در گفتگو با مشاور رئیس‌کل بانک مرکزی: آیا امکان نفوذ به بانک‌های ایران وجود دارد؟

نویسنده: راه پرداخت در تاریخ 13 آذر سال 1395 ساعت 15:30 0

مهرک محمودی؛ ماهنامه پیوست / هر جا موضوع پول به میان می‌آید، امنیت آن نیز برای مردم از اهمیت ویژه‌ای برخوردار می‌شود. هیچ کس دوست ندارد پولش را جایی نگه دارد که احتمال ریسکی برای آن وجود دارد. به همین دلیل خبرهای مربوط به امنیت بانک‌ها برای مردم عادی از اهمیت بیشتری برخوردار است تا خبر مربوط به امنیت پتروشیمی. به‌صورت عادی مردم می‌گویند ما باید مراقب پول خودمان باشیم و دولت باید نگران مسائل بزرگ‌تر یا حتی حساس‌تر باشد. با توسعه بانکداری الکترونیکی نیز اخبار مربوط به امنیت اهمیت بیشتری پیدا می‌کند. هر چند بانک‌ها به‌طور مرتب اعلام می‌کنند از وضعیت مناسب امنیتی برخوردارند و امکان نفوذ به بانک وجود ندارد اما آیا این گفته مورد تأیید است؟ در این خصوص با مجید نوری مشاور رئیس‌کل بانک مرکزی در امور امنیتی به گفت‌وگو نشسته‌ایم که در زیر می‌خوانید:

یکی از موضوعاتی که به‌صورت مرتب مطرح می‌شود این است که وضعیت امنیتی بانک‌ها در چه سطحی قرار دارد؟

بحث تهدید زمانی معنا پیدا می‌کند که ریسک‌های موجود برایتان شناخته شده باشد، مانند شهر تهران؛ شما می‌گویید این شهر زلزله‌خیز است، روی گسل قرار گرفته و احتمال اینکه صدمه ببیند زیاد است. پس باید کاری انجام دهیم تا اگر زلزله آمد کمترین صدمه وارد شود. بحث امنیت هم چنین ویژگی‌ای دارد. باید مشخص شود به چه دلیلی معتقدیم ریسک‌مان بالاست، زمانی می‌گوییم تحت‌فشار هستیم به خاطر مسائل مختلف از قبیل بحث‌های اجتماعی سیاسی و حتی بحث‌های برون‌مرزی؛ وقتی این تهدیدها زیاد است یا در مقابل این تهدیدها امکان مقابله یا مقاومت داریم یا اینکه ریسک‌مان بالا می‌رود. در شرایط فعلی بانک‌های ما خودشان این ریسک را پذیرفته‌اند.

درست است بانک مرکزی به‌عنوان ناظر و کنترل‌کننده، بر ریسک‌ها نیز نظارت می‌کند اما در بحث امنیت اطلاعات چون در لایه اول بحث امنیت بحث محرمانگی، یکپارچگی، تغییرناپذیری و انکارناپذیری اطلاعات مطرح است بانک مسئولیت را بر عهده می‌گیرد. در لایه بعدی اگر در امنیت خللی وارد شود بانک صدمه می‌بیند و در نهایت باعث می‌شود مشتری بانکی متضرر شود. پس یکی از دلایل نظارتی بانک مرکزی این است که مانع از بین رفتن تداوم فعالیت بانکی شود. از همین رو در لایه اول برای اینکه دخالتی در کار بانک‌ها نکرده باشد، از فرایندهای کاری بانک‌ها گزارش می‌گیرد.

در این زمینه مصوبه‌ای در سال ۸۸ به‌عنوان یک سند راهبردی تدوین و ابلاغ شد، در آن به بانک‌ها ساختار پیاده‌سازی یک سیستم امنیت اطلاعات را در زیرمجموعه خودشان اعلام کردیم. پس از آن قرار شد بانک‌ها ISMS را در زیرمجموعه‌شان پیاده‌سازی کنند. با پیاده‌سازی این مصوبه در زیرمجموعه بانک‌ها علاوه بر اینکه امنیت در بانک‌ها به حد مطلوبی می‌رسد ازنظر مدیریت امنیت نیز به ما این اجازه را داد تا متوجه شویم هر بانک در چه سطحی از امنیت قرار گرفته است و چه کاری انجام می‌دهد.

در بحث ISMS یکی از موضوعات اصلی این است که آیا ساختار لازم برای پیاده‌سازی امنیت در بانک‌ها وجود دارد؟

درست است. در بحث امنیت یکی از مهم‌ترین موضوعات این است که ساختار لازم برای پیاده‌سازی امنیت در زیرمجموعه وجود داشته باشد. آن ساختار مثل شرایطی است که در مورد بحران از آن صحبت کردیم. آیا کمیته بحرانی است؟ شرایط را سنجیده یا خیر و اگر اتفاقی افتاد در کمترین زمان ممکن می‌توان به حالت قبل بازگشت یا خیر. این بحث، کنترل و مدیریت این موضوع در بانک مرکزی نیاز به یک ساختار و جمعی از افراد متخصص داشت.

از همین رو سال ۹۰ شورای پول و اعتبار تصمیم گرفت این وظیفه را به مرکز کاشف واگذار کند که این تصمیم منجر به ایجاد شرکت کاشف شد. در شرایط فعلی توقع داریم شرکت کاشف این کار را برای بانک مرکزی انجام دهد و به‌صورت مرتب گزارش کند.

یعنی مسئول مدیریت امنیت باشد؟

مدیریت امنیت شبکه بانکی را بر عهده دارد.

یعنی کاشف گزارش‌ها را به‌صورت دوره‌ای برای بانک مرکزی ارسال کند؟

بله درست است.

چرا در بخشی از صحبت‌تان اشاره کردید که بانک‌ها خودشان ریسک را پذیرفته‌اند؟

بانک اساساً یک موجودیت مستقل مثل هر شرکتی است. اینکه شما تصمیم بگیرید وب‌سایت‌تان را به‌صورت باز در اختیار همه بگذارید، شاید به بانک صدمه بزند. امکان دارد بانک را نابود کند اما این استقلال خودش است. ممکن است دوست داشته باشد کاری کند که نابود شود. مثل اینکه شما بگویید چرا فلان شرکت، جنسی با کیفیت پایین یا بی‌کیفیت تولید می‌کند. این کار او باعث می‌شود مردم نخرند و ورشکست شود. آیا کسی می‌تواند اجبار کند که حتماً درست کار کنید؟

اما به دلیل اتصال بانک‌ها به یکدیگر اگر اتفاقی برای یک بانک بیفتد ممکن است آن اتفاق به بانک‌های دیگر نیز تسری پیدا کند، در این صورت نمی‌توان گفت بانک مستقل است و می‌تواند ریسکش را پوشش دهد.

اتفاقی که ما در ایران نگران آن هستیم و در جاهای دیگر دنیا نیز کم‌وبیش رخ می‌دهد، تأثیراتی است که در سیستم بانکی به خاطر بحث اقتصادی وجود دارد. اگر برای یک شرکت تولیدکننده خودرو مشکلی پیش بیاید و ورشکست شود دلیل نمی‌شود خودروسازهای دیگر هم ورشکست شوند، چرا که وابستگی ندارند اما در سیستم بانکی به خاطر تأثیراتش در سیستم اقتصادی، مردم این شباهت را قائل می‌شوند و مجموعه را بانک می‌بینند. دیگر فرقی میان بانکی مثل بانک پارسیان که بیشتر در بخش خودروسازی فعالیت می‌کند یا بانکی مانند بانک آینده که در بخش ساخت‌وساز فعالیت می‌کند وجود ندارد.

در اصل هر بانکی در زمینه‌ای فعال است و ازنظر بانک مرکزی این بانک‌ها با یکدیگر هیچ ارتباطی ندارند اما ازنظر مردم این‌ها همه بانک هستند و آن‌ها را با یک چشم می‌بینند. اگر بانکی امروز بگوید من دچار مشکل شده‌ام و صدمه دیده‌ام یا موردحمله قرار گرفته‌ام و الآن نمی‌توانم به شما سرویس بدهم با پخش شدن این ذهنیت در جامعه همه فکر می‌کنند این اتفاق ممکن است فردا برای بانک z یا y بیفتد؛ پس برویم پول‌هایمان را برداریم. این تأثیرات مستقیم است که موجب می‌شود بانک‌ها صدمات گسترده‌ای ببینند، اگر این تفکر وجود نداشت هیچ وقت صدمه دیدن یک بانک موجب صدمه دیدن یک بانک دیگر نمی‌شد.

می‌توان گفت که با همین تفکر به سمت تشکیل مرکز کاشف رفتید؟

اینکه تصمیم گرفتیم مرکز کاشف را تأسیس کنیم موضوع جدی‌تری بود. در دنیا مراکز cert داریم. در آن مراکز یک هم‌افزایی اتفاق می‌افتد و در صورت بروز مشکل بخش‌های مختلف به هم کمک می‌کنند و اطلاعاتشان را در اختیار یکدیگر قرار می‌دهند؛ مانند همین اتفاقی که چندی پیش افتاد. صفحات بانک سپه و بانک مسکن دی‌فیس شد و دوستان کاشف بررسی کردند و علت را متوجه شدند و به تمام بانک‌ها اعلام کردند.

در اصل به دلیل ضعف نرم‌افزاری‌ای که این دو بانک از آن استفاده کرده بودند کسی توانسته بود صفحه آن‌ها را دی‌فیس کند، کاشف به سایر بانک‌ها که از این نرم‌افزار استفاده کرده بودند هشدار داد و به سرعت مشکل برطرف شد. وجود این مراکز باعث می‌شود جلو این خطرات گرفته شود. درست است که دی‌فیس شدن صفحه یک بانک ظاهرش این است که صفحه اول جابه‌جا شده و امکان دسترسی به اطلاعات وجود ندارد اما وقتی مردم عادی از این قضیه مطلع شوند تصور می‌کنند اگر کسی توانسته چنین کاری انجام دهد حتماً می‌تواند به حساب آنان نیز دسترسی یابد.

وقتی اطلاع‌رسانی صورت نمی‌گیرد شایعاتی که در جامعه گسترده می‌شود موجب بدتر شدن اوضاع می‌شود؟

اطلاع‌رسانی همیشه تیغ دولبه است. زمانی اطلاع‌رسانی می‌کنید تا مردم آگاه شوند و نگرانی‌شان کمتر شود و اقداماتی را که لازم است انجام دهند، درست مانند اتفاقی که برای انیاک افتاد. در آن زمان بانک مرکزی برای اینکه نگرانی مردم را برطرف کند اطلاعیه داد که مردم رمز کارت‌های خود را عوض کنند. خود آن نیز برای مردم خیلی نگران‌کننده بود. هر چند با اطلاعاتی که منتشر شده بود نمی‌شد کاری انجام داد اما بانک مرکزی برای اینکه تا حدودی مردم را آرام کند اعلام کرد بهتر است رمز کارت‌های خود را تغییر دهید. همین اطلاع‌رسانی موجب شد صف‌های طولانی‌ای پشت دستگاه‌های خودپرداز به وجود آید. در آن زمان مردم می‌توانستند از خود بپرسند با آن اطلاعات چه می‌توان کرد؟ در اصل شما می‌خواهید به مردم اطلاع‌رسانی کنید اما برداشت مردم و آموزشی که دیده‌اند متفاوت است. از همین رو در بسیاری از مواقع موجب نگرانی بیشتر آنان می‌شود.

پس چرا در جاهای دیگر دنیا به محض حمله به یکی از بانک‌ها سریعاً اطلاع‌رسانی صورت می‌گیرد؟

اطلاع‌رسانی در کشور ما نیز کم‌وبیش صورت می‌گیرد. زمان یا بازه زمانی آن اطلاع‌رسانی متفاوت است. مثلاً درست نبود همان شنبه‌ای که اتفاق دی‌فیس شدن افتاد موضوع را رسانه‌ای کنیم. در آن زمان شاید خود ما نیز اطلاع دقیقی از چگونگی روند کار نداشتیم. در اصل از جزئیات حمله اطلاع نداشتیم. در این مورد کسی که این حمله را انجام داده بود هدفش هک نبود بلکه می‌خواسته اطلاع دهد ضعفی در نرم‌افزار بانک وجود دارد. حالا آیا اطلاع‌رسانی در آن زمان مفید خواهد بود؟

هنگامی‌که جواب برخی از سؤال‌ها مشخص نیست اطلاع‌رسانی یعنی نگران کردن افراد وقتی پاسخی برایش ندارید. پس مجبورید بگذارید زمانی بگذرد تا کارشناسان آن را بررسی و موضوع را مشخص کنند و پس از آن به مردم اطلاع داده شود. وقتی می‌بینید یک اتفاق ساده و پیش‌پاافتاده بوده و نیازی به عمومی کردن آن نیست؛ چیزی نمی‌گویید تا نگرانی‌ها بیشتر نشود.

البته در این زمینه تفاوت سلیقه وجود دارد؛ مثل شرایط کنونی کشور. یک امنیت عمومی در سطح جامعه وجود دارد و تصورمان این است که هیچ اتفاقی نمی‌افتد، از آن طرف وزارت اطلاعات می‌گوید داعش فعال است اما آن‌قدر دقیق کار می‌کنیم که اجازه فعالیت به آن‌ها نداده‌ایم. در چنین شرایطی آیا باید تمام اطلاعات در اختیار مردم قرار گیرد؟ یا اینکه برای جلوگیری از نگرانی مردم بهتر است این اطلاعات به مردم منتقل نشود؟

اعلام نکردن حمله‌ها موجب کند شدن برخورد مسئولان با آن حوادث نخواهد شد؟ چرا که همیشه فشار جامعه موجب می‌شود برخی از کارها سریع‌تر انجام گیرد. مثلاً چند وقت پیش پلیس فتا اعلام کرد به ۲۰۹ هزار حساب بانکی دسترسی پیدا کرده و پلیس با آن برخورد کرد اما شبکه بانکی هیچ خبری در این خصوص اعلام نکرد.

بگذارید ابتدا موضوعی را مطرح کنم؛ چندین سال است با پلیس فتا درزمینهٔ اعلام این خبرها اختلاف سلیقه داریم. پلیس فتا موضوع را با نگرش و ادبیات خودش عنوان می‌کند. ما در بانک مرکزی به‌عنوان حوزه تخصصی‌مان، این ادبیات را قبول نداریم. نامه‌های متعددی بین ما و آن‌ها ردوبدل شده اما به نتیجه نرسیده‌ایم. برای مثال سال گذشته اعلام کرده بودند نفوذ به شتاب، اما ما اصلاً مفهومی به نام نفوذ به شتاب نداریم؛ بنابراین این‌ها عباراتی است که وقتی عنوان می‌شوند، مردمی که در جریان نیستند فکر می‌کنند اتفاق عجیب‌وغریبی افتاده است. وقتی چنین خبرهایی پخش می‌شود اقوام و دوستان سریع به من زنگ می‌زنند که آیا پول‌مان را برداریم؟ آیا نگران باشیم؟ مسئولان وقتی خبری را اعلام می‌کنند باید بدانند از همه گروه‌های اجتماعی، مشتری بانکی وجود دارد. شاید بسیاری از آن‌ها اطلاعات کافی در مورد عملیات بانکی نداشته باشند بنابراین اعلام چنین خبرهایی باعث نگرانی آنان می‌شود.

پس خبررسانی در این بخش باید خیلی دقیق باشد. اینکه من پشت میکروفن قرار بگیرم و بگویم ۲۰۹ هزار اطلاعات بانکی لو رفته است، خیلی خبر بزرگی است. لو رفته یعنی چه؟ اینکه من به‌عنوان کسی که حساب بانکی دارم باید نگران موجودی حسابم باشم یا اینکه کسی توانسته اطلاعات کارتی را که از پی‌اس‌پی رد شده، یک جا ذخیره کند. حالا این فرد با این اطلاعات چه کاری می‌تواند انجام دهد؟ وقتی پلیس فتا اعلام می‌کند ۲۰۹ هزار نفوذ یعنی ۲۰۹ هزار نفر باید صدمه دیده باشند، یا باید در معرض خطر باشند. خیر این‌طور نیست.

فقط سال ۸۸ یک دستورالعمل ISMS صادر کردید؟ برای حفظ امنیت یا ارتقای آن در بانک‌ها دستورالعمل یا مصوبه دیگری ندادید؟

بحث PCI از سمت شاپرک نیز ابلاغ شده است. همان‌طور که می‌دانید PCI یک بحث دوطرفه است. بخشی از آن به کارت برمی‌گردد که به پذیرندگان وPSPها و کسانی که شبکه را ایجاد می‌کنند مربوط است و بخشی هم به صادرکنندگی یعنی بانک ارتباط دارد. روی این بخش هنوز کار می‌کنیم.

PCI هنوز کامل اجرا نشده است؟

نه هنوز کامل اجرا نشده است ما در حال کار روی آن هستیم. اصلاً یکی از وظایف کاشف پیگیری همین موضوع است. ما به‌عنوان یک وظیفه جدی تعریف کرده‌ایم که پیاده‌سازی این استانداردها را پیگیری کنند. هم‌اکنون کاشف مدیریت اجرا و پیاده‌سازی این استاندارد را در بانک‌ها دنبال می‌کند.

یکی از موضوعاتی که این استاندارد بر آن تأکید می‌کند این است که اطلاعات کارت هیچ جا نباید ذخیره شود. به‌غیراز بانک و مشتری هر کس این وسط قرار می‌گیرد نباید از اطلاعات کارت باخبر شود. برای رسیدن به این نقطه باید نظارت‌های دقیقی در این بخش صورت گیرد. می‌بینید که کسانی اپ بانکی درست می‌کنند، انواع و اقسام آن نیز در بازار موجود است؛ کسی باید بر این‌ها نظارت داشته باشد، اصلاً مشخص نیست اطلاعات بانکی روی این برنامه‌ها ذخیره می‌شود یا خیر. باید مطمئن شویم هیچ کدام از اطلاعات مشتریان در جایی ذخیره نمی‌شود.

در شرایط فعلی مردم تصور می‌کنند چون بانک این اپ را پذیرفته، پس ایمن است.

این همان آگاهی اشتباه مردم است. بانک هیچ اپی را نمی‌پذیرد؛ یعنی اپ‌هایی که الآن وجود دارد هیچ کدام ربطی به بانک ندارند. این اپی است که نوشته شده و به نوعی اطلاعات شما را به بانک ارسال می‌کنند. مثلاً به جای اینکه پشت IPG باشید و اطلاعات را به آن بدهید اپ اطلاعات شما را می‌گیرد و تحویل IPG می‌دهد؛ یعنی همان کانال موجود را شبیه‌سازی می‌کند. در اصل می‌تواند از اطلاعات شما بهره‌برداری یا حتی سوءاستفاده کند.

الآن بحث بانکداری باز مطرح است؛ در این صورت امکان دارد اجرای این طرح به مخاطره بیفتد.

بله همین‌طور است. در کاشف به فکر تأسیس آزمایشگاهی هستیم تا اپ‌ها حتماً در آن آزمایشگاه تست شوند. حالا در مورد اینکه نحوه اطلاع‌رسانی چگونه باشد هنوز به نتیجه نرسیده‌ایم؛ اینکه بگوییم اپ‌هایی را که مورد تأیید من هستند مهر تأیید بزند یا مثلاً یک چیزی شبیه نماد اعتماد، یا بانک‌ها خودشان این کار را انجام دهند یا وزارت صنعت، معدن و تجارت این وظیفه را بر عهده گیرد. اختلاف سلیقه در مورد این مسائل وجود دارد. چون هر کس بخواهد این وظیفه را بر عهده گیرد شک و شبهه در آن ایجاد می‌شود.

اکنون برخی از شرکت‌ها مانند توسن یا شرکت خدمات یکسری اپ گذاشته‌اند که بانک‌های طرف قراردادشان می‌توانند با آن کار کنند.

ما این اپ‌ها را تست نمی‌کنیم، از همین رو ممکن است مورد تأیید شرکت باشد اما مورد تأیید ما نباشد.

ما منظورتان کاشف است یا بانک مرکزی؟

کاشف و بانک مرکزی در اینجا یکی است، بانک مرکزی به‌عنوان مسئول وظایف اجرایش را به کاشف سپرده است. حتی بر شرکت‌هایی که ما با آن‌ها کار می‌کنیم مانند شرکت خدمات نیز باید نظارت صورت گیرد. شاید محصول تولیدی‌شان مورد تأیید ما نباشد. آن‌ها نیز با یکسری توسعه‌دهنده کار می‌کنند که شاید حساسیت‌های ما چندان برایشان ارجحیت نداشته باشد.

اما شاید اگر بحث امنیت را خیلی سفت‌وسخت بگیرید توسعه بانکداری با مشکل مواجه شود.

ما می‌دانیم استفاده از این ابزارها ریسکی برای مردم به وجود می‌آورد اما از سویی موضوع بانکداری باز موضوع بسیار جالبی است. خوب هم هست که اجازه دهیم هر کسی با هر روشی که می‌خواهد به شبکه وصل شود و کارش را انجام دهد. مثلاً ببینید پروژه‌هایی مانند کیف پول یا جیرینگ که ما می‌خواستیم مانع‌شان شویم اصلاً راه نمی‌افتادند و رشد نمی‌کردند.

البته این پروژه‌هایی که شما مثال می‌زنید اصلاً رشد نکرده‌اند.

اگر رشد نکرده به این خاطر نیست که ما جلویش را گرفته‌ایم، جیرینگ الآن کار می‌کند.

جیرینگ کار نمی‌کند. برخی سرویس‌های محدود ارائه می‌دهد.

بانک مرکزی به او گفت باید کاری انجام دهد که خلق پول نکند. حالا اگر نمی‌تواند این کار را انجام دهد ما مانعش نشدیم. اگر جیرینگ یا اپراتورهای دیگر می‌توانستند این کار را بکنند هیچ محدودیتی وجود نداشت. الآن در مترو کارتی وجود دارد که شارژش می‌کنید و می‌توانید از سرویس‌های مختلف حمل‌ونقل عمومی بهره برید. حتی می‌تواند گسترش پیدا کند و با آن روزنامه بخرید یا کارهای دیگر انجام دهید؛ اما اگر این خدمت به سمتی دیگر منحرف شود مانند بلیت‌های مشهد و به‌عنوان‌مثال مردم از بلیت‌های اتوبوس برای انتقال وجه روزانه استفاده کنند، تخلف خواهد بود. مثلاً در آنجا بلیت می‌دادند روزنامه می‌خریدند و این نگران‌کننده بود. این‌ها نگرانی بانک مرکزی است. این‌طور نیست که بانک مرکزی اجازه ندهد اما می‌گوید باید کاری کنی که آن وسط خلق پول صورت نگیرد، اگرنه مانعی نیست.

الآن جیرینگ کار می‌کند اما وقتی بانک مرکزی روی چیزی مهر استاندارد می‌زند در اصل خودش به مردم می‌گوید استفاده کنید. بانک این کار را انجام نداد. گفت اگر من این محصول را تأیید کنم ممکن است خلق پول صورت گیرد. در بحث امنیت نیز اگر بانک مرکزی روی اپ خاصی مهر تأیید بزند یعنی تبلیغ می‌کند؛ یعنی عملاً به بازار می‌گوییم از این استفاده کنید.

اگر آزمایشگاهی که به آن اشاره کردید راه بیفتد عملاً این اتفاق می‌افتد.

بله به همین صورت است. در خارج از کشور هیچ الگویی وجود ندارد. عمدتاً اگر نرم‌افزاری را می‌خرید نگاه می‌کنید ببینید چند آزمایشگاه آن را تست کرده و چقدر مورد تأیید آن‌هاست. کسی آنجا نهاد ناظر نیست، آزمایشگاه‌ها از سوی بانک مرکزی تأسیس نمی‌شود بلکه بخش خصوصی است که این آزمایشگاه‌ها را تأسیس می‌کند و خود مردم هستند که این نظارت‌ها را انجام می‌دهند؛ اما فرهنگ مردم اینجا این‌گونه نیست که برای یک سرویس اول تأیید بگیرد و بعدازآن بهره‌برداری کند.

بحث امنیت چون نقطه نهایت ندارد نمی‌توان گفت اگر الآن در پله ۵۰ باشد خوب است یا ۷۰. به دلیل اینکه هر چقدر امنیت را بالاتر ببریم فرایند کار سفت‌وسخت‌تر می‌شود. بانک می‌گوید مشتری را تا جایی می‌توان محدود کرد. باید بالانسی میان میزان امنیت و میزان پذیرش مردم وجود داشته باشد. اکنون نیز به همین صورت است. ما می‌دانیم روی پایانه‌های فروش خطراتی وجود دارد، یا روی همین کارت‌های پلاستیکی یا حتی خودپردازها؛ اما بالانسی میان سرویس‌ها و ریسک آن وجود دارد. درست است که پلیس فتا اعلام می‌کند این‌قدر تخلف رخ داد، این‌قدر مشکل وجود داشت اما در کل به نسبت تراکنش‌ها و آن حجم زیادی که صورت می‌گیرد تخلفات بسیار جزئی است.

حمله‌ای صورت نمی‌گیرد یا توانایی مقابله بانک‌ها با حملات زیاد است؟

بحث امنیت کانال‌های مختلفی دارد. وقتی می‌خواهید امنیت را بررسی کنید، یکسری زنجیره متصل به هم وجود دارد و همیشه بحث زنجیر ضعیف‌تر به میان می‌آید. اگر بخواهیم بانک‌ها را موردبررسی قرار دهیم در مرحله اولیه که خود بانک‌ها و کانال اولیه را تشکیل می‌دهد تا زمانی که به کانال مشتری می‌رسد و بخش سرویس‌دهی به مشتریان از امنیت بسیار خوبی برخوردار هستند و ازنظر بانک مرکزی امنیت آن موردپذیرش است؛ یعنی می‌دانیم دیتاسنترهای خیلی خوبی دارند، شبکه‌های امن و کنترل‌شده‌ای دارند و اطلاعاتی که در لایه جلویی برای مردم قرار می‌دهند کنترل‌شده است.

تقریباً می‌توان گفت همه بانک‌ها در سطوح قابل قرار دارند؛ شاید یک تفاوت خیلی کم در این بخش میان بانک‌ها وجود داشته باشد، ما تمامی این موارد را در کاشف به‌صورت دوره‌ای کنترل می‌کنیم و اگر ضعفی وجود داشته باشد آن را برطرف می‌کنند؛ اما کانال بعدی یعنی از نقطه‌ای که ارتباط مردم با این کانال برقرار است، ایجاد شود چون کانال‌های مختلفی به میان می‌آید؛ از اینترنت گرفته تا موبایل و پایانه فروش بحث تا حدودی تغییر می‌کند.

این بسترها دیگر در اختیار بانک‌ها نیست. بخش‌های دیگری وارد سرویس‌دهی می‌شوند. در این بخش‌ها نظارت و کنترل به تمام فاکتورها کار پیچیده‌ای است، به‌عنوان‌مثال شاید تمام مسیر امن باشد اما سرویس‌دهنده مانند یک فروشگاه اینترنتی‌هاست خود را از جایی می‌گیرد که مسائل امنیتی را رعایت نکرده باشد. همین حلقه ضعیف است.‌ ما الآن در کانال اینترنت صدمات زیادی می‌بینیم اما موضوع این است که این کانال‌ها در اختیار ما قرار ندارد و بانک‌ها نمی‌توانند بیش از این کاری انجام دهند. بانک‌ها فقط تلاش می‌کنند با تدابیر امنیتی‌ای که به کار می‌گیرند ریسک را به حداقل برسانند.

شما اشاره کردید که کاشف به‌صورت مرتب گزارش‌هایی را به بانک مرکزی ارائه می‌دهد. جایگاه کاشف، گزارش‌دهی است یا گزارش‌گیری؟

تقریباً هر دو. بانک مرکزی برای اینکه مطلع شود در بانک‌ها چه اتفاقی می‌افتد از چند روش بهره می‌گیرد. زمانی به بانک می‌گوید در مورد فلان موضوع وضعیتت چیست، زمانی برای بررسی آن موضوع بازرس می‌فرستد. کاشف جایی قرار گرفته که به بانک مرکزی هم گزارش می‌دهد و هم از او گزارش می‌گیرد؛ یعنی بانک مرکزی می‌گوید بگو وضعیت وب‌سایت‌های بانکی چیست، بررسی می‌کند و اطلاعات را جمع‌آوری می‌کند و نتیجه‌اش یک گزارش می‌شود. زمانی به دیتاسنتر بانک‌ها بازرس می‌فرستد و زمانی از بانک‌ها گزارش می‌گیرد.

کاشف به بانک‌ها متصل است؟

بله.

یعنی اگر حمله‌ای به یکی از بانک‌ها صورت گیرد کاشف مطلع می‌شود؟

ما پورتالی در کاشف ایجاد کردیم، بانک‌ها به این پورتال وصل هستند و مانند حالت سرت بانکی این اطلاعات بین بانک‌ها به اشتراک گذاشته می‌شود. بعضی از بانک‌ها این موضوع را جدی نگرفته‌اند. اخیراً این موضوع به بانک‌ها ابلاغ شده است، بررسی‌های صورت‌گرفته در کاشف نشان می‌دهد برخی از بانک‌ها ساختار لازم برای پیاده‌سازی امنیت را در زیرمجموعه خود ایجاد نکرده‌اند.

بعضی از بانک‌ها هنوز نمی‌دانند برای اینکه بتوانند امنیت را تحت کنترل قرار دهند باید ساختار مشخصی برایش ایجاد کنند. این وظیفه در برخی از بانک‌ها به بخش فناوری سپرده شده و در برخی از بانک‌ها به بخش حراست؛ اما ازنظر استاندارد باید بخشی مجزا و مختص آن به وجود بیاید. البته این مورد هنوز به‌صورت ابلاغی به بانک‌ها اعلام نشده بلکه به‌صورت پیشنهاد از کاشف برای آن‌ها ارسال شده است. البته تمام این‌ها استانداردهایی است که هم‌اکنون در دنیا اجرا می‌شود اما مثل کمیته حسابرسی داخلی که بانک مرکزی چند سال پیش آن را به بانک‌ها ابلاغ کرد، شاید به این نتیجه برسیم که باید به بانک‌ها ابلاغ کنیم کمیته امنیت داشته باشند. فعلاً توصیه می‌کنیم ساختار امنیت را ایجاد کنند.

ایجاد این ساختار برای بانک‌ها هزینه دارد.

شبیه بیمه است. شما وقتی بیمه می‌کنید هزینه‌ای پرداخت می‌کنید اما هدف‌تان این است که بتوانید از اتفاقاتی که ممکن است بعداً رخ دهد خودتان را سالم بیرون بکشید؛ امنیت هم همین است. همیشه قرار نیست فکر کنیم باید اتفاقی بیفتد تا عکس‌العملی نشان دهیم؛ بعضی وقت‌ها باید اقدامات پیشگیرانه انجام دهیم تا نگذاریم این اتفاق بیفتد.

کاشف به پلیس فتا هم وصل است که بتواند گزارش بدهد؟

کاشف از یک طرف به تمام بانک‌ها وصل است و از سوی دیگر به بانک مرکزی، به پلیس فتا، به مرکز مدیریت راهبردی افتا، به سازمان پدافند غیرعامل و به معاونت پیشگیری قوه قضاییه.