همه و هیچ‌کس / کدام بازیگران در تأمین امنیت پرداخت‌ها و تراکنش‌های نظام بانکی کشور مشارکت دارند؟

حکایت امنیت در شبکه بانکی و عملیات‌های پرداخت به این سادگی‌ها هم نیست. از دیرباز تفسیرهای مختلفی از مقوله امنیت در شبکه بانکی مطرح شده و اختلاف‌نظرات زیادی میان این نهادها که همگی هم در زمره نهادهای بالادستی و حاکمیتی هستند و برخی دیگر که کمتر نام‌شان را شنیده‌ایم، وجود داشته است؛ نهادهایی که مأموریت‌هایشان نه‌تنها دقیق و تعریف‌شده نیست، بلکه گاه فعالیت‌هایی موازی‌‌کارانه و متداخل هم دارند

نویسنده: راه پرداخت در تاریخ 13 آذر سال 1399 ساعت 10:20 0

ماهنامه عصر تراکنش شماره ۳۹ / جهان اطراف ما همیشه در شرف و در حال شدن است. جهانی آکنده از تحول و دگرگونی که در میل به پیچیده‌‌شدن توقف‌ناپذیر است و همیشه هم متناسب با خواست و اراده ما پیش نمی‌رود. ما احاطه شده‌ایم در زنجیره هراسناکی از ترس‌ها، دلشوره‌ها، نگرانی‌ها، اضطراب‌ها و تشویش‌ها و تهدیدها. ما تشنه امنیت هستیم و جست‌وجویش، ستودنش و کامیابی در دستیابی به آن، مشغله ذهنی‌مان است. احساس امنیت در جهان پرآشوب کنونی سرنوشت‌ساز است، اما به این راحتی‌ها هم به دست نمی‌آید. در کنار امنیت دفاعی به معنای مرسوم آن، یکی از مهم‌ترین عرصه‌های امنیتی در هر کشوری، نظام‌های مالی و سیستم‌های بانکی هستند.

به تعبیری، نبض فعالیت‌های مالی و بانکی نیز مثل بسیاری از عرصه‌های دیگر با امنیت می‌زند. گرچه امنیت مفهومی سیال است که در دوره‌های گوناگون و شرایط مختلف لزوماً معنای ثابتی ندارد، اما می‌خواهیم بدانیم وضعیت سیستم‌های پرداخت کشور از منظر امنیتی چگونه است و در حقیقت به این موضوع بپردازیم که معماری امنیتی و تاب‌آوری عملیات‌های پرداخت به چه شکل است و چه اقدامات نظارتی و کنترلی از طریق کدام بازیگران و نهادها باید صورت ‌پذیرد تا برای مثال تراکنش‌های کارتی بانکی با اختلال روبه‌رو نشوند.

سهم 65درصدی فیشینگ از جرائم مالی

امروزه دیگر بانک‌ها به بخش جدایی‌ناپذیر از زندگی روزمره ما تبدیل شده‌اند و پیوندمان با این نهادها روزبه‌روز در حال افزایش است. خدمات مالی بانکداری و توسعه خدمات الکترونیکی و دیجیتال افزایش یافته‌اند و ما کمتر به بانک‌ها مراجعه می‌کنیم و پرداخت‌هایمان نیز عموماً غیرنقدی است. از طرفی دیگر، میزان استفاده مردم از کارت‌های اعتباری بانکی در یک دهه اخیر به‌شدت افزایش یافته است. بر اساس آخرین گزارش شاپرک تعداد کارت‌های بانکی تراکنش‌دار تا پایان شهریور به ۱۱۱ میلیون فقره رسیده که حدود 107 میلیون آن کارت برداشت است. از نظر برخی؛ مجموع تراکنش‌های ثبت‌شده به 2.9 میلیارد (دو میلیارد و 900 میلیون) و از نظر ریالی به 487 هزار میلیارد تومان رسیده است.

علاوه بر این داده‌ها، یک تغییر مهم دیگر نیز در صنعت مالی و بانکی رخ داده و آن چیزی نیست جز افزایش تراکنش‌های غیرنقدی که در مقایسه با حالتی که فرایندها سنتی است، خطرات بالقوه و بالفعل جدی‌تری را متوجه نظام بانکی می‌کند. افزایش کلاهبرداری‌ها و جرائم مالی یکی از همین انواع خطرات بالفعل است که همواره نیز درباره آن هشدار داده می‌شود؛ نشان به آن نشان که بر اساس گفته‌های رئیس پلیس فتای کشور در آذرماه سال گذشته، ۶۵ درصد کل جرائم سایبری در حوزه «فیشینگ» روی می‌دهد.

یا اینکه گفته می‌شود 80 درصد از جرائم سایبری کشور، مالی است و از سال 90 به این سو، چنین جرائمی رشدی 900 درصدی داشته‌اند. نکته اینکه در صنعت پرداخت، فیشینگ تنها یکی از روش‌هایی است که کلاهبرداران از آن بهره می‌گیرند. اگرچه با اجباری‌شدن رمز دوم پویا از سال گذشته، میزان جرائم مربوط به فیشینگ کاهش چشم‌گیری را نشان می‌دهد، اما روش‌های دیگر کلاهبرداری با پیچیدگی‌های به‌مراتب بالاتری هم وجود دارد.

بانک مرکزی متولی زیرساخت‌های شبکه بانکی

کلید فهم امنیت در تراکنش‌های بانکی، در وهله اول پدافند غیرعامل است. با اینکه در حوزه تراکنش‌های بانکی، بانک مرکزی و نهادهایی همچون مرکز ماهر، پلیس فتا، مرکز مدیریت راهبردی افتا و… هر کدام مجموعه اقدامات و تمهیداتی را برای جلوگیری از وقوع جرم و کلاهبرداری به اجرا می‌گذارند، اما نتیجه‌بخش‌بودن راهکارها تا حدود زیادی به چیدمان و آرایش امنیتی مبنایی کشور بستگی دارد که سازمان پدافند غیرعامل متولی آن است. تعریف ساده اما قابل فهم پدافند غیرعامل به این صورت است که زیرساخت‌های اساسی کشور به ‌گونه‌ای محافظت شوند و استحکام داشته باشند که در صورت وقوع هرگونه حمله‌ای، ادامه حیات آنها ممکن باشد.

یعنی حالتی که در آن زیرساخت‌ها مانند ارگان‌های حیاتی یک سیستم باید خودشان را در برابر تهدیدات مقاوم ‌کنند. در رویکردی کلان‌نگر، بخشی از موضوع امنیت، امنیت پولی و بانکی است که متولی اصلی آن بانک مرکزی است. بانک مرکزی در وهله اول مسئول تعیین و تأمین زیرساخت‌ها برای نظام پولی کشور است. با این حال در موضوعات مرتبط با امنیت، این نهاد به مجموعه‌ای از ابزارها و راه‌حل‌ها نیز مجهز است. برای مثال مرکز کنترل امنیت شبکه فوریت‌های بانکی (کاشف) زیر نظر این بانک برای مدیریت جامع رخدادهای امنیتی در سال 1392 تأسیس شده تا در کنار مراکز امداد رایانه‌ای امنیتی، سپر امنی برای تهدیدات داخلی و خارجی در نظام پرداخت و بانکداری الکترونیکی باشد.

نظام مدیریت امنیت داده‌ها (نماد) نیز دومین سامانه‌ای است که بانک مرکزی به‌منظور تضمین امنیت، محرمانگی، صحت، دقت و انکارناپذیری داده‌ها در نظام بانکی راه‌اندازی کرده که کار آن ایجاد هویت دیجیتالی امن برای اشخاص در خدمات بانکی مجازی است. نظام هویت‌سنجی الکترونیکی بانکی (نهاب)، سامانه پیام‌رسانی الکترونیک مالی (سپام)، پرتال ارزی، نشان‌گذاری نیز از دیگر راهکارهای بانک مرکزی به‌منظور افزایش سطح امنیت و ارتقای کارایی تراکنش‌هاست.

چیدمان امنیتی شبکه بانکی کشور

بخشی از مقوله امنیت بانکی و بانکداری امن و اصطلاحاتی از این دست، الزامات دفاع غیرعامل است که سازمان پدافند غیرعامل بر آن نظارت دارد. به عبارت دقیق‌تر در حوزه بانکی، هدف‌محوری پدافند غیرعامل؛ استمرار و تضمین عملیات‌های بانکی به‌ویژه بانکداری الکترونیکی است. به این معنا که زیرساخت‌های امنیتی نظام بانکی مطابق با نقشه‌ای که طراحی آن را سازمان پدافند غیرعامل انجام می‌دهد، ایجاد می‌شوند و هدف این است که در حوادث طبیعی، حملات احتمالی فیزیکی و سایبری و تهدیدات تروریستی و…، فرایندها با اختلال روبه‌رو نشوند.

از سویی دیگر پدافند غیرعامل به محاسبه تاب‌آوری زیرساخت‌های بانکی در صورت بروز حوادث پیش‌بینی‌نشده هم می‌پردازد. این موضوع زمانی اهمیتی دوچندان می‌یابد که بدانیم در کشور ما بخش زیادی از تراکنش‌ها آنلاین است و به‌ندرت می‌توان فرایندی بانکی را مثال زد که به‌صورت آفلاین قابلیت اجرایی داشته باشند تا در زمانه بروز بحران امنیتی از آنها برای ادامه روال عادی زندگی استفاده کرد. از نظر پدافند غیرعامل، بزرگ‌ترین نقص همین‌جاست. زیرساخت‌های بانکی و پرداخت از جنبه عملیاتی به‌صورت متمرکز و برخط عمل می‌کنند و در عین حال ابزارهای سنتی‌تر مانند اسکناس و سکه هم به‌شدت ضعیف هستند و ممکن است ریسک‌های متعددی را متوجه کشور کنند؛ موضوعی که سازمان پدافند غیرعامل مسئولیت آن را متوجه بانک مرکزی و طراحی‌‌های غلط سیاست‌گذاری آن می‌داند.

نکته اینکه سازمان پدافند غیرعامل به مسائلی مانند کاهش ارزش پول ملی و افزایش نرخ ارز یا افزایش نقدینگی نیز به‌عنوان مسائل امنیتی حوزه بانکداری می‌نگرد. سازمان پدافند غیرعامل هفت قرارگاه دارد که یکی از مهم‌ترین آنها قرارگاه سایبری است که در حوزه بانکداری نیز فعال است. این قرارگاه دستورالعمل یا آیین‌نامه‌های امنیتی در سطوح و لایه‌های سخت‌افزاری و نرم‌افزاری را به شبکه بانکی ابلاغ می‌کند و بانک‌ها نیز خود را با الزامات و خواسته‌های این سازمان وفق می‌دهند.

برای نمونه بانک‌ها کمیته‌هایی برای امن‌سازی زیرساخت‌های حیاتی‌شان تشکیل می‌دهند؛ رزمایش‌های سایبری برگزار می‌کنند؛ به کارکنان خود مباحث و اصول حیاتی پدافند غیرعامل را آموزش می‌دهند؛ نظارت‌هایشان را افزایش می‌دهند؛ سیستم‌های حفاظت فیزیکی و الکترونیکی به‌منظور ارتقای ضریب امنیتی نصب می‌کنند و… . در مجموع باید گفت سازمان پدافند غیرعامل در موضوع امنیت عملیات‌های بانکی، رویکردی بالادستی و کلی‌نگر دارد تا اختلالی در زیرساخت‌های بانکی کشور ایجاد نشود. به عبارت بهتر مصادیق امنیت تراکنش‌های بانکی را باید نزد دو ضلع دیگر مثلث امنیت بانکی جست‌و‌جو کرد.

هشدار و گزارش‌دهی درباره رخنه‌های امنیتی

دومین نهاد مرتبط با امنیت شبکه بانکی، مرکز مدیریت امداد و هماهنگی رخدادهای رایانه‌ای (ماهر) است که زیر نظر وزارت ارتباطات و فناوری اطلاعات فعالیت می‌کند و سال 1387 تأسیس شده است. شرح وظایف مرکز ماهر نیز مشابه سازمان پدافند غیرعامل، تأمین امنیت است. با این تفاوت که این نهاد فقط بر رخدادها و حوادث فضای مجازی تکیه دارد و برای پیشگیری و مقابله با حوادث فضای تبادل اطلاعات در سطح ملی، فعالیت‌هایی را در سه سطح و قالب به اجرا می‌گذارد. قالب اول امدادی و واکنشی است. به این صورت که اگر سازمان و نهادی درخواست رسیدگی فوری به حوادث فضای مجازی را مطرح کند، این مرکز وارد عمل می‌شود.

دومین سطح، فعالیت‌های پیشگیرانه است که به شکل ارائه هشدارها، اعلانات، مخاطرات و ‌ضعف‌های سامانه‌ها و انتشار بسته‌های راهنما برای مقاوم‌سازی آنها اجرا می‌شود. ارتقای سطح کیفیت امنیت نیز سومین حوزه فعالیت مرکز ماهر است که به شکل آموزش اصول و پروتکل‌های امنیتی انجام می‌شود. به‌طور مشخص‌تر آنچه مرکز ماهر بدان معروف است، بررسی و گزارش‌دهی درباره نشت‌های اطلاعات داده‌های افراد و سازمان‌ها و کسب‌وکارها در فضای مجازی است. این مرکز در حوزه بانکی و مالی به کشف بانک‌های اطلاعاتی حفاظت‌نشده می‌پردازد و درباره امن‌بودن یا نبودن اقدامات و زیرساخت‌ها به بانک‌ها بازخورد می‌دهد. گرچه طبق قانون، بانک مرکزی و شبکه بانکی و پلیس فتا مسئول آگاه‌سازی و ایجاد زیرساخت‌های شناسایی و برخورد با فیشینگ هستند، اما این مرکز در زمینه پیشگیری و مسدودسازی حملات فیشینگ نیز اقداماتی انجام داده است.

ارتباط نزدیک‌تر و عملیاتی‌تر با پلیس فتا

ضلع سوم امنیت در نظام بانکی و به‌خصوص پرداخت‌ها، پلیس فضای تولید و تبادل اطلاعات یا فتاست که 10 سال پیش تأسیس شد. پلیس فتا می‌گوید با توسعه روزافزون زیرساخت‌های فناوری اطلاعات و ارتباطات در کشور، برای تأمین امنیت و مقابله با جرائمی که در این فضا به وقوع می‌پیوندند، ایفای نقش می‌کند. این نهاد نسبت به مرکز ماهر و سازمان پدافند غیرعامل عملیاتی‌تر است و مجموعه اقدامات و تدابیری که به اجرا می‌گذارد، برای مردم نیز قابل فهم‌تر است. پلیس فتا، پلیس تخصصی پیگیری و رسیدگی به جرائم سطح بالای فناورانه اعم از کلاهبرداری‌های اینترنتی، جعل داده‌ها و عناوین، سرقت اطلاعات، تجاوز به حریم خصوصی اشخاص و گروه‌ها، هک و نفوذ به سامانه‌های رایانه‌ای و اینترنتی و… است.

از طرفی نیز این نهاد انتظامی رابطه‌ای بسیار نزدیک با ارکان مختلف شبکه بانکی دارد؛ چه آنجا که از بانک‌ها می‌خواهد موارد امنیتی و حفاظتی را رعایت و نسبت به رفع معایب اقدام کنند و چه زمانی که به مردم و دارندگان کارت‌های بانکی برای عملیات‌های پرداخت‌شان توصیه و هشدار حفاظتی امنیتی می‌دهد که چه بایدها و نبایدهایی را باید رعایت کنند. پلیس فتا اولین و شاید تنها نهادی باشد که در صورت وقوع جرم در حوزه تراکنش‌های بانکی به موضوع ورود می‌کند.

معضلی به نام فقدان هماهنگی و یکپارچگی امنیتی

با همه اینها، حکایت امنیت در شبکه بانکی و عملیات‌های پرداخت به این سادگی‌ها هم نیست. از دیرباز تفسیرهای مختلفی از مقوله امنیت در شبکه بانکی مطرح شده و اختلاف‌نظرات زیادی میان این نهادها که همگی هم در زمره نهادهای بالادستی و حاکمیتی هستند و برخی دیگر که کمتر نام‌شان را شنیده‌ایم، وجود داشته است؛ نهادهایی که مأموریت‌هایشان نه‌تنها دقیق و تعریف‌شده نیست، بلکه گاه فعالیت‌هایی موازی‌‌کارانه و متداخل هم دارند. در این میان قوانین و مقررات و تصویب‌نامه‌ها نیز به این مسئله دامن می‌زنند. برای نمونه‌ در نظام ملی پیشگیری و مقابله با حوادث فضای مجازی که سه سال پیش به تصویب شورای عالی فضای مجازی رسیده، برای پیشگیری و مقابله با حوادث سایبری، تقسیم کار ملی شده است.

به این صورت که حملات و نقض‌های امنیتی زیرساخت‌های حیاتی کشور از جمله در حوزه‌های مالی و بانکی، به «مرکز راهبردی افتای ریاست جمهوری» سپرده شده؛ مقابله با حوادث و حملات در حوزه شهروندان و کسب‌وکارهای خصوصی شامل داده‌های مربوط به اپلیکیشن‌ها و بانک‌های داده به پلیس فتا واگذار شد و مسئولیت حوادث و حملات سایبری بخش‌های غیرحساس دولتی نیز بر عهده وزارت ارتباطات و مرکز ماهر قرار دارد. در همین یک فقره تصویب‌نامه به‌وضوح مشخص است که امنیت در نظام بانکی و به‌ویژه زمانی که صحبت از امنیت تراکنش‌های بانکی می‌شود، چقدر تفسیرپذیر است. همه اینها را بگذارید کنار اینکه مرکز کاشف نیز خود را‌ موظف به مدیریت رخدادهای امنیتی در فضای سایبری بانکی کشور می‌داند و می‌گوید‌ وظیفه جمع‌آوری و اشتراک‌گذاری اطلاعات و هماهنگی بین بانک‌ها در مواقع بروز بحران‌های سایبری را عهده‌دار است.

این مرکز از بانک‌ها و مؤسسات می‌خواهد کلیه رخدادهای امنیتی در حوزه خدمات بانکداری الکترونیکی در بانک و شرکت‌های تابعه خود را گزارش دهند و اصرار دارد تعامل و همکاری شبکه بانکی کشور با مراکز امنیتی و نظارتی مانند مرکز مدیریت راهبردی افتا، پلیس فتا، مرکز ماهر و… تنها باید از فیلتر آنها صورت گیرد. مواردی از این دست زیادند و این به‌وضوح نشان می‌دهد تعدد مراجع امنیتی و نظارتی و یکپارچه‌نبودن سیاست‌های امنیتی و فقدان هماهنگی میان نهادهای قانون‌گذار در حوزه بانکی با نهادهای امنیتی متولی امنیت اطلاعات، تا چه اندازه مواردی مانند پیاده‌سازی و ارائه راهکارهای درست و دقیق امنیتی برای پایین‌آوردن مخاطرات و چالش‌های امنیتی در بانک‌ها و طراحی و پیاده‌سازی راهکارهای جدید سخت‌افزاری و نرم‌افزاری برای مقابله با آنها را تحت‌الشعاع قرار داده است. این یک واقعیت است که بازیگران و نهادهای زیادی در حوزه امنیت بانکداری فعال‌اند، اما هیچ‌کس به‌درستی نمی‌داند سهم هر یک چقدر است. این واقعیت همه و هیچ‌کس است.

منبع ماهنامه عصر تراکنش شماره ۳۹

نویسنده / مترجم مسعود شاه‌حسینی