بانک‌‌ها در خط مقدم‌ تهدیدات سایبری

نویسنده: راه پرداخت در تاریخ 14 شهریور سال 1394 ساعت 12:38 0

انسان، ضعیف‌ترین حلقه در زنجیره امنیت است و اگر فرهنگ‌سازی و آموزش لازم و کافی درزمینهٔ امنیت صورت نگیرد تمام تمهیدات فنی و کارشناسی تأثیر خود را از دست خواهند داد. ایجاد امنیت در دنیای سایبری کار آسانی نیست و بی‌توجهی و دست‌کم گرفتن خطرهای فضای مجازی باعث افزایش تهدیدهای امنیتی می‌شود.

از همین روی مرکز فابا در روز چهارشنبه بیستم خردادماه 1394 اقدام به برگزاری سمینار تخصصی «تهدیدات نوین امنیتی» با حضور فعالان امنیت اطلاعات در حوزه بانکداری و صاحب‌نظران این عرصه کرد که طی آن تعدادی از متخصصان کشورمان به مطرح کردن مباحثی باهدف فرهنگ‌سازی و آموزش درزمینهٔ لزوم توجه به اهمیت امنیت اطلاعات به‌ویژه در بستر بانکداری الکترونیکی در ایران پرداختند. در آغاز این سمینار دکتر بیات، رئیس مرکز فابا، درباره اهمیت برگزاری این قبیل سمینارها توسط این مرکز چنین گفت: برای توسعه هر امری به‌ویژه فناوری‌های نوین به زیرساخت‌های ارتباطی و فنی که شرط ایجاد هستند، زیرساخت‌های حقوقی که شرط استقرارند و زیرساخت‌های فرهنگی که شرط توسعه هستند، نیاز داریم.

وی ادامه داد: معمولاً در کشورهایی مثل ایران فرایند توسعه را جدی نمی‌گیرند و ما آن‌قدری که به دنبال ارتقای سخت‌افزار و نرم‌افزار هستیم در پی ایجاد قوانین مناسب و فراهم ساختن زیرساخت‌های فرهنگی نیستیم. بیات افزود: دلیل انتخاب موضوع امنیت برای این نشست، سیال بودن این جریان است که ما را هرروز با تهدید جدیدی مواجه می‌سازد. دلیل دوم اینکه عمده این ناامنی‌ها و تهدیدها متوجه مسائل مالی و بنگاه‌های اقتصادی و نظام بانکی است که اغلب به‌واسطه حفره‌های امنیتی موجود روی می‌دهد. دلیل سوم این انتخاب، ارتباط مستقیم میان اعتماد و امنیت است و ناامنی نه‌فقط سرمایه مادی بلکه سرمایه معنوی بانک یعنی مشتریان را از آن‌ها می‌گیرد.

ایران سومین قربانی حملات سازمان‌دهی شده در جهان در ادامه دکتر محمدعلی اخایی، عضو هیئت‌علمی دانشگاه تهران و عضو انجمن رمز، به موضوع سرقت یک‌شبه از 100 بانک در جهان که به دلیل بی‌احتیاطی کارکنان آن‌ها در رعایت مسائل امنیتی رخ داده بود، اشاره کرد و گفت: هرقدر هم که امنیت درزمینهٔ سخت‌افزاری و نرم‌افزاری رعایت شود، بازهم امنیت کاربر به‌راحتی قابل شکستن است.

وی سپس بابیان آمارهای شرکت امنیتی کسپرسکی به بررسی وضعیت ایران نسبت به سایر کشورها به لحاظ امنیتی پرداخت و اظهار داشت: ایران در حملات سازمان‌دهی شده که برحسب IP قربانیان بررسی‌شده، مقام سوم را دارد و با افزایش استفاده از فیلترشکن در کشور، هجوم تروجان‌ها نیز به کاربران افزایش یافته است و ما در این زمینه هم در سه‌ماهه دوم 2014 رتبه سوم را داشته‌ایم. ایران همچنین طبق این آمارها ازنظر تهدیدهای سایبری در رتبه‌ ششم جهان قرار دارد.

دکتر اخایی تأکید کرد: با این اوصاف ضرورت سرمایه‌گذاری در امنیت فضای مجازی در کشور احساس می‌شود. ما در این زمینه فارغ‌التحصیلان نخبه و دانش لازم را داریم اما صبر استراتژیک لازم است تا این دانش را تبدیل به محصول کرده و به تجاری‌سازی برسانیم. بانک‎‌ها اکنون برای رسیدن به درجه بالا اطمینان و امنیت خود در کنار وجود این دانش به تربیت نیروی متخصص و متعهد نیاز دارند.

رشد قابل‌توجه جرائم آنلاین بانکی

سرهنگ علی نیک‌نفس، رئیس مرکز تشخیص و پیشگیری جرائم سایبری، نیز در سخنانی به روند افزایشی کلاه‌برداری‌های آنلاین در کشور اشاره کرد و گفت: از حدود 14 هزار پرونده کلاه‌برداری که سال گذشته در کشور داشتیم حدود 61 درصد آن‌ها مربوط به کلاه‌برداری آنلاین بوده است که گاهی مبالغی بسیار بالا نیز داشته است. ما طی سال 93 درزمینهٔ کلاه‌برداری آنلاین چیزی حدود 170 پرونده داشته‌ایم. البته این افزایش جرائم مالی آنلاین در تمام دنیا روند افزایش دارد و در آمریکا طی سال‌های 2010 تا 2014 میزان سرقت آنلاین رقمی نزدیک به 5/21 میلیارد دلار بوده و در انگلستان نیز شاهد رشد 47 درصدی جرائم آنلاین بانکی هستیم. وی ادامه داد: 75 درصد پرونده‌های تشکیل‌شده در فتا مربوط به افرادی است که در حفظ اطلاعات خود اشتباه کرده و آن‌ها را به طریقی در معرض دسترسی هکرها قرار داده‌اند. این نشان می‌دهد که انسان، ضعیف‌ترین حلقه در زنجیره امنیت است و اگر در این زمینه فرهنگ‌سازی و آموزش صورت نگیرد، تمام تمهیدات فنی و کارشناسی بی‌اثر می‌شوند. سرهنگ نیک‌نفس تصریح کرد: امروزه شاهدیم که بانک‌ها بستر بانکداری الکترونیکی را از طریق لپ‌تاپ و گوشی هوشمند برای افراد فراهم کرده‌اند اما آموزش لازم را برای استفاده درست و مناسب از این امکانات به آن‌ها نداده‌اند و همین موضوع آسیب‌پذیری افراد را در فضای سایبری افزایش داده است. در ادامه سمینار مهندس افشین لامعی، کارشناس ارشد امنیت اطلاعات، طی سخنانی به‌مرور بایدها و نبایدهایی در راستای اثربخشی امنیت پرداخت و ضمن اشاره به این جمله معروف یک کارشناس امنیت آمریکایی مبنی بر اینکه «امنیت، یک محصول نیست بلکه یک فرایند است»، اظهار داشت: ما هنوز هم در ایران به‌طور میانگین این مشکل را داریم که به امنیت به‌عنوان یک فرایند نگاه نمی‌کنیم. وی با تأکید بر اهمیت نقش فناوری در پیشگیری از بحران امنیتی، گفت: برای مصونیت در امنیت باید شبکه‌ای قابل دفاع ایجاد کرد. شبکه‌‌ای قابل دفاع است که قابل پایش باشد و در یک شبکه قابل پایش،IP ها قابل‌شناسایی و کنترل هستند. یک شبکه قابل دفاع تا حد امکان کوچک است و از سرویس‌ها و پورت‌ها و اپلیکیشن‌ها در حد نیاز و به کمترین میزان ممکن استفاده می‌کند. چنین شبکه‌ای دائم ارزیابی و به‌روزرسانی می‌شود.

مهندس تینا تعویذی نیز طی سخنانی، جدیدترین روش‌های حمله علیه سرویس‌های بانکی در بانکداری همراه را برشمرد و به معرفی بدافزارهای مالی رایج و هشدار درباره روند افزایشی حملات DDOS در سال 2015 پرداخت و تصریح کرد: نبود شناخت کافی درباره زیرساخت‌های شبکه‌های موبایلی و عدم شناخت انواع مؤلفه‌های امنیتی موردنیاز ازجمله مسائلی است که درزمینهٔ امنیت بانکداری موبایلی برای ما ایجاد مشکل می‌کند و باید به آن‌ها توجه شود. سپس مهندس بهادر نظری‌فرد، مدیرعامل شرکت آی وین و فعال درزمینهٔ تولی HSM، به بررسی ملاحظات امنیتی مجازی‌سازی پرداخت و گفت: برقراری امنیت در دنیای سایبری کار آسانی نیست و در دنیای امروز اشتباهات رایجی در مورد بستر مجازی وجود دارد که به تهدیدهای امنیتی دامن می‌زند. وی افزود: این تصورات اشتباه که فضای مجازی امن است و قدرت به‌روزرسانی خودکار دارد، کسی به آن دسترسی نداشته و هک کردن را کاری دشوار پنداشتن و نیز وجود این تصور که کسی دارای دانش بستر مجازی نیست و همه اندیشه‌هایی ازاین‌دست ما را به این سمت می‌برد که امنیت اطلاعات خود را در فضای سایبری به خطر بیندازیم. نباید به بستر مجازی تا این حد خوش‌بین بود و بهتر است که در موارد غیرضروری از آن استفاده نکرد. باید همواره رعایت دستورالعمل‌ها و استانداردهای بین‌المللی را در نظر داشت و زیرساخت‌های مجازی را پایش و محافظت کرد تا از آسیب‌های جدید تهدیدهای امنیتی دنیای امروز مصون ماند. دکتر سیاوش بیات سرمدی نیز که مدیر بخش آزمایشگاه امنیت و اعتماد سخت‌افزار دانشگاه شریف است، بر نقش و اهمیت سخت‌افزارها برای پیاده‌سازی امن و ایجاد کارایی، اعتماد و امنیت تأکید کرد و به مواردی در دنیا اشاره کرد که ناامنی اطلاعات از دست‌کاری سخت‌افزارها و نصب قطعات آلوده و بی‌کیفیت آغاز می‌شود و این امر در مواردی آگاهانه و به‌قصد سرقت اطلاعات صورت می‌پذیرد. در بخش پایانی سمینار نیز یک میزگرد تخصصی با شرکت مهندس عبدالحمید منصوری، مدیرعامل شرکت مقیاس بزرگ توسن، دکتر علیرضا صالحی، مدیرعامل هلدینگ رسانه‌ای دیده‌بان، مهندس افشین لامعی، پژوهشگر امنیت اطلاعات و مهندس محمد تسلیمی، معاون مرکز ماهر تشکیل شد.

افزایش سرانه کارت‌بانکی و اهمیت فرهنگ‌سازی

مهندس منصوری در ابتدا با اشاره به تمام مباحثی که راجع به آسیب‌پذیری و تهدیدات فراوان حوزه بانکداری الکترونیکی کشور در این سمینار مطرح شده بود به تأکید بر این موضوع پرداخت که روند توسعه بانکداری الکترونیکی و استقبال مردم از آن قابل‌توجه است و توسعه و امنیت را دو وظیفه اساسی دانست که باید تعادل را در اجرای آن‌ها حفظ کرد. این روند همواره جاری بوده و همیشه هکرها از ما جلوتر بوده‌اند اما این باعث نمی‌شود که ما از حرکت بمانیم و کاری نکنیم.

وی اظهار داشت: سرانه کارت‌بانکی طبق آمار بانک مرکزی به عدد 14 رسیده و این ضرورت را به وجود می‌آورد که ما در کنار توسعه بانکداری الکترونیکی به مباحث امنیتی آن نیز توجه فراوان داشته باشیم. مهندس منصوری در ادامه تأکید کرد: شاخص‌های امنیتی تراکنش باید در نظام پرداخت کشور ما تعریف شود. نقش شاخص‌ها در افزایش امنیت تراکنش‌ها بسیار مهم است. ما باید مطمئن باشیم که تراکنش‌ها، صحیح به ما برسند.

ارتقای امنیت با نهادینه‌سازی رفتار نامناسب

دکتر صالحی نیز به بیان مطالبی پیرامون آگاهی‌رسانی امنیتی پرداخت و گفت: برنامه آگاهی‌رسانی امنیتی شامل مجموعه دانش و رفتار اعضای یک سازمان است که به‌منظور حفاظت از دارایی‌های دیجیتال سازمان روی می‌دهد. آموزش نیروی انسانی بسیار مهم است و این موضوع که افراد در سازمان‌ها خود را بخش عمده‌ای از زنجیره تأمین امنیت نمی‌دانند برای آن سازمان مشکل‌ساز است.

وی از کاربران به‌عنوان ضعیف‌ترین حلقه در زنجیره تأمین امنیت نام برد و در این مورد به آمارهای جهانی اشاره کرد که همگی می‌گویند درصد بالایی از نشت اطلاعات در سازمان‌ها ناشی از بی‌توجهی و اشتباه افراد در رعایت نکات امنیتی ساده است.

دکتر صالحی برنامه آگاهی‌رسانی امنیتی را لازمه حفظ امنیت اطلاعات معرفی کرد که هدف کلی آن تغییر رفتار نامناسب و نهادینه‌سازی رفتار مناسب است در قالب برنامه‌های مستمر، پویا و تکرارشونده که دائم به‌روزرسانی می‌شوند. سپس مهندس لامعی بر اهمیت توجه به امنیت اطلاعات در سازمان‌ها تأکید کرد و ضمن اشاره به تعریف یک کمیته امنیت اطلاعات در استاندارد ایزو 27001 ابراز امیدواری کرد که ایجاد این کمیته در درون سازمان‌های کشور تحت این نام یا نام‌هایی نظیر کمیته راهبردی یا اجرایی امنیت که اکنون در اکثر سازمان‌ها شکل‌گرفته، واقعاً بتواند با توجه به مسائل فرهنگی موجود به ساختار امنیت سازمانی کمک کند.

درنهایت نیز مهندس محمد تسلیمی در خصوص اهداف مرکز ماهر به‌عنوان بازوی نظارت و پیشگیری سازمان فناوری اطلاعات درزمینهٔ امنیت فضای سایبری توضیحاتی ارائه کرد و خواستار همراهی و هماهنگی بیشتر بانک‌های کشور درزمینهٔ ارتقای سطح امنیت سایبری شد.

منبع: دیده‌بان