راه پرداخت
راه پرداخت؛ رسانه فناوری‌های مالی ایران

مدیر امنیت فناوری اطلاعات رادین در گفت‌وگو با راه پرداخت: راهکارهای امنیت اطلاعات مجموعه‌های بانکی ایران با راهکارهای استاندارد جهانی فاصله دارد

موضوع امنیت فناوری اطلاعات و داده‌ها این روزها بیش از هر زمان دیگری اهمیت ویژه‌ای پیدا کرده است. به‌خصوص برای مجموعه‌های بانکی که اطلاعات گران‌بهایی از مشتریان خود در اختیار دارند که شاید کمتر نهاد یا سازمانی چنین اطلاعاتی در اختیار داشته باشد. از این رو امن نگه‌داشتن این اطلاعات بسیار حائز اهمیت است، ولی مجموعه‌های بانکی کشور با وجود همه تلاش‌هایی که داشتند، همچنان با چالش حفظ امنیت مواجه هستند. 


توجه مجموعه‌های بانکی به موضوع امنیت فناوری اطلاعات


خلیل طاهری، مدیر امنیت فناوری اطلاعات رادین، در گفت‌وگویی با راه پرداخت به موضوع امنیت اطلاعات کاربران در شبکه بانکی کشور پرداخت و گفت: «توجه مجموعه‌های بانکی به موضوع حفاظت از اطلاعات کاربران، نسبت به سال‌های گذشته بیشتر شده است.»

او با بیان اینکه منشاء این توجه، الزامات بانک مرکزی و متولیان حوزه بانکی است، اظهار کرد: «قوانین مدون بانک مرکزی در حوزه خدمات بانکی و الزامات شاپرک در حوزه خدمات کارتی، ارزیابی‌های دوره‌ای شرکت شاپرک و اقدامات مشابه بانک‌ها از عوامل مؤثری است که شبکه بانکی را به این سمت سوق داده است.»

او در ادامه با اشاره به مسئولیت مجموعه‌های بانکی نسبت به حفظ امنیت اطلاعات سپرده‌های مردم گفت: «مجموعه‌های بانکی و پرداخت نسبت به تراکنش‌های مالی حساس هستند و اگر به آنها حمله سایبری، شود ممکن است دچار خسارت قابل توجهی شوند. در این صورت مشخصاً مجموعه‌های بانکی و پرداخت، سالانه هزینه‌های زیادی را برای کسب مجدد اعتماد مردم و ترمیم اعتبار ازدست‌رفته‌شان بعد از حملات عمدی یا سهوی و نفوذهای داخلی یا خارجی می‌پردازند.»


حفره‌های امنیتی سامانه‌ها، شاهراه نفوذ به اطلاعات است


طاهری با اشاره به اطلاعات لورفته کاربران در سال‌های گذشته گفت: «اطلاع‌رسانی فقط برای رفع نگرانی مشتریان به ‌واسطه پیامک، مصاحبه و… از اولین  اقدامات پرزحمت و گران‌قیمت مجموعه‌های بانکی بعد از وقوع حملات است. بر همین اساس رفته‌رفته این مجموعه‌ها دریافتند تهیه زیرساخت برای حفاظت از اطلاعات بسیار مقرون‌به‌صرفه‌تر از جبران خسارت است.»

طاهری در ادامه با اشاره به نحوه نفوذ به سامانه‌های مختلف گفت: «نفوذهای امنیتی ممکن است از طریق نرم‌افزار یا سخت‌افزار رخ دهد. البته عمده نفوذها نرم‌افزاری هستند. نرم‌افزارها دائماً و حتی در فواصل کوتاه به‌روزرسانی می‌شوند. بر همین اساس حمله‌کننده‌ها آسان‌تر به اختلال ارتباط بخش‌های مختلف یک نرم‌افزار دست پیدا می‌کنند. آنها به‌دنبال مشکلات موجود در نحوه برنامه‌نویسی سامانه‌های مختلف گشته و نهایتاً وقتی مشکلی پیش می‌آید، از طریق آن، نفوذ به سامانه‌ها انجام می‌گیرد. این مشکلات حفره‌های امنیتی نامیده می‌شود. البته باید این نکته را هم ذکر کرد که در مواردی هم ممکن است کارمندان مجموعه اطلاعات مشتریان را به ‌گونه‌ای فیزیکی سرقت کنند.»

او با تأکید بر اینکه عوامل برون‌سازمانی امنیت شبکه را تهدید می‌کنند، اضافه کرد: «اطلاعاتِ در اختیار کارکنان مجموعه‌های بانکی در محدوده وظایف آنهاست. به ‌عبارتی ‌دیگر کارکنان به تمام بخش‌های سیستم دسترسی ندارند و به‌ندرت اتفاق می‌افتد که کارکنان مرتکب چنین تخلفی شوند؛ زیرا به‌راحتی مشخص می‌شود چه فردی در چه زمانی وارد سیستم شده است. عمده خطراتی که امنیت فناوری اطلاعات را تهدید می‌کند از سمت افراد خارج از سازمان است. آنها حفره‌های امنیتی را شناسایی و از آن برای دستیابی به پایگاه داده مجموعه‌ها استفاده می‌کنند و در نهایت اطلاعات افراد را در سایت‌های غیرقانونی می‌فروشند.»


چرا سامانه‌های نرم‌افزاری به‌روزرسانی نشدند؟


طاهری با بیان اینکه «مسئله در وهله اول با عدم تمایل مجموعه‌های بانکی در جهت به‌روزرسانی تجهیزات سخت‌افزاری و سامانه‌های نرم‌افزاری و همسو شدن با استانداردهای جهانی مرتبط است»، گفت: «با وجود تمام محدودیت‌ها، اکنون سامانه‌های نرم‌افزاری به‌روزی که در کشور قابل ‌استفاده باشند، وجود دارد، اما به‌دلیل نبود دانش تخصصی برای استقرار یا نبود الزام و اولویت، مورد استفاده قرار نگرفته‌اند.»

طاهری بار دیگر بر مسئله امنیت تأکید کرد و گفت: «متأسفانه ظاهراً اکثر مجموعه‌های بانکی به راه‌حل پایگاه داده امن که سال‌هاست در تمام دنیا استفاده می‌شود، توجهی نشان نداده و طبعاً هر فردی که وارد سیستم می‌شود، می‌تواند به‌راحتی از داده‌ها بکاپ بگیرد. رمزنگاری پایگاه داده یا پایگاه داده امن، راه‌حل استانداردی است که از شفافیت اطلاعات در پایگاه داده جلوگیری می‌کند.»

مدیر واحد امنیت فناوری اطلاعات رادین در پایان صحبت‌هایش با اشاره به اهمیت پایدار امنیت فناوری اطلاعات اظهار کرد: «هر مجموعه‌ای که با اطلاعات و داده سروکار دارد؛ از مجموعه‌های بانکی گرفته تا کارگزاری‌ها، مراکز بهداشت و سلامت باید راه‌حل‌های نوین حوزه امنیت فناوری اطلاعات مانند پایگاه داده امن و امضای دیجیتال را در سطوح و لایه‌های مختلف سامانه‌ها پیاده‌سازی کرده و حافظ اطلاعات موجود باشند.»

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.