پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
سامانه دانشبنیان مسابقات امنیت، محصول جدید بهسازان ملت در حوزه بانکداری الکترونیک
شرکت بهسازان ملت یک محصول جدید در حوزه امنیت به نام «سامانه دانشبنیان مسابقات امنیت در حوزه بانکداری الکترونیک» را طراحی و تولید کرده که در فصل بهار سال جاری به بازار ارائه خواهد شد و مدیران این شرکت معتقدند در صورت استقبال بازار از این محصول، میتوانیم شاهد رشد فرهنگ امنیت در تمامی شرکتهای فناوری اطلاعات بانکی و پرداخت کشور باشیم. به همین بهانه گفتگویی با میثم نماینده مدیر امنیت شرکت بهسازان ملت و ابراهیم خلیلزاده مدیر بخش مهندسی امنیت شرکت بهسازان ملت داشتیم تا درباره این محصول بیشتر بدانیم.
.
امنیت در سیستم بانکی
«هک شد.»، «ایمن نیست!»، «امنیت ندارد.»، «ناامن است.»، «هکرها به آن نفوذ کردند!»، «سهسوت برایت هکش میکنم!» و … . اینها جملاتی است که در طول سالهای رشد صنعت فناوری اطلاعات بانکی و پرداخت بارها و بارها از اینطرف و آن طرف شنیدهایم درصورتیکه در طول تمام این سالها تقریباً شاهد هیچ هکی در سیستم فناوری اطلاعات بانکی و پرداخت کشور نبودهایم و بیشتر آن چیزهایی که زیرِ عنوان «هک» شنیدهایم، دستیابی به اطلاعات حسابها یا کارتهای بانکی به شیوههای غیرفنی و کاملاً انسانی بوده است و یا خیانتدرامانت توسط نیروهای داخلی خود بانکها یا شرکتها که معروفترین نمونه آن نیز فروردینماه 91 رخ داد.
.
درباره معاونت امنیت اطلاعات و ارتباطات شرکت بهسازان ملت
تأمین «امنیت» در سیستمهای بانکی همیشه برای خود فعالان سیستم بانکی و پرداخت یکی از بزرگترین دغدغهها بوده و هست، هرچند باید گفت که دُز این اهمیت برای برخی غلیظ و برای برخی رقیق است. بهسازان ملت یکی از شرکتهایی است که ظاهراً دُز امنیت در این شرکت بالاست تا جایی که یکی از معدود شرکتهای فناوری اطلاعات ایرانی است که معاونت ISMS تشکیل داده است.
اولین دستاورد این تیم در همان سالهای ابتدایی شکلگیریاش، ارائه خدمات مشاوره در راستای استقرار سیستم مدیریت امنیت اطلاعات در بانک ملت بود. معاونت امنیت اطلاعات در شرکت بهسازان از بخشها و تیمهای مختلفی تشکیل شده است؛ برای مثال تیم «مدیریت رخدادهای امنیتی» که نقطه تماس بانک ملت با تمام شرکتها در حوزه رخدادهای امنیتی است. بخش دیگر، تیم «مهندسی امنیت» است که تخصصش در حوزه امنیت محصولات نرمافزاری است و همچنین تیم «عملیات امنیت» که قرار است یکی از آخرین خروجیهایش را در سال جاری رونمایی کند.
.
تأمین امنیت در فرآیند تولید محصولات بانکی
یکی از مهمترین چالشهای تولید یک محصول نرمافزاری، امنیت آن محصول است که برای کسب درجه قابل قبولی از امنیت در هر محصول، باید قبل و حین تولید آن محصول فعالیتهایی انجام شود که امنیت آن محصول را تضمین کند. برای این کار در دنیا استانداردها و متدولوژیهایی وجود دارد که ظاهراً شرکت بهسازان هم متدولوژی خاص خودش را دارد و محصولاتش از طریق این متدولوژی توسعه پیدا میکنند.
میثم نماینده مدیر امنیت شرکت بهسازان ملت قبل از اینکه به سراغ معرفی محصول امنیتی جدید بهسازان در حوزه بانکداری و پرداخت برود، کمی از گذشته تعریف کرد و گفت: «از سال 88 ارزیابی بسیاری از سامانههای بانکی ازلحاظ امنیت را در دستور کار قرار دادیم؛ مشکلات زیادی در چرخه ارائه محصول بانکی به کاربر نهایی وجود دارد. در این چرخه، شرکتها یک سامانه را توسعه میدهند و در بهترین حالت پس از ارزیابی امنیتی، وارد محیط عملیاتی میشود. اما اگر امنیت در چرخه تولید نرمافزار در نظر گرفته نشود، هزینه رفع یک حفره امنیتی در مرحله عملیاتی شدن بهمراتب بالاتر از هزینهای است که رعایت امنیت در چرخه SDLC به وجود میآورد.»
.
چالش بین نیروهای بخش توسعه و بخش امنیت
ابراهیم خلیلزاده جزو اولین نفراتی است که با شکلگیری واحد امنیت در بهسازان، میثم نماینده را همراهی میکند و اکنون بهعنوان مدیر بخش مهندسی امنیت شرکت بهسازان ملت فعالیت میکند.
خلیلزاده در ادامه صحبتهای نماینده گفت: «تست یک محصول، یکی از مهمترین کارها برای ارائه یک محصول نرمافزاری امن است؛ چراکه محصول بهطورمعمول توسط افراد غیرامنیتی طراحی و تولید میشود که الزاماً دید امنیتی ندارند.
این موضوع، برای ما بهعنوان یک تیم امنیت که وظیفه ارائه محصولی امن به مشتری را بر عهده داریم، مشکل بزرگی ایجاد میکند. در نتیجه ما باید دانش امنیتی خود را به دیگر افراد درگیر در طراحی و تولید منتقل کنیم تا خیلی از موارد از همان ابتدا مرتفع شوند. برای انتقال دانش هم راههای زیادی وجود دارد اما هرکدام از این راهها هزینههای خودش را دارد و در اکثر اوقات هم مثمر ثمر نیستند.
این خلأ یا فاصله دانشی میان تیم «امنیت» و تیمهای «طراحی»، «تولید» و «تحلیل» بود که ما سالها درگیرش بودیم و در طول این سالها، آموزشهای مختلفی را به تیمها دادیم و اعتراف میکنیم با اینکه وقت و انرژی زیاد صرف این آموزشها کردیم، ولی نتیجه این کارها آنطور که انتظارش را داشتیم اثربخش نبود و به همین دلیل ما دست به انجام کار دیگری زدیم.»
.
مسابقه فتح پرچم چیست؟
یکی از جذابترین و معروفترین مسابقات در حوزه امنیت، مسابقه فتح پرچم است که برنامه زمانبندی برگزاری این مسابقات در سایت CTFtime.org قابلرؤیت است. دانشگاه شریف، دانشگاه صنعتی اصفهان و سازمان انرژی اتمی نیز مراکزی هستند که این مسابقات را در ایران برگزار میکنند و تاکنون بیش از 30 تیم از ایران در این مسابقات بینالمللی شرکت کردهاند و در آخرین ردهبندی این مسابقات که مربوط به سال 2017 است، یکی از 10 تیم برتر از ایران است که این موضوع ازلحاظ ارتقای دانش و ایجاد اعتبار بینالمللی برای ایران حائز اهمیت است.
مسابقات CTF یک مانور شبیهسازیشده در فضای سایبری است که در آن متخصصین امنیت اطلاعات به مقابله با یکدیگر میپردازند. در این دسته از مسابقات یک سری چالش در اختیار شرکتکنندگان قرار داده میشود تا مهارت آنها مورد ارزیابی قرار بگیرد.
.
ریشه شکلگیری ایده اولیه محصول
نماینده با اشاره به اینکه تیم متخصصان امنیت بهسازان، در مسابقات دانشگاه شریف و دانشگاه صنعتی اصفهان مقام اول و در مسابقه سازمان انرژی اتمی نیز مقام سوم را کسب کردهاند، گفت: «با توجه فقر دانش در حوزه امنیت و تجربه هفت سال گذشتهمان در خصوص حفرههای امنیتی سامانههای بانکی، به این ایده رسیدیم که میتوانیم یک زیرساخت دانشبنیان امنیتی با سناریوهای عملی در حوزه بانکداری الکترونیک ایجاد کنیم. نام این سامانه که در نوع خودش اولین در ایران است، «سامانه دانشبنیان مسابقات امنیت در حوزه بانکداری الکترونیک» است. درواقع با ایده از مسابقات جهانی فتح پرچم، پلتفرمی جهت برگزاری این مسابقات به شکلی کاملاً تخصصی در حوزه بانکداری الکترونیک طراحی و تولید کردیم.»
.
چرا سامانه دانشبنیان مسابقات امنیت؟
مسابقه CTF یکی از مشهورترین مسابقات بینالمللی بین هکرهاست که شرکتکنندگان با چالشهایی مانند برنامهنویسی امن، شکستن رمز و پنهاننگاری مواجه میشوند که با حل هر چالش یک رشته تصادفی که اصطلاحاً به آن Flag (پرچم) گفته میشود، دست مییابند. که با ثبت این Flag در پلتفرم مسابقه، امتیازی به تیم آنها اختصاص پیدا میکند. در واقع شرکتکنندهها در قالب یک یا چند تیم، در یک ساعت و روز مشخص مسابقه را شروع کرده و به مدت دو یا سه روز در برخی حوزههای مشخصشده امنیتی به دنبال چالشها و حل آنها میروند؛ اما چرا بهسازان باید چیزی شبیه به آن را بهعنوان یک محصول دانشبنیان ارائه کند؟
میثم نماینده مدیر امنیت شرکت بهسازان ملت دراینباره گفت: «ارائه این محصول چند دلیل داشت؛ اول اینکه یکی از زمینههای توسعه علاقهمندی برای افراد فعال در حوزه نرمافزار است. دلیل دوم انتقال دانش به افرادی است که در حوزه امنیت خیلی فعال نیستند مانند توسعهدهندگان؛ به عبارتی ما با ارائه این محصول، به افرادی که در فرآیند تولید نرمافزار فعالیت دارند، دفاع در عمق در حین تولید را آموزش میدهیم. یکی از بزرگترین مزایای استفاده از این سامانه، پویایی و پرورش خلاقیت است. همچنین محیطی انگیزشی و مؤثر برای سنجش دانش امنیتی شرکتهای نرمافزاری است.»
.
تمایز محصول بهسازان با محصولات مشابه
با پذیرفتن این مزایا، سؤال دیگری که پیش میآید این است که این سامانه نسبت به مسابقات بینالمللی فتح پرچ و یا نمونههای داخلیاش که در دو دانشگاه بزرگ و یک سازمان معتبر داخلی نیز پیادهسازی و اجرا شده است، چه تمایزی دارد؟ وقتی سامانههای مشابه وجود دارند چه لزومی دارد دوباره سامانه دیگری طراحی شود؟
نماینده که احتمالاً منتظر پرسش چنین سؤالی بود، در پاسخ گفت: «بزرگترین تفاوتی که بین این زیرساخت با مسابقات فتح پرچم دنیا و یا دانشگاه شریف و اصفهان وجود دارد این است که سؤالات ما، سؤالات تخصصی حوزه بانکداری الکترونیک است. دیدگاه و زیرساختی که ما داریم با سایر زیرساختها تفاوت دارد. زیرساخت ما دانشبنیان و آموزشی است ولی لزوماً سایر دوستان وظیفه آموزشی ندارند و بیشتر جنبه رقابت در آن پررنگ است.
پس ما دو تفاوت بزرگ داریم اولی اینکه محوریت مسابقات طوری است که جنبه آموزشی پررنگی داشته باشد و دومی اینکه بهطور تخصصی در حوزه فناوری اطلاعات بانکی و پرداخت است و شرکتکنندگان بهاحتمال خیلی زیاد با سناریوهای مشابه مطرح شده در این مسابقات در دنیای واقعی کار نیز مواجه خواهند شد درصورتیکه در مسابقات مشابه توسط دیگر سازمانها خیلی از این مسابقات برای فعالان صنعت بانکداری و پرداخت عملاً کاربردی در محیط کار نداشته و صرفاً جنبه رقابت و بردن مسابقه مطرح است.»
.
سامانه دانشبنیان مسابقات امنیت چگونه کار میکند
او در ادامه در خصوص چگونگی عملکرد این سامانه گفت: «ما یک سری سؤال طراحی کردیم که نتیجه تجربیات و کارهایی است که تیم امنیت بهسازان در هفت سال گذشته در حوزه بانکداری الکترونیک انجام داده است و این سؤالات در یک زیرساخت دانشبنیان برای تیمها به شکل مسابقه مطرح میشود و تیمها باید برای حل این سؤالها تمام تلاششان را بکنند. ماهیت سؤالها بهنوعی است که تیمهای طراحی، تولید، امنیت، شبکه و دیتابیس باید همگی در کنار هم قرار داشته باشند تا بتوانند یک سؤال را حل کنند؛ بنابراین خواسته یا ناخواسته همگی برای پاسخ دادن به سؤالها باید دانش خودشان را با یکدیگر به اشتراک بگذارند.
درنتیجه با تکیه به تجربههای قبلی که در این خصوص داشتهایم، پویایی و انگیزه در افراد، تیمها و شرکتها به وجود میآید. ما تجربه برگزاری دو دوره از مسابقات این سامانه را داریم که دوره اول فقط در شرکت بهسازان ملت و دوره دوم در شرکتهای تابعه بانک ملت انجام شد. تجربه نشان داد با این کار یک رقابت سالم بین افراد، تیمها و حتی شرکتها به وجود میآید و همه تلاش میکنند تا بتوانند پرچمی را کسب کنند.»
.
عمق یادگیری در حین مسابقه
ابراهیم خلیلزاده مدیر بخش مهندسی امنیت شرکت بهسازان درباره چرایی ارائه این محصول گفت: «ما سالها در مسابقات فتح پرچم شرکت کرده بودیم و لذت یادگیری در حین رقابت را چشیده بودیم؛ یعنی خود ما وقتی وارد این مسابقات میشدیم، خیلی از دانشها را نداشتیم ولی چون این مسابقات در قالب یک رقابت هیجانانگیز بود، ما را ترغیب میکرد تا در طول 48 ساعت مسابقه، چنان مطالعه عمیقی بکنیم که شاید در زمانهای دیگر این کار را در طول یک سال هم انجام نمیدادیم. درنتیجه ما این مسابقات را بهطور تخصصی برای فضای بانکی کشور شبیهسازی کردیم.»
مدیران امنیت شرکت بهسازان با طراحی و بومیسازی این مسابقات در حوزه بانکداری، تلاش کردهاند فاصله بین تیمهای امنیت و دیگر تیمها را برطرف کنند تا خود تیمهای توسعهای با علاقهمندی زیاد موضوعات امنیتی را دنبال کنند و یاد بگیرند.
.
تجربه یک مسابقه داخلی
مدیر بخش مهندسی امنیت شرکت بهسازان درباره تجربه اجرای این مسابقات در شرکت بهسازان گفت: «ما مشکلات و چالشهایی را که در طول سالیان به آن برخورده بودیم، در قالب یک سری سناریو پیادهسازی کردیم و در یک رقابت، این سناریوها را در اختیار تیمهای توسعه قرار دادیم. افراد مختلفی برای شرکت در این رقابت تشکیل گروه دادند و سعی کردیم هر فردی با هر تخصصی بتواند در این مسابقه مشارکت نماید. با توجه به شرایطی که داشتیم، زمان برگزاری اولین دوره را سه روز در نظر گرفتیم که در طول این سه روز بهقدری هیجان ایجاد شد که شاید در طول این چندین سال ما نتوانسته بودیم این حجم از دانش را به آنها منتقل کنیم.
در کنار سامانهای که برای مسابقه ایجاد کردیم، یک سامانه مدیریت یادگیری (LMS) نیز قرار دادیم که محتواهای آموزشی موردنیاز برای تیمها در آن قرار دارد. تیمهای شرکتکننده وقتی میخواهند چالشی را حل کند، راهنماییشان میکنیم که فلان مطلب را از LMS مطالعه کنند تا بتوانند چالش را حل کنند و تیمها این کار را بهسرعت و با دقت انجام میدهند. درصورتیکه اگر ما میخواستیم برای همین LMS دوره و یا کارگاهی برگزار کنیم، هم هزینه زیادی برای ما داشت و هم اینکه علاقه کمتری از طرف تیمها برای یادگیری بود. این موضوع در حوزه امنیت میتواند نقطه عطفی باشد برای اینکه تیمهای امنیتی و افرادی که در حوزه تولید نرمافزار هستند، دیدگاهشان بعد از شرکت در این مسابقات تغییر کند.»
.
ابزاری برای ایجاد انگیزه یادگیری عمیق در حوزه امنیت
میثم نماینده مدیر امنیت شرکت بهسازان ملت در پاسخ به اینکه ارائه این سامانه چه تأثیری به شکل واقعی در تیمهای شرکتکننده در مسابقات و شرکتهای تابعه بانک ملت داشته است، گفت: «از زمانی که این رقابتها در این شرکت و دیگر شرکتهای تابعه برگزار شد، دیدگاه افراد به موضوع امنیت تغییر کرد. حتی نظر افرادی در دیگر شرکتها را نیز پرسیدیم و فیدبکهایی که گرفتیم به نسبت خیلی مثبتتر از فیدبکهایی بود که از داخل مجموعههای بانک ملت دریافت کرده بودیم.
ما اطمینان داریم که این همان حلقه مفقوده در فرآیند تولید امن محصول است و شما با این ابزار میتوانید حلقه مفقوده را در حین فرآیند تولید محصول پیدا کرده و در دل آن بگنجانید.»
.
نقش نیروهای امنیت در شرکتها کمرنگ میشود؟
نماینده با تأکید بر اینکه با این کار حضور تیمهای امنیتی در شرکتها نفی نخواهد شد، گفت: «کارشناسان و متخصصان امنیت، واقعاً دیدگاههای متفاوتی دارند پس بههیچوجه نمیتوان آنها را حذف کرد. ولی همینکه با چنین محصولی، هزینه محصول شما ازلحاظ امنیتی به یک سطح قابل قبولی برسد، باعث میشود خیلی راحتتر به تولید محصولاتتان بپردازید.»
.
مدلهای مختلف ارائه این سامانه به دیگر شرکتها
با توجه به اینکه شرکت بهسازان ملت یکی از شرکتهای زیرمجموعه بانک ملت است، ممکن است دیگر بانکها و شرکتهای تابعه آنها تمایل زیادی برای شرکت در این مسابقات نداشته باشند. نماینده در پاسخ به این دغدغه گفت: «هدف ما کاملاً درونسازمانی است. تمامی عملکرد این پلتفرم بر عهده همان شرکتهای متقاضی خواهد بود. سایت، سرور و کاربری، میتواند تماماً سمت خود شرکتها باشد.
درواقع ما میتوانیم آن را فقط بهعنوان یک محصول در اختیار تمام شرکتهای فعال در حوزه بانکداری و پرداخت الکترونیک قرار دهیم و بعد از یک پیکربندی اولیه ما دیگر هیچ ارتباط یا تصرفی در آن نخواهیم داشت. درنهایت خود شرکتها میتوانند مسابقات را به شکل داخلی برای کارکنان خودشان برگزار کنند و هر شرکتی هم میتواند جوایز و جایزههای مختلفی برای تیمهای فعال در نظر بگیرد تا انگیزه مشارکت افراد را بیشتر کند.
نوع دیگر کار ما به این صورت است که ممکن است برخی شرکتها فضای کافی در اختیار نداشته باشند، بخواهند نیروهایشان خارج از شرکت آموزش ببینند. بدین منظور ما تمهیداتی را در نظر گرفتهایم که از سال جاری شرکتها میتوانند تیمهایشان را به شرکت بهسازان ملت بفرستند. در یک محیط اختصاصی، افراد آموزش لازم را دریافت میکنند و آن را در شرکت خودشان پیاده میکنند.
بعضی از شرکتها هم دغدغهای ندارند و میگویند ما اصلاً نمیخواهیم درگیر کارهای عملیاتی شویم و از اول تا آخر کار باید توسط تیم متولی انجام شود که آمادگی انجام این کار هم توسط متخصصین ما وجود دارد که در بازههای مشخص مثلاً هر شش ماه، هر سه ماه و یا حتی هرماه به یک شرکت برویم و طی دو روز مسابقه را برایشان برگزار کنیم و تیمهای برگزیده مشخص شوند.»
.
شرکتهای متوسط و بزرگ مشتریان بالقوه این محصول هستند
خلیلزاده در پاسخ به اینکه چه شرکتهایی مشتریان بالقوه خرید این محصول هستند، گفت: «شرکتهای متوسط و بزرگ مشتریان بالقوه این محصول هستند چراکه در شرکتهای کوچک شاید آن فیدبک مثبت، وجود و نمود مشخصی نداشته باشد.
دلیل اینکه تیمها در حوزه امنیت انگیزه پیدا میکنند این است که در جدول امتیازات این سامانه، بهصورت نموداری امتیاز دریافتی تیمها نمایش داده میشود و حتی تیمها میتوانند برای خودشان اسمهای مستعار انتخاب کنند.
همچنین شرکتها میتوانند از تیمهای برگزیده خودشان تقدیر کنند چون محیطی به وجود آمده است که افرادی که روحیه یادگیری دارند از دیگران مشخص میشوند درنتیجه باید زمینهای وجود داشته باشد که از آن افراد تقدیر شود.»
در پایان نیز میتوانید ویدیوی دموی سامانه دانشبنیان مسابقات امنیت بهسازان ملت در حوزه بانکداری الکترونیک را ببینید.