پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
گفتوگو با رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه / امنیت سایبری در ایران خلاء قانونی دارد
نیلوفر نادری / پارادایمهای بانکداری و پرداخت در سراسر جهان تغییر کرده و این چرخش پارادایمی به سمتوسویی رفته که شاهد گذار از شیوههای سنتی انجام امور بانکی و پرداخت به شیوههای مدرن و دیجیتال هستیم. در این پارادایم جدید، حفاظت از دادههای مشتریان و ایجاد بستری امن برای انجام امور مالی آنها یکی از مسائل اساسی و چالشبرانگیزی است که همواره مورد بحث و بررسی متخصصان امنیت شبکه بوده است. به عقیده فعالان این حوزه، نظام بانکی و پرداخت هر کشوری یکی از مهمترین و حساسترین نقاط بدنه اقتصاد آن کشور است که اگر با بحران امنیت مواجه شود، میتواند علاوه بر از بین بردن منابع مالی اشخاص درگیر در شبکه، باعث ایجاد بحرانهای امنیتی ملی و کشوری نیز شود.
پویا پوراعظم، رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه در خصوص وضعیت امنیت سایبری در صنعت بانکی و پرداخت کشور معتقد است صنعت بانکی و پرداخت در مقایسه با سایر صنایع تا حدودی از وضعیت بهتری برخوردار است، اما این بدان معنا نیست که بشود ادعا کرد امنیت در صنعت بانکی و پرداخت کشور، وضعیتی مطلوب و مورد انتظار دارد.
او درباره علت بهتر بودن وضعیت امنیت در این صنعت میگوید: «یکی از دلایلی که موجب بهتر بودن امنیت در این صنعت در مقایسه با سایر صنایع میشود، صرف هزینه و اختصاص بودجه بیشتر به آن است، اما همواره این مسئله مطرح است که آیا این بودجه و منابع مالی به صورت مطلوب و اثربخش استفاده شده یا خیر. باید بگویم که خیر؛ این منابع آنطور هم که باید و شاید درست و بجا به کار نرفته است.
شاید اگر از منابع مالی اختصاص دادهشده به این صنعت به صورت حداکثری برای ارتقای امنیت شبکه بانکی و پرداخت کشور استفاده میشد و با مشکلاتی از قبیل تحریم و مهاجرت و کمبود نیروی انسانی متخصص مواجه نبودیم و نیروی کار در ایران شرایط بهتری داشت، وضعیت امنیت در صنایع مختلف؛ ازجمله صنعت بانکی و پرداخت کشور نیز بهتر میشد. با این حال هنوز هم بر این باورم که وضعیت امنیت در این صنعت از صنایع دیگر بهتر است.»
پوراعظم در پاسخ به این سؤال که آیا مقوله امنیت در دستورالعمل و اولویت صنعت بانکی و پرداخت کشور قرار دارد، یا نه اظهار میکند: «قطعاً پاسخ این سؤال، منفی است. این مقوله در اولویت صنعت نیست و از دلایل مختلف آن میتوان به زیاد و متکثر بودن دغدغههای نظام بانکی و پرداخت کشور اشاره کرد. برای مثال پایداری اقتصادی یک مؤسسه بانکی یا شرکت پرداختی به گونهای که زیانده نباشد، خودبهخود منجر به در اولویت قرار نگرفتن مقوله امنیت میشود.
از طرفی ثابتنبودن نرخ ارز و تورم باعث رشد روزافزون قیمت فناوریها و ابزارهای گوناگونی میشود که صنعت بانکی و پرداخت کشور برای توسعه خود به آنها نیاز دارد و این نیز میتواند یکی از دلایل در اولویت نبودن مقوله امنیت و به تعویق افتادن تأمین حداکثری آن باشد. علاوه بر اینها باید این را هم در نظر گرفت که چون اثرات مثبت پروژهها و فعالیتهای امنیت سایبری، بهراحتی قابل مشاهده نیست و در واقع اندازهگیری نرخ بازگشت سرمایه برای هزینههای این حوزه سخت و پیچیده است، فعالان صنعت آنطور که باید به مقوله امنیت بها نمیدهند و ترجیح میدهند وقت، انرژی و بودجه اختصاص دادهشده به صنعت را در راستای توسعه مقولات دیگری به کار ببندند که رؤیتپذیرتر باشند. ممکن است هزینه زیادی برای ارتقای امنیت صنعت شود و تا سالها پس از آن شبکه بانکی و پرداخت کشور مورد حمله سایبری قرار نگیرد تا اثر مثبت این ارتقا و هزینهکردنها رؤیتپذیر شود؛ البته برعکس آن هم ممکن است.»
بخش خصوصی در حوزه امنیت در نهادها کرسی ندارد
بخش خصوصی در عمل هیچ کرسی حقوقی در نهادهای تصمیمگیرنده و شورای عالی فضای مجازی ندارد و این مسئله مهمی است که میتواند در نحوه توسعه صنایع مختلف و بهطور خاص توسعه مقوله امنیت در صنعت بانکی و پرداخت کشور مؤثر باشد. رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه با اشاره به این مهم بیان میکند: «در وضعیتی که بخش خصوصی هیچ کرسی حقوقی در نهادهای تصمیمگیرنده ندارد، تنها راهی که ممکن است به افزایش نقش او در تصمیمگیریها کمک کند، فعالیتهای صنفی است؛ نهادهای صنفی مانند کمیسیون افتای نظام صنفی که به طور خاص در این زمینه فعالیت میکنند، توان این را دارند که با کاربست ابزارهای گوناگونی مانند رسانهها و کمکگرفتن از توان چانهزنی اعضایشان تا حد قابل قبولی در تصمیمگیریهای نهادهای بالادستی مداخله کنند.»
در سالهای اخیر، پلتفرمهای باگبانتی که از کلاهسفیدها برای افزایش امنیت شبکهها استفاده میکنند، در جهان ترند شدهاند. پوراعظم درباره نقش این پلتفرمها توضیح میدهد که پیدایش این پلتفرمها میتواند کمک قابل توجهی به ارتقای سطح امنیت سایبری سازمانهای مختلف، ازجمله بانکها و شرکتهای پرداختی کند: «البته باید فرهنگ استفاده از آنها برساخت شود و بانکها و شرکتهای پرداختی به آنها اعتماد کنند.
از طرفی این پلتفرمها نیز باید تعهدات لازم را در راستای حفظ محرمانگی دادهها و نقاط ضعف امنیتی به سازمانها بدهند. ممکن است سازمانی بدون استفاده از پلتفرمهای بیرونی، برنامههای باگبانتی ارائه دهد که به نظر من چنین کاری میتواند ریسک بالایی داشته باشد و توصیهام به سازمانها این است که حتماً از پلتفرمهای بیرونی و تخصصی این حوزه استفاده کنند و تفکر پلتفرمی را در سازمان خود نهادینه کنند. سالیان سال است که پروژههای تست نفوذ در بانکها و شرکتهای پرداختی اجرا میشود و چون اثربخشی لازم را نداشتهاند، پلتفرمهای باگبانتی در سالهای اخیر مورد توجه قرار گرفتهاند.»
رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه معتقد است تحریمها نقش بسزایی در کاهش روند توسعه امنیت در شبکه بانکی و پرداخت کشور دارند و مانع ورود فناوریهای روز دنیا به داخل کشور میشوند؛ ممکن است تحریمها روی توسعه کربنکینگ تأثیر بسزایی نداشته باشند، اما قطعاً در زمینه فناوری و ابزارهای مربوط به بحث امنیت سایبری اثرات منفی خود را میگذارند. او درباره استفاده از فناوریهای ساخت داخل ایران میگوید: «من مخالف استفاده از محصولات فناورانهای که در داخل مرزهای کشور خودمان ساخته میشوند، نیستم، اما این محصولات باید توان رقابت با محصولات جهانی را داشته باشند و به گونهای نباشند که هزینه صرفشده برای آنها تلف شود، بلکه باید ما را برای توسعه و رقابت با سایر کشورها مهیا کنند.
تحریمها باعث عدم تبادل دانش میان کشورهای توسعهیافته و ایران و عدم دسترسی افراد به دورههای آموزشی متخصصپرور شده که این مسئله ما را در ایجاد محصولات کارآمد و باکیفیت داخلی عقب میاندازد. با این حال، فکر میکنم باید فکری به حال این وضعیت کرد و بودجههایی برای ایجاد برنامههای آموزشی بومی در سطح کیفیت جهانی در نظر گرفت تا در سالهای آینده بتوان از توسعه در ابعاد مختلف صحبت کرد. صنعت بانکی و پرداخت کشور محرک خوبی در این زمینه است.»
او مهاجرت منابع انسانی را نیز عامل مهمی در کاهش روند توسعه امنیت سایبری در صنایع مختلف میداند و در اینباره میگوید: «حالا دیگر همه ما میدانیم که وضعیت مهاجرت از ایران تا چه اندازه بحرانی شده است. این مهاجرتها ریشه در مسائل خرد و کلان اقتصادی و اجتماعی کشور دارد و اگر قرار باشد این روند صعودی مهاجرت، در نقطهای ثابت شود یا کاهش یابد، نیازمند اقدامات اساسی و بزرگ در سطح کشوری هستیم. با این حال تنها کاری که از دست شرکتهای مختلف برمیآید، این است که به تربیت نیروهای بومی مبادرت بورزند و آنها را از صفر آموزش دهند و در شرکتهای خود استخدامشان کنند. این برنامهها باید توسط بانکها و شرکتهای پرداخت مورد توجه قرار گیرد و دنبال نتایج زودرس آن نباشند و از الان برای ساختن آیندهای بهتر برنامههای بلندمدت بریزند.»
پوراعظم اصلیترین اقدام روبهجلو برای ارتقای سطح امنیت سایبری در کشور، ازجمله صنعت بانکی و پرداخت کشور را تدوین و تصویب قوانین توسعهدهنده میداند و در اینباره اظهار میکند: «ما با خلاء قانونی در زمینه امنیت سایبری مواجهیم و نیازمند قوانینی هستیم که در زمینه حفاظت از دادهها و اطلاعات کاربران، ضمانت اجرایی کافی را داشته باشد و در عین حال مانعی برای پیادهسازی روشهای نوآورانه نباشد. برای مثال افشای اطلاعات در یک سازمان باید به جریمه جدی آن سازمان و اقدامات قضایی و حتی تأثیر در سطح یا مجوزشان منجر شود؛ چیزی شبیه به قانون GDPR در اتحادیه اروپا.»
او اضافه میکند که این خلاء قانونی به عدم پاسخگویی سازمانها در قبال افشای اطلاعات کاربرانشان منجر میشود: «برای مثال همین اواخر شاهد هک و افشای اطلاعات کاربران یکسری از پلتفرمهای داخلی بودیم که هیچ توضیحی برای این اتفاق هم نداشتند. علاوه بر این، برای آن دسته از مخاطرات امنیت سایبری که بهصورت عمدی و غیرعمدی توسط کارمندان انجام میشود نیز باید تدابیری اندیشید و برنامههای بازدارنده، تشویقکننده، آموزشمحور و فرهنگی ایجاد کرد تا کمتر شاهد چنین اتفاقاتی باشیم.»