راه پرداخت
رسانه فناوری‌های مالی ایران

گفت‌وگو با رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه / امنیت سایبری در ایران خلاء قانونی دارد

نیلوفر نادری / پارادایم‌های بانکداری و پرداخت در سراسر جهان تغییر کرده و این چرخش پارادایمی به سمت‌وسویی رفته که شاهد گذار از شیوه‌های سنتی انجام امور بانکی و پرداخت به شیوه‌های مدرن و دیجیتال هستیم. در این پارادایم جدید، حفاظت از داده‌های مشتریان و ایجاد بستری امن برای انجام امور مالی‌ آنها یکی از مسائل اساسی و چالش‌برانگیزی است که همواره مورد بحث و بررسی متخصصان امنیت شبکه بوده است. به عقیده فعالان این حوزه، نظام بانکی و پرداخت هر کشوری یکی از مهم‌ترین و حساس‌ترین نقاط بدنه اقتصاد آن کشور است که اگر با بحران امنیت مواجه شود، می‌تواند علاوه بر از بین بردن منابع مالی اشخاص درگیر در شبکه، باعث ایجاد بحران‌های امنیتی ملی و کشوری نیز شود.

پویا پوراعظم، رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه در خصوص وضعیت امنیت سایبری در صنعت بانکی و پرداخت کشور معتقد است صنعت بانکی و پرداخت در مقایسه با سایر صنایع تا حدودی از وضعیت بهتری برخوردار است، اما این بدان معنا نیست که بشود ادعا کرد امنیت در صنعت بانکی و پرداخت کشور، وضعیتی مطلوب و مورد انتظار دارد.

او درباره علت بهتر بودن وضعیت امنیت در این صنعت می‌گوید: «یکی از دلایلی که موجب بهتر بودن امنیت در این صنعت در مقایسه با سایر صنایع می‌شود، صرف هزینه و اختصاص بودجه بیشتر به آن است، اما همواره این مسئله مطرح است که آیا این بودجه و منابع مالی به‌ صورت مطلوب و اثربخش استفاده شده یا خیر. باید بگویم که خیر؛ این منابع آن‌طور هم که باید و شاید درست و بجا به کار نرفته است.

شاید اگر از منابع مالی اختصاص داده‌شده به این صنعت به‌ صورت حداکثری برای ارتقای امنیت شبکه بانکی و پرداخت کشور استفاده می‌شد و با مشکلاتی از قبیل تحریم و مهاجرت و کمبود نیروی انسانی متخصص مواجه نبودیم و نیروی کار در ایران شرایط بهتری داشت، وضعیت امنیت در صنایع مختلف؛ ازجمله صنعت بانکی و پرداخت کشور نیز بهتر می‌شد. با این حال هنوز هم بر این باورم که وضعیت امنیت در این صنعت از صنایع دیگر بهتر است.»

پوراعظم در پاسخ به این سؤال که آیا مقوله امنیت در دستورالعمل و اولویت صنعت بانکی و پرداخت کشور قرار دارد،‌ یا نه اظهار می‌کند: «قطعاً پاسخ این سؤال، منفی است. این مقوله در اولویت صنعت نیست و از دلایل مختلف آن می‌توان به زیاد و متکثر بودن دغدغه‌‌‌های نظام بانکی و پرداخت کشور اشاره کرد. برای مثال پایداری اقتصادی یک مؤسسه بانکی یا شرکت پرداختی به گونه‌ای که زیان‌ده نباشد، خودبه‌خود منجر به در اولویت قرار نگرفتن مقوله امنیت می‌شود.

از طرفی ثابت‌نبودن نرخ ارز و تورم باعث رشد روزافزون قیمت فناوری‌ها و ابزارهای گوناگونی می‌شود که صنعت بانکی و پرداخت کشور برای توسعه خود به آنها نیاز دارد و این نیز می‌تواند یکی از دلایل در اولویت نبودن مقوله امنیت و به تعویق افتادن تأمین حداکثری آن باشد. علاوه بر اینها باید این را هم در نظر گرفت که چون اثرات مثبت پروژه‌ها و فعالیت‌های امنیت سایبری، به‌راحتی قابل مشاهده نیست و در واقع اندازه‌گیری نرخ بازگشت سرمایه برای هزینه‌های این حوزه سخت و پیچیده است، فعالان صنعت آن‌طور که باید به مقوله امنیت بها نمی‌دهند و ترجیح می‌دهند وقت، انرژی و بودجه اختصاص داده‌شده به صنعت را در راستای توسعه مقولات دیگری به کار ببندند که رؤیت‌پذیرتر باشند. ممکن است هزینه زیادی برای ارتقای امنیت صنعت شود و تا سال‌ها پس از آن شبکه بانکی  و پرداخت کشور مورد حمله سایبری قرار نگیرد تا اثر مثبت این ارتقا و هزینه‌کردن‌ها رؤیت‌پذیر شود؛ البته برعکس آن هم ممکن است.»


بخش خصوصی در حوزه امنیت در نهادها کرسی ندارد


بخش خصوصی در عمل هیچ کرسی حقوقی در نهادهای تصمیم‌گیرنده و شورای عالی فضای مجازی ندارد و این مسئله مهمی است که می‌تواند در نحوه توسعه صنایع مختلف و به‌طور خاص توسعه مقوله امنیت در صنعت بانکی و پرداخت کشور مؤثر باشد. رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه با اشاره به این مهم بیان می‌کند: «در وضعیتی که بخش خصوصی هیچ کرسی حقوقی در نهادهای تصمیم‌گیرنده ندارد،‌ تنها راهی که ممکن است به افزایش نقش او در تصمیم‌گیری‌ها کمک کند، فعالیت‌های صنفی است؛ نهادهای صنفی مانند کمیسیون افتای نظام صنفی که به‌ طور خاص در این زمینه فعالیت‌ می‌کنند، توان این را دارند که با کاربست ابزارهای گوناگونی مانند رسانه‌ها و کمک‌گرفتن از توان چانه‌زنی اعضایشان تا حد قابل قبولی در تصمیم‌گیری‌های نهادهای بالادستی مداخله کنند.»

در سال‌های اخیر، پلتفرم‌های باگ‌بانتی که از کلاه‌سفیدها برای افزایش امنیت شبکه‌ها استفاده می‌کنند، در جهان ترند شده‌اند. پوراعظم درباره نقش این پلتفرم‌ها توضیح می‌دهد که پیدایش این پلتفرم‌ها می‌تواند کمک قابل توجهی به ارتقای سطح امنیت سایبری سازمان‌های مختلف، ازجمله بانک‌ها و شرکت‌های پرداختی کند: «البته باید فرهنگ استفاده از آنها برساخت شود و بانک‌ها و شرکت‌های پرداختی به آنها اعتماد کنند.

از طرفی این پلتفرم‌ها نیز باید تعهدات لازم را در راستای حفظ محرمانگی داده‌ها و نقاط ضعف امنیتی به سازمان‌ها بدهند. ممکن است سازمانی بدون استفاده از پلتفرم‌های بیرونی، برنامه‌های باگ‌بانتی ارائه دهد که به نظر من چنین کاری می‌تواند ریسک بالایی داشته باشد و توصیه‌ام به سازمان‌ها این است که حتماً از پلتفرم‌های بیرونی و تخصصی این حوزه استفاده کنند و تفکر پلتفرمی را در سازمان خود نهادینه کنند. سالیان سال است که پروژه‌های تست نفوذ در بانک‌ها و شرکت‌های پرداختی اجرا می‌شود و چون اثربخشی لازم را نداشته‌اند، پلتفرم‌های باگ‌بانتی در سال‌های اخیر مورد توجه قرار گرفته‌اند.»

رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه معتقد است تحریم‌ها نقش بسزایی در کاهش روند توسعه امنیت در شبکه بانکی و پرداخت کشور دارند و مانع ورود فناوری‌های روز دنیا به داخل کشور می‌شوند؛ ممکن است تحریم‌ها روی توسعه کربنکینگ تأثیر بسزایی نداشته باشند،‌ اما قطعاً در زمینه فناوری و ابزارهای مربوط به بحث امنیت سایبری اثرات منفی خود را می‌گذارند. او درباره استفاده از فناوری‌های ساخت داخل ایران می‌گوید: «من مخالف استفاده از محصولات فناورانه‌ای که در داخل مرزهای کشور خودمان ساخته می‌شوند، نیستم، اما این محصولات باید توان رقابت با محصولات جهانی را داشته باشند و به ‌گونه‌ای نباشند که هزینه‌ صرف‌شده برای آنها تلف شود، بلکه باید ما را برای توسعه و رقابت با سایر کشورها مهیا کنند.

تحریم‌ها باعث عدم تبادل دانش میان کشورهای توسعه‌یافته و ایران و عدم دسترسی افراد به دوره‌های آموزشی متخصص‌پرور شده که این مسئله ما را در ایجاد محصولات کارآمد و باکیفیت داخلی عقب می‌اندازد. با این حال، فکر می‌کنم باید فکری به حال این وضعیت کرد و بودجه‌هایی برای ایجاد برنامه‌های آموزشی بومی در سطح کیفیت جهانی در نظر گرفت تا در سال‌های آینده بتوان از توسعه در ابعاد مختلف صحبت کرد. صنعت بانکی و پرداخت کشور محرک خوبی در این زمینه است.»

او مهاجرت منابع انسانی را نیز عامل مهمی در کاهش روند توسعه امنیت سایبری در صنایع مختلف می‌داند و در این‌باره می‌گوید: «حالا دیگر همه ما می‌دانیم که وضعیت مهاجرت از ایران تا چه اندازه بحرانی شده است. این مهاجرت‌ها ریشه در مسائل خرد و کلان اقتصادی و اجتماعی کشور دارد و اگر قرار باشد این روند صعودی مهاجرت،‌ در نقطه‌ای ثابت شود یا کاهش یابد، نیازمند اقدامات اساسی و بزرگ در سطح کشوری هستیم. با این حال تنها کاری که از دست شرکت‌های مختلف برمی‌آید، این است که به تربیت نیروهای بومی مبادرت بورزند و آنها را از صفر آموزش دهند و در شرکت‌های خود استخدام‌شان کنند. این برنامه‌ها باید توسط بانک‌ها و شرکت‌های پرداخت مورد توجه قرار گیرد و دنبال نتایج زود‌رس آن نباشند و از الان برای ساختن آینده‌ای بهتر برنامه‌های بلندمدت بریزند.»

پوراعظم اصلی‌ترین اقدام روبه‌جلو برای ارتقای سطح امنیت سایبری در کشور، ازجمله صنعت بانکی و پرداخت‌ کشور را تدوین و تصویب قوانین توسعه‌دهنده می‌داند و در این‌باره اظهار می‌کند: «ما با خلاء قانونی در زمینه امنیت سایبری مواجهیم و نیازمند قوانینی هستیم که در زمینه حفاظت از داده‌ها و اطلاعات کاربران، ضمانت اجرایی کافی را داشته باشد و در عین حال مانعی برای پیاده‌سازی روش‌های نوآورانه نباشد. برای مثال افشای اطلاعات در یک سازمان باید به جریمه جدی آن سازمان و اقدامات قضایی و حتی تأثیر در سطح یا مجوز‌شان منجر شود؛ چیزی شبیه به قانون GDPR در اتحادیه اروپا.»

او اضافه می‌کند که این خلاء قانونی به عدم پاسخگویی سازمان‌ها در قبال افشای اطلاعات کاربران‌شان منجر می‌شود: «برای مثال همین اواخر شاهد هک و افشای اطلاعات کاربران یکسری از پلتفرم‌های داخلی بودیم که هیچ توضیحی برای این اتفاق هم نداشتند. علاوه بر این، برای آن دسته از مخاطرات امنیت سایبری که به‌صورت عمدی و غیرعمدی توسط کارمندان انجام می‌شود نیز باید تدابیری اندیشید و برنامه‌های بازدارنده‌، تشویق‌کننده، آموزش‌محور و فرهنگی ایجاد کرد تا کمتر شاهد چنین اتفاقاتی باشیم.»

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.