به گفته مدیرکل اداره نظامهای پرداخت بانک مرکزی، مدیریت زمان و منابع در مقابله مؤثر با تهدیدات امنیتی در حوزه سرویسها و شبکههای بانکی از مهمترین اهداف تشکیل سازمان کاشف است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، ناصر حکیمی، مدیرکل اداره نظامهای پرداخت بانک مرکزی، ضمن تشریح مأموریتهای اصلی مرکز کاشف در حوزه امنیت بانکداری و پرداخت الکترونیکی اظهار داشت: امنیت از منظر حاکمیت موضوعی است که به هیچ عنوان نمیتوان از آن چشمپوشی کرد. آنچه در مبحث امنیت از آن سخن میگوییم بحث سهل و ممتنعی است. سهل از این جهت که راحت میتوان از آن صحبت کرد و ممتنع از آن جهت که بسیار بحث دقیقی است و اگر بخواهید راجع به موضوع مشخصی در امنیت حرف بزنید حتماً باید تخصص و اطلاعات لازم را داشته باشید.
به عقیده حکیمی، مسائل امنیتی در حوزه پرداخت و بانکداری الکترونیکی مقولهای شده که متأسفانه همه درباره آن اظهارنظرهایی میکنند که جنبه اجرایی و فنی درستی ندارد.
وی با اشاره به اقبال عمومی از بانکداری و پرداخت الکترونیک در کشور ما و حساسیت ویژه امنیت این سیستمها تصریح کرد: تعریف امنیت در بانکها بسیار فراتر از این است. بانکها مجموعههایی هستند که در سیستمهای بانکداری و پرداخت الکترونیک بهصورت ۲۴ *۷ یعنی ۲۴ ساعته در ۷ روز هفته در ۳۶۵ روز سال سرویس میدهند؛ بنابراین اگر سرویس متوقف شود و وقفهای در خدماترسانی اتفاق بیفتد یک تهدید امنیتی برای بانکها محسوب میشود.
به گفته حکیمی بحث امنیت محدود به ورود یا دسترسی غیرمجاز یا تهدید اطلاعات نیست بلکه خود توقف سرویس نیز یک تهدید امنیتی جدی است؛ بنابراین هرگونه انتخاب یا استانداردسازی باید با توجه به این دو مؤلفه انجام شود. نخست حفاظت از اطلاعات و دوم پایداری خدمت که این دو مؤلفه در بانکداری بسیار حائز اهمیت است.
وی تأکید کرد: موضوع بسیار مهم در امنیت ساختار امنیتی است. تا زمانی که ساختار امنیت تعریف درستی نداشته باشد همه حرکتها بر اساس تصادف و مبتنی بر یک سری حرکتهای مقطعی خواهد بود که منجر به یک نتیجه مطلوب نخواهد شد؛ بنابراین سیاست کلی بانک مرکزی ایجاد یک ساختار امنیت بود که تحت عنوان مرکز کاشف معرفی شد.
حکیمی ضمن تشریح مدل فعالیت بین بانکی کاشف گفت: کاشف ساختاری است که مراکز امنیتی بانک ها را به یکدیگر متصل می ند و از طرفی نیز پل ارتباطی بین نظام بانکی و سایر مراجع امنیتی است .
به گفته مدیرکل اداره نظامهای پرداخت بانک مرکزی، کاشف دو وظیفه اصلی دارد: نخست رصد رخدادهای امنیتی در داخل شبکه بانکی و تصمیمگیری در خصوص اینکه آیا این رخداد آنقدر مهم هست که همه بانکها رسیدگی کنند، سایر نهادهای امنیتی نیز در جریان قرار گیرند و یا از آنها هم کمک گرفته شود یا نه.
وی ادامه داد: نکته بعدی درباره کاشف استانداردسازی است. این را در نظر بگیرید که برای بانکها امنیت به این صورت تعریف میشود که خدمات دچار خدشه نشود. خیلی از اوقات امنیت را به این معنی کنند که دسترسی غیرمجاز به دادهها اتفاق نیفتد. کسی به دادهها سرک نکشد و یا به عنوان مثال دادهها تغییر غیرمجاز نکند.
حکیمی تأکید کرد: اما هدف اصلی این پروژه ایجاد مرکزی برای جمع آوری و مدیریت رخدادهای امنیتی در سرویسها و شبکههای بانکی کشور و اتخاذ اقدام مناسب برای مقابله با آنهاست . مدیریت یکپارچه و ایجاد هماهنگی در واکنش به تهدیدات امنیتی در فضای سایبری در شبکه بانکی کشور از اهداف مهم این مرکز است که از طریق ایجاد نقطه تماس واحد در تعامل و همکاری شبکه بانکی کشور با سایر مراکز امنیتی و نظارتی، مانند مرکز مدیریت راهبردی افتا، پلیس فتا ، قوه قضائیه ، مرکز ماهر و... حاصل خواهد شد.
به گفته وی مدیریت زمان و منابع در مقابله موثر با تهدیدات امنیتی در حوزه سرویسها و شبکههای بانکی نیز از مهمترین اهداف تشکیل این سازمان است.
حکیمی افزود: کاشف با ایجاد مرکز دانش محور ( Knowledge Base ) و تخصصی از رخدادهای امنیتی در حوزه سرویسها و شبکه بانکی کشور در راستای ارتقای کیفی سطح امنیت در شبکهها و سرویسهای بانکی کشور و همچنین پیادهسازی و استقرار خط مشیهای امنیتی و تشخیص موارد تخطی فعالیت خواهد کرد.
حکیمی ضمن تأکید بر جایگاه مدیریت آسیب پذیریها و تهدیدات امنیتی در فضای سایبری به صورت پیشگیرانه از سوی کاشف ادامه داد: جمع آوری، اشتراک گذاری اطلاعات و هماهنگی بین بانکها در شرایط بروز بحرانهای سایبری در کشور و افزایش قابلیت تشخیص جرم (Forensics) در مواقع موردنیاز نیز از اهداف اصلی راه اندازی این مرکز است.
مرکز کاشف به عنوان یک ساختار نظارتی موظف به مدیریت رخدادهای امنیتی در فضای سایبری بانکی کشور بوده و وظیفه جمعآوری و اشتراکگذاری اطلاعات و هماهنگی بین بانکها در مواقع بروز رخدادهای امنیتی و بحرانهای سایبری را دارد.
بانک مرکزی در آذر ماه ۱۳۹۱ بهمنظور لزوم حفظ و ارتقاي امنيت نظام پرداخت و بانکداري الکترونيکي و مواجهه درست با تهديدات دروني و بيروني نظام بانکي کشور، مرکز کنترل امنيت شبکه و فوريتهاي بانکي (کاشف) را ايجاد کرد.
ایجاد مرکز کاشف بهعنوان یک ساختار نظارتی در جلسه شورای پول و اعتبار مورخ هفتم آذر ماه همان سال به تصویب رسید. این مرکز موظف به مدیریت رخدادهای امنیتی در فضای سایبری بانکی کشور بوده و وظیفه جمعآوری و اشتراکگذاری اطلاعات و هماهنگی بین بانکها در مواقع بروز رخدادهاي امنيتي و بحرانهای سایبری را بر عهده دارد.
بر اساس مصوبه شورای پول و اعتبار بانکها موظف شدند کلیه رخدادهای امنیتی در حوزه خدمات بانکداری الکترونیکی در سازمان بانک و کلیه شرکتهای تابعه و پیمانکار خود را با مشخص کردن دقیق حوزه تحت تاثیر رخداد، به محض تشخیص وقوع و یا اطلاع از وقوع رخداد از طرف منابع دیگر به مرکز کاشف گزارش کنند.
بانکها ملزم به معرفی نماینده تامالاختیار امنیت اطلاعات و فرد جانشین وی با امکان دسترسی به صورت شبانه روزي به مرکز کاشف اعلام شدند.
بانکها همچنین موظفند در فراهم آوردن بسترهای فنی لازم جهت ارتباط مرکز کاشف با مرکز امداد رایانهای امنیتی بانکها (مراکز CERT ) همکاری کامل کنند ضمن آنکه تمامی دستورالعملهای امنیتی ابلاغشده از طرف مرکز کشف برای بانکها الزامآور است.