مدیر امور امنیت اطلاعات شرکت داتین مطرح کرد: عدم روال‌مندی و آموزش، امنیت در نظام بانکداری الکترونیک کشور را به مخاطره خواهد انداخت

با گسترش استفاده از اینترنت و فضای مجازی در سال‌های اخیر، نیاز به افزایش امنیت اطلاعات، دانش بومی و بهبود زیرساخت‌های لازم برای ایجاد امنیت و اطمینان‌ خاطر در محیط سایبری روزبه‌روز بیشتر احساس می‌شود. بانک‌ها نیز به عنوان کسب‌وکارهایی که پا به دنیای تجارت الکترونیک گذاشته‌اند، یکی از ارزشمندترین دارایی خود را اعتبار نزد مشتریان می‌دانند و با ایجاد زیرساخت‌های امنیتی سعی در حفظ اعتبارشان دارند. رادیو اقتصاد اواسط مردادماه عنوان برنامه خود را به «جایگاه امنیت در نظام بانکداری الکترونیک در کشور» اختصاص و این موارد را مورد بررسی قرار داد.

در این برنامه مرتضی سرلک، مدیر امور امنیت اطلاعات شرکت داتین به ارائه راهکارهایی برای ایجاد امنیت بانکداری الکترونیک در کشور پرداخت.

.

هدفی جذاب برای حملات سایبری

مرتضی سرلک، مدیر امور امنیت اطلاعات شرکت داتین در ابتدای این برنامه با بیان اینکه مساله امنیت در بانک‌ها و مؤسسات مالی و اعتباری بعد از گسترش استفاده از اینترنت اهمیت بسیاری پیدا کرده، گفت: «فرض کنید با حمله سایبری به بانکی، اطلاعات محرمانه مشتریان در سطح جامعه یا شبکه‌های مجازی منتشر شود. به دنبال این اتفاق اعتماد مشتریان به آن بانک از دست خواهد رفت. این مساله رابطه مستقیمی با از بین رفتن آن کسب‌وکار یا موسسه بانکی دارد.»

او تاکید کرد که اولین اشتباه امنیتی کسب‌وکارهایی که با پول مردم سروکار دارند مانند بانک‌ها و مؤسسات مالی، ممکن است آخرین اشتباه آنها باشد و منجر به نابودی‌شان شود. به گفته او، بانک‌ها هدف جذابی برای هکرها به منظور انجام اقدامات تروریستی سایبری هستند. او با اشاره به وضعیت تحریم‌ها از تلاش سایر کشورها به منظور آسیب رساندن به وضعیت اقتصادی کشورمان گفت.

.

تحریم‌ها و چالش‌های بانکی

مدیر امور امنیت اطلاعات شرکت داتین با بیان اینکه در حال حاضر در وضعیت متفاوتی نسبت به سایر کشورها قرار داریم، تصریح کرد: «به منظور ارتقای امنیت بانک‌ها، به زیرساخت‌های سخت‌افزاری مانند دستگاه‌های امنیتی نیاز داریم. همچنین فراهم‌سازی زیرساخت‌های نرم‌افزاری باعث شده، گواهینامه‌هایی از تأمین‌کننده و ارائه‌دهندگان سرویس‌های خارج از کشور تهیه کنیم. اما تحریم‌ها ما را با چالش‌های جدیدی در راستای بالا بردن سطح امنیت زیرساخت‌های بانکی مواجه کرده است.»

.

مساله اصلی؛ امنیت و پشتیبانی اطلاعات

سرلک با تاکید بر اینکه از سوی شرکت‌های داخلی اقداماتی در راستای فراهم‌سازی زیرساخت‌های امنیتی انجام شده، افزود: «شرکت‌های داخلی مسیر طولانی برای بومی‌سازی محصولات منطبق با سیاست‌های بانکداری داخل کشور و سیاست‌های بانکداری اسلامی پیش‌روی دارند. کیفیت محصولات تولیدی بسیاری از شرکت‌ها پایین است و این مساله باعث می‌شود بانک‌ها بعد از استفاده از محصولات آنها به سمت محصولات خارجی بروند. استفاده از محصولات خارجی ریسک‌هایی را برای کشور دارد، بنابراین اهمیت دارد که بانک‌ها اشراف اطلاعاتی کامل نسبت به سرویس و تکنولوژی که از آن استفاده می‌کنند داشته باشند. اکثر برندها و کمپانی‌هایی که محصولات مرتبط با زیرساخت‌های بانکداری الکترونیک تولید می‌کنند در کشورهای اروپایی و آمریکای شمالی قرار دارند. دقیقاً همان کشورهایی که ما را به‌شدت تحریم کرده‌اند؛ بنابراین واردات این محصولات و پشتیبانی از آنها بسیار سخت شده است.»

به گفته او دسترسی و پشتیبانی اطلاعات در بسیاری از بانک‌ها به‌درستی انجام نمی‌شود. درصورتی‌که در صنایعی که با تکنولوژی و فناوری اطلاعات سروکار دارند یکی از مساله‌های اصلی، امنیت و پشتیبانی داده است.

.

عدم روال‌مندی یکی از مشکلات نظام بانکی

او با اشاره به نقش بانک‌ها و مشتریان در ایجاد امنیت، گفت: «عدم آموزش در نحوه استفاده از اینترنت برای انجام مسائل مالی و پرداخت، باعث افزایش آمار کلاهبرداری‌های اینترنتی شده است. در حال حاضر بسیاری از مردم نمی‌دانند با رعایت چه نکات امنیتی باید به تبادل پول در بستر اینترنت اقدام کنند. می‌توانیم با آموزش‌های ابتدایی به مردم یادآوری کنیم هنگام انجام عملیات‌های آنلاین برای مثال اعتبار گواهینامه سایت‌ها را چک کنند.»

مدیر امور امنیت اطلاعات شرکت داتین افزود: «استفاده مردم از سایت‌های جعلی پرداخت اینترنتی منجر به افشای اطلاعات و از دست رفتن اعتبار حساب بانکی‌شان می‌شود. در یک‌سوی این قضیه، عدم آگاهی مردم و در سوی دیگر بانک‌ها قرار دارند. باید به این توجه کرد که بانک‌ها زیرساختی را فراهم کنند تا از کوچک‌ترین آسیب‌پذیری که در لحظه اتفاق می‌افتد آگاه شوند و بتوانند سرویس‌هایشان را با توجه به آن به‌روزرسانی کنند.»

سرلک در ادامه با بیان اینکه عدم روال‌مندی یکی از مشکلات اصلی نظام بانکی است، افزود: «فرض کنید بانکی از چندین نوع سرویس آنلاین مانند اینترنت بانک برای ارائه خدمات بانکداری الکترونیکی استفاده می‌کند. هر کدام از این سرویس‌ها ممکن است از چند تکنولوژی (نرم‌افزاری و سخت‌افزاری) استفاده کنند. اگر مستندات دقیقی از تکنولوژی‌های به کار رفته در دسترس نباشد و همزمان آسیب‌پذیری این تکنولوژی‌ها نیز منتشر شود لیستی وجود ندارد تا مطلع شویم که آیا از آنها در سیستم‌های‌مان استفاده کرده‌ایم یا خیر؟ و با چه رویکردی می‌بایست در کوتاه‌ترین زمان ممکن آسیب‌پذیری ایجاد شده را از بین ببریم؟»

.

حملات سایبری

به گفته سرلک، دیگر نیاز به دانش سطح بالا برای انجام حملات سایبری نیست؛ زیرا نرم‌افزارهایی که با استفاده از آنها این حملات صورت می‌گیرد تا حد زیادی پیشرفت کرده‌اند. در آمریکا رده سنی افرادی که اقدام به حملات سایبری می‌کنند از ۱۵ تا ۲۴ سال تخمین زده شده است.

نکته‌ای که در حملات سایبری وجود دارد بحث حملات DDOS (حملاتی که از مبداهای زیادی به یک سایت یا سامانه‌ای که روی اینترنت قرار دارد، می‌شود.) است. او با بیان این مطلب، تصریح کرد: «در حملات DDOS از صد هزار نقطه درخواست‌هایی به بانک فرستاده می‌شود که به دلیل تعداد بالای آنها سرویس بانک از دسترس خارج می‌شود. در حال حاضر سرویس‌هایی برای انجام حملات سایبری در دنیا وجود دارد که با ماهانه پنج تا ۱۰ دلار در اختیار افراد قرار می‌گیرد. این مساله بسیار خطرناک است.»

سرلک درخصوص دو نوع از حمله‌های سایبری DOS و DDOS افزود: «تا چند وقت اخیر امکان مقابله با حملات DDOS وجود نداشت. این حملات توزیع شده هستند و  ممکن است از هزاران مبدأ صورت بگیرند، اما حملات DOS توزیع شده نیستند و می‌توان خیلی راحت کنترل‌شان کرد.

او ادامه داد: «با حملات توزیع شده تا چند سال پیش، به‌راحتی نمی‌شد مقابله کرد. خوشبختانه تکنولوژی‌های جدید ابداع شده‌اند مانند CDN که این امکان را فراهم می‌کنند ترافیک بانکی در خارج از کشور و قبل از رسیدن به سرورهای داخلی مورد برسی قرار گیرد تا به صورت توزیع شده جلو حملات گرفته شود؛ اما مشکلی که وجود دارد این است که بانک‌ها تاکنون به اهمیت چنین سرویس‌هایی پی نبردند. متاسفانه زمانی اهمیت استفاده از این سرویس‌ها مشخص می‌شود که با حمله‌ای سرویس بانکی از دسترس خارج شده باشد آن زمان بانک به فکر  فرو می‌رود که چه باید کند.»

.

آسیب‌پذیری تکنولوژی

مدیر امور امنیت اطلاعات داتین با بیان اینکه بانک‌ها باید فکری به حال این نوع حملات کنند، بیان کرد: «این تنها بخشی از قضیه است. دَه‌ها نوع حملات سایبری داریم که در لایه برنامه کاربردی یا اپلیکیشن‌ها صورت می‌گیرد. این موضوع که از چه نوع تکنولوژی‌هایی استفاده می‌کنیم و چه آسیب‌پذیری‌هایی روی آنها اعلام می‌شود، بسیار اهمیت دارد.»

سرلک افزود: «با نگاهی به آمار ترافیک حملات مشخص شد در لایه اپلیکیشن‌ها در بازه زمانی کوتاه چند صد تیپ حمله به برنامه‌های کاربردی موسسه‌هایی که روی اینترنت و در دسترس عموم قرار می‌گیرند می‌شود. خوشبختانه با تجهیزاتی که داشتیم این حملات را دفع کردیم، اما سرویس‌های مالی هنگامی‌که روی اینترنت قرار می‌گیرند هدف خوبی برای ضربه زدن به منظور پایین آوردن حس امنیت هستند. مساله صرفاً پول نیست. بسیاری از کشورها با هدف سلب امنیت عمومی برای حمله به زیرساخت‌های بانکی سایر کشورها برنامه‌ریزی می‌کنند.»

.

امنیت؛ دغدغه اصلی کسب‌وکارهای آنلاین

او با بیان اینکه اگر در حوزه مالی و اعتباری کسب‌وکاری با مشکلی روبه‌رو شود شایعه‌سازی می‌تواند منجر به عدم اعتماد نسبت به کلیه فعالان این حوزه شود، افزود: «باید سطح امنیت در تمامی بانک‌ها را بالا ببریم تا به سطح قابل قبولی برسیم. در حال حاضر تعدادی از بانک‌ها برای استانداردسازی سرویس‌هایشان و پایین آوردن ریسک استفاده از آنها اقداماتی انجام داده‌اند. در بحث آموزش نیز با آگاهی‌سازی می‌توان از فاش شدن اطلاعات بانک‌ها و مردم جلوگیری کرد و آمار تخلف‌های اینترنتی را پایین آورد.»

مدیر امور امنیت اطلاعات داتین تصریح کرد: «نه تنها بانک‌ها و مؤسسات بانکی بلکه تمامی حوزه‌هایی که به ارائه خدمات در بستر اینترنت می‌پردازند باید به فکر امنیت سرویس‌هایشان باشند. هر سال آمار حمله‌های سایبری افزایش پیدا می‌کنند، بنابراین لازم است کسب‌وکارهای آنلاین پیش‌بینی کنند که تجهیزاتشان تا چه سطحی می‌تواند خدمات ارائه کند و چه زمانی تکنولوژی‌های آنها نیاز به‌روزرسانی دارد. یکی از مساله‌های پیشگیری از حملات، آگاهی از آسیب‌پذیری‌هاست. بنابراین لازم است با رصد مجامع امنیتی بین‌المللی با کیفیت امنیت خدماتی که در سطح دنیا ارائه می‌شود همسو باشیم.»

به گفته سرلک بحث مدیریت دارایی در نظام بانکی بسیار اهمیت دارد و اگر بانک‌ها اطلاع کاملی نسبت به سرویس‌ها و تکنولوژی‌هایی خود داشته باشند، می‌توانند سطح امنیت خود را به‌روز نگه دارند.

مدیر امور امنیت اطلاعات داتین همچنین تاکید کرد با پیاده‌سازی اصول اولیه امنیت اطلاعات در چرخه تولید نرم‌افزار و یا در زمان طراحی زیرساخت‌های لازم آن می‌توان تا حد زیادی از ایجاد حفره‌های امنیتی در آینده جلوگیری کرد.

.

واحد امنیتی بانک‌ها چه می‌کند؟

او در پاسخ به این سؤال که بانک‌ها چگونه می‌توانند از تکنولوژی‌های که در سرویس‌هایشان استفاده می‌کنند مطلع شوند؟ گفت: «این مساله وابسته به واحدهای عملیات در بانک‌هاست و واحد امنیت به تنهایی نمی‌توانند این کار را انجام دهد. باید روال‌هایی مدون با نظارت واحد امنیت و سایر بخش‌های عملیاتی مثل بخش تأمین‌کننده زیرساخت بانک وجود داشته باشد تا با مدیریت واحد امنیت در بانک‌ها سایر بخش‌ها را به روز کند و به کیفیتی که مد نظرشان است برسد.»

مدیر امور امنیت اطلاعات داتین در رابطه با راهکارهای ایجاد امنیت در نظام بانکداری الکترونیک گفت: «نسبت به سال‌های گذشته بانک‌ها پیشرفت‌های خوبی در زمینه ایجاد امنیت داشتند اما سرعت این پیشرفت‌ها به‌قدری نیست که با تمامی نهادها و هکرها بتوانیم با آنها مقابله کنیم. برای رسیدن به منطقه امن باید به حوزه منابع انسانی امنیت اطلاعات به ویژه در سطح دانشگاه‌ها توجه کنیم. در حال حاضر استارت‌آپ‌هایی به وجود آمده‌اند که در حوزه امنیت اطلاعات فعالیت می‌کنند. باید نهادهای بالاتر مثل بانک مرکزی از آنها پشتیبانی کنند. یکی از معضلاتی که بانک‌ها درگیر آن هستند کمبود نیروی خبره در حوزه امنیت اطلاعات است.»

.

نفش بانک‌ها در ایجاد امنیت

سرلک در ادامه با بیان اینکه اکثر حملات سایبری متوجه مشتریان بانک‌هاست، افزود: «آمار حملات سایبری به بانک‌ها در حال حاضر بالاست و اگر زیرساخت بانک‌های کوچک یا بزرگ تهدید شود آن میزان سلب اعتمادی که در جامعه ایجاد می‌شود به شدت هزینه‌بر است. درست است که در حال حاضر با این حملات مقابله می‌شود اما با توجه به رشد تکنولوژی باید سرعت‌مان را بیشتر کنیم.»

مدیر امور امنیت اطلاعات داتین در پایان با اشاره به اهمیت آموزش در استفاده از خدمات پرداخت الکترونیکی، گفت:‌ «آموزش می‌تواند بخش زیادی از مشکلات را مرتفع سازد. امیدواریم بانک‌ها با جدی‌تر گرفتن موضوع و اختصاص بودجه بتوانند سطح کیفی حوزه امنیت‌شان را به استاندارهای جهانی نزدیک کنند و از ریسک‌های به وجود آمده فعلی و آینده دور باشند.»