در پنل امنیت و حکمرانی داده در نظام بانکی کشور مطرح شد / دسترسی حاکمیت به داده‌ها باید قانونمند شود

نویسنده: لیدا هادی در تاریخ 2 اسفند سال 1401 ساعت 16:09 0

دومین روز از همایش سالانه بانکداری الکترونیک و نظام های پرداخت با برگزاری پنلی با عنوان «امنیت و حکمرانی داده در نظام بانکی و چالش های آن» میزبان فعالانی از حوزه نظام بانکی و فناوری اطلاعات بود تا در زمینه داده و اهمیت حریم خصوصی مشتریان به گفت‌وگو بنشینند. در این پنل که با مدیریت حسین قرایی، مدیر عامل شرکت امن الکترونیک کاشف برگزار شد علیرضا لگزایی، مشاور مدیرعامل بانک ملت؛ حسام حبیب‌الله، معاون فناوری اطلاعات بانک شهر و ناصر حکیمی، مشاور مدیر عامل بانک تجارت هر یک به بیان دیدگاه‌های خود در رابطه با اهمیت حکمرانی داده و راه‌های برون‌رفت از وضعیت کنونی داده‌ورزی در نظام بانکی پرداختند.

رگ‌تک‌ها را جدی بگیرید

ناصر حکیمی، مشاور مدیرعامل بانک تجارت در رابطه با مسئله مالکیت داده مشتری به دو برهه تاریخی اشاره کرد. قبل از سال 2001 و بعد از آن. به گفته او تا قبل از سال 2001 میلادی موضوع محرمانگی و مالکیت مشنری اساساً در اختیار کامل مشتری بود و بانک‌ها و سایر مؤسسات مالی و اعتباری صرفاً امانتدار اطلاعات مشتریان بودند. حتی داده‌های هر تراکنش مشتری نیز در تعلق کامل مشتریان قرار داشت. رویکردی که امروز جایگاهی ندارد و بحث مالکیت داده به سبب تغییر شرایط فرق کرده است.

او موضوع دسترسی به داده‌های مشتری را از این بحث جدا کرد و آن را رویکردی متفاوت از آن دانست. مشاور مدیرعامل بانک تجارت در این باره توضیح داد: «تا قبل از یازده سپتامبر و پیش از آمدن مسایلی مانند مبارزه با پولشویی و … محرمانگی اطلاعات حساب مشتری کاملاً مشخص بود و بانک‌ها با شرایطی خاص می‌توانستند به اطلاعات دسترسی داشته باشند. اما بعد یازده سپتامبر این قانون یکپارچه در کشورهای مختلف دنیا تغییر کرد و به رگولاتوری و … این اجازه داده شد تا به بخشی از اطلاعات مشتری دسترسی داشته باشند. البته که این دسترسی باید در قالب قانون مشخصی و به افراد مشخص باشد.» او با اشاره به پولینگ اطلاعات در نظام بانکی کشور آن را یکی از چالش‌های مهم امروز دانت که می‌تواند مشکلات امنیتی بسیاری به همواره داشته باشد.

حکیمی با اشاره به این موضوع که داده حتماً متعلق به مشتری است به اهمیت حفظ حریم خصوصی داده درحوزه بانکی نیز اشاره کرد و بر اهمیت استفاده از فناوری‌های تازه از قبیل هوش مصنوعی برای استفاده از داده‌های مشتری بدون دسترسی مستقیم به آن اشاره کرد.

ناصر حکیمی در این باره توضیح داد: «الان داده‌های بی‌شماری در شبکه بانکی ما در جریان است ولی من در این باره دو نگرانی بزرگ را مطرح می‌کنم. اول این که مسئولیت محرمانگی داده‌ها با چه نهادی است؟ اگر زمانی محرمانگی داده‌هایی که در کل نظام بانکداری در گردش است به خطر بیفتد چه نهاد و سازمانی پاسخگوست؟ و مورد دوم این است که ریسک لو رفتن اطلاعات زمان استفاده نهادهای مختلف به شدت بالا می‌رود. بانک‌ها به سبب سابقه طولانی تعامل با مشتری از اهمیت نگهداری از داده مطلع هستند و بر آن شاید اصرار داشته باشند اما آیا شخص ثالث درگیر در جریان اطلاعات مانند سازمان‌های اعتبارسنجی و … آیا به حد کافی به اهمیت این موضوع واقف هستند؟

حکیمی معتقد است دسترسی حاکمیت بر داده‌های مردم نیز باید قانون خاص خودش را داشته باشد. او این صحبت خود را با مثالی روشن توضیح داد: «در حال حاضر ورود به ملک شخصی افراد نیاز به حکم قضایی یا اجازه صاحب ملک را دارد. آیا در رابطه با داده‌ها و حریم خصوصی مشتری نیز این قانون را داریم. در مورد داده‌های بانکی که حداقل این موضوع را نمی‌توان حس کرد. چه بسا که این وسط اهمیت داده‌های مشتری خیلی بیشتر از دیگر داده‌های او باشد.»

مشاور مدیرعامل بانک تجارت در رابطه با الگوریتم‌های هوش مصنوعی نیز در حوزه پولشویی با جایگزینی روندی پویا و چابک به جای روند استاتیک گذشته اشاره کرد و گفت:« امروز دیگر الگوهای استفاده از فناوری در نظام بانکی فرق کرده و لازم است که با الگوریتم‌های تازه و با شبکه عصبی و روش‌های تشخیص تازه درصدد تخمین احتمالاتی نظیر پولشویی باشیم.»

او با اشاره به کمبود نیروی متخصص در زمینه هوش مصنوعی استفاده از مهارت نیروهای متخصص در این زمینه را امری مهم و حیاتی برشمرد. ناصر حکیمی در این میان موضوع عدم دسترسی به نیروی متخصص در زمینه هوش مصنوعی را نظام بانکداری کشور به مطرح کرد که سبب شرایط خاص کشور استفاده از این نیروها بسیار مشکل شده است.

مشاور بانک تجارت‌ در پایان بحث به نکته مهمی نیز اشاره داشت. به استفاده از روند رگ‌تک در نظام بانکداری. او در این باره توضیح داد: «در فضای کنونی نیاز داریم که نهادی واسط بین رگولاتور و سازمان‌هایی که نیاز به نظارت ندارند ایجاد شود. یک نهاد تسهیلگر که بتواند وارد بحث فرآینده امنیت داده شود. شرکت‌های معتمدی که می‌توانند در رابطه با امنیت داده به کمک نهادهای ناظر بیایند و در چارچوبی که به اسم رگ تک می‌شناسیم بانک مرکزی را به عنوان بازوی نظارتی یاری دهند.»

به گفته حکیمی تنها راه برون رفت از بحران موجود امروز در نظام بانکداری کشور ایجاد ارزش افزوده با استفاده از ظرفیت‌های رگ تک دانست.

فرهنگ‌سازی لازم است و نیروی متخصص

دیگر سخنگوی پنل حاکمیت داده، علیرضا لگزایی، مشاور مدیرعامل بانک ملت بود که در باره چالش‌های مدیریت امنیت داده در نظام بانکی کشور صحبت کرد. او در ابتدا اذعان کرد که اگر از چالش‌های فناورانه و ورود روندهای نوظهور در بحث تحول دیجیتال فارغ شویم با دو مانع جدی برای موفقیت تحول دیجیتال رو به رو خواهیم بود. موضوع فرهنگ و دیگری موضوع مهارت.

او در توضیح این دو چالش اصلی توضیح داد: «مانند خیلی از رویکردهای دیگر در کشور ما اینجا هم با بحث فرهنگ‌سازی مواجه هستیم. ما از لحاظ فرهنگی هنوز با چالش‌های بسیاری در رابطه با موضوع امنیت داده‌ها در ساختارهای سازمانی رو به رو هستیم. در صنعت بانکداری به نظر می‌رسد آن قدر که به موضوع خروجی فناورانه بانک‌ها توجه می‌شود به موضوع الزامات مدیریت امنیت داده‌ها توجه نمی‌شود. این موضوع را حتی می‌توان در میزان سهم از بودجه سازمان‌ها نیز مشاهده کرد. بودجه امنیت داده در نظام بانکی ما بسیار پایین است و این موضوع به مساله فرهنگ کاملاً عجین شده است.»

به گفته او لازم است که در این راستا مدیران نیز به مسئله امنیت داده‌ها توجه بیشتری نشان بدهند چرا که در شرایط امروز و دوران رقابت زده‌ای که با نفوذ هر روز فناوری‌های هر روز مواجه هستیم این مسئله پرداختن به موضوع امنیت داده است که می‌تواند اهمیت پیدا کند. به عقیده لگزایی فرهنگ روی موضوع ساختار نیز تأثیر خواهد داشت. او در باره توضیح می‌دهد: «امروز در لایه مدیریتی نیز حتی شاهد این موضع هستیم که برای تخصیص بودجه مدیران نگاه متصدانه ای به لایه امنیت دارند و بعضاً قائل به این موضوع هستند که بعد از هر پیشامد امنیتی به چاره کار فکر کنیم. در حالی که مسئله امنیت پیش نیاز مسئله تحول دیجیتال است. »

به عقیده مشاور بانک ملت مسئله امنیت داده موضوعی است که قبل از طراحی و توسعه محصولات باید در رأس اولویت مدیران قرار بگیرد. او در ادامه صحبت‌هایش به چالش تخصص‌های فناوری محور نیز اشاره کرد و از ناترازی نیروی متخصص حوزه امنیت داده در نظام بانکداری کشور گفت. خروج نیروهای متخصص و کارآمد از یک سو و عدم توانایی بانک‌ها در حفظ نیروهای یکی از مهم‌ترین چالش‌های امروز نظام بانکی است.

به گفته او ساختار امنیت داده در نظام بانکی کشور یک چالش دو طرفه است. او در این باره گفت: «اگر در سازمانی بیش از اندازه به موضوع امنیت پرداخته شود آن وقت کسب و کار دچار مشکل می‌شود. در واقع اگر کنترل‌گری بیش از حد را به تسهیلگری و رضایت مشتری ارجحیت داده شود آن وقت کسب و کار شاید ایمن باشد اما سهم از بازاری دیگر نخواهد داست و بالعکس.»

او با انتقاد از این موضوع که در حال حاضر جایگاهی خاص به لحاظ کیفی برای مسئله امنیت داده وجود ندارد استفاده از نیروهای متخصص با تخصیص بودجه مشخص را از مهم‌ترین نیازمندی‌ها برشمرد. به عقیده او تغییر باور مدیران به سبب فرهنگ سازی می‌تواند مهم‌ترین روندی باشد که نظام بانکداری کشور در بحث اهمیت امنیت داده و حکمرانی آن نیازمند است.

رگولاتور جایگاه خود را مشخص کند

حسام حبیب‌الله، معاون فناوری اطلاعات بانک شهر نیز که به عنوان سخنران دیگر پنل به پرسش‌های حسین قرایی پاسخ می‌داد در ابتدای صحبت‌هایش به اهمیت حکمرانی داده در نظام بانکداری کشور تاکید کرد و از جایگاه حاکمیت در صنعت بانکداری گفت. به گفته او امرداد سال 1401 بود که سند راهبردی حکمرانی داده در فضای مجازی از سوی شورای عالی فضای مجازی مطرح شد که لازم است در این سند که بیش از 40 پروژه مختلف در خود جای داده است جایگاه بانک مرکزی و صنعت بانکی کشور کاملاً مشخص و تبیین شود. به نظر او تعیین یک سند کلی حکمرانی داده برای همه صنایع نمی‌تواند رویکردی مناسب و کافی باشد و لازم است که نظام بانکی به سبب نیازهای خاص امنیتی جایگاه خاص خود را بشناسد.

او در این باره پیشنهاد تشکیل کارگروهی خاص برای طراحی سند راهبردی حاکمیت داده در صنعت بانکداری کشور را داد. به عقیده حبیب الله طراحی سند حاکمیت داده به یک معماری ویژه نیاز دارد که در این میان بانک مرکزی باید به سبب ظرافت‌ها و پیچیدگی‌های خاص نظام پرداخت با حساسیت و ظرافت بیشتری وارد شود.

معاون فناوری اطلاعات بانک شهر در ادامه در اشاره به معضلات حوزه مدیریت امنیت داده در کشور به طور خاص مدیران ارشد بانک‌ها را خطاب قرار داد و گفت: «مهم‌ترین سؤال من این است که امروز چقدر در حوزه امنیت داده و زیرساخت‌های لازم آن سرمایه گذاری انجام شده است؟ آیا همان اندازه که بحث امنیت داده‌ها اهمیت دارد به مساله زیرساخت‌ها نیز توجه شده است؟»

او در ادامه پیکان نقد را به سمت رگولاتوری گرفت و با انتقاد از فعالیت‌های این نهاد گفت: «وظیفه رگولاتوری در دنیا چیست؟ مستندسازی است. نظام بندی است. قاعده بندی و ابلاغ و نظارت است. اما بانک مرکزی امروز در لایه عملیات داده هم وارده شده است و به نظر می‌رسد این میل به ورود به همه حوزه‌ها سیری ناپذیر است.»

به عقیده او لازم است که بانک مرکزی و رگولاتوری جایگاه خود را در زمینه حکمرانی و امنیت داده کاملاً روشن و مشخص کنند.

حبیب الله در نهایت به دخالت سایر نهادهای نظارتی بر روند داده‌های نظام بانکی نیز اشاره کرد و پیشنهاد داد برای سامان دادن به روند نظارت و ورود سازمان‌های حاکمیتی به این حوزه درگاه واحدی برای اتصال شبکه بانکی با نهادهای امنیتی تعیین شود تا دیگر ارزیابی توسط نهادهای مختلف برای شبکه بانکی چالش‌زا نباشد.

او در موضوع حکمرانی داده به موضوع حکمرانی بر داده و حکمرانی مبتنی بر داده تاکید کرد و بهبود تجربه مشتری را تنها عاملی دانست که می‌تواند در دنیای رقابت‌زده امروز برگ برنده محصولات و خدمات بانکی باشد.

در این میان حسین قرایی در تکمیل صحبت‌های حسام حبیب‌الله از آغاز همکاری‌های مؤثر با افتا خبر داد و این که شرکت کاشف به عنوان یک اپراتور سایبری بانک‌ها از سوی شورای عالی فضای مجازی به عنوان رابطه میان شبکه بانکی با نهادهای بالادستی در حوزه امنیت داده‌ها وارد عمل خواهد شد.

امنیت