پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
این روزها خبر و صحبت روز، حکایت اطلاعات سه میلیون کارت بانکی است که توسط یکی از مدیران نرم افزاری اسبق یکی از شرکتهای ارائه خدمات پایانههای بانکی منتشر گردیده و موجبات نگرانی و ابهامات عمومی را فراهم نموده است.
شرکتهای فعال در حوزه امنیت (افتا) که سالهاست درگیر مسائل امنیتی در لایههای مختلف میباشند و متخصصین فعال در این زمینه نیز هم اکنون در صف اول تحلیل مشکل پیش آمده قرار گرفتهاند. گویا کسی به خاطر نمیآورد که فعالان حوزه امنیت مدتهای زیادیست در این زمینه اطلاع رسانی مینمایند، هشدار میدهند، درخواست میکنند تا چه سازمانها و مجموعهها و چه تک تک افراد جامعه به این موضوع اهمیت داده و آن را در رأس امور قرار دهند.
حال این بار با بروز آنچه که میتوان نامش را فرصت بهبود و نه تهدید نهاد، آن هم در حوزهای حساس که همانا حوزه بانکی است، توجه همگان به موضوع جلب شده و سرانجام زمان آن رسیده که به وضوح و با جدیت در مورد امنیت فناوری اطلاعات صحبت کنیم، فکر کنیم و از همه مهمتر عمل کنیم. شاید واقعاً باید نمونهای کاملاً ملموس و در سطح عمومی رخ میداد تا اذهان عمومی به سوی این موضوع جلب گردد و جز این راه دیگری وجود نداشت.
لحظه به لحظه شایعات فراوانی از هر طرف موجبات وحشت عمومی را فراهم نموده و عکس العملهای ناصحیح برخی مجموعههای ذیربط و برخی رسانهها نیز به این موضوع دامن میزند. این در حالیست که با آگاهی رسانی مناسب و به موقع میتوان از حجم زیادی از این نگرانیها کاست. اگرچه این نگرانی در لایه سازمانهای مسئول باید با فوریتهای بالا مورد توجه قرار گرفته و اقدامات لازم هر چه سریعتر برای جلوگیری از رخدادهای آتی صورت پذیرد.
حفاظت از اطلاعات
با گسترش استفاده از فناوری اطلاعات در کلیه صنایع خصوصاً در بخشهای مالی و اعتباری، حفظ امنیت و چالشها و ملاحظات آن نیز از اهمیت ویژهای برخوردار گردیده است.
امروزه تمامی فعالیتهای ما از فعالیتهای روزمره تا فرآیندهای تخصصی، از امور فردی تا عملیات سازمانی از فناوری اطلاعات در کلیه ارکان و اجزاء خود استفاده مینمایند و اطلاعات، یکی از مهمترین و ارزشمندترین دارائیهای جامعه بشری محسوب میگردند اما آنگونه که برای خانه و ماشین خود قفل و زنجیر میگذاریم تا حفاظتشان نماییم، به دلیل غیر ملموس بودن اطلاعات به فکر حفاظت از اطلاعات نیستیم.
اتفاق پیش آمده به عینه به افراد نشان داد که عدم حفاظت صحیح ازاطلاعات خطراتی به دنبال خواهد داشت که نه تنها کمتر از از دست دادن اموال ملموس نیست بلکه به مراتب تبعات جدیتر و گرانتر و نگران کننده تری در سطح ملی خواهد داشت.
یکی از بزرگترین و جدیترین تهدیدات متوجه اطلاعات، انسانها هستند. قدرت زنجیر به اندازه ضعیفترین حلقه زنجیر است و انسانها ضعیفترین حلقه زنجیرههای امنیتی را تشکیل میدهند. ایجاد امنیت در این حوزه نیاز به فرهنگ سازی در بلند مدت و اتخاذ روشهایی فراتر از کنترلهای فنی دارد.
در عین حال سیاستهای امنیتی اتخاذ شده و اقدامات برنامه ریزی شده و انجام شده توسط صاحبان صنایع و اختصاصاً در این مورد در امور مالی و اعتباری عامل تعیین کننده دیگری است که حلقه دیگری از این زنجیره امنیتی را میسازد.
خوشبختانه در این مورد طیف وسیعی از استانداردها، راهنماها، مراجع فنی، راه حلها، تجهیزات و متخصصینی وجود دارند که میتوانند ما را به سمت امنیت بیشتر هدایت نمایند، اگرچه که در نهایت دستیابی به امنیت صد در صد هرگز امکانپذیر نبوده و همواره باید برای هر رویداد امنیتی آماده بود. در واقعیت نیز مشکلات امنیتی در سراسر دنیا و خصوصاً در بخشهای مالی و اعتباری که مورد علاقه ویژه افراد سودجو میباشد، همه روزه در حال رخ دادن است. از بزرگترین و معتبرترین بانکهای دنیا گرفته تا جزئیترین مراودات الکترونیکی در سطح عموم.
سوال اینجاست که آیا با هر رخداد امنیتی باید کل فعالیتها و تلاشهای انجام شده را زیر سوال برد؟
آیا هر رخداد امنیتی نشانه عدم وجود امنیت لازم است؟
آیا باید از کنار هر رخداد امنیتی به سادگی گذشت یا باید ریشه آن را بررسی و اصلاح نمود؟
آیا با ایجاد امنیت نسبی در هر مقطعی کار پایان یافته و باید آسوده بود؟
واقعیت اینجاست که بروز هر رخداد امنیتی تنها هشداری است بر وجود آسیب پذیری و تهدیدی بر این آسیب پذیری. نه دلیلی است بر عدم وجود امنیت و نه گواهی است بر عدم وجود تمهیدات لازم.
رخداد اخیر بار دیگر نشان داد که امنیت موجودی است زنده و نیازمند مراقبت دائم. آنچه تاکنون در کشورمان انجام شده خصوصاً پیرو رخدادهای امنیتی که هر از چند گاهی در ابعاد مختلف اتفاق میافتند معمولاً مقطعی، شتابزده و در حقیقت با دیدگاه اصلاح آنی و نه اقدام اصلاحی یا پیشگیرانه بوده است.
سیستمهای مدیریت امنیت اطلاعات نیز که هم اکنون در دستور کار بسیاری از سازمانها قرار گرفته است چرخهای مداوم را در سازمان ایجاد مینماید. در طی این فرآیند وضعیت امنیت باید بررسی گردیده، اقدامات لازم برنامه ریزی شده و پس از ارزیابی اثربخشی اقدامات، به طور دائم وضعیت پایش و اندازه گیری میگردد تا امنیت همواره در سطح مطلوبی باقی بماند. شناسائی دارائیهای اطلاعاتی ارزشمند، بررسی تهدیدات و آسیب پذیریها و انتخاب کنترلهای امنیتی مناسب جهت جلوگیری از بروز حادثه به صورت مداوم در هر مجموعه و سازمانی از اهداف استانداردها و راهنماهای بین المللی است. تمامی این فعالیتها در راستای حفظ صحت، تمامیت و محرمانگی اطلاعات انجام میپذیرد.
تهدید تبدیل به فرصت میشود
در چنین سیستمی رخداد امنیتی فرصتی محسوب میگردد برای بهبود. آنچه که مسلم است این است که همه روزه به حجم اطلاعات اضافه گردیده و تهدیدات متوجه این اطلاعات نیز در حال افزایش است. لذا باید هر چه سریعتر اقداماتی بنیادین، با برنامه ریزی بلند مدت و تعیین معیارهای سنجش صحیح و پایش مداوم در کلیه سازمانها و مجموعه هائی که دارای اطلاعات حیاتی و ارزشمند هستند صورت پذیرد. اگر چه بسیاری از مجموعهها هم اکنون در رسیدن به این مقصود در حال فعالیتهای گستردهای میباشند اما هنوز راهی که باید طی گردد راهی طولانی و تسریع در آن ضروری است.
بر خلاف گذشته در کنار اصلاحات کوتاه مدت باید اقدامات پیشگیرانه و اقدامات اصلاحی موثر صورت پذیرد که مستلزم همکاری نزدیک سازمانها ی دولتی و شرکتهای خصوصی و همچنین همکاری تک تک افراد جامعه میباشد. این رخداد درسی است ارزشمند برای کلیه سازمانها نه فقط بانکها و موسسات مالی واعتباری که بیش از پیش حفظ امنیت را در راس امور خود قرار دهند و با حمایت موثر حاکمیت و توان تخصصی بخش خصوصی در حفظ دارائیهای ملی و فردی بکوشند.
آگاهی رسانی صحیح و افزایش سطح آگاهی جامعه در این زمینه و فرهنگ سازی گسترده در حفظ دارائیهای اطلاعاتی نیز از اهم وظایف حاکمیت، سازمانها و نهادهای متولی است.
این رویداد نه اولین رویداد امنیتی است و نه آخرین آن خواهد بود اما با ایجاد آگاهی لازم در کاربران و استفاده کنندگان از فناوری میتوان امیدوار بود که اولاً افراد به درک صحیحتری از شرایط رسیده، روشهای پیشگیری و به حداقل رساندن آسیب پذیری خصوصاً در لایههای انسانی آن را فرا گرفته و قادر به نشان دادن عکسالعمل مناسب در شرایط بحران باشند.
همچنین نحوه اطلاع رسانی سازمانهای ذیربط، نحوه پاسخ به رویدادهای امنیتی، اقدامات اصلاحی مورد نیاز و آموزش پرسنل متخصص برای مقابله با چنین شرایطی نیز از جمله موارد لازم میباشد.
درس عبرتی بزرگ
افشای اطلاعات این سه میلیون کارت اگرچه جابهجایی مالی در بر نداشت اما موجب گردید که تعدادی بسیار بیش از سه میلیون نفر در جامعه و تعداد کثیری سازمان و مجموعه دولتی و خصوصی فرصتی را پیش روی خود ببینند برای آگاهی بیشتر، برای واقف گردیدن به اهمیت امنیت، برای برنامه ریزی بهتر و سریعتر و برای گرفتن درسی ارزشمند و کسب تجربهای مشترک و ملی:
*که امنیت فرآیندی است مستمر و نیازمند همکاری گسترده بخشهای دولتی و خصوصی و حتی همکاری همه افراد جامعه.
*که حفظ امنیت، نیاز به فرهنگ سازی و آگاهی رسانی صحیح و انجام اقدامات موثر و به موقع داشته و هرگز قابل اغماض نیست.
*و اینکه هر تهدید و هر بحران فرصتی است ارزشمند در جهت بهبود.
با عنایت به رهنمودهای رهبر معظم بر تولید ملی و حمایت از کار و سرمایه ایرانی، سازمان نظام صنفی رایانهای نیز به عنوان نماینده بخش خصوصی، آمادگی این بخش را در همراهی حاکمیت در جهت ایمن سازی ساختارهای حیاتی کشور اعلام نموده و این رویداد را فرصتی برای ارتقای امنیت فناوری اطلاعات در کشور عزیزمان میداند.
امید که با همکاری متخصصین متعهد و مجرب و با اتخاذ سیاستهای صحیح و استفاده از روشهای مناسب این بحران را پشت سر گذارده و در آینده با آمادگی و آگاهی بیشتری به مقابله با تهدیدات امنیتی بپردازیم.
بهناز آریا، مسئول کمیسیون افتا سازمان نصر تهران؛
منبع: سازمان نظام صنفی یارانهای کشور