امنیت در بوته نقد و محک
بررسی وضعیت امنیت صنعت بانکداری کشور در گفتوگو با پنج فعال این حوزه
عصر تراکنش ۵۷؛ ابوالفضل رجبی / امنیت یکی از مهمترین کلیدواژههای این روزهای صنعت بانکداری در دنیاست. با توسعه ابزارهای فناورانه در صنعت بانکی، امنیت در بانکها به مسئلهای حیاتی تبدیل شده است. همچنین با شیوع ویروس کرونا و با توجه به رویکرد تحول دیجیتال در حوزه بانکداری و پرداخت، ضرورت توسعه سامانههای اطلاعاتی متنوع هر روز بیشتر میشود که بدون وجود برنامه صحیح و مدیریتشده تحول دیجیتال، سطح آسیبپذیری در حوزههای مختلف ممکن است افزایش یابد. در نتیجه لزوم توجه به مقوله امنیت در این صنعت روزبهروز بیشتر میشود.
در صنعت بانکداری ایران اگرچه در این سالها تلاش شده که سطح امنیت مطلوبی در پیوند با تجربه کاربری مناسب رقم بخورد، اما بنا به گفته کارشناسان امنیت، همچنان راه طولانی در پیش داریم تا بتوانیم به استانداردهای جهانی حوزه امنیت نزدیک شویم. در ادامه برای آنکه وضعیت امنیت صنعت بانکداری کشور را روشنتر و شفافتر سازیم، با روحالله محمدخانی، مدیر امور امنیت و تداوم کسبوکار داتین؛ رضا اکبری شمیرانی، مدیر اداره کل امنیت اطلاعات بانک ملت؛ مجید جعفریان، رئیس اداره کل مدیریت عملیات بانکی بانک ملی ایران؛ میثم نماینده، مدیر امنیت شرکت بهسازان ملت و حمیدرضا رئیسیفرد، مدیر مهندسی فروش توسن به گفتوگو پرداختهایم.
هیچچیز نافی امنیت نیست
روحالله محمدخانی، مدیر امور امنیت و تداوم کسبوکار داتین معتقد است ما هنوز در صنعت بانکداری داستان موفقیت در وضعیت مطلوب امنیت را تعریف نکردهایم. او در این رابطه میگوید: «اگر وضع مطلوب امنیت را بهدرستی تعریف کنیم، مسیر حرکت به سمت وضع مطلوب مشخص میشود. برای رسیدن به طرح کلی این داستان، یکسری چارچوب وجود دارد. وضعیت مطلوب حوزه امنیت شامل هشت حوزه دانشی میشود که تقریباً در تمام چارچوبها مشترک است. این موارد عبارتاند از: حاکمیت سیستمی امنیت و مدیریت مخاطرات امنیتی، مدیریت امنیت داراییها، معماری امنیتی و اصول مهندسی امنیت، مدیریت امنیت شبکه و ارتباطات، مدیریت هویت و سطوح دسترسی، اجرای ساختارمند انواع آزمونهای امنیتی، مدیریت عملیات امنیت و مدیریت امن چرخه توسعه محصولات.»
محمدخانی صحبتهایش را اینگونه ادامه میدهد: «هر بانک بنا به سطح بلوغ خود و بلوغ صنعت، به بعضی از این جنبهها بیشتر یا کمتر میپردازد. پیشنیاز ورود به این هشت حوزه دانشی، رسیدن به داستان صحیح موفقیت در امنیت برای هر صنعت یا برای هر بانک بهعنوان عضوی از صنعت مالی است. وضعیت مطلوب امنیت در ابتدا اساساً یک وضعیت ذهنی و توصیفی است. در واقع همواره عامل محرک تغییر در هر زمینهای، نیازهای برآوردهنشده هستند. در صنعت بانکداری نیز باید داستان موفقیت هر حوزه، از جمله امنیت را تعریف کنیم که مبتنی بر نیازهای اصلی صنعت در این زمینه باشند. این کار تابهحال به معنای واقعی انجام نشده و حتی حوزههای متولی امنیت در کشور نیز آن را به انجام نرساندهاند. پس تعریف داستان وضعیت مطلوب امنیت، ضروری به نظر میرسد.»
او در ادامه به آسیبشناسی وضعیت امنیت صنعت بانکداری کشور و رویکرد تدافعی میپردازد و میگوید: «اولین چیزی که هر کسی را به سمت تغییر هدایت میکند، دغدغه و درد است. در ادبیات مدیریت تغییر، دغدغه را sense of urgency میخوانند. وقتی حس اضطرار در یک صنعت شکل نگیرد، به سمت هیچ مدل مدیریت تغییر و تغییر ساختیافته حرکت نمیکند. وقتی امور روزمره میگذرد، مدیر به چه دلیل باید هزینهای برای بلوغ بپردازد؟ این تحلیل برای مدیری که هنوز درد را احساس نکرده، منطقی است. به اعتقاد من در دو سال گذشته و بهخصوص یک سال گذشته، به خاطر حملات سایبری که در کشور رخ داد و سایه سنگین فضای امنیتی بر دنیای دیجیتال، این دردها ملموستر شدهاند. برای نهادهای قانونگذار و حاکمیتی، نهادهای امنیتی، صاحبان صنایع و بهخصوص صنعت بانکداری، مسئله امنیت به یک دغدغه جدی تبدیل شده است. البته هنوز به امنیت بیشتر از بُعد تدافعی نگاه میکنند و از وجه تهاجمی امنیت غافل هستند. در حالی که احاطه و تسلط بر این حوزه در کشور میتواند امنیت تدافعی را بهمراتب تقویت کند.»
محمدخانی در انتها در پاسخ به در تضاد بودن نوآوری با امنیت میگوید: «به نظر من هیچچیز نافی امنیت نیست؛ هیچچیز. اساساً امنیت خودش بر پایههای نوآوری رشد میکند و بلوغ آن با نوآوری رقم میخورد. تمام پیشرفتهایی که در زندگی بشر اتفاق افتاده، مبتنی بر نوآوری هستند. اگر کسی بخواهد نوآوری را در تناقض با امنیت بداند، باید از او بخواهیم که تعریف این دو واژه را روشن کند. همانطور که از ابتدا گفتم، داستان و تعریفی که از امنیت مطلوب میآوریم، میتواند ما را به اشتباه بیندازد. وقتی تعریف را به جای پایههای نیاز و اصول، بر ریل راهبردها سوار میکنیم، خیلی چیزها با این تعریف مغشوش در تعارض قرار میگیرند؛ نوآوریهای فناورانه نیز از همین جملهاند. وقتی سهولت دسترسی مردم به فناوری به خاطر نوآوریهای فناوری و شبکه افزایش مییابد، از یک سو سطح امنیت و از طرفی دسترسی حملهکنندگان بالا میرود. شاید در نگاه اول این گزاره غلط به ذهن برسد که نوآوری در تضاد با امنیت است، ولی این خطایی بزرگ است. هیچچیز با امنیت در تعارض نیست.»
عقبماندن بانکهای ایرانی به لحاظ زیرساختها و فرایندهای ریسک از استانداردهای جهانی
رضا اکبری شمیرانی، مدیر اداره کل امنیت اطلاعات بانک ملت، در ابتدا در ترسیم وضعیت مطلوب امنیت در صنعت بانکداری به چند شاخصه و رویکرد اصلی اشاره میکند. او معتقد است توجه به این شاخصهها میتواند وضعیت مطلوب امنیت در صنعت بانکداری کشور را رقم بزند.
او بهترتیب از این شاخصهها نام میبرد: «بهبود وضعیت امنیت فیزیکی – محیطی و مقاومسازی مراکز داده و شعب بانکها، ایجاد و پیادهسازی طرحهای تداوم کسبوکار (مخصوصاً در بخش پشتیبانگیری و بازیابی سرویس)، تقویت زیرساختها و چابکسازی فرایند مدیریت رخدادهای امنیتی، پوشش حداکثری فرایندهای مدیریت دارایی و مدیریت پیکربندی به همراه سرویس کاتالوگ، بازنگری در فرایند مدیریت ریسک پروژههای فناوری اطلاعات با رویکرد مخاطرات عدم انجام، حرکت بانک به سمت فرایندمحوری در حوزه امنیت از طریق پیادهسازی فرایندهای عملیات امنیت مبتنی بر چارچوبهای معتبر، آموزش و آگاهیرسانی در حوزههای امنیت در کلیه سطوح حاکمیتی، مدیریتی و اجرایی، سنجش مستمر دانش امنیتی کارکنان و اثربخشی آموزشهای امنیتی ارائهشده، رفع چالشها در مسیر پیادهسازی سیاستنامههای امنیتی، ممیزی دقیق سیاستنامههای امنیتی داخل بانک، گسترش پوشش چارچوبها و استانداردهای امنیت فناوری اطلاعات که باعث افزایش انطباق با الزامات قانونی و بالادستی میشود و همچنین انضمام الزامات بالادستی در سیاستنامههای امنیتی داخلی از جمله شاخصههایی هستند که میتوانند ما را در نیل به اهداف امنیتی برای رسیدن به وضعیت مطلوب پشتیبانی کنند.»
او در ادامه به ضعفهای ساختاری، نظارتی و فنی در حوزه امنیت در کشور میپردازد و آسیبهای این حوزه را برمیشمارد: «عدم وجود ساختار یکسان بابت متولی امنیت در صنعت بانکداری، کمبود متخصصان متعهد در این بخش و حفظ و نگهداشت سرمایه انسانی گرانقیمت آن، لزوم ارتقای سطح آگاهی جامعه از الزامات عمومی امنیت اطلاعات، تحریمهای بینالمللی در تأمین تجهیزات امنیتی، بهروزرسانی سیستمها و استفاده از خدمات جهانی امنیت، عدم تخصیص بودجه مشخص جهت انجام امور امنیتی در سازمانها، تعدد مراجع امنیتی – نظارتی و عدم یکپارچگی در سیاستهای امنیتی ابلاغشده، کاستیهای فنی در محصولات امنیتی بومی، عدم استقرار کامل نظامهای امن پرداخت (PCI DSS) و نبود بستر امن پرداختهای بانکی (مانند EMV)، عدم وجود نهاد پیگیریکننده و پاسخگوی برخط شبانهروزی برای وقایع امنیتی، فقدان قوانین شفاف، مؤثر و کارآمد در حوزه جرائم سایبری و افشای اطلاعات و عدم وجود دانش فنی کافی در ساختار قضایی کشور جهت رسیدگی به پروندههای جرائم سایبری؛ جملگی از آسیبهای وضعیت فعلی در امنیت صنعت بانکداری کشور هستند.»
شمیرانی در ادامه به چالشهای صنعت بانکداری در زمینه امنیت اشاره میکند و میگوید: «طی تحقیق و گزارشی که توسط مؤسسه جهانی مککنزی در چند سال گذشته منتشر شد، این گزارش به چهار چالش جدی صنعت بانکداری ایران توجه داشته که یک از آن چهار چالش عمده «عقبماندن بانکهای ایرانی به لحاظ زیرساختها و فرایندهای ریسک از استانداردهای جهانی» بوده است. جدایی نسبی سیستم بانکی باعث شده بانکها نتوانند از آخرین روشهای مدیریت ریسک و حاکمیت استفاده کنند و از نظر فناوریهای پیشرفته بانکی نیز عقب بمانند؛ بنابراین رسیدگی سریع به این وضعیت برای ارتباط مجدد با سیستمهای پرداخت جهانی و انجام تراکنشهای بینالمللی ضروری است. البته یکی از راهکارهای برونرفت از این چالش را «استفاده از سیستمهای فناوری اطلاعات جدید و دیجیتالیکردن تمامی فرایندها جهت دستیابی به استانداردهای گزارشدهی مالی و استانداردهای حسابداری بینالمللی» برشمرده که نیازمند نظارت امنیتی بیشتری خواهد بود و این نظارت نیز نیازمند ابزارهای حرفهای است.»
او در ادامه میافزاید: «بانکهای ایرانی نسبت به سایر بخشها در حوزه ICT بیشتر هزینه میکنند و قاعدتاً باید هزینه بیشتری برای تأمین امنیت بپردازند، حال آنکه خوب میدانیم این نسبت به لحاظ رویکردهای مدیریتی بهدرستی رعایت نمیشود و بیشک وضعیت مطلوبی در حوزه امنیت نداریم. وجود داراییهای متعدد نرمافزاری و دادهای حساس در صنایع مالی و بانکی که آسیبپذیریهای بیشتری را بهدنبال خواهد داشت، اولویت و اهمیت ملاحظات امنیتی را بیش از پیش در این صنعت پررنگ میکند.»
شمیرانی در توضیح اینکه نوآوری با امنیت در تضاد یا همگام است، به خط سیر امنیت سایبری میپردازد و میگوید: «با نگاه به تاریخچه امنیت سایبری به نکته جالبی میرسیم؛ اینکه بسیاری از چالشهای ایجادشده در این حوزه و همچنین راهحل ارائهشده، با ایدههای نوآورانه به وجود آمده و حل شدهاند. بهطور مثال اولین ویروس رایانهای و در مقابل آن آنتیویروس رایانهای و استفاده از بستر رمزنگار کلید عمومی ناشی از همین ایدههای نوآورانه بوده و ظهور پیدا کردهاند. مؤسسات مالی برتر متوجهاند که ارزش امنیت سایبری، خود ایجادکننده نوآوری است. بر این اساس ارائههای دیجیتال ملزم به دستیابی و حفظ اعتماد مشتری است که امنیت روابط با مشتری را به وجه تمایزی بلندمدت برای مؤسسات مالی تبدیل میکند. از طرفی ادغام امنیت سایبری و دیجیتال، نوآوری و رشد را سرعت میبخشد. علاوه بر این، زمانی که سازمانهای مالی از ابتدا امنیت سایبری را در تیمهای دیجیتال خود ادغام میکنند، میتوانند تأثیرات را افزایش دهند. هنگامی که سازمانها بهتدریج به این دیدگاه میرسند که امنیت سایبری باعث رشد و ارتقای نوآوری میشود و صرفاً برای جلوگیری از نقضها نیستند، مؤسسات مالی ارزش بیشتری تولید خواهند کرد. همچنین با امنیت سایبری و دیجیتال تلفیقی، شرکتها بهتر میتوانند از خدمات و محصولات خود در مقابل تهدیدات اینترنتی محافظت کنند و به ارائهدهندهای قابل اعتماد مشتریان برای خدمات دیجیتال تبدیل خواهند شد (یک نقش فزاینده حیاتی که رقابت حال حاضر در زمینه فناوری را هدف گرفته است) که در استانداردهایی مانند CISM به آن بهدرستی اشاره شده است.»
او در خاتمه در پاسخ به اقدامات مؤسسات مالی در ترکیب میان نوآوری و امنیت میگوید: «مؤسسات مالی در ابتدا باید این نکته را بررسی کنند که آیا بین امنیت سایبری و دیجیتال ارتباط قطع شده است و سپس این عملکرد را با یکدیگر پیوند دهند تا بتوانند محصولات دیجیتال امنتری را که مشتریمحور و خلاقانهاند، به وجود آورند.»
امنیت همیشه یک مفهوم نسبی و کوانتومی است
مجید جعفریان، رئیس اداره کل مدیریت عملیات بانکی بانک ملی ایران، در ابتدا درباره نسبیبودن مفهوم امنیت و نیز وضعیت مطلوب در سطح امنیت اطلاعات در سازمانها میگوید: «امنیت همیشه یک مفهوم نسبی و کوانتومی بوده است. جالب است بدانید در سال گذشته ۱۵ هزار آسیبپذیری طبقهبندیشده استخراج شده است؛ به عبارت دیگر بهطور متوسط روزانه ۵۰ آسیبپذیری. این رقم که هر ساله افزایش مییابد، تمام سامانههای امنیتی را دربر گرفته و سطح مطلوب امنیت را دچار تغییر میکند، اما امنیت مطلوب بانکی زمانی رخ میدهد که اعتماد در سطح تمام ذینفعان به وجود آورده و همزمان تجربه کاربری را بهدلیل اجرای فرایندهای امنیت اطلاعات دچار مشکل نسازد. به دیگر سخن اگر سطح امنیت بسیار بالا باشد، اما در عین حال تجربه کاربری با مشکلات فراوان مواجه شود، ما به نتیجه مطلوب دست نیافتهایم. در نتیجه توجه به تعادل میان تجربه کاربری و امنیت بسیار حائز اهمیت است.»
او در ادامه درباره توسعه بانکداری الکترونیکی و فرهنگسازی امنیتی در کشور میافزاید: «در کشور ما در سالهای اخیر فعالیتهای زیادی در حوزه امنیت صورت گرفته است. این فعالیتها بهویژه در حوزه بانکداری الکترونیک بسیار مشهود و قابل پیگیری بوده که زمینه فرهنگسازی در رابطه با موضوعات مرتبط با امنیت اطلاعات در سطح کشور را فراهم ساخته است.»
جعفریان در ترسیم وضعیت امنیت بانکی کنونی و همچنین چگونگی شکلگیری چرخه امنیت در کشور میگوید: «وضعیت امروز ما میتواند تفاوت زیادی با وضعیت فردا داشته باشد. ممکن است بانکی تا امروز مورد حملات سایبری قرار نگرفته باشد، اما فرداروزی بهدلیل ضعف در ساختار یا ابزار امنیتی با مشکل مواجه شود؛ بنابراین وضعیت مطلوب هیچگاه پایدار نیست و بسیار متغیر است. در اینجا مهمترین نکته کنترل و ماندگاری امنیت است، نه چیز دیگری. ما نیاز داریم برای امنیت، یک برنامه تدوین کنیم؛ چراکه با این برنامه، چرخه امنیت به گردش درخواهد آمد. ما باید به سمت وضعیت مطلوب حرکت کنیم و برای این مهم باید با برنامه مشخصی پیش برویم.»
او در ادامه به ریسکهای سایبری و بهبود تجربه کاربری میپردازد و میگوید: «ریسک سایبری در تمام شاخصهها و طرحهای راهبردی جزء سه گزینه اولویتدار است. نگاه کلی این است که با ارائه ابزارها و خدمات جدید بتوانیم ریسکهای آنها را نیز از نظر امنیتی کنترل کنیم. زمانی که ما به سوی خلق ارزشهای جدید پیش میرویم، باید به ریسکهای فناورانه – امنیتی نیز توجه کنیم تا تجربه کاربری را بهبود ببخشیم.»
جعفریان در پایان درباره ارتباط میان نوآوری و امنیت میگوید: «قطعاً از نوآوری گریزی نیست. صنعت بانکداری امروز نیز بر اساس نوآوری پیش میرود. این نوآوری باید بتواند زندگی مردم را بهبود بخشد و فرایندها را ساده کند. در عین حال باید به این نکته توجه داشت که امنیت هرگز نافی نوآوری نخواهد بود.»
هنوز قوی سیاه امنیت کشف نشده است
میثم نماینده، مشاور امنیت شرکت بهسازان ملت، مسئله امنیت را مهمترین دغدغه اصلی هر ساختاری با زیرساختهای حیاتی میداند. او معتقد است که هنوز قوی سیاه امنیت کشف نشده و اگر این اتفاق رخ دهد، فاجعهای رقم خواهد خورد. نماینده همچنین در رابطه با وضعیت مطلوب امنیت در بانکها میگوید: «امنیت سایبری در اصل، قرار دادن اعتماد مشتری در مرکز رقابت است. در حال حاضر حوزه امنیت اطلاعات نهتنها در زیرساختهای بانکی، بلکه در اپراتورهای تلفن همراه، خط انتقال نفت و گاز و بیمارستان و حتی سامانه کنترل صنعتی پالایشگاه، به دغدغه اصلی دولتها و کشورهای گوناگون تبدیل شده است. به نظرم وضعیت مطلوبی در زمینه امنیت اطلاعات وجود ندارد و زمانی که تصمیمگیران یک مجموعه به این نتیجه برسند که در زمینه امنیت اطلاعات به نقطه مطلوب رسیدهاند، باید آماده رویارویی با قوی سیاه امنیت باشند. بانکها در ایران باید حداقل با معیارهای مقررات عمومی حفاظت از دادهها یا همانGDPR انطباق داشته باشند و سرمایهگذاری در بهبود مستمر امنیت اطلاعات را سرلوحه عملکرد روزانه خود قرار دهند. توجه داشته باشید که ریسک سایبری بر اساس قانون «مور» رشد میکند؛ بنابراین راهکارهای فناوری اطلاعات لزوماً نمیتوانند پابهپای تهدیدات سایبری تکامل پیدا کنند و متولیان امر باید بدانند که صبر و حوصله در مواجهه با تهدیدات سایبری مهمترین عامل در باز کردن چتر فرهنگ امنیت در هر ساختاری با زیرساخت حیاتی است.»
او در ادامه به واگرا بودن قوانین امنیت سایبری و حفظ حریم خصوصی مشتریان اشاره میکند و میگوید: «در حال حاضر قوانین امنیت سایبری و حفظ حریم خصوصی در یک حالت واگرایی قرار دارند و نهادهای قانونگذار باید حداکثر تلاش خود را به کار بگیرند تا این دو شاخصه به یکدیگر نزدیک شوند، اما متأسفانه این فقدان در وضعیت فعلی بهشدت حس میشود و این امر یکی از مخاطرات بانکهاست. نهادهای قانونگذار باید به سمت ساختارهای جدید بانکداری حرکت کنند؛ هرچند در ایران عدم اشتیاق برای استقرار مدلهای جدید حاکمیتی کاملاً مشهود است. حرکت ما به سمتوسوی هوش مصنوعی در شناسایی تهدیدات داخلی و خارجی یکی دیگر از ابزارهای مهم در رسیدن به وضعیت مطلوب است. در آینده هوش مصنوعی میتواند بسیار سریعتر از مدیران امنیت عمل کند. البته به وجود آمدن این پارادایم در کشور منوط به تغییر رویکرد به مسئله امنیت و فناوری است.»
نماینده همچنین به تغییر رویکردها و مدلهای کنونی به امنیت و توسعه زیرساختها در راستای توسعه وب ۳.۰ و بلاکچینها میپردازد و میگوید: «پیشبینی من این است که تا دهه آینده، حوزه امنیت از مدل فعلی خارج میشود و ما باید به فکر یک چاره باشیم تا چالشها و پیچیدگیها را مدیریت کنیم. از طرفی گسترش سریع مفاهیم پایهای بلاکچین و حتی وب ۳.۰ این نوید را میدهد که این تغییر مدل اجتنابناپذیر است، اما اینکه برای این تغییر چقدر آمادگی داریم، خود داستان جداگانهای است. با این تغییرات، حملات سایبری هم که به جنگاوری زیر آستانه معروف شدهاند، به شکل روزانه برای اختلال در سیستم بانک یا سرقت از آن، پیشرفتهتر خواهند شد. این مسئله میتواند امنیت بانکها را با چالشهای جدی روبهرو کند. ما باید به بلوغ بهرهبرداری از ابزارهای فناوری – امنیتی نیز برسیم تا بتوانیم در مقابله با تهدیدات واکنش مناسب نشان دهیم، البته برای رسیدن به این بلوغ راه طولانی در پیش داریم.»
او در انتها درباره نگاه به نوآوری و تضاد رویکردی آن با امنیت میگوید: «مفاهیم نوآوری در ایران با سایر کشورها بسیار متفاوت است. نوآوری توانایی ساختارسازی و شبکهسازی و متمرکزسازی و افزایش مقیاس عملیات را در پی دارد، اما این نوآوری میتواند با یک حمله تخریب شود. نوآوری هم میتواند ما را ضعیف کند و هم میتواند به عملکرد ما قوت ببخشد. ما نیازمند نظریهپردازانی در کشور هستیم که در حوزه بهداشت سایبری رویکردهایی را مشخص کنند تا بتوانیم از نوآوری استفاده بهینه کنیم. متأسفانه نوآوری با تولید ابزارها و دانش نسبی مترادف شده که به کار بهرهبرداری اقتصادی صرف میخورند. این رویه در مواجهه با نوآوری با شکست مواجه خواهد شد و امنیت را نیز مخدوش خواهد کرد.»
امنیت جزء اساسیترین تعاریف بانک است
حمیدرضا رئیسیفرد، مدیر مهندسی فروش توسن، در ابتدا درباره شاخصه امنیت در بانکها و پیچیدگیهای الزامآور توسعه الکترونیکی بانکها به موازات توسعه سطح امنیتی میگوید: «موضوع امنیت جزء اساسیترین تعاریف بانک است و از ابتدا تاکنون جزء تعریف بانک بوده و یکی از دلایل به وجود آمدن بانکها امنیت است؛ بنابراین بانکها مجبورند سطح بالایی از امنیت را برای ساختار سیستمی خود لحاظ کنند. امروزه بهدلیل اینکه بانکها به سمت دیجیتالیشدن حرکت میکنند، موضوع امنیت نیز بسیار حائز اهمیت شده و پیچیدگیهای خاص خود را یافته است. به همین جهت باید امنیت را در بالاترین سطوح و همزمان در حد استفاده آسان کاربر عام ایجاد کنند؛ این رویکردی است که بهنوعی در سراسر دنیا پذیرفته شده است. در این صنعت بانکها شاخص امنیت هستند و سرویسهای امنیتی برخی از بانکها بهمنظور استفاده دیگران به فروش نیز میرسد.»
او در ادامه به ضرورت پیوستن ساختار و شبکه امنیت بانکی کشور به شبکه امنیت جهانی و یکسانسازی استانداردهای امنیت با وضعیت جهانی میپردازد و میگوید: «پیوستن به استانداردهای امنیتی دنیا باید بهعنوان تکلیف و خطمشی بانکهای ما مدنظر قرار بگیرد. ما در کشور برای حفظ امنیت، بهخصوص در سالهای اخیر و با توجه به اتفاقات و تهدیداتی که صورت گرفته، تلاشهای زیادی کردهایم. در این میان بانک مرکزی تلاش قابل تقدیری برای افزایش سطح امنیت بانکها داشته است، اما موضوع اینجاست که ما باید سعی کنیم با پیوستن به شبکههای جهانی مسیر امنیتی را استانداردتر و کاملتر کنیم. به دیگر سخن، نباید منتظر بمانیم تا حملهای رخ دهد تا راهحلی برای آن پیدا کنیم؛ بلکه باید بدانیم که این تجربهها را دیگر کشورها داشتهاند و پروتکلهای مشخصی برای مقابله با آنها تعریف کردهاند. بانکداری دیجیتال ابداع ما نیست و نمیتوان با راهکارهای بدون پشتوانه مشخص درباره این مسائل تصمیم گرفت.»
رئیسیفرد همچنین میافزاید: «در سال آینده قضیه نئوبانکها و بانکداری دیجیتال و همچنین دفاتر کل توزیعشده و کیف پولها جزء کلمات کلیدی خواهند بود. هر کدام از این موارد نیازمند یک لایه امنیتی مشخص هستند و برای پیشبرد اهداف بانکها این سطح امنیتی باید افزایش محوری پیدا کند.»
او در خاتمه در پاسخ به تضاد نوآوری با امنیت و چالشهای میان این دو محور اساسی صنعت بانکداری میگوید: «نوآوری را نافی امنیت نمیدانم. نوآوری یک نیاز مهم برای بلوغ هر سیستمی است؛ اگرچه مخاطرات خودش را نیز دارد. به نظر من با وجود اینکه اینطور به نظر میرسد که راهکارهای نوآورانه، به ایجاد کانالهای جدید ارائه سرویس (جدید به لحاظ نوع ارتباط یا نحوه ارائه خدمات یا …) منجر میشوند و در نتیجه ریسکهای امنیتی را با خود به همراه خواهند آورد، اما با رعایت قواعد و استانداردهای امنیتی میتوان ریسکها را به نحوی مدیریت کرد که عملاً نوآوری، به هیچوجه «نافی» امنیت نباشد.»