تکرار رخدادهای امنیتی و عدم برخورد متناسب با مقصران، اهمیت سرمایه‌گذاری برای مدیریت ریسک را کاهش داده است

دومین نشست از سلسله‌نشست‌های کافه تیف چهارشنبه، ۲۰ تیرماه با عنوان «ارتقای سطح بلوغ امنیت اطلاعات در صنایع مالی؛ از نظریه تا عمل» برگزار شد. در این نشست که به دبیری امیر عامریان، معاون فناوری و نوآوری هلدینگ فناوری اطلاعات بانک شهر برگزار شد، سید مهدی خرازی، دانشیار گروه علوم و مهندسی دانشگاه صنعتی شریف؛ وحید خدابخشی، مدیر ریسک و امنیت شرکت شاپرک؛ هاشم حبیبی، مدیرعامل شرکت امن افزار شریف و احسان کریمی اسکندری، کارشناس حوزه امنیت و زیرساخت فناوری اطلاعات حضور داشتند.

به گزارش روابط‌عمومی هلدینگ فناوری اطلاعات بانک شهر، هاشم حبیبی، مدیرعامل شرکت امن افزار گستر شریف در دومین نشست کافه تیف گفت: «تکرار و تداوم فاش‌شدن اطلاعات هویتی افراد طی سال‌های اخیر از طریق مختلف و عدم برخورد متناسب با مقصران و قاصران این رخدادها سبب شده تا قبح آن برای تمام ذی‌نفعان اعم از صاحبان کسب‌وکار، حاکمیت و حتی کاربرانی که اطلاعات یا دارایی‎‌هایشان در مخاطره قرار گرفته از بین برود و به‌تبع این کرختی، سازمان‌ها برای حفظ و ارتقای امنیت هزینه لازم را پرداخت نکنند. آن‌طور که فعالان حوزه فناوری معتقدند، امنیت اقبال چندانی در کشور ندارد و بازار بسیار کوچکی را به خودش اختصاص داده است.»

حبیبی درباره کوچک بودن بازار امنیت کشور اظهار کرد: «بازار امنیت کشور به معنای نیاز و درخواست بسیار کوچک است. وقتی به شرکت‌های امنیتی داخل کشور نگاه کنید، مجموعه‌ای پیدا نمی‌شود که گردش مالی یا حتی نیروی انسانی زیادی داشته باشد. بزرگ‌ترین شرکت‌های امنیتی زیر ۵۰۰ نفر نیرو دارند. این در حالی است که کوچک‌ترین شرکت‌های در حوزه‌هایی مانند انرژی یا صنعتی، بیش از هزار نیرو انسانی در اختیار دارند. نیروی انسانی نشان‌دهنده نیاز بازار است و در واقع گردش مالی ایجاد می‌کند.»

او در ادامه گفت: «در حوزه امنیت بانک نیز همین موارد مطرح است. به‌طورکلی دو نوع اطلاعات در بانک‌ها وجود دارد؛ یکی اطلاعات مالی نظیر جابه‌جایی پول و دیگر اطلاعات هویتی نظیر کد ملی، آدرس محل سکونت، شماره‌حساب و این دست از اطلاعات. حال این سؤال پیش می‌آید که در حوزه بانکی، پول مهم‌تر است یا اطلاعات هویتی افراد؟»

حبیبی با تأکید بر این که مدیر ارشد یک سازمان می‌تواند بلوغ را کم‌وزیاد کند، ادامه داد: «بااین‌همه درباره بلوغ امنیت باید از رئیس بانک یا رئیس یک سازمان پرسید که آیا امنیت برایش مهم است یا خیر؟ بالاترین رکن یک مجموعه باید بگوید که به چه چیزی نیاز دارد و چه هدفی را دنبال می‌کند؟ پاسخ این پرسش‌ها ازآن‌رو مهم است که در واقع مدیر ارشد یا مدیران یک سازمان می‌توانند بلوغ را کم‌وزیاد کنند.»

او ادامه داد: «یکی از مشکلات بزرگ ما این است که از نظر بانک‌ها در مقوله امنیت، حوزه زیرساخت، حوزه نرم‌افزار و نیروی انسانی چندان اهمیت ندارد و درصد خیلی بالایی از نگاه امنیت بانک‌ها معطوف به آن است که نفوذ و آسیب‌پذیری نداشته باشند.»

حبیبی در ادامه با تأکید بر این که نگاه به امنیت در ایران و خارج ایران متفاوت است، اظهار کرد: «در ایران به دلیل آن که اطلاعات افراد از طریق مختلف فاش شده است می‌توانید با دردست‌داشتن شماره موبایل، اسم و کد ملی، اطلاعات دیگر اشخاص را در اینترنت پیدا کنید و این نشان‌دهنده بد بودن اوضاع است. به همین دلیل باید دید که برای بانک یا هر سازمان دیگری اطلاعات مهم است یا پول. بااین‌همه در بانک‌ها پول حساسیت بالایی دارد. برای مثال بانک‌ها روی نرم‌افزار اینترنت بانکی‌شان بسیار حساس‌اند چرا که کاربران از آن طریق پول جابه‌جا می‌کنند و اگر این نرم‌افزار نقطه‌ضعفی داشته باشد بانک باید این ضرر را خودش جبران کند. در نتیجه بانک در این قسمت که برایش بسیار مهم است، هزینه می‌کند.»

مدیرعامل شرکت امن افزار گستر شریف، همچنین به این موضوع اشاره کرد که محدودیت‌ها در ارتباط با دنیا در حوزه‌های مالی سبب شده تا در یک‌سری از استانداردها دو تا سه نسخه عقب‌تر باشیم.

او همچنین اظهار کرد که در خیلی از مواقع در بحث امنیت مجموعه‌ها تا زمانی که مشکلی برایشان رخ ندهد اقدامی انجام نمی‌دهند و از جایی که مشکل شروع می‌شود به دنبال مرتفع کردن آن مشکل هستند و زیرساخت را تا همان حد می‌بینند.