پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
مدیر راهکارهای اوراکل رمیس در گفتوگو با راه پرداخت بیان کرد: امنیت زیرساختی؛ مهمترین سپر دفاعی بانکها در برابر حملات سایبری
حملات سایبری اخیر به دو بانک بزرگ کشور بار دیگر زنگ خطر جدی را درباره ضعفهای زیرساختی در نظام بانکی به صدا درآورد. به همین بهانه راه پرداخت گفتوگویی با سعید شجاعی، مدیر راهکارهای اوراکل رمیس داشته تا علت آسیبپذیری زیرساختهای بانکی را بررسی کند و راهکارهایی را برای رفع این مشکلات پیشنهاد دهد.
شجاعی استفاده از زیرساختهای بدون لایسنس، نبود بهروزرسانیهای امنیتی، وابستگی بیش از حد به یک برند خاص و بیتوجهی به سرمایهگذاری در تجهیزات خاصمنظوره را از جمله دلایلی دانست که زمینه نفوذ مهاجمان را فراهم کردهاند.
اهمیت امنیت سایبری در لایه زیرساخت
شجاعی درباره اهمیت امنیت سایبری در لایه زیرساخت بیان کرد: «این موضوع در کشور ما بهویژه پس از حملات سایبری اخیر به دو بانک، اهمیت مضاعفی پیدا کرده است. امنیت سایبری در سطح زیرساخت یکی از حیاتیترین بخشهای امنیت اطلاعات بانکها محسوب میشود. در صورتی که زیرساخت آسیب ببیند، کل سازمان با تهدیدی جدی مواجه خواهد شد. آنچه در رخدادهای اخیر مشاهده کردیم، نشان داد که بخشی از حملات به دلیل ضعف زیرساخت و بخشی دیگر به دلیل فقدان زیرساخت مناسب رخ داده و همین مسئله خسارات مالی و اعتباری سنگینی نهتنها به صنعت بانکداری، بلکه به کشور وارد کرده است. در چنین شرایطی، بهرهگیری از راهکارهای بهروز و استاندارد مدیریت زیرساخت، اهمیت مضاعف پیدا میکند.»
او افزود: «یکی از جملاتی که این روزها شنیدم و از نظر من بسیار درست است، این است که: «مسئله این نیست که ما چه راهکاری برای مواجه شدن با مخاطرات پیشبینی کردهایم؛ مسئله این است که کی نوبتمان میشود، آنجا میتوان ارزیابی دقیقی از اقدامات داشت.»
مشکلات رایج زیرساختها و زمینهسازی برای حملات سایبری
مدیر راهکارهای اوراکل رمیس یکی از مشکلات اساسی زیرساختهای سازمانها، بهویژه در حوزه پایگاههای داده را استفاده از نرمافزارها و گاه سختافزارهایی که یا فاقد لایسنس رسمی یا نسخههای کرکشده هستند دانست و گفت: «این وضعیت سبب میشود که سازمانها نتوانند از بهروزرسانیها و وصلههای امنیتی بهرهمند شوند و درنتیجه، حتی در برابر حملات ساده نیز آسیبپذیر میمانند.»
براساس گزارشی از Cybersecurity Ventures در سال ۲۰۲۴، بیش از ۷۵ درصد نفوذهای امنیتی ناشی از، استفاده از زیرساختها و یا نرمافزارهای قدیمی، کرکشده و غیررسمی بوده است.
شجاعی با بیان این که نبود تنوع برند در کشور و وابستگی بیشازحد به یک برند خاص نیز به این آسیبپذیری دامن میزند، گفت: «همواره توصیه میشود که زیرساختها بهصورت چندبرندی (مولتیوندور) طراحی شوند، اگرچه چالشهایی در زمینه یکپارچگی به وجود میآید اما در زمان بروز حملات، زیرساختهای متنوع میتوانند تابآوری سازمان را افزایش دهند.»
به گفته او، استفاده از لایسنسهای غیررسمی در حوزه مجازی سازی ، نبود بهروزرسانیهای زیرساختی و طراحی تکبرندی از جمله عواملی هستند که بهطور جدی در وقوع حوادث اخیر نقش داشتهاند.
اهمیت انتخاب صحیح تجهیزات و تفکیک سختافزارهای خاصمنظوره و عاممنظوره
مدیر راهکارهای اوراکل رمیس با اشاره به سخنرانی که در رویداد «زیرساخت دیجیتال» داشت، عنوان کرد: «در این رویداد بهتفصیل درباره دو نوع سختافزار صحبت کردم: سختافزارهای خاصمنظوره و عاممنظوره. هر یک از این دستهها ویژگیهای خاص خود را دارند و سازمانها باید با توجه به نیازهای مشخص خود، انتخاب درستی در استفاده از آنها داشته باشند. اگر تجهیزاتی که برای نیازهای خاص طراحی شدهاند، در جای درست به کار گرفته شوند، در شرایط بحرانی میتوانند پاسخهای مناسبتری ارائه دهند.»
او افزود: «در حملات اخیر، اگر از زیرساختهای خاص برای حوزه دیتا استفاده شده بود، از جمله تجهیزات ویژه برای پایگاه دادههای اوراکل، احتمالاً شرایط بهتری برای مقابله یا بازیابی وجود داشت؛ زیرا این تجهیزات بهطور خاص برای مواجهه با حملات و ایجاد قابلیت ریکاوری طراحی شدهاند.»
ارزشگذاری داده و ضرورت سرمایهگذاری در امنیت
شجاعی با اشاره به تصمیمگیری درخصوص ارزشگذاری دادهها و هزینهکرد در حوزه امنیت گفت: «واقعیت این است که دادهها امروز جزو ارزشمندترین داراییهای سازمانها هستند. گزارش شرکت IBM در سال ۲۰۲۴ نشان میدهد که یک نقص ساده امنیتی در سطح جهانی، بهطور متوسط بیش از ۵ میلیون دلار خسارت در پی دارد.»
او افزود: «با توجه به اتفاقات اخیر در کشور، لازم است متناسب با ارزش دادهها و سرویسهای سازمان، سرمایهگذاری مناسبی در حوزه امنیت زیرساخت انجام شود. امنیت سایبری در سطح سختافزار، ارتباط مستقیمی با میزان ارزش سرویسدهی سازمان دارد. بسیاری از شرکتهای بینالمللی به این نتیجه رسیدهاند که باید حداقل ۱۰ تا ۱۵ درصد از ارزش دادهها و سرویسدهی را صرف راهکارهای افزایش تابآوری در حوزه زیرساخت کنند تا از خسارات گسترده جلوگیری شود؛ از جمله نصب فایروال خاص دیتابیسها، ایجاد لایههای پشتیبانگیری و بهرهگیری از زیرساختهای مقاوم در شرایط بحرانی.»
نمونههای جهانی از حملات سایبری و اهمیت آمادگی زیرساخت
مدیر راهکارهای اوراکل رمیس با اشاره به این که در سال ۲۰۱۷ شرکت بزرگی هدف حمله باجافزاری «ناتپتیا» قرار گرفت، اظهار کرد: «این شرکت در همان سال اعلام کرد که این حمله بیش از ۳۰۰ میلیون دلار خسارت به آن وارد کرده است؛ بیش از ۷۰ درصد این خسارت ناشی از آسیبپذیری زیرساختی بود. همچنین شرکت Equifax در همان سال اعلام کرد که به دلیل ضعف در زیرساخت، متحمل ۴ میلیارد دلار خسارت شده است.»
او ادامه داد: «در مقابل، بانکهایی که از سختافزارهای خاصمنظوره و راهکارهای بازیابی خاص مانند Zero Data Loss از شرکت Oracle استفاده کردهاند و یا راهکاری مانند Oracle Exadata کنار سایر راهکارهای سختافزاری سازمانها، توانستهاند یا از حملات جلوگیری کنند یا در کوتاهترین زمان ممکن بازیابی انجام دهند؛ بنابراین رابطه مستقیمی میان ارزش سرویس و سرمایهگذاری در سختافزارهای مناسب وجود دارد.»
پیشنهادهایی برای ارتقای زیرساختها در شرایط فعلی
شجاعی با اشاره به اتفاقات اخیر محصولاتی را برای ارتقای زیرساختها پیشنهاد کرد: « Oracle Exadataمحصولی که برای پایگاههای داده اوراکل طراحی شده و امکان ذخیرهسازی، پردازش و ریکاوری با مقاومت بالا در برابر نفوذ را فراهم میکند. Oracle PCA راهکاری مناسب برای جایگزینی زیرساختها و نزمافزاریهای مجازیسازی غیررسمی و کرکشده در سازمان بوده و محصول Oracle ZDLRA محصولی بسیار ارزشمند در حوزه پشتیبانگیری از دیتابیسهای اوراکل و محافظت از سازمان برای از بین نرفتن حتی یک رکورد است.»
او افزود: «این محصولات قرار نیست تمام مشکلات را حل کنند، اما در شرایطی که به دنبال کاهش وابستگی و طراحی زیرساختهای مقاوم هستیم، بسیار مؤثر خواهند بود.»
سرمایهگذاری در زیرساختهای دیجیتال، بهویژه با محوریت تغییر رویکرد، نه صرفاً با نصب چند فایروال بلکه با طراحی صحیح و مقاومسازی همهجانبه، باید در اولویت هر سازمانی قرار گیرد. در غیر این صورت، در آینده هزینههای بسیار سنگینتری به سازمان تحمیل خواهد شد.