لزوم نهادینه‌سازی فرهنگ امنیت اطلاعات

نویسنده: راه پرداخت در تاریخ 16 شهریور سال 1394 ساعت 20:50 0

با گسترش خدمات بانکداری الکترونیک و افزایش روزافزون تعداد تراکنش‌های مالی در این بستر، میزان تقلب‌ها و تهدیدات امنیتی نیز به شکل قابل‌توجهی در همه کشورها، رشد یافته است. نفوذگرها و متقلبان سالانه میلیاردها ریال از راه نفوذ به سامانه‌های بانکی و استفاده از انواع راهکارهای تقلب‌ به بانک‌ها و موسسات مالی ضرر می‌‌رسانند. دو مفهوم هک (Hack) و تقلب (Fraud) در ادبیات امنیت بانکداری الکترونیک به‌طور متداول استفاده می‌شوند.

واژه هک (Hack) به نفوذ و اخذ دسترسی غیرمجاز به اجزای سرویس اطلاق می‎شود و با استفاده از آسیب‌پذیری سامانه در لایه‌های مختلف نظیر شبکه، برنامه کاربردی، پایگاه داده و نظایر آن امکان‌پذیر می‌شود. درصورتی‌که سرویسی هک شود، تهدیدات گوناگونی ازجمله افشای اطلاعات، تحریف اطلاعات و از دسترس خارج کردن سرویس می‌تواند به‌عنوان نتیجه نفوذ مطرح شود. نفوذگران یا هکرها ممکن است انگیزه‏‌های مختلفی نظیر کسب درآمد، به چالش کشیدن سازمان‏‏‏‏‏‌ها و افراد یا شناسایی نقاط ضعف سیستم یا شبکه به‌‌منظور کمک به برطرف کردن آن‌ها داشته باشند. در کنار این مفهوم، واژه تقلب یا کلاهبرداری (Fraud) بانکی را نیز داریم که به مفهوم هرگونه سوء‌استفاده به‌منظور کسب پول، دارايی يا ديگر اموال متعلق به صاحبان اصلی اموال است.

ممکن است در مواردی اطلاعاتی که از نفوذ به سیستم به‌دست آمده است در تقلب مورد استفاده قرار گیرد. عموماً در تقلب‌های بانکی، شخص با دسترسی به اطلاعات کارت با روش‎های گوناگون نظیر جعل درگاه پرداخت پایانه‎ فروش (POS)، استفاده از Skimmerها در دستگاه‎های خودپرداز (نوعی از ابزار که در دستگاه‎های خودپرداز قرار داده می‎شود و اطلاعات کارت از طریق این ابزار در اختیار نفوذگر متقلب قرار می‎گیرد)، جعل درگاه پرداخت اینترنتی یا ایجاد یک سایت مشابه با درگاه پرداخت اینترنتی و استفاده از روش‎های مهندسی اجتماعی، اطلاعات لازم برای انجام یک تراکنش جعلی را به دست می‎آورد. گاه حتی این تهدیدات از طریق شبکه‎ پرداخت پذیرنده یا از طریق بدافزارها می‎تواند صورت پذیرد، نظیر حمله‎ای که در سال 2014 از طریق شبکه‎ فروشگاه‎های Target در آمریکا، توسط یک بدافزار انجام شد و اطلاعات 40 میلیون کارت اعتباری به سرقت رفت.

اگر نگاهی به روند ارائه خدمات و ترویج بانکداری الکترونیک در کشور داشته باشیم، باید اذعان کنیم که در این حوزه سریع و موثر عمل شده است، اما در ایجاد و استقرار الزامات امنیت اطلاعات در بانکداری الکترونیک در همان سطح بلوغ و اثربخشی حرکت نکرده‌ایم و البته این اختلاف تا حدی در روند سریع رشد اولیه هر فناوری قابل‌توجیه است. حتی می‌توانیم ادعا کنیم بسیاری از سرویس‌هایی که در کشور ارائه می‌شود و سهولتی که برای کاربر ایجاد می‌شود، نظیر سرویس‌های انتقال آنی کارت به کارت در نوع خود کم‌نظیر است، اما باید بپذیریم خدمات نوآورانه هم ریسک‌های خاص خودش را دارد و متاسفانه نگرش به بحث امنیت در فضای بانکداری الکترونیک، نگرش جامعی نیست. در حال حاضر در تمامی استانداردهای امنیت اطلاعات بحث مدیریت امنیت بر پایه مدیریت ریسک مطرح است و این نگرش مدیریتی در کشور ما هنوز نهادینه نشده است. لازم است در ارائه هر خدمت جدید، ریسک‌های آن شناسایی و برنامه لازم برای پاسخگویی به ریسک‌ها در کلیه سطوح از ابتدای طراحی آن خدمت یا سرویس مورد توجه قرار گیرد. یکی دیگر از نکات مطرح، عدم توجه کافی به مقوله امنیت در سطح استراتژیک است. نباید مقوله امنیت اطلاعات برای مدیران در سطح فناوری محدود شود و صرفاً با خرید تجهیزات بیشتر این تصور ایجاد شود که به امنیت بیشتری دست خواهیم یافت. نیروی انسانی و فرآیندها به مراتب نقش کلیدی‌‎تری در ارتقای سطح امنیت دارند و ضروری است این حوزه‌ها با نظارت و دقت بیشتری مدیریت شود. بپذیریم که حتی با رعایت همه کنترل‌های امنیتی، ارائه هرگونه خدمت در حوزه بانکداری الکترونیک، ریسک‌هایی نیز به همراه دارد و این موضوع در همه دنیا مطرح است ولی با آن برخورد منطقی‌تری می‌شود. همچنین این نکته را در نظر داشته باشیم که ارائه هر خدمت جدید در حوزه نظام بانکی، نیازمند زیرساخت‌های فنی، حقوقی، فرهنگی و اجتماعی است و برای ارائه خدمات امن و پایدار ضروری است که همه جنبه‌ها در ارائه خدمت و تحلیل ریسک‌ها مورد توجه قرار گیرد. تا زمانی که برداشت ما از مفهوم استقرار امنیت در بانکداری الکترونیک صرفاً توجه به مسائل فنی امنیت در سامانه‌ها باشد، می‌توان گفت متاسفانه در کشور، چندان موثر عمل نکرده‌ایم.

در همه دنیا یک رویکرد پیشگیرانه مهم در بحث امنیت بانکداری الکترونیک وجود دارد و آن این است که هر مشتری بانکی در صورتی که از مجوزهای در اختیار خود به هر شکلی سوء‌استفاده کند و از تعهدات خود در قبال بانک یا موسسه مالی تخطی کند، از دریافت خدمات بانکی به‌طور گسترده محروم خواهد شد و اعتبار خود را از دست خواهد داد و دقیقا به دلیل ذکر شده، رفتارهای متقلبانه از مشتریان بانکی و سایر افراد و سازمان‌هایی که به هر شکل مجوزی برای ارائه سرویس‌های بانکی در اختیار دارند؛ نظیر پذیرنده‌های بانکی کمتر مشاهده می‌شود. رویکرد فعلی در این زمینه در کشور ما، نیاز به بررسی و بازنگری دارد.

اما مهم‎ترین چالش در حوزه امنیت بانکداری الکترونیک در ایران، عدم آگاهی مشتریان از تهدیدات امنیتی و کم‌توجهی آنان به توصیه‎های امنیتی ارائه شده از طرف بانک‌ها و موسسات مالی است. در این حوزه نیاز به فرهنگ‌سازی و آگاهی دادن به مشتریان بانکی به‌صورت مستمر، یک ضرورت غیرقابل اغماض است.

نباید فراموش کرد که از ویژگی‌های مهم عصر دیجیتال، پویایی و سرعت تغییرات فناوری است. بدیهی است با تغییرات سریع فناوری‌ها، ماهیت آسیب‌‌پذیری‌ها و ریسک‌های امنیتی نیز در این فضا با همان سرعت تغییر می‌کند. از طرف دیگر با افزایش تنوع و حجم تبادلات داده‏ای در اکوسیستم‏‌های بزرگ، رویکردهای امنیت در فضای سایبری نیز به‌صورت بارزی دچار تحول شده است. دیگر دغدغه امنیتی بانک‌ها و موسسات مالی در فضای سایبری صرفاً جلوگیری از دزدیده شدن رمز کارت بانکی یا اطلاعات مالی کاربران نیست، بلکه در بسیاری از موارد حملات سایبری با اهداف کلان سیاسی، تجاری و … انجام می‌پذیرد. بدیهی است در چنین فضایی دیگر رویکردهای سنتی به بحث امنیت جوابگوی نیازها و چالش‌های مطرح در این فضا نخواهد بود و نیازمند تغییر رویکرد در تفکر مدیریتی و استراتژیک فعلی هستیم. امروزه رویکرد امنیت از مدیریت واکنشی و به عبارتی «پاسخ به رخداد» به رویکرد «پایش و نظارت و آمادگی برای پاسخگویی مداوم» تغییر یافته است.

برای پاسخگویی به چالش‌های آتی در امنیت اطلاعات، بانک‌ها و موسسات مالی باید مدیریت امنیت اطلاعات بر پایه «هوش امنیتی»، «مدیریت ریسک» و «کنترل و مدیریت برخط تقلب» را مورد توجه قرار دهند. باید نهادینه‌سازی فرهنگ امنیت اطلاعات مورد توجه قرار گیرد و توجه به مولفه‌های امنیتی سامانه‌ها و خدمات جزئی از فرآیند طراحی و الزامات آن تا ارائه یک خدمت محسوب شود. مدیریت امنیت به‌عنوان موضوعی استراتژیک با هدف مدیریت ریسک و استمرار کسب‌و‌کار در همه سازمان‌ها باید مورد توجه قرار گیرد. در جهان امروز امنیت فضای سایبری یک اولویت ملی است و در فضای سیاسی یا تجاری، در سطح بین‌المللی یا ملی، تهدیدات امنیت سایبری مهم‌ترین چالش آتی کشورها در تمامی حوزه‌ها خواهد بود.

نوش‌آفرین مومن واقفی / مدیر ریسک و امنیت اطلاعات شرکت خدمات انفورماتیک

منبع: دنیای اقتصاد