راه پرداخت
رسانه فناوری‌های مالی ایران

23 راهكار امنيتي براي بانكداري الكترونيكي

رضا بافري اصل. مدير ICT بورس كالاي ايران؛

فناوری اطلاعات و ارتباطات فرصتی برای حوزه‌های پولی و مالی خلق کرد تا بهره‌وری این حوزه رشد و پیشرفت قابل توجهی در دو دهه اخیر کسب کند اما این فرصت امروز به یک ضرورت تبدیل شده است به‌گونه‌ای که نمی‌توان هیچ راهکار غیرالکترونیکی‌ای برای توسعه صنعت بانکداری متصور شد. در کنار این پیشرفت به واسطه تراکنش‌هایی که هر یک ارزش مادی فراوان دارند از یک سو چشمان ناپاک سوءاستفاده مترصد یک ضعف ذاتی یا ساختاری و فرآیندی نشسته‌اند و از دیگر سو مشکلات و نقاط ضعف غیرعاملانه نیز منجر به ضرر و زیان این صنعت می‌شوند. این بدان معنی است که ارزش، اعتبار و صحت کارکرد فرآیندهای بانکداری در گرو تامین امنیت به ویژه در حوزه الکترونیکی است و هر خدشه‌ای به این امنیت وارد شود گاهی به تمامیت بانکداری ضربه می‌زند، نظیر افشای اطلاعات دسترسی به کارت‌های بانکی و یا حتی مسائلی که در پرونده فساد 30 هزار میلیارد ریالی به واسطه ضعف‌های سیستمی و نظارتی دیده می‌شود.

ارکان صنعت بانکداری الکترونیکی سامانه‌های بانکداری اطلاعات و داده‌های بانکی و مالی، تجهیزات سخت‌افزاری و ارتباطی، پرسنل فناوی اطلاعات، پرسنل کاربر سامانه‌ها، تولیدکنندگان سامانه‌ها و تجهیزات، شرکت‌های ارائه‌دهنده خدمات پرداخت عموم کاربران سامانه‌های بانکداری هستند. همه این ارکان در معرض دو نوع معضل امنیتی هستند، سوءاستفاده از نقاط ضعف این ارکان و رخدادهای غیرعمدی ناشی از ضعف‌های عملکردی آنها برای مثال اکثر سامانه‌های کربنکینگ (core banking) و تجهیزات اصلی شبکه بانکی منبع خارجی دارند لذا در جایی که رخدادهای امنیتی نظیر استاکس‌نت روی می‌دهد نمی‌توان انتظار داشت هیچ تهدید امنیتی در این حوزه وجود نداشته باشد. از دیگر سو فقدان یک مرکز ریشه جهت تایید صحت امضای الکترونیکی که مورد تاکید ماده 49 قانون برنامه پنجم توسعه نیز هست، چالشی است که باعث شده بسیاری از فرآیندهای تبادل اطلاعاتی را از زیرساخت امن امضای الکترونیکی محروم کند.

اما مهم‌تر از همه اینها «عدم پوشش کامل فرآیندهای بانکی توسط سامانه‌های بانکداری الکترونیکی» است. نمود این مشکل در پرونده فساد بانکی مشهود است. فرآیندهای مرتبط با LCها و استعلامات آنها توسط سامانه‌های متمرکز پشتیبانی‌نشده لذا منجر به سوءاستفاده‌هایی می‌شود که یکی از آنها در این پرونده دیده شده است. در کنار اینها باید عدم آشنایی کلیه عوامل انسانی درگیر با فرآیندها با مقوله امنیت فضای تبادل اطلاعات (افتا) و حتی در برخی موارد عدم آشنایی کافی با فرآیندهای الکترونیکی را ذکر کرد. سهم هزینه‌های ایجاد افتا در مقابل هزینه‌های توسعه فاوای بانک بسیار ناچیز است.

که این دو دلیل عمده دارد؛ یا دانش امن‌سازی بانکداری الکترونیکی و اهمیت آن نزد پرسنل فنی نهادینه نشده است یا هنوز این مهم به باور مدیران ارشد نظام بانکی نرسیده است. سایر عوامل انسانی نظیر کاربران نیز به واسطه عدم آگاهی باعث رخ‌ دادن بسیاری از مشکلات امنیتی در این حوزه می‌شوند که نمود آن در سوءاستفاده‌ از حساب اشخاص به واسطه عدم رعایت محرمانگی کارت و رمز عبور و عدم اشراف به مقوله پرداخت‌های اینترنتی دیده می‌شود و در مورد افشای اطلاعات کارت‌ها عدم نظارت کافی نهادهای نظارتی و بانک‌ها بر ماهیت و نحوه تبادل داده‌ها بین شرکت‌های ارائه خدمات پرداخت و بانک قابل بررسی است.

 

راهکارهای ارتقای امنیت در حوزه بانکداری الکترونیکی را می‌توان در قالب ارکان ذکرشده به شرح زیر ارائه کرد.

عوامل انسانی:

الف- آموزش مداوم پرسنل فنی توسعه‌دهنده سامانه‌ها برای امن‌سازی سامانه‌ها و تبادل اطلاعات

ب- آموزش کاربران درون‌بانکی سامانه‌ها جهت رعایت استانداردها و دستورالعمل‌های فنی

ج- اطلاع‌رسانی و آگاه‌سازی به کاربران و مشتریان خدمات بانکی

د- آموزش مدیران ارشد بانک‌ها جهت اهمیت امنیت و شناسایی نقاط ضعف.

 

سامانه‌های بانکی:

الف- یکپارچه‌سازی سامانه‌ها به صورت تولید بومی و غیروارداتی به نحوی که هیچ فرآیند بانکی بدون پوشش سیستمی آن انجام نشود.

ب- تدوین استانداردهای امنیتی و بازبینی‌های ممیزی این سامانه جهت رعایت استانداردهای نظیر sms که مورد تاکید ماده 231 قانون برنامه پنجم توسعه نیز هست.

ج- رمزنگاری کلیه اطلاعات تبادلی و نیز تبادل اطلاعات منوط به امضای الکترونیکی آنها

د- ایجاد و توسعه مرکز ریشه و میانی صدور گواهی

ه- تدوین برنامه عملیاتی آزمون‌های امنیتی درونی و بیرونی از سامانه‌ها.

 

شرکت‌های پیمانکار:

الف- انعقاد قراردادهای حقوقی به همراه ضمانت اجراهای سنگین مالی برای پیمانکاران خدمات و محصولات بانکداری الکترونیکی جهت حذف محرمانگی اطلاعات

ب- تدوین استانداردهای امنیتی برای رعایت آنها نزد پیمانکاران

ج- بازبینی تبادلات داده‌ای بین پیمانکاران و سامانه‌ها و بانک جهت پرهیز از تبادل داده‌ای که در مسوولیت حقوقی طرفین قرار ندارد یعنی داده‌ها مورد نیاز یا ضروری برای تبادل نیستند.

 

تجهیزات سخت‌افزاری و مخابراتی:

الف- تدوین مستندات امنیتی شبکه‌بندی و توسعه شبکه‌های ارتباطی و حفظ محرمانگی دسترسی به این تجهیزات و اجرای استقرار و توسعه شبکه‌ها بر مبنای مستندات ذکرشده

ب- تکیه بر راهکارهای ارتباطی امن و مطمئن‌ ترجیحا غیرماهواره‌ای که به نوعی کل مسیر تبادل داده در اختیار کارفرما باشد.

ج- رمزنگاری کلیه ارتباطات بر مبنای الگوریتم‌های بومی و پیچیده

د- بررسی‌های مستمر استاداردها و نیز ممیزی نقاط ضعف تجهیزات مخابراتی و سخت‌افزاری

ه- حذف فوری تجهیزات دارای رخنه‌های امنیتی

و- ایجاد راهکارهای شبکه‌موازی و تجهیز پشتیبان‌هایی با قابلیت راه‌اندازی بدون درنگ.

 

اطلاعات و داده‌ها:

الف- پشتیبان‌گیری مستمر از داده و آزمون راه‌اندازی مجدد با استفاده از این اطلاعات

ب- رمزنگاری کلیه اطلاعات

ج- اجرای آزمون‌های امنیت دسترسی درونی و بیرونی

د- حذف مکرر مازاد اطلاعات.

منبع: عصر ارتباط؛ ویژه نامه بانکداری الکترونیکی؛ تیرماه 91

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.