پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
اجرای تستهای امنیتی در مرحله طراحی و تولید توسط آزمایشگاه امنیت سایبری است
در گفتوگو با مدیر شبکه و امنیت فام در خصوص رویکردهای امنیتی فام مطرح شد
شرکت تجارت الکترونیک و فناوری اطلاعات ملل (فام) سال ۱۳۹۵ تأسیس شد. این شرکت درواقع بازوی فناوری اطلاعات مؤسسه ملل است و در حال حاضر نرمافزارهای جامع بانکی، اینترنت و همراه بانک، متابانک (نئوبانک ملل)، نرمافزار جامع پرداخت فام، سامانه دیتامیت، سامانه کارت اعتباری، سامانه مبارزه با پولشویی، سامانه سوئیچ پرداخت، سامانه استعلام حاکمیتی، سامانه پرداخت یاری، سامانه نوبتدهی و … را در سبد محصولات خود دارد. در این گزارش گفتوگویی با کریم کوثری، مدیر شبکه و امنیت شرکت فام انجام شده است و او به تشریح رویکردهای امنیتی جدید فام پرداخته و از اهمیت اجرای تستهای امنیتی در مراحل طراحی و تولید نرمافزارها از طریق آزمایشگاه امنیت سایبری خبر داده است.
به گزارش روابط عمومی تجارت الکترونیک و فناوری اطلاعات ملل (فام)، عمده تمرکز فام به محصولات بانکی و پرداختی معطوف شده است. اهمیت دیتا در این حوزهها موضوعی حیاتی است. در همین راستا با کریم کوثری، مدیر شبکه و امنیت شرکت فام، درباره رویکردهای امنیتی فام به گفتوگو نشستهایم.
بر اساس گفتههای کریم کوثری، مدیر شبکه و امنیت شرکت فام، نهادهای واسطه مالی، نقش اساسی در اقتصاد کشورها ایفا میکنند و وظیفه نگهداری و پردازش اطلاعات کاربران را بر عهده دارند.
این نقش مهم، همواره نگرانیهایی را برای آنها در زمینه امنیت اطلاعات کاربرانشان به وجود میآورد. این نگرانیها، چه در سطح نهادهای بالادستی مانند بانک مرکزی، یا در سطح مدیران مؤسسات مالی و اعتباری منجر به ایجاد درخواستهایی در خصوص امنیت اطلاعات میشود.
پاسخگویی به این درخواستها، همواره یکی از دغدغههای اصلی واحدهای امنیت در این سازمانهاست.
اقدامات واحد امنیت
شرکت فام نقش و مسئولیت بسیار خطیری در زمینه امنیت سامانهها، سرویسها و اطلاعات مؤسسه اعتباری ملل بر عهده دارد. بر این اساس، واحد شبکه و امنیت این شرکت بهعنوان متولی اصلی امنیت اطلاعات در مؤسسه اعتباری ملل، با توجه به نیازمندیهای امنیتی، همواره برنامهریزی و اقداماتی انجام داده است که در سه بخش کلی به ارائه خدمات میپردازد:
بخش مدیریت امنیت اطلاعات (ISMS): مسئولیت تدوین سیاستها، اهداف، استراتژیها، مستندات شناخت و ارزیابی مخاطرات را بر عهده دارد.
واحد پاسخگویی به رخدادهای امنیتی (SOC): زیرساختی است که با نظارت و تحلیل وضعیت امنیتی نسبت به واکنش نشان دادن به رخدادهای امنیت سایبری تصمیمگیری و اقدام میکند.
آزمایشگاه امنیت سایبری: باهدف پاسخگویی به نیازمندیها در زمینه سامانههای، ارزیابی امنیتی، امنسازی در تمام لایه و همچنین تیم قرمز به ارائه خدمات میپردازد.
ضرورت آزمایشگاه امنیت سایبری در بانکها و مؤسسههای مالی و اعتباری
براساس گفتههای کریم کوثری، مدیر شبکه و امنیت شرکت فام اولویت واحد امنیت شرکت فام، در وهله اول، حفظ امنیت سایبری سیستم بانکی مؤسسه اعتباری ملل است و در این راستا، این واحد بر آن شده است برای اطمینان از برقراری امنیت سایبری، با بهکارگیری زیرساخت مناسب، نیروهای متخصص و همچنین فرایندهای مدون و منظم، پاسخدهی به نیازمندیهای امنیتی این سازمان را هدفمند و چابک سازد. برای تحقق این امر، درحالتوسعه یک آزمایشگاه امنیت سایبری است.
او افزود: «ازاینپس نیازمندیهای امنیتی مؤسسه اعتباری ملل، در قالب خدماتی، در آزمایشگاه امنیت سایبری پاسخدهی خواهند شد.»
کوثری بیان کرد: «با گسترش نقش فناوری اطلاعات در زندگی روزمره افراد جامعه، پاسخدهی چابک، دقیق و قابل پیادهسازی، نسبت به تهدیدهای سایبری، همواره یکی از دغدغههای سازمانهای فعال در حوزه فناوری اطلاعات، بهخصوص سازمانهای فعال در حوزه بانکی است. باهدف پاسخدهی به این نگرانیها در مؤسسه اعتباری ملل، فرایندهایی در آزمایشگاه امنیت سایبری در نظر گرفتهشده است تا مسیر و نقشه راه پاسخدهی به درخواستهای امنیتی مشخص باشد.»
به گفته کوثری سایر خدمتهای آزمایشگاه امنیت سایبری مؤسسه اعتباری ملل نیز به همین شکل ارائه میشوند تا با اتخاذ رویکردی سختگیرانه، اطمینان حاصل شود که با بهرهگیری از آخرین استانداردها و بهترین تجربیات بینالمللی، نسبت به ارتقاء امنیت سایبری مؤسسه اعتباری ملل اقدام خواهد شد.
اولویتهای امنیتی فام
از نگاه کریم کوثری، امنسازی سامانهها و سرویسهای سایبری، مانند تقویت سیستم ایمنی بدن در برابر آلودگیهاست و تجهیزات امنیتی تجاری مانند فایروال و WAF و …بهعنوان آخرین لایه امنیتی، حکم ماسک یا دستکش برای جلوگیری از ورود آلودگی به بدن را دارند. با این تشبیه، امنیت ناشی از سیستم ایمنی، امنیت پایدار است. برای رسیدن به امنیت پایدار، سیستم باید مانند بدن انسان از سیستم ایمنی قوی و آسیبناپذیری برخوردار باشد، یک انسان با سیستم ایمنی قوی، با هر حمله و آلودگی از پا در نمیآید. با در نظر داشتن این اصل معتقدم ، هرقدر که سامانهها و سرویسهای خودمان را قویتر کنیم، به امنیت پایدار نزدیکتر خواهیم شد. البته لازم به ذکر است که نفوذگران و هکرها، بدافزارها و … همواره یک گام از سیستمهای امنیتی جلوتر هستند.
مدیر شبکه و امنیت شرکت فام با بیان اینکه امنیت، مقولهای نسبی است تصریح کرد: «امنیت وجوه گوناگونی دارد و حوزههای متفاوتی از فیزیکی، زیرساختی، نرمافزاری، سختافزاری، نیروی انسانی و … را در برمیگیرد، برای ایجاد امنیت در حوزههای بانکی اشراف بر تمام این موارد ضروری است.»
به گفته او، تیم امنیت فام برای آگاهی از نقاط ضعف و آسیبپذیریهای کلی سامانهها با مرکز راهبردی افتا و نهادهای بالادستی تعامل تام داشته و سعی میکند این مشکلات را در محصولات و نرمافزارهای فام برطرف کند.
طبق صحبتهای کوثری، راهکارها و ابزارهای امنیتی در شرکتهای فناوری محور راهکارهای متعارف و معمول هستند و بهاصطلاح سهل و ممتنعاند. و مهم استفاده مؤثر از این ابزارها برای تأمین امنیت و چگونگی چرخه ارتباطی میان آنهاست.
او با اشاره به اقدامات پس از حمله در فام نیز توضیح داد: «تیمهای امنیت فام سطوح گوناگونی دارد. در شرایط بحران تصمیمسازان مدیریتی و راهبردهای تیمهای شبکه نقش مهمی را در شرایط بعد از حمله ایفا میکنند. ارزیابی حادثه بهسرعت انجام میگیرد و سپس به سازمانهای مربوطه اطلاع داده میشود و بر اساس دامنه حمله، تدابیر اندیشیده میشود. البته این برنامهریزیها برای پیشگیری است و خوشبختانه تاکنون فام مشکلی در این زمینه نداشته است.»
او در ادامه افزود: «بهعنوانمثال در پاسخدهی به درخواست تولید سامانههای نرمافزاری امن، آزمایشگاه امنیت سایبری، چرخه امن تولید نرمافزار و همچنین امنیت در تمام لایهها را ارائه خواهد کرد. با این هدف، از یکسو تولید نرمافزار امن، بر اساس چرخه امن تولید نرمافزار خواهد بود. بدین ترتیب، الزامات امنیتی از فاز نیازمندیها مدنظر قرارگرفته و این الزامات در مرحله تولید پیشنیازهای این نرمافزار گنجانده میشوند. پسازآن در مراحل بعدی، با پیشرفت تولید نرمافزار در فازهای بعدی، این الزامات پیگیری شده و نسبت به پیادهسازی آنها اطمینان حاصل خواهد شد. از سوی دیگر، در مرحله استقرار و انتشار نرمافزار، اقدام به بررسی امنسازی تمام لایههای نرمافزار از قبیل سیستمعامل، وبسرور، پایگاهداده و محیط شبکه این سامانه خواهد کرد.»
به گفته او ایمنسازی محصولات و سامانهها اولویت واحد شبکه و امنیت فام است که قرار است از طریق آزمایشگاه سایبری صورت پذیرد.
کمبود نیروی انسانی
کریم کوثری با اشاره به اینکه بزرگترین چالش حوزه آیتی، کمبود نیروی متخصص انسانی است بیان کرد: «اولین مانع پیادهسازی طرحهای عملیاتی برای یک مدیر، نیروی انسانی کارا و کارشناس کارآمد است.»
او تحریمهای حاکم بر کشور را بهعنوان یکی دیگر از چالشهای امنیتی معرفی کرد و توضیح داد: «استفاده از تجارب، سیستمها و نمونههای موفق، نیازمند ارتباط بیرونی است، تحریمها دسترسی شرکتهای فناوری بهویژه بخشهای امنیتی را محدود کردهاند هرچند که در کشور ما محصولات و ابزارهای امنیتی بومیسازی شدهاند و در حال حاضر فایروالها، وف و HSMهای ایرانی با کارایی نسبتاً خوب در بازار ایران وجود دارد، این تجهیزات لازم اما کافی نیستند.»
او در پایان گفت: «شرکتهای فناوری محور به هدف متعارف و مجاز حمله تبدیلشدهاند و در این شرایط، تصمیمها بهگونهای اتخاذ میشود که امنیت به شکلی که باید موردتوجه قرار نمیگیرد. و ذیل ملاحظاتی قرارگرفته که به امنیت ضربه میزند.»