بانک‌ها برای مقابله با حملات سایبری از جمله DDOS چه باید کنند؟

نویسنده: راه پرداخت در تاریخ 30 آذر سال 1398 ساعت 11:19 0

امنیت از موضوعات مهم در جهان سایبری است و با توجه به توسعه بانکداری الکترونیک و حرکت بانک‌ها به‌سوی ارائه خدمات دیجیتالی، تأمین و افزایش امنیت برای پایداری سیسستم‌های بانکداری در مقابله با حملات نفوذ و اختلال از اهمیت بالایی برخوردار است. از سویی دیگر، شبکه بانکی از زیرساخت‌های حیاتی به شمار می‌رود و باید از راهکارهای امنیتی قدرتمند و بومی به‌منظور پوشش دغدغه بانک‌ها استفاده شود.

در همین راستا در خصوص راهکارها و محصولات امنیتی با چند تن از اعضای هیات‌مدیره، معاونان و مدیران فناوری اطلاعات شبکه بانکی گفتگو کردیم و از آنها درباره اهمیت امنیت، اقدامات لازم در برخورد با حملات سایبری از جمله DDOS و حلقه مفقوده در حوزه راهکارهای امنیتی سیستم بانکی پرسیدیم که در ادامه می‌خوانید:

مهران محرمیان، معاون فناوری‌های نوین بانک مرکزی

امنیت در شبکه بانکی و خدمات بانکداری الکترونیک از اهمیت بالایی برخوردار است و بانک مرکزی نیز در این زمینه تاکید دارد که بانک‌ها و مؤسسات مالی و اعتباری به‌عنوان بازیگران بخش پولی و بانکی الزامات امنیتی در سرویس‌ها، خدمات و طرح‌ها را رعایت کنند؛ افزایش امنیت، پایش و رصد زیرساخت‌ها و پایداری سرویس در مقابل حملات سایبری داخلی و خارجی از موضوعاتی است که هیچ‌گاه نباید متوقف شود و بانک‌ها باید با جدیت به این موضوع نگاه کنند؛ چرا که غفلت در امنیت مشتریان باعث فاجعه و از دست رفتن اعتبار بانک خواهد شد.

بانک‌ها باید مطابق چارچوب بانک مرکزی و نهادهایی از جمله افتای ریاست جمهوری در زمینه زیرساخت امنیتی، نیازهای خود را تأمین کنند و در راستای تاکیدات امنیتی و پدافند غیرعامل در جهت جلوگیری از نفوذ در زیرساخت‌های حیاتی تا حد امکان از تجهیزات سخت‌افزاری و نرم‌افزاری داخلی به‌عنوان اقدامات CIP استفاده شود.
مهران محرمیان، معاون فناوری‌های نوین بانک مرکزی

امیر هوشنگ عصار زاده، عضو هیات‌مدیره بانک توسعه تعاون

امنیت یکی از موضوعات مهم برای بانک‌ها است و قطعاً در مدیریت استراتژیک بانک تاثیرگذار است؛ اعتقاد دارم موضوعات و چالش‌های مهمی در زمینه امنیت در حوزه بانکداری وجود دارد اما مهمترین موضوع در یک کلام، راهبرد روشن و مشخص به‌عنوان برنامه استراتژیک به شمار می‌رود که نیاز است در این زمینه بانک‌ها اقدامات لازم را با استفاده از متخصصان و مشاوران مجرب انجام دهند.

فعالیت‌ها و اقداماتی از سوی بانک‌ها در حال انجام است اما مهم‌ترین بحث این است که تمامی اقدامات یکپارچه و هدفمند بر مبنای یک راهکار امنیتی جامع انجام شود.

فرهاد اینالوئی، معاون فناوری اطلاعات بانک ایران زمین

امنیت در جهان سایبری از موضوعات پایه‌ای و حیاتی به شمار می‌رود و بانک‌ها با توجه به ماهیت مهم و قرار داشتن در میان زیرساخت‌های حیاتی به‌عنوان امانت‌دار پول شهروندان باید نگاهی جدی به آن داشته باشند. در همین راستا بانک‌ها باید ضمن برخوداری از زیرساخت‌های قدرتمند، کارشناسان متخصص و رعایت الزامات بانک مرکزی و نهادهای مسئول نسبت به پایش و رفع خلاهای امنیتی اقدام کنند.

بانک مرکزی در حوزه امنیت الزاماتی دارد و در شبکه بانکی این یک قانون است که باید بانک، امنیت مشتریان را تأمین کند و در همین راستا هر چند هزینه‌ها در این بخش سنگین است اما باید آن را به‌عنوان یک الزام بدانند و انجام دهند تا سرویس‌های‌شان با حملات سایبری و اختلال مواجه نشود.
فرهاد اینالوئی، معاون فناوری اطلاعات بانک ایران زمین

علی یکتا، مدیر امور فناوری اطلاعات و ارتباطات بانک توسعه تعاون

ما در بانک توسعه تعاون انتظار داریم موضوعات و مباحث مرتبط با امنیت توسط شرکت‌های ارائه‌دهنده خدمات بانکی به‌صورت جامع دیده شود تا امنیت و پایداری استفاده از خدمت تضمین شود.

بانک توسعه تعاون با توجه به بهره‌گیری از زیرساخت‌ها و راهکارهای امنیتی با استانداردهای روز دنیا، پایش شبانه‌روزی آی‌پی آدرس‌های ورودی و مسدودسازی آی‌پی آدرس‌های حمله‌کننده، از محل حملات سایبری از جمله DDOS صدمه چندانی ندیده و توانسته سیستم‌ها و سرویس‌ها را پایدار نگه دارد.
علی یکتا، مدیر امور فناوری اطلاعات و ارتباطات بانک توسعه تعاون

از سویی دیگر، با توجه به همکاری با شرکت داتین و ابرآروان از نرم‌افزاری بهرمند شده که حملات سایبری به‌خصوص حملات مبتنی بر DDOS و به‌دنبال آن، اختلال در سامانه‌ها را مدیریت می‌کند؛ بر همین اساس بانک تا به امروز کمترین صدمه را از بخش حملات سایبری اختلالی یا نفوذ داشته و هیچ حمله موفقی به بانک نشده است.

مرتضی ترک تبریزی، معاون فناوری اطلاعات بانک ملت

اولین موضوع در حوزه امنیت این است که با توجه به بخشنامه افتای ریاست جمهوری برای تأمین امنیت زیرساخت‌های حیاتی و اجرای الزامات پدافند غیرعامل، لازم است بانک‌ها همکاری لازم را در این زمینه داشته باشند و دستورات را اجرا کنند؛ در این مسیر همکاری و مشاوره با شرکت‌های ارائه‌دهنده راهکارهای امنیتی به بانک‌ها کمک می‌کند تا از سامانه‌ها و زیرساخت بهتری در حوزه امنیت بهره‌مند شوند.

دومین بحث این است که بانک‌ها باید نسبت به ایجاد و توسعه مراکز امنیت شبکه اقدام کنند و در عین حال با اجرای قوانین لازم، افزایش دقت مراکز SOC را در دستور کار قرار دهند. سومین مسئله در زمینه امنیت به عنوان حلقه مفقوده شبکه بانکی، عدم آموزش نیروها در سازمان و بهره‌گیری از نیروهای متخصص است که باید به‌صورت جدی به آن توجه شود تا بانک در آینده در خصوص تأمین امنیت زیرساخت‌های خود با مشکل مواجه نشود.

بهزاد صفری، معاون فناوری اطلاعات و ارتباطات بانک قوامین

امنیت و ریسک دو موضوع مهمی است که باید به آنها توجه ویژه داشت چرا که هیچ‌گاه امنیت 100 درصد محقق نمی‌شود و ریسک نیز به صفر نمی‌رسد؛ همواره خلاهای امنیتی وجود دارد اما باید تلاش کرد به‌منظور آمادگی زیرساخت‌های بانک در مقابله با حملات سایبری، امنیت در بانک را ارتقاء داد. امروزه با توجه به توسعه خدمات بانکداری الکترونیک، امنیت بحثی مهم است تا با صدها و هزاران حمله سایبری به شبکه بانکی کشور، فرآیندهای روزمره مشتریان دچار اختلال و قطعی نشود.

بانک قوامین یکی از بانک‌های پیشرو در حوزه امنیت بوده و همواره به زیرساخت‌های امنیتی توجه ویژه‌ای داشته است و در همین راستا نیز با تلاش‌هایی شبانه‌روزی، رعایت استانداردهای روز دنیا و اجرای الزامات پدافند غیرعامل، نسبت به راه‌اندازی مرکز SOC و طرح جامع امنیت اقدام کرده و این مسئله، ضریب توان امنیتی بانک را ارتقاء داده است.
بهزاد صفری، معاون فناوری اطلاعات و ارتباطات بانک قوامین

محمد علی بخشی‌زاده، معاون فناوری اطلاعات و بانکداری الکترونیک بانک دی

یکی از مسائل مهم در حوزه امینت بحث زیرساخت است که بانک باید آن را به‌منظور مقابله با هرگونه حمله سایبری آماده کند؛ در بانک دی، یک مورد حمله موفق منجر به اختلال یا نفوذ به سامانه‌ها تا به امروز نداشته‌ایم و توانسته‌ایم امنیت سامانه‌های بانکداری الکترونیک و مشتریان را تضمین کنیم و سرویس‌ها را پایدار نگه داریم.

یک بخش مهم امنیت که کشور ما در آن صدمه بسیار زیادی دیده، عدم شناخت مردم در استفاده از ابزارهای جدید الکترونیک از جمله سرویس‌های نوین بانکی است که نمونه آن را می‌توان به سهل‌انگاری کاربران در رعایت و بررسی پارامترهای امنیتی هنگام استفاده از کانال‌های تراکنش‌های بدون حضور کارت اشاره کرد. عدم رعایت این مسئله باعث شده کلاهبرداری فیشینگ در کشور افزایش بسیار زیادی داشته باشد و در نهایت بانک مرکزی نسبت به اجرای طرح رمز دوم پویا اقدام کند؛ در واقع سیستم بانکی امنیت را تأمین کرده اما برخی مشتریان با اشتباه، امنیت خود را به خطر می‌اندازند.
محمد علی بخشی‌زاده، معاون فناوری اطلاعات و بانکداری الکترونیک بانک دی

اعتقاد دارم بانک‌ها باید به‌صورت جدی ضمن افزایش و ارتقاء زیرساخت‌ها و سامانه‌های امنیتی، در زمینه آموزش مشتریان ورود کنند و اقداماتی گسترده انجام دهند تا آگاهی مشتریان افزایش یابد و امنیت به سادگی دچار مخاطره نشود. این موضوع در تأمین امنیت مشتری همگام با حذف خدمات از شعب و دیجیتالی شدن سرویس‌ها کمک می‌کند.

محمد علی بخشی‌زاده، معاون فناوری اطلاعات و بانکداری الکترونیک بانک دی

از دیگر موضوعات دارای اهمیت در بخش امنیت سیستم بانکی، امنیت بازیگران متصل به شبکه بانکی از جمله پرداخت‌یاران و پرداخت‌سازان است که خوشبختانه بانک مرکزی به‌صورت جدی این مسئله را دنبال کرده است. معتقدم حوزه امنیت بخشی است که به هر میزان بتوانیم در آن خودکفا شویم، به نفع کشور خواهد بود چرا که با توجه به تحریم‌ها، شرایط کشور خاص است و نیاز داریم در زمینه امنیت استقلال داشته باشیم.

دولت و وزارت ارتباطات و فناوری اطلاعات باید از تولیدکنندگان محصولات سخت‌افزاری و نرم‌افزاری امنیتی حمایت کند تا صنعت راهکارهای سخت‌افزاری در کشور رشد و بانک‌ها و سازمان‌های بزرگ بتوانند با استفاده از توان بومی نیازهای خود را تأمین کنند. هم‌اکنون با وجود این که در حوزه ارائه راهکارهای سخت‌افزاری و نرم‌افزاری امنیتی با کشورهای پیشرو جهان فاصله داریم اما پیشرفت‌ها نشان می‌دهد که در آینده جایگاه قابل قبولی را کسب خواهیم کرد.

احمد حقی، معاون فناوری اطلاعات و ارتباطات بانک مهر اقتصاد

امنیت از نکات کلیدی در بانکداری است که مورد تأیید رگولاتور یعنی بانک مرکزی بوده و مشتریان نیز به آن توجه ویژه‌ای دارند و از بانک تقاضا دارند سرویس‌هایی را با امنیت بالا به آنها ارائه دهد. معتقدم، توسعه راهکارهای بومی نرم‌افزاری و تولید تجهیزات سخت‌افزاری با استانداردهای روز دنیا از موضوعات مهمی است که حلقه مفقوده در زمینه امنیت به شمار می‌رود و تحقق آن می‌تواند نیاز بانک‌ها را برای تأمین زیرساخت‌های امنیتی با استفاده از توان داخلی مرتفع کند تا تاکیدات پدافند غیرعامل برآورده شود.

محسن مشهدی جعفری، رییس اداره توسعه فناوری اطلاعات بانک رفاه

امنیت از ستون‌های اصلی بانکداری از گذشته تا به امروز بوده و از این پس نیز خواهد بود؛ بانک رفاه با توجه به لزوم رعایت الزامات بانک مرکزی و افتای ریاست جمهوری، سرمایه‌گذاری بزرگی در حوزه پدافند غیرعامل و افزایش امنیت زیرساخت‌ها و سامانه‌های بانکداری خود داشته تا بتواند خدماتی نوین را با امنیت بالا ارائه دهد.

یکی از موضوعاتی که بانک‌ها باید به آن توجه کنند، هم‌سویی بانک‌ها با رشد فناوری و لزوم تجهیز به پدافند غیرعامل به منظور ارتقای آستانه مقاومت و ظرفیت پایداری بانک در شرایط اضطراری است که در نهایت، افزایش توانایی مدیریت جامع بحران را به‌دنبال دارد.
محسن مشهدی جعفری، رییس اداره توسعه فناوری اطلاعات بانک رفاه

بانک‌ها در راستای ارتقاء زیرساخت‌های امنیتی و الزامات پدافند غیرعامل باید ضمن استفاده از کارشناسان متخصص و مجرب، کمیته امنیتی با استفاده از توان بومی و شرکت‌های داخلی طراحی کنند تا در پشتیبانی آنها با توجه به شرایط کشور نیازی به خارج از کشور وجود نداشته باشد؛ از سویی دیگر، ضرورت دارد تا رزمایش‌های سایبری دوره‌ای برای بررسی آمادگی سامانه‌ها و زیرساخت‌های امنیتی بانک انجام شود.