پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
چالشهای امنیتی شبکه بانکی در دوران پساجنگ؛ از تداوم کسبوکار تا کمبود نیروی متخصص
در ششمین رویداد CTB «باگدشت»، مدیران امنیت و فناوری اطلاعات چهار بانک از چالشهای امنیتی، فشار توسعه کسبوکار، کمبود نیروی متخصص و تجربه حملات اخیر گفتند
ششمین رویدا CTB «باگدشت» روز ۲۵ آبانماه در هتل اسپیناس پالاس برگزار شد. یکی از پنلهای این رویداد به موضوع «ضرورتهای امنیتی در بانک پس از جنگ» اختصاص داشت. در این پنل، میلاد سجادی، مدیرکل امنیت بانک تجارت؛ شادرخ، معاون مدیریت فناوری اطلاعات بانک سامان؛ سعید ایثاری، معاون فناوری اطلاعات بانک سرمایه و شهرام بخشا، معاون فناوری اطلاعات بانک توسعه تعاون، به پرسشهایی درباره وضعیت امنیت در شبکه بانکی، تجربه جنگ اخیر و حملات سایبری و آینده تداوم کسبوکار پاسخ دادند.
شکلگیری عقبماندگی امنیتی در شبکه بانکی
سعید ایثاری، معاون فناوری اطلاعات بانک سرمایه، در پاسخ به پرسشی درباره اینکه «امنیت در شبکه بانکی به چه صورت است» توضیح داد که ریشه وضعیت فعلی، در شیوه توسعه شبکه بانکی طی دو دهه گذشته قرار دارد. او با اشاره به روند ۲۰ ساله تحول نظام بانکی یادآوری کرد که دهه ۸۰ «دهه توسعه سرویس» در شبکه بانکی ایران بوده است؛ دورهای که همزمان با توسعه شبکه بانکی در جهان، با چهار تا پنج سال عقبماندگی، عمده تمرکز بر گسترش سرویسها و شکلگیری شبکه پرداخت (پیمنت) در اواخر دهه ۸۰ قرار گرفت.
ایثاری توضیح داد که در آن سالها، سرعت توسعه سرویس بهقدری بالا بود که عملاً این سؤال که «آیا این توسعه منجر به خدمات امن برای مشتریان میشود یا نه» مطرح نشد و به تعبیر او، مقوله امنیت در دهه ۸۰ «مغفول» ماند. او یادآور شد که حدود سالهای ۹۴ و ۹۵، سیستم پرداخت به ثبات نسبی رسید و شرکتهای PSP کاملتر شدند، اما پس از آن شبکه بانکی دچار یک «خواب شش تا هفتساله» شد و تا اوایل سالهای ۱۴۰۰–۱۴۰۱ بحث امنیت بهصورت جدی پیگیری نشد.
او با مقایسه این روند با ترندهای جهانی توضیح داد که در دنیا موضوع «سکیوریتی بهعنوان بخشی از بیزینس» از حدود سال ۲۰۱۰ مطرح شده، در حالی که شبکه بانکی ایران به گفته او حدود ۱۰ سال از این روند عقب مانده است. به اعتقاد ایثاری، در دورهای که بانکها از یکپارچهسازی سریع سرویسها و بالا آوردن سامانهها ذوقزده بودند، بسیاری از جزئیات حیاتی امنیتی از جمله جداسازی لایههای مختلف در سطح ادمینستریشن و مدیریت عملیات، پشتیبانگیری و دیزستر نادیده گرفته شد.
تعارض دائمی بین توسعه کسبوکار و امنیت
میلاد سجادی، مدیرکل امنیت بانک تجارت، با تأکید بر اینکه اولویت شماره یک در بانکها سالها «توسعه کسبوکار» بوده است، گفت: «چه در سطح رگولاتور و نهادهای حاکمیتی و چه در بدنه خود بانکها، رقابت بر سر توسعه بازار و جذب منابع باعث شده امنیت در عمل در حاشیه قرار بگیرد.»
او توضیح داد که معاونت فناوری اطلاعات از یکسو زیر فشار لاینهای مختلف کسبوکار برای راهاندازی سرویسهای جدید و جذب مشتری قرار دارد و از سوی دیگر باید ملاحظات امنیتی را اعمال کند.
سجادی گفت: «امنیت از نگاه کسبوکار معمولاً عاملی است که کندی ایجاد میکند، تایمتومارکت را افزایش میدهد و گاهی در تضاد با تجربه کاربری دیده میشود. به همین دلیل، معاونان فناوری اطلاعات دائماً در یک تریدآف بین امنیت و نیازهای کسبوکار قرار دارند.»
سجادی با اشاره به وضعیت رگولاتوری افزود: «تا همین سالهای اخیر هم نگاه ریسکمحور در استراتژیهای کسبوکار بانکی جا نیفتاده بود. سرویسهای آنلاین حتی برای جابهجایی مبالغ بسیار خرد طراحی شد، در حالیکه در بسیاری کشورها چنین مدل عملیاتی برای مبالغ کم معمول نیست و همین موضوع فشار مضاعفی بر زیرساخت و امنیت ایجاد کرده است.»
فشار حجم سامانهها و پیچیدگی نگهداری امنیت
سجادی در بخش دیگری از سخنان خود به ابعاد عملیاتی امنیت در بانکها اشاره کرد و توضیح داد: «بانک تجارت به تنهایی بیش از ۳۰۰ سامانه دارد و اگر تعداد سرویسهای IT را بشماریم، عدد به چند هزار سرویس میرسد. نگهداری آنلاین همه این سرویسها، آن هم در کنار الزامات امنیتی، چالشی جدی است.»
او تأکید کرد که تمرکز بانکها در سالهای گذشته بر راهاندازی یک سرویس متمرکز و آنلاین بوده و اکنون که موضوع امنیت جدیتر شده، واحدهای امنیت تلاش میکنند در کنار این سرویسدهی گسترده، ملاحظات خود را نیز به کسبوکار بقبولانند؛ موضوعی که به گفته او، بهطور طبیعی چالشبرانگیز است.
در پاسخ به پرسشی درباره نقش حراست، سجادی گفت: «حراست در همه دستگاهها، از جمله در حوزه IT، وظایفی دارد؛ اما در کنار آن، واحدهای تخصصی امنیت و سایبرسکیوریتی نیز داخل خود بانکها و در سطح رگولاتور شکل گرفتهاند که سالها در تلاش برای پیادهسازی ملاحظات امنیتی بودهاند. این تلاشها دائماً با فشار توسعه کسبوکار در تعارض قرار گرفته است.»
دستورالعملهای امنیتی رگولاتور و محدودیتهای اجرایی
شادرخ، معاون مدیریت فناوری اطلاعات بانک سامان، با اشاره به وضعیت مقرراتی در حوزه امنیت بانکی گفت: «از سمت رگولاتور، دستورالعملها و استانداردهای مختلف امنیتی تدوین شده، اما چالش اصلی در انطباق این انتظارات با شرایط واقعی فناوری اطلاعات بانکها و اکوسیستم ایران است.»
او با اشاره به تحریمها و محدودیتهای عملیاتی توضیح داد که بانکهای ایرانی برخلاف بسیاری از بانکها در دنیا، به سرویسپروایدرها و ارائهدهندگان خدمات بینالمللی دسترسی مستقیم و پشتیبانی لحظهای ندارند و برای تأمین تجهیزات و ارتقای زیرساخت گاه باید یک تا دو سال منتظر بمانند.
شادرخ افزود: «موج مهاجرت نیروی متخصص، عدم دسترسی به خدمات ابری مشهور جهانی در حوزه امنیت و محدودیت دسترسی به دانش روز، اجرای کامل استانداردهای روز دنیا را بسیار سخت میکند.»
به گفته او، حتی وقتی دستورالعملهای رگولاتوری «کاملاً مطابق استانداردهای روز دنیا» تدوین میشوند، پیادهسازی همه بندها در عمل ممکن نیست و بانکها ناچارند با توجه به منابع و زیرساخت موجود، بهینهترین حالت را انتخاب کنند.
تحریم، کمبود تجهیزات و چالش جذب نیروی متخصص
شهرام بخشا، معاون فناوری اطلاعات بانک توسعه تعاون، درباره ریشه مشکلات امنیتی موجود گفت: «در شبکه بانکی هم در حوزه سختافزار و هم در حوزه نرمافزار با چالش مواجه هستیم. تحریمها تأمین تجهیزات سختافزاری را دشوار کرده و دور زدن تحریمها تا ورود تجهیزات به کشور، خود یک مسیر پیچیده و زمانبر است.»
او افزود: «در حوزه نرمافزار هم استفاده غیرمستقیم از محصولات خارجی برای بانکها مخاطراتی به همراه دارد و دریافت سرویس لحظهای عملاً ممکن نیست.»
بخشا با اشاره به وضعیت نیروی انسانی گفت: «جذب نیروی انسانی متخصص، بهویژه در بانکهای دولتی و خصولتی، به دلیل مهاجرت گسترده متخصصان امنیت و سطح بالای حقوق و دستمزدی که این نیروها مطالبه میکنند، بسیار دشوار شده است.»
به گفته او، برونسپاری به شرکتهای تخصصی بهعنوان یک راهحل عملی مطرح شده، اما خود این روش نیز مخاطرات امنیتی و نیاز جدی به نظارت بر عملکرد پیمانکاران ایجاد میکند.
همچنین بخشا تأکید کرد: «پس از جنگ و آسیبدیدن دو بانک بزرگ، توجه به مقوله امنیت در نظام بانکی جدیتر شده و بانکها ناچارند برای رفع چالشهای سختافزاری و نرمافزاری، برنامههای مدون کوتاهمدت و میانمدت تدوین کنند.»
حمله به دو بانک بزرگ و بازنگری در نگاه به امنیت
در بخش دیگری از پنل، سعید ایثاری با اشاره به حمله انجامشده به بانک سپه و یکی دیگر از بانکهای بزرگ گفت: «نکته مهمتر از اینکه چه کسی حمله را برعهده میگیرد، این است که شبکه بانکی سالها فاقد مستند الزامات شفاف برای حاکمیت فناوری اطلاعات بوده است. اولین مستند رسمی در این حوزه تازه در سال ۱۴۰۰ منتشر شده و این یعنی بانکها سالها دقیقاً نمیدانستند IT در بانک باید بر چه چارچوبی اداره شود.»
او ادامه داد: «انتقال دانش به نسل جدید بهدرستی انجام نشده و انحصار در حوزه IT بانکی، اجازه ورود بازیگران جدید، چه در توسعه سامانهها و چه در امنیت و سایبرسکیوریتی، را محدود کرده است. همین انحصار باعث شده بسیاری از فینتکها حتی حداقل استانداردهای شبکه بانکی را نشناسند.»
ایثاری با اشاره به دوره پس از جنگ گفت: «بعد از حملات و جنگ اخیر، نهادهای ناظر فشار بیشتری بر بانکها وارد کردهاند. از جمله جداسازی شبکهها و ایجاد شبکههای خصوصی بین بانکها و شرکتهای پرداخت بهطور جدیتری پیگیری میشود؛ اما هزینه پیادهسازی این الزامات برای بانکهای کوچک و بزرگ یکسان نیست و نبود. حمایت حاکمیتی، بار اضافی بر بانکهای کوچکتر تحمیل میکند.»
ایراناکسس، کاهش سطح حمله و نقش آمادگی قبلی
میلاد سجادی در پاسخ به پرسشی درباره اینکه «قرار گرفتن بانکها در حالت ایراناکسس» در زمان جنگ تا چه حد راهکار امنیتی محسوب میشود، توضیح داد که کاهش سطح حمله (Attack Surface) بهطور کلی راهکاری درست است، اما ایراناکسسکردن بهتنهایی نه صددرصد مؤثر است و نه میتوان آن را کاملاً بیاثر دانست.
او بیان کرد: «در حملات گسترده، بهویژه حملات APT، مهاجم معمولاً ترکیبی از دسترسیهای مختلف را بهکار میگیرد و بسیاری از آلودگیها ممکن است سالها قبل در داخل کشور یا داخل شبکه سازمان شکل گرفته باشد. محدود کردن دسترسی در لحظه بحران، الزاماً جلوی وقوع حمله را نمیگیرد.»
سجادی افزود: «در دوره جنگ، فقط ایراناکسسکردن انجام نشد؛ کمیتههای بحران در بانکها و نهادهای بالادستی شکل گرفت و بسیاری از سرویسهای کماهمیت یا کماستفاده موقتاً قطع شدند تا سطح حمله کاهش یابد. بانکهایی که توانستند سرویسدهی خود را حفظ کنند، این تابآوری را مدیون برنامهریزیها و سرمایهگذاریهای سالهای قبل در حوزه سایبرسکیوریتی، مدیریت کاربران ممتاز، سایت بحران و مانورهای BCP بودند.»
تداوم کسبوکار؛ مهمترین درس جنگ برای بانکها
شهرام بخشا با اشاره به تجربه جنگ و حملات اخیر گفت: «امنیت میتواند همزمان تهدید و فرصت باشد. این رویداد باعث شد نگاه به مقوله امنیت در نظام بانکی جدیتر شود و بسیاری از مدیران IT و هیئتمدیرهها با جسارت بیشتری بر ضرورت امنیت در برابر فشارهای کسبوکار تأکید کنند.»
او تأکید کرد: «پس از این رویداد، تمرکز در بسیاری از بانکها، از جمله در بانک توسعه تعاون، از توسعه کسبوکار بهسمت تداوم کسبوکار جابهجا شده است. برنامهریزی برای سناریوهای مختلف اختلال، از قطع زیرساخت مخابرات تا سایر تهدیدها، در دستور کار قرار گرفته و موضوع BCP دیگر نمیتواند در اولویتهای دوم و سوم باقی بماند.»
چالش نیروی انسانی و نظام جبران خدمت در امنیت بانکی
در بخش دیگری از بحث، سعید ایثاری با اشاره به وضعیت نیروی انسانی در حوزه امنیت و فناوری اطلاعات گفت: «تلاشهایی برای بهبود وضعیت حقوق و دستمزد متخصصان IT در جریان است، اما این موضوع سالها مغفول مانده است. IT امروز در بانکها حرف اول را در کسبوکار میزند، اما ترکیب هیئتمدیرهها اغلب از حوزههای مالی و شعبهای میآید و نگاه فناورانه در سطح تصمیمگیری ارشد ضعیفتر است.»
او افزود: «اختلاف معناداری میان دریافتی متخصصان امنیت و IT در بازار آزاد و نظام بانکی وجود دارد و همین مسئله جذب نسل جدید متخصصان را دشوار کرده است. حتی در مواردی که مصوبههایی برای جذب تعداد محدودی نیروی خارج از سقف حقوقی صادر شده، مقاومت در سطوح میانی منابع انسانی با نگاه سنتی، مانع استفاده کامل از این ظرفیتها شده است.»
میلاد سجادی نیز با اشاره به تجربه بخش خصوصی گفت: «در اکوسیستم خصوصی و شرکتهای بیرونی، سطح حقوق و مدل کاری متفاوت است و این تفاوت، یکی از عوامل جذابیت خروج نیروهای متخصص از شبکه بانکی به سمت بخش خصوصی و یا مهاجرت به خارج از کشور است.»
برونسپاری امنیت؛ ضرورت نظارت و ممیزی مستمر
شادرخ در بخش دیگری از سخنان خود به موضوع برونسپاری در حوزه امنیت پرداخت و گفت: «تجربه سالهای گذشته نشان میدهد در بسیاری از حملات، نقطه مشترک میان پیمانکار و کارفرما بخشی از زنجیره حادثه بوده است. تیمهای فنی بانکها در حالت ایدهآل ترجیح میدهند کارهای حساس را تا حد امکان داخلی انجام دهند، اما محدودیتهای منابع انسانی و مالی آنها را به سمت برونسپاری سوق داده است.»
او افزود: «در برخی حوزههای امنیتی، بانکها طبق دستورالعملهای رگولاتوری ملزم به استفاده از نیروی متخصص داخلی هستند، اما در عمل ناچار میشوند بخشی از فعالیتها را به پیمانکار بسپارند. به همین دلیل، سعی کردهایم در قراردادهای برونسپاری، انتظارات امنیتی و فنی را در قالب پیوستهای مشخص و قابلاندازهگیری تعریف کنیم؛ از جمله الزامات مربوط به کار در چند سایت، آمادگی برای مانورها و ریکاوری، مستندسازی و پشتیبانی.»
شادرخ تأکید کرد: «حتی در صورت برونسپاری، بانک باید نقش ممیزی و نظارت کامل بر فرایندهای برونسپاریشده را حفظ کند؛ زیرا هیچ پیمانکاری، حتی بزرگترین شرکتهای داخلی، بهتنهایی قادر به جبران همه تبعات یک حادثه امنیتی و خدشه به اعتبار بانک نخواهد بود.»
مهمترین تهدیدها: تداوم کسبوکار و سناریوهای اختلال
شهرام بخشا در جمعبندی تهدیدهای اصلی شبکه بانکی گفت: «تداوم کسبوکار بدون وقفه، مهمترین چالش امروز است. مدل طراحی فعلی شبکه بانکی در برابر انواع سناریوهای اختلال، مخاطراتی برای استمرار ارائه خدمات ایجاد میکند.»
او با ذکر مثال قطع احتمالی زیرساخت مخابرات توضیح داد: «حتی اگر بانکها چندین دیتاسنتر داشته باشند، بدون برنامه مشخص برای اینگونه سناریوها، امکان ارائه سرویس وجود نخواهد داشت. شبکه بانکی باید برای انواع سناریوها، از سطح زیرساخت تا حفظ سلامت و حضور نیروی انسانی، برنامه روشن و قابل اجرا داشته باشد.»
تصمیمهای اولویتدار تا پایان سال؛ تمرکز بر ریکاوری و نیروی انسانی
در دور پایانی پنل، میلاد سجادی درباره تصمیم اولویتدار خود تا پایان سال گفت: «با توجه به نوع حملاتی که به دو بانک بزرگ انجام شد، جلوگیری صددرصدی از اینگونه رویدادها همیشه بسیار پرهزینه و در عین حال نامطمئن است. بنابراین، تمرکز باید بیش از پیش بر حوزه ریکاوری و بازگشت به کسبوکار قرار گیرد. اجرای واقعی مانورهای BCP و VCM، تقویت سایت بحران و حرکت به سمت معماریهای غیرمتمرکز و مبتنی بر کش، میتواند تابآوری بانکها را در برابر حملات آینده افزایش دهد.»
شادرخ نیز در جمعبندی خود تأکید کرد: «حتی اگر همه فناوریها، تجهیزات و فرایندها آماده باشند، در صورت نبود تیم مرکزی نگهدارنده در لحظه دیزستر، امکان بازگرداندن سرویسها وجود نخواهد داشت. باید برای سناریوهایی که خود تیمهای فنی درگیر بحرانهای شخصی یا محدودیت حضور هستند نیز برنامهریزی شود.»
شهرام بخشا در پایان گفت: «اگر حمله دیگری رخ دهد، بسیار محتمل است که با روشهای هوشمندتر و جدیدتر انجام شود. شبکه بانکی باید خود را برای انواع روشها و سناریوهای حمله آماده کند. هدف اصلی مهاجمان ایجاد نارضایتی در میان مردم است و همین موضوع، ضرورت تداوم کسبوکار و آمادگی برای سناریوهای مختلف را پررنگتر میکند.»
