راه پرداخت
رسانه فناوری‌های مالی ایران

اجرای تست‌های امنیتی در مرحله طراحی و تولید توسط آزمایشگاه امنیت سایبری است

در گفت‌وگو با مدیر شبکه و امنیت فام در خصوص رویکردهای امنیتی فام مطرح شد

شرکت تجارت الکترونیک و فناوری اطلاعات ملل (فام) سال ۱۳۹۵ تأسیس شد. این شرکت درواقع بازوی فناوری اطلاعات مؤسسه ملل است و در حال حاضر نرم‌افزارهای جامع بانکی، اینترنت و همراه بانک، متابانک (نئوبانک ملل)، نرم‌افزار جامع پرداخت فام، سامانه دیتامیت، سامانه کارت اعتباری، سامانه مبارزه با پول‌شویی، سامانه سوئیچ پرداخت، سامانه استعلام حاکمیتی، سامانه پرداخت یاری، سامانه نوبت‌دهی و … را در سبد محصولات خود دارد. در این گزارش گفت‌و‌گویی با کریم کوثری، مدیر شبکه و امنیت شرکت فام انجام شده است و او به تشریح رویکردهای امنیتی جدید فام پرداخته و از اهمیت اجرای تست‌های امنیتی در مراحل طراحی و تولید نرم‌افزارها از طریق آزمایشگاه امنیت سایبری خبر داده است.

به گزارش روابط عمومی تجارت الکترونیک و فناوری اطلاعات ملل (فام)، عمده تمرکز فام به محصولات بانکی و پرداختی معطوف شده است. اهمیت دیتا در این حوزه‌ها موضوعی حیاتی است. در همین راستا با کریم کوثری، مدیر شبکه و امنیت شرکت فام، درباره رویکردهای امنیتی فام به گفت‌وگو نشسته‌ایم.

بر اساس گفته‌های کریم کوثری، مدیر شبکه و امنیت شرکت فام، نهادهای واسطه مالی، نقش اساسی در اقتصاد کشورها ایفا می‌کنند و وظیفه نگهداری و پردازش اطلاعات کاربران را بر عهده دارند.

این نقش مهم، همواره نگرانی‌هایی را برای آنها در زمینه امنیت اطلاعات کاربرانشان به وجود می‌آورد. این نگرانی‌ها، چه در سطح نهاد‌های بالادستی مانند بانک مرکزی، یا در سطح مدیران مؤسسات مالی و اعتباری منجر به ایجاد درخواست‌هایی در خصوص امنیت اطلاعات می‌شود.

پاسخ‌گویی به این درخواست‌ها، همواره یکی از دغدغه‌های اصلی واحد‌های امنیت در این سازمان‌هاست.


اقدامات واحد امنیت


شرکت فام نقش و مسئولیت بسیار خطیری در زمینه امنیت سامانه‌ها، سرویس‌ها و اطلاعات مؤسسه اعتباری ملل بر عهده دارد. بر این اساس، واحد شبکه و امنیت این شرکت به‌عنوان متولی اصلی امنیت اطلاعات در مؤسسه اعتباری ملل، با توجه به نیازمندی‌های امنیتی، همواره برنامه‌ریزی و اقداماتی انجام داده است که در سه بخش کلی به ارائه خدمات می‌پردازد:

بخش مدیریت امنیت اطلاعات (ISMS): مسئولیت تدوین سیاست‌ها، اهداف، استراتژی‌ها، مستندات شناخت و ارزیابی مخاطرات را بر عهده دارد.
واحد پاسخگویی به رخداد‌های امنیتی (SOC): زیرساختی است که با نظارت و تحلیل وضعیت امنیتی نسبت به واکنش نشان دادن به رخدادهای امنیت سایبری تصمیم‌گیری و اقدام می‌کند.
آزمایشگاه امنیت سایبری: باهدف پاسخ‌گویی به نیازمندی‌ها در زمینه سامانه‌های، ارزیابی امنیتی، امن‌سازی در تمام لایه و همچنین تیم قرمز به ارائه خدمات می‌پردازد.


ضرورت آزمایشگاه امنیت سایبری در بانک‌ها و مؤسسه‌‌های مالی و اعتباری


براساس گفته‌های کریم کوثری، مدیر شبکه و امنیت شرکت فام اولویت واحد امنیت شرکت فام، در وهله اول، حفظ امنیت سایبری سیستم بانکی مؤسسه اعتباری ملل است و در این راستا، این واحد بر آن شده است برای اطمینان از برقراری امنیت سایبری، با به‌کارگیری زیرساخت مناسب، نیروهای متخصص و همچنین فرایندهای مدون و منظم، پاسخ‌دهی به نیازمندی‌های امنیتی این سازمان را هدفمند و چابک سازد. برای تحقق این امر، درحال‌توسعه یک آزمایشگاه امنیت سایبری است.

او افزود: «ازاین‌پس نیازمندی‌های امنیتی مؤسسه اعتباری ملل، در قالب خدماتی، در آزمایشگاه امنیت سایبری پاسخ‌دهی خواهند شد.»

کوثری بیان کرد: «با گسترش نقش فناوری اطلاعات در زندگی روزمره افراد جامعه، پاسخ‌دهی چابک، دقیق و قابل پیاده‌سازی، نسبت به تهدیدهای سایبری، همواره یکی از دغدغه‌های سازمان‌های فعال در حوزه فناوری اطلاعات، به‌خصوص سازمان‌های فعال در حوزه بانکی است. باهدف پاسخ‌دهی به این نگرانی‌ها در مؤسسه اعتباری ملل، فرایندهایی در آزمایشگاه امنیت سایبری در نظر گرفته‌شده است تا مسیر و نقشه راه پاسخ‌دهی به درخواست‌های امنیتی مشخص باشد.»

به گفته کوثری سایر خدمت‌های آزمایشگاه امنیت سایبری مؤسسه اعتباری ملل نیز به همین شکل ارائه می‌شوند تا با اتخاذ رویکردی سخت‌گیرانه، اطمینان حاصل شود که با بهره‌گیری از آخرین استانداردها و بهترین تجربیات بین‌المللی، نسبت به ارتقاء امنیت سایبری مؤسسه اعتباری ملل اقدام خواهد شد.


اولویت‌های امنیتی فام


از نگاه کریم کوثری، امن‌سازی سامانه‌ها و سرویس‌های سایبری، مانند تقویت سیستم ایمنی بدن در برابر آلودگی‌هاست و تجهیزات امنیتی تجاری مانند فایروال و WAF و …به‌عنوان آخرین لایه امنیتی، حکم ماسک یا دستکش برای جلوگیری از ورود آلودگی‌ به بدن را دارند. با این تشبیه، امنیت ناشی از سیستم ایمنی، امنیت پایدار است. برای رسیدن به امنیت پایدار، سیستم باید مانند بدن انسان از سیستم ایمنی قوی و آسیب‌ناپذیری برخوردار باشد، یک انسان با سیستم ایمنی قوی، با هر حمله و آلودگی از پا در نمی‌آید. با در نظر داشتن این اصل معتقدم ، هرقدر که سامانه‌ها و سرویس‌های خودمان را قوی‌تر کنیم، به امنیت پایدار نزدیک‌تر خواهیم شد. البته لازم به ذکر است که نفوذگران و هکرها، بدافزارها و … همواره یک گام از سیستم‌های امنیتی جلوتر هستند.

مدیر شبکه و امنیت شرکت فام با بیان اینکه امنیت، مقوله‌ای نسبی است تصریح کرد: «امنیت وجوه گوناگونی دارد و حوزه‌های متفاوتی از فیزیکی، زیرساختی، نرم‌افزاری، سخت‌افزاری، نیروی انسانی و … را در برمی‌گیرد، برای ایجاد امنیت در حوزه‌های بانکی اشراف بر تمام این موارد ضروری است.»

به گفته او، تیم امنیت فام برای آگاهی از نقاط ضعف و آسیب‌پذیری‌های کلی سامانه‌ها با مرکز راهبردی افتا و نهادهای بالادستی تعامل تام داشته و سعی می‌کند این مشکلات را در محصولات و نرم‌افزارهای فام برطرف کند.

طبق صحبت‌های کوثری، راهکارها و ابزارهای امنیتی در شرکت‌های فناوری محور راهکارهای متعارف و معمول هستند و به‌اصطلاح سهل و ممتنع‌اند. و مهم استفاده مؤثر از این ابزارها برای تأمین امنیت و چگونگی چرخه ارتباطی میان آنهاست.

او با اشاره به اقدامات پس از حمله در فام نیز توضیح داد: «تیم‌های امنیت فام سطوح گوناگونی دارد. در شرایط بحران تصمیم‌سازان مدیریتی و راهبردهای تیم‌های شبکه نقش مهمی را در شرایط بعد از حمله ایفا می‌کنند. ارزیابی حادثه به‌سرعت انجام می‌گیرد و سپس به سازمان‌های مربوطه اطلاع داده می‌شود و بر اساس دامنه حمله، تدابیر اندیشیده می‌شود. البته این برنامه‌ریزی‌ها برای پیشگیری است و خوشبختانه تاکنون فام مشکلی در این زمینه نداشته است.»

او در ادامه افزود: «به‌عنوان‌مثال در پاسخ‌دهی به درخواست تولید سامانه‌های نرم‌افزاری امن، آزمایشگاه امنیت سایبری، چرخه امن تولید نرم‌افزار و همچنین امنیت در تمام لایه‌ها را ارائه خواهد کرد. با این هدف، از یک‌سو تولید نرم‌افزار امن، بر اساس چرخه‌ امن تولید نرم‌افزار خواهد بود. بدین ترتیب، الزامات امنیتی از فاز نیازمندی‌ها مدنظر قرارگرفته و این الزامات در مرحله تولید پیش‌نیازهای این نرم‌افزار گنجانده می‌شوند. پس‌ازآن در مراحل بعدی، با پیشرفت تولید نرم‌افزار در فازهای بعدی، این الزامات پیگیری شده و نسبت به پیاده‌سازی آنها اطمینان حاصل خواهد شد. از سوی دیگر، در مرحله استقرار و انتشار نرم‌افزار، اقدام به بررسی امن‌سازی تمام لایه‌های نرم‌افزار از قبیل سیستم‌عامل، وب‌سرور، پایگاه‌داده و محیط شبکه این سامانه خواهد کرد.»

به گفته او ایمن‌سازی محصولات و سامانه‌ها اولویت واحد شبکه و امنیت فام است که قرار است از طریق آزمایشگاه سایبری صورت پذیرد.


کمبود نیروی انسانی


کریم کوثری با اشاره به اینکه بزرگ‌ترین چالش حوزه آی‌تی، کمبود نیروی متخصص انسانی است بیان کرد: «اولین مانع پیاده‌سازی طرح‌های عملیاتی برای یک مدیر، نیروی انسانی کارا و کارشناس کارآمد است.»

او تحریم‌های حاکم بر کشور را به‌عنوان یکی دیگر از چالش‌های امنیتی معرفی کرد و توضیح داد: «استفاده از تجارب، سیستم‌ها و نمونه‌های موفق، نیازمند ارتباط بیرونی است، تحریم‌ها دسترسی شرکت‌های فناوری به‌ویژه بخش‌های امنیتی را محدود کرده‌اند هرچند که در کشور ما محصولات و ابزارهای امنیتی بومی‌سازی شده‌اند و در حال حاضر فایروال‌ها، وف و HSMهای ایرانی با کارایی نسبتاً خوب در بازار ایران وجود دارد، این تجهیزات لازم اما کافی نیستند.»

او در پایان گفت: «شرکت‌های فناوری محور به هدف متعارف و مجاز حمله تبدیل‌شده‌اند و در این شرایط، تصمیم‌ها به‌گونه‌ای اتخاذ می‌شود که امنیت به شکلی که باید موردتوجه قرار نمی‌گیرد. و ذیل ملاحظاتی قرارگرفته که به امنیت ضربه می‌زند.»

منبع فام
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.