بیگمان امنیت یکی از دغدغههای اصلی مدیران فناوری اطلاعات سازمانهای بزرگ است. روزی نیست که خبری از یک رخداد امنیتی در حوزه فناوری اطلاعات به گوش نرسد و پای افشای اطلاعات، نفوذ، خرابکاری و هک و تغییر اطلاعات به میان نیاید. این وضعیت را شاید بشود با وقوع جرم و جنایت در یک ابرشهر با جمعیت فوقالعاده زیاد، یکی دانست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، وقوع جرم و جنایت امری اجتنابناپذیر است که هرچه کثرت جمعیت بیشتر باشد، احتمال آن نیز فزونتر است. هم اکنون فاصله هر فردی با افراد و سازمانهای دیگر در هر جای جهان، تنها چند کلیک است و دنیا به یک ابر شهر متراکم بدون برج و بارو تبدیل شده است.
همانطور که شرکت های چند ملیتی از این تراکم برای شکار مشتریان و گسترش بازار خود بهره بردهاند و از خاور تا باختر را بر سر سفره خود نشاندهاند، باید مخاطرات چنین قضایی را هم بپذیرند و هر آن منتظر لو رفتن حجم بزرگی از اطلاعات شخصی کاربران خود باشند.
در چنین فضایی، بانکها بهعنوان سازمانهایی که به جای طلا و ارز اطلاعات انبار کردهاند، پیوسته باید مراقب باشند خدشه و خللی به این گرانبهاترین داراییشان وارد نشود.
به نظر میرسد تحقق چنین سودایی در شبکه بزرگ بانکی ، مستلزم همکاری و همیاری سه ضلع یک مثلث است:
۱- سازمانهای حاکمیتی و سیاستگذاری، ۲- بانکها و مؤسسههای مالی و شرکتهای وابسته، ۳- مردم و مشتریان نهایی.
سازمانهای بالادستی با تدوین قوانین مناسب و فراهم کردن زمین هموار بازی، بانکها را تشویق و ترغیب به ارتقای امنیت میکنند، ضمن اینکه ناظر اجرای قانون هستند. بانکها سیاستها و رویههای استاندارد و آزموده شده را به کار میگیرند و در ضلع سوم، هم حاکمیت و هم بانکها وظیفه دارند مشتریان را آموزش داده و در فضای جدید در مقابل تهدیدات قویتر کنند.
برای بررسی وضعیت امنیت اطلاعات در شبکه بانکی کشور و اقدامات انجام شده در سه حوزه ذکر شده، همچنین ارزیابی از چالشهای موجود در این بستر، از متولیان این امر در بانک مرکزی و سازمان فناوری اطلاعات وزارت فناوری اطلاعات و ارتباطات دعوت به عمل آمد در میزگردی به همین منظور، در مرکز فابا شرکت نمایند که علیرغم قول اولیه، حضور آنان موکول به آینده شد.
از این رو میزگرد مذکور با حضور کارشناسان این حوزه، مهندس عبدالحمید منصوری، معاون سابق فناوری اطلاعات بانک پارسیان و رئیس کارگروه امنیت شورای راهبری بانکداری الکترونیک، مهندس مهدی بهربگی، کارشناس ارشد امنیت اطلاعات و مهندس افشین لامعی دانشجوی دکترای نرم افزار ـ امنیت، دانشگاه پلی تکنیک تهران و مشاور امنیت فناوری اطلاعات بانکیو مهندس عباس حسینی مدیرعامل شرکت امنپرداز به میزبانی دکتر محمدمراد بیات مدیرعامل مرکز فابا برگزار شد.
بیات: مرکز فابا در هر شماره از نشریه بانکداری الکترونیک یکی از موضوعات مهم روز را مطرح میکند. یکی از اهداف فابا و اصولا نشریات از طرح موضوع خاص، برجسته سازی آن در ذهن مخاطبان است.
با توجه به اهمیت فزایندهای که موضوع امنیت در مباحث بانکی دارد و لزوم توجه به این مساله، همچنین غفلت زدایی از آن در آستانه سال نو این موضوع را به عنوان محور نشریه قرار دادهایم و امید است که این هدف و خواسته ما در شبکه بانکی محقق شود.
به عنوان سؤال نخست، اهمیت امنیت اطلاعات در نظام بانکی را در چه میبینید و چهقدر در کشور متناسب با این اهمیت به آن پرداخته شده است؟
منصوری: بیش از یک دهه است که بانکداری الکترونیک در کشور گسترش یافته و عملیات غیرشعبهای در مقابل عملیات شعبهای در برخی از بانکهای کشور به ۹۰ درصد عملیات آن بانک رسیده است. امروزه که مردم به مکان خاص مراجعه نمیکنند و میتوانند از دریچههای مختلف خدمات استفاده کنند، امنیت اهمیت زیادی دارد.
در عملیات غیر شعبهای، بحث احراز هویت، صحت داده و تداوم عملیات سه محور اصلی امنیت است که باید مورد توجه قرار گیرد تا بانک بتواند خدمات ۲۴×۷ را پیوسته به مشتریان ارائه دهد. این مسأله از الزامات خاص نظام بانکی است تا بتواند صیانت، دقت و امانتداری خود را به اثبات برساند.
به خاطر همین اهمیت بود که در شورای راهبری بانکداری الکترونیک هم یک کارگروه بدین منظور شکل گرفت.
بهربگی: وقتی از شبکه بانکی سوال میشود امنیت در بانکداری چه اهمیتی دارد؟ عموما جوابی که به این سؤال میدهند نشان میدهد، اذهان شبکه بانکی متوجه آسیبهای مالی است. اما در واقع دایره آسیبهای امنیتی فراتر از مباحث مالی است و از خود بانک فراتر میرود.
یکی از آسیبهای مهم، جعل هویت است که در مراحل بعد میتواند باب اقدامات تبهکارانه را باز کند. چون یکی از مشکلات فعالیتهای تبهکارانه، مسأله پرداخت است که با جهل هویت حل میشود و در نتیجه باب ورود پولهای کثیف به چرخه اقتصادی باز میشود.
لذا مشاهده میشود که با ضعیف شدن حلقه امنیت در سمت بانکها، راه تبهکاری هم هموارتر میشود. امنیت در بانکداری الکترونیک، علاوه بر مساله سرقت پول، در صورت عدم رعایت میتواند به جعل هویت، اقدامهای تبهکارانه و پولشویی بیانجامد که در ابعاد بزرگتر میتواند حتی به بحران ملی
مهندس مهدی بهربگی، کارشناس ارشد امنیت اطلاعات
بهربگی: استانداردهایی چه بومی و چه غیربومی عموما در مورد امنیت و اختصاصا در مورد امینت بانکی وجود دارد. سازمان استاندارد ایران دو سند از استاندارد خانواده ایزو ۲۷۰۰۰ را ترجمه کرده است. استانداردهای خاصی هم در زمینه بانکداری وجود دارد که البته نمونه بومی آن را ندیدهام. نمونه استاندارد خاص در دنیا PCI DSS است.
مشکل ما در کشور، مسائل استقرار استانداردهاست: یکی از مشکلات، مسائل کلان سیاستگذاری است. مادامی که سیاستگذاری درستی انجام و ابلاغ نشود، استانداردها هم کارایی ندارند.
مشکل دوم این است که تفکیک دقیقی در بین این استانداردها و مساله امنیت به طور کلی انجام نشده است و تطابقهای زیادی با هم دارند.
چه در زمینه امنیت وب، کارتهای پرداخت و ... این مسائل مشاهده میشود و تا سیاستگذاری درستی انجام نشود واقعا بانکها نمیدانند کدام استاندارد را انتخاب و اجرا کنند که کارآمدتر باشد و چه حوزهای را پوشش داده و چه حوزهای مغفول مانده است.
سوم اینکه برای پیادهسازی استاندارد، باید سازمان به بلوغ پذیرش استاندارد رسیده
مهندس عباس حسینی مدیرعامل شرکت امنپرداز
حسینی: برای اینکه مبنای اصلی اهمیت استاندارد را چه تعریف کنیم و جایگاه آن را در امنیت کجا بدانیم، باید دقت کنیم که کل فضای مجازی اصولا بر یک مبناهای استاندارد بنا شده است و معنی پایین بودن استانداردها در شبکه بانکی به معنای آن نیست که هیچ استانداردی رعایت نمیشود چون حداقل استانداردهای شبکه و ملزومات امنیتی آن و ... الزاما رعایت میشود.
اما آنچه کم داریم، سیاستها و استانداردسازی رویههاست . رفتار بومی و منطقهای مربوط به ما باید یک چارچوبی داشته باشد. مثلا برای سرویسهای بانکداری الکترونیک، بانکها خدمات مختلفی را ارائه میکنند که برخی از آنها مشخصا ناامن است ولی به دلیل مشتری پسند بودن ارائه میشود.
بانک مرکزی باید در مورد این فناوریها نظر بدهد و فناوریهای ناامن را ممنوع کند. کاری که باید انجام شود، پایش استانداردهای مورد استفاده در شبکه بانکی و صدور یک دستورالعمل برای استفاده از استانداردها و رویههای پذیرفته شده در دنیا است.
بیات: جدای از کاستیها و نگرانیها، شایسته است به تجارب موفق امنیتی در کشور نظری داشته باشیم و ببینیم بانکها تا چه حد در تامین امنیت بانکداری الکترونیک موفق بودهاند؟
منصوری: چون ما از یک سری مباحث فناوری اطلاعات تثبیت شده استفاده میکنیم و شروع کننده کار نبودهایم، به همین خاطر مشکل زیادی نداشتهایم.
ضمن اینکه بانکهای خصوصی که تراکنشهای غیر شعبهای بالایی دارند از اوایل فعالیت به دنبال مباحث امنیتی بودهاند و اقدامات خوبی هم داشتهاند. منتهی بحث ما این است که این کار نهادینه نشده است و تا مشکلی در بانکی پیش نیاید، مدیران زیاد به موضوع اهمیت نمیدهند.
در واقعه لو رفتن اطلاعات کارتهای بانکی، علیرغم این که بحث خیانت در امانت مطرح بود، اما نشان میداد بانک ها و شرکتها هم برخی الزامات و اصول اولیه را رعایت نکردهاند.
الان نسبتا تجارب خوب بوده است و با وجود حجم عظیم عملیات غیر شعبهای اتفاقات زیادی رخ نداده است. البته شاید به این خاطرهم باشد که نفوذگران قوی هنوز به عرصه بانکداری کشور وارد نشدهاند.
اکثر بانکها گروههای ISMS خود را تشکیل دادهاند و تستهای نفوذ را انجام میدهند ولی سردرگمی دارند که این کار را با چه کسی انجام دهند.
یک مشکل دیگری وجود دارد که در کشور CA نداریم و دعوای CA واحد، ما را از داشتن یک CA معمولی هم محروم کرده است.
برخی کشورهای کوچک ۹ تا CA دارند که این مراکز با هم صحبت می کنند و مشکلی هم نیست. تجارب نسبتا خوب بوده است اما با انتظارات من خیلی فاصله دارد. تجارب موفق بوجه لازم دارد و ما برای امنیت بودجه کافی تخصیص ندادهایم.
بیات: چرا نمونه تجربههای موفق در کشور کم داریم و چه مواردی را میتوان مصداق موفقیت دانست؟
بهربگی: محدود بودن تجارب موفق به این دلیل است که مدلی که برای تامین امنیت وجود دارد مناسب نیست. معمولا در بانکهای کشور دو منبع برای تامین امنیت به کارگرفته میشود:
۱- عکسالعمل در مقابل وقایع. این شاخصه هم سازمانهایی است که از نظر بلوغ امنیت بین صفر و یک هستند.
۲- منشا دوم تامین امنیت راهکارهای آماده غیر بومی است . مثلا فلان مارک دستگاه POS را بخریم، چون دستگاه امن است، امنیت میآورد.
این دو منبع تامین امنیت یعنی اقدام پس از رخداد و تامین امنیت از محل خریداری پکیجهای آماده که نه تنها بومیسازی نشده، بلکه آشنایی با دانش فنی روند تولید آن هم وجود ندارد، سبب میشود تجارب مثبت محدود شود.
ولی تجارب موفقی هم داشتهایم. مثلا پس از قضیه لو رفتن اطلاعات کارتها، بسیاری از psp ها اقدام به تهیه و استفاده از دستگاههای سختافزاری رمزنگاری HSM کردند و اقداماتی برای یادگیری نحوه استفاده صحیح از آنها انجام دادند.
در برخی موارد هم پیشگیریها قبل از اتفاق رخ داده است. برای مثال با وجودی که قضیه استراق سمع در رابطه خودپرداز و بانک تاکنون گزارش نشده است ولی استفاده از رمزنگاری و SSL دوطرفه در برخی بانکها میان بانک و خودپرداز انجام میشود. رمزنگاری در تراکنشها یا خرید دستگاه های WAF (Web Application Firewall) از نمونه تجارب موفق هستند.
این تجارب موفق قابل بیان هستند، ولی ما باید مدل بلوغ خود را عوض کنیم و از اینکه امنیت ما متکی به رخداد یا پکیجهای آماده باشد، احتراز کنیم. باید به سطح پایش مستمر وضعیت امنیت برسیم و برخی مخاطرات را پیشگیری کنیم و وضعیت نیروی انسانی را بهبود بدهیم.
البته همه اینها هزینه دارد. امنیت کالای گران
مهندس افشین لامعی دانشجوی دکترای نرم افزار ـ امنیت، دانشگاه پلی تکنیک تهران و مشاور امنیت فناوری اطلاعات بانکی
لامعی: چالشهای امنیت اطلاعات شبکه بانکی را از یک منظر دیگر میتوان به چالشهای درون نظام و بیرون نظام بانکی که به مسائلی مثل امنیت ملی مرتبط است تقسیم کرد. بحث تعدد متولیها و نبود سیاستگذاریهای مناسب، نبود مراکز CA، سرت و SOC .. اینها همه داستانهای حاکمیتی است که ممکن است دغدغه یک بانک تنها در حال حاضر نباشد.
در مورد مشتریان متاسفانه مشاهده میشود بانکها آنچنان که باید دغدغه ندارند و ضعفهای کوچک سمت آنها را سعی میکنند بپوشانند به جای اینکه چارهای برای آنها پیدا کنند، در حالی که آگاهی رسانی و آموزش مشتریان خیلی مهم است تا قربانی نشوند.
در بحث آگاهیرسانی معتقدم نظام بانکی باید