راه پرداخت
راه پرداخت؛ رسانه فناوری‌های مالی ایران

چرا امنیت سایبری بیش از همه اهمیت دارد؟ / تهدیدهای امنیتی در کمین کارگزاری‌ها

حامد سنجری رئیس مکنا، مساله مهم کارگزاری‌ها در خصوص توسعه امنیت را ایجاد مراکز داده پشتیبان می‌داند. از سوی دیگر حامد حدادی، بنیان‌گذار کوانت‌کن معتقد است که الزامات قانونی در خصوص امنیت باید به‌روزرسانی شود

از زمانی‌که اینترنت و به مثابه آن فناوری وارد زندگی ما و کسب‌وکارها شد، پیشرفت اساسی در جریان اطلاعات و ارتباطات رخ داد، اما در کنار آن این دنیای به‌هم‌پیوسته می‌تواند خطرآفرین هم باشد. همانقدر که تکنولوژی روبه‌رشد است، ترفندهای هک کردن اطلاعات نیز پابه‌پای آن به‌روزتر می‌شود.

حمله‌های سایبری و نفوذ اطلاعاتی اکنون رواج زیادی یافته و هرساله پرحجم‌تر و پرهزینه‌تر می‌شوند. در مقابل با وجود توانایی ما در جلوگیری از این حمله‌ها و بالا بردن امنیت و بهداشت سایبری، این نفوذها کاهش نیافته است. بنابراین باید بپذیریم که نفوذهای اطلاعاتی همچنان اجتناب‌ناپذیر هستند.

اکنون این نوع حملات در همه جای دنیا در حال رخ دادن است. در جدیدترین مورد شاهد بودیم که همین چند روز پیش هکرها مدعی دست یافتن به سورس کدهای مایکروسافت شده‌اند. هرچند مایکروسافت اعلام کرد که هیچ شواهدی از دسترسی هکرها به خدمات تولید محصول یا اطلاعات مشتری وجود ندارد، اما مساله مهم پیش‌بینی این حملات است و اینکه چه راهکارهایی را می‌توان ارائه داد تا جلوی این حملات گرفته شود و بعضاً آسیب کمتری به کسب‌وکارها و مشتریان وارد شود.

از ابتدای سال در کشور شاهد نفوذهای اطلاعاتی زیادی در برخی کسب‌وکارها هم خصوصی و هم دولتی بودیم. سایت‌های کارگزاری‌ها از جمله آنها بودند؛ چندین بار گروه‌هایی از هکرها با انتشار تصاویری در فضای مجازی مدعی لو رفتن اطلاعات کاربران کارگزاری‌ها شدند.    

اگر یک درصد احتمال دهیم که این نشت‌های اطلاعاتی درست باشد، این سؤال پیش می‌آید که کارگزاری‌ها برای رخ ندادن این مساله چه تدابیری اندیشیده‌اند؟ از سوی دیگر کاربران برای ایمن ماندن در رخنه‌های امنیتی بعدی چه کاری را باید یاد بگیرند؟ باتوجه به این مسائل برای یافتن سوال‌های خود در حوزه امنیت و راهکارهایی که می‌توان برای بهتر شدن آن ارائه داد، به سراغ کارشناسان و تنظیم‌گران این حوزه رفتیم.

حامد سنجری، رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه دلیل مورد حمله قرار گرفتن سایت‌های برخی کارگزاری‌ها را این دانست که آنها بدون رعایت ابلاغیات امنیتی مرکز مکنا، جدا از OMSهای خود فعالیت‌هایی در حوزه فناوری اطلاعات انجام می‌دهند که همین امر باعث رخنه‌های امینتی می‌شود. در مقابل حامد حدادی، بنیان‌گذار کوانت‌کن معتقد است که باتوجه به سرعت رشد تکنولوژی، الزامات مکنا نیز باید رویه‌های قانونی خود را تغییر دهد. در ادامه به شرح نظر هر دو دراین باره پرداخته شده است.


اختلال برخی کارگزاری‌ها را با حمله سایبری اشتباه نگیریم


سنجری درباره اختلالاتی که در زمینه امنیت سایبری برای برخی کارگزاری‌ها مانند آگاه و فارابی رخ داده، گفت: «اختلال رخ داده در هر دو کارگزاری متفاوت بود. اختلالی که برای کارگزاری آگاه رخ داد را نمی‌توان حمله سایبری تلقی کرد، درحالی‌که در فضای مجازی شایعه شده بود حمله سایبری رخ داده است. دو تجهیز اصلی و مهم این کارگزاری سوخت و با این اتفاق تمام سرورها از دسترس خارج شدند. بنابراین تهیه سرورها یک هفته به طول انجامید تا مشکل حل شود. این مورد را نمی‌توانیم به عنوان حمله سایبری در نظر بگیریم، اما مساله اهمیت موارد امنیتی وجود دارد.»

حامد سنجری
حامد سنجری، رئیس مکنا

به‌گفته او یک کارگزاری طبق الزامات مرکز مکنا موظف است که تجهیزات HA یا جایگزین را در انبار یا مرکز داده خود نگهداری کند تا اگر تجهیزات اولیه دچار آسیب شد، بتواند از آن استفاده کند. اینکه دو سرور هم‌زمان از کار بیفتد و جایگزینی برای آن وجود نداشته باشد، یک ایراد امنیتی است.


مساله اکنون کارگزاری‌ها، راه‌اندازی مرکز داده پشتیبان است


او در رابطه با اینکه آیا برای توسعه امنیت کارگزاری‌ها و سامانه‌های معاملاتی اقداماتی انجام شده یا نه، گفت: «از اواخر دهه ۸۰ معاملات برخط در بازار سرمایه ایجاد شد و از سمت سازمان به سامانه‌ها و شرکت‌های OMS که در آن زمان دو شرکت بود، مجوز بهره‌برداری داده شد. این درحالی بود که هیچ واحد امنیتی در آن زمان در بازار سرمایه وجود نداشت. در سال ۱۳۹۵ مرکز مکنا زیر نظر سازمان بورس تشکیل می‌شود و الزامات امنیت اطلاعات بازار سرمایه را بر اساس استانداردهای ایزو ۲۷۰۰۱ و NIST تدوین می‌کند. همچنین الزامات داخلی مانند افتا و پدافند غیرعامل نیز تهیه شد.»

سنجری با اشاره به اینکه اکنون این الزامات به تمام کارگزاری‌ها و شرکت‌های OMS ابلاغ شده است، گفت: «این الزامات نه تنها برای کارگزاری‌ها که برای شرکت‌های ارکان مانند بورس تهران، فرابورس، بورس انرژی، بورس کالا و شرکت‌های تحت نظارت مانند مدیریت فناوری اطلاعات، سپرده‌گذاری و رایان بورس هم ابلاغ شده است.»

او توضیح داد که از سال ۱۳۹۵ تاکنون به‌صورت سالیانه در صورت وجود شرایط، حداقل دوبار از تمام شرکت‌های کارگزاری ممیزی امنیتی کامل انجام می‌شود. بدین صورت که تک تک سیستم‌های آنها مورد بررسی قرار می‌گیرد.

سنجری درباره امنیتی که اکنون در کارگزاری‌ها ایجاد شده، گفت: «در سال ۱۳۹۵ درگیر مواردی مانند نداشتن HTTPS، فایروال و IPS سایت‌های کارگزاری‌ها بودیم و به همین دلیل بیشتر آنها مورد نفوذ قرار می‌گرفتند، چراکه پورت و سرورهای آنها باز بود و از خارج کشور آن سرورها دیده می‌شد. اما اکنون این موارد حل شده و به جایی رسیده‌ایم که کارگزاری‌ها باید مرکز داده پشتیبان داشته باشند.»

از آن زمان که این موضوع مطرح شده به هیچ شرکت جدیدی درصورتی‌که مرکز پشتیبان نداشته باشد، مجوزی تعلق نگرفته است. سنجری با بیان این مطلب افزود: «در حال حاضر نیز تنها یک شرکت از لحاظ امنیتی مجوز گرفته که آن هم مرکز داده پشتیبان دارد. شرکت‌های دیگر نیز موظف هستند که تا پایان سال این مرکز را راه‌اندازی کنند. به هر حال ما در کشور محدودیت‌هایی هم برای واردات و خرید تجیهزات داریم. برخی از مراکز داده هم که اجاره داده می‌شود، محدودیت‌های فنی دارند و برای کارگزاری‌ها قابل استفاده نیست. همچنین تحریم‌ها تهیه تجیهزات را سخت‌تر کرده است.»

او با اشاره به اینکه بحث راه‌اندازی مرکز داده حدود دو سال پیش مطرح شده و باید این مشکلات دیگر حل شده باشد، گفت: «کارگزاری‌ها مرکز داده را یا باید از مراکز داده‌ای مانند تبیان، افرانت، آسیاتک و غیره تهیه کنند یا خودشان مرکز داده را ایجاد کنند.»


دلیل نشت اطلاعات برخی کارگزاری‌ها


سنجری در ادامه به موضوعی که اخیراً برای برخی کارگزاری‌ها در خصوص حملات سایبری رخ داده اشاره کرد و در این باره توضیح داد: «ما تمام وقت و تلاش خود را برای شرکت‌های ارکان بازار سرمایه و OMSها گذاشته‌ایم که سامانه‌های حیاتی بازار سرمایه را به صورت معاملات برخط به مردم ارائه می‌دهند. اکنون ۱۰۸ کارگزاری وجود دارد و این امکان وجود نداشت که در سه سال ایجاد مرکز مکنا اولویت به سیستمی داده شود که در داخل شبکه کارگزاری تهیه می‌شود، چراکه کارگزاری‌ها تمام فعالیت‌های حوزه فناوری اطلاعات و زیرساخت‌های خود را به OMSها می‌دهند. این شرکت‌ها وظیفه پشتیبانی، تهیه و راهبری سرویس‌های برخط را دارند که مهم‌ترین سرویس کارگزاری است.»

او با بیان اینکه اتفاقی که در برخی کارگزاری‌ها درباره حملات سایبری می‌افتد، ربطی به برخط بودن آنها ندارد، توضیح داد: «متاسفانه برخی کارگزاری‌ها بدون رعایت ابلاغیه‌های امنیتی مرکز مکنا، جدا از OMSهای خود فعالیت‌هایی در حوزه فناوری اطلاعات انجام می‌دهند. به‌طور مثال سایتی را به عنوان پیشخوان تهیه می‌کنند. درحالی‌که ما از سال ۱۳۹۵ به همه شرکت‌ها اعلام کردیم که استفاده از وب‌سایت‌های آماده ممنوع است و تمام OMSها این مساله را رعایت کرده‌اند.»

به‌گفته رئیس مرکز مکنا متاسفانه کارگزاری‌ها هنوز به درک امنیتی نرسیده‌اند و با این وضعیت نباید فعالیتی در حوزه فناوری اطلاعات هم انجام دهند. کارگزاری‌ها تمایل زیادی به انجام کارهای فناوری اطلاعات دارند که برای انجام فعالیت در این حوزه باید در ابتدا موارد امنیتی را رعایت کنند.


دو راهکار مکنا برای پیشگیری از حملات سایبری


مرکز مکنا برای توسعه امنیت و پیشگیری از حملات سایبری دو راهکار در نظر گرفته که سنجری در رابطه با آنها توضیح داد: «در بحث امنیت دو الزام برای کارگزاری‌ها در نظر گرفته‌ایم. اولین الزام، تمهیدات و موارد بازدارنده از خطا در مباحث امنیتی است که در سازمان در حال تهیه است. به‌طور مثال جریمه‌هایی در حد اینکه تا یک سال کارگزاری‌ها نمی‌توانند سامانه جدیدی بنویسند، در نظر گرفته شده است. دومین الزام، ممیزی شرکت‌های کارگزاری است. این الزام را از کارگزاری‌هایی که مشتری بیشتری دارند، شروع خواهیم کرد. اگر کارگزاری‌ها این موارد را رعایت نکنند، حتماً از موارد قانونی برای برخورد تخلفات استفاده می‌شود.»

او با بیان این موضوع که متاسفانه به برخی الزامات بی‌توجهی می‌شود، گفت: «تقریباً ماهی دوبار به همه شرکت‌ها هشدار امنیتی با دلیل و مستند داده می‌شود، اما روی این موضوعات باید دقت بیشتری صورت گیرد.»


نبود مشکل در امنیت سایبری صددرصدی نیست


سنجری در ادامه به مواردی مانند خطای انسانی در بحث امنیت اشاره کرد و گفت: «در بحث امنیت سایبری نمی‌توان صددرصد گفت که هیچ مشکل امنیتی اتفاق نخواهد افتاد. شرکت‌های دیگر در کشورهایی مانند آمریکا نیز که ادعای امنیت داشتند، آسیب دیده‌اند. مسلماً فاصله حفاظت‌های امنیتی در سازمان‌های آمریکایی از ما بیشتر است، اما این اتفاق برای آنها هم افتاد. با این حال ما خوش‌بین هستم که بازار سرمایه در بحث امنیت جلوتر از دیگر سازمان‌هاست و اگر الزامات و موارد امنیتی در این چند سال اخیر انجام نمی‌شد ممکن بود در زمانی که بازار به اوج خود رسیده بود اتفاقات بدی رخ می‌داد.»

او خطای انسانی را یک خطای طبیعی دانست و در این باره گفت: «در این زمینه شرکت‌ها باید به بلوغی برسند که بتوانند فرایندهای امنیتی را اجرا کنند. به طور مثال اگر تغییری در سامانه می‌دهیم یک نفر دیگر همان را تأیید کند و بعد آن را اجرا کنیم که در بسیاری از موارد این موضوع رخ نمی‌دهد. این موضوع به طور ناخودآگاه باعث ایجاد مشکلاتی می‌شود. ما امیدواریم که بتوانیم این اتفاقات را کمتر کنیم.»


تغییر رویه‌های قانونی در خصوص امنیت


امنیت سایبری هنوز یک حوزه نسبتاً جدید است که باید خود را به‌صورت پویا با تغییرات محیط رگولاتوری نوپا و توسعه فناوری‌های جدید تطبیق دهد. حامد حدادی، بنیانگذار کوانت‌کن درخصوص تغییر رویه‌های قانونی برای توسعه امنیت، گفت: «همه سیستم‌ها باید پذیرند که هک شدن دور از انتظار نیست و باید به این فکر کنند که بعد از هک چه می‌شود؟ مثلاً اگر سایت کارگزاری هک شود چه اتفاقی قرار است بیفتد؟ آیا پولی از حساب مشتری جابه‌جا خواهد شد یا سهمی به اشتباه خریدوفروش می‌شود؟ و در نهایت کارگزاری باید این اختیار را به کاربران بدهد که بتوانند سطح امنیت ورود به حساب خود را تعیین کنند. اکنون در اکسچنج‌های خارجی اگر فردی بخواهد گردش زیادی داشته باشد، باید سطحی از احراز هویت و سطح امنیت ورود مانند احراز هویت دو عاملی را برای ورود به سامانه معاملات فعال کند. اگر کاربر این کار را انجام ندهد، ریسک و مخاطرات آن را هم باید بپذیرد.»

حامد حدادی، بنیانگذار کوانت‌کن

حدادی توضیح داد که موضوع مورد هک قرار گرفتن اطلاعات ممکن است در همه جای دنیا اتفاق بیفتد.‌ اما مساله اصلی در کشور ما ساختاری است که مرکز مکنای سازمان بورس دارد. به این صورت که این مرکز پس از پاس شدن حداقلی از مبانی امنیت سامانه نرم‌افزاری، مجوز انتشار می‌دهد. حالا وقتی سامانه کارگزاری مورد نفوذ قرار می‌گیرد، آن کارگزاری می‌گوید مشکل من نیستم، مشکل ضعف پیش نیازهای امنیت سازمان بورس است.

او با بیان اینکه رویه‌های قانونی در مرکز مکنا مانند دیگر مراکز مشابه در کشورهای دیگر، به سرعت قدیمی می‌شود، توضیح داد: «بعید می‌دانم که الزامات قانونی مرکز مکنا در چهار سال گذشته تغییر محسوسی کرده باشد. در نتیجه این ساختار که سازمان بورس مجوزی به سامانه‌های نرم‌افزاری کارگزاری بدهد و از نظر فنی آن را تأیید کند تا کارگزاری‌ها بر حسب آن کاری را انجام دهند، اشتباه است زیرا تکنولوژی با سرعت زیادی به‌روزرسانی می‌شود و ضعف‌های جدیدی کشف و مسائل قبلی برطرف می‌شوند و قانون نمی‌تواند به این جزئیات بپردازد و نباید هم بپردازد. خواهیم دید که در آینده هم این مسائل دوباره تکرار می‌شود.»

از نظر حدادی کل مساله باید این باشد که توسعه‌دهنده نرم‌افزار امنیت سامانه خود را مدیریت کند و در مقابل آن هم پاسخگو باشد و اگر هم نتوانست به درستی تأمین امنیت کند و این ضعف باعث شد زیانی رخ دهد، باید ضرر و زیان آن را جبران کند. این ضرر و زیان ممکن است از جنس لو رفتن اطلاعات محرمانه مشتریان باشد یا از جنس معامله اشتباه.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.