سامانه دانش‌بنیان مسابقات امنیت، محصول جدید بهسازان ملت در حوزه بانکداری الکترونیک

نویسنده: رسول قربانی در تاریخ 16 اردیبهشت سال 1396 ساعت 7:07 0

شرکت بهسازان ملت یک محصول جدید در حوزه امنیت به نام «سامانه دانش‌بنیان مسابقات امنیت در حوزه بانکداری الکترونیک» را طراحی و تولید کرده که در فصل بهار سال جاری به بازار ارائه خواهد شد و مدیران این شرکت معتقدند در صورت استقبال بازار از این محصول، می‌توانیم شاهد رشد فرهنگ امنیت در تمامی شرکت‌های فناوری اطلاعات بانکی و پرداخت کشور باشیم. به همین بهانه گفتگویی با میثم نماینده مدیر امنیت شرکت بهسازان ملت و ابراهیم خلیل‌زاده مدیر بخش مهندسی امنیت شرکت بهسازان ملت داشتیم تا درباره این محصول بیشتر بدانیم.

امنیت در سیستم بانکی

«هک شد.»، «ایمن نیست!»، «امنیت ندارد.»، «ناامن است.»، «هکرها به آن نفوذ کردند!»، «سه‌سوت برایت هکش می‌کنم!» و … . این‌ها جملاتی است که در طول سال‌های رشد صنعت فناوری اطلاعات بانکی و پرداخت بارها و بارها از این‌طرف و آن طرف شنیده‌ایم درصورتی‌که در طول تمام این سال‌ها تقریباً شاهد هیچ هکی در سیستم فناوری اطلاعات بانکی و پرداخت کشور نبوده‌ایم و بیشتر آن چیزهایی که زیرِ عنوان «هک» شنیده‌ایم، دستیابی به اطلاعات حساب‌ها یا کارت‌های بانکی به شیوه‌های غیرفنی و کاملاً انسانی بوده است و یا خیانت‌درامانت توسط نیروهای داخلی خود بانک‌ها یا شرکت‌ها که معروف‌ترین نمونه آن نیز فروردین‌ماه 91 رخ داد.

درباره معاونت امنیت اطلاعات و ارتباطات شرکت بهسازان ملت

تأمین «امنیت» در سیستم‌های بانکی همیشه برای خود فعالان سیستم بانکی و پرداخت یکی از بزرگ‌ترین دغدغه‌ها بوده و هست، هرچند باید گفت که دُز این اهمیت برای برخی غلیظ و برای برخی رقیق است. بهسازان ملت یکی از شرکت‌هایی است که ظاهراً دُز امنیت در این شرکت بالاست تا جایی که یکی از معدود شرکت‌های فناوری اطلاعات ایرانی است که معاونت ISMS تشکیل داده است.

اولین دستاورد این تیم در همان سال‌های ابتدایی شکل‌گیری‌اش، ارائه خدمات مشاوره در راستای استقرار سیستم مدیریت امنیت اطلاعات در بانک ملت بود. معاونت امنیت اطلاعات در شرکت بهسازان از بخش‌ها و تیم‌های مختلفی تشکیل شده است؛ برای مثال تیم «مدیریت رخدادهای امنیتی» که نقطه تماس بانک ملت با تمام شرکت‌ها در حوزه رخدادهای امنیتی است. بخش دیگر، تیم «مهندسی امنیت» است که تخصصش در حوزه امنیت محصولات نرم‌افزاری است و همچنین تیم «عملیات امنیت» که قرار است یکی از آخرین خروجی‌هایش را در سال جاری رونمایی کند.

تأمین امنیت در فرآیند تولید محصولات بانکی

یکی از مهم‌ترین چالش‌های تولید یک محصول نرم‌افزاری، امنیت آن محصول است که برای کسب درجه قابل قبولی از امنیت در هر محصول، باید قبل و حین تولید آن محصول فعالیت‌هایی انجام شود که امنیت آن محصول را تضمین کند. برای این کار در دنیا استانداردها و متدولوژی‌هایی وجود دارد که ظاهراً شرکت بهسازان هم متدولوژی خاص خودش را دارد و محصولاتش از طریق این متدولوژی توسعه پیدا می‌کنند.

میثم نماینده مدیر امنیت شرکت بهسازان ملت قبل از اینکه به سراغ معرفی محصول امنیتی جدید بهسازان در حوزه بانکداری و پرداخت برود، کمی از گذشته تعریف کرد و گفت: «از سال 88 ارزیابی بسیاری از سامانه‌های بانکی ازلحاظ امنیت را در دستور کار قرار دادیم؛ مشکلات زیادی در چرخه ارائه محصول بانکی به کاربر نهایی وجود دارد. در این چرخه، شرکت‌ها یک سامانه را توسعه می‌دهند و در بهترین حالت پس از ارزیابی امنیتی، وارد محیط عملیاتی می‌شود. اما اگر امنیت در چرخه تولید نرم‌افزار در نظر گرفته نشود، هزینه رفع یک حفره امنیتی در مرحله عملیاتی شدن به‌مراتب بالاتر از هزینه‌ای است که رعایت امنیت در چرخه SDLC به وجود می‌آورد.»

چالش بین نیروهای بخش توسعه و بخش امنیت

ابراهیم خلیل‌زاده جزو اولین نفراتی است که با شکل‌گیری واحد امنیت در بهسازان، میثم نماینده را همراهی می‌کند و اکنون به‌عنوان مدیر بخش مهندسی امنیت شرکت بهسازان ملت فعالیت می‌کند.

خلیل‌زاده در ادامه صحبت‌های نماینده گفت: «تست یک محصول، یکی از مهم‌ترین کارها برای ارائه یک محصول نرم‌افزاری امن است؛ چراکه محصول به‌طورمعمول توسط افراد غیرامنیتی طراحی و تولید می‌شود که الزاماً دید امنیتی ندارند.

این موضوع، برای ما به‌عنوان یک تیم امنیت که وظیفه ارائه محصولی امن به مشتری را بر عهده داریم، مشکل بزرگی ایجاد می‌کند. در نتیجه ما باید دانش امنیتی خود را به دیگر افراد درگیر در طراحی و تولید منتقل کنیم تا خیلی از موارد از همان ابتدا مرتفع شوند. برای انتقال دانش هم راه‌های زیادی وجود دارد اما هرکدام از این راه‌ها هزینه‌های خودش را دارد و در اکثر اوقات هم مثمر ثمر نیستند.

ابراهیم خلیل‌زاده مدیر بخش مهندسی امنیت شرکت بهسازان ملت

این خلأ یا فاصله دانشی میان تیم «امنیت» و تیم‌های «طراحی»، «تولید» و «تحلیل» بود که ما سال‌ها درگیرش بودیم و در طول این سال‌ها، آموزش‌های مختلفی را به تیم‌ها دادیم و اعتراف می‌کنیم با اینکه وقت و انرژی زیاد صرف این آموزش‌ها کردیم، ولی نتیجه این کارها آن‌طور که انتظارش را داشتیم اثربخش نبود و به همین دلیل ما دست به انجام کار دیگری زدیم.»

مسابقه فتح پرچم چیست؟

یکی از جذاب‌ترین و معروف‌ترین مسابقات در حوزه امنیت، مسابقه فتح پرچم است که برنامه زمان‌بندی برگزاری این مسابقات در سایت CTFtime.org قابل‌رؤیت است. دانشگاه شریف، دانشگاه صنعتی اصفهان و سازمان انرژی اتمی نیز مراکزی هستند که این مسابقات را در ایران برگزار می‌کنند و تاکنون بیش از 30 تیم از ایران در این مسابقات بین‌المللی شرکت کرده‌اند و در آخرین رده‌بندی این مسابقات که مربوط به سال 2017 است، یکی از 10 تیم برتر از ایران است که این موضوع ازلحاظ ارتقای دانش و ایجاد اعتبار بین‌المللی برای ایران حائز اهمیت است.

مسابقات CTF یک مانور شبیه‌سازی‌شده در فضای سایبری است که در آن متخصصین امنیت اطلاعات به مقابله با یکدیگر می‌پردازند. در این دسته از مسابقات یک سری چالش در اختیار شرکت‌کنندگان قرار داده می‌شود تا مهارت آن‌ها مورد ارزیابی قرار بگیرد.

ریشه شکل‌گیری ایده اولیه محصول

نماینده با اشاره به اینکه تیم متخصصان امنیت بهسازان، در مسابقات دانشگاه شریف و دانشگاه صنعتی اصفهان مقام اول و در مسابقه سازمان انرژی اتمی نیز مقام سوم را کسب کرده‌اند، گفت: «با توجه فقر دانش در حوزه امنیت و تجربه هفت سال گذشته‌مان در خصوص حفره‌های امنیتی سامانه‌های بانکی، به این ایده رسیدیم که می‌توانیم یک زیرساخت دانش‌بنیان امنیتی با سناریوهای عملی در حوزه بانکداری الکترونیک ایجاد کنیم. نام این سامانه که در نوع خودش اولین در ایران است، «سامانه دانش‌بنیان مسابقات امنیت در حوزه بانکداری الکترونیک» است. درواقع با ایده از مسابقات جهانی فتح پرچم، پلتفرمی جهت برگزاری این مسابقات به شکلی کاملاً تخصصی در حوزه بانکداری الکترونیک طراحی و تولید کردیم.»

چرا سامانه دانش‌بنیان مسابقات امنیت؟

مسابقه CTF یکی از مشهورترین مسابقات بین‌المللی بین هکرهاست که شرکت‌کنندگان با چالش‌هایی مانند برنامه‌نویسی امن، شکستن رمز و پنهان‌نگاری مواجه می‌شوند که با حل هر چالش یک رشته تصادفی که اصطلاحاً به آن Flag (پرچم) گفته می‌شود، دست می‌یابند. که با ثبت این Flag در پلتفرم مسابقه، امتیازی به تیم آن‌ها اختصاص پیدا می‌کند. در واقع شرکت‌کننده‌ها در قالب یک یا چند تیم، در یک ساعت و روز مشخص مسابقه را شروع کرده و به مدت دو یا سه روز در برخی حوزه‌های مشخص‌شده امنیتی به دنبال چالش‌ها و حل آن‌ها می‌روند؛ اما چرا بهسازان باید چیزی شبیه به آن را به‌عنوان یک محصول دانش‌بنیان ارائه کند؟

میثم نماینده مدیر امنیت شرکت بهسازان ملت دراین‌باره گفت: «ارائه این محصول چند دلیل داشت؛ اول اینکه یکی از زمینه‌های توسعه علاقه‌مندی برای افراد فعال در حوزه نرم‌افزار است. دلیل دوم انتقال دانش به افرادی است که در حوزه امنیت خیلی فعال نیستند مانند توسعه‌دهندگان؛ به عبارتی ما با ارائه این محصول، به افرادی که در فرآیند تولید نرم‌افزار فعالیت دارند، دفاع در عمق در حین تولید را آموزش می‌دهیم. یکی از بزرگ‌ترین مزایای استفاده از این سامانه، پویایی و پرورش خلاقیت است. همچنین محیطی انگیزشی و مؤثر برای سنجش دانش امنیتی شرکت‌های نرم‌افزاری است.»

تمایز محصول بهسازان با محصولات مشابه

با پذیرفتن این مزایا، سؤال دیگری که پیش می‌آید این است که این سامانه نسبت به مسابقات بین‌المللی فتح پرچ و یا نمونه‌های داخلی‌اش که در دو دانشگاه بزرگ و یک سازمان معتبر داخلی نیز پیاده‌سازی و اجرا شده است، چه تمایزی دارد؟ وقتی سامانه‌های مشابه وجود دارند چه لزومی دارد دوباره سامانه دیگری طراحی شود؟

نماینده که احتمالاً منتظر پرسش چنین سؤالی بود، در پاسخ گفت: «بزرگ‌ترین تفاوتی که بین این زیرساخت با مسابقات فتح پرچم دنیا و یا دانشگاه شریف و اصفهان وجود دارد این است که سؤالات ما، سؤالات تخصصی حوزه بانکداری الکترونیک است. دیدگاه و زیرساختی که ما داریم با سایر زیرساخت‌ها تفاوت دارد. زیرساخت ما دانش‌بنیان و آموزشی است ولی لزوماً سایر دوستان وظیفه آموزشی ندارند و بیشتر جنبه رقابت در آن پررنگ است.

نماینده: ما دو تفاوت بزرگ داریم اولی اینکه محوریت مسابقات طوری است که جنبه آموزشی پررنگی داشته باشد و دومی اینکه به‌طور تخصصی در حوزه فناوری اطلاعات بانکی و پرداخت است

پس ما دو تفاوت بزرگ داریم اولی اینکه محوریت مسابقات طوری است که جنبه آموزشی پررنگی داشته باشد و دومی اینکه به‌طور تخصصی در حوزه فناوری اطلاعات بانکی و پرداخت است و شرکت‌کنندگان به‌احتمال خیلی زیاد با سناریوهای مشابه مطرح شده در این مسابقات در دنیای واقعی کار نیز مواجه خواهند شد درصورتی‌که در مسابقات مشابه توسط دیگر سازمان‌ها خیلی از این مسابقات برای فعالان صنعت بانکداری و پرداخت عملاً کاربردی در محیط کار نداشته و صرفاً جنبه رقابت و بردن مسابقه مطرح است.»

سامانه دانش‌بنیان مسابقات امنیت چگونه کار می‌کند

او در ادامه در خصوص چگونگی عملکرد این سامانه گفت: «ما یک سری سؤال طراحی کردیم که نتیجه تجربیات و کارهایی است که تیم امنیت بهسازان در هفت سال گذشته در حوزه بانکداری الکترونیک انجام داده است و این سؤالات در یک زیرساخت دانش‌بنیان برای تیم‌ها به شکل مسابقه مطرح می‌شود و تیم‌ها باید برای حل این سؤال‌ها تمام تلاششان را بکنند. ماهیت سؤال‌ها به‌نوعی است که تیم‌های طراحی، تولید، امنیت، شبکه و دیتابیس باید همگی در کنار هم قرار داشته باشند تا بتوانند یک سؤال را حل کنند؛ بنابراین خواسته یا ناخواسته همگی برای پاسخ دادن به سؤال‌ها باید دانش خودشان را با یکدیگر به اشتراک بگذارند.

درنتیجه با تکیه به تجربه‌های قبلی که در این خصوص داشته‌ایم، پویایی و انگیزه در افراد، تیم‌ها و شرکت‌ها به وجود می‌آید. ما تجربه برگزاری دو دوره از مسابقات این سامانه را داریم که دوره اول فقط در شرکت بهسازان ملت و دوره دوم در شرکت‌های تابعه بانک ملت انجام شد. تجربه نشان داد با این کار یک رقابت سالم بین افراد، تیم‌ها و حتی شرکت‌ها به وجود می‌آید و همه تلاش می‌کنند تا بتوانند پرچمی را کسب کنند.»

عمق یادگیری در حین مسابقه

ابراهیم خلیل‌زاده مدیر بخش مهندسی امنیت شرکت بهسازان درباره چرایی ارائه این محصول گفت: «ما سال‌ها در مسابقات فتح پرچم شرکت کرده بودیم و لذت یادگیری در حین رقابت را چشیده بودیم؛ یعنی خود ما وقتی وارد این مسابقات می‌شدیم، خیلی از دانش‌ها را نداشتیم ولی چون این مسابقات در قالب یک رقابت هیجان‌انگیز بود، ما را ترغیب می‌کرد تا در طول 48 ساعت مسابقه، چنان مطالعه عمیقی بکنیم که شاید در زمان‌های دیگر این کار را در طول یک سال هم انجام نمی‌دادیم. درنتیجه ما این مسابقات را به‌طور تخصصی برای فضای بانکی کشور شبیه‌سازی کردیم.»

مدیران امنیت شرکت بهسازان با طراحی و بومی‌سازی این مسابقات در حوزه بانکداری، تلاش کرده‌اند فاصله بین تیم‌های امنیت و دیگر تیم‌ها را برطرف کنند تا خود تیم‌های توسعه‌ای با علاقه‌مندی زیاد موضوعات امنیتی را دنبال کنند و یاد بگیرند.

تجربه یک مسابقه داخلی

مدیر بخش مهندسی امنیت شرکت بهسازان درباره تجربه اجرای این مسابقات در شرکت بهسازان گفت: «ما مشکلات و چالش‌هایی را که در طول سالیان به آن برخورده بودیم، در قالب یک سری سناریو پیاده‌سازی کردیم و در یک رقابت، این سناریوها را در اختیار تیم‌های توسعه قرار دادیم. افراد مختلفی برای شرکت در این رقابت تشکیل گروه دادند و سعی کردیم هر فردی با هر تخصصی بتواند در این مسابقه مشارکت نماید. با توجه به شرایطی که داشتیم، زمان برگزاری اولین دوره را سه روز در نظر گرفتیم که در طول این سه روز به‌قدری هیجان ایجاد شد که شاید در طول این چندین سال ما نتوانسته بودیم این حجم از دانش را به آن‌ها منتقل کنیم.

خلیل‌زاده: در طول این سه روز به‌قدری هیجان ایجاد شد که شاید در طول این چندین سال ما نتوانسته بودیم این حجم از دانش را به آن‌ها منتقل کنیم

در کنار سامانه‌ای که برای مسابقه ایجاد کردیم، یک سامانه مدیریت یادگیری (LMS) نیز قرار دادیم که محتواهای آموزشی موردنیاز برای تیم‌ها در آن قرار دارد. تیم‌های شرکت‌کننده وقتی می‌خواهند چالشی را حل کند، راهنمایی‌شان می‌کنیم که فلان مطلب را از LMS مطالعه کنند تا بتوانند چالش را حل کنند و تیم‌ها این کار را به‌سرعت و با دقت انجام می‌دهند. درصورتی‌که اگر ما می‌خواستیم برای همین LMS دوره و یا کارگاهی برگزار کنیم، هم هزینه زیادی برای ما داشت و هم اینکه علاقه کمتری از طرف تیم‌ها برای یادگیری بود. این موضوع در حوزه امنیت می‌تواند نقطه عطفی باشد برای اینکه تیم‌های امنیتی و افرادی که در حوزه تولید نرم‌افزار هستند، دیدگاهشان بعد از شرکت در این مسابقات تغییر کند.»

نمایی از سامانه دانش‌بنیان مسابقات امنیت محصول جدید بهسازان ملت در حوزه بانکداری الکترونیک

ابزاری برای ایجاد انگیزه یادگیری عمیق در حوزه امنیت

میثم نماینده مدیر امنیت شرکت بهسازان ملت در پاسخ به اینکه ارائه این سامانه چه تأثیری به شکل واقعی در تیم‌های شرکت‌کننده در مسابقات و شرکت‌های تابعه بانک ملت داشته است، گفت: «از زمانی که این رقابت‌ها در این شرکت و دیگر شرکت‌های تابعه برگزار شد، دیدگاه افراد به موضوع امنیت تغییر کرد. حتی نظر افرادی در دیگر شرکت‌ها را نیز پرسیدیم و فیدبک‌هایی که گرفتیم به نسبت خیلی مثبت‌تر از فیدبک‌هایی بود که از داخل مجموعه‌های بانک ملت دریافت کرده بودیم.

ما اطمینان داریم که این همان حلقه مفقوده در فرآیند تولید امن محصول است و شما با این ابزار می‌توانید حلقه مفقوده را در حین فرآیند تولید محصول پیدا کرده و در دل آن بگنجانید.»

نقش نیروهای امنیت در شرکت‌ها کمرنگ می‌شود؟

نماینده با تأکید بر اینکه با این کار حضور تیم‌های امنیتی در شرکت‌ها نفی نخواهد شد، گفت: «کارشناسان و متخصصان امنیت، واقعاً دیدگاه‌های متفاوتی دارند پس به‌هیچ‌وجه نمی‌توان آن‌ها را حذف کرد. ولی همین‌که با چنین محصولی، هزینه محصول شما ازلحاظ امنیتی به یک سطح قابل قبولی برسد، باعث می‌شود خیلی راحت‌تر به تولید محصولاتتان بپردازید.»

مدل‌های مختلف ارائه این سامانه به دیگر شرکت‌ها

با توجه به اینکه شرکت بهسازان ملت یکی از شرکت‌های زیرمجموعه بانک ملت است، ممکن است دیگر بانک‌ها و شرکت‌های تابعه آن‌ها تمایل زیادی برای شرکت در این مسابقات نداشته باشند. نماینده در پاسخ به این دغدغه گفت: «هدف ما کاملاً درون‌سازمانی است. تمامی عملکرد این پلتفرم بر عهده همان شرکت‌های متقاضی خواهد بود. سایت، سرور و کاربری، می‌تواند تماماً سمت خود شرکت‌ها باشد.

درواقع ما می‌توانیم آن را فقط به‌عنوان یک محصول در اختیار تمام شرکت‌های فعال در حوزه بانکداری و پرداخت الکترونیک قرار دهیم و بعد از یک پیکربندی اولیه ما دیگر هیچ ارتباط یا تصرفی در آن نخواهیم داشت. درنهایت خود شرکت‌ها می‌توانند مسابقات را به شکل داخلی برای کارکنان خودشان برگزار کنند و هر شرکتی هم می‌تواند جوایز و جایزه‌های مختلفی برای تیم‌های فعال در نظر بگیرد تا انگیزه مشارکت افراد را بیشتر کند.

نوع دیگر کار ما به این صورت است که ممکن است برخی شرکت‌ها فضای کافی در اختیار نداشته باشند، بخواهند نیروهایشان خارج از شرکت آموزش ببینند. بدین منظور ما تمهیداتی را در نظر گرفته‌ایم که از سال جاری شرکت‌ها می‌توانند تیم‌هایشان را به شرکت بهسازان ملت بفرستند. در یک محیط اختصاصی، افراد آموزش لازم را دریافت می‌کنند و آن را در شرکت خودشان پیاده می‌کنند.

بعضی از شرکت‌ها هم دغدغه‌ای ندارند و می‌گویند ما اصلاً نمی‌خواهیم درگیر کارهای عملیاتی شویم و از اول تا آخر کار باید توسط تیم متولی انجام شود که آمادگی انجام این کار هم توسط متخصصین ما وجود دارد که در بازه‌های مشخص مثلاً هر شش ماه، هر سه ماه و یا حتی هرماه به یک شرکت برویم و طی دو روز مسابقه را برایشان برگزار کنیم و تیم‌های برگزیده مشخص شوند.»

شرکت‌های متوسط و بزرگ مشتریان بالقوه این محصول هستند

خلیل‌زاده در پاسخ به اینکه چه شرکت‌هایی مشتریان بالقوه خرید این محصول هستند، گفت: «شرکت‌های متوسط و بزرگ مشتریان بالقوه این محصول هستند چراکه در شرکت‌های کوچک شاید آن فیدبک مثبت، وجود و نمود مشخصی نداشته باشد.

دلیل اینکه تیم‌ها در حوزه امنیت انگیزه پیدا می‌کنند این است که در جدول امتیازات این سامانه، به‌صورت نموداری امتیاز دریافتی تیم‌ها نمایش داده می‌شود و حتی تیم‌ها می‌توانند برای خودشان اسم‌های مستعار انتخاب کنند.

همچنین شرکت‌ها می‌توانند از تیم‌های برگزیده خودشان تقدیر کنند چون محیطی به وجود آمده است که افرادی که روحیه یادگیری دارند از دیگران مشخص می‌شوند درنتیجه باید زمینه‌ای وجود داشته باشد که از آن افراد تقدیر شود.»

در پایان نیز می‌توانید ویدیوی دموی سامانه دانش‌بنیان مسابقات امنیت بهسازان ملت در حوزه بانکداری الکترونیک را ببینید.