کانالهای امن ضامن اعتماد به بانکداری مجازی

در حال حاضر در حوزه‌ها و لایه‌های مختلف نظام بانکی به تقویت ساختارهای امنیت پرداخته‌ شده اما این تلاشها به معنای این نیست که بتوان ادعا کرد لایه‌ها امنیتی به طور کامل در نقاط مقتضی پیاده‌سازی شده است./در اغلب کشورها امکان تقلب امری پذیرفته شده است در نتیجه منابعی برای جبران تقلب های احتمالی در نظام مالی پیش بینی شده است.

به گزارش افتانا، ایجاد یک محیط امن برای توسعه بانکداری الکترونیک امری گریزناپذیر است. در عین حال وجود امنیت یک فرایند پویا و زنده است و هیچ بانکی نمی تواند ادعا کند که فضای کاملا امنی برای کاربران حوزه های مختلف خدمات نوین بانکی فراهم ساخته است. اینکه ساختار پویای ایجاد امنیت در فضای بانکداری مجازی چه مختصاتی دارد و مستلزم چه پیش نیازهایی است محور اصلی گفتگو با ابوالفضل غلامرضایی کارشناس بانکداری الکترونیک است. گفتگو با وی را با هم می خوانیم.

*بحث امنیت در بانکداری الکترونیک دارای چه اجزایی است؟

اصولا سیستم الکترونیکی مانند هر سیستم دیگری در لایه‌های مختلف نیازمند امنیت است، لایه زیرساخت شبکه، سرورها، پایانه‌هایی که مردم با آنها کار می‌کنند و برنامه‌های کاربردی تماما نیاز به امنیت دارد. ولی علاوه بر اینها رفتار امنیتی و پایش امنیتی دو مقوله مهم در این حوزه است.

بدین معنا که هیچگاه نمی‌توان امنیت را به صورت صددرصد فراهم کرد. چراکه تکنولوژی و فناوری اطلاعات به همزمان با پیشرفت های سرقت هر روزه دچار چالش‌های جدید امنیتی غیر قابل پیش بینی می‌شود به این معنی سیستمی که تا به امروز امن بوده، فردا هیچ تضمینی برای امن بودنش نیست. به اضافه اینکه رفتار و نوع استفاده کاربران و کسانی که این سیستم‌ها را نگهداری می‌کنند نیز خود می‌تواند باعث بروز چالش‌های امنیتی شود.

در حوزه امنیت حوزه بانکداری مجازی در مقایسه با جهان ما اکنون کجا هستیم ؟

در حال حاضر در حوزه‌ها و لایه‌های مختلف به تقویت ساختارهای امنیت پرداخته‌ شده اما این تلاشها به معنای این نیست که بتوان ادعا کرد لایه‌ها امنیتی به طور کامل در نقاط مقتضی پیاده‌سازی شده است.

در عین حال بانک‌ها در لایه های مختلف به صورت جدی به مقوله امنیت پرداخته اند و همچنین میزان آگاهی و اطلاع‌رسانی در راستای افزایش دانش و فرهنگ کاربران در حوزه امنیت فضای مجازی بالاخص از زمانی که فعالیت پلیس فتا زیاد کرده، به طور متمرکزتر افزایش یافته است.

قبل از این بانک‌ها به خاطر حفظ اعتبارشان در بازار و اینکه مبادا چالشی به وجود ‌آید و این اندیشه که یک فاجعه بزرگ در حال رخ دادن است، معمولا اطلاعات را به نحو مطلوب مبادله نمی‌کردند، اما در حال حاضر با حضور پلیس فتا اطلاع‌رسانی انجام می‌شود و به نظر من کمک بزرگی در افزایش ضریب امنیت فضای مجازی محسوب می شود.

نوع تعامل بانک‌ها با فتا چگونه است؟ یا فتا سراغ آنها می‌آید؟

به هر حال اگر تقلبی یا سوءاستفاده‌ای در بانک رخ داده باشد، یکی از نهادهایی وظیفه رسیدگی دارد و از جریان مطلع ‌شود فتا است. این مسئله باعث شده تا این پلیس فرایند اطلاع‌رسانی را به طور جدی دنبال کند تا کاربران بتوانند در استفاده از خدمات بانکی با اطلاعات وارد شوند.

*استانداردهایی که در جهان رعایت می‌شود در بستر حقوقی ، فنی و در زمینه فرهنگ‌سازی چیست؟.

اصولا ایجاد سلسه امور حقوقی حوزه امنیت مبتنی بر اتفاقاتی که رخ داده بنا شده است. برای مثال وقتی یک هک ، تقلب یا سوءاستفاده‌ صورت گرفته و لاجرم رویه قضایی که در مورد آن موضوع طی شده به روند تبدیل شده است. ولی در کشورهایی که فضای مجازی بیشت توسعه یافته به طور مشخص قانون‌هایی درباره مباحث مختلف امنیت وجود دارد قانون‌هایی که نه تنها فضای سوءاستفاده را پوشش می‌دهد بلکه در مورد حساسیت‌هایی که معمولا در برخی جوامع در مورد حریم شخصی افراد هست را هم پوشش می‌دهد و از آنجا که سال‌هاست از این فناوری استفاده می‌کنند معیارهای حقوقی شان به مرور شکل گرفته است.

بانکها در خصوص حفظ امنیت کانالهای ارتباطی چه ریسک هایی را باید بپذیرند؟

در اغلب کشورها امکان تقلب امری پذیرفته شده است در نتیجه منابعی برای جبران تقلب های احتمالی در نظام مالی پیش بینی شده است. در نظام بانکی مصطلح است که گفته می شود امنیت و خدمات دهی همیشه در تضاد با هم قرار دارند و یکی از روش‌ها برای حل کردن این تضاد، پذیرفتن بخشی از این ریسک است بنابراین بخشی از ریسک را ارایه ‌دهندگان خدمات برعهده می گیرند مثل ویزا و مسترکارت برای جبران خسارت‌ها ناشی از ریسک امنیت صندوق‌هایی ایجاد کرده اند که این صندوق‌ها خسارت‌های مرتبط را جبران می‌کند و در عین حال روش‌های فنی را برای پایش مداوم کیفیت امینت به کار می‌گیرند.

درخصوص مباحث فنی و ساختار مدیریت فرایند امنیت وضعیت چگونه است؟

وقتی به حوزه فنی مقوله امنیت وارد می شوید غیر از اینکه باید راهکارهای فنی و تکنیک‌ها ، تکنولوژی‌ها و نقاط ضعف و نحوه رفع این ضعف‌ها را شناسایی کنید باید نگاه یکپارچه داشته باشید ومدیریت روند و پایش مداوم نیز مهم است. بدین معنی که باید از فضایی که در آن کار می‌کنید شناخت کامل داشته باشید. و همانطور که می دانیدامنیت یک فرآیند است نه یک پروژه به این معنی که این طور نیست که بگوییم پروژه امنیت را به صددرصد رساندیم و تمام شد، نه یک فرآیند مداوم است.

*کلمه پایش خیلی کلی است در بحث کارت یک شکل است در بحث شبکه یک شکل است. این پایش در حوزه‌های مختلف چگونه است؟

حجم داده‌ها آنقدر بالا است و هر روز افزایش می یابد که الزاما باید سیستم‌ها مختلفی برای پایش لایه های مختلف سیستم و داده ها وجود داشته باشد.

صمنا سیستم‌ها نیز باید متناسب با لایه‌های امنیتی ایجاد شوند. یعنی برای پایش امنیت شبکه، سیستم‌های خاص ایجاد شده است از جمله .دیواره‌های آتش (fire wall) که مکانیزم‌ها و برنامه‌های کاربردی مربوط به خود را دارد. در برنامه‌های خاص بانکداری نیز برای خود قواعد خاص دارد که تامین کننده‌های نرم افزار باید آن را برای بانک‌ها فراهم کنند.

عامل انسانی در بحث امنیت چقدر موثر است؟

عامل انسانی در هر دو طرف معادله امنیت از اهمیت زیادی برخوردار است. چون شناخت رفتارهای غیرطبیعی در فرآیند انجام تراکنش بانکی، خیلی مهم است. بخش امنیت سیستم ممکن است که هیچ حفره امنیتی را تا امروز شناسایی نکرده باشد یا تمام حفره‌های امنیتی را پوشش داده باشد، اما احتمال دارد همین فردا یک حفره امنیتی جدید به وجود ‌آید، بنابراین عامل انسانی برای کشف اینها مهم است.

به عبارت دیگر لزوما عامل سیستمی نمی‌تواند این حفره ها را کشف کند و اغلب تجارب نشان داده اند برای شناخت سریع یا به حداقل رساندن هزینه های حفره های جدید ترکیب دو عامل سیستمی و انسانی نیاز است. یعنی شما نمی‌توانید تنها به سیستمی متکی باشید بلکه یک ذکاوت انسانی باید کنار سیستم وجود داشته باشد، این ذکاوت انسانی باید بتواند امنیت را بالاتر برود واگر اتفاق جدیدی می‌افتد آن را کشف کند.

*در مورد بحث شبکه و دیوارهای آتش، ساختار چگونه است و در ایران به چه نحوی است؟

استانداردهای زیادی در حوزه شبکه وجود دارد چون سال‌هاست روی این حوزه کار انجام می‌شود. خوشبختانه در ایران هم با این استانداردها آشنایی لازم وجود دارد.تجهیزاتی هم که استفاده می‌کنیم، تجهیزات روز دنیا است و به نظر فاصله زیادی با دنیا فاصله‌ای نداریم، ولی اینکه این فرآیند به شکل مداوم انجام شود مستلزم ان است که کز کارشناسان دارای تحصیلات و دانش تخصصی مدیریتی امنیت اطلاعات بهره ببریم اما به هر دلیل در این بعد کمی با دنیا فاصله داریم ، هر چند که کارهای خوبی چند سال اخیر آغاز شده ولی اینکه با یک ساختار متمرکز و به طور مداوم این کار را انجام شود کمی نیاز به سرمایه گذاری بیشتر داریم.

البته باید این را هم اضافه کنم که مراکزی که بتوانند سرویس‌های امنیتی را در حالت‌های ضروری فراهم کنند و سریع به نیاز ها پاسخ دهند (چون وقوع یک رخداد امنیتی نیاز به واکنش سریع، پایش، حل و فصل موضوع و جلوگیری از رخدادهای سلسله‌ای، دارد) هر چقدر هم که توسعه یابد باز هم با ایجاد تکنولوژی‌های جدیدتر ، نیاز به سرمایه گذاری مداوم بیشتر احساس می‌شود، .

آیا در موسسات بانکی، یک اداره مشخص یا نهاد خاصی بحث امنیت را پیگیری می‌کند؟

تقریبا در تمام بانک‌ها اداره یا نهاد مسئول امنیت اطلاعات دارند. در عین حال یک سری بانک‌ها در کنار بخش فناوری اطلاعات، بخش‌های امنیتی دارند

چقدر از نظر مدیریت ارشد سازمان، این اداره، (امنیت اطلاعات) جدی گرفته می‌شود؟

کاملا تابع سیاستگذاری‌های مدیران ارشد است. البته این بخش سازمانی هنوز کاملا نهادینه نشده چون ازیک سو اتفاق بغرنج امنیتی در ایران رخ نداده است از سوی دیگر زمان زیادی(کمتر از ۱۰ سال) از استقرار بانکداری الکترونیک به صورت گسترده در ایران نمی گذرد.

در این ده سال نیز بیشتر تمرکز روی سرویس متمرکز بوده و تنها در دو سه سال گذشته بانکها به شکل چالشی با فناوری اطلاعات برخورد داشته‌اند با این حال تجربه نشان میدهد ساختار امینتی ما جلوتر از دیگران بوده‌است. به همین حاطر کسی به صورت جدی دنبال تقلب نرود.

در خصوص امنیت چه استاندارد هایی باید رعایت شود؟

استانداردهای اولیه برای این کار وجود دارد و چندین بار هم در مصوبات دولت و بانک مرکزی تاکید شده که بانکها به سمت رعایت استاندارد مدیریت امنیت اطلاعات پیش بروند و لوازمش را برای رسیدن به آن پیاده‌سازی کنند. ولی در هر حال دانش مدیریت امنیت اطلاعات در ایران چندان قوی نیست.

سوال این است که بانک مرکزی تا به حال در مورد این مساله چه کرده و چه باید بکند و آیا به نظر شما، هسته خاصی لازم است که هسته‌های درون بانک‌ها را پایش کند؟

به اعتقاد من نباید وارد یک فضای متمرکز شویم. بلکه نهاد ناظر با توجه به استانداردها یک بستر مقرراتی فراهم و بانکها را ملزم به رعایت آن کند. سپس چنانچه بانکی این مقررات و استاندارد امنیت را رعایت نکرد و تقلبی رخ داد ملزم به جبران آن باشد. به عنوان مثال در فضایی که بانک مرکزی هم درگیر شده استفاده از رمز ایستا، برای ورود به اینترنت بانک‌ها ممنوع شده و صاحبان حساب باید با کلمه عبور پویا مثل رمز یک‌بار مصرف وارد اینترنت بانک شوند حال با توجه به این دستورالعمل بانک مرکزی اگر از این به بعد در بانکی به خاطر رمز ایستا کلاهبرداری رخ می‌دهد بانک موظف به جبران خسارت است این شکل سازوکار خود به خود، باعث می شود که بانکها به این سمت رعایت استاندارها پیش بروند.

اشاره کردید که دانش امنیت اطلاعات در ایران کامل نیست آیا باید رشته خاصی ایجاد شود ؟

ما اگر فضای شایسته را در نظر بگیریم، بخشی از آن دانش و بخشی دیگر مهارت است. مهارت بیشتر مبتنی برتجربه است که به مرور زمان شکل می‌گیرد اما دانش باید در موقعیت‌های از قبل ایجاد شده ایجاد شود. در این راستا یک مقدار در مهارت با شرایط روز جهان فاصله داریم اما به مرور در حال بهبود است. در دانش هم رشته فوق لیسانس مدیریت امنیت اطلاعات در دانشگاه‌ها اکنون تدریس می شود. تدریس این رشته در راستای افزایش دانش و امنیت خیلی موثر است.

دیواره آتش چه ساختاری دارد؟

معمولا دیواره آتش دقیقا مثل یک دیوار یا سیستم است شما یک خط شبکه دارید و این می‌آید روی این خط شبکه می‌نشیند و هر اطلاعاتی که از این خط عبور می‌کند و این براساس قوانین و قواعدی که برایش تعریف شده اجازه عبور را می‌دهد یا مانع عبور می‌شود و مثلا در مورد فیلترینگ شما وقتی درخواست می‌دهید که به سایت خاصی وصل شوید دیواره آتش وقتی می‌بیند آن سایت با قواعد مریوم متناسب نیست درخواست را لغو می‌کند و به سمت شما یا به سمت سرور دیگری بر می‌گرداند که آدرس وب سایت دیگری را به شما بدهد.

*یکسری روزنه‌هایی ممکن است باشد که توسط یکسری افراد پیدا شود و از دیواره عبور کنند ساختار پایش برای این گونه موارد در کشور ما چقدر قوی است؟

بهترین نرم افزارها و سخت افزارهای دنیا هم راههایی برای نفوذ دارند، ما یک مفهومی را تحت عنوان حفره‌های امنیتی شناخته نشده که بخشی از هکرها توانایی شان کشف این حفره‌ها و نوشتن برنامه‌های کاربردی برای ورود به این حفره‌های امنیتی برای نفوذ به سیستم است اما وقتی که از قبل این حفره‌ها شناخته شده نیست طبعا هیچ نرم افزار آنتی ویروسی نمی‌تواند جلوی ورود ویروس را بگیرد. بنابراین فقط شناخت رفتارها،ی انسانی و ذکاوت انسانی است که باید با ساختار مند شدن سریع مانع نفوذ شود.

*پس سرعت و مهارت شناخت ویروس اینجا مهم است که سریع عمل کند و آنتی ویروس بسازد؟

در این حوزه در ایران شرکت‌هایی داریم که به این کار می‌پردازند این قابل تقدیر است ولی از آن طرف، در دنیا هم شرکت‌های بزرگی هستند که رسالت خودشان را در این نمی‌بینند که منافع کسی را در نظر بگیرند منافع خود را در این می‌بینند که واقعا این فضا را امن و برخط نگهدارند.

این شرکت‌ها پس از اتفاقات اخیر آمدند و مشکلات را شناسایی کردند راه حل های لازم را برایش دادند بدون اینکه نگاه ‌کنند که فضای سیاست یا رقابت چگونه است. وظیفه آنها این است که در دنیا این کار را بکنند و سعی شان این است که این ایمن‌سازی را انجام دهند. در ایران هم این رونددر حال انجام است.

به هر حال این امر نیاز به اطلاعات و عمق زیاد دارد و پشتیانی خیلی خوب می‌خواهد. شناسایی آدم‌های زیاد، سرمایه‌گذاری قوی لازم دارد، چون شما تعداد آدم زیادی دارید که لازم است اینها را شناسایی کنند و برنامه های لازم را بنویسند.

* بسترهای مخابراتی در کشور ما از نظر رعایت امنیت چگونه است؟

بسترهای مخابراتی ریسک‌های امنیتی خاص خودشان را دارد که خاص آن بستر است. مثلا مبادله اطلاعات از طریق تلفن، (اگر از سطح ویس برای انتقال اطلاعات استفاده کنید) درجه ریسک بالاست. در همین بستر اگر کدینگ انجام شود ریسک پذیری پایین می‌آید. در واقع لایه های پروتکل اطلاعاتی که در بسترهای مخابراتی، از آن استفاده می‌شود، مهم است.

اکنون کانالهای موبایل، تلفن ، اینترنت و کارت در چه وضعیتی قرارا دارند؟

درخصوص کانال‌ها، وضعیت سرویس‌هایی که در قالب این کانالها ارایه می‌شود و هم نحوه‌ای که ما مراحل امنیتی را انجام دهیم تا آن سرویس را استفاده کنیم خیلی مهم است. یعنی برخورد یکسان با کانال تلفن و اینترنت غلط است. هم پایش‌های امنیتی مختلف و هم سطوح امنیتی متفاوتی باید رعایت شود و قواعد و قوانین و سطوح ریسکی که در اینها می‌توانیم بپذیریم، متفاوتند. به طور مثال به دلیل نیاز و خاص جامعه می‌توانیم انتقال وجه را در خطوط تلفن مجاز بدانیم اما لزومی ندارد که سقف این کانال را نامحدود کنیم یا لزومی ندارد که از خطوط ایستا این کار را انجام دهیم می‌توانیم المان‌های دیگری به آن بیفزاییم مثل اینکه از پسورد یک‌بار مصرف استفاده کنیم .

یا اینکه بیاییم و سقف انتقال را به مثلا تا ۱۰۰ هزار تومان محدود کنیم و همچنین یک پیامک هم به فرد جهت اطلاع وی ارسال شود. وچنانچه سقف انتقال بالا بود تمهید دیگر انجام شود مثلا از بانک با فرد تماس بگیرند و خواستار تایید این تراکنش شوند. به تعبیر دیگر با اتخاذ تمهیداتی سرویس را فعال باقی بمانند چون اگر ما بخواهیم هر کانالی مثل تلفن را ببندیم در واقع ضریب دسترسی به بانک‌ها را کاهش داده‌ایم بخصوص وقتی که می‌بینیم نفوذ اینترنت در شهرستان‌ها ضعیف است.

یا اینکه در شهرستان‌ها برای همه بستر موبایل جی پی آر اس فراهم است و همه می‌تواند استفاده کنند. اما در عمل این طور نیست و هر کسی به راحتی قادر نیست به این سرویس وصل ‌شود و در نتیجه دسترسی به بانک‌ها کمتر است. بنابراین بستن کانال‌ها و عدم تراکنش در آنها لزوما خوب نیست چون ما فرآیند انجام مبادلات اقتصادی مان را سخت می‌کنیم ولی از آن طرف اگر در یک سطح ریسک معقول، مخابرات را بپذیریم و مبادلات را با افزودن المان‌های امنیتی انجام دهیم، در واقع ضمن تعدد کانالها انتقال ضریب نفوذ نیز کاهش یافته است.