بررسی وضعیت امنیت صنعت بانکداری کشور در گفت‌وگو با پنج فعال این حوزه / امنیت در بوته نقد و محک

نویسنده: راه پرداخت در تاریخ 3 خرداد سال 1401 ساعت 11:31 1

عصر تراکنش ۵۷؛ ابوالفضل رجبی / امنیت یکی از مهم‌ترین کلیدواژه‌های این روزهای صنعت بانکداری در دنیاست. با توسعه ابزارهای فناورانه در صنعت بانکی،‌ امنیت در بانک‌ها به مسئله‌ای حیاتی تبدیل شده است. همچنین ‌با شیوع ویروس کرونا و با توجه به رویکرد تحول دیجیتال در حوزه بانکداری و پرداخت، ضرورت توسعه سامانه‌های اطلاعاتی متنوع هر روز بیشتر می‌شود که بدون وجود برنامه صحیح و مدیریت‌شده تحول دیجیتال، سطح آسیب‌پذیری در حوزه‌های مختلف ممکن است افزایش یابد. در نتیجه لزوم توجه به مقوله امنیت در این صنعت روزبه‌روز بیشتر می‌شود.

در صنعت بانکداری ایران اگرچه در این سال‌ها تلاش شده که سطح امنیت مطلوبی در پیوند با تجربه کاربری مناسب رقم بخورد، اما بنا به گفته کارشناسان امنیت، همچنان راه طولانی در پیش داریم تا بتوانیم به استانداردهای جهانی حوزه امنیت نزدیک شویم. در ادامه برای آنکه وضعیت امنیت صنعت بانکداری کشور را روشن‌تر و شفاف‌تر سازیم، با روح‌الله محمدخانی، مدیر امور امنیت و تداوم کسب‌وکار داتین؛ رضا اکبری شمیرانی، مدیر اداره کل امنیت اطلاعات بانک ملت؛ مجید جعفریان، رئیس اداره کل مدیریت عملیات بانکی بانک ملی ایران؛ میثم نماینده، مدیر امنیت شرکت بهسازان ملت و حمیدرضا رئیسی‌فرد، مدیر مهندسی فروش توسن به گفت‌وگو پرداخته‌ایم.

هیچ‌چیز نافی امنیت نیست

روح‌الله محمدخانی، مدیر امور امنیت و تداوم کسب‌وکار داتین معتقد است ما هنوز در صنعت بانکداری داستان موفقیت در وضعیت مطلوب امنیت را تعریف نکرده‌ایم. او در این رابطه می‌گوید: «اگر وضع مطلوب امنیت را به‌درستی تعریف کنیم، مسیر حرکت به سمت وضع مطلوب مشخص می‌شود. برای رسیدن به طرح کلی این داستان، یکسری چارچوب وجود دارد. وضعیت مطلوب حوزه امنیت شامل هشت حوزه دانشی می‌شود که تقریباً در تمام چارچوب‌ها مشترک است. این موارد عبارت‌اند از: حاکمیت سیستمی امنیت و مدیریت مخاطرات امنیتی، مدیریت امنیت دارایی‌ها، معماری امنیتی و اصول مهندسی امنیت،‌ مدیریت امنیت شبکه و ارتباطات،‌ مدیریت هویت و سطوح دسترسی،‌ اجرای ساختارمند انواع آزمون‌های امنیتی،‌ مدیریت عملیات امنیت و مدیریت امن چرخه توسعه محصولات.»

محمدخانی صحبت‌هایش را این‌گونه ادامه می‌دهد: «هر بانک بنا به سطح بلوغ خود و بلوغ صنعت، به بعضی از این جنبه‌ها بیشتر یا کمتر می‌پردازد. پیش‌نیاز ورود به این هشت حوزه دانشی، رسیدن به داستان صحیح موفقیت در امنیت برای هر صنعت یا برای هر بانک به‌عنوان عضوی از صنعت مالی است. وضعیت مطلوب امنیت در ابتدا اساساً یک وضعیت ذهنی و توصیفی است. در واقع همواره عامل محرک تغییر در هر زمینه‌ای، نیازهای برآورده‌نشده هستند. در صنعت بانکداری نیز باید داستان موفقیت هر حوزه، از جمله امنیت را تعریف کنیم که مبتنی بر نیازهای اصلی صنعت در این زمینه باشند. این کار تابه‌حال به معنای واقعی انجام نشده و حتی حوزه‌های متولی امنیت در کشور نیز آن را به انجام نرسانده‌اند. پس تعریف داستان وضعیت مطلوب امنیت، ضروری به نظر می‌رسد.»

او در ادامه به آسیب‌شناسی وضعیت امنیت صنعت بانکداری کشور و رویکرد تدافعی می‌پردازد و می‌گوید: «اولین چیزی که هر کسی را به سمت تغییر هدایت می‌کند، دغدغه و درد است. در ادبیات مدیریت تغییر، دغدغه را sense of urgency می‌خوانند. وقتی حس اضطرار در یک صنعت شکل نگیرد، به سمت هیچ مدل مدیریت تغییر و تغییر ساخت‌یافته حرکت نمی‌کند. وقتی امور روزمره می‌گذرد، مدیر به چه دلیل باید هزینه‌ای برای بلوغ بپردازد؟ این تحلیل برای مدیری که هنوز درد را احساس نکرده، منطقی است. به اعتقاد من در دو سال گذشته و به‌خصوص یک سال گذشته، به خاطر حملات سایبری که در کشور رخ داد و سایه سنگین فضای امنیتی بر دنیای دیجیتال، این دردها ملموس‌تر شده‌اند. برای نهادهای قانون‌گذار و حاکمیتی، نهادهای امنیتی، صاحبان صنایع و به‌خصوص صنعت بانکداری، مسئله امنیت به یک دغدغه جدی تبدیل شده است. البته هنوز به امنیت بیشتر از بُعد تدافعی نگاه می‌کنند و از وجه تهاجمی امنیت غافل هستند. در حالی که احاطه و تسلط بر این حوزه در کشور می‌تواند امنیت تدافعی را به‌مراتب تقویت کند.»

محمدخانی در انتها در پاسخ به در تضاد بودن نوآوری با امنیت می‌گوید: «به نظر من هیچ‌چیز نافی امنیت نیست؛ هیچ‌چیز. اساساً امنیت خودش بر پایه‌های نوآوری رشد می‌کند و بلوغ آن با نوآوری رقم می‌خورد. تمام پیشرفت‌هایی که در زندگی بشر اتفاق افتاده، مبتنی بر نوآوری هستند. اگر کسی بخواهد نوآوری را در تناقض با امنیت بداند، باید از او بخواهیم که تعریف این دو واژه را روشن کند. همان‌طور که از ابتدا گفتم، داستان و تعریفی که از امنیت مطلوب می‌آوریم، می‌تواند ما را به اشتباه بیندازد. وقتی تعریف را به جای پایه‌های نیاز و اصول، بر ریل راهبردها سوار می‌کنیم، خیلی چیزها با این تعریف مغشوش در تعارض قرار می‌گیرند؛ نوآوری‌های فناورانه نیز از همین جمله‌اند. وقتی سهولت دسترسی مردم به فناوری به خاطر نوآوری‌های فناوری و شبکه افزایش می‌یابد، از یک سو سطح امنیت و از طرفی دسترسی حمله‌کنندگان بالا می‌رود. شاید در نگاه اول این گزاره غلط به ذهن برسد که نوآوری در تضاد با امنیت است، ولی این خطایی بزرگ است. هیچ‌چیز با امنیت در تعارض نیست.»

عقب‌ماندن بانک‌های ایرانی به لحاظ زیرساخت‌ها و فرایندهای ریسک از استانداردهای جهانی

رضا اکبری شمیرانی، مدیر اداره کل امنیت اطلاعات بانک ملت، در ابتدا در ترسیم وضعیت مطلوب امنیت در صنعت بانکداری به چند شاخصه و رویکرد اصلی اشاره می‌کند. او معتقد است توجه به این شاخصه‌ها می‌تواند وضعیت مطلوب امنیت در صنعت بانکداری کشور را رقم بزند.

او به‌ترتیب از این شاخصه‌ها نام می‌برد: «بهبود وضعیت امنیت فیزیکی – محیطی و مقاوم‌سازی مراکز داده و شعب بانک‌ها، ایجاد و پیاده‌سازی طرح‌های تداوم کسب‌وکار (مخصوصاً در بخش پشتیبان‌گیری و بازیابی سرویس)، تقویت زیرساخت‌ها و چابک‌سازی فرایند مدیریت رخدادهای امنیتی، پوشش حداکثری فرایندهای مدیریت دارایی و مدیریت پیکربندی به همراه سرویس کاتالوگ، بازنگری در فرایند مدیریت ریسک پروژه‌های فناوری اطلاعات با رویکرد مخاطرات عدم انجام، حرکت بانک به سمت فرایندمحوری در حوزه امنیت از طریق پیاده‌سازی فرایندهای عملیات امنیت مبتنی بر چارچوب‌های معتبر، آموزش و آگاهی‌رسانی در حوزه‌های امنیت در کلیه سطوح حاکمیتی، مدیریتی و اجرایی، سنجش مستمر دانش امنیتی کارکنان و اثربخشی آموزش‌های امنیتی ارائه‌شده، رفع چالش‌ها در مسیر پیاده‌سازی سیاست‌نامه‌های امنیتی، ممیزی دقیق سیاست‌نامه‌های امنیتی داخل بانک، گسترش پوشش چارچوب‌ها و استانداردهای امنیت فناوری اطلاعات که باعث افزایش انطباق با الزامات قانونی و بالادستی می‌شود و همچنین انضمام الزامات بالادستی در سیاست‌نامه‌های امنیتی داخلی از جمله شاخصه‌هایی هستند که می‌توانند ما را در نیل به اهداف امنیتی برای رسیدن به وضعیت مطلوب پشتیبانی کنند.»

او در ادامه به ضعف‌های ساختاری، نظارتی و فنی در حوزه امنیت در کشور می‌پردازد و آسیب‌های این حوزه را برمی‌شمارد: «عدم وجود ساختار یکسان بابت متولی امنیت در صنعت بانکداری، کمبود متخصصان متعهد در این بخش و حفظ و نگه‌داشت سرمایه انسانی گران‌قیمت آن، لزوم ارتقای سطح آگاهی جامعه از الزامات عمومی امنیت اطلاعات، تحریم‌های بین‌المللی در تأمین تجهیزات امنیتی، به‌روزرسانی سیستم‌ها و استفاده از خدمات جهانی امنیت، عدم تخصیص بودجه مشخص جهت انجام امور امنیتی در سازمان‌ها، تعدد مراجع امنیتی – نظارتی و عدم یکپارچگی در سیاست‌های امنیتی ابلاغ‌شده، کاستی‌های فنی در محصولات امنیتی بومی، عدم استقرار کامل نظام‌های امن پرداخت (PCI DSS) و نبود بستر امن پرداخت‌های بانکی (مانند EMV)، عدم وجود نهاد پیگیری‌کننده و پاسخگوی برخط شبانه‌روزی برای وقایع امنیتی، فقدان قوانین شفاف، مؤثر و کارآمد در حوزه جرائم سایبری و افشای اطلاعات و عدم وجود دانش فنی کافی در ساختار قضایی کشور جهت رسیدگی به پرونده‌های جرائم سایبری؛ جملگی از آسیب‌های وضعیت فعلی در امنیت صنعت بانکداری کشور هستند.»

رضا اکبری شمیرانی، مدیر اداره کل امنیت اطلاعات بانک ملت

شمیرانی در ادامه به چالش‌های صنعت بانکداری در زمینه امنیت اشاره می‌کند و می‌گوید: «طی تحقیق و گزارشی که توسط مؤسسه جهانی مک‌کنزی در چند سال گذشته منتشر شد، این گزارش به چهار چالش جدی صنعت بانکداری ایران توجه داشته که یک از آن چهار چالش عمده «عقب‌ماندن بانک‌های ایرانی به لحاظ زیرساخت‌ها و فرایندهای ریسک از استانداردهای جهانی» بوده است. جدایی نسبی سیستم بانکی باعث شده بانک‌ها نتوانند از آخرین روش‌های مدیریت ریسک و حاکمیت استفاده کنند و از نظر فناوری‌های پیشرفته بانکی نیز عقب بمانند؛ بنابراین رسیدگی سریع به این وضعیت برای ارتباط مجدد با سیستم‌های پرداخت جهانی و انجام تراکنش‌های بین‌المللی ضروری است. البته یکی از راهکارهای برون‌رفت از این چالش را «استفاده از سیستم‌های فناوری اطلاعات جدید و دیجیتالی‌کردن تمامی فرایندها جهت دستیابی به استانداردهای گزارش‌دهی مالی و استانداردهای حسابداری بین‌المللی» برشمرده که نیازمند نظارت امنیتی بیشتری خواهد بود و این نظارت نیز نیازمند ابزارهای حرفه‌ای است.»

او در ادامه می‌افزاید: «بانک‌های ایرانی نسبت به سایر بخش‌ها در حوزه ICT بیشتر هزینه می‌کنند و قاعدتاً باید هزینه بیشتری برای تأمین امنیت بپردازند، حال آنکه خوب می‌دانیم این نسبت به لحاظ رویکردهای مدیریتی به‌درستی رعایت نمی‌شود و بی‌شک وضعیت مطلوبی در حوزه امنیت نداریم. وجود دارایی‌های متعدد نرم‌افزاری و داده‌ای حساس در صنایع مالی و بانکی که آسیب‌پذیری‌های بیشتری را به‌دنبال خواهد داشت، اولویت و اهمیت ملاحظات امنیتی را بیش از پیش در این صنعت پررنگ می‌کند.»

شمیرانی در توضیح اینکه نوآوری با امنیت در تضاد یا همگام است، به خط سیر امنیت سایبری می‌پردازد و می‌گوید: «با نگاه به تاریخچه امنیت سایبری به نکته جالبی می‌رسیم؛ اینکه بسیاری از چالش‌های ایجادشده در این حوزه و همچنین راه‌حل ارائه‌شده، با ایده‌های نوآورانه به وجود آمده و حل شده‌اند. به‌طور مثال اولین ویروس رایانه‌ای و در مقابل آن آنتی‌ویروس رایانه‌ای و استفاده از بستر رمزنگار کلید عمومی ناشی از همین ایده‌های نوآورانه بوده و ظهور پیدا کرده‌اند. مؤسسات مالی برتر متوجه‌اند که ارزش امنیت سایبری، خود ایجادکننده نوآوری است. بر این اساس ارائه‌های دیجیتال ملزم به دستیابی و حفظ اعتماد مشتری است که امنیت روابط با مشتری را به وجه تمایزی بلندمدت برای مؤسسات مالی تبدیل می‌کند. از طرفی ادغام امنیت سایبری و دیجیتال، نوآوری و رشد را سرعت می‌بخشد. علاوه بر این، زمانی که سازمان‌های مالی از ابتدا امنیت سایبری را در تیم‌های دیجیتال خود ادغام می‌کنند، می‌توانند تأثیرات را افزایش دهند. هنگامی که سازمان‌ها به‌تدریج به این دیدگاه می‌رسند که امنیت سایبری باعث رشد و ارتقای نوآوری می‌شود و صرفاً برای جلوگیری از نقض‌ها نیستند، مؤسسات مالی ارزش بیشتری تولید خواهند کرد. همچنین با امنیت سایبری و دیجیتال تلفیقی، شرکت‌ها بهتر می‌توانند از خدمات و محصولات خود در مقابل تهدیدات اینترنتی محافظت کنند و به ارائه‌دهنده‌ای قابل اعتماد مشتریان برای خدمات دیجیتال تبدیل خواهند شد (یک نقش فزاینده حیاتی که رقابت حال حاضر در زمینه فناوری را هدف گرفته است) که در استانداردهایی مانند CISM به آن به‌درستی اشاره شده است.»

او در خاتمه در پاسخ به اقدامات مؤسسات مالی در ترکیب میان نوآوری و امنیت می‌گوید: «مؤسسات مالی در ابتدا باید این نکته را بررسی کنند که آیا بین امنیت سایبری و دیجیتال ارتباط قطع شده است و سپس این عملکرد را با یکدیگر پیوند دهند تا بتوانند محصولات دیجیتال امن‌تری را که مشتری‌محور و خلاقانه‌اند، به وجود آورند.»

امنیت همیشه یک مفهوم نسبی و کوانتومی است

مجید جعفریان، رئیس اداره کل مدیریت عملیات بانکی بانک ملی ایران، در ابتدا درباره نسبی‌بودن مفهوم امنیت و نیز وضعیت مطلوب در سطح امنیت اطلاعات در سازمان‌ها می‌گوید: «امنیت همیشه یک مفهوم نسبی و کوانتومی بوده است. جالب است بدانید در سال گذشته ۱۵ هزار آسیب‌پذیری طبقه‌بندی‌شده استخراج شده است؛ به عبارت دیگر به‌طور متوسط روزانه ۵۰ آسیب‌پذیری. این رقم که هر ساله افزایش می‌یابد، تمام سامانه‌های امنیتی را دربر گرفته و سطح مطلوب امنیت را دچار تغییر می‌کند، اما امنیت مطلوب بانکی زمانی رخ می‌دهد که اعتماد در سطح تمام ذی‌نفعان به وجود آورده و همزمان تجربه کاربری را به‌دلیل اجرای فرایندهای امنیت اطلاعات دچار مشکل نسازد. به دیگر سخن اگر سطح امنیت بسیار بالا باشد، اما در عین حال تجربه‌ کاربری با مشکلات فراوان مواجه شود، ما به نتیجه‌ مطلوب دست نیافته‌ایم. در نتیجه توجه به تعادل میان تجربه کاربری و امنیت بسیار حائز اهمیت است.»

او در ادامه درباره توسعه بانکداری الکترونیکی و فرهنگ‌سازی‌ امنیتی در کشور می‌افزاید: «در کشور ما در سال‌های اخیر فعالیت‌های زیادی در حوزه امنیت صورت گرفته است. این فعالیت‌ها به‌ویژه در حوزه‌ بانکداری الکترونیک بسیار مشهود و قابل پیگیری بوده که زمینه‌ فرهنگ‌سازی در رابطه با موضوعات مرتبط با امنیت اطلاعات در سطح کشور را فراهم ساخته است.»

جعفریان در ترسیم وضعیت امنیت بانکی کنونی و همچنین چگونگی شکل‌گیری چرخه امنیت در کشور می‌گوید: «وضعیت امروز ما می‌تواند تفاوت زیادی با وضعیت فردا داشته باشد. ممکن است بانکی تا امروز مورد حملات سایبری قرار نگرفته باشد، اما فرداروزی به‌دلیل ضعف در ساختار یا ابزار امنیتی با مشکل مواجه شود؛ بنابراین وضعیت مطلوب هیچ‌گاه پایدار نیست و بسیار متغیر است. در اینجا مهم‌ترین نکته کنترل و ماندگاری امنیت است، نه چیز دیگری. ما نیاز داریم برای امنیت، یک برنامه تدوین کنیم؛ چراکه با این برنامه، چرخه امنیت به گردش درخواهد آمد. ما باید به سمت وضعیت مطلوب حرکت کنیم و برای این مهم باید با برنامه مشخصی پیش برویم.»

او در ادامه به ریسک‌های سایبری و بهبود تجربه کاربری می‌پردازد و می‌گوید: «ریسک سایبری در تمام شاخصه‌ها و طرح‌های راهبردی جزء سه گزینه اولویت‌دار است. نگاه کلی این است که با ارائه ابزارها و خدمات جدید بتوانیم ریسک‌های آنها را نیز از نظر امنیتی کنترل کنیم. زمانی که ما به سوی خلق ارزش‌های جدید پیش می‌رویم، باید به ریسک‌های فناورانه – امنیتی نیز توجه کنیم تا تجربه کاربری را بهبود ببخشیم.»

جعفریان در پایان درباره ارتباط میان نوآوری و امنیت می‌گوید: «قطعاً از نوآوری گریزی نیست. صنعت بانکداری امروز نیز بر اساس نوآوری پیش می‌رود. این نوآوری باید بتواند زندگی مردم را بهبود بخشد و فرایندها را ساده کند. در عین حال باید به این نکته توجه داشت که امنیت هرگز نافی نوآوری نخواهد بود.»

هنوز قوی سیاه امنیت کشف نشده است

میثم نماینده، مشاور امنیت شرکت بهسازان ملت، مسئله امنیت را مهم‌ترین دغدغه اصلی هر ساختاری با زیرساخت‌های حیاتی می‌داند. او معتقد است که هنوز قوی سیاه امنیت کشف نشده و اگر این اتفاق رخ دهد، فاجعه‌ای رقم خواهد خورد. نماینده همچنین در رابطه با وضعیت مطلوب امنیت در بانک‌ها می‌گوید: «امنیت سایبری در اصل، قرار دادن اعتماد مشتری در مرکز رقابت است. در حال حاضر حوزه امنیت اطلاعات نه‌تنها در زیرساخت‌های بانکی، بلکه در اپراتورهای تلفن همراه، خط انتقال نفت و گاز و بیمارستان و حتی سامانه کنترل صنعتی پالایشگاه، به دغدغه اصلی دولت‌ها و کشورهای گوناگون تبدیل شده است. به نظرم وضعیت مطلوبی در زمینه امنیت اطلاعات وجود ندارد و زمانی که تصمیم‌گیران یک مجموعه به این نتیجه برسند که در زمینه امنیت اطلاعات به نقطه مطلوب رسیده‌اند، باید آماده رویارویی با قوی سیاه امنیت باشند. بانک‌ها در ایران باید حداقل با معیارهای مقررات عمومی حفاظت از داده‌ها یا همانGDPR انطباق داشته باشند و سرمایه‌گذاری در بهبود مستمر امنیت اطلاعات را سرلوحه عملکرد روزانه خود قرار دهند. توجه داشته باشید که ریسک سایبری بر اساس قانون «مور» رشد می‌کند؛ بنابراین راهکارهای فناوری اطلاعات لزوماً نمی‌توانند پابه‌پای تهدیدات سایبری تکامل پیدا کنند و متولیان امر باید بدانند که صبر و حوصله در مواجهه با تهدیدات سایبری مهم‌ترین عامل در باز کردن چتر فرهنگ امنیت در هر ساختاری با زیرساخت حیاتی است.»

او در ادامه به واگرا بودن قوانین امنیت سایبری و حفظ حریم خصوصی مشتریان اشاره می‌کند و می‌گوید: «در حال حاضر قوانین امنیت سایبری و حفظ حریم خصوصی در یک حالت واگرایی قرار دارند و نهادهای قانون‌گذار باید حداکثر تلاش خود را به کار بگیرند تا این دو شاخصه به یکدیگر نزدیک شوند، اما متأسفانه این فقدان در وضعیت فعلی به‌شدت حس می‌شود و این امر یکی از مخاطرات بانک‌هاست. نهادهای قانون‌گذار باید به سمت ساختارهای جدید بانکداری حرکت کنند؛ هرچند در ایران عدم اشتیاق برای استقرار مدل‌های جدید حاکمیتی کاملاً مشهود است. حرکت ما به سمت‌وسوی هوش مصنوعی در شناسایی تهدیدات داخلی و خارجی یکی دیگر از ابزارهای مهم در رسیدن به وضعیت مطلوب است. در آینده هوش مصنوعی می‌تواند بسیار سریع‌تر از مدیران امنیت عمل کند. البته به وجود آمدن این پارادایم در کشور منوط به تغییر رویکرد به مسئله امنیت و فناوری است.»

نماینده همچنین به تغییر رویکردها و مدل‌های کنونی به امنیت و توسعه زیرساخت‌ها در راستای توسعه وب ۳.۰ و بلاکچین‌ها می‌پردازد و می‌گوید: «پیش‌بینی من این است که تا دهه آینده، حوزه امنیت از مدل فعلی خارج می‌شود و ما باید به فکر یک چاره باشیم تا چالش‌ها و پیچیدگی‌ها را مدیریت کنیم. از طرفی گسترش سریع مفاهیم پایه‌ای بلاکچین و حتی وب ۳.۰ این نوید را می‌دهد که این تغییر مدل اجتناب‌ناپذیر است، اما اینکه برای این تغییر چقدر آمادگی داریم، خود داستان جداگانه‎‌ای است. با این تغییرات، حملات سایبری هم که به جنگاوری زیر آستانه معروف شده‌اند، به شکل روزانه برای اختلال در سیستم بانک یا سرقت از آن، پیشرفته‌تر خواهند شد. این مسئله می‌تواند امنیت بانک‌ها را با چالش‌های جدی روبه‌رو کند. ما باید به بلوغ بهره‌برداری از ابزارهای فناوری – امنیتی نیز برسیم تا بتوانیم در مقابله با تهدیدات واکنش مناسب نشان دهیم، البته برای رسیدن به این بلوغ راه طولانی در پیش داریم.»

او در انتها درباره نگاه به نوآوری و تضاد رویکردی آن با امنیت می‌گوید: «مفاهیم نوآوری در ایران با سایر کشورها بسیار متفاوت است. نوآوری توانایی ساختارسازی و شبکه‌سازی و متمرکزسازی و افزایش مقیاس عملیات را در پی دارد، اما این نوآوری می‌تواند با یک حمله تخریب شود. نوآوری هم می‌تواند ما را ضعیف کند و هم می‌تواند به عملکرد ما قوت ببخشد. ما نیازمند نظریه‌پردازانی در کشور هستیم که در حوزه بهداشت سایبری رویکردهایی را مشخص کنند تا بتوانیم از نوآوری استفاده بهینه کنیم. متأسفانه نوآوری با تولید ابزارها و دانش نسبی مترادف شده که به کار بهره‌برداری اقتصادی صرف می‌خورند. این رویه در مواجهه با نوآوری با شکست مواجه خواهد شد و امنیت را نیز مخدوش خواهد کرد.»

امنیت جزء اساسی‌ترین تعاریف بانک است

حمیدرضا رئیسی‌فرد، مدیر مهندسی فروش توسن، در ابتدا درباره شاخصه امنیت در بانک‌ها و پیچیدگی‌های الزام‌آور توسعه الکترونیکی بانک‌ها به موازات توسعه سطح امنیتی می‌گوید: «موضوع امنیت جزء اساسی‌ترین تعاریف بانک است و از ابتدا تاکنون جزء تعریف بانک بوده و یکی از دلایل به وجود آمدن بانک‌ها امنیت است؛ بنابراین بانک‌ها مجبورند سطح بالایی از امنیت را برای ساختار سیستمی خود لحاظ کنند. امروزه به‌دلیل اینکه بانک‌ها به سمت دیجیتالی‌شدن حرکت می‌کنند، موضوع امنیت نیز بسیار حائز اهمیت شده و پیچیدگی‌های خاص خود را یافته است. به همین جهت باید امنیت را در بالاترین سطوح و همزمان در حد استفاده آسان کاربر عام ایجاد کنند؛ این رویکردی است که به‌نوعی در سراسر دنیا پذیرفته شده است. در این صنعت بانک‌ها شاخص امنیت هستند و سرویس‌های امنیتی برخی از بانک‌ها به‌منظور استفاده دیگران به فروش نیز می‌رسد.»

او در ادامه به ضرورت پیوستن ساختار و شبکه امنیت بانکی کشور به شبکه امنیت جهانی و یکسان‌سازی استانداردهای امنیت با وضعیت جهانی می‌پردازد و می‌گوید: «پیوستن به استانداردهای امنیتی دنیا باید به‌عنوان تکلیف و خط‌مشی بانک‌های ما مدنظر قرار بگیرد. ما در کشور برای حفظ امنیت، به‌خصوص در سال‌های اخیر و با توجه به اتفاقات و تهدیداتی که صورت گرفته، تلاش‌های زیادی کرده‌ایم. در این میان بانک مرکزی تلاش قابل تقدیری برای افزایش سطح امنیت بانک‌ها داشته است، اما موضوع اینجاست که ما باید سعی کنیم با پیوستن به شبکه‌های جهانی مسیر امنیتی را استانداردتر و کامل‌تر کنیم. به دیگر سخن، نباید منتظر بمانیم تا حمله‌ای رخ دهد تا راه‌حلی برای آن پیدا کنیم؛ بلکه باید بدانیم که این تجربه‌ها را دیگر کشورها داشته‌اند و پروتکل‌های مشخصی برای مقابله با آنها تعریف کرده‌اند. بانکداری دیجیتال ابداع ما نیست و نمی‌توان با راهکارهای بدون پشتوانه مشخص درباره این مسائل تصمیم گرفت.»

رئیسی‌فرد همچنین می‌افزاید: «در سال آینده قضیه نئوبانک‌ها و بانکداری دیجیتال و همچنین دفاتر کل توزیع‌شده و کیف پول‌ها جزء کلمات کلیدی خواهند بود. هر کدام از این موارد نیازمند یک لایه امنیتی مشخص هستند و برای پیشبرد اهداف بانک‌ها این سطح امنیتی باید افزایش محوری پیدا کند.»

او در خاتمه در پاسخ به تضاد نوآوری با امنیت و چالش‌های میان این دو محور اساسی صنعت بانکداری می‌گوید: «نوآوری را نافی امنیت نمی‌دانم. نوآوری یک نیاز مهم برای بلوغ هر سیستمی است؛ اگرچه مخاطرات خودش را نیز دارد. به نظر من با وجود اینکه این‌طور به نظر می‌رسد که راهکارهای نوآورانه، به ایجاد کانال‌های جدید ارائه سرویس (جدید به لحاظ نوع ارتباط یا نحوه ارائه خدمات یا …) منجر می‌شوند و در نتیجه ریسک‌های امنیتی را با خود به همراه خواهند آورد، اما با رعایت قواعد و استانداردهای امنیتی می‌توان ریسک‌ها را به نحوی مدیریت کرد که عملاً نوآوری، به هیچ‌وجه «نافی» امنیت نباشد.»

منبع عصر تراکنش