امنیت (Security) عصر تراکنش یادداشت

چرا و چگونه استارت‌آپ‌ها باید بحث امنیت را دنبال کنند؟ / در صنعت بانکی بیشتر به دنبال مد هستیم

نوش‌آفرین مؤمن واقفی؛ معاون ریسک و امنیت اطلاعات شرکت خدمات انفورماتیک، ماهنامه عصر تراکنش / ما در مبحث مربوط به امنیت، دقیقاً همان جایی مشکل داریم که خلاء الزامات، قوانین و نظارت را داریم. در کشور ما متاسفانه برخورد منطقی و نگاه واقع‌بینانه نسبت به بحث فین‌تک و استارت‌آپ‌ها صورت نمی‌گیرد.

عموماً با دو نگاه متضاد، در دو طرف طیف مواجه هستیم؛ عده‌ای که به اسم نوآوری و جلوگیری از انحصار معتقدند هر کسی هر کاری دلش خواست باید انجام دهد و اسمش را حمایت از نوآوری و استارت‌آپ می‌گذارند و عده‌ای دیگر که معتقدند به هیچ شکلی نباید کسی وارد محدوده سرویس‌های پرداخت تحت هر عنوانی از جمله استارت‌آپ شود و چالش‌ها و دغدغه‌هایی از جمله بحث امنیت و صیانت از اطلاعات مشتریان را مطرح می‌کنند و وقتی اتفاقاتی شبیه زرین‌پال یا احتمالاً سونامی‌های دیگری از مسائل امنیتی، افشای اطلاعات کاربران و کلاهبرداری‌ها مطرح شود؛ می‌گویند این هم نتیجه فعالیت فین‌تک و استارت‌آپ‌هاست!

من با هیچ‌کدام از این نگرش‌ها موافق نیستم و اعتقاد دارم آنچه که تجربه قبلی و درس‌آموخته از آن وجود دارد را نباید دوباره تجربه کرد. چرا در ایران همیشه اصرار داریم که چرخ را از ابتدا اختراع کنیم؟

کوتاه از نوش‌آفرین مؤمن واقفی

نوش‌آفرین مؤمن واقفی مهندسی برق، گرایش مخابرات خود را از دانشگاه صنعتی خواجه نصیرالدین طوسی گرفته و در دانشگاه امیرکبیر و در مقطع کارشناسی ارشد نیز مدیریت فناوری اطلاعات خوانده است. او بیش از ۲۰ سال است که در شرکت خدمات انفورماتیک مشغول فعالیت است. کار خود را ابتدا در حوزه شبکه و سرویس‌های فناوری اطلاعات (طراحی، پیاده‌سازی و راهبری) آغاز کرده، اما پس از آن به‌طور تخصصی به بحث ریسک و امنیت اطلاعات پرداخته است.

 

اما اینکه چرا استارت‌آپ‌ها باید بحث امنیت اطلاعات را جدی بگیرند، قطعاً برای این است که در وهله اول، مدیریت مناسب ریسک و امنیت اطلاعات، مهم‌ترین تضمین استمرار کسب‌وکار خودشان است و برای همین بیش از هر نهاد دیگری باید موضوع را جدی بگیرند. باید بدانند اگر می‌خواهند عضو جدید و مؤثر اکوسیستم بانکی شوند، ضروری است همه قوانین حرفه‌ای این اکوسیستم را حتی دقیق‌تر از بازیگران قدیمی رعایت کنند.

چون خطاهای این بازیگران جدید قطعاً با ذره‌بینی با بزرگ‌نمایی بیشتر، بررسی خواهد شد. در همه جای دنیا هر نهادی که در راستای کسب‌وکار خود و به هر شکل، به اطلاعات کارت و حساب افراد که در طبقه‌بندی اطلاعات حساس و محرمانه قرار می‌گیرد، دسترسی پیدا می‌کند، موظف است یک مجموعه الزامات استاندارد و قوانین را رعایت کند.

به‌عنوان مثال طبق استاندارد PCI در صنعت پرداخت هر نهادی که اطلاعات کارت بانکی به هر شکل در آن تولید، منتقل، پردازش یا ذخیره می‌شود، ملزم است کنترل‌های مربوط به استاندارد PCI را که بسیار هم دقیق و سختگیرانه است، رعایت و از سازمان‌های مجاز، گواهی استاندارد را دریافت کند. هرگونه رخداد امنیتی یا افشای اطلاعات نیز تبعات جدی تا حد از دست دادن کسب‌وکار را برایش دربر دارد.

بد نیست بدانیم به‌روزرسانی تجهیزات و سامانه‌ها با آخرین وصله‌های عملکردی و امنیتی نیز یکی از صدها کنترل PCI است که در مورد زرین‌پال رعایت همان مورد می‌توانست جلوی این رخداد امنیتی را بگیرد. بنابراین توصیه این است که صرف‌نظر از نهادهای ناظر، استانداردهای این صنعت را جدی بگیرند و خود را ملزم به اجرای آن کنند.

 

چقدر به‌دنبال تدوین قوانین و چارچوب‌ها بوده‌ایم؟

به نظر می‌رسد ما در صنعت بانکی بیشتر دنبال مد هستیم. همه صاحب‌نظران ناگهان در مورد بحثی متمرکز می‌شوند، یک سال پرداخت موبایلی مطرح است، سال بعد فین‌تک و استارت‌آپ و سال بعد … و جالب این است که وقتی موضوعی مد می‌شود، همه نهادهای کشور به‌طور موازی در مورد آن صاحب‌نظر می‌شوند و بعد فراموش می‌شود تا موضوع بعدی. من اعتقاد دارم حامیان اصلی استارت‌آپ‌ها و فین‌تک کسانی هستند که همه جنبه‌های مختلف را در حمایت این بازیگران جدید ببینند.

بدون داشتن چارچوب و الزامات، عملاً ما این بازیگران جدید را سریع فعال و بعد برای همیشه نابود خواهیم کرد. واقعاً در ذهن‌مان مرور کنیم چند صد ساعت بحث‌های تکراری استارت‌آپ و نوآوری و… شنیده‌ایم و چند سال مثل اروپا روی بحث تعریف چارچوب و تدوین قوانین مشابه PSD2 وقت گذاشته‌ایم؟

قانون PSD2 و توجه به مبحث امنیت

دومین دستورالعمل سرویس‌های پرداخت اروپا یا همان PSD2 بخشی از یک روند جهانی در رگولاتوری بانک‌هاست که بر امنیت، نوآوری و بازار رقابت تمرکز و اصرار ویژه‌ای دارد. با توجه به اینکه در سال‌های اخیر، امنیت پرداخت الکترونیکی از موضوعات اساسی و مهم و فراملی در راهنما و رگولاتوری اروپا به حساب می‌آید، PSD2 هم در واقع امنیت مورد نیاز برای بانکداری و پرداخت آنلاین و همچنین چارچوب رگولاتوری مورد نیاز برای اتحادیه اروپا را فراهم می‌کند و این کار را با حفاظت مصرف‌کنندگان در برابر کلاهبرداری، تخلفات، افزایش امنیت پرداخت و رقابت و نوآوری در بازار پرداخت‌های خرد انجام می‌دهد.

 

خوشبختانه دغدغه امنیت استارت‌آپ‌ها در دنیا نیز وجود داشته است و راه‌حلی برای چگونگی آن نیز یافته‌اند. بحث PSD2 با اهدافی چون ترویج نوآوری در حوزه پرداخت، افزایش امنیت در خدمات پرداخت مانند استفاده از مکانیسم‌های احراز هویت قوی، افزایش امنیت برای مشتریان، شفاف‌سازی مسئولیت‌های ذی‌نفعان و نظایر آن در اروپا دنبال می‌شود. ایجاد یک فضای امن و در عین حال ساده و یکسان پرداخت برای بازیگران جدید، علاوه بر زیرساخت‌های سخت‌افزاری و نرم‌افزاری، نیازمند تدوین مقررات و دستورالعمل‌هاست.

ایجاد دسترسی به اطلاعات بانکی برای استارت‌آپ‌ها به خودی خود تهدید به‌شمار می‌آید که باید با دقت در اجرایی و عملیاتی‌سازی آن و استفاده از راهکارهای مطمئن، ریسک‌ها را به حداقل رساند. نکته‌ای که نباید از آن غافل شد، این است که ورود استارت‌آپ‌ها در صنعت پرداخت، تغییر پارادایم نظام پرداخت بعد از اجرای سند PSD2 در اروپاست. در واقع PSD2 بستری را مهیا می‌کند که در آن موسساتی که به شکلی در اکوسیستم پرداخت فعالیت می‌کنند، ثبت شده و به آنها مجوز ارائه خدمات پرداخت، داده می‌شود.

 

نباید بهای غفلت‌ها را بپردازیم

باید اذعان کنیم در روند ارائه خدمات و ترویج بانکداری الکترونیک و سیستم‌های نوین پرداخت در کشور، سریع و مؤثر عمل شده است، ولی در سطح استقرار الزامات و چارچوب‌های حقوقی و نظارتی این سیستم‌ها و در بحث‌های مختلف از جمله امنیت اطلاعات در همان سطح بلوغ و اثربخشی آنچنان که باید، حرکت نکرده‌ایم. البته این اختلاف بین روند استفاده از فناوری و بحث‌هایی مثل ریسک و امنیت اطلاعات تا حدی در همه جای دنیا وجود داشته است، ولی به نظر این فاصله در ایران معنادارتر است. نگرش راهبردی در این مقوله هنوز به‌درستی شکل نگرفته و ما هنوز امنیت اطلاعات را فقط با خرید تجهیزات مرتبط می‌دانیم.

این در حالی است که مقولاتی مانند فرایندهای کنترلی، ممیزی (حسابرسی) فناوری اطلاعات و نیروی انسانی به‌مراتب نقش کلیدی‌تری در ارتقای امنیت و پایداری سرویس دارند. در نمونه‌هایی مانند انتشار سه میلیون کارت بانکی توسط یکی از کارمندان شرکت‌های psp یا اسکیم کردن کارت‌های افراد نیز به‌راحتی نقض کنترل‌هایی از همان فرایندها، کنترل‌ها و استانداردهای صنعت پرداخت، این رخدادهای مهم امنیتی را به وجود آورد.

نیاز داریم کمی از رویکرد و نگاه دنیا در این زمینه الگو بگیریم. متاسفانه ما وقتی می‌خواهیم از دنیای مدرن تقلید کنیم، قسمتی از واژگان جذاب و فنی را سریع کپی می‌کنیم و قسمت‌های مرتبط با فرهنگ، چارچوب و قانون را معمولاً چون دشوار است فراموش می‌کنیم. به نظر برداشت این است که برخی قطعات و پیچ و مهره‌ها اضافی است و احتمالاً آنها به اندازه ما درایت نداشتند، پس ملزومات را دور می‌ریزیم تا روزی که به تاثیرشان پی ببریم که معمولاً کمی دیر است و بهای جدی برای این غفلت باید بپردازیم. اشاره کردم که دغدغه‌های مرتبط با امنیت استارت‌آپ‌ها مشابه کشور ما در دنیا نیز وجود داشته و به همین دلیل می‌بینیم بحث PSD2 مطرح شده است.

خوشبختانه در چند سال اخیر اقدامات موثری از طرف بانک مرکزی در حوزه امنیت پرداخت انجام شده و پیگیری اهداف استانداردسازی و نظارت این صنعت با ایجاد شرکت شاپرک و شرکت کاشف نیز از جمله همان اقدامات است. ولی باید بپذیریم در بحث امنیت و استانداردسازی سرویس‌های ارائه‌شده، کارهای بسیار زیادی برای انجام وجود دارد و تحقق همه اهداف تعریف‌شده در بازه زمانی کوتاه‌مدت قطعاً قابل تحقق نخواهد بود و نیاز به حمایت و هم‌افزایی همه بازیگران اکوسیستم برای رسیدن به نظام پرداخت امن و استاندارد وجود دارد.

تاریخچه و روند شکل‌گیری کاشف

«شرکت مدیریت امن الکترونیکی کاشف» عضوی از گروه شرکت‌های مجری اهداف حاکمیتی بانک مرکزی جمهوری اسلامی ایران است که با هدف راهبردی «مدیریت و هدایت امنیت فضای تولید و تبادل اطلاعات بانکی» تأسیس شده است. بانک مرکزی جمهوری اسلامی ایران با هدف مدیریت و هدایت متمرکز امنیت اطلاعات در حیطه زیرساخت‌ها و خدمات بانکی و گسترش، تعمیق و بهینه‌سازی همکاری و هماهنگی با بانک‌ها و مؤسسات مالی و اعتباری از یک سو و از سوی دیگر با سایر نهادها و سازمان‌های حاکمیتی فعال کشور در حوزه امنیت، اقدام به تأسیس شرکت کاشف کرد.

 

خوشبختانه در بحث تدوین الزامات نیز در سند «پرداخت‌یار» که اخیراً توسط بانک مرکزی ارائه شد، شرکت‌هایی نظیر زرین‌پال در چارچوب مشخص‌تری فعالیت خواهند کرد. مواردی مانند زرین‌پال باز هم ممکن است تکرار شود و باید به‌عنوان یک زنگ هشدار، نوع برخورد و مدیریت این‌گونه حوادث مورد توجه قرار گیرد. باید بدانیم ایجاد فضای اعتماد در مسیر حرکت به سمت فضای فعالیت استارت‌آپ‌ها به‌راحتی به دست نیامده است و نباید با هر نقض یا رخداد امنیتی کل موجودیت این بازیگران جدید را زیر سؤال ببریم.

البته این مساله بیش از هر کس دقت خودشان را می‌طلبد و مناسب است سریع‌تر در چارچوب مناسب استمرار فعالیت‌شان را حمایت کنیم. نگاه راهبردی در سیاست‌گذاری‌ها در سطح کشور و عدم موازی‌کاری و دخالت سازمان‌ها و نهادهای متعدد در تدوین چارچوب و مقررات، قطعاً به تسریع و بهبود این فعالیت کمک می‌کند. شاید اولین گام مهم و راهبردی در حوزه امنیت نظام‌های پرداخت در کشور این باشد که مشخص شود کدام نهاد و سازمان مسئول قانون‌گذاری و نظارت بر چه حوزه‌ای است؟

درباره نویسنده

اتاق خبر راه پرداخت

اتاق خبر راه پرداخت همه مطالب و خبر‌های مهم فین‌تک ایران را رصد و منتشر می‌کند.

دیدگاهتان را بنویسید