شرکت کاشف از طراحی چهارچوبی برای کنترل امنیت اطلاعات بانک‌ها در همکاری با بانک مرکزی خبر داد / انسجام در تنظیم‌گری حوزه امنیت اطلاعات

نویسنده: طهورا آدینه‌وند در تاریخ 8 مهر سال 1402 ساعت 14:38 0

شرکت کاشف از طراحی پروژه‌ای تحت عنوان «چهارچوب کنترل‌های امنیتی سازمانی و سامانه‌های اطلاعاتی بانکی» در راستای سامان‌دهی حوزه امنیت اطلاعات بانک‌ها و مؤسسات اعتباری خبر داد. به گفته وحید دوست‌محمدی،‌ مدیر این پروژه در شرکت کاشف، پروژه چهارچوب کنترل‌های امنیتی سازمانی و سامانه‌های اطلاعاتی بانکی در همکاری با بانک مرکزی به عنوان رگولاتور شبکه بانکی کشور پیاده‌سازی و برای اجرا به همه بانک‌ها و مؤسسات اعتباری ابلاغ شده است. دوست‌محمدی معتقد است تا پیش از این در نظام بانکی کشور اتفاق نظر و وحدت رویه‌ای در انتخاب و پیاده‌سازی چهارچوب‌های امنیتی در کار نبوده و این پروژه به نوعی در ایجاد انسجام در روش‌ها و چهارچوب‌های حفظ امنیت اطلاعات شبکه بانکی کشور تأثیرگذار خواهد بود.

خودکارسازی فرآیند‌های کسب‌وکاری از یک‌سو و افزایش میزان حملات به زیرساخت‌های حیاتی کشور، به‌خصوص بانک‌ها و مؤسسات اعتباری از سوی دیگر، اهمیت توجه نظام بانکی به حوزه امنیت اطلاعات را بیش‌ از پیش نمایان کرده است. از سوی دیگر، چالش‌هایی مانند تعدد نهاد‌های تنظیم‌گر، تحریم، کمبود نیرو‌های متخصص در حوزه امنیت اطلاعات، مهاجرت نیروی انسانی، ناکارآمدی سیستم حقوق و دستمزد، وابستگی به پیمانکاران، مشکلات ساختاری، فرهنگ‌ سازمانی و نیز تخصیص ندادن بودجه و منابع کافی به حوزه امنیت اطلاعات از مهم‌ترین مواردی است که بانک‌ها و مؤسسات اعتباری همواره با آن مواجه هستند.

وحید دوست‌محمدی در گفت‌وگو با ایبنا در خصوص دلایل در دستور کار قرار گرفتن پروژه «چهارچوب کنترل‌های امنیتی و سامانه‌های اطلاعاتی بانکی» توسط بانک مرکزی توضحیح داد: «در کشور ما هر بانک یا مؤسسه اعتباری به دلیل تفاوتی که در دیدگاه‌هایشان نسبت به موضوع امنیت وجود دارد، به دنبال پیاده‌سازی چهارچوب امنیتی دلخواه خود است، چهارچوب‌هایی مانند ISO ۲۷۰۰۱، PCI-DSS، SWIFT، طرح امن‌سازی زیرساخت‌های حیاتی کشور در برابر حملات سایبری (افتا) و غیره. بدین ترتیب شاهد هستیم که در نظام بانکی کشورمان اتفاق نظر و وحدت رویه‌ای در انتخاب و پیاده‌سازی چارچوب‌های امنیتی در کار نبوده است. «چهارچوب کنترل‌های امنیتی سازمانی و سامانه‌های اطلاعاتی بانکی» طراحی و تدوین‌شده به دست کارشناسان توانمند کاشف، در واقع تجمیع چهارچوب‌های امنیتی شناخته‌شده و مرسوم جهان با الزامات امنیتی موجود در کشورمان است و بدین طریق، هر یک از بانک‌های کشور که این چهارچوب را به کار گیرد، در عمل از مجموع توانمندی‌های آن چهارچوب‌ها به طور یکجا و منسجم برخوردار است. چهارچوب کنترلی دربردارنده همه کنترل‌های امنیتی مورد نیازی است که در مجموع چهارچوب‌های یادشده وجود داشته‌اند و بدین‌گونه پیاده‌سازی و پیروی از کنترل‌های تدوین‌شده در این چهارچوب، مصداق روشن «با یک تیر چند نشان زدن» است و بهره‌مندی از این چهارچوب به بانک‌ها و مؤسسات اعتباری این توانمندی را می‌دهد که برای مثال هم گواهی ISMS دریافت کنند و هم پاسخگوی SWIFT باشند.»

طبق توضیحات دوست‌محمدی، «مرکز مدیریت راهبردی ریاست‌جمهوری» به‌عنوان متولی زیرساخت‌های حیاتی کشور، «نقشه راه کلان» با عنوان «طرح امن‌سازی زیرساخت‌های حیاتی در قبال حملات سایبری» را ارائه کرد و به دنبال آن، هر یک از سازمان‌های مادرتخصصی مانند وزارت نفت، بانک مرکزی، وزارت نیرو و غیره ملزم شدند برابر با نقشه راه کلان یادشده، طرحی سفارشی‌شده برای صنعت خود بنویسند و تدوین کنند. بانک مرکزی نیز که متولی نظام بانکی است طرح امن‌سازی بومی‌شده‌ای را برای نظام بانکی نوشته و نام «چهارچوب کنترل‌های امنیتی سازمانی و سامانه‌های اطلاعاتی بانکی» را بر آن نهاده است. در واقع این همان چیزی است که در شرکت کاشف انجام شده و از سوی مرکز مدیریت راهبردی ریاست‌جمهوری به نظام بانکی ابلاغ شده است.

او با اشاره به اینکه کارشناسان شرکت کاشف، فراتر از آنچه طرح امن‌سازی افتا به آنها پرداخته، موضوعات و کنترل‌های مطروحه و مطلوب دیگری را نیز نظیر آنچه سازمان پدافند غیرعامل، حراست کل، قرارگاه ثارالله، مرکز ملی فضای مجازی و غیره بدان پرداخته‌اند و همچنین دیدگاه‌های برخی سازمان‌ها که به ISO یا استاندارد‌های فنی‌تری نظیر NIST تمایل داشته‌اند را در تدوین چهارچوب کنترلی یادشده به کار بسته‌اند تا چهارچوبی همه‌جانبه و یکپارچه ارائه دهند و همان‌طور که پیش‌تر هم بیان شد، با یک تیر چند نشان زده شده است. به این معنا که پیاده‌کنندگان و استفاده‌کنندگان از این چهارچوب هم از طرح امن‌سازی برخوردارند و هم از الزامات مربوط به ذی‌نفعان حوزه بانکی و هم‌زمان در هم‌خوانی با استاندارد‌ها و به‌روش‌های مرسوم در جهان قرار دارند. می‌توان دید که هر کس با هر سلیقه‌ای، اگر بخواهد امنیت را در مجموعه خودش برقرار کند، با استفاده از چهارچوب کنترلی ابلاغ‌شده به هدفش می‌رسد.

20 نفرسال منابع صرف شده است

دوست‌محمدی در خصوص منابع صرف‌شده برای این پروژه نیز توضیح داد: «اگر بخواهیم خیلی دقیق بگوییم باید بررسی بشود، اما به‌طور کلی یک گروه پنج‌نفره به مدت بیش از چهار سال یعنی ۲۰ نفر در سال مشغول کار در این پروژه بودند تا این چهارچوب تدوین شود. در اجرای پروژه مذکور از توانمندی بخش خصوصی نیز بهره گرفته شده است.»

به‌روزرسانی چهارچوب کلی هزینه‌زا نیست

او همچنین در خصوص شیوه و ضرورت به‌روزرسانی چهارچوب تعیین‌شده در این پروژه بیان کرد: «ما هم‌زمان با ابلاغ نسخه کنونی، در گروه ممیزی و انطباق‌سنجی شرکت کاشف، پروژه توسعه چهارچوب کنترلی را در دست داریم و همکاران من در حال بررسی نسخ جدید مراجع به‌کاررفته در چهارچوب هستند، اما این به معنای بی‌ارزش شدن نسخ پیشین آن مراجع نیست؛ در واقع چون مراجع استفاده‌شده در تدوین چهارچوب بسیار متنوع و گسترده هستند، نشر نسخه جدید از یک مرجع منجر به ناکارآمدی نسخه پیشین نمی‌شود. اگر می‌پرسید که آیا انتشار نسخه جدید از چهارچوب هزینه‌ای ایجاد می‌کند؟ باید بگویم خیر. همه به‌روزرسانی‌ها سازگار با کنترل‌های قبلی خواهد بود و سازوکاری چیده و اندیشیده شده که اگر نسخه جدید منتشر شود، بانک‌ها بتوانند به‌سادگی با نسخه جدیدتر منطبق شوند. در واقع چهارچوب کنترلی به منظور جلوگیری از چندباره ایجادشدن و مانع از موازی‌کاری‌ها می‌شود و درنتیجه منجر به صرفه‌جویی‌های زیادی در تخصیص منابع به حوزه امنیت خواهد شد.»

پیش‌تر به تفاوت‌های بانک‌ها توجه نمی‌شد

مشکل و معضلی که پیش‌تر در رویکرد نهاد‌های تنظیم‌گر وجود داشت این بود که نگاه‌شان به همه سازمان‌ها یکسان بود و بر این باور بودند که همه سازمان‌ها باید الزامات را به یک نسبت رعایت کنند و به شرایط و تفاوت‌های بانک‌ها توجه نمی‌شد. دوست‌محمدی با ارائه این توضیحات در خصوص انتظاراتی که از بانک‌ها در حوزه امنیت اطلاعات وجود دارد عنوان کرد: «برای نمونه یک بانک با بودجه قابل‌ توجه در حوزه امنیت قطعاً با یک مؤسسه کوچک با بودجه محدود که درباره امنیت با محدودیت نیروی انسانی مواجه است، یکسان نیستند و نباید با یک چشم دیده شوند. برای پیشگیری از اتخاذ چنین رویکردی در آینده، سازمان‌ها را دسته‌بندی کرده‌ایم و ترتیبی داده‌ایم که هر سازمانی با توجه به محدودیت‌ها و منابعش، خود را با الزامات تهیه‌شده در چهارچوب سازگار کند و انتظارات از هر بانک بسته به توانمندی و شرایط آن بانک باشد. البته بدیهی است که انتظارات از بانکی که به طیف گسترده‌ای از مشتریان خدمت‌رسانی می‌کند و رخداد‌های امنیتی در آن درصد زیادی از جامعه را تحت تأثیر قرار می‌دهد، با بانکی که به طیف محدودی از مشتریان خدمات ارائه می‌دهد، نمی‌تواند یکسان باشد.»

توسعه امنیت در سه بعد افراد، فرایندها و فناوری

مدیر پروژه «چهارچوب کنترل‌های امنیتی سازمانی و سامانه‌های اطلاعاتی بانکی» در خصوص وظایفی که در حین اجرای این پروژه بر دوش تنظیم‌گر قرار می‌گیرد توضیح داد: «چیزی که برای تنظیم‌گر اهمیت دارد، این است که امنیت را در همه ابعادش پیش ببرد و توسعه دهد. در این زمینه الگوی شناخته‌شده PPT (People Process Technology) یعنی افراد، فرآیندها و فناوری می‌تواند بسیار کارآمد باشد. این الگو امنیت را در سه بعد می‌نگرد؛ توسعه منابع انسانی، توسعه فرآیند و به‌کارگیری فناوری که برآیند این سه در کنار هم را منجر به ارتقای امنیت می‌داند.

به اعتقاد او برخی از بانک‌ها گمان می‌کنند چون ابزار‌هایی قوی در اختیار دارند، امنیت خوبی هم دارند. برخی گمان می‌کنند چون سیستم‌های مدیریت امنیت راه‌اندازی کرده‌اند، امن هستند و بسیاری از سازمان‌ها این دو امکان را دارند، ولی منابع انسانی متخصص در اختیار ندارند و از این بعد آسیب‌پذیر هستند.

دوست‌محمدی عنوان کرد: «مهاجرت و جابه‌‌جایی نیروی انسانی مسئله جدی دیگری در حوزه امنیت است که این پدیده سبب محدودیت در منابع انسانی در حوزه امنیت می‌شود. تنظیم‌گر از بانک‌ها و مؤسسات اعتباری انتظار دارد هر سه مورد را هم‌زمان و متناسب با نیازشان پیش ببرند. برای مثال دیده شده که یک بانک اقداماتی در سطح بلوغ سه انجام داده، اما پیش از آن اقدامات، ملزومات بلوغ سطح یک و دو را ندارد. از نظر تنظیم‌گر او همچنان دارای سطح بلوغ یک یا دو است.»

یکی از معضلات امنیت اطلاعات، کمبود نیروی متخصص است

به گفته دوست‌محمدی مهم‌ترین دغدغه بانک‌ها در زمینه امنیت اطلاعات کمبود نیروی انسانی متخصص است که بخش عمده‌ای از این دغدغه ناشی از مهاجرت نیروی کار متخصص است. او در این خصوص ادامه داد: «دغدغه دوم جذب نیرو‌های انسانی در بانک‌هاست که به‌سختی اتفاق می‌افتد؛ چراکه میزان دستمزد متخصصان در بانک‌ها کمتر از توقع متخصصان این حوزه است. این عوامل باعث می‌شوند بانک‌ها دچار مشکل جذب و نگهداشت منابع انسانی شوند. به این دلیل یکی از اولویت‌های ما به عنوان ناظر این است که به توانمندسازی نیروی انسانی در بانک‌ها کمک کنیم. با این‌ حال قرار نیست تمام کار‌ها را خود بانک و سازمان انجام دهد. برخی توانمندی‌ها نوظهور و جدید هستند و جا افتادن و رواج آنها نیازمند آموزش و زمان است؛ از این‌ رو اگر بانکی به هر دلیلی نتوانست در حوزه منابع انسانی توسعه پیدا کند، باید به فکر برون‌سپاری امور امنیتی باشد. در این راستا بانک‌ها می‌توانند در صورت نیاز از پتانسل موجود در کاشف نیز استفاده کنند.»

نبود پنجره واحد پاسخگویی به نهاد‌های تنظیم‌گر یک چالش جدی است

او در ادامه تأکید کرد: «ما در ایران با تعدد نهاد‌های نظارتی مواجهیم؛ مانند افتا، پدافند غیرعامل، سازمان حراست کل و بانک مرکزی که دستورالعمل‌های مجزایی هم دارند و این تعدد مراکز نظارتی بانک‌ها را دچار مشکل و چندباره‌کاری می‌کند.»

به اعتقاد دوست‌محمدی، نبود پنجره واحد پاسخگویی به نهاد‌های تنظیم‌گر یک چالش جدی در نظام بانکی کشور است که برای این مشکل در پروژه مزبور چاره‌اندیشی شده است. او در این باره توضیح داد: «در چهارچوب کنترلی تمامی انتظارات نهاد‌های تنظیم‌گر گنجانده شده و از طریق جلسات مشترک با نهاد‌های ذی‌صلاح تلاش شده تمامی ذینفعان را با چهارچوب مذکور همسو کنیم. به‌عنوان‌ مثال در بزرگ‌ترین همایش امنیت بانکی کشور که در اردیبهشت سال ۱۴۰۲ برگزار شد، نمایندگان مرکز ملی فضای مجازی، مرکز افتا، سازمان پدافند غیرعامل و سازمان حراست حضور داشتند و بر اجرای چهارچوب توسط بانک‌ها و مؤسسات اعتباری تأکید کردند. در واقع به دنبال آن هستیم که همه مطالبات و درخواست‌های نهاد‌های نظارتی از مسیر و در قالب چهارچوب کنترلی به بانک‌ها و مؤسسات اعتباری برسد. از طرفی نباید انتظار داشته باشیم که همه مشکلات‌مان در مسیر پیاده‌سازی چهارچوب کنترلی طی یک سال اول برطرف شود. در آغاز راه تناقضات و ناهم‌خوانی‌هایی وجود خواهد داشت که گریزناپذیر هستند، ولی در تلاش خواهیم بود تا سایر نهاد‌های تنظیم‌گر را نیز کاملاً (به‌صورت عملی) همسو کنیم. برای رسیدن به نظام جامع مدیریت امنیت باید کمی صبر کرد و ناامید نشد؛ مطمئناً نتیجه این صبر مثبت خواهد بود.»

او با بیان اینکه دغدغه دیگر بانک‌ها ابهام در روش اجرای چهارچوب کنترلی است توضیح داد: «درباره این موضوع به این نتیجه رسیدیم که نشست‌هایی با حضور بانک‌ها داشته باشیم و با مدیریت بانک مرکزی، کارگاه‌های آموزشی‌ برگزار کنیم که کاشف در این روند پاسخگو و در دسترس همه بانک‌ها باشد و به ابهامات ایشان پاسخ دهد.»

دوست‌محمدی معتقد است که اجرای این پروژه خللی در تدابیری که خود بانک‌ها در حوزه امنیت اطللاعات اندیشیده بودند ایجاد نمی‌کند. او افزود: «چهارچوب کنترلی با پروژه‌های قبلی آنها در حوزه امنیت سازگار است؛ فقط موضوع یکپارچه‌سازی مطرح است که به دیگر اقدامات افزوده می‌شود. در این روند، اطمینان می‌دهیم که قرار نیست اتلاف منابعی رخ بدهد.»

بی‌توجهی به خودکارسازی فرایندها

دوست‌محمدی با بیان اینکه یکی از معضلات موجود در روند اجرای نظارت و الزامات قبلی از سوی سایر نهاد‌های تنظیم‌گر، توجه نداشتن به خودکارسازی فرایند‌ها بوده است؛ در خصوص مهم‌ترین تفاوت‌ در روند نظارت بین مقررات پیشین و «چهارچوب کنترلی» عنوان کرد:‌ «تمامی اقدامات بین تنظیم‌گر و بانک‌ها به صورت دستی و مکاتبه‌ای رخ می‌داده و به‌صورت آنلاین قابل‌ پیگیری نبوده است. ما همیشه بین گزارش‌ها و آنچه در لحظه اتفاق می‌افتد، تأخیر داریم؛ درحالی‌که در حوزه امنیت اطلاعات باید به لحظه بود. از این‌ جهت به‌روز بودن مهم است و بخشی از این روند چهارساله معطوف به این بود که به خودکارسازی این روند نیز بپردازیم.»

جمع‌آوری فرایندهای چهارچوب کنترلی در سامانه سرابان

او ادامه داد: «توانستیم تمام فرایند‌های چهارچوب کنترلی را در سامانه‌ای به نام سامانه سرابان جمع‌آوری کنیم. در واقع این سامانه نبض به لحظه امنیت بانک‌ها و به نفع هر دو طرف یعنی نهاد ناظر و بانک‌هاست؛ زیرا با استفاده از آن می‌توانند وضعیت امنیتی خود را به صورت لحظه‌ای رصد کنند و می‌توانند متوجه شوند که چند کنترل و اقدام امنیتی رعایت شده و چه کسانی مشغول انجام اقدامات هستند، حتی می‌توانند بررسی کنند که در کدام حوزه ضعف وجود دارد و بسیاری موارد دیگر.»

به گفته دوست‌محمدی در حقیقت سرابان مکاتبات و مراجعات را از بین می‌برد، هزینه‌ها را کاهش می‌دهد، منابع انسانی کمتری را درگیر خواهد کرد و منافع و ارزش‌افزوده‌های بسیاری را برای بانک‌ها و نهاد‌های نظارتی خواهد داشت.