بیگمان امنیت یکی از دغدغههای اصلی مدیران فناوری اطلاعات سازمانهای بزرگ است. روزی نیست که خبری از یک رخداد امنیتی در حوزه فناوری اطلاعات به گوش نرسد و پای افشای اطلاعات، نفوذ، خرابکاری و هک و تغییر اطلاعات به میان نیاید. این وضعیت را شاید بشود با وقوع جرم و جنایت در یک ابرشهر با جمعیت فوقالعاده زیاد، یکی دانست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، وقوع جرم و جنایت امری اجتنابناپذیر است که هرچه کثرت جمعیت بیشتر باشد، احتمال آن نیز فزونتر است. هم اکنون فاصله هر فردی با افراد و سازمانهای دیگر در هر جای جهان، تنها چند کلیک است و دنیا به یک ابر شهر متراکم بدون برج و بارو تبدیل شده است.
همانطور که شرکت های چند ملیتی از این تراکم برای شکار مشتریان و گسترش بازار خود بهره بردهاند و از خاور تا باختر را بر سر سفره خود نشاندهاند، باید مخاطرات چنین قضایی را هم بپذیرند و هر آن منتظر لو رفتن حجم بزرگی از اطلاعات شخصی کاربران خود باشند.
در چنین فضایی، بانکها بهعنوان سازمانهایی که به جای طلا و ارز اطلاعات انبار کردهاند، پیوسته باید مراقب باشند خدشه و خللی به این گرانبهاترین داراییشان وارد نشود.
به نظر میرسد تحقق چنین سودایی در شبکه بزرگ بانکی ، مستلزم همکاری و همیاری سه ضلع یک مثلث است:
۱- سازمانهای حاکمیتی و سیاستگذاری، ۲- بانکها و مؤسسههای مالی و شرکتهای وابسته، ۳- مردم و مشتریان نهایی.
سازمانهای بالادستی با تدوین قوانین مناسب و فراهم کردن زمین هموار بازی، بانکها را تشویق و ترغیب به ارتقای امنیت میکنند، ضمن اینکه ناظر اجرای قانون هستند. بانکها سیاستها و رویههای استاندارد و آزموده شده را به کار میگیرند و در ضلع سوم، هم حاکمیت و هم بانکها وظیفه دارند مشتریان را آموزش داده و در فضای جدید در مقابل تهدیدات قویتر کنند.
برای بررسی وضعیت امنیت اطلاعات در شبکه بانکی کشور و اقدامات انجام شده در سه حوزه ذکر شده، همچنین ارزیابی از چالشهای موجود در این بستر، از متولیان این امر در بانک مرکزی و سازمان فناوری اطلاعات وزارت فناوری اطلاعات و ارتباطات دعوت به عمل آمد در میزگردی به همین منظور، در مرکز فابا شرکت نمایند که علیرغم قول اولیه، حضور آنان موکول به آینده شد.
از این رو میزگرد مذکور با حضور کارشناسان این حوزه، مهندس عبدالحمید منصوری، معاون سابق فناوری اطلاعات بانک پارسیان و رئیس کارگروه امنیت شورای راهبری بانکداری الکترونیک، مهندس مهدی بهربگی، کارشناس ارشد امنیت اطلاعات و مهندس افشین لامعی دانشجوی دکترای نرم افزار ـ امنیت، دانشگاه پلی تکنیک تهران و مشاور امنیت فناوری اطلاعات بانکیو مهندس عباس حسینی مدیرعامل شرکت امنپرداز به میزبانی دکتر محمدمراد بیات مدیرعامل مرکز فابا برگزار شد.
بیات: مرکز فابا در هر شماره از نشریه بانکداری الکترونیک یکی از موضوعات مهم روز را مطرح میکند. یکی از اهداف فابا و اصولا نشریات از طرح موضوع خاص، برجسته سازی آن در ذهن مخاطبان است.
با توجه به اهمیت فزایندهای که موضوع امنیت در مباحث بانکی دارد و لزوم توجه به این مساله، همچنین غفلت زدایی از آن در آستانه سال نو این موضوع را به عنوان محور نشریه قرار دادهایم و امید است که این هدف و خواسته ما در شبکه بانکی محقق شود.
به عنوان سؤال نخست، اهمیت امنیت اطلاعات در نظام بانکی را در چه میبینید و چهقدر در کشور متناسب با این اهمیت به آن پرداخته شده است؟
منصوری: بیش از یک دهه است که بانکداری الکترونیک در کشور گسترش یافته و عملیات غیرشعبهای در مقابل عملیات شعبهای در برخی از بانکهای کشور به ۹۰ درصد عملیات آن بانک رسیده است. امروزه که مردم به مکان خاص مراجعه نمیکنند و میتوانند از دریچههای مختلف خدمات استفاده کنند، امنیت اهمیت زیادی دارد.
در عملیات غیر شعبهای، بحث احراز هویت، صحت داده و تداوم عملیات سه محور اصلی امنیت است که باید مورد توجه قرار گیرد تا بانک بتواند خدمات ۲۴×۷ را پیوسته به مشتریان ارائه دهد. این مسأله از الزامات خاص نظام بانکی است تا بتواند صیانت، دقت و امانتداری خود را به اثبات برساند.
به خاطر همین اهمیت بود که در شورای راهبری بانکداری الکترونیک هم یک کارگروه بدین منظور شکل گرفت.
بهربگی: وقتی از شبکه بانکی سوال میشود امنیت در بانکداری چه اهمیتی دارد؟ عموما جوابی که به این سؤال میدهند نشان میدهد، اذهان شبکه بانکی متوجه آسیبهای مالی است. اما در واقع دایره آسیبهای امنیتی فراتر از مباحث مالی است و از خود بانک فراتر میرود.
یکی از آسیبهای مهم، جعل هویت است که در مراحل بعد میتواند باب اقدامات تبهکارانه را باز کند. چون یکی از مشکلات فعالیتهای تبهکارانه، مسأله پرداخت است که با جهل هویت حل میشود و در نتیجه باب ورود پولهای کثیف به چرخه اقتصادی باز میشود.
لذا مشاهده میشود که با ضعیف شدن حلقه امنیت در سمت بانکها، راه تبهکاری هم هموارتر میشود. امنیت در بانکداری الکترونیک، علاوه بر مساله سرقت پول، در صورت عدم رعایت میتواند به جعل هویت، اقدامهای تبهکارانه و پولشویی بیانجامد که در ابعاد بزرگتر میتواند حتی به بحران ملی منجر شود.
لامعی: بانکها معمولا دید کوتاه مدت و بستهای به موضوع امنیت دارند که تنها کسب و کار خود را میبینند، در حالی که ابعاد ملی این موضوع هم باید دیده شود. چون یک اتفاق میتواند بسیار سریع گسترش یافته و بعد ملی پیدا کند که نمونههای آن هم در کشور ملاحظه شده است.
یکی از دلایل این کار گستردگی حوزه فعالیت بانک است که هم از نظر تعدد مخاطبان و هم زیرساخت گسترده شعب فیزیکی خیلی وسیع است و این مساله باعث میشود که یک تهدید امنیتی به سرعت گسترش پیدا کند و اگر سریع شناسایی نشود، میتواند به جاهای دیگر سرایت کند و تبدیل به یک بحران شود.
لذا این دید که در بانکهای ما صرفا بر امنیت خود سازمان تأکید میشود نیاز به اصلاح دارد. در مورد امنیت اطلاعات یک بحث عمومی داریم که اختصاص به کسب و کار خاص ندارد، مثل استانداردها که در همه کسب و کارها باید رعایت شود.
بحث دیگر امنیت اطلاعات خاص بانکهاست که باید به هردو این موارد توجه شود. به نظر میرسد در کشور فعلا دغدغهها در همان سطح عمومی است.
حسینی: نظام بانکی، تافته جدا بافتهای از سایر سازمانها در کشور نیست و اگر نقدی بر امنیت اطلاعات در بانکها داریم این مساله را در مقایسه با سایر بخشها هم باید ببینیم.
یک مشکل بنیادی در کشور داریم که در زمینه فناوریهای پایهای امنیت اطلاعات بسیار ضعیف هستیم. در هر زمینهای، فناوریهای امنیتی سطح بالاتری از دانش فنی و تخصصی لازم دارد که در کشور در این زمینه با ضعف روبهرو هستیم.
به این خاطر دست نظام بانکی هم بسته میشود. وقتی فناوری وجود ندارد، آدمهای فناور هم کمتر وجود دارند. آدمهای متخصصی که بتوانند از عهده چالشهای امنیتی در فضای سایبر کشور و به تبع آن نظام بانکی برآیند به شدت کم هستند. این کمبود وقتی یک حمله به بانکها میشود، خودش را نشان میدهد.
مشکل دیگر به سلسله مراتب مدیریتی در بانکها برمیگردد. چون مدیران احاطه لازم بر فناوریهای اصلی را ندارند، ایدهآل گرایی جای واقعگرایی را میگیرد.
بحث مدیریت امینیت اطلاعات از آن نظر اهمیت دارد که بتواند یکپارچگی را در میان نظامات امنیتی برقرار کند. فرض سیستم otp، امن کردن پایگاه داده و ... انجام شده است، اما اگر یک نظام مدیریت امنیت اطلاعات وجود نداشته باشد که یک معماری درست را در سیستم پیاده کند، نقاط کوچکی که از دید اجرایی مغفول میشوند، حلقه ضعیف زنجیره میشوند و سبب از بین رفتن زنجیره میگردند.
علیرغم هزینههای زیاد و تلاشهای انجام شده به نظر میرسد این بخش چه در بانکها و بیرون از بانکها دچار ضعف است و سیستم درست مدیریت امنیت اطلاعات در سازمانها وجود ندارد.
بیات: در دنیای سنت، معمولا فاکتورهای امنیتی بسته به اقلیم متفاوت بود. اما در دنیای جدید که به تعبیر مک لوهان دهکده جهانی است دیگر تفاوتی بین اقلیمها وجود ندارد. در بحث استانداردهای حوزه امنیت اطلاعات چه اقداماتی در دنیا انجام شده است و در کشور تاچه حد از آنها بهرهبرداری شده است؟
منصوری: ما متولیهای زیادی در این حوزه داریم. هم سازمان استاندارد و هم سازمان غیردولتی انجمن رمز فعالیتهایی را در این حوزه انجام داده است. اما استانداردهای این صنعت به قدری زیاد است که توان اجرایی سنگینی لازم دارد (۲۲۰ استاندارد). لذا در قدم اول در کارگروه امنیت تلاش شد برخی از استانداردها که اهمیت بیشتری دارند در دستور کار قرار گیرند.
اما باید این استانداردها کمکم در کشور تدوین و اجرایی شوند. برای مثال استاندارد امنیت فناوری اطلاعات وقتی در کارگروه تشکیل شد، فقط تیترهای مباحث را تدوین کرد که از طریق بانک مرکزی ابلاغ شد ولی متاسفانه رویههای اجرایی آن هنوز ابلاغ نشده است. این سبب یک بلاتکلیفی از نظر استاندارد قابل قبول در کشور شده است.
یک سند افتا در کشور داریم که سال ۸۳-۸۲ تدوین شد و اولین جرقه امنیت فناوری اطلاعات در کشور بود که بیشتر یک استاندارد مدیریت فناوری اطلاعات عمومی بود و هدف هم همان است که در مرحله اول نظام مدیریت امنیت جاری شود. بعد از جاری شدن این نظام، اجرایی کردن استانداردها با جزئیات هم مقدور میشود.
لذا تاکنون تنها تلاش مدون در زمینه استاندارد امنیت بانکداری همان سندی است که از طریق کارگروه امنیت تدوین و توسط بانک مرکزی ابلاغ شد که مباحث بسیاری مثل احراز هویت، ایجاد سازمان امینت و... در آن دیده شده و در برخی بانکها این سازمان را ایجاد کردهاند.
در آن سند برخی نکات برجسته مطرح شده بود که مثلا باید این سازمان زیرنظرمدیرعامل تشکیل شود یا درصدی از بودجه فناوری اطلاعات صرفا خرج مدیریت امنیت شود که در عمل اینگونه نشد. در نتیجه میتوان گفت در زمینه استانداردها عملکرد بسیار ضعیف و نزدیک به صفر بوده است.
مهندس مهدی بهربگی، کارشناس ارشد امنیت اطلاعات
بهربگی: استانداردهایی چه بومی و چه غیربومی عموما در مورد امنیت و اختصاصا در مورد امینت بانکی وجود دارد. سازمان استاندارد ایران دو سند از استاندارد خانواده ایزو ۲۷۰۰۰ را ترجمه کرده است. استانداردهای خاصی هم در زمینه بانکداری وجود دارد که البته نمونه بومی آن را ندیدهام. نمونه استاندارد خاص در دنیا PCI DSS است.
مشکل ما در کشور، مسائل استقرار استانداردهاست: یکی از مشکلات، مسائل کلان سیاستگذاری است. مادامی که سیاستگذاری درستی انجام و ابلاغ نشود، استانداردها هم کارایی ندارند.
مشکل دوم این است که تفکیک دقیقی در بین این استانداردها و مساله امنیت به طور کلی انجام نشده است و تطابقهای زیادی با هم دارند.
چه در زمینه امنیت وب، کارتهای پرداخت و ... این مسائل مشاهده میشود و تا سیاستگذاری درستی انجام نشود واقعا بانکها نمیدانند کدام استاندارد را انتخاب و اجرا کنند که کارآمدتر باشد و چه حوزهای را پوشش داده و چه حوزهای مغفول مانده است.
سوم اینکه برای پیادهسازی استاندارد، باید سازمان به بلوغ پذیرش استاندارد رسیده باشد. اگر غیر از این باشد فرآیند به یک مسأله فرمالیته تبدیل میشود و اجرایی و عملیاتی نمیشود.
برای مثال در سازمانی که سازوکارهای آن چرخه منظمی ندارد و نامهها از دبیرخانه رد نمیشود، در نتیجه استاندارد هم استقرار پیدا نمیکند.
راهحل پیشنهادی برای استقرار استانداردها، اول برنامه ریزی برای ارتقای بلوغ است و دوم اجرای استاندارد به صورت مرحله به مرحله است.
لامعی: اساسا باید یک تفکیک خوبی بین استاندارد و پالیسی و راهنمای فنی انجام شود. در خیلی موارد این تفکیک وجود ندارد یا آگاهی نسبت به آن کافی نیست.
آنچه کارگشاست، سیاستگذاری و الزام بانکها برای سازگارشدن با استانداردهاست. بعد از آن باید خود بانک توان اجرایی داشته باشد. در اینجا بحث نیروی انسانی خیلی مهم میشود که آیا پیمانکار یا برنامه نویس بانک دانش لازم را برای پیادهسازی استاندارد دارد؟
بحثهای بالادستی هم مطرح است. استانداردها الزام میکنند که سازمان خود را با یک سری حداقلهای امنیتی سازگار کنند. علاوه براین مباحث بومی سازی هم مطرح است.
ولی مشکل بانکها، نبود استاندارد بومی نیست، بلکه مسأله اصلی آن است که توان فنی و دانش و نیروی انسانی کافی برای پیادهسازی وجود ندارد.
در نهایت اینکه جایگاه استاندارد صرفا سازگاری و یک سری نیازمندیهاست و داشتن استاندارد به معنای داشتن امنیت نیست.
بسیاری از پروژههای ISMS تبدیل به یک سری زونکن و یک گواهی شده است. ولی سازمانها واقعا از لحاظ فنی امن نشدهاند. لذا نباید جایگاه استاندارد هم اشتباه دیده شود و معادل امنسازی سازمان تلقی شود.
مهندس عباس حسینی مدیرعامل شرکت امنپرداز
حسینی: برای اینکه مبنای اصلی اهمیت استاندارد را چه تعریف کنیم و جایگاه آن را در امنیت کجا بدانیم، باید دقت کنیم که کل فضای مجازی اصولا بر یک مبناهای استاندارد بنا شده است و معنی پایین بودن استانداردها در شبکه بانکی به معنای آن نیست که هیچ استانداردی رعایت نمیشود چون حداقل استانداردهای شبکه و ملزومات امنیتی آن و ... الزاما رعایت میشود.
اما آنچه کم داریم، سیاستها و استانداردسازی رویههاست . رفتار بومی و منطقهای مربوط به ما باید یک چارچوبی داشته باشد. مثلا برای سرویسهای بانکداری الکترونیک، بانکها خدمات مختلفی را ارائه میکنند که برخی از آنها مشخصا ناامن است ولی به دلیل مشتری پسند بودن ارائه میشود.
بانک مرکزی باید در مورد این فناوریها نظر بدهد و فناوریهای ناامن را ممنوع کند. کاری که باید انجام شود، پایش استانداردهای مورد استفاده در شبکه بانکی و صدور یک دستورالعمل برای استفاده از استانداردها و رویههای پذیرفته شده در دنیا است.
بیات: جدای از کاستیها و نگرانیها، شایسته است به تجارب موفق امنیتی در کشور نظری داشته باشیم و ببینیم بانکها تا چه حد در تامین امنیت بانکداری الکترونیک موفق بودهاند؟
منصوری: چون ما از یک سری مباحث فناوری اطلاعات تثبیت شده استفاده میکنیم و شروع کننده کار نبودهایم، به همین خاطر مشکل زیادی نداشتهایم.
ضمن اینکه بانکهای خصوصی که تراکنشهای غیر شعبهای بالایی دارند از اوایل فعالیت به دنبال مباحث امنیتی بودهاند و اقدامات خوبی هم داشتهاند. منتهی بحث ما این است که این کار نهادینه نشده است و تا مشکلی در بانکی پیش نیاید، مدیران زیاد به موضوع اهمیت نمیدهند.
در واقعه لو رفتن اطلاعات کارتهای بانکی، علیرغم این که بحث خیانت در امانت مطرح بود، اما نشان میداد بانک ها و شرکتها هم برخی الزامات و اصول اولیه را رعایت نکردهاند.
الان نسبتا تجارب خوب بوده است و با وجود حجم عظیم عملیات غیر شعبهای اتفاقات زیادی رخ نداده است. البته شاید به این خاطرهم باشد که نفوذگران قوی هنوز به عرصه بانکداری کشور وارد نشدهاند.
اکثر بانکها گروههای ISMS خود را تشکیل دادهاند و تستهای نفوذ را انجام میدهند ولی سردرگمی دارند که این کار را با چه کسی انجام دهند.
یک مشکل دیگری وجود دارد که در کشور CA نداریم و دعوای CA واحد، ما را از داشتن یک CA معمولی هم محروم کرده است.
برخی کشورهای کوچک ۹ تا CA دارند که این مراکز با هم صحبت می کنند و مشکلی هم نیست. تجارب نسبتا خوب بوده است اما با انتظارات من خیلی فاصله دارد. تجارب موفق بوجه لازم دارد و ما برای امنیت بودجه کافی تخصیص ندادهایم.
بیات: چرا نمونه تجربههای موفق در کشور کم داریم و چه مواردی را میتوان مصداق موفقیت دانست؟
بهربگی: محدود بودن تجارب موفق به این دلیل است که مدلی که برای تامین امنیت وجود دارد مناسب نیست. معمولا در بانکهای کشور دو منبع برای تامین امنیت به کارگرفته میشود:
۱- عکسالعمل در مقابل وقایع. این شاخصه هم سازمانهایی است که از نظر بلوغ امنیت بین صفر و یک هستند.
۲- منشا دوم تامین امنیت راهکارهای آماده غیر بومی است . مثلا فلان مارک دستگاه POS را بخریم، چون دستگاه امن است، امنیت میآورد.
این دو منبع تامین امنیت یعنی اقدام پس از رخداد و تامین امنیت از محل خریداری پکیجهای آماده که نه تنها بومیسازی نشده، بلکه آشنایی با دانش فنی روند تولید آن هم وجود ندارد، سبب میشود تجارب مثبت محدود شود.
ولی تجارب موفقی هم داشتهایم. مثلا پس از قضیه لو رفتن اطلاعات کارتها، بسیاری از psp ها اقدام به تهیه و استفاده از دستگاههای سختافزاری رمزنگاری HSM کردند و اقداماتی برای یادگیری نحوه استفاده صحیح از آنها انجام دادند.
در برخی موارد هم پیشگیریها قبل از اتفاق رخ داده است. برای مثال با وجودی که قضیه استراق سمع در رابطه خودپرداز و بانک تاکنون گزارش نشده است ولی استفاده از رمزنگاری و SSL دوطرفه در برخی بانکها میان بانک و خودپرداز انجام میشود. رمزنگاری در تراکنشها یا خرید دستگاه های WAF (Web Application Firewall) از نمونه تجارب موفق هستند.
این تجارب موفق قابل بیان هستند، ولی ما باید مدل بلوغ خود را عوض کنیم و از اینکه امنیت ما متکی به رخداد یا پکیجهای آماده باشد، احتراز کنیم. باید به سطح پایش مستمر وضعیت امنیت برسیم و برخی مخاطرات را پیشگیری کنیم و وضعیت نیروی انسانی را بهبود بدهیم.
البته همه اینها هزینه دارد. امنیت کالای گران قیمتی است و اگر سازمانی میخواهد قبل از رخداد جلوی وقوع آن را بگیرد، باید هزینه کند. سازمانهای بزرگی مثل گوگل ارقام کلانی طبق تعرفه مشخص به کسانی میدهند که ضعفهای امنیتی سیستمهای آنها را شناسایی کند تا جایی که یک نفر به تنهایی در یک سال نزدیک به ۲۰۰ هزار دلار از کشف ضعف برای گوگل درآمد کسب کرده بود.
لامعی: واقعا تجربیات موفقی هم در کشور داشتهایم که از نمونه آن میتوان به تشکیل سازمان امنیت در بعضی از بانکها اشاره کرد که به نظر من یکی از بنیادیترین کارها در بانکهاست.
مباحث بودجه، اطلاعرسانی، پیشگیری و داشتن دیدگاه پیشگیرانه به جای واکنشی در مبحث امنیت، مستلزم داشتن یک متولی است که کار آن امنیت صرف باشد نه اینکه ۵ وظییفه داشته باشد که یکی از آنها امنیت باشد.
به نظر من تشکیل ساختار سازمانی امنیت در برخی بانکها، مهمترین تجربه موفق است که میتوان از سازمانهای حاکمیتی هم انتظار داشت، با این بخش تعامل داشته باشند و همچنین میتوان از بانکها انتظار داشت که موضوع امنیت مستقل باشد و مستقیما سازمان امنیت در تمام سیستمهای بانک درگیر شود و بتواند اعمال نظرکند.
بانکهایی داریم که در حال حاضر این بخش، سیاستهای امنیتی تدوین میکنند و در خرید نرمافزارها نظر میدهند و مدیریت ارشد بانک هم از فعالیت آنها حمایت میکند.
حسینی: تهدیداتی که ما با آنها مواجه هستیم، نوعا منحصر به فرد است. در قضیه سه میلیون کارت هرجای دیگر دنیا بود، فرد توسط پلیس دستگیر میشد اما در اینجا به راحتی با رسانهها مصاحبه کرد و ...
ما چون تهدیدات متفاوتی داریم، بدون اغراق سرپا بودن خدمات بانکداری الکترونیک در بانکهای کشور، یک مورد موفق است. چون این خدمات در یک بستر امن انجام میشود و گرنه مشکلاتی پیش میآمد. در مقایسه با تجارب موفق بینالمللی هم وضعیت ما بد نیست.
در یک فقره از اقداماتی که در دنیا انجام شد، اطلاعات هزاران کارت اعتباری در اسرائیل منتشر شد تا جایی که خرید با کارت اعتباری منوط به احراز هویت از طریق عامل دوم شد، مثل SMS.
از همه مهمتر، متأسفانه در فرهنگ ما هک نه تنها یک ناهنجاری محسوب نمیشود بلکه پرستیژ اجتماعی محسوب میشود. در چنین بازار و فضای فرهنگی و خاص بودن تهدیدات، محدودیتهای شدید تکنولوژیک و حملات و تهدیدات سازمانی و سازمان یافته برعلیه ما به نظر عملکرد خیلی خوب بوده است،ولی در عین حال کم و کاستیهایی هم وجود دارد که بیشتر ریشه در دو موضوع دارد:
۱- در فناوریهای بنیادی مشکل داریم. ۲- نیروی انسانی متخصص کافی وجود ندارد.
بیات: سال گذشته سلسله همایشهایی در زمینه امنیت اطلاعات در کشور با مشارکت مرکز فابا برگزار شد که در آن تقریبا همه دستگاههای مرتبط با این حوزه حضور داشتند. همه اذعان داشتند که شبکه بانکی یکی از اهداف اصلی حملات و تهدیدات فضای سایبری است .
شبکه بانکی در برقراری امنیت با چالشهایی روبهروست. یکی از چالشها این است که به نظر میرسد گاهی درک دقیقی از این موضوع در میان مدیران نیست و هر وقت این درک بوده، اقداماتی شده مثلا سازمان امنیت را راهاندازی کردهاند.
چالش دیگر تعدد متولیان امنیتی است. معلوم نیست برای این موضوع بانکها با چه سازمانی طرف هستند؟ و الزامات و دستورات چه مرجعی را باید دنبال کنند؟ چالش دیگر به مشتریان برمیگردد.
عمده بحثهایی که تاکنون داشتیم درون سازمانی بود. اما به نظر میرسد در رابطه با اطلاعرسانی و آموزش کارکنان اقداماتی انجام ندادهایم به خصوص که با تقویت دیوارهای امنیتی در سازمانها حملات عمدتا به سمت کاربران سوق پیدا کرده است.
شبکه بانکی با چه چالشهای دیگری مواجه است؟
حسینی: چالشهای اصلی امنیتی در شبکه بانکی به دو حوزه عمده قابل تقسیم است:
تهدیدهای سازمان یافته که تهدیدهای بسیار جدی است و کسبوکار ما را با تهدید جدی مواجه میکند، میشودگفت تاکنون این مساله در شبکه بانکی رخ نداده است.
تهدیدهای دیگری که از جنس تهدیدهای امنیتی است که به مسائل هک و مسائل شخصی و انگیزههای مالی یا نارضایتی و ... برمیگردد.
نظام بانکی به تدریج خود را در مقابل حملات نوع دوم ایمن میکند و سیستمهای بانکداری الکترونیک کشور نیز برای این طور تهدیدات شکل گرفته است، مثلا اعمال محدودیت سقف انتقال یا چکهای متقاطع در سیستم.
اما اگر شبکه بانکی مورد حملهای شبیه مثلا ویروس فیلم قرار بگیرد و به فرض اطلاعات شبکه شتاب پاک شود، بحران عمیقی پیش میآید که حتی تصورکردن آن هم دردناک است. اصلیترین چالش امنیتی که نظام بانکی دارد، این است که این نظام متناسب باشأن خودش در مقابل حملات علیه امنیت ملی تمهید و آمادهسازی نشده است.
باید حتما برای این مسأله به عنوان یک موضوع اصلی، راهبرد دیگری غیر از افتا و .. اندیشیده شود.
در مورد تهدیدات امنیتی بانکها و کل کشور، با یک مشکلی مواجه هستیم که نظامات از بالا به پایین تدوین میشود. این سیستم در حوزههای فنی جواب نمیدهد.
با بخشنامه و جریمه، سیستم امن نمیشود. الزاماتی در حد دستورالعمل باید گذاشته شود، اما باید سازمان به عنوان یک نهاد خصوصی از نظر هزینه و سایر عوامل، اختیارات و مجوزهای لازم را داشته باشد که کف بازار شکل بگیرد و در نتیجه یک تعادلی بین عرضه و تقاضا برقرار شود.
طبیعی است وقتی بودجه لازم وجود ندارد، سرمایهگذاری در این حوزه شکل نمیگیرد. به نظر میرسد رویکردی که هنوز در کشور وجود دارد یک رویکرد بخشنامهای سنتی است و این نمیتواند مشکلات امنیت را حل کند.
مهندس افشین لامعی دانشجوی دکترای نرم افزار ـ امنیت، دانشگاه پلی تکنیک تهران و مشاور امنیت فناوری اطلاعات بانکی
لامعی: چالشهای امنیت اطلاعات شبکه بانکی را از یک منظر دیگر میتوان به چالشهای درون نظام و بیرون نظام بانکی که به مسائلی مثل امنیت ملی مرتبط است تقسیم کرد. بحث تعدد متولیها و نبود سیاستگذاریهای مناسب، نبود مراکز CA، سرت و SOC .. اینها همه داستانهای حاکمیتی است که ممکن است دغدغه یک بانک تنها در حال حاضر نباشد.
در مورد مشتریان متاسفانه مشاهده میشود بانکها آنچنان که باید دغدغه ندارند و ضعفهای کوچک سمت آنها را سعی میکنند بپوشانند به جای اینکه چارهای برای آنها پیدا کنند، در حالی که آگاهی رسانی و آموزش مشتریان خیلی مهم است تا قربانی نشوند.
در بحث آگاهیرسانی معتقدم نظام بانکی باید مسئولیت بپذیرد و این کار را انجام بدهد. در ساختار سازمانی امنیت، یکی از مباحث همین آگاهی و اطلاعرسانی است. در حالی که در حال حاضر این کار را عمدتا روابط عمومی بانکها انجام میدهند که چندان تخصص و صلاحیتی در این زمینه ندارند.
در نتیجه خروجی آنها برای آگاهیرسانی و آموزش مفید نیست. اتفاقاتی که برای مشتریان رخ داده نیز مؤید این امر است، بسیاری از قربانیان در کشور با تهدیدات ساده و ابتدایی مثل فیشینگ و استفاده از منوی زبان به دام افتادهاند در حالی که این موارد بدیهی است. بنابراین وظیفه بانک است که برای رفع این موارد و آموزش مشتریان اقدام کند.
یک چالش دیگر که فراتر از مشتریان است، این است که در هر سازمانی که با فناوری اطلاعات سر و کار دارد، بدون توجه به اینکه مشتریان آن چه کسانی هستند و چه خدماتی ارائه میدهد، یک سری چالشهای امنیتی خواهد داشت که باید حل کند و مباحثی مثل نیروی انسانی متخصص و استانداردها در اینجا به درد میخورد.
اقدامات خوبی تاکنون در کشور انجام شده است اما یک سؤال هم مطرح است که واقعا تا چه حد سیستمهای بانکداری الکترونیک کشور محک جدی خورده است و مثل نیروگاه اتمی یا شرکت نفت، تحت حمله بوده است.
اخیرا حتی شرکتهایی مثل گوگل و فیس بوک اعلام کردهاند که مورد حملات سازمان یافته واقع شدهاند. اما آیا شبکه بانکی ما چنین آزمونی را از سر گذرانده است؟ سوالی که پاسخ روشنی برای آن نداریم، لذا علیرغم موفقیتها واتفاقات مثبت، شبکه بانکی باید متوجه باشد که حملات میتوان خیلی گستردهتر و اساسیتر باشد.
بزرگترین چالش امنیتی بانکها در درون خودشان در حال حاضر، جا نیفتادن اولویت ساختار سازمانی امنیت است. بودجه و مباحث نیروی انسانی چالشهای دیگری هستند. چون رقم حملات از سمت برنامهها و دروازهها، به سمت مشتریان در حرکت است، در بانکها این حمله به سمت کارمندان آنهاست.
کارمندان بانکها و شبکه داخلی آنها به مراتب نقاط ضعف بیشتری نسبت به دروازههای خارجی و اینترنت بانک دارند. چون در این قسمت همه چیز باز است، به این خاطر که فکر میکنند فقط با کارمندان خود طرف هستند و به اینترنت متصل نیستند.در حالی که اینگونه نیست و یک رویه غلط درون شبکه داخلی بانک میتواند به یک تهدید بزرگ تبدیل شود.
بنابراین بحث فنی هیچ وقت چالش اصلی امنیت نیست و قبل از تحریمها بانکها میتوانستند بهترین تکنولوژیهای امنیتی را خریداری کنند ،چه بسا خریداری هم کرده بودند ولی نمیتوانستند استفاده کنند. بلکه این نیروی انسانی است که یک چالش عمده است.
چالش دیگر پیمانکاران هستند. به نظر میرسد پیمانکاران و به خصوص پیمانکاران نرمافزاری از چالشهای اصلی بانکها هستند به این خاطر که بانکها الزامهای امنیتی برای پیمانکاران را نمیشناسند و در صورت شناخت توان الزام و اجرای ان را ندارند.
کار به جایی میرسد که در برخی جاها، پیمانکار بر بانک مسلط است و اوست که مشخص میکند چه خریده شود و سیاست امنیتی چه باشد و ...
بهربگی: قریب به ۲ سال پیش به درخواست یکی از مراجع کشور، سندی در مورد چالشهای امنیت اطلاعات شبکه بانکی تنظیم شد که شامل ۱۷ چالش بود.
از میان این چالشها یکی چالش کمبود نیروی انسانی است که با کمبود اطلاعات نیروی انسانی و کمبود اطلاعات مشتریان متفاوت است. علاوه بر این دو چالش، یک چالش مهم دیگر که به خصوص در بانکها بیشتر از سازمانهای دیگر است، اتکای به پنهانکاری برای تامین امنیت است.
به نظر بنده شبکههای بین بانکی از نظر مدلهای کسب و کاری، شبکهای موفقی هستند اما از لحاظ امنیتی نمیتوان آنها را موارد موفق امنیتی برشمرد.
اگر هم تاکنون اتفاق عمدهای رخ نداده به این دلیل است که اولا نفوذگرهای قوی به طرف شبکه بانکی کشور نیامدهاند و در ثانی اطلاعات پنهانکاری شده است. این مساله اتکای به پنهانکاری مسألهای است که در آینده چالش جدی برای امنیت بانکها خواهد شد.
چالش دیگری که در حوزه امنیت اطلاعات شبکه بانکی قابل ذکر است دو نوع حمله ارتقا یافته است. در سازمانها وقتی دیوارهای امنیتی مستحکم میشوند، حملات از بین نمیروند بلکه به جاهای دیگر انحراف پیدا میکنند. یکی از این موارد حمله از داخل سازمان است.
موضوع دیگر آن است که وقتی نفوذگر از نفوذ با هزینه و زمان معقول مایوس میشود، حملات را معطوف به سمت کاربران میکند که دانش کافی ندارند، از تکنولوژیهای مناسب بیبهرهاند و حتی توان تجهیز سیستمهای خود را با نرمافزارهای امنیتی ندارند و در نتیجه سیستم آنها به راحتی آلوده میشود.
منصوری: یکی از دلایلی که هکرهای قوی به سمت شبکه بانکی ما نیامده، بسته بودن ریال به سمت بازارهای بینالمللی است. هکر خارجی یک نقل و انتقال بینالمللی میکند و نهایتا پول را در جایی مثل بانکهای سوئیس نگه میدارد، در حالی که با ریال نمیتواند کاری بکند.
با این حال به دلیل تحریمها و مخاصمات بینالمللی کشور، ممکن است حملات برای از کار انداختن سیستم و نشان دادن ضعف کشور و نه برای سرقت و جابهجایی پول انجام شود. نمونه حملاتی هم که بوده در همین موارد بوده است مثل حملات DOS که البته راه مقابله با آنها را بانکها به خوبی یاد گرفتهاند.
یکی از چالشهای اصلی بانکها در مساله امنیت، نهادهای بالاسری است. بانکها واقعا نمیدانند چه باید بکنند. یک سری اقدامات خودجوش انجام میدهند، استانداردهایی را پیادهسازی میکنند اما این کافی نیست. فرض یک حمله فیشینگ رخ داده است و بانک متوجه این حمله شده است چه باید بکند؟
در دنیای فناوری اطلاعات، تراکنشها در زمانی بسیار سریع رخ میدهد و باید به سرعت واکنش نشان داده شود، اما در کشور هیچ سازمانی وجود ندارد که بتواند دادههای لازم را بگیرد تا بتوان سریع انالیز کرد. در قضیه فیشینگ، بانک مرکزی مسئولیت را از سر خود باز کرد و گفت مسئولیت با مشتری است اما مسئولیت خود نهاد بالاسری برای رسیدگیها فوری چه میشود؟
یک چالش عمده دیگر بحث پیمانکاران است که دوستان به آن اشاره کردند. برای تست نفوذ به کدام پیمانکار میتوان اعتماد کرد؟آیا رتبهبندی وجود دارد؟ به خاطر اینکه در حال حاضر سطح امنیتی(security level) شرکت معلوم نیست، بانک مجبور است اعتماد کند.
بالاخره باید یک سازمانی این مسئولیت را برعهده بگیرد، البته سازمانهایی مثل ماهر داریم ولی باید اجرا شود. کدام مشاور امنیتی امن است؟ آدمهای مورد تایید کدامند و چه مرجعی آنها را تایید میکند؟ این یک چالش عمده است که به عقیده من باید یک سازمان فراقوهای متولی آن باشد.
بهربگی: افتا فعالیتهای را در این زمینه شروع کرده است که مثل بقیه نقاط دنیا، به اشخاص و شرکتها security clearance اعطا میکند.
منصوری: یک چالش دیگر به نوع نگاه و سطحبندی اولویتهای امنیتی است. یک اصلی در دنیا وجود دارد که برای همه چیز، آلترناتیو دارند.
مثلا در آمریکا در زمانی که ویندوز در حال رشد بود، تشویق میشد که IOS هم در کنار آن زنده بماند. با این تکثر اگر یکی لطمه بخورد، دیگری هست اما در کشور اگر شتاب با مشکل مواجه شود، جایگزینی نداریم. فلسفه دو تا بودن این است که رقابتی ایجاد شود.
الان شاپرک هم تک است اگر خدای ناکرده مشکلی پیش بیاید کل سیستم از کار میافتد. در مباحث نیروی انسانی هم همینطور است اگر دو تا داشته باشیم یکی برود، دیگری کار میکند.
حتی در آمریکا مسائل ملی و فراکشوری وجود دارد و مثلا به رئیس IBM تکلیف شد که برای نجات این شرکت به آنجا برود چون لوگو و نماد فناوری آن کشور بود و مباحث فراتر از مسائل مالی بود.
ما هم باید بدین سان جلو برویم و حتی اگر ملی نگاه میکنیم، دو مجموعه هم قدرت به کار بگیریم که با هم رقابت کنند. برای همین است که در آمریکا ویزا هست، همزمان مستر کارت و آمریکن اکسپرس و .. هم فعالیت دارند.
اما در کشور تا یک نگرانی پیش میآید سریع همه تخم مرغها را در یک سبد گذاشته و دست یک آدم مطمئن میدهیم. در حالی که باید دو مجموعه و آدم مطمئن تربیت کنیم.
از کجا مطمئن هستیم که در شاپرک اتفاقی رخ نمیدهد ان هم مثلا شب عید؟ اگر رخ داد چه باید بکنیم؟ پس اصل تداوم عملیات چه میشود؟
امنیت فقط بحث سکیوریتی فنی نیست، بحث تداوم عملیات جزء اصول اساسی امنیت است. این هم یک چالشی است که ما در امنیت، بحث تداوم عملیات را خیلی ضعیف در نظر میگیریم.
بیات: به برخی نقاط ضعف و چالشهای امنیتی سیستم های بانکداری الکترونیک در کشور اشاره شد. حال سوال این است که برای رفع این ضعفها و مقابله با چالشها چه باید کرد و چه راهکارهایی در سطح مشتریان، بانکها و حاکمیت وجود دارد؟
منصوری: در بخش مشتریان آگاه کردن مشتریان در مورد اصول حفظ و نگهداری رمزها و به کار بردن سایر مباحث امنیتی لازم است. سازمانهای اجرایی که متولی امنیت هستند باید یک سری محدودیتهای تراکنش بر اساس نوع دریچه، مغازه و جایگاه وضع کنند.
در حال حاضر در برخی درگاهها محدودیت داریم، اما برخی ابزارها هیچ محدودیتی ندارند مثل پایانههای فروش که تراکنشهای میلیاردی در آنها انجام میشود. در حالی که این مسائل در دنیا تعریف شده است و به طور روزانه، بسته به کارت و کسب و کار سقف تراکنش وجود دارد.
بالاخره نمیشود یک سوپرمارکت با چند میلیون دارایی، تراکنش چند میلیاردی داشته باشد. این موارد همه در سیستم از بین رفته است در حالی که در استاندارهای دنیا همه وجود دارد. این موارد باید سریعا جایگزین شوند.
یکی از راههای ایمن شدن سیستمهای مالی، وجود رویه تسویه (settlement) است. باید واریز آنی حتما حذف شود، چون اگر تقلبی صورت بگیرد، سریع خرج میشود و فرصت برگشت وجود ندارد، در حالی که در دنیا تسویه روزانه، هفتگی و ماهانه مرسوم است و تراکنش فوری به حساب فرد منتقل نمیشود.
در سطح حاکمیت هم به عقیده من باید در سیستم بانکی توسط سازمان بالاسری یک نیروی واکنش سریع وجود داشته باشد که اگر اتفاقی افتاد، سریع بتواند روی دادهها عکسالعمل انجام دهد وگرنه اگر حتی یک ساعت بگذرد، آن دادهها ممکن است قابل شناسایی نباشد یا مهاجم آنها را از بین ببرد و نهایتا اینکه دو سازمان در کنار هم بنشینند و با هم آشتی کنند تا یک مرکز ریشه راهاندازی شود. ۵ سال است درگیر این کار هستیم اما هنوز به طور رسمی یک گواهی دیجیتال نداریم.
بهربگی: در سطح حاکمیتی ابتدا باید حمایت از موصوع و عدم موازی کاری و تلاقی در سطح حاکمیت شکل بگیرد. باید حمایت باشد اما نباید این حمایتها چندگانه و متناقض باشد چون تاثیر خود را در همه جا نشان میدهد و در نهایت قضیه بدون صاحب باقی میماند.
در سطح سازمانها باید ارتقای دانش تخصصی و بومیسازی تا حد ممکن صورت بگیرد و در بخش مشتریان، آموزش و فرهنگسازی مؤثرترین راهکارهای دفاعی هستند.
حسینی: نکات اجرایی که مهندس منصوری اشاره کردند، باید اجرایی شوند. علاوه بر این سامانهها و سیستمهایی هستند که مستقیم بر بحث امنیت تاثیر میگذارند که نباید مغفول بماند.
نمونه آن هم خود خدمات فناوری اطلاعات است که در سازمانها ارائه میشود، مواردی مثل ITIL که اینها میتواند به بهبود مدیریت امنیت اطلاعات خیلی کمک کند، چون معمولا به هم ریختگی و بی سرو سامانی که در خود بحث فناوری اطلاعات وجود دارد یکی از عوامل اصلی درونزا در کاهش امنیت است و استفاده از مدیریت فناوری اطلاعات یک نظامی به آنها میبخشد. در این زمینه محصولات و تجارب خوبی وجود دارد که بانکها میتوانند از آنها استفاده کنند.
لامعی: در بحث مشتریان نهایی باید فرهنگسازی، آموزش و اطلاعرسانی دقیق و درست صورت بگیرد. در سطح سازمانی خود بانکها، تاکید من بر اهمیت دادن به ساختار سازمانی امنیت است که طبیعتا بحث بودجه، نیروی انسانی متخصص و اولویت داشتن امنیت در آن جا میگیرد.
در بحث حاکمیتی و مجموعه نظام بانکی هم بحث تعدد متولیان نکته مهمی است که متاسفانه بر روی CA، و سایر مراکز امنیتی هم سایه انداخته است. بنابراین باید دعوای متولیان حل شود و یک جای متمرکز مشخص باشد که معلوم باشد وظیفهاش چیست و سیاستگذاری و کمک کند و حتی برنامههایی برای تربیت نیروی انسانی متخصص داشته باشد.
علاقمندان به این مبحث همچنین می توانند به میزگرد تخصصی افتانا با عنوان امنیت بانکداری الکترونیک نیز مزاجعه نمایند.