راه پرداخت
رسانه فناوری‌های مالی ایران

مهم‌ترین چالش بانک‌ها در حوزه امنیت چیست؟ / 15 معاون فناوری اطلاعات بانک پاسخ می‌دهند

با گسترش استفاده از اینترنت و خدمات الکترونیکی در حوزه‌های گوناگون ازجمله خدمات مالی و اعتباری به‌ویژه تراکنش‌های مالی نیاز به پیاده‌سازی و ارائه راهکارهای درست و دقیق امنیتی جهت پایین آوردن مخاطرات امنیتی ازجمله الزامات حوزه بانکی است. امنیت که یکی از مهم‌ترین مسائل در حوزه فناوری اطلاعات و ارتباطات است، در بانک‌های کشور با چالش‌هایی روبه‌رو است که بر اساس دغدغه و نیازمندی ذینفعان داخلی و خارجی، عوامل تاثیر گذار محیطی داخلی و خارجی، سطح بلوغ امنیتی، مدل کسب‌وکار، درجه ریسک‌پذیری سازمان، حتی بر اساس خصوصی یا دولتی بودن بانک‌ها، متفاوت و متغیر است. نظر 15 نفر از معاونان و مدیران فناوری اطلاعات بانک‌های کشور را در خصوص مهم‌ترین چالش‌هایی که بانک‌ها در حوزه امنیت با آنها مواجه هستند، جویا شدیم. در ادامه پاسخ هر یک از این افراد به‌صورت کامل آمده است.

فایل باکیفیت تصویر زیر را می‌توانید با کلیک روی آن مشاهده کنید.

.

مسعود خاتونی، معاون فناوری اطلاعات و شبکه ارتباطات بانک ملی
مسعود خاتونی، معاون فناوری اطلاعات و شبکه ارتباطات بانک ملی

مسعود خاتونی، معاون فناوری اطلاعات و شبکه ارتباطات بانک ملی:

یکی از مهم‌ترین چالش‌های پیش روی امنیت، هزینه‌های بالای تامین امنیت است. این هزینه‌ها شامل هزینه تجهیزات و ابزارهای تامین امنیت و همچنین هزینه‌های تامین منابع انسانی است. در خصوص تامین تکنولوژی و تجهیزات چالش دیگر تهیه تجهیزات خارجی و مشکل تحریم‌ها و همچنین هزینه‌های هنگفت تهیه است. لازم به ذکر است استفاده از خدمات و تجهیزات بومی نیز چالش‌هایی دارد که مهم‌ترین آن، عدم کارایی مناسب در مقایسه با تکنولوژی‌های خارجی است که با توجه به حساسیت بسیار سرویس‌های بانکی ریسک استفاده از این سرویس‌های بومی دوچندان خواهد بود.

به‌کارگیری استانداردهای بین‌المللی در حوزه‌های بانکی و پرداخت ازجمله PCI و EMV که مدل‌های موفق و آزموده شده در دنیاست نیز می‌تواند از نگرانی‌های امنیتی موجود بکاهد. در این راستا با توجه به مشکلات امنیتی بسیار زیاد کارت‌های مگنت بانکی فعلی، بانک مرکزی می‌تواند به‌عنوان رگولاتور در بهبود و استاندارسازی حوزه‌های پرداخت نقش‌آفرین باشد. گسترش فین‌تک‌ها و بانکداری باز نیز با خود نگرانی‌های امنیتی بسیاری را ایجاد کرده که در این حوزه نیز بانک مرکزی و نقش قانون‌گذاری این نهاد بسیار حائز اهمیت است.

هماهنگی و یاری‌رسانی سایر ارگان‌ها همچون وزارت ارتباطات و زیرساخت‌های مخابراتی کشور نیز ازجمله مواردی است که می‌بایست مورد بازبینی قرار گیرد. برای مثال حملات DDOS به سامانه‌های بانکی بسیار شایع بوده و نقش یاری‌رسانی شرکت زیرساخت در جلوگیری و نهادهایی همچون پلیس فتا در جهت پیگیری موارد بسیار پررنگ خواهد بود.

زهرا میرحسینی، معاون فناوری اطلاعات و ارتباطات بانک پاسارگاد
زهرا میرحسینی، معاون فناوری اطلاعات و ارتباطات بانک پاسارگاد

زهرا میرحسینی، معاون فناوری اطلاعات و ارتباطات بانک پاسارگاد:

بانک‌ها با چالش‌های بسیاری در حوزه امنیت اطلاعات مواجه هستند. مهم‌ترین چالش‌های آنها عبارت‌اند از:

  • کمبود متخصصان متعهد در این بخش و حفظ و نگاهداشت سرمایه انسانی گران‌قیمت آن.
  • وجود خلاهای قانونی؛ برای مثال حداکثر مجازات‌های در نظر گرفته شده برای جرایم سایبری بسیار اندک بوده و فاقد بازدارندگی مناسب است.
  • لزوم ارتقای سطح آگاهی جامعه از الزامات عمومی امنیت اطلاعات. فقدان آگاهی، همه‌روزه هزینه‌های بسیاری را به مردم، بانک‌ها، نیروی انتظامی و دستگاه قضایی تحمیل می‌کند. به‌عنوان یک پیشنهاد درصورتی‌که بانک‌ها خود در آموزش و فرهنگ‌سازی اصول ساده‌ای مانند مدیریت امن گذرواژه‌ها، به‌کارگیری درگاه‌های امن پرداخت، روش‌های جلوگیری از فیشینگ و غیره پیش‌قدم شوند، می‌توانند ضمن کاهش خسارات مالی، الهام‌بخش سایر نهادها در این حوزه باشند.
  • مسئله دیگر اینکه در برخی موارد، تحریم‌های بین‌المللی در تامین تجهیزات امنیتی، به‌روزرسانی سیستم‌ها و استفاده از خدمات جهانی امنیت مشکل‌آفرین می‌شود. وابستگی فناورانه زیرساخت و نرم‌افزارهای کاربردی مهم به سایر کشورها نیز مشکل دیگر سازمان‌ها است.

در پایان لازم به ذکر است، اتخاذ راهبردهای بلندمدت در حوزه امنیت، قرار دادن این حوزه در اولویت‌های اصلی تصمیم گیران، تنظیم بودجه، ایجاد کارگروه‌های مشترک با حضور کلیه بانک‌ها و تبادل اطلاعات، توجه بیشتر به مسائل حقوقی امنیت و قراردادهای این بخش و بازنگری در قوانین مرتبط، می‌تواند موجب ارتقای سطح امنیت در بانک‌ها و به‌تبع آن در کشور شود.

مرتضی ترک تبریزی، مدیر امور فناوری اطلاعات بانک ملت
مرتضی ترک تبریزی، مدیر امور فناوری اطلاعات بانک ملت

مرتضی ترک تبریزی، مدیر امور فناوری اطلاعات بانک ملت:

با توجه به شرایط جنگ اقتصادی که از سوی دشمنان کشور تحمیل شده، بانک‌ها به‌عنوان ارکان اصلی اقتصاد در معرض تهدیدات بی‌شماری قرار گرفته‌اند و این موضوع سبب شده مقوله امنیت اطلاعات در بانک‌ها به‌عنوان یکی از دغدغه‌های اصلی مبدل شده است.

طی سال‌های اخیر اقدامات بسیار موثری در حوزه تقویت شرکت‌های داخلی جهت تولید محصولات و ارائه خدمات در حوزه امنیت صورت گرفته، لیکن در شبکه‌های گسترده و بزرگ مالی و بانکی ضروری است صورت بلوغ این اقدامات بالاتر رود. با ظهور فین‌تک‌ها و مباحث جدید بانکداری دیجیتال، کسب‌وکار بانک‌ها دستخوش تغییراتی شده است و این موضوع باعث شده با هدف صیانت از اطلاعات و سرمایه مشتریان موضوع امنیت اطلاعات بیش از پیش موردتوجه بانک‌ها قرار گیرد. به‌تبع این موضوع، نقش رگولاتوری نیز در خصوص تدوین سیاست‌ها و دستورالعمل‌های ارائه خدمات امن در کسب‌وکار جدید نیز می‌بایست مغفول نمانده و همگام با ارائه خدمات جدیدی مثل بانکداری باز و … اقدامات لازم در این خصوص صورت پذیرد.

احمد سلمانی آرانی، مدیر امور فناوری اطلاعات بانک سپه
احمد سلمانی آرانی، مدیر امور فناوری اطلاعات بانک سپه

احمد سلمانی آرانی، مدیر امور فناوری اطلاعات بانک سپه:

اغراق نیست اگر بگوییم با توجه به فضای کسب و درآمد که بر بستر فن‌آوری اطلاعات شکل گرفته است و با لحاظ کردن DRP (Disaster Recovery Plan) و BCP (Business Continue Plan) تمامی سازمان‌ها بر مدیران امنیت CISO (Chief Information Security Officer) خود تکیه زده‌اند؛ اما این رویکرد بار سنگینی را بر دوش مدیران قرار می‌دهد، باری که شاید بدون برخورداری از ویژگی‌های خاص فردی، تامین نیازها از سوی هیات مدیره و هماهنگی عمیق سازمانی قابل‌تحمل نباشد اما اگر با زبان مشترک دوستداران امنیت صحبت کنیم یا به عبارتی همان CIA (Confidentiality Availability Integrity) و PPT (People Process Technology) چالش‌ها و موانع پیشرو عبارت‌اند از:

  • نبود ساختار امنیت در چارت سازمانی و فقدان خط‌مشی مدون در این راستا
  • عدم تخصیص بودجه مشخص جهت انجام امور امنیتی
  • کاستی‌های فنی در محصولات امنیتی بومی
  • تعدد مراجع امنیتی-نظارتی و عدم یکپارچگی در سیاست‌های امنیتی ابلاغ شده
  • فقدان برنامه آموزشی مدون در راستای تربیت کارشناس سازمانی در حوزه امنیت و آگاهی‌رسانی در این حوزه به کارکنان
  • عدم وجود زیرساخت‌های مخابراتی لازم جهت ایجاد مسیرهای ارتباطی موردنیاز برای سایت‌های پشتیبان و بحران
  • فرآیند طولانی تایید صلاحیت کارشناسان و شرکت‌های فعال در حوزه امنیت
  • فرآیند طولانی و قواعد دست و پاگیر در انتخاب ابزار و پیاده‌سازی ISMS، SOC و CERT
محمدعلی بخشی‌زاده، معاون فناوری اطلاعات بانک دی
محمدعلی بخشی‌زاده، معاون فناوری اطلاعات بانک دی

محمدعلی بخشی‌زاده، معاون فناوری اطلاعات بانک دی:

با گسترش روزافزون خدمات الکترونیکی در حوزه‌های گوناگون خدمات اجتماعی ازجمله خدمات مالی و اعتباری به‌ویژه تراکنش‌های مالی در بسترهای شاپرک و شتاب، خطرات ناشی از نقض مؤلفه‌های اصلی امنیت اطلاعات شامل محرمانگی، جامعیت و دسترس‌پذیری، بیش از پیش سرویس‌های مالی و اعتباری را تحت شعاع قرار داده است. بر این اساس شناسایی خطرات و آسیب‌پذیری‌ها و ارائه راهکارهای کارآمد در این زمینه، لازمه حفظ کیفیت سرویس‌های ارائه شده به مشتریان و صیانت از حقوق آنان است.

با عنایت به اهمیت بسزای امنیت اطلاعات در تراکنش‌های مالی در کنار توجه به کارایی و سرعت آنها، توجه به چالش‌های امنیتی در حوزه سرویس‌های پرداخت امری اجتناب‌ناپذیر خواهد بود. از سویی تحولات ژرفی در ابزارها و کانال‌های سرویس‌دهی به وجود آمده و از سوی دیگر ابزارهای متنوع و جدیدی ایجاد شده است. به‌عنوان نمونه ابزارهایی مانند دستگاه کارت‌خوان، دستگاه خودپرداز، VTM، اینترنت بانک، موبایل بانک، IPG و … ابزارهای سخت‌افزاری و نرم‌افزاری مورداستفاده هستند به‌علاوه انتظار می‌رود اینترنت اشیا و رمزارزها نیز به‌عنوان ابزارهای تاثیرگذار در حوزه بانکی به لیست اضافه شوند.

علاوه بر این با گسترش استفاده از بانکداری باز و در اختیار قرار دادن زیرساخت‌های بانکی به پیمانکاران و توسعه‌دهندگان نرم‌افزارهای پرداخت الکترونیکی، توجه به این موارد از دیدگاه ریسک‌های امنیتی حیاتی است چراکه تامین امنیت نرم‌افزارهای مذکور به‌تنهایی توسط توسعه‌دهندگان و بدون نظارت جامع بر پایه استانداردهای امنیت اطلاعات امکان‌پذیر نیست.

به همین منظور با در نظر گرفتن موارد اصلی تامین امنیت به ازای هرکدام از این ابزارها، می‌بایست به‌طور مستمر پویش‌هایی به‌منظور کنترل حملاتی از قبیل DDOS و فیشینگ، Spoofing و Skimming صورت گیرد که هر یک در جای خود قابل‌بحث است.

در پایان به‌عنوان پیشنهاد مشخص می‌توان گفت که به‌طورکلی، پس از گذر از مقوله پراهمیت افزایش کیفیت و سرعت تراکنش‌های مالی در زیرساخت‌های شتاب و شاپرک، تمرکز بر امن سازی اطلاعات ردوبدل شده در زیرساخت‌های مذکور با روش‌های سخت‌افزاری و نرم‌افزاری می‌بایست در اولویت فعالیت‌های نظام بانکی کشور قرار گیرد. همچنین به‌منظور رسیدن به هدف نهایی، یعنی امنیت داده‌های حساس مشتریان در نظام بانکی، نظارت نهادهای حاکمیتی بر نحوه پیاده‌سازی استانداردهای امنیتی و پایش مستمر فعالیت‌های بانک‌ها و موسسات موثر خواهد بود که در همین خصوص بومی‌سازی دستورالعمل PSD2 که در اتحادیه اروپا به تصویب رسیده است می‌تواند یکی از اقدامات مناسب و راهگشا باشد.

محمد صادقی، معاون فناوری اطلاعات بانک اقتصاد نوین
محمد صادقی، معاون فناوری اطلاعات بانک اقتصاد نوین

محمد صادقی، معاون فناوری اطلاعات بانک اقتصاد نوین:

مدیریت امنیت خدمات بانکی شامل سه ستون اصلی فرآیندها، فن‌آوری و کارکنان هستند. مهم‌ترین چالش پیشرو این است که این 3 ستون باید به یک اندازه قوی بوده و متعادل باشند.

  • عملیاتی کردن روش‌های اجرایی یا فرایندهای امنیتی مطابق الزامات کسب‌وکار بانکی

مدیریت امنیت، فرایند گرا است و بایستی با الزامات کسب‌وکار بانک مطابقت داشته باشد و باید بسیاری از الزامات امنیتی نظارتی نظیر ISO، PCI و GDPR و غیره را برآورده سازد.

  • انتخاب فن‌آوری مناسب کسب‌وکار بانکی

 بسیاری از فن‌آوری‌ها و ابزارهای موجود در بازار امنیت (SIEM، شکار تهدید، IPS/WAF، MONITORING) وجود دارد؛ اما قبل از پرداخت به هریک از آنها بایستی ضمن سنجش بلوغ سازمانی، نیازهای واقعی بانک و سازمان خود را به‌درستی درک کرده و برای دستیابی به آن باید «نقشه راه» را تهیه کنیم. در صورت عدم انتخاب فن‌آوری مناسب که شرایط امنیتی را برآورده نکند، مدیریت امنیت شکست خواهد خورد.

  • کارکنان که به‌عنوان ضعیف‌ترین حلقه زنجیره امنیت شناخته شده‌اند، اگر به‌درستی گزینش نشوند و ایشان ازنظر فنی و مهارت دارای دانش بروز و تجربه کاری مناسب برخوردار نباشند، مطمئنا مدیریت امنیت محقق نخواهد شد.
عشرت عدالت، مدیر امور فناوری اطلاعات و ارتباطات بانک توسعه صادرات ایران
عشرت عدالت، مدیر امور فناوری اطلاعات و ارتباطات بانک توسعه صادرات ایران

عشرت عدالت، مدیر امور فناوری اطلاعات و ارتباطات بانک توسعه صادرات ایران:

چالش‌های امنیت در بانک‌ها، همانند هر صنعت و صنف دیگر بر اساس دغدغه و نیازمندی ذینفعان داخلی و خارجی، عوامل تاثیر گذار محیطی داخلی و خارجی، سطح بلوغ امنیتی، مدل کسب‌وکار، درجه ریسک‌پذیری سازمان، حتی بر اساس خصوصی یا دولتی بودن بانک‌ها، متفاوت و متغیر است.

شاید در مجال اندک، بتوان به چند چالش که به نظر می‌رسد در بانک‌ها مشترک باشد، اشاره کرد؛ ابلاغ بخشنامه‌های متنوع و متعدد و مهلت زمانی کوتاه جهت اجرای خدمات جدید یا بازنگری خدمات موجود، امکان طراحی و پیاده‌سازی مناسب در چارچوب استانداردها و بهینه روش‌های امنیتی را از بانک سلب می‌کند.

از سمت دیگر، پس از عملیاتی کردن یک خدمت، بهبود فرایندها و ارتقای امنیتی آن، نیازمند صرف هزینه‌ها و منابع به‌مراتب بیشتر از قبل خواهد بود و با توجه به اهمیت دسترس‌پذیری بالای خدمات بانکی، مخاطرات تغییر در محیط عملیاتی با برنامه‌ریزی دقیقی لازم است صورت پذیرد.

با توجه به اینکه استقرار امنیت اطلاعات در هر سازمانی به‌طور مستقیم خروجی ملموس و مشهودی برای مدیران ارشد ندارد، لازم است به‌منظور به تصویر کشیدن نتایج حاصل از استقرار فرایند امنیت که فراتر از تعریف اهداف امنیت اطلاعات و در راستای اهداف کلان کسب‌وکار بانک و حفظ منافع مشتری (ارائه خدمات امن و یکپارچه و دسترس‌پذیر) به‌عنوان مهم‌ترین ذینفع بانک است تمهیدات لازم صورت پذیرد.

عدم هماهنگی و یکپارچگی موثر نهادهای قانون‌گذار در حوزه بانکی با نهادهای متولی امنیت اطلاعات در کشور باعث خواهد شد قوانین موازی که بعضا تناقضاتی با هم دارند، منجر به صرف منابع سازمان و عدم پیاده‌سازی الزامات به شیوه اثربخشی شود. موقعیت جغرافیایی و سیاسی کشور نیز تشدیدکننده این موضوع است و اهمیت پرداختن امنیت با رویکرد ریسک نیازمند توجه بیشتری در نظام بانکی است. همچنین ریسک نشت اطلاعات مشتری، عدم توجه کافی و مناسب به مبحث حریم خصوصی مشتریان از نمونه چالش‌های دیگر امنیت اطلاعات در بانک‌هاست.

فرهاد بهمنی، مدیر امور فن‌آوری اطلاعات پست بانک
فرهاد بهمنی، مدیر امور فن‌آوری اطلاعات پست بانک

فرهاد بهمنی، مدیر امور فن‌آوری اطلاعات پست بانک:

چالش امنیت را برای بانک‌ها می‌توان به دو دسته «چالش امنیتی برای خود بانک‌ها» و «چالش امنیتی برای مشتریان بانک‌ها» تقسیم کرد.

در خصوص مورد اول، بررسی و آزمون‌های امنیتی و اخذ تأییدیه‌های امنیتی پس از تولید یا خریداری نرم‌افزار به‌صورت مستمر و دوره‌ای توسط ارزیابان و ممیزان بیرون از سازمان برای نرم‌افزارهای موبایلی، وب و نرم‌افزارهای مختص دیوایس یا دستگاه‌های الکترونیکی، سوئیچ و… موردنیاز است.

در خصوص مورد دوم، می‌بایست بانک‌ها شرایط ایجاد تراکنش را از ورودی‌های مختلف (درگاه‌های حضوری و بخصوص غیرحضوری) برای مشتریان امن کرده (از رعایت نکات امنیتی در بخش صادرکنندگی (کارت‌های هوشمند با استاندارد EMV) تا پذیرندگی) و با عنایت به بانکداری باز و حضور فین‌تک‌ها رعایت استانداردهایی مثل PSD2 مدنظر قرار گیرد و همواره اطلاع‌رسانی و آموزش‌های لازم را در اختیار مشتریان قرار دهند.

مونا نهالبار، مدیر امور فناوری اطلاعات و ارتباطات بانک ایران ونزوئلا
مونا نهالبار، مدیر امور فناوری اطلاعات و ارتباطات بانک ایران ونزوئلا

مونا نهالبار، مدیر امور فناوری اطلاعات و ارتباطات بانک ایران ونزوئلا:

عدم همخوانی رشد بالای تکنولوژی، سخت‌افزارهای مربوطه و نرم‌افزارهای پایشی در مقابل ضریب پایین بودجه‌های مربوط به ارتقای دانش فنی، امنیتی متخصصین این حوزه در بانک‌ها، عدم وجود یکپارچگی کلان در داده‌های کشور که موجب اتصال سیستم‌های Third Party در قالب‌های غیراستاندارد به هسته‌های بانکی می‌شود و ناشی از الزامات نظارتی و یا کسب‌وکاری است ازجمله چالش‌های این بخش است. همچنین درحالی‌که دنیا در حال محاسبات با کامپیوترهای کوانتومی و تخمین بالای شکست هرگونه رمزگذاری توسط این سیستم است، در کشور ما بودجه امنیت اطلاعات، تیتری تجملاتی محسوب می‌شود.

ضیاالدین حجاری، مدیر فناوری اطلاعات بانک رفاه کارگران
ضیاالدین حجاری، مدیر فناوری اطلاعات بانک رفاه کارگران

ضیاالدین حجاری، مدیر فناوری اطلاعات بانک رفاه کارگران:

حفظ محرمانگی، صحت و دسترس‌پذیری سامانه‌های رایانه‌ای بانکی و اطلاعات و داده‌های مشتریان و ذینفعان، بزرگ‌ترین چالش امنیت در کسب‌وکار بانکی است. مواجهه با تنوع و پیچیدگی روزافزون تهدیدات و حملات سایبری از یک سو و حیاتی بودن اطلاعات و داده‌ها و خدمات مالی و بانکی و نفوذ بسیار بالا و وابستگی شدید کسب‌وکارها و زندگی روزمره آحاد جامعه به خدمات بانکی و بانکداری الکترونیکی از سوی دیگر، چالش‌برانگیز بودن مقوله امنیت در حوزه بانکداری را بیش از پیش نمایان می‌سازد. از این رو اهمیت دادن به امنیت زیرساخت‌ها، نرم‌افزارهای بنیادی و کاربردی، فرهنگ‌سازی و اطلاع‌رسانی به مشتریان، آموزش کارمندان و ایجاد نگاه راهبردی و استراتژیک به مقوله امنیت میان مدیران عالی بانک‌ها امری ضروری است.

شایان‌ذکر است امنیت تنها به حوزه‌های سخت‌افزاری، نرم‌افزاری و شبکه‌ای محدود نمی‌شود بلکه توجه به سایر مؤلفه‌های مهم همچون نیروی انسانی، فرآیندها و ساختارها و زیرساخت‌های درون‌سازمانی و فرا سازمانی بسیار حائز اهمیت است. در این میان موضوعات چالش‌برانگیز دیگری نیز مطرح است به‌عنوان‌مثال در حوزه تدوین الزامات و قوانین یکپارچه و شفاف، نظارت بر انطباق بانک‌ها و سایر فعالان با این الزامات و قوانین و نیز برخورد با متخلفان بر اساس رویه‌ای استاندارد و یکسان، نیازمند کار جدی هستیم.

ایجاد تعادل منطقی با استفاده از تکنیک‌های مدیریت ریسک میان کیفیت و زمان ارائه سرویس (Time to Market) از یک سو و از سوی دیگر حفظ و صیانت از داده‌ها و اطلاعات در فضای رقابتی فشرده میان بانک‌ها و سایر بازیگران نوظهور همچون استارت‌آپ‌ها، فین‌تک‌ها و شرکت‌های ارائه‌دهنده خدمات از چالش‌های جدید در مقوله امنیت محسوب می‌شود. اهمیت این موضوع از آنجا بیشتر پدیدار می‌شود که هزینه و زمان صرف شده جهت ایجاد و برقراری امنیت تا زمانی که مشکل امنیتی هنوز رخ نداده است، از نگاه مشتریان به‌طور مستقیم ملموس نیست. از این رو همان‌گونه که گفته شد ایجاد سازوکارهای نظارتی و حاکمیتی استاندارد، کارآمد و شفاف اهمیت بیشتری پیدا می‌کند.

مرتضی بکا، رئیس هیات مدیره موسسه ملل
مرتضی بکا، رئیس هیات مدیره موسسه ملل

مرتضی بکا، رئیس هیات مدیره موسسه ملل:

موسسات اعتباری و بانک‌ها ارائه‌دهنده خدمات پولی و بانکی هستند و مشتریان آنان نیازمند خدمات شبانه‌روزی پایدار و امن، همراه با سرعت و سهولت هستند لذا موسسات اعتباری و بانک‌ها با توجه به داشتن اطلاعات هویتی مالی توأم است و اهمیت داده‌ها و تراکنش‌های مشتریان بسی روشن است لذا نیازمند زیرساخت مناسب هستند که هزینه سنگینی را در بردارد.

در یک نگاه ساده زیرساخت‌ها به سه دسته کلی مراکز داده، شبکه‌های مخابراتی بر بستر LAN WAN و Cloud و سخت‌افزارهای متنوع همراه با نرم‌افزارهای راه‌انداز و کاربری تقسیم می‌شوند. با عنایت به تولید و توسعه اکثر آنها در خارج از کشور، امنیت آنها در شرایط تحریم‌های ظالمانه با چالش‌های مالی، خرید، توسعه، به‌روزرسانی و پشتیبانی اعم از سخت افرازی و نرم‌افزاری با هم گره خورده‌اند که گره‌گشایی آنها با توجه به شرایط اقتصادی و سیاسی کشور تحت تاثیر قرار می‌گیرد. بزرگ‌ترین چالشی که در سال‌های اخیر ایجاد شده است، وجود تحریم‌های سخت بوده که تامین تجهیزات امنیتی را به‌ویژه بسیار دشوار کرده و از طرفی قوانین سخت‌گیرانه این تحریم‌ها شرکت‌های بزرگ امنیتی را در حوزه ارائه خدمات امنیت دچار چالش کرده است؛ تا جایی که اخیرا شاهد قطع برخی از این سرویس‌ها روی تجهیزات خریداری شده قبلی بانک‌ها بوده‌ایم. البته تاکید نهادهای نظارتی مبنی بر استفاده از تجهیزات بومی به دلیل عدم بلوغ فنی شرکت‌های ارائه‌دهنده سرویس به سرانجام مطلوبی نرسیده و در برخی از سرویس‌های برخط قابل‌اعتماد نیستند.

چالش بعدی که در حوزه امنیت وجود دارد، عدم ارائه سرویس رگولاتوری شده از حوزه زیرساخت دیتا کشور است؛ درنتیجه نظارت بر عملکرد مشتریان و جبران حوادث را بر بانک قرار داده است و اجازه دریافت کارمزد هم ندارد.

احمد آهی، مدیر امور فناوری اطلاعات بانک صنعت و معدن
احمد آهی، مدیر امور فناوری اطلاعات بانک صنعت و معدن

احمد آهی، مدیر امور فناوری اطلاعات بانک صنعت و معدن:

ازجمله مهم‌ترین چالش‌هایی که بانک‌ها در حوزه امنیت با آن روبه‌رو هستند می‌توان به موارد زیر اشاره کرد:

  • نبود بستر امن پرداخت‌های بانکی مانند EMV
  • عدم استقرار کامل نظام‌های امن پرداخت مانند PCI DSS
  • عدم رعایت کامل و دقیق پروتکل‌های امنیتی و احراز هویت دقیق توسط پرداخت‌یارها و شرکت‌های ارائه‌دهنده خدمات کارت به کارت بدون حضور کارت و شرکت‌های فین‌تک
  • عدم وجود نهاد پیگیری‌کننده و پاسخگوی برخط شبانه‌روزی برای وقایع امنیتی نظیر برداشت‌های غیرمجاز کارتی در پلیس فتا و کاشف

همچنین ریسک عدم وجود خطوط ارتباطی و سرورها و مراکز داده دوم با حالت پوشش برخط در شرایط اضطرار در اکثر بانک‌ها و شرکت‌های فن‌آوری اطلاعات ارائه‌دهنده خدمات پرداخت خود نکته‌ای امنیتی و مهم است.

فرشاد زمانی راد، مدیر امنیت و زیرساخت موسسه اعتباری کوثر
فرشاد زمانی راد، مدیر امنیت و زیرساخت موسسه اعتباری کوثر

فرشاد زمانی راد، مدیر امنیت و زیرساخت موسسه اعتباری کوثر:

امروزه با گسترش فن‌آوری اطلاعات نیاز مبرم به پیاده‌سازی و ارائه راهکارهای درست و دقیق امنیتی جهت پایین آوردن مخاطرات امنیتی ازجمله الزامات حوزه بانکی کشور است دراین‌بین راهکار نسبتا جدیدی در اروپا در حال شکل‌گیری است که از آن دست می‌توان به سامانه مراکز مشترک تعاملی امنیتی کنترل تهدیدها (SOC)‌ اشاره کرد.

همان‌طور که می‌دانیم مجموعه کاشف مرجع کلی تهدیدهای مختلف امنیتی نظام بانکی به شمار می‌آید، حال تصور کنید در هر بانکی یک واحد به نام مرکز کنترل تهدید وجود داشته باشد که این مرکز انواع و اقسام تهدیدهای سایبری را با فرمت خاصی نگهداری می‌کند، از سوی دیگر این مرکز با مرکز مشابه در بانک دیگری با ادبیات خاص با در نظر گرفتن اصل حفظ محرمانگی مشتریان و ذی‌نفع‌های بانک در ارتباط (غیرمستقیم) خواهد بود و بدین شکل یک پایگاه داده نسبتا بزرگ از موارد امنیتی خواهیم داشت که با مشارکت تمامی بانک‌های کشور شکل می‌گیرد.

نتیجه این اقدام بدین شکل خواهد بود که فرض می‌کنیم نوعی از حمله سایبری بانک «الف» را تهدید کرده است و مرکز کنترل امنیت بانک الف تهدید را بررسی و نقاط آسیب‌پذیری و نحوه برخورد با این تهدید را پیدا کرده است و درنتیجه قرار دادن اطلاعات غربال شده طبق روالی که پیش‌تر گفتیم بانک‌های دیگر را از این تهدید و راهکار مقابله با آن مطلع می‌سازد اگر پس از مدتی بانک دیگری به فرض مثال با نام بانک «ب» تهدید مشابهی را رویت کند، از پیش آماده خواهد بود و به این شکل با به اشتراک گذاشتن این نوع از اطلاعات و راهکارهای مقابله پیشگیرانه؛ اتفاقی که خواهد افتاد قطعا در راستای تعالی امنیت سیستم بانکی کشور خواهد بود. چالشی که در این حوزه می‌تواند ذهن بانک‌ها را به خود مشغول کند نحوه دسترسی بانک‌ها به اطلاعات مربوط به تهدیدها است که با اعتقاد بنده با استخراج اطلاعات تهدیدهای موردنیاز می‌توان این چالش را پشت سر نهاد.

مجید هادی، معاون فناوری اطلاعات و شبکه ارتباطات بانک سینا
مجید هادی، معاون فناوری اطلاعات و شبکه ارتباطات بانک سینا

مجید هادی، معاون فناوری اطلاعات و شبکه ارتباطات بانک سینا:

به نظر بنده از مهم‌ترین چالش‌های بانک‌ها در حوزه امنیت می‌توان به چند مورد اشاره کرد:

  • عدم وجود یک مرجع واحد جهت مدیریت و پیگیری موارد امنیتی بانک‌ها و ایجاد ناهماهنگی، تناقض و یا چندباره کاری
  • عدم وجود سازوکارهای اجرایی مناسب در فرآیندهای نظارتی سازمان‌های بالادستی (اخذ اطلاعات وسیعی از زیرساخت‌ها و فرآیندهای امنیتی بانک‌ها، عدم ارائه بازخورد اصلاحی و …)
  • محدودیت‌های کشوری مرتبط با خرید تجهیزات و نرم‌افزارهای امنیتی
  • عدم وجود سازوکارهای اجرایی موثر جهت مدیریت و پشتیبانی فنی و فرآیندی حوادث امنیتی (در لحظه و به‌صورت پیشگیرانه)
  • محدودیت افراد متخصص در حوزه امنیت فناوری اطلاعات و عدم امکان اجرای اغلب پروژه‌های امنیتی به‌صورت درون‌سازمانی
  • ریسک بالای اجرای پروژه‌های امنیتی به‌صورت برون‌سپاری با توجه به تغییرات زیاد در پرسنل فنی شرکت‌های پیمانکار امنیتی و بعضا خروج آنها از کشور
  • فقدان قوانین شفاف، موثر و کارآمد در حوزه جرائم سایبری و افشاء اطلاعات
  • عدم وجود دانش فنی کافی در ساختار قضائی کشور جهت رسیدگی به پرونده‌های جرائم سایبری
علی ترابی، رئیس اداره انفورماتیک و بانکداری الکترونیک بانک سرمایه
علی ترابی، رئیس اداره انفورماتیک و بانکداری الکترونیک بانک سرمایه

علی ترابی، رئیس اداره انفورماتیک و بانکداری الکترونیک بانک سرمایه:

امروزه «اطلاعات» به‌عنوان دارایی‌های یک سازمان محسوب می‌شود و صیانت از دارایی‌ها منجر به تداوم کسب‌وکار و افزایش درآمدها خواهد شد. بدون محافظت از اطلاعات ممکن است محرمانگی کاهش، دست‌کاری و به‌صورت جبران‌ناپذیری از بین برود و یا غیرقابل دسترسی باشد؛ بنابراین متدلوژی‌های امنیت اطلاعات به‌منظور ممانعت از موارد مذکور تعریف شده تا اطلاعات به‌صورت امن ایجاد، استفاده، ذخیره و انتقال داده شوند.

نظر به مطالعات میدانی صورت پذیرفته، علیرغم تلاش‌های مستمر در حوزه فراهم‌سازی زیرساخت مناسب به‌منظور تامین و نگهداشت امنیت فضای تبادل اطلاعات لیکن همواره حوزه مذکور با چالش‌هایی به شرح ذیل روبرو است:

  • عدم مدیریت منسجم دارایی‌های اطلاعاتی در یک روش سازمان‌یافته در راستای بهبود مستمر و تعدیل با اهداف سازمانی کنونی
  • عدم تامین نیازمندی‌های امنیتی مشتریان و سایر ذینفعان همگام با رشد سریع تکنولوژی‌های مرتبط به حوزه فاوا و شیوع روزافزون مخاطرات سایبری
  • عدم ابلاغ آیین‌نامه‌ها و قوانین و مقررات در حوزه امنیت فناوری اطلاعات از نهادهای نظارتی و متولی در سطح کشوری به طرق منسجم و یکپارچه در سطح نظام بانکی
  • عدم تامین تجهیزات به‌روز امنیتی با توجه به شرایط و بحران‌های اقتصادی در حوزه بانکی
  • عدم اطمینان از اثربخشی کافی تامین امنیت اطلاعات به مشتریان و سایر ذینفعان در سطح نظام بانکی (امنیت هرگز به‌صورت 100 درصد تامین نخواهد شد)
  • عدم اطمینان از کاهش ریسک‌ها و تهدیدات امنیتی در فضای تبادل اطلاعات

لذا با نظر داشت به موارد صدرالاشاره مقتضی است که با دایرکردن چارچوب‌های مدیریتی و نگاه استراتژیک برای ایجاد و کنترل اجرا عملیات امنیت اطلاعات در سطح بانک اقدامات گسترده و درخوری صورت پذیرد.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.