بروزرسانی امنیت در شاپرک انتها نخواهد داشت
کد مطلب: 7317
تاریخ انتشار : شنبه ۹ فروردين ۱۳۹۳ ساعت ۰۹:۰۰
 
تامین امنیت در شبکه‌های بانکی و نظام پرداخت با توجه به سطح بالای تراکنش‌ها و معاملات مالی همواره یکی از مهمترین موضوعات در نظام بانکی است که راه اندازی مرکز شاپرک خود مبین این مسئله است.
بروزرسانی امنیت در شاپرک انتها نخواهد داشت
 
 
Share/Save/Bookmark
تامین امنیت در شبکه‌های بانکی و نظام پرداخت با توجه به سطح بالای تراکنش‌ها و معاملات مالی همواره یکی از مهمترین موضوعات در نظام بانکی است که راه اندازی مرکز شاپرک خود مبین این مسئله است گفتگویی داشتیم با سامان قطبی مدیر عامل شاپرک و مهندس آزادی مدیر کارگروه امنیت شرکت‌های PSP شاپرک که شرح آن را در ادامه می‌خوانید. 

لطفا بفرمایید دلیل راه اندازی مرکز شاپرک چیست؟
قطبی: سیستم شاپرک حدود یک و سال و نیم است که راه اندازی شده است، با سرعت بالایی که رشد تکنولوژی و راه اندازی، توسعه و عملیاتی شدن بانکداری الکترونیک و خدمات مبتنی بر کارت داشته اند با توجه به چارچوب‌های مورد نیاز رشد و گسترش این خدمات خلاء شبکه ای متمرکز برای نظام‌های پرداخت به وجود آمد.
 
در واقع هنگامی که سرویسی برای گسترش و توسعه محیط کسب و کار ارائه می‌شود وجود مجموعه ای متعهد با چارچوب و قوانین مستند لازم و ضروری است تا سوء استفاده‌ها به حداقل ممکن برسد و همگام با رشد تکنولوژی این سیستم نیز بروز رسانی شود. 

روشن است که با پیشرفت و توسعه تکنولوژی با ترکیب ICT می‌تواند خدمات جدیدی را ایجاد کند بنابراین لازم است متناسب با این پیشرفت‌ها چارچوب‌هایی برای حفظ امنیت ایجاد شود زیرا اطلاعاتی که در شبکه انتقال داده می‌شوند اطلاعات شخصی و حریم خصوصی افراد است بنابراین به عنوان مرجع انتقال دهنده اطلاعات باید هم حریم خصوصی رعایت شود و همچنین تکنولوژی باید دارای قواعدی در مسیر داد و ستد باشد.
 
در واقع رعایت مقررات در جریان سرعت توسعه قربانی شد و از الزامات و مقررات چشم پوشی شد در حالی که قوانین مورد نیاز توسط بانک مرکزی تدوین شده بود اما در جریان رقابت‌های بین موسسات در ارائه خدمات نوین اصل کسب و کار زیر سوال رفت و از منابع عمومی برای هزینه این پیشرفت‌ها هزینه شد. 

وقتی کنترل نباشد الزام بر رعایت مقررات و پاسخ گویی نیز نخواهد بود در این خصوص لازم بود تا هرینه فایده‌ها در محیط کسب و کار بررسی شود بنابراین با توجه به دامنه وسیع مبادلات مالی که از یک شعبه عبور می‌کنند لزوم انضباط
در واقع احتمال نشت اطلاعات در شبکه بانکی و خدمات مبتنی بر IT در محیط مجازی وجود دارد، بنابراین لازم است تا قبل از وقوع تا جایی که امکانات و تکنولوژی اجازه می‌دهد مانع از نشت اطلاعات شویم یعنی به روشی عمل کنیم که نشت اطلاعات به خودی خود امکان پذیر نباشد.
و اجرای مقررات و اطمینان از اجرای آنها خلاء ساز و کار و یکپارچه بیشتر نمایان شد بنابراین با توجه به سطح معاملات روزانه در سیستم بانکی مطالعاتی در این زمینه صورت گرفت و نتیجه این بود که تقریبا هیچ کشوری نیست که برای نظام پرداخت خود از یک ساز و کار یکپارچه استفاده نکند. 

با بروز امکان انجام خدمات بانکی دور از شعبه و خارج از بانک باید فعالیت‌های آنها به صورت یکپارچه و متمرکز توسط موسسه ای که مولود بانک شبکه بانکی است مدیریت شود.
 
آیا لزوم وجود چنین موسسه ای پس از بروز مشکلات امنیتی در سیستم بانکی به وجود آمد؟
قطبی: خیر حجم بزرگ مبادلات و گردش مالی بود که نیاز به انضباط دقیق تر را قبل از مسائل مالی ایجاد کرد زیرا با وجودانجام تراکنش‌های بانکی دور از شعبه و انتقال پول از حسابی به حساب دیگر، مقررات الزاما اجرا نمی‌شد. 

در واقع مسئولیت دستگاه‌های pos تسهیل داد و ستد است در حالی که پس از مدتی این دستگاه‌ها به شعبه تبدیل شدند این اتفاق الزامی برای وجود سیستمی همچون شاپرک را ایجاد کرد زیرا خدمات بانکی نیاز به تعریف، اجرای این تعریفات و نظارت بر اجرای آنها بود و نبود چنین سیستمی ممکن بود منجر به بروز فاجعه در شبکه بانکی شود. 

در واقع احتمال نشت اطلاعات در شبکه بانکی و خدمات مبتنی بر IT در محیط مجازی وجود دارد، بنابراین لازم است تا قبل از وقوع تا جایی که امکانات و تکنولوژی اجازه می‌دهد مانع از نشت اطلاعات شویم یعنی به روشی عمل کنیم که نشت اطلاعات به خودی خود امکان پذیر نباشد. 

نکته مهم تر این است که پنلی وجود داشته باشد که در صورت نشت اطلاعات و نفوذ به آنها بتوانیم آن رویداد را مدیریت کنیم. تلاش بر این است که روش‌ها به صورت مداوم بازنگری و توسعه داده شوند تا شرایط ارائه خدمات قابل اطمینان همیشه امکان پذیر باشد. و در صورت بروز یک رویداد امنیتی مقابله سریع با بحران مدیریت شود. 

جهت اطمینان از رعایت مقررات از سوی شرکت‌های PSP چه اقداماتی صورت می‌گیرد؟
قطبی: در این خصوص مدیر کارگروه امنیت شرکت‌های PSP جلسه‌های هفتگی با این شرکت‌ها برگزار می‌کند تا رویدادهای که بیانگر ضعف‌های سیستم هستند که موجب رخداد امنیتی می‌شود را بررسی و تبادل نمایند و راه‌های پیشگیری را مشخص کنند. یکی از مزایای یکپارچه سازی و نظارت بر سیستم تشکیل فوری این کمیته در مواقع اضطرار است. 

علاوه بر آن رعایت دقیق اصول و چارچوب‌های تدوین شده از سوی شرکت‌های PSP به صورت مداوم پایش و ممیزی می‌شود و عملکرد آنها نظارت می‌شود این نظارت علاوه بر تراکنش در خصوص کسب و کار آنها نیز صورت می‌گیرد تا برای کسب سود بیشتر اقدام به دورزدن مقررات نکنند. همچنین نظارت بر اجرای دقیق مقررات ابلاغی از سوی بانک مرکزی کنترل می‌شود تا همه ذینفعان این مقررات را به درستی انجام دهند. 

همچنین در کنار آن برای توسعه کسب و کار و ایجاد خلاقیت‌هایی در این زمینه فعالیت می‌کنیم و درکنار این فعالیت‌ها نظرات PSP‌ها را نیز انتقال می‌دهیم اگر در موردی آئین نامه ای وجود ندارد اقدام به تدوین آن نماییم تا در صورت تایید بانک مرکزی اجرایی شود. 

راه اندازی سیستم‌ها تا حدودی توسعه پیدا کرده است و اکنون نیز در حال الویت بندی مجموعه وظایف و تکالیفی هستیم که بر عهده ما گذاشته شده است
در تدوین چارچوب ها از PSADSS، مقررات بالادستی ابلاغی رگولاتور، نظرات PSP‌ها و اسناد بالادستی و تجربیات دیگران در موارد مشابه استفاده شده و چارچوبی متناسب با شرایط بومی کشور تدوین شده است.
مثلا توسعه کسب و کار یکی از وظایفی است که در الوین نخست نیست البته این امر در آینده بیشتر مورد توجه قرار خواهد گرفت تلاش ما در حال حاضر بر این است در حالی که کارت بانکی وجود دارد دیگر نیازی به پول نقد نباشد بنابراین در نظارت بر PSP‌ها باید کیفیت تراکنش‌ها نیز کنترل شود که به تمام تراکنش‌ها پاسخ دهند.
چه زیر ساخت‌هایی جهت راه اندازی شاپرک فراهم شد؟
قطبی: در مقطع راه اندازی شاپرک به جای اینکه تمام امکانات و سرویس همانند سوئیچ و دیتا سنتر از اول ایجاد شوند از امکانات موجود در کشور استفاده شد همچنین در مورد منابع انسانی نیز محدودیت‌هایی وجود داشت زیرا افرادی که تجربه پیاده سازی، راه اندازی و مدیریت شبکه را داشته باشند زیاد نیستند بنابراین با توجه به اینکه قرار بود از شبکه ملی پرداخت استفاده شود از منابع موجود در کشور استفاده شد. 

بنابراین در زمانی کوتاه برای جلوگیری از آسیب دیدن کسب و کار و توسعه خدمات قسمت عملیات و سوئیچ به شرکت خدمات انفورماتیک سپرده شد تا دیتا سنتری که این تراکنش‌ها را انجام می‌دهد بتواند تمام الزامات مورد نیاز را فراهم کند. 

در جهت حفظ امنیت در خود سیستم شاپرک و PSP‌ها چه اقداماتی صورت گرفته است و چه الزاماتی باید فراهم شود ؟
قطبی: الزامات مورد نیاز شامل الزامات فنی و الزامات امنیتی می‌شوند. 

الزامات فنی فعالیت‌هایی هستند که از زمان استفاده از کارت در دستگاه‌ها تا رسیدن اطلاعات به شاپرک صورت می‌گیرند. ممیزی و پایش این فعالیت‌ها و نظارت بر عملکرد PSP‌ها و رویدادهای امنیتی در شبکه انتقال نیز جزء اقدامات امنیتی شاپرک است. همچنین ایجاد چارچوب امنیتی معین در خدمات مبتنی بر بانکداری الکترونیک در شبکه بانکی از جمله فعالیت‌هایی است که توسط شاپرک انجام شده است. 

در تدوین این چارچوب از PSADSS، مقررات بالادستی ابلاغی رگولاتور، نظرات PSP‌ها و اسناد بالادستی و تجربیات دیگران در موارد مشابه استفاده شده و چارچوبی متناسب با شرایط بومی کشور تدوین شده است. 

فعالیت‌های شاپرک مدت زمانی پیش از اعلام رسمی آغاز به کار آن شروع شده بود و در واقع مطالعات در زمینه تدوین چارچوب امنیتی در حال انجام بود در این زمینه تلاش بر این بود که از PSP‌ها نیز دخیل شوند بنابراین کارگروه امنیت تشکیل شد نظرات جمع آوری شد و پس از بررسی و مطالعه به اطلاع اعضاء رسید. در واقع در تدوین این سند از تجربه بازار پرداخت کشور استفاده شد.

 پس از تایید این سند توسط بانک مرکزی زمانبندی مشخصی در اختیار PSP‌ها قرار گرفت تا الزامات لازم را فراهم نمایند. پیاده سازی این الزامات در سه فاز صورت گرفت و در پایان هر دوره نظارت بر اجرای صحیح انجام شد. 

البته این مسئله فقط در مورد مسائل امنیتی نبود بلکه در بعد کیفیت نیز مورد توجه بود مثلا در ارتقاء امنیت از استانداردهای موجود دنیا استفاده از جمله ISO ۲۷۰۰۰ هزار استفاده شد و برآوردی انجام شد تا هزینه ی صورت گرفته در مورد امنیت متناسب با ریسک موجود
وقتی کنترل نباشد الزام بر رعایت مقررات و پاسخ گویی نیز نخواهد بود در این خصوص لازم بود تا هرینه فایده‌ها در محیط کسب و کار بررسی شود
باشد و لایه‌های امنیتی در سطوح مورد نیاز تامین شوند یعنی اگر موضوع در سطح امنیت ملی است و لایه‌های امنیتی چهارم مورد نیاز است سطح مورد نیاز تامین شود و نه بیشتر یا کمتر از آن. 

در حال حاضر ما در آغاز کار هستیم و حدود دو سه سال زمان نیاز داریم تا مجموعه کامل تری داشته باشیم امروز میزان هزینه در حدی است که ممکن است در آینده نیاز به تغییر داشته باشد. 

با توجه به الزاماتی که تدوین شده آیا بخشی از این سند قابل انتشار هست یا خیر؟
آزادی: البته این سند محرمانه نیست اما بخش‌های زیادی از این سند صرفا برای بازار پرداخت تدوین شده و به صورت رایگان در اختیار PSP‌ها قرار گرفته است اما ممکن است بخش‌هایی از آن در حوزه‌های دیگر شبکه بانکی قابل استفاده باشد. 

در خصوص ارتقاء امنیت چه فعالیت‌هایی صورت گرفته است و SOC در کدام مرحله از فاز‌های انجام شده مورد توجه قرار گرفت؟

آزادی: در روش گام به گامی که انتخاب حالا طبقه ای مورد توجه بود یعنی در گام اول زیر ساخت‌ها فراهم شد یعنی ایجاد شبکه و امنیت شبکه تکنولوژیکی و ابزاری بود در گام دوم فرآیندهایی که روی شبکه کار می‌کنند مورد توجه بود و در گام آخر فرآیند مدیریت امنیت به همین دلیل در گام آخر به SOC رسیدیم که در حال حاضر در اواسط فاز انتهایی هستیم و شرکت‌ها تا حدودی SOC را عملیاتی کرده اند در انتها PSP‌ها باید بتوانند گواهی ISO۲۷۰۰۰ را دریافت کنند.
 
آیا در خصوص گواهی ISO۲۷۰۰۰ ممیزی‌های داخلی نیز مورد قبول است یا حتما باید گواهی از CB‌های اصلی دریافت شود؟
آزادی: خیر دریافت گواهی مورد نظر از شاپرک نیز به منزله کسب استانداردهای لازم خواهد بود و این گواهی کافی است زیرا برای دریافت این گواهی از CB‌های اصلی که خارج از کشور هستند باید اسناد امنیتی در اختیار کشورهای دیگر قرار بگیرد که این خود در تضاد با اصول امنیتی است بنابراین دارا بودن سطح امنیت مشخص و تایید آن کافی است. نکته مهم دریافت گواهی داخلی و رسیدن به الزامات مورد نیاز است. 

به نظر شما چه چشم اندازی امنیتی را برای آینده در پیش رو داریم؟
قطبی: همه الزامات مورد نیاز تا کنون فراهم شده اند در سال آینده اسناد مورد بازبینی قرار خواهند گرفت و از تجربیات ممیزی‌ها برای تدوین استانداردهای بروز حرکت خواهیم کرد. در واقع در حال حاضر حداقل‌ها تامین شده است و سال آینده به سمت بهتر شدن گام برمی داریم و در تلاش هستیم تا با سرعت تکنولوژی و تغییرات آن هماهنگ شویم و شرکت‌ها را نیز با این تغییرات هماهنگ کنیم تا بتوانیم به سطح قابل قبولی از امنیت برسیم. 

این مطلب در ویژه نامه نوروزی افتانا منتشر شده است. برای دریافت نسخه آنلاین با کیفیت خوب اینجا و برای دریافت نسخه آنلاین با کیفیت عالی اینجا را کلیک کنید.