راه پرداخت
رسانه فناوری‌های مالی ایران

 پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشت‌ماه ۱۳۹۰ شروع کرده و اکنون پرمخاطب‌ترین رسانه ایران در زمینه فناوری‌های مالی، بانکداری و پرداخت و استارت‌آپ‌های فین‌تک است.

عکس: تورج هیبتی
امنیتانتخاب سردبیر

در پنل تأمین امنیت صنعت پرداخت با HSM بومی‌سازی رادین مطرح شد / دیتاهای پی‌اس‌پی سداد خارج‌ از بستر شرکت کاربرد نخواهند داشت

نویسنده: غزل یگانگی 0

صنعت پرداخت کشور یک شبکه همیشه آنلاین است که به‌خطرافتادن هر یک از بخش‌های آن، تمام شبکه اعم از مشتری دارای کارت یا خریدار اینترنتی، صاحب کسب‌وکار و پذیرنده را تحت‌ تأثیر و تمام اطلاعات عناصر مذکور را در معرض سوء‌استفاده قرار می‌دهد. رمز کارت، رمز دوم، CVV2 و اطلاعات پذیرنده و نشانی افراد اصلی‌ترین دیتاهای شبکه پرداخت محسوب می‌شوند و حفاظت از حریم خصوصی افراد به‌شدت حائز اهمیت است. ضمن اینکه هر اختلال ناشی از حمله سایبری یک شبکه پویا و عملاً اقتصاد یک کشور را مختل می‌کند. در همین راستا شاپرک؛ متولی شبکه پرداخت کشور برای شرکت‌های پی‌اس‌پی الزاماتی مبنی بر مدیریت کلید و رمزنگاری تجهیزات سخت‌افزاری تعیین کرده است. شرکت پرداخت الکترونیک سداد، سومین شرکت پرداختی در مؤلفه مبلغی در میان 12 شرکت پرداختی کشور است که تصمیم گرفته ابعاد امنیت خود و شبکه مرتبط را از طریق مجهز شدن به تجهیزات رمزنگاری سخت‌افزاری تأمین کند.

HSM یک دستگاه سخت‌افزاری دومنظوره است که با نگهداری، مدیریت، و به‌کارگیری کلیدهای رمزنگاری در یک بستر سخت‌افزاری غیرقابل نفوذ، امنیت اطلاعات کاربر را تأمین می‌کند. یکی از اصلی­‌ترین مزایای این دستگاه، ممانعت از بهره‌برداری از اطلاعات نشت‌شده است. به این صورت که اطلاعات حتی اگر مورد سرقت قرار بگیرند هم قابلیت استفاده نخواهند داشت.

شرکت فناوری اطلاعات رادین تأمین‌کننده دستگاه HSM در ایران است که از حدود یک دهه قبل بومی‌سازی این دستگاه را در دستور کار خود قرار داده و امروز به‌عنوان یکی از بزرگ‌ترین تأمین‌کنندگان دستگاه HSM در صنایع گوناگون از جمله بانک و پرداخت فعالیت می‌کند.

به همین بهانه و باتوجه‌به اهمیت امنیت اطلاعات در صنعت پرداخت، پنلی با حضور اسماعیل باقری اصل، مدیر امنیت شرکت سداد و حمیدرضا ولی‌زاده، مدیر دپارتمان امنیت شرکت پیشرو فناوری اطلاعات رادین در دفتر کارخانه رسانه نوآوری راهکار برگزار شد و ابعاد متفاوت پیاده‌سازی HSM در شبکه پرداخت و اهمیت آن مورد بررسی قرار گرفت.

کارکردهای HSM بومی رادین

طبق گفته‌های حمیدرضا ولی‌زاده، مدیر دپارتمان امنیت شرکت پیشرو فناوری اطلاعات رادین، امنیت داده یک نیاز روزافزون در جهان داده‌محور امروز است. او می‌گوید در جهان امروز دیتا اهمیت ویژه‌ای پیاده کرده؛ به‌نحوی‌ که دیتا برای کسب‌وکارها به یک دارایی ارزشمند تبدیل شده است.

HSM یک راهکار امنیتی سخت‌افزاری دومنظوره است که از کلیدهای امن رمزنگاری به‌صورت سخت‌افزاری نگهداری و از طریق رمزنگاری کلید، امنیت داده‌های کاربر را تا حد زیادی تأمین می‌کند. HSM در واقع دیتا را به‌صورت سخت‌افزاری در خود نگه می‌دارد و در صورت بروز هرگونه حمله به دیوایس فیزیکی؛ چه به‌صورت باز کردن دیوایس باشد، چه دسترسی غیرمجاز یا آب ریختن یا سوراخ‌کردن، داده‌های حساس را از بین می‌برد و امکان دسترسی به داده‌های آن به‌هیچ‌وجه وجود ندارد.

به گفته او، HSM به‌عنوان یک دیوایس سخت‌افزاری در دو بستر شبکه و رایانه‌های شخصی قابل‌ استفاده است.  

ولی‌زاده با بیان اینکه اگر HSM طبق الگوریتم و پروتکل‌های صحیح استفاده شود، داده را به‌صورت کامل محافظت می‌کند و امکان هیچ‌گونه دسترسی غیرمجاز را نمی‌دهد، توضیح داد که مزایای HSM بیشتر متوجه کاربران سازمان‌ها و اداراتی با دیتای حساس و محرمانه است: «حتی اگر دیتا نشت کند یا مورد سرفت قرار بگیرد، کسی‌ نمی­‌تواند از آن سوءاستفاده کند. شرکت رادین با درک و آگاهی از اهمیت داده‌های صنایع از سال 1390 راهکارهای حفاظت از داده را در دستور کار خود قرار داد و در این مسیر تصمیم گرفت HSM بومی ایران را طراحی و آن را با برند سِربُن CS800 روانه بازار کند.»

او با بیان اینکه از روز اول سعی کردیم محصول بومی خودمان را توسعه دهیم. ادامه داد: «این نیاز در شرکت رادین از مدت‌ها قبل شناخته شد و هم‌زمان با توسعه محصول بومی، به سمت سفارشی‌سازی محصول خارجی رفتیم؛ البته با تشدید تحریم‌ها، این دستگاه که کاملاً تحت رصد و مانیتورینگ قرار دارد، به‌سختی تأمین می‌شود. در این شرایط رادین سعی کرده این دستگاه‌ها را از مبادی قانونی و رسمی تهیه کرده و پشتیبانی مناسبی نیز برای تعمیر دستگاه‌ها و انتقال دانش ایجاد کند.»

ولی‌زاده درباره نحوه رمزنگاری دیتا توسط HSM توضیح داد: «رمزنگاری بر اساس کلید و الگوریتم انجام می‌شود. این دو ابزار می‌توانند با یکدیگر بلوک یا یک قسمت از داده را که حائز اهمیت باشد رمزنگاری کنند. الگوریتم‌های رمزنگاری در کل دنیا شناخته‌شده هستند؛ یعنی این الگوریتم برای همه فعالان حوزه در دسترس است، اما کلید باید به‌صورت محرمانه بماند. HSM کلید مورد استفاده در الگوریتم‌های مختلف را به صورتی امن و به نحوی که امکان فاش وجود نداشته باشد، نگهداری می‌کند.»

برنامه‌های توسعه امنیتی رادین به این نقطه محدود نمی‌شود. ولی‌زاده در این‌باره افزود: «با توجه‌ به نیاز خاص صنعت کریپتو، یکسری الگوریتم جدید برای صرافی‌های ارز دیجیتال طراحی کرده‌ایم که هنوز به بازار نیامده‌اند. از لحاظ عملکرد و قابلیت‌ها نیز مشغول ارتقای محصول خود هستیم. یک محصول خارجی را نیز از برند معتبر دنیا تهیه می‌کنیم که دائماً آخرین نسخه نرم‌افزار آن را با قابلیت‌های تازه به مشتریان ارائه می‌دهیم.»

جایگاه ویژه امنیت در صنعت پرداخت

طبق گفته‌های اسماعیل باقری اصل، مدیر امنیت شرکت پرداخت الکترونیک سداد، تأمین امنیت در شبکه‌های اطلاعاتی لایه‌های گوناگونی دارد که از امنیت فیزیکی و محیطی شروع می‌شود و سیاست‌ها، فرایندها و سخت‌افزارها را در بر می‌گیرد، اما نهایتاً آنچه باید مورد محافظت قرار گیرد «داده‌ها» هستند. برای تأمین امنیت داده‌ها راهکارهای گوناگونی وجود دارد که یکی از آنها رمزنگاری داده است که پیاده‌سازی این مهم مستلزم برنامه‌ها و تجهیزات مناسب است. در صورتی‌ که امنیت داده‌ها اهمیت بالایی داشته باشد، HSM که یک ماژول امنیتی سخت‌افزاری به شمار می‌رود می‌تواند کمک زیادی به رمزنگاری و مدیریت کلیدها کند.

به گفته او، ملاحظات امنیتی در شبکه‌های پرداخت نسبت به سایر زیرساخت‌ها متفاوت است. در یک زیرساخت صنعتی اگر امنیت تحت‌الشعاع قرار گیرد، احتمالاً بخشی از کارخانه آسیب می‌بیند یا در زیرساخت بانکی ممکن است دسترسی به برخی سرویس‌ها متوقف شود، اما شبکه‌های پرداخت زنده و در لحظه عمل می‌کنند. هر شرکت فعال شبکه پرداخت حداقل 100 یا 200 هزار پذیرنده دارد. کاربر روی دستگاه کارت‌خوان و سکوهای پرداخت، تراکنش خود اعم از خرید کالا، دریافت خدمت و خرید شارژ را در لحظه انجام می‌دهد که در صورت به خطر افتادن امنیت داده‌های مشتریان و پذیرندگان، خسارات جبران‌ناپذیری هم سمت سرویس‌گیرندگان و هم سمت سرویس‌دهندگان پیش خواهد آمد.

اسماعیل باقری اصل، مدیر امنیت شرکت پرداخت الکترونیک سداد

او ادامه داد: «صنعت پرداخت کشور یک شبکه همیشه آنلاین است که ایجاد اختلال در هر یک از سیستم‌ها، تمام شبکه و کاربران اعم از مشتری، صاحب کسب‌وکار و پذیرنده را در لایه‌های پذیرندگان، افراد دارای کارت یا خریدار اینترنتی تحت‌ تأثیر قرار می‌دهد. تأثیر حملات سایبری در شبکه پرداخت به مراتب از شبکه بانکی ملموس‌تر است؛ چرا که اگر خدمات اینترنتی یک بانک از دسترس خارج شود، همان خدمات را شعب مختلف می‌توانند به‌صورت فیزیکی ارائه دهند تا در بازه زمانی مشخص، اپلیکیشن اینترنتی به مدار برگردد، اما اگر به‌عنوان مثال درگاه پرداخت اینترنتی از دسترس خارج شود، با توجه به نوع خدمات شرکت پرداخت الکترونیک سداد، مشتریان، پذیرندگان و نهادهای حاکمیتی به عنوان ذی‌نفعان تا رفع مشکل، پیگیر موضوع خواهند بود.» 

باقری اصل معتقد است در شبکه پرداخت که نهادهای نظارتی زیادی نسبت به آن حساسیت نشان می‌دهند، پیچیدگی نظام امنیت را زیاد می‌کند. او در این خصوص گفت: «از مرکز راهبردی افتا گرفته تا شرکت شاپرک، بانک مرکزی، بانک عامل و سازمان پدافند غیرعامل تا شرکت‌ها و مؤسسات خصوصی و مردم روی نظام پرداخت نظارت دارند و یک دغدغه حاکمیتی به شمار می‌رود. شرکت شاپرک همیشه نخستین مرجع پاسخگویی ماست، اما الزامات سایر نهادهای حاکمیتی را نیز مد نظر قرار می‌دهیم.»

او در بخش دیگری از صحبت خود اشاره کرد که رخداد‌های تازه‌ای که نشت و سوءاستفاده از داده را رقم می‌زند، ثابت کرده که الزامات کنونی باید خیلی فراتر از رمزنگاری و تجهیزات سخت‌افزاری برود: «رعایت الزامات می‌تواند تا حد زیادی امنیت را پوشش دهد. برای اطمینان از رعایت الزامات هرساله ممیزی جامع شاپرک انجام می‌شود و درصد انطباق با الزامات سنجیده و رتبه‌بندی می‌شود. البته این ممیزی، مشوق خوبی برای ترغیب سازمان‌ها به پیاده‌سازی فناوری نوین امنیتی خواهد بود.»

از نگاه باقری اصل، عامل اصلی که مدیران را راغب به پیاده‌سازی راهکار امنیتی می‌کند، ترس از حملات روزافزونی است که همواره یک گام جلوتر از نظام امنیت پیش می‌روند.

باقری اصل با اشاره به اینکه دغدغه امنیتی وابسته به یک شخص یا گروه خاص نیست، گفت: «هر کس در هر سازمانی که کار کند نسبت به امنیت اطلاعات آن سازمان دغدغه دارد. در حال حاضر الزامات قانونی و دستورالعمل‌های ابلاغی شاپرک تا حد زیادی جلوی آسیب به‌ نظام پرداخت را می‌گیرد. از سال 2009 که موضوع  Stuxnet به وجود آمد، تا بعد از آن که وزارت نفت، سازمان بنادر، شرکت هواپیمایی ماهان و سایرین دستخوش رخداد‌های امنیتی شدند، سازمان‌ها بیش از هر زمان دیگری نیاز به پیاده‌سازی زیرساخت‌ها و سرویس‌های امنیتی را درک کردند. به نظر من الزامات شاپرک با احساس نیازی که در بازار و صنعت شکل می‌گیرد هم‌راستاست. این احساس نیاز، خیلی پررنگ‌تر و قوی‌تر از الزامات قانونی به نظر می‌رسد.»

ولی‌زاده، مدیر دپارتمان امنیت شرکت پیشرو فناوری اطلاعات رادین نیز با اشاره به اهمیت امنیت داده برای پی‌اس‌پی‌ها تصریح کرد که داده‌های حساس و حیاتی، نه‌تنها در بانک و پی‌اس‌پی‌ها، بلکه در هر نهاد و سازمان بزرگی وجود دارد: «چه در صنعت سلامت، چه در راه‌وترابری و هر سازمان دیگر داده‌های استراتژیک اگر دچار نشت یا سرقت شود، تبعات گسترده‌ای به دنبال خواهد داشت. در صنعت آی‌تی کشور تا به‌ حال این نیاز به رمزنگاری چندان مورد توجه نبود و سازمان‌ها به فکر حفاظت از داده‌ها نبودند؛ امنیت برای آنها به تأمین یک دیوایس فایروال یا محدودسازی دسترسی به شبکه محدود بود.

در سال‌های اخیر حملات به سازمان‌ها و نشت اطلاعات به‌شدت افزایش پیدا کرد و سازمان‌های مذکور به‌تازگی متوجه تبعات جبران‌ناپذیر حملات سایبری شده‌اند. در این نقطه وجود راهکاری مانند HSM مهم می‌شود، چون به این واسطه هیچ گروه هکری امکان بهره‌برداری از اطلاعات را نخواهد داشت.»

از نگاه ولی‌زاده، HSM فقط یک‌ تکه از پازل امنیتی شرکت‌های پی‌اس‌پی به‌حساب می‌آید. پیاده‌سازی HSM مستلزم منطبق سازی تمامی بخش‌ها خواهد بود. از سوئیچ تا فرمت و پایگاه‌ داده‌ها بعد از حضور HSM تغییر می‌کند و مستلزم معماری جدید است. نهادهایی که تا به‌ حال تجهیزات سخت‌افزاری امنیت را در سیستم نگذاشته‌اند به‌مرور ناچار به کسب دانش جدید خواهند شد: «HSM در یک شرکت پی‌اس‌پی بیش از هر سازمان دیگری استفاده می‌شود. این دستگاه در واقع یک سرویس به‌ حساب می‌آید و برای استفاده از آن، کلاینت‌ها نیز باید توسعه پیدا کنند. کلاینت‌هایی که تاکنون امنیت داده را جدی نمی‌گرفتند، آمادگی به‌کارگیری تجهیزات جدید را ندارند. نابالغ بودن پایگاه‌ داده و ابزار موجود در سازمان‌ها را باید یکی از چالش‌های توسعه HSM دانست. ما به‌عنوان یکی از تأمین‌کنندگان اصلی این محصولات که با پی‌اس‌پی‌های گوناگون کار کرده‌ایم با اتکا به بیش از 10 سال تجربه، به آنها راهنمایی و مشاوره می‌دهیم و کلاس‌های آموزشی می‌گذاریم تا انتقال دانش اتفاق بیفتد.»

او تصریح کرد که هنوز در ابتدای راه هستیم و در بهره‌گیری از ابزارها به بلوغ نرسیده‌ایم. در حال حاضر استفاده از HSM رو به‌ افزایش است و به‌مرور تمام شرکت‌ها به سراغ آن می‌آیند.

پیروی سداد از الزامات شاپرک درباره رمزنگاری

باقری اصل می‌گوید اهمیت حفظ اطلاعات کاربران در کنار الزامات شاپرک، برای شرکت‌های پی‌اس‌پی‌ از علل حرکت سداد به سمت استفاده از تجهیزات رمز‌نگاری و مدیریت کلید بود و باعث شد سداد استفاده از HSM را به‌عنوان یکی از راهکارهای حفظ امنیت خود انتخاب کند: «طبق الزامات شاپرک ذخیره کلید می‌بایست در تجهیزات سخت‌افزاری امن مانند HSM یا دیگر تجهیزات سخت‌افزاری مورد تأیید شاپرک انجام شود.»

او با اشاره به اهمیت رمزنگاری داده‌ها ادامه داد: «جلوگیری از دسترسی غیرمجاز توسط افراد و بهبود امنیت اطلاعات حریم خصوصی در شبکه پرداخت (شامل اطلاعات کارت و اطلاعات پذیرندگان) از مزایای پیاده‌سازی فرایند مدیریت کلید است.»

به گفته او، با رمزنگاری دادها، این دیتاها خارج‌ از مسیر درست خود کاربردی ندارد و غیر قابل‌ استفاده است: «در حال حاضر استانداردهای NIST و ISO ضمن رعایت ملاحظات محرمانگی، دسترس‌پذیری، صحت و تمامیت به‌عنوان اصول امنیت، حفظ حریم خصوصی یا Privacy را نیز مورد توجه دارند. در واقع هم در ISO/IEC 27001 که آخرین نسخه آن سال 2022 منتشر شده و هم در NIST RMF 800-37 یا همان Risk Management Framework موضوع حریم خصوصی مورد تمرکز و توجه ویژه قرار گرفته است. رمزنگاری یکی از ابزارهای حفظ امنیت داده به‌حساب می‌آید؛ گرچه در کنار آن استفاده از ابزارهای جلوگیری از نشت داده یا DLP اجتناب‌ناپذیر است.»

باقری اصل در پاسخ به این سؤال که آیا شاپرک به‌عنوان متولی شبکه پرداخت با الزامات تعیین‌شده، پوشش ریسک‌های شرکت‌های پرداختی را تضمین می­‌کند، گفت: «شاپرک جزئیات اجرایی و روش‌های تأمین امنیت را مشخص نمی‌کند، اما  ملاحظاتی کلی به میان می‌آورد که مستلزم رعایت دستورالعمل‌های مدیریت ریسک و پیاده‌سازی الزامات امنیت خواهد بود: «هر سازمان باید ریسک‌های خود را بسنجد؛ البته این ریسک‌ها ماهیت کیفی دارند و پیاده‌سازی آن در هر لایه متفاوت است؛ گاهی صرفاً در حد نمایشی و برای رعایت قانون اتفاق می‌افتد؛ {گاهی فرایند اصولی امنیت اطلاعات شکل می‌گیرد}.»

از نگاه باقری اصل اگر تمام الزامات شاپرک با کیفیت مطلوب پیاده شود، امنیت قابل‌قبولی در زیرساخت‌ها ایجاد می‌شود، اما چالش بیشتر شرکت‌ها در حال حاضر به سرمایه انسانی مربوط است. نه فقط شرکت‌های پرداخت، بلکه تمام سازمان‌های کشور با کمبود سرمایه انسانی در حوزه امنیت و فناوری مواجهند. گرچه برنامه‌ریزی‌هایی برای تقویت نیروی انسانی در حوزه فناوری اطلاعات صورت‌ گرفته، اما امیدبخشی و نگهداشت افرادی که باید بمانند و به برقراری امنیت زیرساخت‌های کشور کمک کنند، اصلاً راحت نیست.

چندوجهی بودن تأمین امنیت شبکه پرداخت

آیا در حال حاضر بدون به‌روزرسانی هیچ‌کدام از این عناصر و صرفاً از طریق خرید HSM امنیت زیرساختی قابل تأمین است؟ تجهیزات شبکه پرداخت قدیمی هستند و بدون به‌روزرسانی تمامی دارایی‌های مرتبط با سرویس‌های کسب‌وکاری، فراهم کردن امنیت داده‌ها غیرممکن است. در واقع با پیاده‌سازی فرایند‌های مدیریت کلید و رمزنگاری به‌تنهایی امنیت داده‌ها تضمین نمی‌شود.

باقری اصل این شرایط را به منشور چندوجهی تشبیه می‌کند که یک وجه آن مربوط به توسعه زیرساخت، به‌روزرسانی سیستم‌ها، مدیریت تهدیدات و آسیب‌­پذیری‌ها، امنیت data in rest و data in motion، آزمون نفوذ، استقرار سامانه‌های جلوگیری از نشت داده، پیاده‌سازی معماری امنیت شبکه، پایش رخدادها و رویدادهاست.

او معتقد است به‌روزرسانی تجهیزات منقضی‌شده که دیگر پشتیبانی و امکان ارتقا ندارند و ناامن بودن آنها به اثبات رسیده، هزینه زیادی را برای شرکت‌های پرداخت و کل نظام پرداخت به دنبال دارد. برخی دستگاه‌های کارت‌خوان، نرم‌افزارها، سکوها، تجهیزات زیرساختی و امنیتی و… در حال حاضر به اتمام عمر مفید خود رسیده‌اند و نیاز به جایگزینی دارند. صرفاً با اجرای یکی از این سرفصل‌ها نمی‌توان امنیت تمام‌عیار را برای پوشش ریسک‌ها فراهم کرد.

 او با تأکید بر اینکه امنیت یک فرایند است، نه یک پروژه، ادامه داد: «بهتر است برای رسیدن به بلوغ امنیتی، هدف‌گذاری داشته باشیم و به‌منظور ارزیابی بلوغ امنیت سایبری از مدل‌های این حوزه مانند C2M2 و CMMI استفاده کنیم. برنامه‌ریزی باید توأم با پیگیری و رصد باشد. همچنین باید برنامه را دست‌یافتنی و قابل‌ اندازه‌گیری بگذاریم و اهداف‌مان هم SMART باشد. ابتدا هدف اول و سپس تارگت دوم را برای پیمودن پلکان بلوغ امنیت در زیرساخت‌ها مد نظر قرار دهیم.»

حمیدرضا ولی‌زاده، مدیر دپارتمان امنیت شرکت پیشرو فناوری اطلاعات رادین

ولی‌زاده در راستای صحبت‌های باقری اصل درباره امنیت شبکه بانکی و پرداخت تصریح کرد که با وجود چالش‌های فراوان، این دو صنعت از حیث بلوغ امنیتی به‌شدت از سایر صنایع پیشروتر هستند: «از روزی که شرکت‌های پی‌اس‌پی بنیان‌گذاری شد، نحوه تبادل پیام آنها بر اساس استاندارد ایزو 8583 شکل گرفت. این استاندارد برای انتقال پیام‌های بانکی گذاشته شده و بر اساس آن یکسری بلوک‌های داده شامل MAC و PIN ردوبدل می‌شود که تمام آنها با کلیدهای خاص، از فرایند رمزگذاری می‌گذرد. حتی قبل از اینکه دستگاه‌های HSM شکل گیرد، احساس نیاز به آن وجود داشته و دغدغه رمزنگاری داده در صنعت پی‌اس‌پی پیگیری می‌شده است. ورود HSM به این صنعت که فهم و دغدغه قبلی نسبت به ملاحظات امنیتی داشته، نسبت به جاهایی که هر روز دچار نشت و دستبرد اطلاعات می‌شوند متفاوت است. راجع به الزامات شاپرک زیاد گفتیم. از دید من الزام بالادستی به استفاده از یک راهکار یا دستگاه خاص، نیاز بازار را برآورده نمی‌کند؛ فقط باید نیاز به این مفهوم و اهمیت آن تبیین شود. در صنایع دیگر چنین الزامی وجود ندارد و هر روز می‌بینیم که چه دستبردها و اتفاق‌هایی رخ می‌دهد.»

چالش‌های سداد برای پیاده‌سازی امنیت

باقری اصل در پاسخ به این سؤال که با وجود اهمیت حفظ دیتاها در شبکه پرداخت، چرا سداد زودتر از این ابزار استفاده نکرده، از چالش‌های پیاده‌سازی دستگاه‌های سخت‌افزاری از جمله HSM صحبت و تصریح کرد که پیاده‌سازی و استقرار تجهیزات رمزنگاری یا HSM به هماهنگی میان تیم امنیت، تیم فناوری و تیم عملیات شرکت‌های پرداختی نیاز دارد. این مهم، استقرار تجهیزات و بهره‌برداری از آنها را با پیچیدگی و تأخیر مواجه می‌کند: «یکی از چالش‌های پیاده‌سازی HSM مربوط به سازگار کردن آن با فرایندهای توسعه است. هرگونه تجهیزات رمزنگاری اطلاعات، چه با HSM، چه با SSM و چه با هر ابزار دیگری باشد، نیازمند انجام تغییراتی در سوئیچ پرداخت خواهد بود.»

به گفته او، انجام تغییرات در سوئیچ پرداخت، خود وابستگی‌های زیادی در بخش توسعه دارد. مثلاً با توجه به فناوری سوئیچ پرداخت، توسعه کد Failover نسبت به زبان‌های برنامه‌نویسی متفاوت است. اینجا همان جایی است که شرکت‌های پرداخت و تمام زیرساخت امنیتی، وابسته به دانش نیروی انسانی می‌شود.»

دغدغه‌های امنیتی نیز فرایند مدیریت کلید و کلیدگذاری را وابسته به تیم امنیت می‌کند: «البته تیم امنیت لزوماً در فرایند کلیدگذاری و مدیریت کلیدها دخیل نمی‌شود و معمولاً برای اطمینان از امنیت کلیدها نقش مؤثری دارد.»

چالش‌های عصر حکمرانی داده

از نگاه باقری اصل امروز دنیا به سمت حکمرانی داده‌ها رفته و داده تبدیل به ابزار حکمرانی شده است. در این روند اگر نفوذگر به دیتای یک زیرساخت به‌صورت غیرمجاز دسترسی پیدا کند، می‌تواند با هم‌بسته‌سازی به اطلاعات عمیق‌تری دست پیدا کند. مثلاً اگر شخصی به نام کاربری ایمیل شما دسترسی داشته باشد، ممکن است به شماره تماس و آدرس نیز دست پیدا کند، اما ماجرا به این نقطه ختم نمی‌شود و با روش هم‌بسته‌سازی مشخصات هویتی، مخاطبین، علاقه‌مندی‌ها، اطلاعات خرید، اطلاعات کارت، اطلاعات پزشکی و… افراد از همان نام کاربر ایمیل فاش می‌شود و مورد سوءاستفاده قرار می‌گیرد.

ضرورت حرکت سایر صنایع به استفاده از HSM

ولی‌زاده نیز در ادامه تأکید کرد که HSM تأکید زیادی بر حفاظت از داده‌های شخصی و غیر قابل‌ نفوذ کردن آنها دارد. در پاسخ به این سوال که «اخیراً شاهد نشت اطلاعات کاربران مجموعه‌های بزرگ مثل یک تاکسی اینترنتی و صرافی ارزهای دیجیتال بودیم، از نگاه شما آیا می‌توانیم با HSM مانع از بروز این وقایع شویم؟»، توضیح داد که ما با برخی از شرکت‌های اصلی حمل‌ونقل اینترنتی نیز صحبت کرده‌ایم و آنها دیتای مسافرین را بسیار حساس و استراتژیک می‌دانند. مثلاً این‌که مسافر در چه ساعتی از چه نقطه به کدام نقطه دیگر رفته است. اگر کسی بداند که شخصی هر روز در یک ساعت معین به نقطه‌ای مشخص رفت‌وآمد داشته، می‌تواند نتایج مهمی حاصل کند. حتی می‌تواند محل کار و زندگی شخص و ساعات حضور وی را بداند. در عین‌ حال، خریداری و استفاده از دیوایس‌های فیزیکی مثل فایروال و HSM مستلزم هزینه است و به همین دلیل برخی سازمان‌ها به آن سمت نمی‌روند. من مطمئن هستم شرکت‌ها و سازمان‌هایی که امروز تمایلی به استفاده از تجهیزات امنیتی نشان نمی‌دهند، بعد از چند سال به اهمیت آن پی می‌برند و به سراغ ما می‌آیند. امنیت داده‌ها بسیاری از مواقع فدای صرفه‌جویی در هزینه می‌شود؛ درحالی‌که امنیت را نباید یک هزینه تلقی کرد.»

محدوده هزینه امنیت برای هر کسب‌وکار

باقری اصل نیز تصریح کرد شرکت‌ها با وجود اهمیت امنیت دیتاها، گاه هزینه را فدای امنیت می‌کنند. او در پاسخ به سؤال که یک کسب‌وکار تا چه حد مجاز است برای امنیت، محدودیت هزینه تعیین کند، توضیح داد: «میزان هزینه‌ای که هر سازمان برای امنیت می‌پردازد به الزامات بالادستی، نوع، شرایط و گستردگی کسب‌وکار، طبقه‌بندی اطلاعات، موقعیت اقتصادی و موقعیت فیزیکی آن سازمان وابسته است. یک شرکت که گردش مالی آن بر محور تولید محصول یا خدمات است و با تراکنش‌های گسترده سروکار دارد، طبیعتاً هزینه متفاوتی نسبت به شرکت کوچک‌تر با کسب‌وکار محدودتر پرداخت می‌کند.»

او افزود: «الزامات امنیت برای همه یکسان، اما ریسک‌ها متفاوت است. ریسک یک کسب‌وکار در شرکت پرداختی با پذیرندگان دولتی با شرکت پرداختی دیگر دارای پذیرنده خصوصی متفاوت است. خرید هرگونه خدمات و تجهیزات امنیت نیازمند شناخت ریسک‌های همان نهاد است. بعضی ریسک‌ها را می‌توان منتقل کرد، برخی را کاهش داد و بعضی ریسک‌ها را هم باید در یک بازه زمانی مشخص پذیرفت.»

غزل یگانگی

غزل یگانگی هستم؛ دانش‌آموخته رشته مدیریت مالی در دانشگاه علوم‌وتحقیقات. از سال 1399 به کارخانه نوآوری رسانه راه‌کار پیوستم و سه سال خبرنگار پایگاه خبری راه پرداخت بودم. در این مدت در هفته‌نامه کارنگ و ماهنامه عصر تراکنش هم می‌نوشتم. همچنین در استودیو راه‌کار برنامه‌ای ویدئویی به نام «پیشنهاد هفته» تولید می‌کنم. در حال حاضر وارد تیم توسعه کسب‌وکار نیز شده‌ام و از آذرماه سال 1402، در این بخش مشغول فعالیتم.

مطالب پیشنهادی مطالب بیشتر از این نویسنده
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.