در اهمیت خشت اول

علیرضا ماهیار، فرهاد بهمنی، سیدمحمدرضا مصطفوی و محمدرضا غفوری از چالش‌های امنیتی بانک‌ها می‌گویند.

نویسنده: مینا حاجی در تاریخ 22 آذر سال 1401 ساعت 12:33 0

امروزه «اطلاعات» دارایی‌های یک سازمان محسوب می‌شوند و صیانت از آنها یک ضرورت است؛ ضرورتی که در صنعتی مانند مالی و به‌خصوص بانک‌ها اهمیتش چندین‌ برابر می‌شود. هر یک از بانک‌های کشور میلیون‌ها کاربر را تحت پوشش دارند؛ کاربرانی که می‌توان آنها را دارایی‌های بانک‌ها دانست و جلب اعتماد آنها از طریق حفظ اطلاعات و امنیت حساب‌های‌شان امری مهم برای بانک‌هاست. در واقع امنیت را می‌توان جزء لاینفک و شاید مهم‌ترین رکن ایجاد اعتماد در مشتریان بانک‌ها دانست. بانک‌های کشور نیز تا به‌ امروز مکانیسم‌هایی به کار گرفته‌اند تا اختلال جدی در روند تداوم کسب‌وکارشان ایجاد نشود، اما باید توجه داشت که این فعالیت‌ها برای تأمین امنیت کافی نیستند و امنیت به اقدامات مداوم نیاز دارد.

البته برای اجتناب از آسیب‌پذیری‌های پنهان، امنیت باید با فرایند توسعه عجین شود، نه اینکه بعداً ضمیمه شود. با این حال و با اینکه امنیت یکی از مهم‌ترین مسائل در صنعت بانکی است، بانک‌های کشور در این زمینه با چالش‌هایی روبه‌رو هستند؛ چالش‌هایی که بر اساس عوامل تأثیرگذار محیطی داخلی و خارجی، سطح بلوغ امنیتی، مدل کسب‌وکار، درجه ریسک‌پذیری سازمان و حتی بر اساس خصوصی یا دولتی‌بودن بانک‌ها، متفاوت و متغیر است. در گفت‌وگویی که با علیرضا ماهیار، معاون فناوری اطلاعات بانک ملی ایران؛ فرهاد بهمنی، عضو هیئت‌مدیره پست‌بانک؛ سیدمحمدرضا مصطفوی، مدیر اجرایی فناوری اطلاعات بانک قرض‌الحسنه رسالت و محمدرضا غفوری، کارشناس صنعت بانکی داشتیم، به مهم‌ترین چالش‌های بانک‌های کشور در حوزه امنیت اطلاعات پرداختیم.

جذب و نگهداشت نیروی متخصص؛ چالش جدی بانک‌ها

با توجه به صحبت‌های علیرضا ماهیار، معاون فناوری اطلاعات بانک ملی ایران، اگر کمی به عقب‌تر برگردیم، مهم‌ترین ویژگی یک بانک که آن را از سایر رقبایش متمایز می‌کرد، میزان امنیت بانک و سطح اعتماد مشتریان به بانک بود. قبلاً منظور از امنیت، میزان استحکام گاوصندوق‌ها و تعداد نگهبانان بانک بود، ولی اکنون این مفهوم تغییر کرده است. او در این‌باره بیشتر توضیح می‌دهد: «واقعیت این است که هنوز هم با وجود ایجاد تغییرات گسترده در ساختار بانک‌ها و خواسته‌های مشتریان، امنیت جزء لاینفک و شاید مهم‌ترین رکن ایجاد اعتماد در مشتریان بانک‌هاست. تنها تفاوت هم تغییر مدل امنیت از امنیت صرفاً فیزیکی به امنیت دیجیتالی است.

اما این دگردیسی باعث ایجاد پیچیدگی‌ها و تغییرات بسیاری در نگرش بانک‌ها به موضوع امنیت و منابع سخت‌افزاری، نرم‌افزاری و انسانی بانک‌ها شده است. نرخ رشد و پیشرفت فناوری در سال‌های اخیر هم برای افزایش بیش از پیش این پیچیدگی‌ها مزید بر علت شده است.»

ماهیار بر این عقیده است که چالش‌های فراوانی در حوزه تأمین امنیت سایبری در کشور وجود دارد که این چالش‌ها در صنعت پولی و بانکی کشور به‌دلیل حساسیت‌های فراوان موجود بسیار پررنگ‌تر است. او می‌گوید: «اگر بخواهیم عوامل ایجاد بانکی امن را تقسیم‌بندی کنیم، باید گفت سه بخش منابع انسانی، فناوری و فرایندها، مواردی هستند که در راه امن‌سازی باید به آنها توجه ویژه‌ای کرد.

شاید در حال حاضر و با توجه به شرایط کنونی کشور، مهم‌ترین و اصلی‌ترین چالش پیش رو برای واحدهای امنیت سایبری بانک، کمبود نیروهای متخصص در این حوزه باشد. به‌دلیل پرورش ندادن نیروهای دست‌به‌آچار حوزه امنیت در دانشگاه‌ها و همچنین مهاجرت گسترده نیروهایی که در این حوزه باتجربه هستند، ما با مشکل جدی در زمینه تأمین نیروی متخصص امنیت مواجه هستیم و در واقع حساسیت این حوزه هم به قدری بالاست که امکان پرورش متخصص از صفر، علاوه بر هزینه‌های گزاف برای سازمان و همچنین ریسک جدایی نیروها بعد از آموزش، ریسک‌های امنیتی فراوانی نیز برای بانک ایجاد می‌کند. موضوع دیگری که در بخش منابع انسانی وجود دارد، این است که با فرض وجود متخصص باتجربه، این نیروها بسیار گران‌قیمت هستند و در صورت دریافت پیشنهادهای بالاتر از سایر سازمان‌ها، نگهداری آنها در بانک سخت‌تر هم می‌شود.»

به گفته معاون فناوری اطلاعات بانک ملی ایران، چالش مهم دیگر در حوزه فناوری است. به‌دلیل قیمت بالای فناوری‌های امن‌سازی، چه در حوزه نرم‌افزاری و چه در حوزه سخت‌افزاری و نیز وجود تحریم‌هایی که کشور با آنها روبه‌روست، تأمین فناوری مناسب و به‌روز یک چالش اساسی و در عین حال خطرناک است. او با مثالی توضیح می‌دهد: «برای مثال فرایند خرید تجهیزات نوین حوزه امنیت، علاوه بر روال‌های طولانی اخذ مجوز و تأمین بودجه خصوصاً در بخش دولتی، به‌دلیل نیاز به دور زدن تحریم‌ها و طی فرایندهای مرتبط با گمرکات و واردات تجهیزات، گاه تا ۱۰ ماه ممکن است طول بکشد و این مورد وقتی پررنگ‌تر و خطرناک‌تر می‌شود که به این تجهیزات نیاز فوری داشته باشیم، آن هم در شرایطی که فعالیت و سرویس‌دهی بانک قابل ‌توقف نیست و تداوم کسب‌وکار امن، اولین و مهم‌ترین اصل در صنعت بانکی است.

ذکر این نکته هم ضروری است که در بیشتر مواقع تأمین بودجه‌های هنگفت جهت تأمین امنیت به‌دلیل ماهیت غیرقابل سنجش‌بودن خروجی‌های امن‌سازی و محدودیت‌های بودجه‌ای امری دشوار و در برخی موارد ناشدنی است. تدوین فرایندهای ایمن‌سازمانی و برون‌سازمانی و انطباق با استانداردها و دستورالعمل‌های نهادهای متعدد متولی امنیت در حوزه بانکی و جاری‌سازی آن در سازمان به‌عنوان فرهنگ ایمن سازمانی هم از مواردی است که شاید کمتر به آن توجه شود، ولی بسیار تأثیرگذار است.»

ماهیار در خصوص راهکارهای مرتفع‌سازی چالش‌هایی که به آنها اشاره کرد، به این نکته می‌پردازد که حل بخشی از این چالش‌ها در واقع فراتر از اختیارات حوزه بانکی کشور است و بیشتر مرتبط با موضوعات کلان و سیاست‌های بالادستی است. او می‌گوید: «اما این بدین معنا نیست که باید نشست و دست روی دست گذاشت و منتظر حل‌شدن موضوعات بود. واقعیت این است که با وجود محدودیت‌های فراوان، تا‌ به‌ امروز نظام بانکی کشور توانسته در حوزه تأمین امنیت سایبری موفق عمل کند و مکانیسم‌هایی را به کار گیرد که اختلال جدی در روند تداوم کسب‌وکار بانک‌ها ایجاد نشود.

اما این فعالیت‌ها کافی نیست و برای رسیدن به سطح مطلوب‌تر، کار برای انجام زیاد است. شاید نشود جلوی مهاجرت نیروهای متخصص را گرفت، اما با سرمایه‌گذاری‌های بلندمدت در آموزش و تربیت نیروهای متخصص که نیازمند همکاری بیشتر سایر نهادها همچون وزارت علوم، معاونت فناوری نهاد ریاست‌جمهوری و بانک مرکزی نیز هست، می‌شود نسبت به رفع مشکل اساسی تأمین نیروی متخصص اقدام کرد.

در خصوص تأمین بودجه‌های مرتبط با امنیت نیز شاید تغییر در ساختارهای واحدهای امنیت بانک و استقلال آنها و اختصاص بودجه‌های متناسب با خواسته‌های بانک در حوزه امنیت، مشکل‌گشا باشد. البته در این خصوص نیز کمک و مشارکت نهادهای بالادستی در خصوص ابلاغ و الزام بانک‌ها به استقلال و تقویت واحد امنیت راهگشاست. حمایت‌های بیشتر از شرکت‌ها و نهادهای تولیدکننده فناوری‌ داخلی امنیت اطلاعات نیز یکی از راهکارهای مرتفع‌سازی مشکل تأمین فناوری است. اما باید اشاره کرد که کماکان بخش اعظمی از نیازهای فناورانه این حوزه مستلزم استفاده از فناوری‌های وارداتی است و ایجاد انحصار محصولات بومی می‌تواند شمشیری دولبه در زمینه امنیت سایبری کشور باشد.»

معاون فناوری اطلاعات بانک ملی ایران، وضعیت امنیت اطلاعات کشور در صنعت بانکی را قابل ‌قبول توصیف می‌کند، ولی می‌گوید کاستی‌هایی وجود دارد و تا رسیدن به شرایط مطلوب کمی فاصله هست. ماهیار در این‌ باره توضیح می‌دهد: «ایجاد سنجه‌های قابل اتکا جهت ارزیابی سطح امنیت و همچنین تعیین اولویت‌های سازمان از میان اهداف کسب‌وکاری و اهداف امنیتی و هم‌راستاسازی این اهداف جهت رسیدن به وضعیت مطلوب، امری اجتناب‌ناپذیر و ضروری است. از همین رو شرایط مطلوب و ایده‌آل امنیت سایبری، مخصوصاً در صنعت بانکداری موضوعی نیست که تعریف مشخص و ثابتی داشته باشد و المان‌ها و عناصر متغیری در تعریف آن شرایط نقش دارند.

در واقع تمامی عناصری که به هر نحوی با محافظت از اطلاعات و دارایی‌های مشتریان بانک در برابر افشا یا سرقت مرتبط باشد و همچنین میزان در دسترس بودن سرویس‌هایی که بانک در اختیار مشتریانش قرار می‌دهد، در رسیدن به شرایط مطلوب امنیت در صنعت بانکی تعیین‌کننده است.

برای تحقق سطح مطلوب امنیت و با توجه به عناصری که اشاره شد، عوامل تأثیرگذار مختلفی وجود دارند که در کنار هم ترسیم‌کننده سطح امنیت بانک هستند. عواملی همچون نیروی انسانی، تجهیزات و سخت‌افزارها، فرایندهای سرویس‌دهی، شرایط برون‌سپاری و مدیریت پیمانکاران، انسجام و استقلال تشکیلات امنیت در ساختار سازمانی بانک، میزان بودجه در اختیار و قوانین و مقررات حاکم بر صنعت از جمله مواردی هستند که نقش تأثیرگذاری در رسیدن به شرایط مطلوب امنیت دارند.»

مهم‌ترین اتفاقات حوزه امنیت ناشی از پرسنل ناراضی است

فرهاد بهمنی، عضو هیئت‌مدیره پست‌بانک درباره چالش بانک‌ها در حوزه امنیت اطلاعات، ابتدا به کمبود نیروی متخصص در حوزه امنیت و مشکلات جذب آنها اشاره می‌کند و آن را یکی از اصلی‌ترین چالش‌ها در این حوزه می‌داند. او در توضیح این چالش می‌گوید: «استرس و مسئولیت بالای این حوزه سبب می‌شود همکاران متخصص ترجیح دهند در حوزه‌های دیگر فناوری اطلاعات در بانک‌ها مشغول به کار شده یا جذب شرکت‌های خصوصی شوند یا به‌صورت فریلنسر به فعالیت خود ادامه دهند.

دلیل وجود این چالش، حقوق و مزایای پایین؛ به‌ویژه در بانک‌های دولتی و همچنین در نظر نگرفتن حقوق و مزایای ویژه برای پرسنل این بخش با توجه به حساسیت این شغل است. همچنین مشکلات جذب نیرو و فرایند طولانی به‌روزرسانی چارت سازمانی در بانک‌های دولتی از دیگر دلایل این چالش است. به عبارتی مهم‌ترین اتفاقات حوزه امنیت ناشی از پرسنل ناراضی است.»

به گفته بهمنی، لزوم پاسخگویی به نهادهای نظارتی متعدد مانند مرکز مدیریت راهبردی افتای ریاست‌جمهوری، سازمان پدافند غیرعامل، مرکز فضای مجازی و سازمان فناوری اطلاعات، پلیس فتا، بانک مرکزی و… موجب شده بیشتر وقت و انرژی مدیران و پرسنل حوزه امنیت بر این امر متمرکز شود و از تمرکز روی فعالیت‌های عملیاتی و اصلی کاسته شود. او در این‌ باره می‌گوید: «برای رفع این چالش، می‌بایست از نامه‌نگاری‌های متعدد و موازی توسط سازمان‌های بالادستی جلوگیری شود و یک نهاد با هماهنگی با سایر نهادها، نسبت به این امر اقدام کند.»

عضو هیئت‌مدیره پست‌بانک، ابهامات موجود در این حوزه را به‌دلیل تازگی برخی نیازمندی‌ها، یکی دیگر از چالش‌های این حوزه می‌داند و درباره این چالش می‌گوید: «به‌طور مثال بخشنامه بانک مرکزی در خصوص راه‌اندازی آزمایشگاه امنیت سایبری که در سال گذشته به بانک‌ها ابلاغ شد، دارای ابهامات زیادی در زمینه پیاده‌سازی است و اهداف این پروژه مشخص نشده است. به‌طوری که اغلب بانک‌ها به‌دلیل رفع نشدن ابهامات موجود و نبود دستورالعمل دقیق، پیاده‌سازی پروژه را متوقف کرده‌اند.»

یکی دیگر از چالش‌هایی که بهمنی به آن اشاره می‌کند، نبود همکاری کامل سایر واحدها با واحد امنیت است؛ بنابراین هنگام انجام بسیاری از پروژه‌های امنیتی مانند مسدودسازی دسترسی‌های کاربران و… با مشکل مواجه می‌شود. او در این‌ باره توضیح می‌دهد: «همچنین الزامات ابلاغی از سوی واحد امنیت از سوی واحدهای دیگر به‌درستی انجام نمی‌شود.»

به عقیده بهمنی، با توجه به حساسیت و اهمیت حوزه امنیت، لازم است پروژه‌های امنیتی بانک‌ها در اولویت قرار گرفته و جهت ابلاغ اعتبار، انجام مراحل مناقصه و… با سرعت و جدیت بیشتری از سوی واحدهای دیگر بانک پیگیری شوند. او می‌گوید: «همچنین سایر موارد اداری این حوزه مانند به‌روزرسانی چارت سازمانی، جذب نیرو، اختصاص فضای فیزیکی مناسب جهت پیاده‌سازی پروژه‌های امنیتی و مانیتورینگ سامانه‌های مختلف و استقرار نیروها با سرعت بیشتری انجام می‌شود. با توجه به حساسیت این حوزه، مدیران و پرسنل امنیت باید به‌صورت شبانه‌روزی و ۷×۲۴ آنکال و در دسترس باشند و همین امر استرس بیش از حدی به پرسنل این حوزه تحمیل می‌کند. افزایش تعداد پرسنل و در نظر گرفتن شیفت ۷×۲۴ جهت پاسخ سریع به حملات سایبری می‌تواند در کاهش این استرس مؤثر واقع شود.»

به گفته او یکی دیگر از مشکلات، حملات شدید و غیرمعمول هکرها به کشور ماست که نسبت به سایر کشورها بیشتر است و هوشیاری و کار بیشتری را برای حفظ امنیت می‌طلبد و نگرانی بابت نرم‌افزارهای خارجی هم همیشه وجود دارد. او توضیح می‌دهد: «به‌دلیل بالارفتن قیمت دلار، افزایش هزینه‌های حوزه فناوری هم مزید بر علت شده تا نتوان شرایط ایمن را به‌طور کامل پیاده‌سازی کرد. با توجه به تمامی مواردی که پیش‌تر ذکر شد، به نظر می‌رسد در حوزه امنیت از وضعیت مطلوبی برخوردار نیستیم و رفع چالش‌های مذکور می‌تواند کمک شایانی جهت بهبود وضعیت موجود داشته باشد.»

امنیت افزودنی نیست و باید از ابتدا در نظر گرفته شود

سیدمحمدرضا مصطفوی، مدیر اجرایی فناوری اطلاعات بانک قرض‌الحسنه رسالت با بیان اینکه چالش‌های حوزه امنیت اطلاعات در حوزه بانکی بارها مطرح شده، ولی به نظر می‌رسد دلایل ریشه‌ای موانع به اندازه‌ای که باید مورد توجه قرار نگرفته، می‌گوید: «امروزه تمامی کارشناسان و پیشروان در حوزه بانکی به چالش‌های این حوزه اشراف دارند؛ چالش‌هایی از قبیل وجود تحریم‌ها، هزینه‌های بالا (از نیروی متخصص گرفته تا تجهیزات و نرم‌افزارها)، ناکافی‌بودن مراکز مشترک تعاملی امنیتی بین بانک‌ها و…؛ اما بسیاری از این چالش‌ها خود علت ریشه‌ای دیگری دارد و تا علت‌ها به‌درستی رسیدگی نشود، چالش‌ها باقی می‌ماند و با پیشرفت فناوری اطلاعات، عمیق‌تر هم خواهند شد. به‌طور کلی این موانع را می‌توان به دو بخش موانع برون‌سازمانی و درون‌سازمانی تقسیم کرد.»

طبق صحبت‌های مصطفوی درباره موانع برون‌سازمانی، نهادهای نظارتی کشور با تعیین الزامات و ایجاد ساختارهای لازم و خط‌مشی‌ها کمک شایانی در امر توسعه و استقرار امنیت سایبری کرده‌اند، اما در این حوزه مشکلاتی نیز به وجود آمده که باعث صرف انرژی و هزینه زیاد می‌شود. او در این‌ باره این‌گونه توضیح می‌دهد: «تعدد نامه‌های ارسالی مشابه از نهادهای بالادستی باعث شده متخصصان زمان زیادی را صرف پاسخگویی به موارد نسبتاً تکراری کنند.

در این رابطه بهتر است به جای این همه پراکندگی و موارد تکراری، دستورالعمل‌های جامع و کم‌تعداد تهیه و برای همان دستورالعمل‌ها ویرایش جدید ارائه شود. در نظر نگرفتن بلوغ سازمان نیز باعث به وجود آمدن مستندات غیراجرایی در سازمان‌ها شده است. دخالت در اجرای روش‌ها و عدول از نقش سیاست‌گذاری به‌عنوان مثال، اجبار استفاده از محصولات بومی غیرمؤثر (و تحمیل مضاعف) از دیگر چالش‌هایی است که این نهادها برای بانک‌ها به وجود آورده‌اند.

همچنین آگاهی‌رسانی عمومی (در حوزه امنیت عمومی و فیشینگ و کلاهبرداری‌‎ها) به‌درستی انجام نمی‌شود که علت آن نداشتن استفاده مفید از ظرفیت شبکه‌های اجتماعی، کانال‌های پرمخاطب، بیلبوردهای پربازدید و استفاده از روش‌های مدرن از قبیل انیمیشن و… است. سازوکارهای قانونی نیز در برخورد با متخلفان کم‌تأثیر نبوده و فرایند رسیدگی به تخلفات حوزه سایبری را بسیار طولانی کرده است. مهاجرت متخصصان حوزه بانکی به کشورهای خارجی نیز از دیگر چالش‌های اصلی است که از دلایل اصلی کمبود متخصص در این حوزه به‌شمار می‌رود که خود دلایل ریشه‌ای دیگری دارد.»

او سپس به موانع درون‌سازمانی می‌پردازد و می‌گوید که از موانع ریشه‌ای اساسی که در بسیاری از سازمان‌ها طی سال‌های متمادی وجود داشته و هنوز هم مشاهده می‌شود، نبود رویکردی است که امنیت اطلاعات را ضرورت بقای کسب‌وکار بداند. صرفاً آگاهی مدیریت امنیت اطلاعات برای داشتن چنین رویکردی کافی نیست و تا مدیران ارشد سازمان چنین رویکردی نداشته باشند، امکان استقرار امنیت اطلاعات وجود نخواهد داشت.

مصطفوی در این‌ باره می‌گوید: «داشتن چنین رویکردی برای مدیران میانی یک سازمان و مالکان محصولات و سامانه‌ها نیز از اهمیت ویژه‌ای برخوردار بوده و بدون همکاری مستمر این مدیران با کارشناسان حوزه امنیت، پیشرفت در این حوزه امکان‌پذیر نیست. برای سال‌های متمادی رویکرد امنیتی صحیحی در سازمان‌ها وجود نداشته و قرار است اکنون امنیت به زیرساخت‌هایی که معماری امنیتی در آنها رعایت نشده، اضافه شود؛ در صورتی که امنیت افزودنی نیست و باید از ابتدا در نظر گرفته شود.»

به عقیده مدیر اجرایی فناوری اطلاعات بانک قرض‌الحسنه رسالت، در زیرساخت‌ها، سامانه‌ها و سرویس‌ها امنیت قربانی می‌شود. بدون پاس‌کردن استانداردها، بدون نظارت کافی در معماری امنیت، بدون تهیه مستندات کافی و قابل قبول، تحلیل ناکافی قبل از طراحی، نبود تست کافی، زمان‌بندی نادرست، نبود فرایندهای امنیتی، اجرا نشدن فرایندهای مدون، دور زدن فرایندها و الزامات و برنامه‌ریزی‌های نادرست، امنیت قربانی سرویس می‌شود.

او با بیان این موارد می‌گوید: «در حالی که طبق تأکید پیشروان این حوزه، در صورتی که امنیت از مراحل ابتدایی تحقیق‌وتوسعه و در معماری در نظر گرفته نشود، اضافه‌ کردن آن ناممکن یا بسیار دشوار خواهد بود. اجرای تمامی موارد فوق و سایر موانع، مستلزم فرهنگ‌سازی اساسی در تمام بدنه ساختار بانکی کشور است. در عین حال که باید بابت کدورت احتمالی نهادهای تخصصی امنیتی با هم‌صنفان بانکی عذرخواهی کرد، باید بیان کرد که امنیت فناوری اطلاعات مبحثی جدی‌ است که با تعارف و تعریف نمی‌توان از عهده چالش‌های آن برآمد.»

اقدامات انجام‌شده کافی نیست

با توجه به رشد و توسعه فناوری اطلاعات، خدمات بانکداری نیز روزبه‌روز توسعه یافته و فرصت‌های جدیدی برای بانک‌ها به وجود آورده تا از طریق آن به مشتریان خدمت‌رسانی کنند؛ با این حال، به گفته محمدرضا غفوری، کارشناس صنعت بانکی، توجه به اهمیت و جایگاه امنیت در بانکداری موجب دغدغه نظام بانکی در گسترش خدمات بانکداری بوده و هست. او در این‌ باره می‌گوید: «بانکداری دیجیتال بدون تأمین امنیت اطلاعات بی‌معناست. برای تأمین امنیت اطلاعات در نظام بانکی فقط تأمین تجهیزات سخت‌افزاری و نرم‌افزاری کافی نیست، بلکه لازم است فرایندهای مرتبط با امنیت اطلاعات در شبکه بانکی نیز اصلاح شوند. به عبارت دیگر امنیت اطلاعات با فرایند تأمین می‌شود، نه با محصولات.»

غفوری چالش‌های اصلی امنیت در حوزه بانکی را طی چند سال اخیر به چند بخش عمده تقسیم می‌کند. اول، هزینه‌ها و کمبود تأمین منابع؛ از جمله هزینه‌های مربوط به تأمین منابع نیروی انسانی متخصص و هزینه‌های تأمین ابزارها (سخت‌افزار و نرم‌افزار). او درباره چالش‌های دیگر می‌گوید: «یکی دیگر از چالش‌ها، مربوط به چالش‌های فرایندی و ساختاری است.

در واقع در دستورالعمل‌های سازمانی و پیاده‌سازی استانداردهای مربوطه (ISMS، SOC، CERT، GDPR PCI و…) فرایندها وقت‌گیر است و ساختاریهای ذی‌ربط باید بر اساس الزامات امنیت در نظام بانکی و رعایت الزامات تداوم کسب‌وکار اصلاح شود. علاوه ‌بر این، چالش فرهنگ‌سازی نیز وجود دارد، یعنی آموزش و آگاهی در استفاده و بهره‌برداری از ابزارها باید با رعایت اصول امنیتی و توسط کاربران بانک‌ها و مشتریان صورت گیرد.»

طبق صحبت‌های او، تهدیدات بیرونی نیز یکی دیگر از چالش‌های این حوزه است. غیر از موضوعات تحریمی در تأمین ابزارها و تجهیزات امن در این حوزه، حمله‌های سایبری به بخش مهم اقتصادی کشور یعنی شبکه بانکی، همیشه از مهم‌ترین اهداف مد نظر برای خارج کشور بوده است.

غفوری سپس به فشار الزامات انجام اصلاحات و تغییرات در نظام بانکی اشاره می‌کند و در این‌ باره می‌گوید: «طی چند سال اخیر اهداف راهبردی بانک مرکزی که شامل «ایجاد شفافیت»، «رونق» و «منصفانه‌بودن» محیط کسب‌وکار و برپایی سامانه‌های متعدد در نظام بانکی از جمله طرح‌های «مبارزه با پول‌شویی» و سامانه مرتبط با آن و نیز رمزنگاری سرویس‌های بانکی، قانون جدید چک، سامانه پیچک، انباره داده اعتبارسنجی، سامانه نهاب و شهاب و پیاده‌سازی رمزارز ملی بوده، خود زمینه‌های متعددی را با توجه به حجم کار و لزوم رعایت اطمینان و امنیت مربوطه طلب می‌کند.»

موارد پیش‌بینی‌نشده نیز یکی دیگر از چالش‌هایی است که غفوری به آن اشاره می‌کند و در توضیح آن می‌گوید که بستر اینترنت هرچند یکی از بسترهای مهم و مورد توجه از نظر امنیت اطلاعات و اقدامات پیشگیرانه و مراقبتی در شبکه بانکی بوده و هست، ولی برقراری همین سرویس برای بانک‌ها نیز در جهت ارائه خدمات و تداوم کسب‌وکار، خود به چالش جدیدی تبدیل شده است.

او می‌گوید: «با همه این اوصاف اقدامات مؤثری طی چند سال گذشته جهت تأمین امنیت در حوزه فناوری بانک‌ها شکل گرفته، هرچند کافی نیست؛ چراکه مقوله امنیت مبحثی صددرصد نبوده و نخواهد بود و پویایی آن هم از همین موضوع سرچشمه می‌گیرد که هر لحظه با مسائل و شرایط جدیدی روبه‌رو می‌شود که بایستی برای آن از قبل تدارک لازم دیده شده و راه‌حل داشته و مدیریت شود؛ حتی اگر آن را مدیریت بحران بنامیم.»

منبع عصر تراکنش