راه پرداخت
رسانه فناوری‌های مالی ایران

 پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشت‌ماه ۱۳۹۰ شروع کرده و اکنون پرمخاطب‌ترین رسانه ایران در زمینه فناوری‌های مالی، بانکداری و پرداخت و استارت‌آپ‌های فین‌تک است.

حفظ امنیت داده‌های بانکی در شرایط سخت تحریمی
کسب‌وکارها

حفظ امنیت داده‌های بانکی در شرایط سخت تحریمی

کریم کوثری، مدیر شبکه و امنیت شرکت فام (بازوی فناوری اطلاعات موسسه اعتباری ملل) در گفت‌وگو با راه پرداخت از چالش‌های کمبود منابع انسانی در حوزه امنیت و همچنین از عدم بروزرسانی زیرساخت‌ها گفت

نویسنده: بهناز ملکی 0

طی سال‌های اخیر یکی از عمده‌ترین چالش‌هایی که بانک‌ها و مؤسسات مالی با آن دست‌وپنجه نرم می‌کنند موضوع امنیت است. فارغ از تهدیدات سایبری دو موضوع عمده دیگر وجود دارد که حوزه امنیت داده را در کشور با چالش‌های اساسی مواجه می‌کند.

این دو موضوع عمده از منظر بسیاری از فعالان صنعت بانکی و مالی، شامل منابع انسانی و تجهیزات زیرساختی می‌شود. نیروی متخصص در بیشتر حوزه‌های کاری به دلیل مهاجرت گسترده‌ای که در کشور وجود دارد با کمبود روبرو است؛ تجهیزات زیرساختی نیز در عمده صنایع به دلیل تحریم‌ها با مشکلاتی از جمله فرسودگی مواجه هستند.

کریم کوثری، مدیر شبکه و امنیت شرکت فام (بازوی فناوری اطلاعات موسسه اعتباری ملل) در گفت‌وگو با راه پرداخت از چالش‌های کمبود منابع انسانی در حوزه امنیت و همچنین از عدم بروزرسانی زیرساخت‌ها گفت. اما او استقرار استاندارد ISMS را به عنوان یکی از دستاوردهای بخش امنیت و شبکه شرکت فام ذکر کرد.

کریم کوثری، مدیر شبکه و امنیت شرکت فام (بازوی فناوری اطلاعات موسسه اعتباری ملل) در گفت‌وگو با راه پرداخت از چالش‌های کمبود منابع انسانی در حوزه امنیت و همچنین از عدم بروزرسانی زیرساخت‌ها گفت. او در این گفت‌وگو استقرار استاندارد ISMS را به عنوان یکی از دستاوردهای بخش امنیت و شبکه شرکت فام ذکر کرد.

تمام تلاش ما این است که داده کاربران حفظ شود

کریم کوثری در ابتدای این گفت‌وگو با بیان این نکته که امنیت داده در حوزه بانکی از مهم‌ترین چالش‌ها محسوب می‌شود عنوان کرد که شرکت فام اهتمام ویژه نسبت به صیانت از داده‌های کاربران را سرلوحه خود قراداده است. وی در توضیح روش‌هایی که شرکت فام برای حفاظت از داده کاربران به کار می‌برد گفت: «به‌طور کلی، امنیت در سه مقوله اصلی طبقه‌بندی می‌شود؛ اول، در دسترس بودن (Availability)، دوم، حفظ یکپارچگی (Integrity)، و سوم، محرمانگی (Confidentiality) ؛ این سه مقوله در قالب‌های مختلف، از جمله در زمینه ارتباطات و ذخیره‌سازی داده‌ها و … رعایت می‌شود تا امنیت اطلاعات حفظ شود.»

کوثری همچنین، در خصوص نگرانی‌های امنیتی کاربران نیز گفت: «این نگرانی‌ها عمدتاً از طریق مرکز تماس و سایر کانال‌های ارتباطی به ما منتقل می‌شود. این نگرانی‌ها می‌تواند مربوط به کاربران خارجی یا مشتریان باشد. در چنین مواردی، تیم پاسخ‌گویی به حوادث، آن‌ها را بررسی کرده و با روشی مناسب برای حل مشکل وارد عمل می‌شود. برخی از نگرانی‌ها نیز به‌صورت موردی توسط مدیران یا کارشناسان شناسایی و گزارش می‌شود. در این موارد، اگر حساسیت زیادی وجود داشته باشد، با تشکیل جلسه فوری، تلاش می‌شود که مشکل به‌سرعت و با برنامه‌ریزی کوتاه‌مدت رفع شود.»

در آزمایشگاه امنیت سایبری چه می‌گذرد؟

آزمایشگاه امنیت سایبری معمولاً مکانی برای پژوهش، آموزش و توسعه ابزارها و راهکارهای مرتبط با امنیت شبکه، سامانه‌های اطلاعاتی، و دفاع سایبری است. در این آزمایشگاه‌ها، متخصصان می‌توانند به شبیه‌سازی حملات، تست نفوذ، و ارزیابی تهدیدات سایبری بپردازند و بانک‌ها و موسسات مالی الزام جدی در خصوص ایجاد این آزمایشگاه‌ها دارند.

کریم کوثری درباره چگونگی کارکرد آزمایشگاه سایبری می‌گوید: « در حال حاضر، با توجه به فعالیت‌هایی که در بانک‌ها انجام می‌شود، نظیر تولید نرم‌افزارهای بانکی و نگه‌داشت امنیت این نرم‌افزارها در محیط عملیاتی، نیاز به آزمایشگاه‌های امنیتی بسیار محسوس است. این آزمایشگاه‌ها باید به‌طور مستمر در چرخه تولید نرم‌افزار حضور داشته باشند تا امنیت نرم‌افزارها در تمامی مراحل توسعه، از طراحی تا بهره‌برداری، تأمین شود.»

کوثری درباره چگونگی روند کار در آزمایشگاه امینت سایبری عنوان کرد: «تیم آزمایشگاه در مراحل مختلف باید نکات امنیتی را شناسایی کرده و به تیم توسعه ارائه دهد. پس از تولید نرم‌افزار، آزمایشگاه باید تست‌های آسیب‌پذیری و نفوذ را بر روی نرم‌افزار انجام دهد تا از امنیت آن اطمینان حاصل شود. سپس، در صورت رفع آسیب‌پذیری‌ها، نرم‌افزار وارد محیط عملیاتی می‌شود. همچنین، باید توجه داشت که در صورت نسخه‌گذاری نرم‌افزار، ممکن است مسائل امنیتی جدیدی به‌وجود آید که باید مورد بررسی و رفع قرار گیرد.»

او در ادامه تشریح کرد: «لازم است که آزمایشگاه در هر مرحله، نرم‌افزارها را مورد تست قرار دهد. به عبارت دیگر، در هر مرحله اجرایی که نسخه‌ای جدید از نرم‌افزار منتشر می‌شود، تیم آزمایشگاه باید پیش از عملیاتی شدن نسخه جدید، فرایندهای امنیتی مانند بررسی آسیب‌پذیری‌ها و تست نفوذ را انجام دهد. همچنین، در مرحله تولید نرم‌افزار، این فرایندها باید در کنار مراحل آماده‌سازی نرم‌افزار برای قرارگیری در محیط عملیاتی و همچنین حفظ امنیت آن در محیط عملیاتی، پیاده‌سازی شود. در نهایت، هنگامی که یک حادثه امنیتی رخ می‌دهد، باید اقدامات لازم انجام شود تا منشأ آن شناسایی شده و مشخص شود که چگونه آسیب وارد شده و حمله یا نفوذ به سیستم انجام شده است.»

چشم امنیتی شرکت فام

به گفته کوثری مرکز عملیات امنیت به‌عنوان چشم امنیتی سازمان، نظارت بر تمامی وقایع و رخدادهای امنیتی را بر عهده دارد. تمام اتفاقات، از جمله تست نفوذ روی نرم‌افزارها یا ارسال لاگ‌ها توسط آنتی‌ویروس‌ها، سرویس‌ها، سیستم‌های عامل و دیگر موارد در این مرکز بررسی می‌شود. این مرکز با استفاده از روش‌هایی که در پلی‌بوک‌های مخصوص تهیه شده، تمامی رخدادها را رصد کرده و در صورت مشاهده مسائل مشکوک، گزارش‌ها را تهیه کرده و آن‌ها را به بخش‌های مربوطه ارسال می‌کند.

به کار‌گیری استاندارد ISO/IEC 27001 در فام

کوثری در ادامه استقرار و اعمال استاندارد ISMS را یکی از وظایف دپارتمان امنیت که مسئولیت تدوین اهداف، سیاست‌ها و روش اجرای موارد مربوط به حفظ امنیت اطلاعات در سازمان را بر عهده دارد معرفی کرد. به توضیح او این استانداردها برای پیاده‌سازی سیستم‌های مدیریت امنیت اطلاعات (ISMS) در سازمان‌ها به‌کار گرفته می‌شوند و فرآیند مستندسازی و استانداردسازی اطلاعات امنیتی را پوشش می‌دهند.

چالش‌های ما مشابه چالش‌های دیگران است

همان‌طور که اشاره شد، چالش‌های زیرساختی در کنار حملات سایبری برای هر سازمانی چالش آفرین است. مدیر امنیت و شبکه فام درباره این چالش‌ها گفت: «باید بگویم که چالش‌های ما مشابه بسیاری از چالش‌هایی است که سایر سازمان‌ها نیز با آن‌ها مواجه هستند. در حوزه امنیت دو مسئله عمده وجود دارد؛ یکی منابع انسانی و دیگری منابع سخت‌افزاری و تجهیزات؛ ما در هر دو زمینه با چالش‌هایی مواجه هستیم. در بخش منابع انسانی، به دلیل کمبود نیروهای متخصص در این حوزه، با مشکلاتی روبرو هستیم. این موضوع به‌طور کلی در کشور ما به چشم می‌آید و کمبود نیروهای متخصص در حوزه امنیت اطلاعات و فناوری اطلاعات به وضوح مشاهده می‌شود.»

او درباره چالش مهاجرت نیروهای متخصص در حوزه امنیت سایبری بیان کرد: «به دلیل شرایط موجود، بسیاری از نیروهای نخبه ما به خارج از کشور مهاجرت می‌کنند و نیروهایی که در این حوزه فعالیت می‌کنند، از لحاظ کمیت متناسب با نیازهای موجود در حوزه امنیت اطلاعات و فناوری اطلاعات نیستند. در نتیجه، ما با چالش جدی در تأمین نیروهای متخصص مواجه هستیم. این امر موجب می‌شود که نیروی انسانی در این حوزه ناپایدار باشد. بسیاری از این افراد تمایل دارند که پس از یک دوره در سازمان‌های مختلف جابجا شوند.»

براساس توضیحات مدیر شبکه و امنیت شرکت فام این جابه‌جایی‌ها که اکثر به دلیل پیشنهادات شغلی از سوی شرکت‌های رقیب انجام می‌شود، می‌تواند مخاطراتی برای تمامی سازمان‌ها به وجود آورد. برای مثال نیرویی که در زمینه امنیت در شرکت‌های گوناگون کار می‌کند این امکان وجود دارد که  منجر به درز اطلاعات شود. هم چنین از منظر تکنیکی نیز این مشکل بسیار حائز اهمیت است. زمانی که یک نیروی متخصص وارد سازمان می‌شود و بعد از مدتی سازمان را ترک می‌کند، تمامی انرژی و منابعی که برای آموزش و استفاده از توانایی این فرد صرف شده است، هدر می‌رود. علاوه بر این، امنیت داده‌ها نیز تحت تأثیر قرار می‌گیرد. وقتی یک فرد از یک سازمان به سازمان دیگر منتقل می‌شود، ممکن است اطلاعات مربوط به سازمان‌های قبلی را با خود ببرد و این خطرات امنیتی جدی به‌وجود آورد.»

کار با نسل زد هم آسان، هم دشوار است

نسل زد هنوز به صورت گسترده درگیر مهاجرت نشده‌اند و می‌توان گفت به زودی تبدیل به گروه اصلی نیروی کار سازمان‌ها می‌شوند. کوثری درباره مواجهه شرکت فام با نیروی کار نسل زد عنوان کرد: « برای کار کردن با این نسل، نیاز است که شرایط کاری خاص و متفاوتی فراهم شود. باید محیطی متفاوت برای آن‌ها ایجاد کرد، زیرا اعمال بسیاری از قواعد ومناسباتی که برای نسل‌های قبلی قابل پذیرش بوده، برای این نسل دشوار است. این نسل به محیط‌های کاری خاص، با شرایط انعطاف‌پذیر نیاز دارد.»

او در ادامه عنوان کرد: «کار با نسل زد، سهل‌وممتنع است؛ زیرا این نسل از وابستگی کمتری برخوردار است و آزادانه تر عمل می‌کند. این آزادگی می‌تواند به عنوان یک مزیت در نوآوری‌های علمی و فناوری به کار گرفته شود، اما از طرفی، مدیریت این نیروها می‌تواند چالش‌هایی را ایجاد کند. بنابراین، باید تعادلی بین بهره‌گیری از این نسل و حفظ سیستم‌های موجود برقرار شود.»

کوثری توضیح داد: «در نهایت، برخی پروتکل‌ها و پیشنهاداتی برای بهبود این شرایط ارائه شده، اما متأسفانه هنوز در سیستم اجرایی به‌دلیل نگرش‌های سنتی و قدیمی، این پروتکل‌ها به درستی پیاده‌سازی نشده‌اند. اما  هر چند در مثل مناقشه نیست همانطور که کرونا تغییراتی را در برخی از فرآیندها ایجاد کرد، نسل زد نیز تغییرات زیادی در نحوه کار کردن در محیط‌های کاری به وجود خواهد آورد.»

عدم بروزرسانی تجهیزات، مشکل همه ماست

کوثری در ادامه  تشریح کرد: «در بخش تجهیزات و منابع سخت‌افزاری نیز با چالش‌هایی به‌ویژه به‌ واسطه تحریم‌ها روبرو هستیم، چرا که این تحریم‌ها دسترسی به تجهیزات و خدمات روز را برای ما محدود کرده است. به همین دلیل، ما به‌راحتی قادر به تأمین تجهیزات و سرویس‌های مورد نیاز برای پروژه‌های خود نیستیم.»

همان‌طور که اشاره شد، مشکل عمده حوزه امنیت مانند بسیاری دیگر از حوزه‌ها، زیرساخت است. کوثری به نکاتی دربره چالش‌های زیرساختی از جمله عدم توانایی بروزرسانی زیرساخت‌ها به دلیل تحریم‌ها را ذکر کرد.

کوثری بیان کرد: «در خصوص مشکلات زیرساختی، به ویژه در زمینه تجهیزات شبکه، باید گفت که علی‌رغم خرید تجهیزات جدید در سال‌های گذشته، به دلیل تحریم‌ها و عدم امکان نصب به موقع آن‌ها، تجهیزات در حالت غیرفعال باقی مانده‌اند. این مشکل موجب می‌شود که با گذشت زمان، تجهیزات قدیمی‌تر و از رده خارج شوند، که خود مشکلات امنیتی به همراه دارد. این موضوع به وضوح نشان می‌دهد که تحریم‌ها و مشکلات زیرساختی، بر امنیت اطلاعات و فناوری اطلاعات تأثیرات منفی زیادی دارد.»

بهناز ملکی

بهناز ملکی هستم؛ فارغ‌التحصیل رشته زبان و ادبیات فارسی از دانشگاه سراسری زنجان و علاقه‌مند به حوزه فناوری‌های نوین و کسب‌و‌کارهای نوآور. از تیرماه سال 1402 به‌عنوان خبرنگار در هفته‌نامه کارنگ مشغول فعالیتم.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.