امنیت بانکی بدون هوش مصنوعی دیگر ممکن نیست

میلاد سجادی در گفت‌وگو با راه پرداخت بیان کرد: بانک تجارت با بیش از ۶۰ پروژه در راه تحول دیجیتال و توسعه حوزه هوش مصنوعی قدم بر می‌دارد.

نویسنده: علی سلطانی فر انتشار: 3 دی سال 1404 ساعت 13:21 0

در دنیای پیچیده امروز و توسعه روزافزون فناوری اطلاعات و زیرساخت‌های اقتصاد دیجیتال، امنیت داده بیش از هر زمان دیگری اهمیت یافته است و در همین راستا امنیت اطلاعات بانکی نیز به عنوان یک زیرساخت حیاتی اقتصاد کشور از اهمیت دوچندانی نیز برخوردار است. از همین رو، با گستردگی و حجم انبوه داده‌های لحظه‌ای در این حوزه، دیگر رصد و پیشگیری به شکل سنتی امکان‌پذیر نیست و حالا هوش مصنوعی به ابزاری کلیدی برای شناسایی، تحلیل و پاسخ‌گویی به حملات سایبری و یا هر چیزی که امنیت اطلاعات یا زیرساخت‌های بانکی را تهدید کند تبدیل شده است. در همین راستا، گفت‌وگویی با میلاد سجادی، عضو هیئت‌مدیره شرکت داتا و رئیس اداره امنیت بانک تجارت داشتیم تا مسائل و موضوعات این حوزه را تشریح کند.

سجادی از تحولات گسترده در این حوزه گفت، از طراحی پروژه‌های پیشرفته برای تشخیص رفتارهای مشکوک گرفته تا پاسخ‌گویی هوشمند به تهدیدات و چالش‌های مهمی چون کیفیت داده و حاکمیت اطلاعات. اینکه چطور باید از از هوش مصنوعی بهره بگیریم تا دقت و سرعت تشخیص را افزایش دهیم. اینکه چطور با استفاده از هوش مصنوعی نشر اطلاعات را قبل از رخداد متوقف کنیم. اینکه به سمتی برویم که هوش مصنوعی به ابزاری تبدیل شود که علاوه بر تشخصیص و شناسایی ریسک‌ها و خطرات، خودش تصمیم بگیرد و اقدام کند و پاسخ به این سوال که آیا هوش مصنوعی در تمام حوزه‌های کارکرد خواهد داشت؟ متن مصاحبه راه پرداخت با میلاد سجادی در ادامه آمده است.

از هوش مصنوعی بهره می‌گیریم تا دقت و سرعت تشخیص را افزایش دهیم

سجادی در پاسخ به این پرسش که هوش مصنوعی در چه بخش‌هایی از امنیت حوزه بانکی می‌تواند به ما کمک کند، گفت: «ابتدا باید بررسی کنیم که آیا امنیت در فرایندهای کاری نیازمند استفاده از هوش مصنوعی است یا آنکه در کدام بخش‌ها، هوش مصنوعی می‌تواند به ما کمک کند. ما چند حوزه مشخص داریم که در آن‌ها می‌توانیم از هوش مصنوعی بهره بگیریم تا دقت و سرعت تشخیص را افزایش دهیم. به هر ترتیب، یکی از مهم‌ترین کارهایی که در حوزه امنیت سایبری انجام می‌شود، کشف تهدیدات یا حملاتی است که در سیستم‌های بانکی صورت می‌گیرد. این موضوع در بانک‌ها اهمیت بیشتری نیز پیدا می‌کند؛ چرا که امنیت آن‌ها باید به ابزارهایی مجهز باشد که بتواند در سریع‌ترین زمان ممکن حملات سایبری را با دقت بالا شناسایی کرده و حتی به‌صورت خودکار پاسخ دهد.»

او افزود: «در حال حاضر، چند حوزه اصلی وجود دارد که در آن‌ها رفتار مشکوک شناسایی می‌شود و برای ورود هوش مصنوعی آماده‌ترند. رفتار مشکوک نیز در حوزه‌ بانکی به دو دسته تقسیم می‌شود: یکی، رفتارهای مشکوک در تراکنش‌ها که به اصطلاح به آن کشف تقلب گفته می‌شود؛ و دیگری، رفتارهای مشکوک در حوزه امنیت سایبری یا به عبارتی رفتارهای مشکوک سایبری. یعنی هم در لایه بیزینس و اپلیکیشن بانکی (مانند تراکنش‌ها) معنا دارد، و هم در لایه سایبری بانک‌.»

او در ادامه توضیح داد که در این حوزه‌ها، اکنون با بهره‌گیری از ابزارهای موجود در مراکز عملیات (SOC)، یا ابزارهایی که در لایه‌های مختلف شبکه‌ نصب می‌کنند، از جمله انواع سنسورهای امنیتی نظیر فایروال‌ها و پروژه‌های امنیتی دیگر در لایه‌های NTA، تلاش می‌شود لاگ‌ها را جمع‌آوری کرده و آن‌ها را تحلیل کنند تا تشخیص دهند که آیا حمله‌ای رخ داده یا نفوذی صورت گرفته است.

به گفته سجادی، در این بخش‌ها است که هوش مصنوعی می‌تواند کمک شایانی کند؛ چرا که لاگ‌ها و داده‌ها در دسترس هستند، روش‌های تشخیص تا حد قابل‌توجهی مشخص شده‌اند و هوش مصنوعی می‌تواند به‌جای عامل انسانی، یا با کمک آن در زمان کوتاه‌تر و با کیفیت بالاتر، به تشخیص بپردازد.

سجادی درخصوص تشخیص فیشینگ بیان کرد: «دسته دوم، تشخیص فیشینگ یا ایمیل‌های آلوده است که در دسته تحلیل متن قرار می‌گیرند. در اینجا با استفاده از قواعد و الگوریتم‌های هوش مصنوعی، می‌توان تشخیص داد که کدام ایمیل‌های ورودی در سازمان‌ها آلوده هستند یا لینک آلوده دارند و یا احتمال فیشینگ در آن‌ها وجود دارد. این تحلیل‌های محتوایی کمک می‌کند تا در صورت کلیک یا واکنش کاربران به آن ایمیل یا محتوا، بتوان مخاطرات را تشخیص داده و اقداماتی را انجام داد که به کاهش دامنه آسیب‌پذیری کمک کرده و امکان بازیابی (ریکاوری) فراهم شود. به این نوع پاسخ‌دهی اصطلاحاً پاسخ خودکار یا پاسخ هوشمند گفته می‌شود. در اینجا نیز، هوش مصنوعی می‌تواند نقش مهمی ایفا کند.»

او افزود: «این چهار حوزه، حوزه‌هایی هستند که می‌توان از هوش مصنوعی در آن استفاده کرد. این حوزه‌ها هم مثل باقی مسائل مربوط به هوش مصنوعی نیازمند داده‌های دقیق و پاک (Clean Data) هستند، و همچنین لازم است که داده‌ها و الگوریتم‌های یادگیری به‌گونه‌ای تعریف شوند که سیستم هوش مصنوعی بتواند بهبود یابد، آموزش ببیند و با خطای کمتر و دقت بالاتر عمل کند. اما در حال حاضر، در برخی بخش‌ها در حوزه امنیت سایبری، همچنان سازمان‌ها با چالش‌هایی در پاک‌سازی داده‌ها و فراهم کردن داده‌های مناسب روبه‌رو هستند. اگرچه ابزارهای تحلیلی در اختیار است، اما نبود داده‌های استاندارد، دقت را کاهش می‌دهد.»

به گفته سجادی، البته در تشخیص ناهنجاری‌ها این نگرانی کمتر است؛ زیرا از قبل داده‌ها و لاگ‌ها استاندارد هستند و تقریباً به‌صورت استاندارد در مجموعه‌ها جمع‌آوری می‌شوند. اما در سه بخش دیگر داده‌ها نیاز به مرتب شدن دارند تا عامل هوش مصنوعی بتواند وارد شود. با این داده‌ها خطای هوش مصنوعی بالاست و سعی می‌کنند در کنار عامل انسانی از آن استفاده شود.

استفاده از هوش مصنوعی برای توقف نشر اطلاعات قبل از رخداد

عضو هیئت‌مدیره شرکت داتا در پاسخ به این پرسش که در حوزه‌هایی که اشاره کردید، چه محصولاتی تاکنون توسعه پیدا کرده‌اند، اظهار کرد: «در سال‌های اخیر، خوشبختانه در حوزه امنیت سایبری سرمایه‌گذاری خوبی انجام شده و عمده پروژه‌هایی که بانک‌ها یا سازمان‌ها برای مقاوم‌سازی خود در برابر حملات گوناگون نیاز دارند، در حال اجراست. هدف آن است که با استقرار زیرساخت‌ها، نقاط ضعف و روزنه‌های نفوذ دسده شده و در ادامه با ارتباط بین پروژه‌های مختلف تعریف شده یا پایان یافته ارتباط برقرار شود. در زمینه سنسورهای تشخیص نیز خروجی‌های متعددی تعریف می‌شود که لاگ‌های استاندارد تولید کرده و به مراکز ارسال نمایند. همه بانک‌ها فایروال‌های متعددی دارند؛ اما همیشه تلاش می‌شود که علاوه بر تقویت این لایه، در تمام end pointها و سیستم‌های کاربری نیز پروژه ECR و تحلیل رفتار کاربر وجود داشته باشد که رفتار کاربران در تمام end pointها بررسی گردد و هر رفتاری را که ریسک بالایی برای سازمان‌ دارد گزارش شود. و پروژه‌هایی نیز در لایه شبکه تعریف می‌شود که با تکمیل فرایند تشخیص تمام داده‌ها را به مرکز تحقیق منتقل کند.»

او ادامه داد: «در این خصوص تلاش شده که لایه تشخیص کامل شود و در حال حاضر پروژه‌هایی تعریف شده‌اند که در پس‌زمینه، با موتورهای هوش مصنوعی، رفتارهای ناهنجار در لایه‌های ترافیک و کاربر را شناسایی و به مرکز گزارش شود. به‌عنوان نمونه، در زمینه جلوگیری از نشر اطلاعات، ما علاوه بر سامانه جلوگیری از نشت اطلاعات با پروژه‌های مفهومی تحت عنوان ریچ مانیتور علاوه بر کنترل سنتی بر خروج اطلاعات (مثلاً از طریق فلش یا ایمیل)، فایل‌های حاوی اطلاعات حساس نیز پایش می‌شود. به این شکل اگر این رفتار به الگوی خروج اطلاعات حساس شباهت داشته باشد، سیستم هشدار خواهد داد. به‌عنوان‌مثال اگر فایلی حاوی ستون‌هایی با عنوان‌های مشابه حساب مشتریان، مانده اعتبار یا وام‌های اعطا شده باشد و حجم داده‌ها زیاد باشد، سیستم می‌تواند تشخیص دهد که این فایل، یک فایل خطرناک است؛ بنابراین، تحلیل محتوایی فایل‌ها به‌صورت کامل انجام می‌شود.»

او افزود: «در اینجا نیز، هوش مصنوعی به کار گرفته شده که باعث می‌شود حتی قبل از اینکه بخواهد نشر اطلاعات رخ دهد جلوی آن گرفته شود.»

به سمتی خواهیم رفت که هوش مصنوعی هم تشخیص دهد، هم تصمیم بگیرد و هم اقدام کند

سجادی درخصوص حجم سرمایه‌گذاری انجام شده در این حوزه گفت: «موضوع سرمایه‌گذاری در این حوزه تا حدی موازی و چندجانبه بوده است. ما نیز طی سال‌های گذشته، هم در زمینه هوش مصنوعی و هم در حوزه امنیت سایبری سرمایه‌گذاری کرده‌ایم و به‌موازات آن، به طور تخصصی از سال گذشته در حوزه هوش مصنوعی سرمایه‌گذاری‌های خوبی انجام شده است. شرکت‌های ما هم در حوزه امنیت سایبری و نیز به طور تخصصی در حوزه هوش مصنوعی و تجهیزات مرتبط فعالیت می‌کنند. هر کدام از این شرکت‌ها با نیروی تخصصی خود درحال ‌توسعه چندین پروژه هستند.»

او افزود: «تا به امروز نیز پروژه‌های متعددی در حوزه امنیت سایبری به نتیجه رسیده‌ و چندین پروژه تخصصی در حوزه هوش مصنوعی تعریف شده‌اند. اگرچه برخی از پروژه‌ها به‌صورت ترکیبی در حوزه‌های مختلف فعال هستند، اما مسیر حرکت ما کاملاً روشن و طبق یک برنامه منسجم بوده است.»

به گفته سجادی، در هوش مصنوعی، هرآنچه که اکنون تعریف شده‌اند، هوش مصنوعی سنتی هم پاسخگوی آن است؛ اما سعی کرده‌ایم به سمتی برویم که به آن عامل هوش مصنوعی گفته می‌شود که شامل سیستم‌هایی هستند که قادرند هم تشخیص دهند، هم تصمیم‌گیری و هم اقدام کنند. عامل هوش مصنوعی نیز نه در دستور کار اصلی سیاست‌های فناوری بلکه هدفی است که در کنار ریسک‌های ذاتی‌اش در دستور کار قرار داده‌ایم.

هنوز نمی‌توان از هوش مصنوعی در تمام حوزه‌ها بهره گرفت

به نظر رئیس اداره امنیت بانک تجارت، پاشنه آشیل اکثر بانک‌ها همین مسئله حاکمیت داده است. در مجموعه ما با تشکیل هم‌زمان اداره هوش مصنوعی، اداره داده و کمیته داده فرایند حاکمیت داده و استانداردسازی آن آغاز شده ولی بدلیل بزرگی، قدمت و ساختارهای سنتی نتیجه‌گیری این فرایند زمان بر خواهد بود. تعداد سیستم‌هایی که در لاین‌های مختلف پاسخ‌گوی مشتریان هستند زیاد است و تغییر وتحولات در این سیستم‌های به اصطلاح جزیره‌ای و رفع تعدد روش نگهداری داده‌ها برای همه سازمان‌ها زمان‌بر می‌باشد. اما قابلیت استفاده از آن‌ها در قالب داده‌های مناسب برای هوش مصنوعی، یکی از چالش‌های اصلی برای ما در مجموعه و احتمالاً سایر بانک‌هاست.

او در پاسخ به این پرسش که بانک‌های ایرانی تا چه اندازه برای پذیرش سیاست‌های حاکمیت داده آماده هستند، گفت: «در هر صورت برای پذیرش هوش مصنوعی، آمادگی سازمانی یک بحث اساسی است. مجموعه ما نیز در مسیر این آمادگی قرار دارد و دست‌کم در دو سال گذشته، موضوع حاکمیت داده شناسایی شده و تلاش شده که بخش عمده‌ای از آن تقویت شود. با این ‌حال در میانه این راه هستیم و برخی بخش‌ها که عقب‌تر می‌باشند باید بکوشند تا از این مسیر عقب‌ نمانند. در حال حاضر با قطعیت نمی‌توان از هوش مصنوعی در تمام حوزه‌ها در بانک‌ها بهره گرفت.»

باید به تولید ماژول‌های بانکی پاسخ‌گو و قابل‌اتکا توجه کنیم

پیش‌بینی سجادی درخصوص آینده هوش مصنوعی در حوزه خدمات بانکی، به‌ویژه امنیت سایبری در پنج سال آینده، این گونه بود که ما ناگزیر به استفاده از هوش مصنوعی هستیم. نمونه‌های اجرایی و عملیاتی در بانک‌های معتبر دنیا وجود دارد که در حوزه تشخیص صحت تراکنش‌ها حتی به‌صورت آنلاین یا کنترل دسترسی‌ها در حال اجرا هستند. در داخل کشور نیز در بخشی از حوزه‌ها همگام با جهانیم و در حوزه‌های دیگر رسیدن به حد استاندارد کمی دشوارتر است. مثلاً در حوزه تشخیص تقلب در تراکنش‌ها کارهای خوبی انجام شده و داده‌ها بسیار مرتب هستند. داده‌ها در اختیار مرکز مبارزه با پولشویی قرار گرفته‌اند و با کمک هوش مصنوعی و باتوجه‌به الزامات بانک مرکزی به‌عنوان ماژول‌های هوش مصنوعی استفاده می‌شود؛ بنابراین، ما نیز ناچار به ورود هستیم و برای سال‌های آینده باید در حوزه‌های متعدد، از جمله سیاست‌های کلان، تمرکز بر هوش مصنوعی را جدی‌تر کنیم.

او در پاسخ به پرسش «برنامه شما برای نقش‌آفرینی جدی‌تر در این تحول چیست؟» گفت: «اولویت اصلی ما امسال پررنگ‌تر کردن هوش مصنوعی در بخش‌های مختلف است. در ابتدای امسال، پروژه‌هایی با محوریت هوش مصنوعی و با هدف پاسخ‌دهی بهتر به مشتریان تعریف شده‌اند. این پروژه‌ها از یوزکیس‌های مختلف کسب‌وکاری بانک در نئوبانک‌ها گرفته تا بهبود خدمات پرداخت و تعامل با مشتریان را شامل می‌شوند.»

او افزود: «برای مثال، یکی از پروژه‌هایی که امسال در دستور کار است، آماده‌سازی داده‌های پرسنل برای تحلیل منابع انسانی و آینده‌پژوهی در زمینه مدیران آتی بانک است.»

به گفته سجادی، اگرچه این حوزه به‌نوعی پرمخاطب و پرطرفدار شده است، اما باید توجه داشت که کار هوش مصنوعی کاری نیست که صرفاً با یک شرکت و پنج نیروی انسانی انجام شود. در سال گذشته همایش‌های زیادی در این حوزه برگزار شد اما هیچ‌کدام بر دستاوردها و نتایج تأکید نداشتند و فقط از راه‌ها گفتند. باید بپذیریم که کسب‌وکارهای کوچک و شرکت‌های توانمند باید در قالب زنجیره ارزش به ما سرویس ارائه دهند. کاری که به نظر می‌رسد باید به‌صورت گسترده‌تر انجام شود، شناسایی ظرفیت‌های عملیاتی واقعی در قالب رویدادهاست. نه صرفاً ارائه حرف یا خرید محصول، بلکه باید به تولید ماژول‌های بانکی پاسخ‌گو و قابل‌اتکا در عمل توجه کنیم.