پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
چرا امنیت سایبری بیش از همه اهمیت دارد؟ / تهدیدهای امنیتی در کمین کارگزاریها
حامد سنجری رئیس مکنا، مساله مهم کارگزاریها در خصوص توسعه امنیت را ایجاد مراکز داده پشتیبان میداند. از سوی دیگر حامد حدادی، بنیانگذار کوانتکن معتقد است که الزامات قانونی در خصوص امنیت باید بهروزرسانی شود
از زمانیکه اینترنت و به مثابه آن فناوری وارد زندگی ما و کسبوکارها شد، پیشرفت اساسی در جریان اطلاعات و ارتباطات رخ داد، اما در کنار آن این دنیای بههمپیوسته میتواند خطرآفرین هم باشد. همانقدر که تکنولوژی روبهرشد است، ترفندهای هک کردن اطلاعات نیز پابهپای آن بهروزتر میشود.
حملههای سایبری و نفوذ اطلاعاتی اکنون رواج زیادی یافته و هرساله پرحجمتر و پرهزینهتر میشوند. در مقابل با وجود توانایی ما در جلوگیری از این حملهها و بالا بردن امنیت و بهداشت سایبری، این نفوذها کاهش نیافته است. بنابراین باید بپذیریم که نفوذهای اطلاعاتی همچنان اجتنابناپذیر هستند.
اکنون این نوع حملات در همه جای دنیا در حال رخ دادن است. در جدیدترین مورد شاهد بودیم که همین چند روز پیش هکرها مدعی دست یافتن به سورس کدهای مایکروسافت شدهاند. هرچند مایکروسافت اعلام کرد که هیچ شواهدی از دسترسی هکرها به خدمات تولید محصول یا اطلاعات مشتری وجود ندارد، اما مساله مهم پیشبینی این حملات است و اینکه چه راهکارهایی را میتوان ارائه داد تا جلوی این حملات گرفته شود و بعضاً آسیب کمتری به کسبوکارها و مشتریان وارد شود.
از ابتدای سال در کشور شاهد نفوذهای اطلاعاتی زیادی در برخی کسبوکارها هم خصوصی و هم دولتی بودیم. سایتهای کارگزاریها از جمله آنها بودند؛ چندین بار گروههایی از هکرها با انتشار تصاویری در فضای مجازی مدعی لو رفتن اطلاعات کاربران کارگزاریها شدند.
اگر یک درصد احتمال دهیم که این نشتهای اطلاعاتی درست باشد، این سؤال پیش میآید که کارگزاریها برای رخ ندادن این مساله چه تدابیری اندیشیدهاند؟ از سوی دیگر کاربران برای ایمن ماندن در رخنههای امنیتی بعدی چه کاری را باید یاد بگیرند؟ باتوجه به این مسائل برای یافتن سوالهای خود در حوزه امنیت و راهکارهایی که میتوان برای بهتر شدن آن ارائه داد، به سراغ کارشناسان و تنظیمگران این حوزه رفتیم.
حامد سنجری، رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه دلیل مورد حمله قرار گرفتن سایتهای برخی کارگزاریها را این دانست که آنها بدون رعایت ابلاغیات امنیتی مرکز مکنا، جدا از OMSهای خود فعالیتهایی در حوزه فناوری اطلاعات انجام میدهند که همین امر باعث رخنههای امینتی میشود. در مقابل حامد حدادی، بنیانگذار کوانتکن معتقد است که باتوجه به سرعت رشد تکنولوژی، الزامات مکنا نیز باید رویههای قانونی خود را تغییر دهد. در ادامه به شرح نظر هر دو دراین باره پرداخته شده است.
اختلال برخی کارگزاریها را با حمله سایبری اشتباه نگیریم
سنجری درباره اختلالاتی که در زمینه امنیت سایبری برای برخی کارگزاریها مانند آگاه و فارابی رخ داده، گفت: «اختلال رخ داده در هر دو کارگزاری متفاوت بود. اختلالی که برای کارگزاری آگاه رخ داد را نمیتوان حمله سایبری تلقی کرد، درحالیکه در فضای مجازی شایعه شده بود حمله سایبری رخ داده است. دو تجهیز اصلی و مهم این کارگزاری سوخت و با این اتفاق تمام سرورها از دسترس خارج شدند. بنابراین تهیه سرورها یک هفته به طول انجامید تا مشکل حل شود. این مورد را نمیتوانیم به عنوان حمله سایبری در نظر بگیریم، اما مساله اهمیت موارد امنیتی وجود دارد.»
بهگفته او یک کارگزاری طبق الزامات مرکز مکنا موظف است که تجهیزات HA یا جایگزین را در انبار یا مرکز داده خود نگهداری کند تا اگر تجهیزات اولیه دچار آسیب شد، بتواند از آن استفاده کند. اینکه دو سرور همزمان از کار بیفتد و جایگزینی برای آن وجود نداشته باشد، یک ایراد امنیتی است.
مساله اکنون کارگزاریها، راهاندازی مرکز داده پشتیبان است
او در رابطه با اینکه آیا برای توسعه امنیت کارگزاریها و سامانههای معاملاتی اقداماتی انجام شده یا نه، گفت: «از اواخر دهه ۸۰ معاملات برخط در بازار سرمایه ایجاد شد و از سمت سازمان به سامانهها و شرکتهای OMS که در آن زمان دو شرکت بود، مجوز بهرهبرداری داده شد. این درحالی بود که هیچ واحد امنیتی در آن زمان در بازار سرمایه وجود نداشت. در سال ۱۳۹۵ مرکز مکنا زیر نظر سازمان بورس تشکیل میشود و الزامات امنیت اطلاعات بازار سرمایه را بر اساس استانداردهای ایزو ۲۷۰۰۱ و NIST تدوین میکند. همچنین الزامات داخلی مانند افتا و پدافند غیرعامل نیز تهیه شد.»
سنجری با اشاره به اینکه اکنون این الزامات به تمام کارگزاریها و شرکتهای OMS ابلاغ شده است، گفت: «این الزامات نه تنها برای کارگزاریها که برای شرکتهای ارکان مانند بورس تهران، فرابورس، بورس انرژی، بورس کالا و شرکتهای تحت نظارت مانند مدیریت فناوری اطلاعات، سپردهگذاری و رایان بورس هم ابلاغ شده است.»
او توضیح داد که از سال ۱۳۹۵ تاکنون بهصورت سالیانه در صورت وجود شرایط، حداقل دوبار از تمام شرکتهای کارگزاری ممیزی امنیتی کامل انجام میشود. بدین صورت که تک تک سیستمهای آنها مورد بررسی قرار میگیرد.
سنجری درباره امنیتی که اکنون در کارگزاریها ایجاد شده، گفت: «در سال ۱۳۹۵ درگیر مواردی مانند نداشتن HTTPS، فایروال و IPS سایتهای کارگزاریها بودیم و به همین دلیل بیشتر آنها مورد نفوذ قرار میگرفتند، چراکه پورت و سرورهای آنها باز بود و از خارج کشور آن سرورها دیده میشد. اما اکنون این موارد حل شده و به جایی رسیدهایم که کارگزاریها باید مرکز داده پشتیبان داشته باشند.»
از آن زمان که این موضوع مطرح شده به هیچ شرکت جدیدی درصورتیکه مرکز پشتیبان نداشته باشد، مجوزی تعلق نگرفته است. سنجری با بیان این مطلب افزود: «در حال حاضر نیز تنها یک شرکت از لحاظ امنیتی مجوز گرفته که آن هم مرکز داده پشتیبان دارد. شرکتهای دیگر نیز موظف هستند که تا پایان سال این مرکز را راهاندازی کنند. به هر حال ما در کشور محدودیتهایی هم برای واردات و خرید تجیهزات داریم. برخی از مراکز داده هم که اجاره داده میشود، محدودیتهای فنی دارند و برای کارگزاریها قابل استفاده نیست. همچنین تحریمها تهیه تجیهزات را سختتر کرده است.»
او با اشاره به اینکه بحث راهاندازی مرکز داده حدود دو سال پیش مطرح شده و باید این مشکلات دیگر حل شده باشد، گفت: «کارگزاریها مرکز داده را یا باید از مراکز دادهای مانند تبیان، افرانت، آسیاتک و غیره تهیه کنند یا خودشان مرکز داده را ایجاد کنند.»
دلیل نشت اطلاعات برخی کارگزاریها
سنجری در ادامه به موضوعی که اخیراً برای برخی کارگزاریها در خصوص حملات سایبری رخ داده اشاره کرد و در این باره توضیح داد: «ما تمام وقت و تلاش خود را برای شرکتهای ارکان بازار سرمایه و OMSها گذاشتهایم که سامانههای حیاتی بازار سرمایه را به صورت معاملات برخط به مردم ارائه میدهند. اکنون ۱۰۸ کارگزاری وجود دارد و این امکان وجود نداشت که در سه سال ایجاد مرکز مکنا اولویت به سیستمی داده شود که در داخل شبکه کارگزاری تهیه میشود، چراکه کارگزاریها تمام فعالیتهای حوزه فناوری اطلاعات و زیرساختهای خود را به OMSها میدهند. این شرکتها وظیفه پشتیبانی، تهیه و راهبری سرویسهای برخط را دارند که مهمترین سرویس کارگزاری است.»
او با بیان اینکه اتفاقی که در برخی کارگزاریها درباره حملات سایبری میافتد، ربطی به برخط بودن آنها ندارد، توضیح داد: «متاسفانه برخی کارگزاریها بدون رعایت ابلاغیههای امنیتی مرکز مکنا، جدا از OMSهای خود فعالیتهایی در حوزه فناوری اطلاعات انجام میدهند. بهطور مثال سایتی را به عنوان پیشخوان تهیه میکنند. درحالیکه ما از سال ۱۳۹۵ به همه شرکتها اعلام کردیم که استفاده از وبسایتهای آماده ممنوع است و تمام OMSها این مساله را رعایت کردهاند.»
بهگفته رئیس مرکز مکنا متاسفانه کارگزاریها هنوز به درک امنیتی نرسیدهاند و با این وضعیت نباید فعالیتی در حوزه فناوری اطلاعات هم انجام دهند. کارگزاریها تمایل زیادی به انجام کارهای فناوری اطلاعات دارند که برای انجام فعالیت در این حوزه باید در ابتدا موارد امنیتی را رعایت کنند.
دو راهکار مکنا برای پیشگیری از حملات سایبری
مرکز مکنا برای توسعه امنیت و پیشگیری از حملات سایبری دو راهکار در نظر گرفته که سنجری در رابطه با آنها توضیح داد: «در بحث امنیت دو الزام برای کارگزاریها در نظر گرفتهایم. اولین الزام، تمهیدات و موارد بازدارنده از خطا در مباحث امنیتی است که در سازمان در حال تهیه است. بهطور مثال جریمههایی در حد اینکه تا یک سال کارگزاریها نمیتوانند سامانه جدیدی بنویسند، در نظر گرفته شده است. دومین الزام، ممیزی شرکتهای کارگزاری است. این الزام را از کارگزاریهایی که مشتری بیشتری دارند، شروع خواهیم کرد. اگر کارگزاریها این موارد را رعایت نکنند، حتماً از موارد قانونی برای برخورد تخلفات استفاده میشود.»
او با بیان این موضوع که متاسفانه به برخی الزامات بیتوجهی میشود، گفت: «تقریباً ماهی دوبار به همه شرکتها هشدار امنیتی با دلیل و مستند داده میشود، اما روی این موضوعات باید دقت بیشتری صورت گیرد.»
نبود مشکل در امنیت سایبری صددرصدی نیست
سنجری در ادامه به مواردی مانند خطای انسانی در بحث امنیت اشاره کرد و گفت: «در بحث امنیت سایبری نمیتوان صددرصد گفت که هیچ مشکل امنیتی اتفاق نخواهد افتاد. شرکتهای دیگر در کشورهایی مانند آمریکا نیز که ادعای امنیت داشتند، آسیب دیدهاند. مسلماً فاصله حفاظتهای امنیتی در سازمانهای آمریکایی از ما بیشتر است، اما این اتفاق برای آنها هم افتاد. با این حال ما خوشبین هستم که بازار سرمایه در بحث امنیت جلوتر از دیگر سازمانهاست و اگر الزامات و موارد امنیتی در این چند سال اخیر انجام نمیشد ممکن بود در زمانی که بازار به اوج خود رسیده بود اتفاقات بدی رخ میداد.»
او خطای انسانی را یک خطای طبیعی دانست و در این باره گفت: «در این زمینه شرکتها باید به بلوغی برسند که بتوانند فرایندهای امنیتی را اجرا کنند. به طور مثال اگر تغییری در سامانه میدهیم یک نفر دیگر همان را تأیید کند و بعد آن را اجرا کنیم که در بسیاری از موارد این موضوع رخ نمیدهد. این موضوع به طور ناخودآگاه باعث ایجاد مشکلاتی میشود. ما امیدواریم که بتوانیم این اتفاقات را کمتر کنیم.»
تغییر رویههای قانونی در خصوص امنیت
امنیت سایبری هنوز یک حوزه نسبتاً جدید است که باید خود را بهصورت پویا با تغییرات محیط رگولاتوری نوپا و توسعه فناوریهای جدید تطبیق دهد. حامد حدادی، بنیانگذار کوانتکن درخصوص تغییر رویههای قانونی برای توسعه امنیت، گفت: «همه سیستمها باید پذیرند که هک شدن دور از انتظار نیست و باید به این فکر کنند که بعد از هک چه میشود؟ مثلاً اگر سایت کارگزاری هک شود چه اتفاقی قرار است بیفتد؟ آیا پولی از حساب مشتری جابهجا خواهد شد یا سهمی به اشتباه خریدوفروش میشود؟ و در نهایت کارگزاری باید این اختیار را به کاربران بدهد که بتوانند سطح امنیت ورود به حساب خود را تعیین کنند. اکنون در اکسچنجهای خارجی اگر فردی بخواهد گردش زیادی داشته باشد، باید سطحی از احراز هویت و سطح امنیت ورود مانند احراز هویت دو عاملی را برای ورود به سامانه معاملات فعال کند. اگر کاربر این کار را انجام ندهد، ریسک و مخاطرات آن را هم باید بپذیرد.»
حدادی توضیح داد که موضوع مورد هک قرار گرفتن اطلاعات ممکن است در همه جای دنیا اتفاق بیفتد. اما مساله اصلی در کشور ما ساختاری است که مرکز مکنای سازمان بورس دارد. به این صورت که این مرکز پس از پاس شدن حداقلی از مبانی امنیت سامانه نرمافزاری، مجوز انتشار میدهد. حالا وقتی سامانه کارگزاری مورد نفوذ قرار میگیرد، آن کارگزاری میگوید مشکل من نیستم، مشکل ضعف پیش نیازهای امنیت سازمان بورس است.
او با بیان اینکه رویههای قانونی در مرکز مکنا مانند دیگر مراکز مشابه در کشورهای دیگر، به سرعت قدیمی میشود، توضیح داد: «بعید میدانم که الزامات قانونی مرکز مکنا در چهار سال گذشته تغییر محسوسی کرده باشد. در نتیجه این ساختار که سازمان بورس مجوزی به سامانههای نرمافزاری کارگزاری بدهد و از نظر فنی آن را تأیید کند تا کارگزاریها بر حسب آن کاری را انجام دهند، اشتباه است زیرا تکنولوژی با سرعت زیادی بهروزرسانی میشود و ضعفهای جدیدی کشف و مسائل قبلی برطرف میشوند و قانون نمیتواند به این جزئیات بپردازد و نباید هم بپردازد. خواهیم دید که در آینده هم این مسائل دوباره تکرار میشود.»
از نظر حدادی کل مساله باید این باشد که توسعهدهنده نرمافزار امنیت سامانه خود را مدیریت کند و در مقابل آن هم پاسخگو باشد و اگر هم نتوانست به درستی تأمین امنیت کند و این ضعف باعث شد زیانی رخ دهد، باید ضرر و زیان آن را جبران کند. این ضرر و زیان ممکن است از جنس لو رفتن اطلاعات محرمانه مشتریان باشد یا از جنس معامله اشتباه.