سر بی کلاه مشتریان در دعوای متولیان

بی‌گمان امنیت یکی از دغدغه‌های اصلی مدیران فناوری اطلاعات سازمان‌های بزرگ است. روزی نیست که خبری از یک رخداد امنیتی در حوزه فناوری اطلاعات به گوش نرسد و پای افشای اطلاعات، نفوذ، خرابکاری و هک و تغییر اطلاعات به میان نیاید. این وضعیت را شاید بشود با وقوع جرم و جنایت در یک ابرشهر با جمعیت فوق‌العاده زیاد، یکی دانست.
 
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، وقوع جرم و جنایت امری اجتناب‌ناپذیر است که هرچه کثرت جمعیت بیشتر باشد، احتمال آن نیز فزون‌تر است. هم اکنون فاصله هر فردی با افراد و سازمان‌های دیگر در هر جای جهان، تنها چند کلیک است و دنیا به یک ابر شهر متراکم بدون برج و بارو تبدیل شده است. 

همانطور که شرکت ‌های چند ملیتی از این تراکم برای شکار مشتریان و گسترش بازار خود بهره برده‌اند و از خاور تا باختر را بر سر سفره خود نشانده‌اند،‌ باید مخاطرات چنین قضایی را هم بپذیرند و هر آن منتظر لو رفتن حجم بزرگی از اطلاعات شخصی کاربران خود باشند.

در چنین فضایی، بانک‌ها به‌عنوان سازمان‌هایی که به جای طلا و ارز اطلاعات انبار کرده‌اند، پیوسته باید مراقب باشند خدشه و خللی به این گرانبهاترین دارایی‌شان وارد نشود.

به نظر می‌رسد تحقق چنین سودایی در شبکه بزرگ بانکی ، مستلزم همکاری و همیاری سه ضلع یک مثلث است:

۱- سازمان‌های حاکمیتی و سیاست‌گذاری، ۲- بانک‌ها و مؤسسه‌های مالی و شرکت‌های وابسته، ۳- مردم و مشتریان نهایی.

سازمان‌های بالادستی با تدوین قوانین مناسب و فراهم کردن زمین هموار بازی، بانک‌ها را تشویق و ترغیب به ارتقای امنیت می‌کنند،‌ ضمن اینکه ناظر اجرای قانون هستند. بانک‌ها سیاست‌ها و رویه‌های استاندارد و آزموده شده را به کار می‌گیرند و در ضلع سوم، هم حاکمیت و هم بانک‌ها وظیفه دارند مشتریان را آموزش داده و در فضای جدید در مقابل تهدیدات قوی‌تر کنند.

برای بررسی وضعیت امنیت اطلاعات در شبکه بانکی کشور و اقدامات انجام شده در سه حوزه ذکر شده، همچنین ارزیابی از چالش‌های موجود در این بستر، از متولیان این امر در بانک مرکزی و سازمان فناوری اطلاعات وزارت فناوری اطلاعات و ارتباطات دعوت به عمل آمد در میزگردی به همین منظور، در مرکز فابا شرکت نمایند که علی‌رغم قول اولیه، حضور آنان موکول به آینده شد.
 
از این رو میزگرد مذکور با حضور کارشناسان این حوزه، مهندس عبدالحمید منصوری، معاون سابق فناوری اطلاعات بانک پارسیان و رئیس کارگروه امنیت شورای راهبری بانکداری الکترونیک، مهندس مهدی بهربگی، کارشناس ارشد امنیت اطلاعات و مهندس افشین لامعی دانشجوی دکترای نرم افزار ـ امنیت، دانشگاه پلی تکنیک تهران و مشاور امنیت فناوری اطلاعات بانکی‌و مهندس عباس حسینی مدیرعامل شرکت امن‌پرداز به میزبانی دکتر محمدمراد بیات مدیرعامل مرکز فابا برگزار شد. 

بیات: مرکز فابا در هر شماره از نشریه بانکداری الکترونیک یکی از موضوعات مهم روز را مطرح می‌کند. یکی از اهداف فابا و اصولا نشریات از طرح موضوع خاص، برجسته سازی آن در ذهن مخاطبان است. 

با توجه به اهمیت فزاینده‌ای که موضوع امنیت در مباحث بانکی دارد و لزوم توجه به این مساله، همچنین غفلت زدایی از آن در آستانه سال نو این موضوع را به عنوان محور نشریه قرار داده‌ایم و امید است که این هدف و خواسته ما در شبکه بانکی محقق شود.

به عنوان سؤال نخست، اهمیت امنیت اطلاعات در نظام بانکی را در چه می‌بینید و چه‌قدر در کشور متناسب با این اهمیت به آن پرداخته شده است؟

منصوری: بیش از یک دهه است که بانکداری الکترونیک در کشور گسترش یافته و عملیات غیر‌شعبه‌ای در مقابل عملیات شعبه‌ای در برخی از بانک‌های کشور به ۹۰ درصد عملیات آن بانک رسیده است. امروزه که مردم به مکان خاص مراجعه نمی‌کنند و می‌توانند از دریچه‌های مختلف خدمات استفاده کنند، امنیت اهمیت زیادی دارد.
 
در عملیات غیر شعبه‌ای، بحث احراز هویت، ‌صحت داده و تداوم عملیات سه محور اصلی امنیت است که باید مورد توجه قرار گیرد تا بانک بتواند خدمات ۲۴×۷ را پیوسته به مشتریان ارائه دهد. این مسأله از الزامات خاص نظام بانکی است تا بتواند صیانت،‌ دقت و امانتداری خود را به اثبات برساند.
 
به خاطر همین اهمیت بود که در شورای راهبری بانکداری الکترونیک هم یک کارگروه بدین منظور شکل گرفت.

بهربگی: وقتی از شبکه بانکی سوال می‌شود امنیت در بانکداری چه اهمیتی دارد؟ عموما جوابی که به این سؤال می‌دهند نشان می‌دهد، اذهان شبکه بانکی متوجه آسیب‌های مالی است. اما در واقع دایره آسیب‌های امنیتی فراتر از مباحث مالی است و از خود بانک فراتر می‌رود.

یکی از آسیب‌های مهم، جعل هویت است که در مراحل بعد می‌تواند باب اقدامات تبهکارانه را باز کند. چون یکی از مشکلات فعالیت‌های تبهکارانه، مسأله پرداخت است که با جهل هویت حل می‌شود و در نتیجه باب ورود پول‌های کثیف ‌به چرخه اقتصادی باز می‌شود.
 
لذا مشاهده می‌شود که با ضعیف شدن حلقه امنیت در سمت بانک‌ها،‌ راه تبهکاری هم هموارتر می‌شود. امنیت در بانکداری الکترونیک،‌ علاوه بر مساله سرقت پول، در صورت عدم رعایت می‌تواند به جعل هویت، اقدام‌های تبهکارانه و پولشویی بیانجامد که در ابعاد بزرگ‌تر می‌تواند حتی به بحران ملی

_{مهندس مهدی بهربگی، کارشناس ارشد امنیت اطلاعات}

بهربگی: استانداردهایی چه بومی و چه غیربومی عموما در مورد امنیت و اختصاصا در مورد امینت بانکی وجود دارد. سازمان استاندارد ایران دو سند از استاندارد خانواده ایزو ۲۷۰۰۰ را ترجمه کرده است. استانداردهای خاصی هم در زمینه بانکداری وجود دارد که البته نمونه بومی آن را ندیده‌ام. نمونه استاندارد خاص در دنیا PCI DSS است.

مشکل ما در کشور، مسائل استقرار استانداردهاست: یکی از مشکلات، مسائل کلان سیاست‌گذاری است. مادامی که سیاست‌گذاری درستی انجام و ابلاغ نشود،‌ استانداردها هم کارایی ندارند. 

مشکل دوم این است که تفکیک دقیقی در بین این استانداردها و مساله امنیت به طور کلی انجام نشده است و تطابق‌های زیادی با هم دارند.
 
چه در زمینه امنیت وب،‌ کارت‌های پرداخت و ... این مسائل مشاهده می‌شود و تا سیاست‌گذاری درستی انجام نشود واقعا بانک‌ها نمی‌دانند کدام استاندارد را انتخاب و اجرا کنند که کارآمدتر باشد و چه حوزه‌ای را پوشش داده و چه حوزه‌ای مغفول مانده است.

سوم اینکه برای پیاده‌سازی استاندارد،‌ باید سازمان به بلوغ پذیرش استاندارد رسیده

_{مهندس عباس حسینی مدیرعامل شرکت امن‌پرداز}

حسینی: برای اینکه مبنای اصلی اهمیت استاندارد را چه تعریف کنیم و جایگاه آن را در امنیت کجا بدانیم، باید دقت کنیم که کل فضای مجازی اصولا بر یک مبناهای استاندارد بنا شده است و معنی پایین بودن استانداردها در شبکه بانکی به معنای آن نیست که هیچ استانداردی رعایت نمی‌شود چون حداقل استانداردهای شبکه و ملزومات امنیتی آن و ... الزاما رعایت می‌شود.

اما آنچه کم داریم، سیاست‌ها و استانداردسازی رویه‌هاست . رفتار بومی و منطقه‌ای مربوط به ما باید یک چارچوبی داشته باشد. مثلا برای سرویس‌های بانکداری الکترونیک،‌ بانک‌ها خدمات مختلفی را ارائه می‌کنند که برخی از آنها مشخصا ناامن است ولی به دلیل مشتری پسند بودن ارائه می‌شود.
 
بانک مرکزی باید در مورد این فناوری‌ها نظر بدهد و فناوری‌های ناامن را ممنوع کند. کاری که باید انجام شود، ‌پایش استانداردهای مورد استفاده در شبکه بانکی و صدور یک دستورالعمل برای استفاده از استانداردها و رویه‌های پذیرفته شده در دنیا است.

بیات: جدای از کاستی‌ها و نگرانی‌ها، شایسته است به تجارب موفق امنیتی در کشور نظری داشته باشیم و ببینیم بانک‌ها تا چه حد در تامین امنیت بانکداری الکترونیک موفق بوده‌اند؟

منصوری:‌ چون ما از یک سری مباحث فناوری اطلاعات تثبیت شده استفاده می‌کنیم و شروع کننده کار نبوده‌ایم، به همین خاطر مشکل زیادی نداشته‌ایم.
 
ضمن اینکه بانک‌های خصوصی که تراکنش‌های غیر شعبه‌ای بالایی دارند از اوایل فعالیت به دنبال مباحث امنیتی بوده‌اند و اقدامات خوبی هم داشته‌اند. منتهی بحث ما این است که این کار نهادینه نشده است و تا مشکلی در بانکی پیش نیاید، مدیران زیاد به موضوع اهمیت نمی‌دهند.

در واقعه لو رفتن اطلاعات کارت‌های بانکی، علی‌رغم این که بحث خیانت در امانت مطرح بود، اما نشان می‌داد بانک ‌ها و شرکت‌ها هم برخی الزامات و اصول اولیه را رعایت نکرده‌اند.

الان نسبتا تجارب خوب بوده است و با وجود حجم عظیم عملیات غیر شعبه‌ای اتفاقات زیادی رخ نداده است. البته شاید به این خاطرهم باشد که نفوذگران قوی هنوز به عرصه بانکداری کشور وارد نشده‌اند.

اکثر بانک‌ها گروه‌های ISMS خود را تشکیل داده‌اند و تست‌های نفوذ را انجام می‌دهند ولی سردرگمی دارند که این کار را با چه کسی انجام دهند.
 
یک مشکل دیگری وجود دارد که در کشور CA نداریم و دعوای CA واحد، ما را از داشتن یک CA معمولی هم محروم کرده است.
 
برخی کشورهای کوچک ۹ تا CA دارند که این مراکز با هم صحبت می کنند و مشکلی هم نیست. تجارب نسبتا خوب بوده است اما با انتظارات من خیلی فاصله دارد. تجارب موفق بوجه لازم دارد و ما برای امنیت بودجه کافی تخصیص نداده‌ایم.

بیات: چرا نمونه‌ تجربه‌های موفق در کشور کم داریم و چه مواردی را می‌توان مصداق موفقیت دانست؟

بهربگی: محدود بودن تجارب موفق به این دلیل است که مدلی که برای تامین امنیت وجود دارد مناسب نیست. معمولا در بانک‌های کشور دو منبع برای تامین امنیت به کارگرفته می‌شود:

۱- عکس‌العمل در مقابل وقایع. این شاخصه هم سازمان‌هایی است که از نظر بلوغ امنیت بین صفر و یک هستند.

۲- منشا دوم تامین امنیت راهکارهای آماده غیر بومی است . مثلا فلان مارک دستگاه POS را بخریم، چون دستگاه امن است، امنیت می‌آورد.

این دو منبع تامین امنیت یعنی اقدام پس از رخداد و تامین امنیت از محل خریداری پکیج‌های آماده که نه تنها بومی‌سازی نشده،‌ بلکه آشنایی با دانش فنی روند تولید آن هم وجود ندارد، سبب می‌شود تجارب مثبت محدود شود. 

ولی تجارب موفقی هم داشته‌ایم. مثلا پس از قضیه لو رفتن اطلاعات کارت‌ها،‌ بسیاری از ‌psp ها اقدام به تهیه و استفاده از دستگاه‌های سخت‌افزاری رمزنگاری HSM کردند و اقداماتی برای یادگیری نحوه استفاده صحیح از آنها انجام دادند.

در برخی موارد هم پیشگیری‌ها قبل از اتفاق رخ داده است. برای مثال با وجودی که قضیه استراق سمع در رابطه خودپرداز و بانک تاکنون گزارش نشده است ولی استفاده از رمزنگاری و SSL دوطرفه در برخی بانک‌ها میان بانک و خودپرداز انجام می‌شود. رمزنگاری در تراکنش‌ها یا خرید دستگاه های WAF (Web Application Firewall) از نمونه تجارب موفق هستند.

این تجارب موفق قابل بیان هستند، ولی ما باید مدل بلوغ خود را عوض کنیم و از اینکه امنیت ما متکی به رخداد یا پکیج‌های آماده باشد، احتراز کنیم. باید به سطح پایش مستمر وضعیت امنیت برسیم و برخی مخاطرات را پیشگیری کنیم و وضعیت نیروی انسانی را بهبود بدهیم. 

البته همه اینها هزینه دارد. امنیت کالای گران

_{مهندس افشین لامعی دانشجوی دکترای نرم افزار ـ امنیت، دانشگاه پلی تکنیک تهران و مشاور امنیت فناوری اطلاعات بانکی}

لامعی: چالش‌های امنیت اطلاعات شبکه بانکی را از یک منظر دیگر می‌توان به چالش‌های درون نظام و بیرون نظام بانکی که به مسائلی مثل امنیت ملی مرتبط است تقسیم کرد. بحث تعدد متولی‌ها و نبود سیاست‌گذاری‌های مناسب، نبود مراکز CA، سرت و SOC .. اینها همه داستان‌های حاکمیتی است که ممکن است دغدغه یک بانک تنها در حال حاضر نباشد.

در مورد مشتریان متاسفانه مشاهده می‌شود بانک‌ها آنچنان که باید دغدغه ندارند و ضعف‌های کوچک سمت آنها را سعی می‌کنند بپوشانند به جای اینکه چاره‌ای برای آنها پیدا کنند، در حالی که آگاهی رسانی و آموزش مشتریان خیلی مهم است تا قربانی نشوند.

در بحث آگاهی‌رسانی معتقدم نظام بانکی باید