایراناکسس شود تا خدمات را ارایه دهیم. این نوع جرایم، ممکن است پنهان بماند.
واقفی: در مبحث امنیت باید برای سناریوهای مختلف، برنامهریزی داشته باشیم. برخی اوقات، بدبین هستیم که این امر، موجب جلوگیری از کسبوکار میشود و برخی مواقع خوشبین هستیم. البته در ایران، اغلب مدیران، سناریوی خوشبینانه را میپسندند و درباره سناریوهای محتمل یا بدبینانه معمولا اظهار میکنند: «انشاالله اتفاق نمیافتد»! یا «انشاالله خیر است.»! اگر این موضوع به صورت مدبرانه کنترل نشود، فشار روانی را در بدنه بانکها و کسبوکار ایجاد میکند که بسیار آزاردهنده است. فرهنگسازی، بهترین مسیری است که میتواند جلوی فیشینگ را بگیرد. اصلا در زمینه فرهنگسازی، هزینه قابلتوجهی نکردیم اما یک رخداد فیشینگ را در حد مدیرعامل یک بانک، بزرگ و برجسته میکنیم و معتقدیم باید وی پاسخگو باشد در حالی که در تمام دنیا، فیشینگ مسوولیت کاربر است که جایی را اشتباه کرده است. اینکه سرهنگ معظمی اشاره کردند که بانک مرکزی در حوزه اجرا، ورود کرد و رمز پویا ایجاد شد، قطعا به کاهش فیشینگ کمک کرده و خواهد کرد. این موضوع درست است اما اشکال دیگری ایجاد میکند چون هکرها همیشه جلوتر از متخصصان امنیت هستند؛ یعنی همیشه یا راهی میسازند یا راهی پیدا میکنند که دیگران به آن فکر نکردهاند. بنابراین اگر رگولاتور وارد اجرا شود از سایر نقشهای خود جا میماند و مرتبا باید به دنبال هکرها باشد. آقای ترکتبریزی هم به این موضوع اشاره کردند. بانکها به جای اینکه تصویر کلان فناوری داشته باشند که نتیجه آن تصویر کلان امنیت اطلاعات برای یک سال باشد، مدام در حال خاموش کردن آتش هستند و در نهایت از مهار آتشهای بزرگتر خسته میشوند.
معظمی گودرزی: اگر آمار فیشینگ را طی ۱۰ سال گذشته در دنیا بررسی کنید، در چند سال متوالی، جزء ۱۰ حمله برتر بوده و فقط مربوط به کشور ما نبوده است. برای فرهنگسازی، ما در مقام پلیس، به عنوان یکی از اجزای این زنجیره، اطلاعرسانیهای گسترده از طریق رسانهها انجام دادهایم. ما تعداد زیادی شاکی بانکی داشتیم! و فردی که در حوزه امنیت بانکی کار میکند، نیز طعمه فیشینگ شده است. مگر چند نفر از مردم عادی، میتوانند متخصص فناوری باشند که این اتفاقات رخ ندهد؟ هکرها و متهمان از شگردهای خاصی استفاده میکنند که بخشی از آن به کاربر برمیگردد اما برخی شگردها بهگونهای است که حتی افراد صاحبنظر و فنی نیز به دام آنها میافتند. اگر اسامی افرادی که در حوزه بانکی، طعمه فیشینگ شدهاند، ذکر کنم شاید بشناسید. بنابراین با لحاظ کردن زیرساختها و موضوعاتی که در وضعیت بانکداری کشور وجود داشت، چارهای به جز استفاده از رمز پویا نداشتیم که تاکنون هم موفق بوده است. البته اینکه بعدا چه اتفاقاتی بیفتد، موضوع دیگری است اما اگر فاز بعدی آن نیز اجرایی شود، قطعا اقدام پیشگیرانه مناسبتری انجام خواهد شد.
آقای شریفیان از فعالان حوزه امنیت که در لایوکست حضور دارند، درباره محصولات بومی، سوالی مدنظرشان است. بفرمایید.
شریفیان: در حال حاضر، محصولات مدرن دنیا مانند سیسکو، اچپی و تمامی محصولات امنیتی، هر لحظه در حال باگ دادن هستند و البته پشتیبانی خوبی هم دارند. الان در محصولات بومی که در کشور استفاده میشود، هیچ باگی از آنها در رفرنسهای دنیا نمیبینیم. آیا محصولات ما باگ ندارند یا سازوکاری برای استخراج باگ، آسیبپذیری و اعلام آن وجود ندارد. اگر آقای عباسنژاد در این خصوص توضیح دهند، ممنون میشوم.
عباسنژاد: سوال بجایی است. از محصولاتی مانند سیسکو، اچپی و اوراکل هر روز باگهای زیادی مشاهده میشود. دو روز پیش حدود ۲۲۰ آسیبپذیری روی اوراکل patch شد. بنابراین محصولات ما نیز قطعا آسیبپذیری دارد اما اینکه چرا در دنیا آسیبپذیری آن اعلام نمیشود، باید عرض کنم اگر روی محصولی که کاربر محدودی دارد، آسیبپذیری را پیدا کنید، حتی دیتابیسهای آسیبپذیری (common vulnerabilities and exposures CVEمحصول را به این دلیل که در همه جای دنیا استفاده نمیشود، منتشر نمیکنند. بنابراین اصلا کسی آن محصول را ندارد که تست امنیتی انجام دهد به جز آنهایی که در کشور هستند. در کشور خودمان نیز سازوکارهایی وجود دارد که آسیبپذیری شرکتهای امنیتی یا محصولات حوزه فناوری را مشخص میکند. بسیاری برنامههای باگ بانتی (Bug Bounty) در کشور وجود دارد که برای پیدا شدن یک باگ، به یابنده باگ جایزه داده میشود. بنده درباره محصولات امنیتی بومی خودمان، چند مورد مشخص، سراغ دارم که باگ، مشاهده شده و باگ بانتی شده و در نهایت، مشکل مرتفع شده است.
بسیاری از خودپردازهای کشور همچنان از ویندوز XP استفاده میکنند که این ورژن، دچار مسائل امنیتی و فضاهای زیاد برای رخنه است اما هنوز راهحل مشخصی، احتمالا به دلیل هزینه بالای نوسازی و تجهیز ATM ارایه نشده است. آیا واقعا هیچ راهحل دیگری برای رفع این دغدغهها با هزینه کمتر وجود ندارد؟
عباسنژاد: بانک با ریسک، مستقیما ارتباط دارد و همهچیز ریسکمحور است. در این زمینه، بسیاری چارچوبهای ریسک مانند بازل وجود دارد که بانک درباره آن تصمیم میگیرد. در حوزه امنیت سایبری اینگونه نیست که یک کنترل امنیتی گذاشته شود و ریسک را به صفر برساند. بنابراین تلاش میشود ریسک در حد قابل قبول، باقی بماند. اصطلاح دیگری در حوزه امنیت سایبری به نام RoSI داریم؛ یعنی سرمایهگذاری امنیتی که برای پیادهسازی یک کنترل امنیتی انجام میشود، چقدر منافع در پی دارد؟ درباره ATMها، یک راهکار این است که از ویندوز بهروز مانند ویندوز ۱۰ استفاده شود. برای این منظور باید سختافزارها تغییر پیدا کند و برای این امر نیز نیاز است سختافزار جانبی نیز تغییر یابد. این امر، هزینههای زیادی را برای بانک ایجاد میکند اما این اقدام، تنها راهکار نیست. ما فرایند ایمنسازی یا ارتقای سیستم را که قرار است از آن کاربری داشته باشیم، در اختیار داریم؛ اجرای این فرایند، خصوصا برای شبکههای بانکی و کامپیوترهایی که در خودپردازها استفاده میشود و یک وظیفه مشخص دارد، میسر است و هزینههای آن از خرید و تغییر سختافزارها با قیمت بالا، مناسبتر است اما باید کاملا مهندسی شود.
واقفی: اینکه لزوما با هاردنینگ یا مقاومسازی و امنسازی شبکه، بتوان به حوزه خودپردازها با ویندوز XP سروسامان داد، چندان مطمئن نیستم. چون برخی مواقع از همان پورتهایی که باید باز باشند و آسیب پذیریهایی که روی آن پورتها وجود دارد، سالهای بعد میتوان استفاده کرد. به هرحال، امنیت، موضوعی است که بانکها باید بین منفعت و هزینه، مقایسه و درباره آن تصمیمگیری کنند. بنابراین بحث خودپردازها و ویندوز XP، جواب صددرصدی ندارد اما قطعا راهکار دارد و باید هزینههای آن پرداخت شود.
طی روزهای اخیر در اخبار منتشر شد که هکرها توانستند اکانتهای شرکتهای بزرگ و افراد مشهور دنیا را در توئیتر هک کنند. توئیتر اعلام کرد که به واسطه مهندسی اجتماعی، این اتفاق، نفوذ به سیستم نبوده و از طریق کارکنان، این دسترسی ایجاد شده است. این امر نشان میدهد آموزش نیروی انسانی، از موضوعات مهمی است که خصوصا در ایام کرونا و دورکاری باید به آن توجه ویژه صورت گیرد. نظرتان را درباره نیروی انسانی و مدیران شبکه بانکی در این زمینه بفرمایید.
عباسنژاد: توئیتر، مورد جالبی است و در حوزه امنیت سابیری میتوان سالها درباره آن مثال زد. همانطور که سرهنگ معظمی اشاره کردند اشخاص صاحبنظر در حوزه امنیت سایبری نیز دچار حملات مهندسی اجتماعی میشوند. نمونه آن، ادمینهای توئیتر هستند. حملهای که به توئیتر اتفاق افتاده، هرچند از نظر فنی، جذاب و نوآورانه است، اما اصل اتفاق این بوده که سوپریوزرهای توئیتر که دسترسی به ادمین پنلهای داخلی توئیتر داشتند، مهندسی اجتماعی شدند و از کاربران آنها استفاده شده است. نمونه پستها را هم حتما ملاحظه کردهاید. در پستهای بیل گیتس، ایلان ماسک، سیاستمداران بزرگ، اکانت اپل، اکانت رسمی بیتکوین وغیره همگی عبارت give away قرار داده شده است. حدود ۱۲۱ هزار دلار Transfer بیتکوین اتفاق افتاده است؛ یعنی هم این افراد مهندسی اجتماعی شدند و هم قربانیان نهایی که کاربران توئیتر بودند. این در حالی است که توئیتر برای باگ بانتی و پیدا کردن آسیبپذیری فقط ۷۷۰۰ دلار جایزه تعیین کرده بود. بنابراین بحث آموزش مهندسی اجتماعی، جدی است. مساله بعدی سوپریوزرها هستند که در شبکه بانکی نیز بسیار متعددند و دسترسیهای بسیار زیادی به دیتابیسها، زیرساختهای حیاتی و سیستمعاملهای مهم دارند. این افراد، میتوانند مدیران، کارشناسان یا شرکتهای پیمانکار شبکه بانکی باشند. زمانی که دورکاری اتفاق میافتد، مساله، جدیتر است.
در این رابطه، اولین راهکار، آگاهیرسانی و آموزش سایبری برای این افراد خصوصا در شرایط کرونا و دورکاری است که علیرغم اهمیت بسیار زیاد آن، در شبکه بانکی به آن کاملا بیتوجهی میشود. وقتی هم اتفاقی میافتد مدیران شبکه بانکی مانند فاجعه چرنوبیل آن را انکار میکنند! دومین راهکار، بهرهمندی از شیوههای تکنولوژیک و محدودیت دسترسی سوپریوزرها به سامانههای اصلی بانکهاست. شیوههایی مانند Privileged Access Manager و Privileged Access Workstation برای دسترسی به سیستمهای بسیار حساس شبکه بانکی، جزء راهکارهای فنی است که حتما توسط صاحبنظران این حوزه پیشنهاد میشود تا مشکل امنیتی به حداقل برسد. این اتفاق، در توئیتر نشان داد که ممکن است در سایر شبکهها نیز به راحتی روی دهد. انسانها در حوزه امنیت سایبری، ضعیفترین حلقه زنجیر هستند و بیش از همه ممکن است موردحمله قرار گیرند. بنابراین باید کنترلهای لازم را در این عرصه داشته باشیم.
جناب عباسنژاد! به عنوان آخرین سوال، در حوزه امنیت سایبری در سازمان بانکها، از دیدگاه جنابعالی، کدام مقام بانکی، مسوول است و باید پاسخگو باشد؟ بعد از پاسخ به این سوال، با توجه به اینکه به انتهای میزگرد رسیدهایم، جمعبندی خودتان را هم از مباحث بفرمایید.
عباسنژاد: بنده سالهای زیادی در حوزه امنیت سایبری بانکی فعالیت میکنم و با کارشناسان، مدیران فناوری، مدیران ارشد، مدیران عامل و هیاتمدیره بانکها در این زمینه بارها صحبت کردهام. به نظر من، اصلیترین مسوول امنیت سایبری در یک بانک، مدیرعامل و هیاتمدیره هستند. اینکه هر اتفاق امنیت سایبری را از آیتی یا واحدهای فنی امنیت، بازخواست کنیم کار اشتباهی است. مدیرعامل و هیات مدیره باید خود را مسوول بدانند و آگاه باشند که در حوزه امنیت سایبری سازمان، چه چیزی را پذیرفتهاند و چه چیزی را نپذیرفتهاند. آقای ترکتبریزی که در این گفتوگو وارد شدند، از مدیران ارشد بانکی هستند که فعالانه در حوزه امنیت فعالیت میکنند و همین انتظار از سایر مدیران ارشد بانکی وجود دارد. این افراد باید امنیت سایبری را به عنوان یکی از ابعاد تحول دیجیتال در یک بانک بپذیرند. البته قبول دارم امنیت سایبری، مسائل پیچیدهای دارد اما همانطور که درباره مصارف یک بانک و سایر ریسکهای بانک نگران هستیم، باید نگران امنیت سایبری بانک هم باشیم و راهکارهای آن هم اندیشیده شود و برای آن وقت گذاشته شود تا امن باشیم و بانکهایی با قابلیت اعتماد بیشتر برای هموطنانمان داشته باشیم.
جناب سرهنگ معظمی! به عنوان سوال پایانی، با توجه به اینکه شما در حوزه پلیس فتا مسوولیت دارید، آیا برای امنیت سایبری شبکه بانکها و شرکتهای وابسته آنها، نگران هستید یا خیر؟ ضمن پاسخ به این سوال، جمعبندی خود را از مباحث نیز بفرمایید.
معظمی گودرزی: یکی از مقولههایی که به عنوان یک اصل باید آن را بپذیریم، این است که هیچ فرد یا سازمانی در مقابل تهدیدات سایبری مصون نیست و ما نیز در مقام خادم مردم و پیجویی جرایم سایبری، باید همیشه نگران امنیت باشیم. در حوزه بانکی به عنوان یک هدف، اگر امنیت آن خدشهدار شود، امنیت اقتصادی مردم و امنیت ملی به خطر میافتد، بنابراین یکی از دغدغههای اصلی ما در پلیس فتا همین است. در این چندساله سعی کردیم براساس سناریوهای واقعی و یافتههای کارشناسانمان، ضمن تعامل با حوزه فناوری و امنیت در بانکها، موارد لازم را گوشزد نماییم که امنسازی لازم را انجام دهند. گریدبندی بانکها و اعلام آن به صورت محرمانه به خود بانکها از جمله اقدامات آینده پلیس فتاست. البته در چند سال اخیر نیز این کار انجام شده و بانکهایی که آسیبپذیری بالایی از نظر امنیتی و پلیسی داشتهاند، به ردههای مدیریتی آنها اطلاعرسانی شده و خوشبختانه اقدامات خوبی برای رفع مشکلات صورت گرفته است. این اقدام، یعنی گریدبندی نیز انجام خواهد شد تا بانکداری امنتری داشته باشیم.
خانم واقفی! لطفا سرکارعالی نیز بفرمایید که آیا نگران وضعیت امنیت شبکه سایبری بانکها و شرکتهای وابسته آنها هستید یا خیر؟ ضمنا جمعبندی خودتان از مباحث را نیز ارایه بفرمایید.
واقفی: جناب سرهنگ معظمی به نکته درستی اشاره کردند. هرگز مصونیتی در حوزه امنیت سایبری وجود ندارد و همانند کرونا، واکسن آن هنوز تولید نشده است! بنابراین قاعدتا همیشه باید براساس ریسک تصمیمگیری کنیم. من احساس میکنم بزرگترین تهدید نظام بانکی کشور، در وهله اول، نشت اطلاعات است. سازمانهای فعال در این زمینه باید براساس هایریسکهای کشور به این موضوع بپردازند. واقعا مالک تمام اتفاقات و ریسکها، مدیران عامل بانکها نیستند و اندازه برخی از ریسکها، بالاتر از مقامات بانکی است و باید مسوولیت آن در سطح کلان کشور، پذیرفته شود. اتفاق دیگر اینکه امنیت جدا از سرویس و محصول نیست. نکته مهمتر اینکه نیروی انسانی یکی از پاشنه آشیلهای امنیت اطلاعات در کشور است و متاسفانه متخصصان خبره خصوصا در بخش فنی، محدود هستند که احتمال مهاجرت و از دست دادن آنها نیز زیاد است. بحث مهم دیگر که در این میزگرد به آن اشاره نشد، موضوع BCP است. اگر در شبکه بانکی کشور، دیتاسنترهای اصلی را از دست بدهیم، آیا با اطمینان بالا میتوانیم در جای دیگری سرویس بدهیم؟ نمیدانم آیا پاسخ این سوال را داریم یا خیر؟ این موضوع، جزء هایریسکهایی است که باید به آن توجه کنیم.
منبع: عصر پرداخت