مهم‌ترین چالش بانک‌ها در حوزه امنیت

به گزارش بورس نیوز، با گسترش استفاده از اینترنت و خدمات الکترونیکی در حوزه‌های گوناگون ازجمله خدمات مالی و اعتباری به‌ویژه تراکنش‌های مالی نیاز به پیاده‌سازی و ارائه راهکارهای درست و دقیق امنیتی جهت پایین آوردن مخاطرات امنیتی ازجمله الزامات حوزه بانکی است. امنیت که یکی از مهم‌ترین مسائل در حوزه فناوری اطلاعات و ارتباطات است، در بانک‌های کشور با چالش‌هایی روبه‌رو است که بر اساس دغدغه و نیازمندی ذینفعان داخلی و خارجی، عوامل تاثیر گذار محیطی داخلی و خارجی، سطح بلوغ امنیتی، مدل کسب‌وکار، درجه ریسک‌پذیری سازمان، حتی بر اساس خصوصی یا دولتی بودن بانک‌ها، متفاوت و متغیر است. نظر تعدادی از معاونان و مدیران فناوری اطلاعات بانک‌های کشور را در خصوص مهم‌ترین چالش‌هایی که بانک‌ها در حوزه امنیت با آنها مواجه هستند، جویا شدیم. در ادامه پاسخ هر یک از این افراد به‌صورت کامل آمده است.

مسعود خاتونی، معاون فناوری اطلاعات و شبکه ارتباطات بانک ملی:

یکی از مهم‌ترین چالش‌های پیش روی امنیت، هزینه‌های بالای تامین امنیت است. این هزینه‌ها شامل هزینه تجهیزات و ابزارهای تامین امنیت و همچنین هزینه‌های تامین منابع انسانی است. در خصوص تامین تکنولوژی و تجهیزات چالش دیگر تهیه تجهیزات خارجی و مشکل تحریم‌ها و همچنین هزینه‌های هنگفت تهیه است. لازم به ذکر است استفاده از خدمات و تجهیزات بومی نیز چالش‌هایی دارد که مهم‌ترین آن، عدم کارایی مناسب در مقایسه با تکنولوژی‌های خارجی است که با توجه به حساسیت بسیار سرویس‌های بانکی ریسک استفاده از این سرویس‌های بومی دوچندان خواهد بود.

به‌کارگیری استانداردهای بین‌المللی در حوزه‌های بانکی و پرداخت ازجمله PCI و EMV که مدل‌های موفق و آزموده شده در دنیاست نیز می‌تواند از نگرانی‌های امنیتی موجود بکاهد. در این راستا با توجه به مشکلات امنیتی بسیار زیاد کارت‌های مگنت بانکی فعلی، بانک مرکزی می‌تواند به‌عنوان رگولاتور در بهبود و استاندارسازی حوزه‌های پرداخت نقش‌آفرین باشد. گسترش فین‌تک‌ها و بانکداری باز نیز با خود نگرانی‌های امنیتی بسیاری را ایجاد کرده که در این حوزه نیز بانک مرکزی و نقش قانون‌گذاری این نهاد بسیار حائز اهمیت است.

هماهنگی و یاری‌رسانی سایر ارگان‌ها همچون وزارت ارتباطات و زیرساخت‌های مخابراتی کشور نیز ازجمله مواردی است که می‌بایست مورد بازبینی قرار گیرد. برای مثال حملات DDOS به سامانه‌های بانکی بسیار شایع بوده و نقش یاری‌رسانی شرکت زیرساخت در جلوگیری و نهادهایی همچون پلیس فتا در جهت پیگیری موارد بسیار پررنگ خواهد بود.

زهرا میرحسینی، معاون فناوری اطلاعات و ارتباطات بانک پاسارگاد:

بانک‌ها با چالش‌های بسیاری در حوزه امنیت اطلاعات مواجه هستند. مهم‌ترین چالش‌های آنها عبارت‌اند از:

کمبود متخصصان متعهد در این بخش و حفظ و نگاهداشت سرمایه انسانی گران‌قیمت آن.وجود خلاهای قانونی؛ برای مثال حداکثر مجازات‌های در نظر گرفته شده برای جرایم سایبری بسیار اندک بوده و فاقد بازدارندگی مناسب است.لزوم ارتقای سطح آگاهی جامعه از الزامات عمومی امنیت اطلاعات. فقدان آگاهی، همه‌روزه هزینه‌های بسیاری را به مردم، بانک‌ها، نیروی انتظامی و دستگاه قضایی تحمیل می‌کند. به‌عنوان یک پیشنهاد درصورتی‌که بانک‌ها خود در آموزش و فرهنگ‌سازی اصول ساده‌ای مانند مدیریت امن گذرواژه‌ها، به‌کارگیری درگاه‌های امن پرداخت، روش‌های جلوگیری از فیشینگ و غیره پیش‌قدم شوند، می‌توانند ضمن کاهش خسارات مالی، الهام‌بخش سایر نهادها در این حوزه باشند.مسئله دیگر اینکه در برخی موارد، تحریم‌های بین‌المللی در تامین تجهیزات امنیتی، به‌روزرسانی سیستم‌ها و استفاده از خدمات جهانی امنیت مشکل‌آفرین می‌شود. وابستگی فناورانه زیرساخت و نرم‌افزارهای کاربردی مهم به سایر کشورها نیز مشکل دیگر سازمان‌ها است.

در پایان لازم به ذکر است، اتخاذ راهبردهای بلندمدت در حوزه امنیت، قرار دادن این حوزه در اولویت‌های اصلی تصمیم گیران، تنظیم بودجه، ایجاد کارگروه‌های مشترک با حضور کلیه بانک‌ها و تبادل اطلاعات، توجه بیشتر به مسائل حقوقی امنیت و قراردادهای این بخش و بازنگری در قوانین مرتبط، می‌تواند موجب ارتقای سطح امنیت در بانک‌ها و به‌تبع آن در کشور شود.

مرتضی ترک تبریزی، مدیر امور فناوری اطلاعات بانک ملت:

با توجه به شرایط جنگ اقتصادی که از سوی دشمنان کشور تحمیل شده، بانک‌ها به‌عنوان ارکان اصلی اقتصاد در معرض تهدیدات بی‌شماری قرار گرفته‌اند و این موضوع سبب شده مقوله امنیت اطلاعات در بانک‌ها به‌عنوان یکی از دغدغه‌های اصلی مبدل شده است.

طی سال‌های اخیر اقدامات بسیار موثری در حوزه تقویت شرکت‌های داخلی جهت تولید محصولات و ارائه خدمات در حوزه امنیت صورت گرفته، لیکن در شبکه‌های گسترده و بزرگ مالی و بانکی ضروری است صورت بلوغ این اقدامات بالاتر رود. با ظهور فین‌تک‌ها و مباحث جدید بانکداری دیجیتال، کسب‌وکار بانک‌ها دستخوش تغییراتی شده است و این موضوع باعث شده با هدف صیانت از اطلاعات و سرمایه مشتریان موضوع امنیت اطلاعات بیش از پیش موردتوجه بانک‌ها قرار گیرد. به‌تبع این موضوع، نقش رگولاتوری نیز در خصوص تدوین سیاست‌ها و دستورالعمل‌های ارائه خدمات امن در کسب‌وکار جدید نیز می‌بایست مغفول نمانده و همگام با ارائه خدمات جدیدی مثل بانکداری باز و … اقدامات لازم در این خصوص صورت پذیرد.

احمد سلمانی آرانی، مدیر امور فناوری اطلاعات بانک سپه:

اغراق نیست اگر بگوییم با توجه به فضای کسب و درآمد که بر بستر فن‌آوری اطلاعات شکل گرفته است و با لحاظ کردن DRP (Disaster Recovery Plan) و BCP (Business Continue Plan) تمامی سازمان‌ها بر مدیران امنیت CISO (Chief Information Security Officer) خود تکیه زده‌اند؛ اما این رویکرد بار سنگینی را بر دوش مدیران قرار می‌دهد، باری که شاید بدون برخورداری از ویژگی‌های خاص فردی، تامین نیازها از سوی هیات مدیره و هماهنگی عمیق سازمانی قابل‌تحمل نباشد اما اگر با زبان مشترک دوستداران امنیت صحبت کنیم یا به عبارتی همان CIA (Confidentiality Availability Integrity) و PPT (People Process Technology) چالش‌ها و موانع پیشرو عبارت‌اند از:

نبود ساختار امنیت در چارت سازمانی و فقدان خط‌مشی مدون در این راستاعدم تخصیص بودجه مشخص جهت انجام امور امنیتیکاستی‌های فنی در محصولات امنیتی بومی تعدد مراجع امنیتی-نظارتی و عدم یکپارچگی در سیاست‌های امنیتی ابلاغ شدهفقدان برنامه آموزشی مدون در راستای تربیت کارشناس سازمانی در حوزه امنیت و آگاهی‌رسانی در این حوزه به کارکنان عدم وجود زیرساخت‌های مخابراتی لازم جهت ایجاد مسیرهای ارتباطی موردنیاز برای سایت‌های پشتیبان و بحرانفرآیند طولانی تایید صلاحیت کارشناسان و شرکت‌های فعال در حوزه امنیتفرآیند طولانی و قواعد دست و پاگیر در انتخاب ابزار و پیاده‌سازی ISMS، SOC و CERT

محمدعلی بخشی‌زاده، معاون فناوری اطلاعات بانک دی:

با گسترش روزافزون خدمات الکترونیکی در حوزه‌های گوناگون خدمات اجتماعی ازجمله خدمات مالی و اعتباری به‌ویژه تراکنش‌های مالی در بسترهای شاپرک و شتاب، خطرات ناشی از نقض مؤلفه‌های اصلی امنیت اطلاعات شامل محرمانگی، جامعیت و دسترس‌پذیری، بیش از پیش سرویس‌های مالی و اعتباری را تحت شعاع قرار داده است. بر این اساس شناسایی خطرات و آسیب‌پذیری‌ها و ارائه راهکارهای کارآمد در این زمینه، لازمه حفظ کیفیت سرویس‌های ارائه شده به مشتریان و صیانت از حقوق آنان است.

با عنایت به اهمیت بسزای امنیت اطلاعات در تراکنش‌های مالی در کنار توجه به کارایی و سرعت آنها، توجه به چالش‌های امنیتی در حوزه سرویس‌های پرداخت امری اجتناب‌ناپذیر خواهد بود. از سویی تحولات ژرفی در ابزارها و کانال‌های سرویس‌دهی به وجود آمده و از سوی دیگر ابزارهای متنوع و جدیدی ایجاد شده است. به‌عنوان نمونه ابزارهایی مانند دستگاه کارت‌خوان، دستگاه خودپرداز، VTM، اینترنت بانک، موبایل بانک، IPG و … ابزارهای سخت‌افزاری و نرم‌افزاری مورداستفاده هستند به‌علاوه انتظار می‌رود اینترنت اشیا و رمزارزها نیز به‌عنوان ابزارهای تاثیرگذار در حوزه بانکی به لیست اضافه شوند.

علاوه بر این با گسترش استفاده از بانکداری باز و در اختیار قرار دادن زیرساخت‌های بانکی به پیمانکاران و توسعه‌دهندگان نرم‌افزارهای پرداخت الکترونیکی، توجه به این موارد از دیدگاه ریسک‌های امنیتی حیاتی است چراکه تامین امنیت نرم‌افزارهای مذکور به‌تنهایی توسط توسعه‌دهندگان و بدون نظارت جامع بر پایه استانداردهای امنیت اطلاعات امکان‌پذیر نیست.

به همین منظور با در نظر گرفتن موارد اصلی تامین امنیت به ازای هرکدام از این ابزارها، می‌بایست به‌طور مستمر پویش‌هایی به‌منظور کنترل حملاتی از قبیل DDOS و فیشینگ، Spoofing و Skimming صورت گیرد که هر یک در جای خود قابل‌بحث است.

در پایان به‌عنوان پیشنهاد مشخص می‌توان گفت که به‌طورکلی، پس از گذر از مقوله پراهمیت افزایش کیفیت و سرعت تراکنش‌های مالی در زیرساخت‌های شتاب و شاپرک، تمرکز بر امن سازی اطلاعات ردوبدل شده در زیرساخت‌های مذکور با روش‌های سخت‌افزاری و نرم‌افزاری می‌بایست در اولویت فعالیت‌های نظام بانکی کشور قرار گیرد. همچنین به‌منظور رسیدن به هدف نهایی، یعنی امنیت داده‌های حساس مشتریان در نظام بانکی، نظارت نهادهای حاکمیتی بر نحوه پیاده‌سازی استانداردهای امنیتی و پایش مستمر فعالیت‌های بانک‌ها و موسسات موثر خواهد بود که در همین خصوص بومی‌سازی دستورالعمل PSD2 که در اتحادیه اروپا به تصویب رسیده است می‌تواند یکی از اقدامات مناسب و راهگشا باشد.

عشرت عدالت، مدیر امور فناوری اطلاعات و ارتباطات بانک توسعه صادرات ایران:

چالش‌های امنیت در بانک‌ها، همانند هر صنعت و صنف دیگر بر اساس دغدغه و نیازمندی ذینفعان داخلی و خارجی، عوامل تاثیر گذار محیطی داخلی و خارجی، سطح بلوغ امنیتی، مدل کسب‌وکار، درجه ریسک‌پذیری سازمان، حتی بر اساس خصوصی یا دولتی بودن بانک‌ها، متفاوت و متغیر است.

شاید در مجال اندک، بتوان به چند چالش که به نظر می‌رسد در بانک‌ها مشترک باشد، اشاره کرد؛ ابلاغ بخشنامه‌های متنوع و متعدد و مهلت زمانی کوتاه جهت اجرای خدمات جدید یا بازنگری خدمات موجود، امکان طراحی و پیاده‌سازی مناسب در چارچوب استانداردها و بهینه روش‌های امنیتی را از بانک سلب می‌کند.

از سمت دیگر، پس از عملیاتی کردن یک خدمت، بهبود فرایندها و ارتقای امنیتی آن، نیازمند صرف هزینه‌ها و منابع به‌مراتب بیشتر از قبل خواهد بود و با توجه به اهمیت دسترس‌پذیری بالای خدمات بانکی، مخاطرات تغییر در محیط عملیاتی با برنامه‌ریزی دقیقی لازم است صورت پذیرد.

با توجه به اینکه استقرار امنیت اطلاعات در هر سازمانی به‌طور مستقیم خروجی ملموس و مشهودی برای مدیران ارشد ندارد، لازم است به‌منظور به تصویر کشیدن نتایج حاصل از استقرار فرایند امنیت که فراتر از تعریف اهداف امنیت اطلاعات و در راستای اهداف کلان کسب‌وکار بانک و حفظ منافع مشتری (ارائه خدمات امن و یکپارچه و دسترس‌پذیر) به‌عنوان مهم‌ترین ذینفع بانک است تمهیدات لازم صورت پذیرد.

عدم هماهنگی و یکپارچگی موثر نهادهای قانون‌گذار در حوزه بانکی با نهادهای متولی امنیت اطلاعات در کشور باعث خواهد شد قوانین موازی که بعضا تناقضاتی با هم دارند، منجر به صرف منابع سازمان و عدم پیاده‌سازی الزامات به شیوه اثربخشی شود. موقعیت جغرافیایی و سیاسی کشور نیز تشدیدکننده این موضوع است و اهمیت پرداختن امنیت با رویکرد ریسک نیازمند توجه بیشتری در نظام بانکی است. همچنین ریسک نشت اطلاعات مشتری، عدم توجه کافی و مناسب به مبحث حریم خصوصی مشتریان از نمونه چالش‌های دیگر امنیت اطلاعات در بانک‌هاست.

فرهاد بهمنی، مدیر امور فن‌آوری اطلاعات پست بانک:

چالش امنیت را برای بانک‌ها می‌توان به دو دسته «چالش امنیتی برای خود بانک‌ها» و «چالش امنیتی برای مشتریان بانک‌ها» تقسیم کرد.

در خصوص مورد اول، بررسی و آزمون‌های امنیتی و اخذ تأییدیه‌های امنیتی پس از تولید یا خریداری نرم‌افزار به‌صورت مستمر و دوره‌ای توسط ارزیابان و ممیزان بیرون از سازمان برای نرم‌افزارهای موبایلی، وب و نرم‌افزارهای مختص دیوایس یا دستگاه‌های الکترونیکی، سوئیچ و… موردنیاز است.

در خصوص مورد دوم، می‌بایست بانک‌ها شرایط ایجاد تراکنش را از ورودی‌های مختلف (درگاه‌های حضوری و بخصوص غیرحضوری) برای مشتریان امن کرده (از رعایت نکات امنیتی در بخش صادرکنندگی (کارت‌های هوشمند با استاندارد EMV) تا پذیرندگی) و با عنایت به بانکداری باز و حضور فین‌تک‌ها رعایت استانداردهایی مثل PSD2 مدنظر قرار گیرد و همواره اطلاع‌رسانی و آموزش‌های لازم را در اختیار مشتریان قرار دهند.

مونا نهالبار، مدیر امور فناوری اطلاعات و ارتباطات بانک ایران ونزوئلا:

عدم همخوانی رشد بالای تکنولوژی، سخت‌افزارهای مربوطه و نرم‌افزارهای پایشی در مقابل ضریب پایین بودجه‌های مربوط به ارتقای دانش فنی، امنیتی متخصصین این حوزه در بانک‌ها، عدم وجود یکپارچگی کلان در داده‌های کشور که موجب اتصال سیستم‌های Third Party در قالب‌های غیراستاندارد به هسته‌های بانکی می‌شود و ناشی از الزامات نظارتی و یا کسب‌وکاری است ازجمله چالش‌های این بخش است. همچنین درحالی‌که دنیا در حال محاسبات با کامپیوترهای کوانتومی و تخمین بالای شکست هرگونه رمزگذاری توسط این سیستم است، در کشور ما بودجه امنیت اطلاعات، تیتری تجملاتی محسوب می‌شود.

مرتضی بکا، رییس هیات مدیره موسسه ملل:

موسسات اعتباری و بانک‌ها ارائه‌دهنده خدمات پولی و بانکی هستند و مشتریان آنان نیازمند خدمات شبانه‌روزی پایدار و امن، همراه با سرعت و سهولت هستند لذا موسسات اعتباری و بانک‌ها با توجه به داشتن اطلاعات هویتی مالی توأم است و اهمیت داده‌ها و تراکنش‌های مشتریان بسی روشن است لذا نیازمند زیرساخت مناسب هستند که هزینه سنگینی را در بردارد.

در یک نگاه ساده زیرساخت‌ها به سه دسته کلی مراکز داده، شبکه‌های مخابراتی بر بستر LAN WAN و Cloud و سخت‌افزارهای متنوع همراه با نرم‌افزارهای راه‌انداز و کاربری تقسیم می‌شوند. با عنایت به تولید و توسعه اکثر آنها در خارج از کشور، امنیت آنها در شرایط تحریم‌های ظالمانه با چالش‌های مالی، خرید، توسعه، به‌روزرسانی و پشتیبانی اعم از سخت افرازی و نرم‌افزاری با هم گره خورده‌اند که گره‌گشایی آنها با توجه به شرایط اقتصادی و سیاسی کشور تحت تاثیر قرار می‌گیرد. بزرگ‌ترین چالشی که در سال‌های اخیر ایجاد شده است، وجود تحریم‌های سخت بوده که تامین تجهیزات امنیتی را به‌ویژه بسیار دشوار کرده و از طرفی قوانین سخت‌گیرانه این تحریم‌ها شرکت‌های بزرگ امنیتی را در حوزه ارائه خدمات امنیت دچار چالش کرده است؛ تا جایی که اخیرا شاهد قطع برخی از این سرویس‌ها روی تجهیزات خریداری شده قبلی بانک‌ها بوده‌ایم. البته تاکید نهادهای نظارتی مبنی بر استفاده از تجهیزات بومی به دلیل عدم بلوغ فنی شرکت‌های ارائه‌دهنده سرویس به سرانجام مطلوبی نرسیده و در برخی از سرویس‌های برخط قابل‌اعتماد نیستند.

چالش بعدی که در حوزه امنیت وجود دارد، عدم ارائه سرویس رگولاتوری شده از حوزه زیرساخت دیتا کشور است؛ درنتیجه نظارت بر عملکرد مشتریان و جبران حوادث را بر بانک قرار داده است و اجازه دریافت کارمزد هم ندارد.

علی ترابی، رئیس اداره انفورماتیک و بانکداری الکترونیک بانک سرمایه:

امروزه «اطلاعات» به‌عنوان دارایی‌های یک سازمان محسوب می‌شود و صیانت از دارایی‌ها منجر به تداوم کسب‌وکار و افزایش درآمدها خواهد شد. بدون محافظت از اطلاعات ممکن است محرمانگی کاهش، دست‌کاری و به‌صورت جبران‌ناپذیری از بین برود و یا غیرقابل دسترسی باشد؛ بنابراین متدلوژی‌های امنیت اطلاعات به‌منظور ممانعت از موارد مذکور تعریف شده تا اطلاعات به‌صورت امن ایجاد، استفاده، ذخیره و انتقال داده شوند.

نظر به مطالعات میدانی صورت پذیرفته، علیرغم تلاش‌های مستمر در حوزه فراهم‌سازی زیرساخت مناسب به‌منظور تامین و نگهداشت امنیت فضای تبادل اطلاعات لیکن همواره حوزه مذکور با چالش‌هایی به شرح ذیل روبرو است:

عدم مدیریت منسجم دارایی‌های اطلاعاتی در یک روش سازمان‌یافته در راستای بهبود مستمر و تعدیل با اهداف سازمانی کنونی عدم تامین نیازمندی‌های امنیتی مشتریان و سایر ذینفعان همگام با رشد سریع تکنولوژی‌های مرتبط به حوزه فاوا و شیوع روزافزون مخاطرات سایبریعدم ابلاغ آیین‌نامه‌ها و قوانین و مقررات در حوزه امنیت فناوری اطلاعات از نهادهای نظارتی و متولی در سطح کشوری به طرق منسجم و یکپارچه در سطح نظام بانکیعدم تامین تجهیزات به‌روز امنیتی با توجه به شرایط و بحران‌های اقتصادی در حوزه بانکی عدم اطمینان از اثربخشی کافی تامین امنیت اطلاعات به مشتریان و سایر ذینفعان در سطح نظام بانکی (امنیت هرگز به‌صورت ۱۰۰ درصد تامین نخواهد شد)عدم اطمینان از کاهش ریسک‌ها و تهدیدات امنیتی در فضای تبادل اطلاعات

لذا با نظر داشت به موارد صدرالاشاره مقتضی است که با دایرکردن چارچوب‌های مدیریتی و نگاه استراتژیک برای ایجاد و کنترل اجرا عملیات امنیت اطلاعات در سطح بانک اقدامات گسترده و درخوری صورت پذیرد. / راه پرداخت