مهمترین چالش بانکها در حوزه امنیت
به گزارش بورس نیوز، با گسترش استفاده از اینترنت و خدمات الکترونیکی در حوزههای گوناگون ازجمله خدمات مالی و اعتباری بهویژه تراکنشهای مالی نیاز به پیادهسازی و ارائه راهکارهای درست و دقیق امنیتی جهت پایین آوردن مخاطرات امنیتی ازجمله الزامات حوزه بانکی است. امنیت که یکی از مهمترین مسائل در حوزه فناوری اطلاعات و ارتباطات است، در بانکهای کشور با چالشهایی روبهرو است که بر اساس دغدغه و نیازمندی ذینفعان داخلی و خارجی، عوامل تاثیر گذار محیطی داخلی و خارجی، سطح بلوغ امنیتی، مدل کسبوکار، درجه ریسکپذیری سازمان، حتی بر اساس خصوصی یا دولتی بودن بانکها، متفاوت و متغیر است. نظر تعدادی از معاونان و مدیران فناوری اطلاعات بانکهای کشور را در خصوص مهمترین چالشهایی که بانکها در حوزه امنیت با آنها مواجه هستند، جویا شدیم. در ادامه پاسخ هر یک از این افراد بهصورت کامل آمده است.
مسعود خاتونی، معاون فناوری اطلاعات و شبکه ارتباطات بانک ملی:
یکی از مهمترین چالشهای پیش روی امنیت، هزینههای بالای تامین امنیت است. این هزینهها شامل هزینه تجهیزات و ابزارهای تامین امنیت و همچنین هزینههای تامین منابع انسانی است. در خصوص تامین تکنولوژی و تجهیزات چالش دیگر تهیه تجهیزات خارجی و مشکل تحریمها و همچنین هزینههای هنگفت تهیه است. لازم به ذکر است استفاده از خدمات و تجهیزات بومی نیز چالشهایی دارد که مهمترین آن، عدم کارایی مناسب در مقایسه با تکنولوژیهای خارجی است که با توجه به حساسیت بسیار سرویسهای بانکی ریسک استفاده از این سرویسهای بومی دوچندان خواهد بود.
بهکارگیری استانداردهای بینالمللی در حوزههای بانکی و پرداخت ازجمله PCI و EMV که مدلهای موفق و آزموده شده در دنیاست نیز میتواند از نگرانیهای امنیتی موجود بکاهد. در این راستا با توجه به مشکلات امنیتی بسیار زیاد کارتهای مگنت بانکی فعلی، بانک مرکزی میتواند بهعنوان رگولاتور در بهبود و استاندارسازی حوزههای پرداخت نقشآفرین باشد. گسترش فینتکها و بانکداری باز نیز با خود نگرانیهای امنیتی بسیاری را ایجاد کرده که در این حوزه نیز بانک مرکزی و نقش قانونگذاری این نهاد بسیار حائز اهمیت است.
هماهنگی و یاریرسانی سایر ارگانها همچون وزارت ارتباطات و زیرساختهای مخابراتی کشور نیز ازجمله مواردی است که میبایست مورد بازبینی قرار گیرد. برای مثال حملات DDOS به سامانههای بانکی بسیار شایع بوده و نقش یاریرسانی شرکت زیرساخت در جلوگیری و نهادهایی همچون پلیس فتا در جهت پیگیری موارد بسیار پررنگ خواهد بود.
زهرا میرحسینی، معاون فناوری اطلاعات و ارتباطات بانک پاسارگاد:
بانکها با چالشهای بسیاری در حوزه امنیت اطلاعات مواجه هستند. مهمترین چالشهای آنها عبارتاند از:
کمبود متخصصان متعهد در این بخش و حفظ و نگاهداشت سرمایه انسانی گرانقیمت آن.وجود خلاهای قانونی؛ برای مثال حداکثر مجازاتهای در نظر گرفته شده برای جرایم سایبری بسیار اندک بوده و فاقد بازدارندگی مناسب است.لزوم ارتقای سطح آگاهی جامعه از الزامات عمومی امنیت اطلاعات. فقدان آگاهی، همهروزه هزینههای بسیاری را به مردم، بانکها، نیروی انتظامی و دستگاه قضایی تحمیل میکند. بهعنوان یک پیشنهاد درصورتیکه بانکها خود در آموزش و فرهنگسازی اصول سادهای مانند مدیریت امن گذرواژهها، بهکارگیری درگاههای امن پرداخت، روشهای جلوگیری از فیشینگ و غیره پیشقدم شوند، میتوانند ضمن کاهش خسارات مالی، الهامبخش سایر نهادها در این حوزه باشند.مسئله دیگر اینکه در برخی موارد، تحریمهای بینالمللی در تامین تجهیزات امنیتی، بهروزرسانی سیستمها و استفاده از خدمات جهانی امنیت مشکلآفرین میشود. وابستگی فناورانه زیرساخت و نرمافزارهای کاربردی مهم به سایر کشورها نیز مشکل دیگر سازمانها است.
در پایان لازم به ذکر است، اتخاذ راهبردهای بلندمدت در حوزه امنیت، قرار دادن این حوزه در اولویتهای اصلی تصمیم گیران، تنظیم بودجه، ایجاد کارگروههای مشترک با حضور کلیه بانکها و تبادل اطلاعات، توجه بیشتر به مسائل حقوقی امنیت و قراردادهای این بخش و بازنگری در قوانین مرتبط، میتواند موجب ارتقای سطح امنیت در بانکها و بهتبع آن در کشور شود.
مرتضی ترک تبریزی، مدیر امور فناوری اطلاعات بانک ملت:
با توجه به شرایط جنگ اقتصادی که از سوی دشمنان کشور تحمیل شده، بانکها بهعنوان ارکان اصلی اقتصاد در معرض تهدیدات بیشماری قرار گرفتهاند و این موضوع سبب شده مقوله امنیت اطلاعات در بانکها بهعنوان یکی از دغدغههای اصلی مبدل شده است.
طی سالهای اخیر اقدامات بسیار موثری در حوزه تقویت شرکتهای داخلی جهت تولید محصولات و ارائه خدمات در حوزه امنیت صورت گرفته، لیکن در شبکههای گسترده و بزرگ مالی و بانکی ضروری است صورت بلوغ این اقدامات بالاتر رود. با ظهور فینتکها و مباحث جدید بانکداری دیجیتال، کسبوکار بانکها دستخوش تغییراتی شده است و این موضوع باعث شده با هدف صیانت از اطلاعات و سرمایه مشتریان موضوع امنیت اطلاعات بیش از پیش موردتوجه بانکها قرار گیرد. بهتبع این موضوع، نقش رگولاتوری نیز در خصوص تدوین سیاستها و دستورالعملهای ارائه خدمات امن در کسبوکار جدید نیز میبایست مغفول نمانده و همگام با ارائه خدمات جدیدی مثل بانکداری باز و … اقدامات لازم در این خصوص صورت پذیرد.
احمد سلمانی آرانی، مدیر امور فناوری اطلاعات بانک سپه:
اغراق نیست اگر بگوییم با توجه به فضای کسب و درآمد که بر بستر فنآوری اطلاعات شکل گرفته است و با لحاظ کردن DRP (Disaster Recovery Plan) و BCP (Business Continue Plan) تمامی سازمانها بر مدیران امنیت CISO (Chief Information Security Officer) خود تکیه زدهاند؛ اما این رویکرد بار سنگینی را بر دوش مدیران قرار میدهد، باری که شاید بدون برخورداری از ویژگیهای خاص فردی، تامین نیازها از سوی هیات مدیره و هماهنگی عمیق سازمانی قابلتحمل نباشد اما اگر با زبان مشترک دوستداران امنیت صحبت کنیم یا به عبارتی همان CIA (Confidentiality Availability Integrity) و PPT (People Process Technology) چالشها و موانع پیشرو عبارتاند از:
نبود ساختار امنیت در چارت سازمانی و فقدان خطمشی مدون در این راستاعدم تخصیص بودجه مشخص جهت انجام امور امنیتیکاستیهای فنی در محصولات امنیتی بومی تعدد مراجع امنیتی-نظارتی و عدم یکپارچگی در سیاستهای امنیتی ابلاغ شدهفقدان برنامه آموزشی مدون در راستای تربیت کارشناس سازمانی در حوزه امنیت و آگاهیرسانی در این حوزه به کارکنان عدم وجود زیرساختهای مخابراتی لازم جهت ایجاد مسیرهای ارتباطی موردنیاز برای سایتهای پشتیبان و بحرانفرآیند طولانی تایید صلاحیت کارشناسان و شرکتهای فعال در حوزه امنیتفرآیند طولانی و قواعد دست و پاگیر در انتخاب ابزار و پیادهسازی ISMS، SOC و CERT
محمدعلی بخشیزاده، معاون فناوری اطلاعات بانک دی:
با گسترش روزافزون خدمات الکترونیکی در حوزههای گوناگون خدمات اجتماعی ازجمله خدمات مالی و اعتباری بهویژه تراکنشهای مالی در بسترهای شاپرک و شتاب، خطرات ناشی از نقض مؤلفههای اصلی امنیت اطلاعات شامل محرمانگی، جامعیت و دسترسپذیری، بیش از پیش سرویسهای مالی و اعتباری را تحت شعاع قرار داده است. بر این اساس شناسایی خطرات و آسیبپذیریها و ارائه راهکارهای کارآمد در این زمینه، لازمه حفظ کیفیت سرویسهای ارائه شده به مشتریان و صیانت از حقوق آنان است.
با عنایت به اهمیت بسزای امنیت اطلاعات در تراکنشهای مالی در کنار توجه به کارایی و سرعت آنها، توجه به چالشهای امنیتی در حوزه سرویسهای پرداخت امری اجتنابناپذیر خواهد بود. از سویی تحولات ژرفی در ابزارها و کانالهای سرویسدهی به وجود آمده و از سوی دیگر ابزارهای متنوع و جدیدی ایجاد شده است. بهعنوان نمونه ابزارهایی مانند دستگاه کارتخوان، دستگاه خودپرداز، VTM، اینترنت بانک، موبایل بانک، IPG و … ابزارهای سختافزاری و نرمافزاری مورداستفاده هستند بهعلاوه انتظار میرود اینترنت اشیا و رمزارزها نیز بهعنوان ابزارهای تاثیرگذار در حوزه بانکی به لیست اضافه شوند.
علاوه بر این با گسترش استفاده از بانکداری باز و در اختیار قرار دادن زیرساختهای بانکی به پیمانکاران و توسعهدهندگان نرمافزارهای پرداخت الکترونیکی، توجه به این موارد از دیدگاه ریسکهای امنیتی حیاتی است چراکه تامین امنیت نرمافزارهای مذکور بهتنهایی توسط توسعهدهندگان و بدون نظارت جامع بر پایه استانداردهای امنیت اطلاعات امکانپذیر نیست.
به همین منظور با در نظر گرفتن موارد اصلی تامین امنیت به ازای هرکدام از این ابزارها، میبایست بهطور مستمر پویشهایی بهمنظور کنترل حملاتی از قبیل DDOS و فیشینگ، Spoofing و Skimming صورت گیرد که هر یک در جای خود قابلبحث است.
در پایان بهعنوان پیشنهاد مشخص میتوان گفت که بهطورکلی، پس از گذر از مقوله پراهمیت افزایش کیفیت و سرعت تراکنشهای مالی در زیرساختهای شتاب و شاپرک، تمرکز بر امن سازی اطلاعات ردوبدل شده در زیرساختهای مذکور با روشهای سختافزاری و نرمافزاری میبایست در اولویت فعالیتهای نظام بانکی کشور قرار گیرد. همچنین بهمنظور رسیدن به هدف نهایی، یعنی امنیت دادههای حساس مشتریان در نظام بانکی، نظارت نهادهای حاکمیتی بر نحوه پیادهسازی استانداردهای امنیتی و پایش مستمر فعالیتهای بانکها و موسسات موثر خواهد بود که در همین خصوص بومیسازی دستورالعمل PSD2 که در اتحادیه اروپا به تصویب رسیده است میتواند یکی از اقدامات مناسب و راهگشا باشد.
عشرت عدالت، مدیر امور فناوری اطلاعات و ارتباطات بانک توسعه صادرات ایران:
چالشهای امنیت در بانکها، همانند هر صنعت و صنف دیگر بر اساس دغدغه و نیازمندی ذینفعان داخلی و خارجی، عوامل تاثیر گذار محیطی داخلی و خارجی، سطح بلوغ امنیتی، مدل کسبوکار، درجه ریسکپذیری سازمان، حتی بر اساس خصوصی یا دولتی بودن بانکها، متفاوت و متغیر است.
شاید در مجال اندک، بتوان به چند چالش که به نظر میرسد در بانکها مشترک باشد، اشاره کرد؛ ابلاغ بخشنامههای متنوع و متعدد و مهلت زمانی کوتاه جهت اجرای خدمات جدید یا بازنگری خدمات موجود، امکان طراحی و پیادهسازی مناسب در چارچوب استانداردها و بهینه روشهای امنیتی را از بانک سلب میکند.
از سمت دیگر، پس از عملیاتی کردن یک خدمت، بهبود فرایندها و ارتقای امنیتی آن، نیازمند صرف هزینهها و منابع بهمراتب بیشتر از قبل خواهد بود و با توجه به اهمیت دسترسپذیری بالای خدمات بانکی، مخاطرات تغییر در محیط عملیاتی با برنامهریزی دقیقی لازم است صورت پذیرد.
با توجه به اینکه استقرار امنیت اطلاعات در هر سازمانی بهطور مستقیم خروجی ملموس و مشهودی برای مدیران ارشد ندارد، لازم است بهمنظور به تصویر کشیدن نتایج حاصل از استقرار فرایند امنیت که فراتر از تعریف اهداف امنیت اطلاعات و در راستای اهداف کلان کسبوکار بانک و حفظ منافع مشتری (ارائه خدمات امن و یکپارچه و دسترسپذیر) بهعنوان مهمترین ذینفع بانک است تمهیدات لازم صورت پذیرد.
عدم هماهنگی و یکپارچگی موثر نهادهای قانونگذار در حوزه بانکی با نهادهای متولی امنیت اطلاعات در کشور باعث خواهد شد قوانین موازی که بعضا تناقضاتی با هم دارند، منجر به صرف منابع سازمان و عدم پیادهسازی الزامات به شیوه اثربخشی شود. موقعیت جغرافیایی و سیاسی کشور نیز تشدیدکننده این موضوع است و اهمیت پرداختن امنیت با رویکرد ریسک نیازمند توجه بیشتری در نظام بانکی است. همچنین ریسک نشت اطلاعات مشتری، عدم توجه کافی و مناسب به مبحث حریم خصوصی مشتریان از نمونه چالشهای دیگر امنیت اطلاعات در بانکهاست.
فرهاد بهمنی، مدیر امور فنآوری اطلاعات پست بانک:
چالش امنیت را برای بانکها میتوان به دو دسته «چالش امنیتی برای خود بانکها» و «چالش امنیتی برای مشتریان بانکها» تقسیم کرد.
در خصوص مورد اول، بررسی و آزمونهای امنیتی و اخذ تأییدیههای امنیتی پس از تولید یا خریداری نرمافزار بهصورت مستمر و دورهای توسط ارزیابان و ممیزان بیرون از سازمان برای نرمافزارهای موبایلی، وب و نرمافزارهای مختص دیوایس یا دستگاههای الکترونیکی، سوئیچ و… موردنیاز است.
در خصوص مورد دوم، میبایست بانکها شرایط ایجاد تراکنش را از ورودیهای مختلف (درگاههای حضوری و بخصوص غیرحضوری) برای مشتریان امن کرده (از رعایت نکات امنیتی در بخش صادرکنندگی (کارتهای هوشمند با استاندارد EMV) تا پذیرندگی) و با عنایت به بانکداری باز و حضور فینتکها رعایت استانداردهایی مثل PSD2 مدنظر قرار گیرد و همواره اطلاعرسانی و آموزشهای لازم را در اختیار مشتریان قرار دهند.
مونا نهالبار، مدیر امور فناوری اطلاعات و ارتباطات بانک ایران ونزوئلا:
عدم همخوانی رشد بالای تکنولوژی، سختافزارهای مربوطه و نرمافزارهای پایشی در مقابل ضریب پایین بودجههای مربوط به ارتقای دانش فنی، امنیتی متخصصین این حوزه در بانکها، عدم وجود یکپارچگی کلان در دادههای کشور که موجب اتصال سیستمهای Third Party در قالبهای غیراستاندارد به هستههای بانکی میشود و ناشی از الزامات نظارتی و یا کسبوکاری است ازجمله چالشهای این بخش است. همچنین درحالیکه دنیا در حال محاسبات با کامپیوترهای کوانتومی و تخمین بالای شکست هرگونه رمزگذاری توسط این سیستم است، در کشور ما بودجه امنیت اطلاعات، تیتری تجملاتی محسوب میشود.
مرتضی بکا، رییس هیات مدیره موسسه ملل:
موسسات اعتباری و بانکها ارائهدهنده خدمات پولی و بانکی هستند و مشتریان آنان نیازمند خدمات شبانهروزی پایدار و امن، همراه با سرعت و سهولت هستند لذا موسسات اعتباری و بانکها با توجه به داشتن اطلاعات هویتی مالی توأم است و اهمیت دادهها و تراکنشهای مشتریان بسی روشن است لذا نیازمند زیرساخت مناسب هستند که هزینه سنگینی را در بردارد.
در یک نگاه ساده زیرساختها به سه دسته کلی مراکز داده، شبکههای مخابراتی بر بستر LAN WAN و Cloud و سختافزارهای متنوع همراه با نرمافزارهای راهانداز و کاربری تقسیم میشوند. با عنایت به تولید و توسعه اکثر آنها در خارج از کشور، امنیت آنها در شرایط تحریمهای ظالمانه با چالشهای مالی، خرید، توسعه، بهروزرسانی و پشتیبانی اعم از سخت افرازی و نرمافزاری با هم گره خوردهاند که گرهگشایی آنها با توجه به شرایط اقتصادی و سیاسی کشور تحت تاثیر قرار میگیرد. بزرگترین چالشی که در سالهای اخیر ایجاد شده است، وجود تحریمهای سخت بوده که تامین تجهیزات امنیتی را بهویژه بسیار دشوار کرده و از طرفی قوانین سختگیرانه این تحریمها شرکتهای بزرگ امنیتی را در حوزه ارائه خدمات امنیت دچار چالش کرده است؛ تا جایی که اخیرا شاهد قطع برخی از این سرویسها روی تجهیزات خریداری شده قبلی بانکها بودهایم. البته تاکید نهادهای نظارتی مبنی بر استفاده از تجهیزات بومی به دلیل عدم بلوغ فنی شرکتهای ارائهدهنده سرویس به سرانجام مطلوبی نرسیده و در برخی از سرویسهای برخط قابلاعتماد نیستند.
چالش بعدی که در حوزه امنیت وجود دارد، عدم ارائه سرویس رگولاتوری شده از حوزه زیرساخت دیتا کشور است؛ درنتیجه نظارت بر عملکرد مشتریان و جبران حوادث را بر بانک قرار داده است و اجازه دریافت کارمزد هم ندارد.
علی ترابی، رئیس اداره انفورماتیک و بانکداری الکترونیک بانک سرمایه:
امروزه «اطلاعات» بهعنوان داراییهای یک سازمان محسوب میشود و صیانت از داراییها منجر به تداوم کسبوکار و افزایش درآمدها خواهد شد. بدون محافظت از اطلاعات ممکن است محرمانگی کاهش، دستکاری و بهصورت جبرانناپذیری از بین برود و یا غیرقابل دسترسی باشد؛ بنابراین متدلوژیهای امنیت اطلاعات بهمنظور ممانعت از موارد مذکور تعریف شده تا اطلاعات بهصورت امن ایجاد، استفاده، ذخیره و انتقال داده شوند.
نظر به مطالعات میدانی صورت پذیرفته، علیرغم تلاشهای مستمر در حوزه فراهمسازی زیرساخت مناسب بهمنظور تامین و نگهداشت امنیت فضای تبادل اطلاعات لیکن همواره حوزه مذکور با چالشهایی به شرح ذیل روبرو است:
عدم مدیریت منسجم داراییهای اطلاعاتی در یک روش سازمانیافته در راستای بهبود مستمر و تعدیل با اهداف سازمانی کنونی عدم تامین نیازمندیهای امنیتی مشتریان و سایر ذینفعان همگام با رشد سریع تکنولوژیهای مرتبط به حوزه فاوا و شیوع روزافزون مخاطرات سایبریعدم ابلاغ آییننامهها و قوانین و مقررات در حوزه امنیت فناوری اطلاعات از نهادهای نظارتی و متولی در سطح کشوری به طرق منسجم و یکپارچه در سطح نظام بانکیعدم تامین تجهیزات بهروز امنیتی با توجه به شرایط و بحرانهای اقتصادی در حوزه بانکی عدم اطمینان از اثربخشی کافی تامین امنیت اطلاعات به مشتریان و سایر ذینفعان در سطح نظام بانکی (امنیت هرگز بهصورت ۱۰۰ درصد تامین نخواهد شد)عدم اطمینان از کاهش ریسکها و تهدیدات امنیتی در فضای تبادل اطلاعات
لذا با نظر داشت به موارد صدرالاشاره مقتضی است که با دایرکردن چارچوبهای مدیریتی و نگاه استراتژیک برای ایجاد و کنترل اجرا عملیات امنیت اطلاعات در سطح بانک اقدامات گسترده و درخوری صورت پذیرد. / راه پرداخت