در اهمیت خشت اول
علیرضا ماهیار، فرهاد بهمنی، سیدمحمدرضا مصطفوی و محمدرضا غفوری از چالشهای امنیتی بانکها میگویند
عصر تراکنش ۶۴ / امروزه «اطلاعات» بهعنوان داراییهای یک سازمان محسوب میشوند و صیانت از آنها یک ضرورت است؛ ضرورتی که در صنعتی مانند مالی و بهخصوص بانکها اهمیتش چندینبرابر میشود. هر یک از بانکهای کشور میلیونها کاربر را تحت پوشش دارند؛ کاربرانی که میتوان آنها را داراییهای بانکها دانست و جلب اعتماد آنها از طریق حفظ اطلاعات و امنیت حسابهایشان امری مهم برای بانکهاست. در واقع امنیت را میتوان جزء لاینفک و شاید مهمترین رکن ایجاد اعتماد در مشتریان بانکها دانست. بانکهای کشور نیز تابهامروز مکانیسمهایی را به کار گرفتهاند تا اختلال جدیای در روند تداوم کسبوکارشان ایجاد نشود، اما باید توجه داشت که این فعالیتها برای تأمین امنیت کافی نیستند و امنیت به اقدامات مداوم نیاز دارد.
البته برای اجتناب از آسیبپذیریهای پنهان، امنیت باید با فرایند توسعه عجین شود، نه اینکه بعداً ضمیمه شود. با این حال و با وجود اینکه امنیت یکی از مهمترین مسائل در صنعت بانکی است، بانکهای کشور در این زمینه با چالشهایی روبهرو هستند؛ چالشهایی که بر اساس عوامل تأثیرگذار محیطی داخلی و خارجی، سطح بلوغ امنیتی، مدل کسبوکار، درجه ریسکپذیری سازمان و حتی بر اساس خصوصی یا دولتیبودن بانکها، متفاوت و متغیر است. در گفتوگویی که با علیرضا ماهیار، معاون فناوری اطلاعات بانک ملی ایران؛ فرهاد بهمنی، عضو هیئتمدیره پستبانک؛ سیدمحمدرضا مصطفوی، مدیر اجرایی فناوری اطلاعات بانک قرضالحسنه رسالت و محمدرضا غفوری، کارشناس صنعت بانکی داشتیم، به مهمترین چالشهای بانکهای کشور در حوزه امنیت اطلاعات پرداختیم.
جذب و نگهداشت نیروی متخصص؛ چالشی جدی
با توجه به صحبتهای علیرضا ماهیار، معاون فناوری اطلاعات بانک ملی ایران، اگر کمی به عقبتر برگردیم، مهمترین ویژگی یک بانک که آن را از سایر رقبایش متمایز میکرد، میزان امنیت بانک و سطح اعتماد مشتریان به بانک بوده و قبلاً منظور از امنیت میزان استحکام گاوصندوقها و تعداد نگهبانان بانک بود، ولی اکنون این مفهوم تغییر کرده است. او در اینباره بیشتر توضیح میدهد: «واقعیت این است که هنوز هم با وجود ایجاد تغییرات گسترده در ساختار بانکها و خواستههای مشتریان، امنیت جزء لاینفک و شاید مهمترین رکن ایجاد اعتماد در مشتریان بانکهاست. تنها تفاوت هم تغییر مدل امنیت از امنیت صرفاً فیزیکی به امنیت دیجیتالی است.
اما این دگردیسی باعث ایجاد پیچیدگیها و تغییرات بسیاری در نگرش بانکها به موضوع امنیت و منابع سختافزاری، نرمافزاری و انسانی بانکها شده است. نرخ رشد پیشرفت فناوری در سالهای اخیر هم برای افزایش بیش از پیش این پیچیدگیها مزید بر علت شده است.»
ماهیار بر این عقیده است که چالشهای فراوانی در حوزه تأمین امنیت سایبری در کشور وجود دارد که این چالشها در صنعت پولی و بانکی کشور بهدلیل حساسیتهای فراوان موجود بسیار پررنگتر است. او میگوید: «اگر بخواهیم عوامل ایجاد بانکی امن را تقسیمبندی کنیم، باید گفت سه بخش منابع انسانی، فناوری و فرایندها، مواردی هستند که در راه امنسازی باید به آنها توجه ویژهای کرد.
شاید در حال حاضر و با توجه به شرایط کنونی کشور مهمترین و اصلیترین چالش پیش رو برای واحدهای امنیت سایبری بانک کمبود نیروهای متخصص در این حوزه باشد. بهدلیل عدم پرورش نیروهای دستبهآچار حوزه امنیت در دانشگاهها و همچنین مهاجرت گسترده نیروهایی که در این حوزه باتجربه هستند، ما با مشکل جدی در زمینه تأمین نیروی متخصص امنیت مواجه هستیم و در واقع حساسیت این حوزه هم به قدری بالاست که امکان پرورش متخصص از صفر علاوه بر هزینههای گزاف برای سازمان و همچنین ریسک جدایی نیروها بعد از آموزش، ریسکهای امنیتی فراوانی را نیز برای بانک ایجاد میکند. موضوع دیگری هم که در بخش منابع انسانی وجود دارد، این است که با فرض وجود متخصص باتجربه، این نیروها بسیار گرانقیمت هستند و در صورت دریافت پیشنهادهای بالاتر از سایر سازمانها، نگهداری آنها در بانک سختتر هم میشود.»
به گفته معاون فناوری اطلاعات بانک ملی ایران، چالش مهم دیگر در حوزه فناوری است. بهدلیل قیمت بالای فناوریهای امنسازی، چه در حوزه نرمافزاری و چه در حوزه سختافزاری و همچنین وجود تحریمهایی که کشور با آنها روبهروست، تأمین فناوری مناسب و بهروز یک چالش اساسی و در عین حال خطرناک است. او با مثالی توضیح میدهد: «برای مثال فرایند خرید تجهیزات نوین حوزه امنیت علاوه بر روالهای طولانی اخذ مجوز و تأمین بودجه خصوصاً در بخش دولتی، بهدلیل نیاز به دور زدن تحریمها و طی فرایندهای مرتبط با گمرکات و واردات تجهیزات، گاه تا ۱۰ ماه ممکن است طول بکشد و این مورد وقتی پررنگتر و خطرناکتر میشود که به این تجهیزات نیاز فوری داشته باشیم، آن هم در شرایطی که فعالیت و سرویسدهی بانک قابل توقف نیست و تداوم کسبوکار امن اولین و مهمترین اصل در صنعت بانکی است.
ذکر این نکته هم ضروری است که در بیشتر مواقع تأمین بودجههای هنگفت جهت تأمین امنیت هم بهدلیل ماهیت غیرقابل سنجشبودن خروجیهای امنسازی و محدودیتهای بودجهای امری دشوار و در برخی موارد ناشدنی است. تدوین فرایندهای ایمنسازمانی و برونسازمانی و انطباق با استانداردها و دستورالعملهای نهادهای متعدد متولی امنیت در حوزه بانکی و جاریسازی آن در سازمان بهعنوان فرهنگ ایمن سازمانی هم از مواردی است که شاید کمتر به آن توجه شود، ولی بسیار تأثیرگذار است.»
ماهیار در خصوص راهکارهای مرتفعسازی چالشهایی که به آنها اشاره کرد، به این نکته میپردازد که حل بخشی از این چالشها در واقع فراتر از اختیارات حوزه بانکی کشور است و بیشتر مرتبط با موضوعات کلان و سیاستهای بالادستی هستند. او میگوید: «اما این بدین معنا نیست که باید نشست و دست روی دست گذاشت و منتظر حلشدن موضوعات بود. واقعیت این است که با وجود محدودیتهای فراوان تابهامروز نظام بانکی کشور توانسته در حوزه تأمین امنیت سایبری موفق عمل کند و مکانیسمهایی را به کار گیرد که اختلال جدی در روند تداوم کسبوکار بانکها ایجاد نشود.
اما این فعالیتها کافی نیست و برای رسیدن به سطح مطلوبتر، کار برای انجام زیاد است. شاید نشود جلوی مهاجرت نیروهای متخصص را گرفت، اما با سرمایهگذاریهای بلندمدت در آموزش و تربیت نیروهای متخصص که نیازمند همکاری بیشتر سایر نهادها همچون وزارت علوم، معاونت فناوری نهاد ریاستجمهوری و بانک مرکزی نیز هست، میشود نسبت به رفع مشکل اساسی تأمین نیروی متخصص اقدام کرد.
در خصوص تأمین بودجههای مرتبط با امنیت نیز شاید تغییر در ساختارهای واحدهای امنیت بانک و استقلال آنها و اختصاص بودجههای متناسب با خواستههای بانک در حوزه امنیت، مشکلگشا باشد. البته در این خصوص نیز کمک و مشارکت نهادهای بالادستی در خصوص ابلاغ و الزام بانکها به استقلال و تقویت واحد امنیت راهگشاست. حمایتهای بیشتر از شرکتها و نهادهای تولیدکننده فناوری داخلی امنیت اطلاعات نیز یکی از راهکارهای مرتفعسازی مشکل تأمین فناوری است. اما باید اشاره کرد که کماکان بخش اعظمی از نیازهای فناورانه این حوزه مستلزم استفاده از فناوریهای وارداتی است و ایجاد انحصار محصولات بومی میتواند شمشیری دولبه در زمینه امنیت سایبری کشور باشد.»
معاون فناوری اطلاعات بانک ملی ایران، وضعیت امنیت اطلاعات کشور در صنعت بانکی را قابل قبول توصیف میکند، ولی میگوید کاستیهایی وجود دارد و تا رسیدن به شرایط مطلوب کمی فاصله وجود دارد. ماهیار در اینباره توضیح میدهد: «ایجاد سنجههای قابل اتکا جهت ارزیابی سطح امنیت و همچنین تعیین اولویتهای سازمان از میان اهداف کسبوکاری و اهداف امنیتی و همراستاسازی این اهداف جهت رسیدن به وضعیت مطلوب امری اجتنابناپذیر و ضروری است. از همین رو یک شرایط مطلوب و ایدهآل امنیت سایبری، مخصوصاً در صنعت بانکداری موضوعی نیست که یک تعریف مشخص و ثابتی داشته باشد و المانها و عناصر متغیری در تعریف آن شرایط نقش دارند.
در واقع تمامی عناصری که به هر نحوی با محافظت از اطلاعات و داراییهای مشتریان بانک در برابر افشا یا سرقت مرتبط باشد و همچنین میزان در دسترس بودن سرویسهایی که بانک در اختیار مشتریانش قرار میدهد، در رسیدن به شرایط مطلوب امنیت در صنعت بانکی تعیینکننده است.
برای تحقق سطح مطلوب امنیت و با توجه به عناصری که اشاره شد، عوامل تأثیرگذار مختلفی وجود دارند که در کنار هم ترسیمکننده سطح امنیت بانک هستند. عواملی همچون نیروی انسانی، تجهیزات و سختافزارها، فرایندهای سرویسدهی، شرایط برونسپاری و مدیریت پیمانکاران، انسجام و استقلال تشکیلات امنیت در ساختار سازمانی بانک، میزان بودجه در اختیار و قوانین و مقررات حاکم بر صنعت از جمله مواردی هستند که نقش تأثیرگذاری در رسیدن به شرایط مطلوب امنیت دارند.»
مهمترین اتفاقات حوزه امنیت ناشی از پرسنل ناراضی است
فرهاد بهمنی، عضو هیئتمدیره پستبانک درباره چالش بانکها در حوزه امنیت اطلاعات، ابتدا به کمبود نیروی متخصص در حوزه امنیت و مشکلات جذب آنها اشاره میکند و آن را یکی از اصلیترین چالشها در این حوزه میداند. او در توضیح این چالش میگوید: «استرس و مسئولیت بالای این حوزه سبب میشود که همکاران متخصص ترجیح دهند در حوزههای دیگر فناوری اطلاعات در بانکها مشغول به کار شده، یا جذب شرکتهای خصوصی شوند، یا بهصورت فریلنسر به فعالیت خود ادامه دهند.
دلیل وجود این چالش، حقوق و مزایای پایین، بهویژه در بانکهای دولتی و همچنین عدم در نظر گرفتن حقوق و مزایای ویژه برای پرسنل این بخش با توجه به حساسیت این شغل است. همچنین مشکلات جذب نیرو و فرایند طولانی بهروزرسانی چارت سازمانی در بانکهای دولتی از دیگر دلایل این چالش است. به عبارتی مهمترین اتفاقات حوزه امنیت ناشی از پرسنل ناراضی است.»
به گفته بهمنی، لزوم پاسخگویی به نهادهای نظارتی متعدد مانند مرکز مدیریت راهبردی افتای ریاستجمهوری، سازمان پدافند غیرعامل، مرکز فضای مجازی و سازمان فناوری اطلاعات، پلیس فتا، بانک مرکزی و… موجب شده بیشتر وقت و انرژی مدیران و پرسنل حوزه امنیت بر این امر متمرکز شود و از تمرکز روی فعالیتهای عملیاتی و اصلی کاسته شود. او در اینباره میگوید: «برای رفع این چالش، میبایست از نامهنگاریهای متعدد و موازی توسط سازمانهای بالادستی جلوگیری شده و یک نهاد با هماهنگی با سایر نهادها، نسبت به این امر اقدام کند.»
عضو هیئتمدیره پستبانک، ابهامات موجود در این حوزه را بهدلیل تازگی برخی نیازمندیها، یکی دیگر از چالشهای این حوزه میداند و درباره این چالش میگوید: «بهطور مثال بخشنامه بانک مرکزی در خصوص راهاندازی آزمایشگاه امنیت سایبری که در سال گذشته به بانکها ابلاغ شد، دارای ابهامات زیادی در زمینه پیادهسازی است و اهداف این پروژه مشخص نشده است. بهطوری که اغلب بانکها بهدلیل عدم رفع ابهامات موجود و عدم وجود دستورالعمل دقیق، پیادهسازی پروژه را متوقف کردهاند.»
یکی دیگر از چالشهایی که بهمنی به آن اشاره میکند، عدم همکاری کامل سایر واحدها با واحد امنیت است؛ بنابراین هنگام انجام بسیاری از پروژههای امنیتی مانند مسدودسازی دسترسیهای کاربران و… با مشکل مواجه میشود. او در اینباره توضیح میدهد: «همچنین الزامات ابلاغی از سوی واحد امنیت از سوی واحدهای دیگر بهدرستی انجام نمیشود.»
به عقیده بهمنی، با توجه به حساسیت و اهمیت حوزه امنیت، لازم است تا پروژههای امنیتی بانکها در اولویت قرار گرفته و جهت ابلاغ اعتبار، انجام مراحل مناقصه و… با سرعت و جدیت بیشتری از سوی واحدهای دیگر بانک پیگیری شود. او میگوید: «همچنین سایر موارد اداری این حوزه مانند بهروزرسانی چارت سازمانی، جذب نیرو، اختصاص فضای فیزیکی مناسب جهت پیادهسازی پروژههای امنیتی و مانیتورینگ سامانههای مختلف و استقرار نیروها با سرعت بیشتری انجام میشود. با توجه به حساسیت این حوزه، مدیران و پرسنل امنیت باید بهصورت شبانهروزی و ۷×۲۴ آنکال و در دسترس بوده و همین امر استرس بیش از حدی را به پرسنل این حوزه تحمیل میکند. افزایش تعداد پرسنل و در نظر گرفتن شیفت ۷×۲۴ جهت پاسخ سریع به حملات سایبری میتواند در کاهش این استرس مؤثر واقع شود.»
به گفته او یکی دیگر از مشکلات، حملات شدید و غیرمعمول هکرها به کشور ماست که نسبت به سایر کشورها بیشتر است و هوشیاری و کار بیشتری را برای حفظ امنیت میطلبد و نگرانی بابت نرمافزارهای خارجی هم همیشه وجود دارد. او توضیح میدهد: «بهدلیل بالارفتن قیمت دلار افزایش هزینههای حوزه فناوری هم مزید بر علت شده تا نتوان شرایط ایمن را بهطور کامل پیادهسازی کرد. با توجه به تمامی مواردی که پیشتر ذکر شد، به نظر میرسد در حوزه امنیت از وضعیت مطلوبی برخوردار نبوده و رفع چالشهای مذکور میتواند کمک شایانی جهت بهبود وضعیت موجود داشته باشد.»
امنیت افزودنی نیست و باید از ابتدا در نظر گرفته شود
سیدمحمدرضا مصطفوی، مدیر اجرایی فناوری اطلاعات بانک قرضالحسنه رسالت با بیان اینکه چالشهای حوزه امنیت اطلاعات در حوزه بانکی بارها مطرح شده، ولی به نظر میرسد دلایل ریشهای موانع به اندازهای که باید مورد توجه قرار نگرفته، میگوید: «امروزه تمامی کارشناسان و پیشروان در حوزه بانکی به چالشهای این حوزه اشراف دارند؛ چالشهایی از قبیل وجود تحریمها، هزینههای بالا (از نیروی متخصص گرفته تا تجهیزات و نرمافزارها)، ناکافیبودن مراکز مشترک تعاملی امنیتی بین بانکها و…؛ اما بسیاری از این چالشها خود علت ریشهای دیگری دارد و تا علتها بهدرستی رسیدگی نشود، چالشها باقی میماند و با پیشرفت فناوری اطلاعات، عمیقتر هم خواهند شد. بهطور کلی این موانع را میتوان به دو بخش موانع برونسازمانی و درونسازمانی تقسیم کرد.»
طبق صحبتهای مصطفوی درباره موانع برونسازمانی، نهادهای نظارتی کشور با تعیین الزامات و ایجاد ساختارهای لازم و خطمشیها کمک شایانی در امر توسعه و استقرار امنیت سایبری کردهاند، اما در این حوزه مشکلاتی نیز به وجود آمده که باعث صرف انرژی و هزینه زیاد میشود. او در اینباره اینگونه توضیح میدهد: «تعدد نامههای ارسالی مشابه از نهادهای بالادستی باعث شده متخصصان زمان زیادی را صرف پاسخگویی به موارد نسبتاً تکراری کنند.
در این رابطه بهتر است به جای این همه پراکندگی و موارد تکراری، دستورالعملهای جامع و کمتعداد تهیه و برای همان دستورالعملها ویرایش جدید ارائه شود. عدم در نظر گرفتن بلوغ سازمان نیز باعث به وجود آمدن مستندات غیراجرایی در سازمانها شده است. دخالت در اجرای روشها و عدول از نقش سیاستگذاری بهعنوان مثال، اجبار استفاده از محصولات بومی غیرمؤثر (و تحمیل مضاعف) از دیگر چالشهایی است که این نهادها برای بانکها به وجود آوردهاند.
همچنین آگاهیرسانی عمومی (در حوزه امنیت عمومی و فیشینگ و کلاهبرداریها) بهدرستی انجام نمیشود که علت آن عدم استفاده مفید از ظرفیت شبکههای اجتماعی، کانالهای پرمخاطب، بیلبوردهای پربازدید و استفاده از روشهای مدرن از قبیل انیمیشن و… است. سازوکارهای قانونی نیز در برخورد با متخلفان کمتأثیر نبوده و فرایند رسیدگی به تخلفات حوزه سایبری را بسیار طولانی کرده است. مهاجرت متخصصان حوزه بانکی به کشورهای خارجی نیز از دیگر چالشهای اصلی است که از دلایل اصلی کمبود متخصص در این حوزه بهشمار میرود که خود دلایل ریشهای دیگری دارد.»
او سپس به موانع درونسازمانی میپردازد و میگوید که از موانع ریشهای اساسی که در بسیاری از سازمانها طی سالهای متمادی وجود داشته و هنوز هم مشاهده میشود، عدم وجود رویکردی است که امنیت اطلاعات را ضرورت بقای کسبوکار بداند. صرفاً آگاهی مدیریت امنیت اطلاعات برای داشتن چنین رویکردی کافی نیست و تا مدیران ارشد سازمان چنین رویکردی نداشته باشند، امکان استقرار امنیت اطلاعات وجود نخواهد داشت.
مصطفوی در اینباره میگوید: «داشتن چنین رویکردی برای مدیران میانی یک سازمان و مالکان محصولات و سامانهها نیز از اهمیت ویژهای برخوردار بوده و بدون همکاری مستمر این مدیران با کارشناسان حوزه امنیت، پیشرفت در این حوزه امکانپذیر نیست. برای سالهای متمادی رویکرد امنیت صحیحی در سازمانها وجود نداشته و قرار است اکنون امنیت به زیرساختهایی که معماری امنیتی در آنها رعایت نشده، اضافه شود؛ در صورتی که امنیت افزودنی نیست و باید از ابتدا در نظر گرفته شود.»
به عقیده مدیر اجرایی فناوری اطلاعات بانک قرضالحسنه رسالت، در زیرساختها، سامانهها و سرویسها امنیت قربانی میشود. بدون پاسکردن استانداردها، بدون نظارت کافی در معماری امنیت، بدون تهیه مستندات کافی و قابل قبول، تحلیل ناکافی قبل از طراحی، عدم تست کافی، زمانبندی نادرست، عدم وجود فرایندهای امنیتی، عدم اجرای فرایندهای مدون، دور زدن فرایندها و الزامات و برنامهریزیهای نادرست، امنیت قربانی سرویس میشود.
او با بیان این موارد میگوید: «در حالی که طبق تأکید پیشروان این حوزه، در صورتی که امنیت از مراحل ابتدایی تحقیقوتوسعه و در معماری در نظر گرفته نشود، اضافهکردن آن ناممکن یا بسیار دشوار خواهد بود. اجرای تمامی موارد فوق و سایر موانع، مستلزم فرهنگسازی اساسی در تمام بدنه ساختار بانکی کشور است. در عین حال که باید بابت کدورت احتمالی نهادهای تخصصی امنیتی یا همصنفان بانکی عذرخواهی کرد، باید بیان کرد که امنیت فناوری اطلاعات مبحثی جدی است که با تعارف و تعریف نمیتوان از عهده چالشهای آن برآمد.»
اقدامات انجامشده کافی نیست
با توجه به رشد و توسعه فناوری اطلاعات، خدمات بانکداری نیز روزبهروز توسعه یافته و فرصتهای جدیدی را برای بانکها به وجود آورده تا از طریق آن به مشتریان خدمترسانی کنند؛ با این وجود، به گفته محمدرضا غفوری، کارشناس صنعت بانکی، توجه به اهمیت و جایگاه امنیت در بانکداری موجب دغدغه نظام بانکی در گسترش خدمات بانکداری بوده و هست. او در اینباره میگوید: «بانکداری دیجیتال بدون تأمین امنیت اطلاعات بیمعناست. برای تأمین امنیت اطلاعات در نظام بانکی فقط تأمین تجهیزات سختافزاری و نرمافزاری کافی نیست، بلکه لازم است فرایندهای مرتبط با امنیت اطلاعات در شبکه بانکی نیز اصلاح شوند. به عبارت دیگر امنیت اطلاعات با فرایند تأمین میشود، نه با محصولات.»
غفوری چالشهای اصلی امنیت در حوزه بانکی را طی چند سال اخیر به چند بخش عمده تقسیم میکند. اول، هزینهها و کمبود تأمین منابع؛ از جمله هزینههای مربوط به تأمین منابع نیروی انسانی متخصص و هزینههای تأمین ابزاری (سختافزار و نرمافزار). او درباره چالشهای دیگر میگوید: «یکی دیگر از چالشها، مربوط به چالشهای فرایندی و ساختاری است.
در واقع در دستورالعملهای سازمانی و پیادهسازی استانداردهای مربوطه (ISMS، SOC، CERT، GDPR PCI و…) فرایندها وقتگیر است و ساختاریهای ذیربط باید بر اساس الزامات امنیت در نظام بانکی و رعایت الزامات تداوم کسبوکار اصلاح شود. علاوه بر این، چالش فرهنگسازی نیز وجود دارد، یعنی آموزش و آگاهی در استفاده و بهرهبرداری از ابزارها باید با رعایت اصول امنیتی و توسط کاربران بانکها و مشتریان صورت گیرد.»
طبق صحبتهای او، تهدیدات بیرونی نیز یکی دیگر از چالشهای این حوزه است. غیر از موضوعات تحریمی در تأمین ابزارها و تجهیزات امن در این حوزه، حملههای سایبری به بخش مهم اقتصادی کشور یعنی شبکه بانکی، همیشه از مهمترین اهداف مدنظر برای خارج کشور بوده است.
غفوری سپس به فشار الزامات انجام اصلاحات و تغییرات در نظام بانکی اشاره میکند و در اینباره میگوید: «طی چند سال اخیر اهداف راهبردی بانک مرکزی که شامل «ایجاد شفافیت»، «رونق» و «منصفانهبودن» محیط کسبوکار و برپایی سامانههای متعدد در نظام بانکی از جمله طرحهای «مبارزه با پولشویی» و سامانه مرتبط با آن و نیز رمزنگاری سرویسهای بانکی، قانون جدید چک، سامانه پیچک، انباره داده اعتبارسنجی، سامانه نهاب و شهاب و پیادهسازی رمزارز ملی بوده، خود زمینههای متعددی را با توجه به حجم کار و لزوم رعایت اطمینان و امنیت مربوطه طلب میکند.»
موارد پیشبینینشده نیز یکی دیگر از چالشهایی است که غفوری به آن اشاره میکند و در توضیح آن میگوید که بستر اینترنت هرچند یکی از بسترهای مهم و مورد توجه از نظر امنیت اطلاعات و اقدامات پیشگیرانه و مراقبتی در شبکه بانکی بوده و هست، ولی برقراری همین سرویس برای بانکها نیز در جهت ارائه خدمات و تداوم کسبوکار، خود به چالش جدیدی تبدیل شده است.
او میگوید: «با همه این اوصاف اقدامات مؤثری طی چند سال گذشته جهت تأمین امنیت در حوزه فناوری بانکها شکل گرفته، هرچند کافی نیست؛ چراکه مقوله امنیت مبحثی صد درصد نبوده و نخواهد بود و پویایی آن هم از همین موضوع سرچشمه میگیرد که هر لحظه با مسائل و شرایط جدیدی روبهرو میشود که بایستی برای آن از قبل تدارک لازم دیده شده و راهحل داشته و مدیریت شود؛ حتی اگر آن را مدیریت بحران بنامیم.»