در میزگرد آنلاین رویکرد مدیریت امنیت در تحول دیجیتال مطرح شد: احتمال سونامی نشت اطلاعات بانک‌ها در آینده

امنیت، واژه راهبردی است و در عصر امروز از زمانی که برخی نگرانی‌ها درخصوص تعرض به حریم خصوصی افراد و سازمان‌ها و قطع سرویس‌های ضروری ظاهر شد، متخصصان فناوری اطلاعات برای مقابله با این تهدیدات و تامین پایداری خدمات تحت شبکه بنگاه‌ها و نیز افراد و دستگاه‌های مختلف، تلاش‌های ارزشمندی را سازماندهی کردند تا فضای اعتماد به تبادلات الکترونیکی دچار آسیب کمتری شود. در همین راستا تولید محصولات مختلف امنیتی اعم از سخت‌افزاری و نرم‌افزاری در حوزه‌های گوناگون، ارایه راهکارها و تدوین سیاست‌های خرد و کلان برای صیانت از امنیت و پایداری فضای تبادل اطلاعات، تربیت نیروهای متخصص به منظور حفاظت از شبکه‌های تبادل اطلاعات، همچنین ایجاد آمادگی در برابر حوادث ناشی از تهدیدات الکترونیکی همگام با پیشرفت دانش IT، در صحنه دنیای دیجیتال، نمود بیشتری پیدا کرده است.

در بانکداری سنتی نیز افراد با برخی تهدیدات مواجه بودند که این تهدیدات در سیستم الکترونیکی به صورت دیگری وجود دارد. بانک‌ها برای تامین و افزایش امنیت در بانکداری الکترونیکی و کاهش تهدیدها در کنار رعایت سیاست‌های امنیتی مانند محرمانگی، سندیت، تمامیت وغیره باید از ابزارهای امنیتی همچون تکنیک‌های رمزنگاری نظیر رمز دوعاملی، استفاده از کد کاربری و رمز عبور، گواهی‌های دیجیتال، امضای دیجیتال، نرم‌افزارها و پروتکل‌های امنیتی بهره گیرند.

از این رو، در این میزگرد آنلاین از سلسله نشست‌های تخصصی حوزه بانکداری، موضوع «رویکرد مدیریت امنیت در تحول دیجیتال» با حضور سرهنگ داوود معظمی گودرزی رییس پلیس فتا تهران بزرگ، نوش‌آفرین مومن واقفی مدیرعامل هلدینگ فناوری بانک تجارت (تفتا) و علی عباس‌نژاد، مدیرعامل گروه شرکت‌های کهکشان، با تاکید بر شناسایی تهدیدات عمده سایبری در فضای کسب‌وکار و تجربیات موجود در این عرصه، مورد بحث و تبادل ‌نظر قرار گرفته است. ماحصل این میزگرد، پیش‌روی شماست.

*در ماه‌های اخیر، اخبار زیادی درباره مشکلات متعدد در زمینه عدم دسترسی سرویس‌های مختلف، از کارگزاری‌های بورس تا سرویس‌های مخابراتی وغیره شنیده شد. با توجه به رویکرد تحول دیجیتال در حوزه بانکداری کشور، استفاده هرچه بیشتر از خدمات بانکداری برخط و وابستگی فراوان زیرساخت‌های بانکی به فناوری، بالاخص فناوری‌های امن بیشتر شده است. جناب سرهنگ معظمی، با توجه به افزایش تمایل به استفاده از خدمات برخط، نفوذگران به شبکه‌های بانکی، عمدتا چه کسانی هستند؟ هدف آنها از حملات به شبکه بانکی و زیرساخت‌های آن چیست؟

معظمی گودرزی: حمله به زیرساخت‌های کشور از سازمان بورس تا سایر نهادها، همواره وجود دارد. برخی مواردی که اشاره کردید، در پلیس فتا با عنوان پروند‌ه‌های جرایم سایبری تحت بررسی هستند. پلیس فتا در یک نگاه امنیتی، لابراتوار امنیتی است و فعالیت‌های سازمان‌ها بعد از اینکه اقدامات امنیتی خود را در بالاترین سطح انجام می‌دهند یا برای آن سطح تعیین می‌کنند، از طریق پروند‌ه‌هایی که در دست پلیس فتاست، سنجش می‌شود. مثلا یک سازمان یا بانک مدعی می‌شود که بالاترین سطح امنیت را برقرار کرده است. در این حالت، اولین پرونده جرایم سایبری که به سمت ما می‌آید، آسیب‌پذیری آن را متوجه می‌شویم و آن را گوشزد می‌کنیم. افراد یا سازمان‌ها ممکن است با انگیزه‌های مختلفی اعم از اقتصادی، اجتماعی، فرهنگی و سیاسی این نفوذ یا حملات را انجام دهند. براساس ورودی‌های پروند‌ه‌هایی که در پلیس سایبری داریم، حملات انجام‌شده در شبکه بانکی، توسط اشخاصی انجام می‌شود که انگیزه مالی دارند. حملات آنها، بیشتر فیشینگ یا دسترسی به اطلاعات است که پیرو آن، باج‌خواهی صورت می‌گیرد و بحث باج‌افزارها نیز در اینجا مطرح می‌شود.

*روزهای گذشته، خبری در خبرگزاری‌های رسمی دنیا منتشر شد. یاهونیوز به نقل از یک منبع آگاه رسمی ایالات متحده اعلام کرد که گویا ترامپ به سازمان سیا برای نفوذ و خرابکاری به زیرساخت‌های ایران اختیار تام داده است. با توجه به رویکرد متخاصم آمریکا در برابر ایران، می‌توان گفت آیا در حالت فعلی، ممکن است به شبکه بانکی ما نفوذ کرده‌ باشند؟ و اصولا باید نگران خرابکاری از سوی این دولت‌ها باشیم یا خیر؟

عباس‌نژاد: سوال خیلی خوبی است. در کشور ما وقتی از تعبیر امنیت سایبری استفاده می‌شود، این اصطلاح بیشتر برای افراد به‌کار می‌رود نه دولت‌های متخاصم. موضوعی که اشاره کردید، از پایان سال ۲۰۱۸ اتفاق افتاده است؛ یعنی از ابتدای سال ۲۰۱۹، نوع دیگری از حملات سایبری را در کشور شاهد بودیم. دستور ترامپ دو تفاوت کلی داشته و محدودیت‌های قبلی را برداشته است. اولین تفاوت این است که نوع حمله، فرق می‌کند و دومی اینکه چه کسانی مخاطب هدف (target) هستند. در حال حاضر، سیا اجازه دارد به راحتی علیه ما حملات سایبری انجام دهد بدون اینکه دستور از کاخ سفید بگیرد در حالی که قبلا باید هماهنگ می‌کردند. بنابراین ما الان باید به بازیگران تهدید که به شبکه بانکی کشور حمله می‌کنند، علاوه بر افراد با انگیزه‌های مالی، یک دولت متخاصم را هم اضافه کنیم. مساله بعدی این است که براساس دستور ترامپ، هدف، ایجاد اختلال و قطع کردن سرویس‌ها (disruption) است. نمونه disruption‌ها، بحث قطع برق یا آشکارسازی اطلاعات محرمانه افراد، اعضا و حتی مشتریان سازمان‌هاست. ما از سال ۲۰۰۹ بعد از استاکس‌نت، نمونه‌های متعددی از حملات دولت متخاصم را به کشور داریم اما با این دستور باید مشکلات جدید و متفاوتی را متصور باشیم. نوع حملات بسیار زیادتر خواهد بود و با توجه به شرایط کشورمان، باید در شبکه بانکی توجه ویژه‌ای به حوزه امنیت سایبری داشته باشیم.

*در ما‌ه‌های گذشته، نشت اطلاعات در صنایع و نهادهای مختلف اعم از دانشگاه‌ها، اپراتورهای مخابراتی، ثبت احوال، استارت‌آپ‌ها و حمل‌ونقل، به‌طور متعدد مطرح شده است. حتی سال گذشته شنیده شد که وزارت رفاه، اطلاعات تمامی مشتریان شبکه بانکی از صدر تا ذیل را از بانک مرکزی خواسته بود و بانک مرکزی در قالب یک سی‌دی این اطلاعات را به وزارت رفاه داده است. آیا شما این موضوع را تایید می‌کنید یا خیر؟ اخیرا نیز این موضوع در ثبت احوال برای وزارت صمت اتفاق رخ داد و اطلاعات در قالب یک سی‌دی در اختیار سازمان دیگری قرار داده و روی اینترنت بارگذاری شد. با این وضعیت، عملا به نشت اطلاعات عادت می‌کنیم! خانم واقفی به نظر شما، با توجه به ذخیره اطلاعات بسیار زیاد شبکه بانکی و محرمانگی این اطلاعات، ابزارهای دفاعی کافی را در کشور داریم؟ آیا شبکه بانکی ما ایمن است؟ البته مثال‌های مطرح‌شده نشان می‌دهد اگر به صورت سیستمی، ایمن هستیم در حوزه پرسنلی ایمن نیستیم. دلایل این اتفاقات چیست؟

واقفی: یکی از زیرساخت‌های جذاب و حیاتی هر کشور، زیرساخت فناوری پولی و بانکی آن کشور است. هر اختلال امنیتی که در این زیرساخت اتفاق می‌افتد بسته به سطح آن، می‌تواند تبعاتی در یک کسب وکار، صنعت یا یک کشور داشته باشد. به نظر من، هنوز در کشور رخداد جدی نداشتیم و آنچه شما اشاره کردید، نسبت به آن چیزی که با توجه به شرایط خاص کشور می‌تواند رخ دهد، طنز کوچکی است! نوع واکنش نسبت به آن موارد و ریشه‌یابی دلایل آن، موجب نگرانی می‌شود. هر اقدامی انجام شود، امنیت صددرصد نخواهیم داشت بنابراین وجود رخدادهای امنیتی و حتی نشت دیتا در تمام دنیا وجود دارد و ما هم از این قاعده مستثنا نیستیم اما علت ایجاد آن چیست؟ آیا تیم هکری پیشرفته به دیتاها دسترسی پیدا کرده‌اند یا اینکه یک دانش‌آموز دبیرستانی به یک آسیب‌پذیری که در چند سال گذشته وجود داشته و مهار نکردیم، دسترسی پیدا کرده است. از دیدگاه بنده، واقعیت این است با توجه به سطح ریسک، اقدامات لازم را در سطح کلان کشور انجام نداده‌ایم. فرایند برخورد با یک رخداد امنیتی باید شفاف باشد. با مواردی که خطرپذیری بالا هم تلقی نمی‌شوند، برخورد سیستماتیک مناسبی نداشتیم و اگر همگرایی بین ساختارهایی که در کشور بدون تحلیل ریسک و بدون اقدام جدی در حوزه طراحی و منابع انسانی، بخش‌نامه و دستورالعمل در حوزه دیتا صادر می‌کنند، انجام نشود، انتظار سونامی در نشت واقعی دیتا را در آینده باید شاهد باشیم. آنچه تا کنون اتفاق افتاده در مقایسه با اتفاق اصلی، چیز زیادی نیست.

*آقای دکتر عباس‌نژاد، آیا شما به واسطه تجربیات‌تان، نمونه‌های دیگری به جز مواردی که ذکر کردم، سراغ دارید؟

عباس‌نژاد: در تحول دیجیتال در حوزه بانکی، همان‌طور که خانم واقفی فرمودند، هنوز اتفاقی نیفتاده است. اما اینکه در سال‌های گذشته در صنعت بانکی و در حوزه پولی و اعتباری در کشور اتفاقی افتاده یا خیر، باید عرض کنم اتفاق افتاده است؛ شاید برخی از آنها خبری و رسانه‌ای نشده باشد یا کنترل شده باشد اما مدیرانی که در همین پادکست حضور دارند، یادشان هست که اتفاقاتی رخ داده است؛ یکی از این موارد، شرکت انیاک و افشای اطلاعات کارت‌های بانکی بود که مردم مجبور به تعویض رمز شدند. این، یک نمونه ساده است. همچنین مواردی که نقل‌وانتقال پول به دلیل آسیب‌پذیری شبکه بانکی -نه به دلیل فیشینگ و نظایر آن- وجود داشته که در بانک‌های بزرگ کشور اتفاق افتاده است. هرچند در حال حاضر با خارج از کشور، ارتباط مالی چندانی نداریم و امکان اینکه پول در کشور دیگری نقد شود، چندان وجود ندارد اما روش‌هایی برای استفاده از این پول‌ها وجود دارد. اگر بگوییم ریسک، پارامتری از احتمال وقوع در شدت اثر است، احتمال وقوع آن زیاد است و بعید می‌دانم بانکی وجود داشته باشد که اعلام کند چنین تجربه‌ای را نداشته است. با این وجود فکر می‌کنم تمام اتفاقاتی که رخ داده، نسبت به اتفاقاتی که می‌توانست ایجاد شود، چندان جدی نیست. با این حال، به دلیل شرایط خاص کشور از نظر سیاسی، جغرافیایی و اقتصادی در نقطه‌ای هستیم که باید توجه بیشتری به امنیت سایبری شود به دلیل اینکه دولت متخاصم هم نگاه جدی به این حوزه دارد و به دنبال این است که شبکه پولی و بانکی کشور را دچار مشکل کند.

*برخی بانک‌های خارجی در اقدامات نوآورانه، موضوع امنیت خود را به شرکت‌های دیگر، برون‌سپاری می‌کنند. البته برخی بانک‌های داخلی نیز در حال حرکت به این سمت هستند. جناب معظمی، نظر شما به عنوان پلیس در این حوزه چیست؟ آیا برون‌سپاری‌ها عامل تهدید نیستند یا اینکه قابل مدیریت هستند؟

معظمی گودرزی: متاسفانه این برون‌سپاری‌ها، بدون لحاظ کردن تمهیدات امنیتی صورت گرفته و یک‌سری بانک‌ها این اقدام را انجام داده‌اند. ما براساس گزارش رخدادهای دریافتی، موضوعات را دسته‌بندی کردیم و متاسفانه ایرادات زیرساختی به این موضوع وارد است. ما در بالاترین سطوح لازم، استانداردهای امنیتی را از بانک‌ها مطالبه می‌کنیم، غافل از اینکه بخش اعظمی از دیتا که در بالاترین سطح محرمانگی قرار دارد در اختیار شرکتی است که هیچ تمهیدات امنیتی را رعایت نمی‌کند و اتفاقاتی رخ می‌دهد که برای ما به عنوان پلیس بهتر قابل لمس‌ است. چند نمونه از مشکلات برون‌سپاری امنیت در شبکه‌های بانکی را تشریح می‌کنم.

اولین نکته، عدم چابکی در بهینه‌سازی سیستم‌ها در شرکت‌های برون‌سپاری است. مثلا وقتی به بانک‌ها گفته می‌شود OTP یا رمز پویا را روی اینترنت بانک اجرا کنید، باید با آن شرکت مذاکره کنند که ممکن است چندین ماه طول بکشد و هزینه‌های هنگفتی هم بپردازند و نهایتا زمان مشخصی برای انجام آن به ما اعلام نمی‌شود. در حالی که هر روز پرونده‌هایی را شاهد هستیم زیرا جرایم به این سمت، تغییر یافته‌اند. متاسفانه این کار منوط به شرکت‌هایی شده که چندان چارچوب‌های امنیتی را نیز رعایت نمی‌کنند.

دومین نکته، خطر نشت اطلاعات در برون‌سپاری اطلاعات به سایر شرکت‌هاست. در مواردی، اطلاعات محرمانه در اختیار شرکت‌هایی بوده که برون‌سپاری شده و مشاهده شده که اطلاعات به صورت آشکار در اختیار آنها قرار می‌گیرد و افرادی که هیچ‌گونه تاییدیه امنیتی ندارند به محرمانه‌ترین اطلاعات آن بانک دسترسی دارند. یک کارمند ناراضی می‌تواند اطلاعات را استخراج و باج‌خواهی کند. همچنین پروتکل‌ها و استانداردهای امنیتی به‌هیچ عنوان از سوی این شرکت‌ها رعایت نمی‌شود.

سومین نکته عدم توجه به قراردادهای منعقدشده است. متاسفانه در برخی بانک‌ها، اشراف لازم روی حقوق فناوری وجود ندارد و بدون توجه به محتوای قرارداد، بالاترین سطح دسترسی آن شرکت برون‌سپاری‌شده به کُر وجود دارد که این امر، محرمانگی، اطلاعات خصوصی مردم و امنیت ملی را خدشه‌دار می‌کند.

چهارمین نکته این است که هرچند بسیاری از بانک‌ها فعالیت‌های مناسبی در این زمینه دارند و با پلیس هماهنگ هستند اما متاسفانه برخی بانک‌ها، با بعضی شرکت‌ها قرارداد می‌بندند و بر آن پافشاری می‌کنند. وقتی آسیب‌شناسی صورت می‌گیرد، تبانی‌هایی با برخی پیمانکاران مشاهده می‌شود. افرادی که در این شرکت‌ها هستند، قبلا در این بانک فعال بودند و امنیت خدشه‌دار می‌شود.

پنجمین نکته مشکل ساختاری در بحث برون‌سپاری است که به حوزه ساختاری بانک‌ها برمی‌گردد. امیدواریم رگولاتورهای مربوطه در این حوزه، دستورالعمل جامع‌تر و قابل اجرا صادر کنند. مستحضر هستید که امور فناوری تمام بانک‌ها فعال است اما در کنار آن باید حوزه امنیت از نظر ساختاری زیرنظر بالاترین رده بانکی یعنی مدیرعامل باشد. در حالی که حوزه امنیت یا در دل فناوری است یا بنا به دلایلی بسیاری از حملات گزارش نمی‌شوند یا امنیت در بانک‌ها، زیرنظر حراست و بازرسی قرار گرفته است. این ایراد ساختاری برای پلیس فتا، نگرانی ایجاد کرده و موجب شده برخی موضوعات، گزارش نشود و تناقضاتی در آمار داشته باشیم.

ششمین نکته، کارمندان ناراضی بانک‌ها هستند. این کارمندان، می‌توانند بیشترین ضربه را بزنند زیرا مسیرها را می‌دانند و دسترسی‌هایی دارند. در این زمینه، جمع کردن اتفاقاتی که رخ می‌دهد، بسیار دشوار است.

اگر این موارد در قالب پروتکل‌های امنیتی توسط بانک‌ها رعایت شود، قطعا شاهد بانکداری امن‌تر خواهیم بود و پلیس فتا نیز در کنار بانک‌هاست تا امنیت را روزبه‌روز ارتقا دهد.

عباس‌نژاد: درباره اظهارات جناب سرهنگ معظمی و موضوع برون‌سپاری حوزه امنیت از سوی بانک‌ها، یک مساله خیلی مهم است. ریسک آبرویی و ریسک امنیت، قابل انتقال نیست؛ یعنی بانک نمی‌تواند با واگذاری خدمات امنیتی به شرکت‌های پیمانکار، ریسک امنیتی را به آن شرکت منتقل کند زیرا هرچه ضمانت‌های مختلف اخذ شود، به هر حال آبروی یک بانک و امنیت کاربران آن مطرح است. آنچه بانک منتقل می‌کند، فرایندهای عملیاتی است. اینکه متاسفانه بانک‌ها در انتخاب پیمانکار حوزه امنیت اطلاعات، روال‌های درستی را انتخاب نمی‌کنند بنده نیز قبول دارم و باید تصحیح شود. در کشور ما، سازوکارهایی برای انتخاب شرکت‌های امنیتی معتمد مانند مرکز راهبردی افتا وجود دارد که شرکت‌های امنیتی را از نظر خدمات طبقه‌بندی کرده و این شرکت‌ها تحت نظارت فنی و امنیتی هستند تا هم کارشان را درست انجام دهند و هم افرادی را استخدام کنند که متبحر و قابل اعتماد باشند.

مورد دوم یعنی مشکل ساختاری که اشاره شد، نیز کاملا درست است. ساختار امنیتی باید ساختاری مستقل باشد. امنیت هیچ‌گاه برای سازمان، ارزش جدیدی ایجاد نمی‌کند. هدف امنیت، از بین نرفتن سایر ارزش‌های یک سازمان است. بنابراین اگر امنیت در زیرمجموعه واحد فناوری باشد، در نهایت موضوع به مدیر فناوری اطلاعات ارجاع می‌شود و وی مشکل را گزارش نمی‌کند اما با توجه به اینکه ما به سمت تحول دیجیتال و وابستگی بیشتر به سمت فناوری اطلاعات حرکت می‌کنیم، اگر ساختار جداگانه‌ برای امنیت وجود داشته باشد، این مشکلات باید به سرعت گزارش شود تا مدیران ارشد بانکی فورا آن را حل کنند. این مشکل ساختاری با کمک رگولاتور یعنی بانک مرکزی، می‌تواند هرچه سریع‌تر حل شود.

*در کشورهای پیشرفته با سیستم بانکی کارآمد، یکی از ارکان موفقیت حوزه بانکی، رگولاتورهای شبکه بانکی هستند. به عنوان فردی که سال‌ها در این حوزه فعالیت داشته‌اید، نقش رگولاتور را در حوزه امنیت سایبری چقدر جدی می‌دانید، آیا تاکنون نقش خود را به خوبی ایفا کرده است؟

واقفی: خوشبختانه در چند سال اخیر، بحث امنیت سایبری در کشور تا حدی موردتوجه بوده و نهادها و سازمان‌های مختلفی نیز در این حوزه در بخش متولی‌گری آن وارد شده‌اند اما نکته اینجاست که آیا با توجه به موارد دارای ریسک و خطرپذیری بالا، برنامه‌ریزی کرده‌ایم و به تدوین قوانین پرداخته‌ایم یا خیر؟ این موضوع، بحث مفصلی می‌طلبد. قطعا رگولاتور نقش بسیار مهمی در حوزه امنیت دارد و البته یک چاقوی دولبه است. اگر قوانینی داشته باشیم که به شدت سختگیرانه باشد یا کار تخصصی روی آن انجام نشده باشد، می‌تواند ریسک بزرگ‌تری ایجاد کند. اگر به حوزه صنعت بانکی دنیا نگاه کنیم، می‌بینیم که چقدر در این حوزه خلأ بانکی داریم. این خلأهای قانونی، موجب شده مشتریان سرویس‌های بانکی کسانی باشند که با ریسک‌ها و چالش‌های جدی مواجه شوند؛ مثلا در بانکداری باز در دنیا چند سال در حوزه PSP2 کار می‌کنند و بعد وارد حوزه تکنیکال آن می‌شوند. ما در ایران، دو سه سال در بحث بانکداری باز از نظر فنی کار می‌کنیم و چهارپنج روز هم در زمینه رگولیشن کار می‌کنیم؛ این مثال، تفاوت نگاه را در حوزه‌های مختلف در ایران و دنیا نشان می‌دهد، بنابراین ما نیازمند اصلاح قوانین هستیم که متخصصان روی آن کار کنند. نمونه دیگر، قانون GDPR اروپا، در حوزه حریم خصوصی است. در کشور ما، اطلاعات یک مشتری بانکی بدون اجازه وی در اختیار دیگری قرار می‌گیرد در صورتی که در GDPR نسبت به این موضوعات، بسیار سختگیرانه برخورد می‌شود، بنابراین ما در حوزه فناوری طی یک دهه گذشته یا در ۱۵ سال قبل، پیشرفت خیلی خوبی داشته‌ایم اما متناسب با آن، هنوز نتوانسته‌ایم الزامات، قوانین، ساختارهای اجرایی و حسابرسی‌های IT را ایجاد کنیم. این امر، یکی از نقاط آسیب‌پذیر ماست که باید انرژی بیشتری برای بهبود آن گذاشته شود. ضمن اینکه رگولاتور لزوما نباید فقط سند بدهد. ما در بسیاری از زیرساخت‌ها که نیاز اصلی امنیت است، عقب هستیم مثلا ۱۵ سال است که وضعیت امضای دیجیتال مشخص نیست. این موارد موجب می‌شود در فضاهای فنی و امنیتی به شدت دچار چالش شویم.

*ما در شماره اخیر هفته‌نامه عصر ارتباط، گزارشی را درباره شاپرک منتشر و نقش این نهاد را در نظارت بر عملکرد PSPها بررسی کردیم. به نظر می‌رسد رگولاتور بانکی ما به جای اینکه به دنبال راه‌حل برای رفع مشکلات باشد، بیشتر به دنبال اعمال جریمه سنگین در حوزه تخلفات، اعم از امنیت یا سایر حوزه‌هاست و از این طریق، سعی در مدیریت حوزه امنیت دارد؛ آیا این رفتار منطقی است و با جریمه کردن حل می‌شود؟

واقفی: بنده این رگولیشن را هنوز ملاحظه نکردم و بنابراین اظهارنظر من، قطعی نیست اما یک نکته مهم وجود دارد. برخی مواقع قانون بد صدمات بیشتری از نبود قانون ایجاد می‌کند. قطعا در تمام دنیا، جرایم وجود دارد و یکی از راهکارهای برخورد، جرایم است اما اینکه این جرایم، متناسب با جرم است یا خیر؟ و اینکه آیا این جرم توسط آن افراد یا شرکت‌ها و سازمان‌ها، قابل پیشگیری و مدیریت است یا خیر؟ قطعا باید در مقررات‌گذاری دیده شود. اولین بحث در امنیت، شفاف‌سازی نقش‌ها و مسوولیت‌هاست. اگر با مسوولیتی که داده شده، واقعا آن شرکت یا سازمان می‌تواند جلوی تخلفات را بگیرد و این کار را انجام نمی‌دهد، باید جریمه شود وگرنه حتما قانون دچار ضعف است که موجب ایجاد این فضا شده است.

*در حوزه واگذاری‌های API کارت به کارت به بعضی از شرکت‌ها، اتقاقات بدی رخ داد و اطلاعات بسیاری از مردم منتشر شد و سوءاستفاده‌هایی از آن صورت گرفت اما چندان رسانه‌ای نشد. در اینجا مسوولیت API بانک، تماما به عهده بانک گذاشته شده و اگر خطایی اتفاق بیفتد مسوولیت با بانک است. با یکی از مدیران اسبق نظارتی بانک مرکزی صحبت می‌کردم، اشاره داشتند که در این مواقع، بانک را به خاطر کوتاهی در نظارت جریمه می‌کردیم اما با یک تماس با رییس کل یا دیگران در رگولاتور بانکی، این جریمه منتفی می‌شد و عملا زور ما به جریمه نمی‌رسید! راه‌حل دیگر این بود که اصلا چرا این سرویس واگذار شد یا مسیر به شکلی طرح‌ریزی شد که بانک اجازه داشته باشد این سرویس را به هرکس بدون نظارت بدهد. شما اطلاعات کامل‌تری در این زمینه دارید؟

عباس‌نژاد: بنده چون در بخش خصوصی فعالیت می‌کنم به صراحت باید عرض کنم رگولاتور مسوولیت خودش را در زمینه امنیت سایبری اصلا انجام نمی‌دهد. تمام رگولاتورهای بانکی دنیا به طور مستقیم نظارت را انجام می‌دهند و مقررات‌گذاری می‌کنند و چارچوب‌هایی ارایه می‌کنند که پیاده‌سازی شود و رگولاتور آن را آدیت یا ممیزی می‌کند. کما اینکه مثلا راهنمای امنیت شاپرک با ورژن خاص اجازه می‌دهد که PSP‌ها، ممیزی شوند اما آیا درباره سایر نقش‌های بانک‌ها در شبکه بانکی و پولی و مالی، رگولاتور راهکاری ارایه داده است؟ یک نمونه‌اش همین APIهایی است که بانک‌ها در اختیار سایرین قرار می‌دهد و شما اشاره کردید. آیا جریمه بانک، کافی است و به درستی اتفاق می‌افتد؟ آیا قانون مناسبی برای آن وجود دارد؟ آیا به بانک گفته شده اگر قرار است APIها در اختیار دیگری قرار داده شود چه کنترل‌هایی باید روی آن انجام شود؟ زمانی که این اقدامات انجام نشده، طبیعی است که این مشکلات پیش بیاید. در این حوزه‌ها، بانک مرکزی، هیچ کار جدی انجام نداده است. ما در بانک‌ها از تمام نهادهای نظارتی اعم از پلیس فتا، شورای عالی فضای مجازی، مرکز راهبردی افتا وغیره نامه می‌گیریم اما از بانک مرکزی، آن چیزی که مختص امنیت سایبری حوزه بانکی باشد، متاسفانه خروجی مناسبی دیده نمی‌شود.

فکر می کنید رویکرد تحول دیجیتال در صنعت بانکی، در بحث امنیت سایبری چه نقشی دارد؟
واقفی: یکی از مباحث رایج این روزها، تحول دیجیتال است که فکر می‌کنیم در اکوسیستم صنعت بانکی می‌تواند به طور جدی تحول‌آفرین باشد که در این رابطه، مفاهیمی مانند بانکداری دیجیتال مطرح می‌شود. طبیعتا تغییر پارادایم‌هایی از سرویس‌های سنتی در حوزه صنعت بانکی به سمت سرویس‌های جدید خواهیم داشت و یک‌سری کلان‌روندهایی مانند هوش مصنوعی، اینترنت اشیا، بلاک‌چین و بحث‌های مرتبط با زیرساخت‌های امنیت استفاده می‌شود. تحول دیجیتال، فقط بعد فناوری ندارد اما متاسفانه فقط به این بعد توجه می‌شود و ابعاد مرتبط با مدل کسب وکار، ساختار، فرایند، ریسک وغیره چندان موردتوجه نیست. همزمان با صحبت از مفاهیم جدید در بانکداری، نگاه‌ماه را باید از حوزه مدیریت سنتی امنیت به راهکارهای نوین امنیت ببریم و راهبردها و مدل‌های کسب‌وکار ما با بحث‌های جدید امنیت بازنگری شود. به نظر می‌رسد که می‌توانیم از حوزه هوش مصنوعی برای ظرفیت تحلیل کلان‌داده‌ها و از این موضوع، برای بحث‌های مرتبط با امنیت استفاده کنیم. یکی از این موارد، سامانه‌های مدیریت تقلب و پولشویی است که می‌توان از مباحث ماشین لرنینگ و تحلیل دیتا استفاده کرد و موارد تقلب و پولشویی را به صورت دینامیک مبتنی بر ریسک شناسایی کرد. اینها مواردی است که باید همزمان به آن توجه کرد و در لایه‌های زیرین بانکداری دیجیتال و تحول دیجیتال مدنظر قرار گیرد. هنوز موضوعاتی مانند امضای دیجیتال و احراز هویت دیجیتال که ستون‌های بانکداری دیجیتال هستند، بلاتکلیف است و وضعیت مناسبی در این زمینه نداریم. در این فضا، واقعیت این است که اگر به تحول دیجیتال فکر می‌کنیم این موضوع باید در امنیت هم دیده شود تا کل این زنجیره ارزش، قابلیت تولید ارزش واقعی را داشته باشد. در غیر این صورت، تنها میزگرد و صحبت خواهد بود اما در عمل تحول خاصی را در حوزه صنعت مشاهده نخواهیم کرد.

طبق نظرات خانم واقفی، بحث تحول دیجیتال با امنیت سایبری گره خورده است. مشکلات موجود در این عرصه، به دلیل ضعف بانک‌هاست یا شرکت‌های خصوصی یا اینکه اصلا این موضوع، در اولویت رگولاتور نیست؟ آیا امنیت سایبری می‌تواند یکی از عوامل موفقیت در تحول دیجیتال باشد یا خیر؟
عباس‌نژاد: یکی از گزارش‌هایی که در امنیت سایبری بسیار به آن رجوع می‌کنیم، گزارش (DBIR) Data Breach Investigations Report است که هر سال به‌ وسیله Verizon منتشر می‌شود. براساس گزارش سال ۲۰۲۰، تعداد ۳۹۵۰ نفوذ که در دنیا اتفاق افتاده، از دیدگاه‌های مختلف، موردبررسی قرار گرفته است. یکی از نکات مهم گزارش، این است که ۸۰ درصد حملات، اهداف مالی داشتند. بنابراین صنعت بانکی بهترین هدف برای کسانی است که قصد سوءاستفاده دارند. باید بپذیریم احتمال اینکه شبکه بانکی موردسوءاستفاده قرار گیرد، بسیار زیاد است. آمار دیگر این گزارش نشان می‌دهد ۷۲ درصد حملات در کسب‌وکارهای بزرگ انجام می‌شود. از آنجا که حوزه بانکی جزء کسب‌وکارهای بزرگ محسوب می‌شود باز هم احتمال وقوع حملات در صنعت بانکی بیشتر است. بنابراین باید برای آن فکر اساسی صورت گیرد. در این زمینه، رگولاتور باید نقش خود را کلیدی‌تر ایفا کند. همچنین این سوال، مطرح می‌شود که آیا باید امنیت سایبری را یک عامل کلیدی بدانیم یا خیر؟ در پاسخ باید عرض کنم وقتی برای بانک یک مشکل امنیتی ایجاد می‌شود، اعتماد کاربران کاهش می‌یابد و سپرده‌های خود را به بانک‌های دیگر منتقل کرده و از بستر الکترونیک در آن بانک کمتر استفاده می‌کنند و به تدریج عدم اطمینان ایجاد می‌شود. همچنین اگر به وب‌سایت یک بانک حمله شود، ممکن است هیچ اطلاعاتی از کاربران دچار مشکل نشود و نفوذگر به هیچ دیتایی از کاربران دسترسی نداشته باشد اما کافی است یک عکس بر روی وب‌سایت یا خودپردازهای آن بانک نمایش داده شود که این بانک، قابل اطمینان نیست. در این صورت مشتری، به آن بانک اطمینان نمی‌کند. وقتی به تحول دیجیتال فکر می‌کنیم باید به عنوان یک بعد تاثیرگذار به امنیت سایبری هم فکر کنیم و به همان میزان که بانک‌ها در ارایه خدمات، قدرتمندتر ظاهر می‌شوند، در ایمن بودن آن خدمات نیز باید قوی باشند.

البته رگولاتور قبلا هم عنوان کرده که تحت فشار نهادهای نظارتی و پلیس در زمینه اجرای رمز پویا ورود کرد و بانک‌ها را تحت فشار گذاشت. در حال حاضر با استفاده از رمز دوم پویا، چه میزان از تخلفات فیشینگ، مدیریت می‌شود و آن قسمت که مدیریت نمی‌شود، دلیل آن چیست؟
معظمی گودرزی: اقداماتی که پیرو تعامل پلیس فتا، بانک مرکزی و قوه قضائیه درخصوص رمز پویا صورت گرفت، اقدام مناسبی بود. چون ما در حوزه عملیاتی فعالیت می‌کنیم و شاهد پرونده‌های تخلفات و مشکلات مردم در این زمینه هستیم، این موضوع را کاملا درک می‌کنیم. بررسی‌ها و راهکارهایی برای کاهش تخلفات در این عرصه انجام شد. موضوع رمز دوم پویا یا OTP از چندسال پیش موردتوجه بود و با توجه به زیرساخت‌های بومی در بانکداری الکترونیک ما و ارتباط بین اپراتورها و بانک‌ها، به این نتیجه رسیدیم که بهترین راه برای کاهش تخلفات، رمز دوم پویاست. خوشبختانه راه‌اندازی رمز دوم پویا، تاثیرات مثبتی داشت و از آن زمان تاکنون، بالغ بر ۵۰ درصد جرایم فیشینگ کاسته شده که عدد بسیار بالایی است. هر یک شاکی موجب می‌شود هم حوزه بانکی زیرسوال برود و هم مردم مستاصل شوند. با این حال باز هم فیشینگ اتفاق می‌افتد که این موضوع را در تعامل با خود بانک‌ها و بانک مرکزی آسیب‌شناسی کردیم که این موارد نیز در حال مرتفع شدن هستند. یکی از دلایل تداوم فیشینگ، با وجود رمز دوم، همان زمان ۱۲۰ ثانیه است که اصلاحاتی در این زمینه، در حال انجام است. همچنین در اینترنت بانکِ برخی از بانک‌ها، رمز دوم پویا فعال نیست اما با ورود به فازهای بعدی، چشم‌انداز ما این است که وضعیت بسیار بهتر خواهد شد. از نظر پلیس، ایجاد رمز دوم پویا اقدام بسیار مناسبی بود و امیدوارم با همکاری بانک مرکزی، اقدامات دیگری انجام دهیم که از سایر جرایم نیز جلوگیری شود. در حال حاضر برخی جرایم به سمت کلاهبرداری‌های اینترنتی، اسکیمرها وغیره تغییر مسیر داده‌اند که امیدوارم در این زمینه نیز بتوانیم اقدامات پیشگیرانه مناسبی را انجام دهیم.

هر تحولی در سازمان نیاز به سیاست‌گذاری‌های مناسب در ابتدای طراحی سیستم دارد. در فرایند تحول دیجیتال، براساس اظهارات مطرح‌شده قبلی، امنیت و قابلیت اعتماد به عنوان یکی از عوامل کلیدی موفقیت مطرح شد. خانم واقفی! وضعیت بانک‌های کشور و شبکه پرداخت الکترونیک در لایه سیاست‌گذاری امنیت را از زبان شما بشنویم.
واقفی: همان‌طور که عرض کردم به خاطر نگاه سنتی به امنیت، آن را یک‌سری کنترل‌های ایستا و از جنس QC می‌دیدیم که وقتی محصول یا سرویسی آماده می‌شود، کنترل عملیاتی روی آن صورت می‌گیرد. این نگاه، با وضعیت امروز همخوان نیست. امنیت زمانی می‌تواند موفق باشد که جزئی از کل چرخه حیات طراحی، تولید و عملیاتی‌سازی سرویس باشد. در عقد قرارداد با یک پیمانکار، تولید و برون‌سپاری، باید دانش متخصص امنیت سایبری را داشته باشیم. بحث کدنویسی امن باید برای محصول موردتوجه قرار گیرد. اگر اینها نهادینه نشود، به مشکل برمی‌خوریم. باید انعکاس این موارد را در سیاست‌های سازمان مشاهده کنیم. اگر این موارد در سیاست‌های سازمان شفاف باشد، می‌توان انتظار پیگیری و اجرا داشت تا تضمینی برای بحث امنیت باشد اما در غیر این صورت اگر بخشی از زنجیره دچار آسیب شود، اتفاقاتی که نباید رخ دهد، در سرویس‌ها روی می‌دهد در حال حاضر، توجیه مدیران ارشد برای خرید ابزارهای مختلف، بسیار راحت‌تر از توجیه این موضوع است که در عقد قرارداد با شرکت دیگر به عنوان شخص ثالث باید فرایند امنیت و ریسک‌ها دیده شود. این موارد باید در کل صنعت بانکی موردتوجه باشد و اصلاح شود وگرنه حوزه فناوری به تنهایی نمی‌تواند موجب شود پاشنه آشیل این صنعت موردهدف قرار نگیرد.

نقش رگولاتور در مواردی که خانم واقفی اشاره کردند، چیست؟ آیا در اسناد بالادستی امنیت در شبکه بانکی، تاکنون کاری انجام شده است؟
عباس‌نژاد: به نظرم رگولاتور در این عرصه، چندان فعال وارد نشده و بنابراین مدیران ارشد بانک‌ها نیز چندان توجه نمی‌کنند. در حال حاضر در بانک‌ها نگاه به امنیت، در واحد فناوری، صرفا فنی است. امنیت، فقط تکنولوژی نیست بلکه مردم و فرایند هم جزئی از آن هستند که در این دو حوزه، رگولاتور نقش خود را در عرصه‌های اطلاع‌رسانی، آموزش، منابع انسانی و اینکه چه فرایندهای سیستماتیکی برای استقرار امنیت لازم است، به خوبی انجام نمی‌دهد. علاوه بر تکنولوژی، مردم و فرایند، عامل مهم دیگر حاکمیت است؛ یعنی مدیران ارشد بانک باید در امنیت دخیل باشند. در تمام این موارد، رگولاتور باید ایفای نقش کند و مدیران ارشد بانک را توجیه نماید. عمده مشکلات ما در شبکه بانکی در حوزه امنیت در سال‌های اخیر، الزاما موارد فنی نبوده بلکه عدم کنترل مناسب پیمانکار بوده است. در این زمینه رگولاتور باید دستورالعمل و راهنما داشته باشد و ممیزی کند و بانک را کنترل نماید و در نهایت یک مدیر ارشد بانکی باید درگیر شود تا امنیت به خوبی پیاده‌سازی گردد.

درباره امنیت بومی در کشور صحبت‌های مختلفی مطرح می‌شود. تجربیات مختلف در حوزه‌های نظامی و دفاعی کشور، بیانگر موفقیت‌های بسیاری بوده است. نظرتان درباره استفاده از توان و دانش داخلی در محصولات امنیت داخلی در شبکه بانکی کشور چیست؟
واقفی: نکته اصلی سوال شما، همان اعتماد است. هنوز این اعتماد شکل نگرفته است. ممکن است بخشنامه و ابلاغیه از سازمان‌های بالادستی مبنی بر استفاده از یک ابزار داخلی وجود داشته باشد اما وقتی داخل سازمان، درباره حوزه‌هایی که باید در طراحی از این ابزارها استفاده کنند، وارد تعامل با همکاران شوید، عموما با این توجیه مواجه می‌شوید که اگر با استفاده از این ابزار، سرویس، دچار مشکل شود، آیا پاسخگو هستید؟! در این حالت، مجبور به عقب‌نشینی می‌شوید. این امر، نشان می‌دهد اگر قرار است توان داخلی را تقویت کنیم، راه‌حل فقط نامه‌نگاری با سازمان‌ها و اجبارِ بخشنامه‌ای نیست بلکه باید نیروهای متخصصِ لایه‌های کارشناسی را متقاعد و این اعتماد را ایجاد کنیم. این موضوع، جای کار زیادی دارد و در بیشتر صنایع کشور، اصلا شکل نگرفته است.

آقای دکتر اینالوئی سوالی مطرح کرده‌اند مبنی بر اینکه بسیاری از بانک‌های بزرگ کشور، از وی‌ست (VSAT) برای ارایه خدمات بانکی استفاده می‌کنند. شاید در نقاطی که امکان ارتباطی برقرار نیست یا شاید هم به عنوان بک‌بن (Backbone). ایشان معتقدند چون ما روی ترانسپوندرهای ماهواره‌ای کنترل چندانی نداریم، ممکن است این موضوع، موجب نشت اطلاعات شود. در این زمینه چرا هیچ اقدامی انجام نمی‌شود؟
واقفی: وی‌ست که در برخی از زیرساخت‌های بانکی استفاده می‌شود، در حوزه back up و ویژه فضاهایی است که دسترسی به شبکه‌های زمینی نداریم. بنابراین دیفالت ارایه سرویس‌های بانکی ما، روی زیرساخت‌های ملی کشور است و خوشبختانه طی یکی دو سال گذشته که دوستان پدافند، مانورهای خوبی در حوزه شبکه ملی اینترانت کشور برگزار کردند، موجب شد بانک‌ها تا حد زیادی سرویس‌های خودشان را به این حوزه منتقل کنند. در شرایط خاص که شبکه زمینی، قطع شود و امکان سرویس‌دهی نداشته باشیم، ممکن است فقط سرویس شعب برای چند ساعت روی وی‌ست، سوئیچ کند که رمزگذاری‌شده است و اگر تحلیل ریسک انجام شود، در مقایسه با ریسکی که در حوزه‌های دیگر داریم، از نظر من قابل چشم‌پوشی است. بحث استمرار سرویس‌دهی نیز از شاخه‌های اصلی امنیت است که نمی‌توان از کنار آن گذشت.

آیا شرکت‌های دانش‌بنیان در حوزه امنیت، اقدام خاصی انجام داده‌اند؟ و راه حلی برای اعتماد به راهکارهای داخلی وجود دارد یا اینکه همانند خرید اجناس و کالاها، تمایل به مسیرها و راهکارهای خارجی است؟
عباس‌نژاد: محصول خارجی در حوزه امنیت سایبری، معمولا یا محصولات آمریکایی است یا اسرائیلی و متاسفانه عمدتا اسرائیلی است. پس اگر محصول امنیتی آمریکایی خریداری می‌کنیم، مانند این است که یک تجهیز امنیتی خریداری کرده‌ایم که جلوی اسرائیل را بگیریم که اتفاقا خود محصول، اسرائیلی است! این موضوع را باید به صورت پیش‌فرض بپذیریم.

مهم این است که ما امنیت را ایجاد می‌کنیم که جلوی هکر داخلی را بگیریم تا از شبکه بانکی سوءاستفاده نکند و یا جلوی یک دولت متخاصم را می‌گیریم که خودش آن را ایجاد کرده است. مثال می‌زنم. چند روز پیش یک آسیب‌پذیری روی سرویس‌ DNS در پلتفرم‌های سرورهای مایکروسافتی پیدا شد. این آسیب‌پذیری، ۱۷ سال است که در سیستم‌های مایکروسافت وجود دارد؛ یعنی از زمان ویندوز ۲۰۰۳ تا امروز! ما نیز از سیستم‌های عامل مایکروسافتی در شبکه بانکی زیاد استفاده می‌کنیم. آیا در ۱۷ سال گذشته ما آسیب‌پذیر بوده‌ایم؟ پاسخ مثبت است. آیا کسی نمی‌دانسته این آسیب‌پذیری وجود دارد؟ قطعا بسیاری می‌دانستند و از آن در زیرساخت‌های ما سوءاستفاده می‌کرده‌اند اما ما نمی‌دانستیم. بنابراین باید بپذیریم چنین مواردی می‌تواند وجود داشته باشد. بسیاری از تجهیزاتی که خریداری می‌کنیم عجیب است که علی‌رغم تحریم‌ها، چگونه می‌توانیم یک تجهیز امنیتی جدی خریداری نماییم و در زیرساخت‌های کشور نصب کنیم؟ اینکه ما توان داخلی برای تولید این تجهیزات را داریم یا خیر، بحث دیگری است.

درخصوص توانایی شرکت‌های داخلی، به نظرم شرکت‌های دانش‌بنیان در کشور ما طی سال‌های گذشته تلاش‌های زیادی انجام داده‌اند. ما در حوزه دفاعی و نظامی کشور به تولید ملی اعتماد کردیم و باید به حوزه محصولات امنیتی داخلی کشور نیز اعتماد کنیم. اعتماد این نیست که تمام زیرساخت‌ها منتقل شود. ما باید اجازه و فرصت به شرکت‌های دانش‌بنیان بدهیم که محصولات‌شان را ارایه کنند و بعد از تست در آزمایشگاه و کنترل آن، در شبکه بانکی مورد استفاده قرار گیرد. قطعا امنیت سایبری، در حوزه تکنولوژی است و در حوزه تکنولوژی، این امکان وجود دارد که تست گرفته و کنترل شود و سپس در شبکه بانکی قرار گیرد. متاسفانه بانک‌های کشور، فرصت ایجاد نمی‌کنند تا این امر اتفاق بیفتد. هوآوی در چین بزرگ ترین سرویس‌دهنده مخابراتی است و در حوزه ۵G، هوآوی، لیدر دنیاست و تقریبا همه استانداردهای اصلی حوزه ۵G را توسعه داده‌اند. در چین به هوآوی اعتماد شد که این کار را انجام دهد، برای آن هزینه شد، تست کردند و به آن فرصت دادند که فعالیت کند. وقتی صحبت از جهش تولید و حمایت از محصول بومی مطرح می‌شود، یکی از نقاط قابل اعتماد، امنیت سایبری است و خوشبختانه شرکت‌های فناور دانش‌بنیان خوبی در کشور ما وجود دارند که قادرند امنیت سایبری را حداقل برای حوزه بانکی شروع کنند و به نظرم در آینده می‌توانند موفق شوند.

در اظهارات‌تان از هوآوی صحبت کردید. هفته پیش خبری منتشر شد که بریتانیا به خاطر استفاده از چیپ‌ست‌های جاسوسی در تجهیزات ۵G، هوآوی را از بازار ارتباطی خودش اخراج کرده و به آن اجازه فعالیت نمی‌دهد. به نظر می‌رسد ما هم در این حوزه، تجهیزاتی را استفاده می‌کنیم اما اینکه بر روی این تجهیزات قبل از استفاده در شبکه بانکی از طریق آزمایشگاه وغیره تست امنیتی ‌شود که بعدا مشکلی پیش نیاید، مهم است. نکته دیگر اینکه به خاطر تحریم‌ها، بسیاری از این تجهیزات از مسیرهای قاچاق وارد کشور می‌شود. آیا این تجهیزات زمانی که بانک‌ها قصد استفاده از آن را دارند، به آزمایشگاه داده می‌شود یا خیر؟ آقای اینالو‌ئی هم در گروه سوال کرده‌اند که جایگزین سیسکو و اچ‌پی در حال حاضر چیست؟
عباس‌نژاد: هوآوی برای چینی‌ها یک مزیت رقابتی است؛ همچنان که برای ما مهم است سامانه پدافندی S300 یا S400 بخریم. طی هفت هشت سال آینده، وابستگی به حوزه فناوری اطلاعات، آن‌قدر زیاد می‌شود و مساله امنیت سایبری آن‌قدر جدی می‌شود که همان چیزی که درباره سامانه S300 یا S400 وجود دارد، همان موضوع نیز درباره امنیت سایبری مطرح خواهد شد. هوآوی مزیت رقابتی زیادی ایجاد کرده و بسیاری از کشورهای دنیا، از آن استفاده می‌کنند. شک نکنید چین هم ابزار شنود و جاسوسی وغیره را در فناوری‌های خود دارد. همه دولت‌ها دارند و طبیعی است که چنین اتفاقی رخ دهد. آیا محصولات آمریکابی مانند سیسکو، اچ‌پی، آی‌بی‌ام وغیره هیچ‌کدام بکدور (Back Door) ندارد. فارغ از این موارد، تجهیزات امنیتی مورداستفاده مانند Fortinet که در شبکه بانکی کشور بسیار متداول است، در دو سال اخیر انواع بکدور، مشخصا به خواست تولیدکننده روی آن قرار گرفته است. این موارد، حتما آسیب‌پذیری‌های جدیدی را نیز ایجاد می‌کند. پس نمی‌توان گفت تجهیزات خارجی این مسائل را ندارند. اینکه آیا این موارد کنترل می‌شود یا خیر، در حوزه کل فناوری اطلاعات، اطلاعی ندارم اما در حوزه تجهیزات امنیتی، پنج آزمایشگاه حوزه امنیت سایبری داریم که با مجوز مرکز راهبردی افتا کار می‌کنند و تجهیزات امنیتی وارداتی، در این آزمایشگاه‌ها تست می‌شود. اینکه توانمندی کافی در آزمایشگاه برای شناسایی این آسیب‌پذیری وجود دارد یا خیر، مساله مهمی است که باید بررسی شود. موضوع دیگر اینکه آیا تجهیزاتی که به کشور ارسال می‌شود، counterfeit hardware نیستند. مثلا اگر سیسکو وارد می‌کنیم، ممکن است ورژن دیگری از سیسکو باشد که مخصوصا مشکل داشته باشد.

درباره سوال آقای اینالوئی هم عرض کنم همکاران شبکه بانکی باید در نقطه‌ای به شرکت‌های دانش‌بنیان اعتماد کنند. گرانی هر روزه قیمت دلار، بیشتر ما را به این سمت‌وسو سوق می‌دهد که به شرکت‌های داخلی اعتماد کنیم. در حوزه تجهیزات امنیتی، شرکت‌های ما به نقطه‌ای رسیده‌اند که در حوزه‌هایی قادرند نیازمندی‌های کشور را مرتفع کنند مشروط بر اینکه براساس نیازمندی‌های واقعی حرکت کنیم. البته ممکن است زمانی تجهیزاتی از شرکت داخلی خواسته شود که لیست امکانات آن، کاملا یک تجهیز آمریکایی است در این صورت، سال‌ها تلاش هم فایده نخواهد داشت.

دکتر مرتضی ترک‌تبریزی، عضو هیات مدیره بانک تجارت که در لایوکست حضور دارند، درخصوص مباحث مطرح‌شده، نکاتی مدنظر دارند. در خدمت‌تان هستیم.
ترک‌تبریزی: وضعیت ما در کشور، جنگی است و دائما دچار مشکلات مختلف امنیتی در فضای آی‌تی هستیم. همه بانک‌ها بخش امنیت دارند و پروژه‌های مختلفی را در قالب آن دنبال می‌کنند و همگی نیز تحت فشار هستند. یک روز برای سهام عدالت، یک روز برای راه‌اندازی سامانه سیاح و نظایر آن. همه این پروژ‌ه‌ها با فشار، به معاون فناوری ارجاع می‌شود و باید به سرعت آن را با لحاظ کردن امنیت در فضای امن راه‌اندازی نماید که همواره از سوی بخش‌های امنیت در همان بانک با چالش مواجه است و مدام از طریق مدیرعامل یا بیرون بانک فشار وارد می‌شود که سریع‌تر ایجاد شود. بخش امنیتی همه بانک‌ها زیرنظر مدیرعامل است اما واقعا مدیرعامل یک بانک چقدر می‌تواند برای بخش امنیت که با چالش‌ها و موضوعات بسیار زیاد مواجه است، وقت بگذارد؟ ما هفته‌ای یکی دو روز مشکل DDOS (منع سرویس)، حمله به سایت، فیشینگ وغیره را داریم و همواره نیز ریسک و مسوولیت کار برعهده بانک است! اما واقعا مراجع دیگر، غیر از بانک نباید کاری انجام دهند؟ درخصوص قوانینی مانند GDPR چقدر باید صبر کنیم که ضربه بزرگ بخوریم تا بین چند سازمان حاکمیتی توافق صورت گیرد و بانک‌ها درخصوص بحث‌های دیتا این‌قدر عذاب نکشند. بنابراین موضوعات زیادی وجود دارد که بانک‌ها نیز قادر به انجام وظایف خود نباشند.

الان با بحث مهاجرت در حوزه امنیت مواجه هستیم. واقعا چقدر نیروی انسانی برای جذب در این حوزه با اشل حقوقی موردنظر آنها و اشل حقوقی بانک‌ها در اختیار داریم؟ چقدر قادر هستیم تجهیزات امنیتی را به سرعت خریداری کنیم که موردنیاز زیرساخت ماست و اگر نباشد، هر روز ریسک ما افزایش خواهد داشت؟ چقدر به لایسنس‌ها و مراجع حاکمیتی که نقش مشاور را در قبال بانک‌ها داشته باشند، دسترسی داریم؟ واقعا کمیسیون معاملات بانک‌ها چقدر در حوزه امنیت اعم از تامین مواردی مانند لایسنس‌ها، نیروهای انسانی، تجهیزات وغیره توجیه هستند؟ اینها، ماژول‌هایی است که امنیت را در بانک‌ها می‌سازد. البته بانک، مسوول است اما حتما باید بازیگران دیگری که نیاز است نقش‌شان را به درستی ایفا کنند، وجود داشته باشند تا تمام شبکه بانکی در زمینه امنیت رو به جلو حرکت کنند. این شبکه مانند دومینو است که اگر یک شعبه دچار مشکل شود، تا شعبه آخر بانک با مشکل مواجه می‌شود و تمام معاونان بانک مانند ویبره، شبانه‌روز نگران این موضوع هستند! یک نیروی انسانی پیمانکار بانک، می‌تواند یک بمب ساعتی باشد و یک بانک را دچار مشکل کند در حالی که تایید آن از مراجع بیرونی نیز گرفته شده است. البته در این زمینه واقعا بخش حراست با بخش آی‌تی بانک به شدت هماهنگ هستند. اگر این حلقه‌های گمشده قادر نباشند در این اکوسیستم با هم کار کنند، این خطرات و حملات را خواهیم داشت که در نهایت موجب نارضایتی مشتریان می‌شود و برند بانک‌ها را نیز خدشه‌دار می‌کند. سرویس‌های متعدد آنلاین بانک‌ها بدون آنکه همه بازیگران نقش خود را به درستی ایفا کنند، خصوصا در نقش مشاور، واقعا کاری از پیش نمی‌برند. در پروژه‌هایی که نیازمند مشارکت جمعی از حاکمیت است، باید انرژی بیشتری بگذاریم تا سیستم بانکی نیز وظیفه‌اش را به درستی انجام دهد.

بحث موازی‌کاری در حوزه امنیت هم وجود دارد. در این زمینه مرکز ماهر، پدافند غیرعامل و مرکز کاشف در بانک مرکزی را داریم. برخی مواقع این موازی‌کاری‌ها، موجب کندی سرعت عمل می‌شود و اجازه نمی‌دهد اتفاقات به درستی مدیریت شود. نکته دیگر – که البته به خاطر امنیتی بودن، چندان در رسانه‌ها مطرح نمی‌شود – این است که وقتی اطلاعات یک بانک، افشا می‌شود یا تحت نفوذ قرار می‌گیرد، اولین اقدام، محرمانه نگه‌داشتن آن است تا اصلا خبری درز نکند و بلافاصله موضوع، تکذیب می‌شود. البته این هماهنگی بین شبکه بانکی نیز وجود ندارد. نظرتان درباره این موضوع چیست؟ چرا در این زمینه مستندی برای هماهنگی بیشتر بین شبکه بانکی از سوی رگولاتور وجود ندارد؟
ترک‌تبریزی: اگر همان‌طور که میهمانان میزگرد اشاره کردند، امنیت بخش مستقل باشد – که در بانک‌هایی که بنده حضور داشتم، مستقل بوده – در چند سال اخیر، خوشبختانه، ارتباط خوب و مستحکمی با مرکز افتای ریاست جمهوری وجود داشته است؛ یعنی اطلاعات وضعیت بانک، اصلا مخفی نمی‌ماند. آخرین وضعیت امنیتی به اطلاع افتا می‌رسد و از افتا به داخل بانک‌ها. اینکه تعداد سازمان‌های نظارتی ما در حوزه امنیت، بسیار زیاد است، کاملا سخن درستی است اما به هرحال وظایف هرکدام از اینها در قانون، کاملا مشخص است. اینکه نقش پدافند غیرعامل یا پلیس یا افتا یا کاشف چیست، تعیین شده است. البته به نظرم برخی از این سازمان‌ها، شاید وظیفه خود را به دلیل ضعیف شدن، نیروی انسانی محدود و حتی عدم هماهنگی بانک‌ها با آنها، دقیق انجام نمی‌دهند اما این‌گونه نیست که موازی همدیگر باشند. با این وجود، در مواقعی که دچار مشکل امنیتی می‌شویم، هماهنگی این سازمان‌ها با بانک مربوطه بسیار مهم است تا بتوانیم سیستم را به حالت طبیعی برگردانیم و سرویس‌دهی تداوم یابد و سپس راه‌های بستن نفوذ را طراحی کنیم. بنابراین وجود این سازمان‌ها و مراکز لازم است؛ فقط باید هماهنگ‌تر عمل شود.

اگر درباره اظهارات آقای ترک‌تبریزی، نکته‌ای وجود دارد، بفرمایید.
معظمی گودرزی: بحثی مطرح شد که چرا آمار حملات سایبری توسط بانک‌ها ارایه نمی‌شود. این موضوع، چند دلیل دارد. برخی مواقع اصلا بانک‌ها متوجه حمله نمی‌شوند. نکته دیگر اینکه بعضا حملات، اطلاع داده نمی‌شود. ممکن است رده‌های بالای بانک، سختگیری برای این اطلاع‌رسانی نداشته باشند و الزامی برای این کار نبینند. موضوع دیگر اینکه در پی‌جویی مباحث جرایم سایبری موضوعی به نام «رقم سیاه» وجود دارد. رقم سیاه، جرایمی است که اتفاق می‌افتد اما به مراجع ذیصلاح مانند پلیس، سیستم قضایی و رده‌های رگولاتوری اطلاع داده نمی‌شود. در این موارد نیز ممکن است بانک‌ها به خاطر بیزینس‌ و رقابت بین بانکی، تا زمانی که کار به مرحله حساس نرسیده، اطلاع‌رسانی نکنند. مورد دیگر همان جداسازی حوزه فناوری از امنیت است که معاون فناوری به خاطر ترس از مواخذه مدیران بالادستی این کار را انجام نمی‌دهد. همچنین با پی‌جویی‌های پلیس فتا، برخی بانک‌ها از پیگیری موضوع، ناامید هستند مثلا به خاطر اینکه IP فرد متخلف، مربوط به خارج از کشور است. بعضا نیز اعلام می‌کنند سیستم در حال به‌روزرسانی است و علت وقفه در خدمات‌رسانی، همین موضوع بوده است و یا اعلام می‌کنند سرویس بانک، ایران‌اکسس شود تا خدمات را ارایه دهیم. این نوع جرایم، ممکن است پنهان بماند.

واقفی: در مبحث امنیت باید برای سناریوهای مختلف، برنامه‌ریزی داشته باشیم. برخی اوقات، بدبین هستیم که این امر، موجب جلوگیری از کسب‌وکار می‌شود و برخی مواقع خوش‌بین هستیم. البته در ایران، اغلب مدیران، سناریوی خوش‌بینانه را می‌پسندند و درباره سناریوهای محتمل یا بدبینانه معمولا اظهار می‌کنند: «ان‌شاالله اتفاق نمی‌افتد»! یا «ان‌شاالله خیر است.»! اگر این موضوع به صورت مدبرانه کنترل نشود، فشار روانی را در بدنه بانک‌ها و کسب‌وکار ایجاد می‌کند که بسیار آزاردهنده است. فرهنگ‌سازی، بهترین مسیری است که می‌تواند جلوی فیشینگ را بگیرد. اصلا در زمینه فرهنگ‌سازی، هزینه قابل‌توجهی نکردیم اما یک رخداد فیشینگ را در حد مدیرعامل یک بانک، بزرگ و برجسته می‌کنیم و معتقدیم باید وی پاسخگو باشد در حالی که در تمام دنیا، فیشینگ مسوولیت کاربر است که جایی را اشتباه کرده است. اینکه سرهنگ معظمی اشاره کردند که بانک مرکزی در حوزه اجرا، ورود کرد و رمز پویا ایجاد شد، قطعا به کاهش فیشینگ کمک کرده و خواهد کرد. این موضوع درست است اما اشکال دیگری ایجاد می‌کند چون هکرها همیشه جلوتر از متخصصان امنیت هستند؛ یعنی همیشه یا راهی می‌سازند یا راهی پیدا می‌کنند که دیگران به آن فکر نکرده‌اند. بنابراین اگر رگولاتور وارد اجرا شود از سایر نقش‌های خود جا می‌ماند و مرتبا باید به دنبال هکرها باشد. آقای ترک‌تبریزی هم به این موضوع اشاره کردند. بانک‌ها به جای اینکه تصویر کلان فناوری داشته باشند که نتیجه آن تصویر کلان امنیت اطلاعات برای یک سال باشد، مدام در حال خاموش کردن آتش هستند و در نهایت از مهار آتش‌های بزرگ‌تر خسته می‌شوند.

معظمی گودرزی: اگر آمار فیشینگ را طی ۱۰ سال گذشته در دنیا بررسی کنید، در چند سال متوالی، جزء ۱۰ حمله برتر بوده و فقط مربوط به کشور ما نبوده است. برای فرهنگ‌سازی، ما در مقام پلیس، به عنوان یکی از اجزای این زنجیره، اطلاع‌رسانی‌های گسترده از طریق رسانه‌ها انجام داده‌ایم. ما تعداد زیادی شاکی بانکی داشتیم! و فردی که در حوزه امنیت بانکی کار می‌کند، نیز طعمه فیشینگ شده است. مگر چند نفر از مردم عادی، می‌توانند متخصص فناوری باشند که این اتفاقات رخ ندهد؟ هکرها و متهمان از شگردهای خاصی استفاده می‌کنند که بخشی از آن به کاربر برمی‌گردد اما برخی شگردها به‌گونه‌ای است که حتی افراد صاحبنظر و فنی نیز به دام آنها می‌افتند. اگر اسامی افرادی که در حوزه بانکی، طعمه فیشینگ شده‌اند، ذکر کنم شاید بشناسید. بنابراین با لحاظ کردن زیرساخت‌ها و موضوعاتی که در وضعیت بانکداری کشور وجود داشت، چاره‌ای به جز استفاده از رمز پویا نداشتیم که تاکنون هم موفق بوده است. البته اینکه بعدا چه اتفاقاتی بیفتد، موضوع دیگری است اما اگر فاز بعدی آن نیز اجرایی شود، قطعا اقدام پیشگیرانه مناسب‌تری انجام خواهد شد.

آقای شریفیان از فعالان حوزه امنیت که در لایوکست حضور دارند، درباره محصولات بومی، سوالی مدنظرشان است. بفرمایید.
شریفیان: در حال حاضر، محصولات مدرن دنیا مانند سیسکو، اچ‌پی و تمامی محصولات امنیتی، هر لحظه در حال باگ دادن هستند و البته پشتیبانی خوبی هم دارند. الان در محصولات بومی که در کشور استفاده می‌شود، هیچ باگی از آنها در رفرنس‌های دنیا نمی‌بینیم. آیا محصولات ما باگ ندارند یا سازوکاری برای استخراج باگ، آسیب‌پذیری و اعلام آن وجود ندارد. اگر آقای عباس‌نژاد در این خصوص توضیح دهند، ممنون می‌شوم.

عباس‌نژاد: سوال بجایی است. از محصولاتی مانند سیسکو، اچ‌پی و اوراکل هر روز باگ‌های زیادی مشاهده می‌شود. دو روز پیش حدود ۲۲۰ آسیب‌پذیری روی اوراکل patch شد. بنابراین محصولات ما نیز قطعا آسیب‌پذیری دارد اما اینکه چرا در دنیا آسیب‌پذیری آن اعلام نمی‌شود، باید عرض کنم اگر روی محصولی که کاربر محدودی دارد، آسیب‌پذیری را پیدا کنید، حتی دیتابیس‌های آسیب‌پذیری (common vulnerabilities and exposures CVEمحصول را به این دلیل که در همه جای دنیا استفاده نمی‌شود، منتشر نمی‌کنند. بنابراین اصلا کسی آن محصول را ندارد که تست امنیتی انجام دهد به جز آنهایی که در کشور هستند. در کشور خودمان نیز سازوکارهایی وجود دارد که آسیب‌پذیری شرکت‌های امنیتی یا محصولات حوزه فناوری را مشخص می‌کند. بسیاری برنامه‌های باگ بانتی (Bug Bounty) در کشور وجود دارد که برای پیدا شدن یک باگ، به یابنده باگ جایزه داده می‌شود. بنده درباره محصولات امنیتی بومی خودمان، چند مورد مشخص، سراغ دارم که باگ، مشاهده شده و باگ ‌بانتی شده و در نهایت، مشکل مرتفع شده است.

بسیاری از خودپردازهای کشور همچنان از ویندوز XP استفاده می‌کنند که این ورژن، دچار مسائل امنیتی و فضاهای زیاد برای رخنه است اما هنوز راه‌حل مشخصی، احتمالا به دلیل هزینه بالای نوسازی و تجهیز ATM ارایه نشده است. آیا واقعا هیچ راه‌حل دیگری برای رفع این دغدغه‌ها با هزینه کمتر وجود ندارد؟
عباس‌نژاد: بانک با ریسک، مستقیما ارتباط دارد و همه‌چیز ریسک‌محور است. در این زمینه، بسیاری چارچوب‌های ریسک مانند بازل وجود دارد که بانک درباره آن تصمیم می‌گیرد. در حوزه امنیت سایبری این‌گونه نیست که یک کنترل امنیتی گذاشته شود و ریسک را به صفر برساند. بنابراین تلاش می‌شود ریسک در حد قابل قبول، باقی بماند. اصطلاح دیگری در حوزه امنیت سایبری به نام RoSI داریم؛ یعنی سرمایه‌گذاری امنیتی که برای پیاده‌سازی یک کنترل امنیتی انجام می‌شود، چقدر منافع در پی دارد؟ درباره ATMها، یک راهکار این است که از ویندوز به‌روز مانند ویندوز ۱۰ استفاده شود. برای این منظور باید سخت‌افزارها تغییر پیدا کند و برای این امر نیز نیاز است سخت‌افزار جانبی نیز تغییر یابد. این امر، هزینه‌های زیادی را برای بانک ایجاد می‌کند اما این اقدام، تنها راهکار نیست. ما فرایند ایمن‌سازی یا ارتقای سیستم را که قرار است از آن کاربری داشته باشیم، در اختیار داریم؛ اجرای این فرایند، خصوصا برای شبکه‌های بانکی و کامپیوترهایی که در خودپردازها استفاده می‌شود و یک وظیفه مشخص دارد، میسر است و هزینه‌های آن از خرید و تغییر سخت‌افزارها با قیمت بالا، مناسب‌تر است اما باید کاملا مهندسی شود.

واقفی: اینکه لزوما با هاردنینگ یا مقاوم‌سازی و امن‌سازی شبکه، بتوان به حوزه خودپردازها با ویندوز XP سروسامان داد، چندان مطمئن نیستم. چون برخی مواقع از همان پورت‌هایی که باید باز باشند و آسیب پذیری‌هایی که روی آن پورت‌ها وجود دارد، سال‌های بعد می‌توان استفاده کرد. به هرحال، امنیت، موضوعی است که بانک‌ها باید بین منفعت و هزینه، مقایسه و درباره آن تصمیم‌گیری کنند. بنابراین بحث خودپردازها و ویندوز XP، جواب صددرصدی ندارد اما قطعا راهکار دارد و باید هزینه‌های آن پرداخت شود.

طی روزهای اخیر در اخبار منتشر شد که هکرها توانستند اکانت‌های شرکت‌های بزرگ و افراد مشهور دنیا را در توئیتر هک کنند. توئیتر اعلام کرد که به واسطه مهندسی اجتماعی، این اتفاق، نفوذ به سیستم نبوده و از طریق کارکنان، این دسترسی ایجاد شده است. این امر نشان می‌دهد آموزش نیروی انسانی، از موضوعات مهمی است که خصوصا در ایام کرونا و دورکاری باید به آن توجه ویژه صورت گیرد. نظرتان را درباره نیروی انسانی و مدیران شبکه بانکی در این زمینه بفرمایید.
عباس‌نژاد: توئیتر، مورد جالبی است و در حوزه امنیت سابیری می‌توان سال‌ها درباره آن مثال زد. همان‌طور که سرهنگ معظمی اشاره کردند اشخاص صاحبنظر در حوزه امنیت سایبری نیز دچار حملات مهندسی اجتماعی می‌شوند. نمونه آن، ادمین‌های توئیتر هستند. حمله‌ای که به توئیتر اتفاق افتاده، هرچند از نظر فنی، جذاب و نوآورانه است، اما اصل اتفاق این بوده که سوپریوزرهای توئیتر که دسترسی به ادمین پنل‌های داخلی توئیتر داشتند، مهندسی اجتماعی شدند و از کاربران آنها استفاده شده است. نمونه پست‌ها را هم حتما ملاحظه کرده‌اید. در پست‌های بیل گیتس، ایلان ماسک، سیاستمداران بزرگ، اکانت اپل، اکانت رسمی بیت‌کوین وغیره همگی عبارت give away قرار داده شده است. حدود ۱۲۱ هزار دلار Transfer بیت‌کوین اتفاق افتاده است؛ یعنی هم این افراد مهندسی اجتماعی شدند و هم قربانیان نهایی که کاربران توئیتر بودند. این در حالی است که توئیتر برای باگ بانتی و پیدا کردن آسیب‌پذیری‌ فقط ۷۷۰۰ دلار جایزه تعیین کرده بود. بنابراین بحث آموزش مهندسی اجتماعی، جدی است. مساله بعدی سوپریوزرها هستند که در شبکه بانکی نیز بسیار متعددند و دسترسی‌های بسیار زیادی به دیتابیس‌ها، زیرساخت‌های حیاتی و سیستم‌عامل‌های مهم دارند. این افراد، می‌توانند مدیران، کارشناسان یا شرکت‌های پیمانکار شبکه بانکی باشند. زمانی که دورکاری اتفاق می‌افتد، مساله، جدی‌تر است.

در این رابطه، اولین راهکار، آگاهی‌رسانی و آموزش سایبری برای این افراد خصوصا در شرایط کرونا و دورکاری است که علیرغم اهمیت بسیار زیاد آن، در شبکه بانکی به آن کاملا بی‌توجهی می‌شود. وقتی هم اتفاقی می‌افتد مدیران شبکه بانکی مانند فاجعه چرنوبیل آن را انکار می‌کنند! دومین راهکار، بهره‌مندی از شیوه‌های تکنولوژیک و محدودیت دسترسی سوپریوزرها به سامانه‌های اصلی بانک‌هاست. شیوه‌هایی مانند Privileged Access Manager و Privileged Access Workstation برای دسترسی به سیستم‌های بسیار حساس شبکه بانکی، جزء راهکارهای فنی است که حتما توسط صاحبنظران این حوزه پیشنهاد می‌شود تا مشکل امنیتی به حداقل برسد. این اتفاق، در توئیتر نشان داد که ممکن است در سایر شبکه‌ها نیز به راحتی روی دهد. انسان‌ها در حوزه امنیت سایبری، ضعیف‌ترین حلقه زنجیر هستند و بیش از همه ممکن است موردحمله قرار گیرند. بنابراین باید کنترل‌های لازم را در این عرصه داشته باشیم.

جناب عباس‌نژاد! به عنوان آخرین سوال، در حوزه امنیت سایبری در سازمان بانک‌ها، از دیدگاه جنابعالی، کدام مقام بانکی، مسوول است و باید پاسخگو باشد؟ بعد از پاسخ به این سوال، با توجه به اینکه به انتهای میزگرد رسیده‌ایم، جمع‌بندی خودتان را هم از مباحث بفرمایید.
عباس‌نژاد: بنده سال‌های زیادی در حوزه امنیت سایبری بانکی فعالیت می‌کنم و با کارشناسان، مدیران فناوری، مدیران ارشد، مدیران عامل و هیات‌مدیره بانک‌ها در این زمینه بارها صحبت کرده‌ام. به نظر من، اصلی‌ترین مسوول امنیت سایبری در یک بانک، مدیرعامل و هیات‌مدیره هستند. اینکه هر اتفاق امنیت سایبری را از آی‌تی یا واحدهای فنی امنیت، بازخواست کنیم کار اشتباهی است. مدیرعامل و هیات مدیره باید خود را مسوول بدانند و آگاه باشند که در حوزه امنیت سایبری سازمان، چه چیزی را پذیرفته‌اند و چه چیزی را نپذیرفته‌اند. آقای ترک‌تبریزی که در این گفت‌‌وگو وارد شدند، از مدیران ارشد بانکی هستند که فعالانه در حوزه امنیت فعالیت می‌کنند و همین انتظار از سایر مدیران ارشد بانکی وجود دارد. این افراد باید امنیت سایبری را به عنوان یکی از ابعاد تحول دیجیتال در یک بانک بپذیرند. البته قبول دارم امنیت سایبری، مسائل پیچیده‌ای دارد اما همان‌طور که درباره مصارف یک بانک و سایر ریسک‌های بانک نگران هستیم، باید نگران امنیت سایبری بانک هم باشیم و راهکارهای آن هم اندیشیده شود و برای آن وقت گذاشته شود تا امن باشیم و بانک‌هایی با قابلیت اعتماد بیشتر برای هموطنان‌مان داشته باشیم.

جناب سرهنگ معظمی! به عنوان سوال پایانی، با توجه به اینکه شما در حوزه پلیس فتا مسوولیت دارید، آیا برای امنیت سایبری شبکه بانک‌ها و شرکت‌های وابسته آنها، نگران هستید یا خیر؟ ضمن پاسخ به این سوال، جمع‌بندی خود را از مباحث نیز بفرمایید.
معظمی‌ گودرزی: یکی از مقوله‌هایی که به عنوان یک اصل باید آن را بپذیریم، این است که هیچ فرد یا سازمانی در مقابل تهدیدات سایبری مصون نیست و ما نیز در مقام خادم مردم و پی‌جویی جرایم سایبری، باید همیشه نگران امنیت باشیم. در حوزه بانکی به عنوان یک هدف، اگر امنیت آن خدشه‌دار شود، امنیت اقتصادی مردم و امنیت ملی به خطر می‌افتد، بنابراین یکی از دغدغه‌های اصلی ما در پلیس فتا همین است. در این چندساله سعی کردیم براساس سناریوهای واقعی و یافته‌های کارشناسان‌مان، ضمن تعامل با حوزه فناوری و امنیت در بانک‌ها، موارد لازم را گوشزد نماییم که امن‌سازی لازم را انجام دهند. گریدبندی بانک‌ها و اعلام آن به صورت محرمانه به خود بانک‌ها از جمله اقدامات آینده پلیس فتاست. البته در چند سال اخیر نیز این کار انجام شده و بانک‌هایی که آسیب‌پذیری بالایی از نظر امنیتی و پلیسی داشته‌اند، به رده‌های مدیریتی آنها اطلاع‌رسانی شده و خوشبختانه اقدامات خوبی برای رفع مشکلات صورت گرفته است. این اقدام، یعنی گریدبندی نیز انجام خواهد شد تا بانکداری امن‌تری داشته باشیم.

خانم واقفی! لطفا سرکارعالی نیز بفرمایید که آیا نگران وضعیت امنیت شبکه سایبری بانک‌ها و شرکت‌های وابسته آنها هستید یا خیر؟ ضمنا جمع‌بندی خودتان از مباحث را نیز ارایه بفرمایید.
واقفی: جناب سرهنگ معظمی به نکته درستی اشاره کردند. هرگز مصونیتی در حوزه امنیت سایبری وجود ندارد و همانند کرونا، واکسن آن هنوز تولید نشده است! بنابراین قاعدتا همیشه باید براساس ریسک تصمیم‌گیری کنیم. من احساس می‌کنم بزرگ‌ترین تهدید نظام بانکی کشور، در وهله اول، نشت اطلاعات است. سازمان‌‌های فعال در این زمینه باید براساس های‌ریسک‌های کشور به این موضوع بپردازند. واقعا مالک تمام اتفاقات و ریسک‌ها، مدیران عامل بانک‌ها نیستند و اندازه برخی از ریسک‌ها، بالاتر از مقامات بانکی است و باید مسوولیت آن در سطح کلان کشور، پذیرفته شود. اتفاق دیگر اینکه امنیت جدا از سرویس و محصول نیست. نکته مهم‌تر اینکه نیروی انسانی یکی از پاشنه آشیل‌های امنیت اطلاعات در کشور است و متاسفانه متخصصان خبره خصوصا در بخش فنی، محدود هستند که احتمال مهاجرت و از دست دادن آنها نیز زیاد است. بحث مهم دیگر که در این میزگرد به آن اشاره نشد، موضوع BCP است. اگر در شبکه بانکی کشور، دیتاسنترهای اصلی را از دست بدهیم، آیا با اطمینان بالا می‌توانیم در جای دیگری سرویس بدهیم؟ نمی‌دانم آیا پاسخ این سوال را داریم یا خیر؟ این موضوع، جزء های‌ریسک‌هایی است که باید به آن توجه کنیم.

 

منبع: عصر پرداخت

درباره کهکشان نور

موسسه کهکشان نور پيشرو در صنعت IT ، ارائه دهنده راهکارهايی جهت توانمند ساختن افراد و سازمان ها در استفاده بهينه از تکنولوژی نوين دنيای امروز می باشد. استراتژی کهکشان برای رسيدن به اين هدف ، با ارائه دوره های آموزشی ، تخصصی ، مهندسی از جمله مايکروسافت ، سيسکو ، کامپتيا ، امنيت اطلاعات و شبکه و ارائه راهکارهای عملی IT و ICT مشخص می گردد.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *