پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
23 راهكار امنيتي براي بانكداري الكترونيكي
رضا بافري اصل. مدير ICT بورس كالاي ايران؛
فناوری اطلاعات و ارتباطات فرصتی برای حوزههای پولی و مالی خلق کرد تا بهرهوری این حوزه رشد و پیشرفت قابل توجهی در دو دهه اخیر کسب کند اما این فرصت امروز به یک ضرورت تبدیل شده است بهگونهای که نمیتوان هیچ راهکار غیرالکترونیکیای برای توسعه صنعت بانکداری متصور شد. در کنار این پیشرفت به واسطه تراکنشهایی که هر یک ارزش مادی فراوان دارند از یک سو چشمان ناپاک سوءاستفاده مترصد یک ضعف ذاتی یا ساختاری و فرآیندی نشستهاند و از دیگر سو مشکلات و نقاط ضعف غیرعاملانه نیز منجر به ضرر و زیان این صنعت میشوند. این بدان معنی است که ارزش، اعتبار و صحت کارکرد فرآیندهای بانکداری در گرو تامین امنیت به ویژه در حوزه الکترونیکی است و هر خدشهای به این امنیت وارد شود گاهی به تمامیت بانکداری ضربه میزند، نظیر افشای اطلاعات دسترسی به کارتهای بانکی و یا حتی مسائلی که در پرونده فساد 30 هزار میلیارد ریالی به واسطه ضعفهای سیستمی و نظارتی دیده میشود.
ارکان صنعت بانکداری الکترونیکی سامانههای بانکداری اطلاعات و دادههای بانکی و مالی، تجهیزات سختافزاری و ارتباطی، پرسنل فناوی اطلاعات، پرسنل کاربر سامانهها، تولیدکنندگان سامانهها و تجهیزات، شرکتهای ارائهدهنده خدمات پرداخت عموم کاربران سامانههای بانکداری هستند. همه این ارکان در معرض دو نوع معضل امنیتی هستند، سوءاستفاده از نقاط ضعف این ارکان و رخدادهای غیرعمدی ناشی از ضعفهای عملکردی آنها برای مثال اکثر سامانههای کربنکینگ (core banking) و تجهیزات اصلی شبکه بانکی منبع خارجی دارند لذا در جایی که رخدادهای امنیتی نظیر استاکسنت روی میدهد نمیتوان انتظار داشت هیچ تهدید امنیتی در این حوزه وجود نداشته باشد. از دیگر سو فقدان یک مرکز ریشه جهت تایید صحت امضای الکترونیکی که مورد تاکید ماده 49 قانون برنامه پنجم توسعه نیز هست، چالشی است که باعث شده بسیاری از فرآیندهای تبادل اطلاعاتی را از زیرساخت امن امضای الکترونیکی محروم کند.
اما مهمتر از همه اینها «عدم پوشش کامل فرآیندهای بانکی توسط سامانههای بانکداری الکترونیکی» است. نمود این مشکل در پرونده فساد بانکی مشهود است. فرآیندهای مرتبط با LCها و استعلامات آنها توسط سامانههای متمرکز پشتیبانینشده لذا منجر به سوءاستفادههایی میشود که یکی از آنها در این پرونده دیده شده است. در کنار اینها باید عدم آشنایی کلیه عوامل انسانی درگیر با فرآیندها با مقوله امنیت فضای تبادل اطلاعات (افتا) و حتی در برخی موارد عدم آشنایی کافی با فرآیندهای الکترونیکی را ذکر کرد. سهم هزینههای ایجاد افتا در مقابل هزینههای توسعه فاوای بانک بسیار ناچیز است.
که این دو دلیل عمده دارد؛ یا دانش امنسازی بانکداری الکترونیکی و اهمیت آن نزد پرسنل فنی نهادینه نشده است یا هنوز این مهم به باور مدیران ارشد نظام بانکی نرسیده است. سایر عوامل انسانی نظیر کاربران نیز به واسطه عدم آگاهی باعث رخ دادن بسیاری از مشکلات امنیتی در این حوزه میشوند که نمود آن در سوءاستفاده از حساب اشخاص به واسطه عدم رعایت محرمانگی کارت و رمز عبور و عدم اشراف به مقوله پرداختهای اینترنتی دیده میشود و در مورد افشای اطلاعات کارتها عدم نظارت کافی نهادهای نظارتی و بانکها بر ماهیت و نحوه تبادل دادهها بین شرکتهای ارائه خدمات پرداخت و بانک قابل بررسی است.
راهکارهای ارتقای امنیت در حوزه بانکداری الکترونیکی را میتوان در قالب ارکان ذکرشده به شرح زیر ارائه کرد.
عوامل انسانی:
الف- آموزش مداوم پرسنل فنی توسعهدهنده سامانهها برای امنسازی سامانهها و تبادل اطلاعات
ب- آموزش کاربران درونبانکی سامانهها جهت رعایت استانداردها و دستورالعملهای فنی
ج- اطلاعرسانی و آگاهسازی به کاربران و مشتریان خدمات بانکی
د- آموزش مدیران ارشد بانکها جهت اهمیت امنیت و شناسایی نقاط ضعف.
سامانههای بانکی:
الف- یکپارچهسازی سامانهها به صورت تولید بومی و غیروارداتی به نحوی که هیچ فرآیند بانکی بدون پوشش سیستمی آن انجام نشود.
ب- تدوین استانداردهای امنیتی و بازبینیهای ممیزی این سامانه جهت رعایت استانداردهای نظیر sms که مورد تاکید ماده 231 قانون برنامه پنجم توسعه نیز هست.
ج- رمزنگاری کلیه اطلاعات تبادلی و نیز تبادل اطلاعات منوط به امضای الکترونیکی آنها
د- ایجاد و توسعه مرکز ریشه و میانی صدور گواهی
ه- تدوین برنامه عملیاتی آزمونهای امنیتی درونی و بیرونی از سامانهها.
شرکتهای پیمانکار:
الف- انعقاد قراردادهای حقوقی به همراه ضمانت اجراهای سنگین مالی برای پیمانکاران خدمات و محصولات بانکداری الکترونیکی جهت حذف محرمانگی اطلاعات
ب- تدوین استانداردهای امنیتی برای رعایت آنها نزد پیمانکاران
ج- بازبینی تبادلات دادهای بین پیمانکاران و سامانهها و بانک جهت پرهیز از تبادل دادهای که در مسوولیت حقوقی طرفین قرار ندارد یعنی دادهها مورد نیاز یا ضروری برای تبادل نیستند.
تجهیزات سختافزاری و مخابراتی:
الف- تدوین مستندات امنیتی شبکهبندی و توسعه شبکههای ارتباطی و حفظ محرمانگی دسترسی به این تجهیزات و اجرای استقرار و توسعه شبکهها بر مبنای مستندات ذکرشده
ب- تکیه بر راهکارهای ارتباطی امن و مطمئن ترجیحا غیرماهوارهای که به نوعی کل مسیر تبادل داده در اختیار کارفرما باشد.
ج- رمزنگاری کلیه ارتباطات بر مبنای الگوریتمهای بومی و پیچیده
د- بررسیهای مستمر استاداردها و نیز ممیزی نقاط ضعف تجهیزات مخابراتی و سختافزاری
ه- حذف فوری تجهیزات دارای رخنههای امنیتی
و- ایجاد راهکارهای شبکهموازی و تجهیز پشتیبانهایی با قابلیت راهاندازی بدون درنگ.
اطلاعات و دادهها:
الف- پشتیبانگیری مستمر از داده و آزمون راهاندازی مجدد با استفاده از این اطلاعات
ب- رمزنگاری کلیه اطلاعات
ج- اجرای آزمونهای امنیت دسترسی درونی و بیرونی
د- حذف مکرر مازاد اطلاعات.
منبع: عصر ارتباط؛ ویژه نامه بانکداری الکترونیکی؛ تیرماه 91