بندبازی در شرایط توفانی

مدیران امنیت شرکت‌های بانکی و پرداخت کشور از نقش واحد امنیت در این صنایع می‌گویند

نویسنده: نیلوفر نادری انتشار در 6 آذر 1402

عصر تراکنش ۷۵ / پارادایم‌های بانکداری و پرداخت در سراسر جهان تغییر کرده و این چرخش پارادایمی به سمت‌وسویی رفته که شاهد گذار از شیوه‌های سنتی انجام امور بانکی و پرداخت به شیوه‌های مدرن و دیجیتال هستیم. در این پارادایم جدید، حفاظت از داده‌های مشتریان و ایجاد بستری امن برای انجام امور مالی‌ آنها یکی از مسائل اساسی و چالش‌برانگیزی است که همواره مورد بحث و بررسی متخصصان امنیت شبکه بوده است. به عقیده فعالان این حوزه، نظام بانکی و پرداخت هر کشوری یکی از مهم‌ترین و حساس‌ترین نقاط بدنه اقتصاد آن کشور است که اگر با بحران امنیت مواجه شود، می‌تواند علاوه بر از بین بردن منابع مالی اشخاص درگیر در شبکه، باعث ایجاد بحران‌های امنیتی ملی و کشوری نیز شود.

آنها بر این باورند که وضعیت امنیت در این دو صنعت در مقایسه با صنایع دیگر به‌مراتب بهتر است و آن رویکردهای قدیمی که پرداختن به امنیت را گذاشتن هزینه اضافه روی دست سازما‌ن‌ها می‌پنداشت، تغییر کرده‌ و نسل جدید مدیرانی که روی کار آمده‌اند، توسعه امنیت سیستم‌ها را به ‌منزله جلوگیری از اتفاقات احتمالی و ناگوار آینده و پس‌انداز برای حفظ آبرو و جایگاه شرکت‌ها می‌دانند و به همین دلیل است که باید به آینده توسعه امنیت سایبری در صنایع مختلف، از جمله صنعت بانکی و پرداخت کشور امیدوار بود. به همین منظور در این شماره از ماهنامه با حمیدرضا ولی‌زاده، مدیر دپارتمان امنیت شرکت پیشرو فناوری اطلاعات رادین؛ پویا پوراعظم، رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه و هاشم راز، مدیر امنیت پرداخت الکترونیک پاسارگاد درباره وضعیت کنونی و آینده امنیت سایبری در صنعت بانکی و پرداخت کشور گفت‌وگویی داشتیم که در ادامه آن را می‌خوانید.

بخش خصوصی؛ موتور محرکه توسعه امنیت سایبری

حمیدرضا ولی‌زاده، مدیر دپارتمان امنیت شرکت پیشرو فناوری اطلاعات رادین از آن دست افرادی است که معتقدند صنعت بانکی و پرداخت کشور در مقایسه با سایر صنایع به لحاظ امنیت سایبری در وضعیت بهتری به‌ سر می‌برد. او در این‌باره می‌گوید: «در حال حاضر به‌دلیل وجود یکسری الزامات امنیتی از سوی نهادهای بالادستی در صنعت بانکی و پرداخت، وضعیت امنیت سایبری در این صنعت نسبت به سایر صنایع بهتر است و به عبارتی در رعایت الزامات امنیت فناوری اطلاعات چند قدم جلوتر است، با این وجود هنوز هم جای کار زیادی جهت افزایش و ارتقای سطح امنیت صنعت بانکی و پرداخت کشور وجود دارد.»

او معتقد است توسعه امنیت سایبری در شبکه بانکی و پرداخت کشور یکی از اولویت‌های اصلی این صنعت است و بیان می‌کند که این مفهوم مدت‌زمان زیادی است که مورد توجه مسئولان و دست‌اندرکاران این صنعت است؛ چراکه نظام بانکی و پرداخت یکی از نقاط حساس و حیاتی بدنه اقتصاد کشور است و حفظ امنیت آن بسیار مهم است. با این وجود گاهی ارتقای سطح امنیت سازمان‌ها به‌دلیل مسائل مالی و انسانی به تعویق می‌افتد.

ولی‌زاده با اشاره به توانایی بخش خصوصی در توسعه امنیت سایبری در صنایع مختلف اظهار می‌کند: «با توجه به اینکه بخش خصوصی در ایران، هیچ کرسی حقوقی در نهادهای تصمیم‌گیرنده و شورای عالی فضای مجازی ندارد، ممکن است نتواند آن‌طور که باید سهم خود در توسعه امنیت سایبری را بر عهده بگیرد. شرکت‌های خصوصی موتور محرکه و پیشرو در امور توسعه عملیاتی هستند، اما این انرژی و انگیزه به‌دلیل وجود محدودیت‌های مختلف دچار اتلاف و هدررفت شده است. در نتیجه این‌طور به نظر می‌رسد که باید سهم بخش خصوصی در دارا بودن کرسی‌ در نهادهای قانون‌گذار و تصمیم‌گیرنده بیشتر شود.»

مدیر دپارتمان امنیت شرکت پیشرو فناوری اطلاعات رادین بیان می‌کند که در سال‌های اخیر پلتفرم‌های باگ‌بانتی که از کلاه‌سفید‌ها (هکرها) برای افزایش امنیت شبکه‌ها استفاده می‌کنند، در جهان ترند شده که در بلندمدت راهکار جامعی نیست. او در این خصوص توضیح می‌دهد: «راهکارهای باگ‌بانتی از راه‌حل‌های مرسوم در دنیاست، اما نباید فراموش کنیم که موضوع امنیت را باید از ابتدا و به‌صورت کامل و جامع مورد بررسی و اجرا قرار دهیم. راهکارهای این‌چنینی اگرچه ممکن است به‌صورت موقت و زودگذر کمک کننده باشد، اما در بلندمدت راهکار جامعی نیست. پروتکل‌های امنیتی چه در سطح شبکه و چه در سطح معماری نرم‌افزار و سایر سطوح باید دقیق و گام‌به‌گام اجرا شود تا امنیت یک سازمان یا یک سامانه تأمین شود.»

او به نقش تحریم‌ها، مهاجرت نیروهای انسانی و عدم تبادل دانش میان کشورهای توسعه‌یافته و ایران در توسعه امنیت سایبری در صنایع مختلف اشاره می‌کند و می‌گوید: «موضوع مهاجرت و کمبود نیروی فنی باتجربه و بادانش در سال‌های اخیر به اوج خود رسیده که بر هیچ‌کس پوشیده نیست. مسلماً متخصصی که سال‌ها تجربه کسب کرده و با آزمون‌وخطا و مطالعه و تحقیق به یک نیروی پخته و باتجربه تبدیل شده، مدت زیادی زمان می‌برد تا جایگزین شود و این وقفه خسارت‌های جبران‌ناپذیری به همراه خواهد داشت و موضوع امنیت اطلاعات نیز از این شرایط مستثنی نیست.

با این وجود تدوین، توسعه، بهبود و هم‌راستا کردن برنامه‌های امنیتی هر سازمان به فراخور شرایط و نیاز آن، آموزش و اجرای پروتکل‌های امنیت اطلاعات در سازمان‌ها، پیاده‌سازی استانداردهای امنیت اطلاعات و سیستم‌های مدیریتی امنیت به‌منظور افزایش قابلیت دستیابی امن به اطلاعات سازمانی و استفاده از فناوری‌های پشتیبان امنیتی و در نظر گرفتن هزینه‌های مادی و انسانی جهت افزایش امنیت نهادهای بانکی و پرداخت کشور از جمله راهکارهایی است که به ذهن می‌رسد. همچنین باید به این نکته اشاره کرد که نباید به امنیت اطلاعات در یک سازمان به چشم هزینه نگاه کرد. با توجه به اتفاقات و حوادث اخیر درمی‌یابیم که ضربه‌های امنیتی در اثر نگاه ساده به این موضوعات می‌تواند نتایج به‌مراتب فاجعه‌بار و شدیدتری برای یک سازمان و کاربران آن به همراه داشته باشد که شاید هیچ راه جبرانی برای آن وجود نداشته باشد.»

او در خاتمه بیان می‌کند که راهکارهایی نظیر دیتابیس امن نیز وجود دارد که به رمزنگاری اطلاعات پایگاه داده و نگهداری کلید رمزنگاری در دستگاه HSM اطلاق می‌شود. در واقع اگر اطلاعات نشت پیدا کند یا به سرقت رود، هیچ‌کس قادر به استفاده از اطلاعات پایگاه داده نیست که این مسئله به رمزنگاری‌شدن آن برمی‌گردد و تنها افرادی که به HSM دسترسی دارند،‌ می‌توانند از اطلاعات استفاده کنند که معمولاً این کلید در سازمان‌ها از طریق پروتکل‌های خاص و بسیار پیچیده توسط افراد مختلف کلیدی سازمان نگهداری می‌شود: «در نتیجه این‌طور می‌توان گفت که دیتابیس امن یا تی‌دی‌ای یک راه‌حل بسیار ایمن و مطمئن است.»

خلاء قانونی امنیت سایبری در ایران

پویا پوراعظم، رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه در خصوص وضعیت امنیت سایبری در صنعت بانکی و پرداخت کشور معتقد است صنعت بانکی و پرداخت در مقایسه با سایر صنایع تا حدودی از وضعیت بهتری برخوردار است، اما این بدان معنا نیست که می‌توان ادعا کرد که وضعیت امنیت در صنعت بانکی و پرداخت کشور، وضعیتی مطلوب و مورد انتظار است.

او درباره علت بهتر بودن وضعیت امنیت در این صنعت می‌گوید: «یکی از دلایلی که موجب بهتر بودن وضعیت امنیت در این صنعت در مقایسه با سایر صنایع می‌شود، صرف هزینه و اختصاص بودجه بیشتر به آن است، اما همواره این مسئله مطرح است که آیا این بودجه و منابع مالی به‌صورت مطلوب و اثربخش استفاده شده یا خیر؟ باید بگویم که خیر؛ این منابع آن‌طور هم که باید و شاید درست و بجا به کار نرفته است.

شاید اگر از منابع مالی اختصاص داده‌شده به این صنعت به‌صورت حداکثری برای ارتقای امنیت شبکه‌ بانکی و پرداخت کشور استفاده می‌شد و با مشکلاتی از قبیل تحریم و مهاجرت و کمبود نیروی انسانی متخصص مواجه نبودیم و وضعیت نیروی کار در ایران بهتر بود، وضعیت امنیت در صنایع مختلف و از جمله صنعت بانکی و پرداخت کشور نیز بهتر می‌شد. با این وجود هنوز هم بر این باورم که وضعیت امنیت در این صنعت از صنایع دیگر بهتر است.»

پوراعظم در پاسخ به این سؤال که آیا مقوله امنیت در دستورالعمل و اولویت صنعت بانکی و پرداخت کشور قرار دارد،‌ یا نه اظهار می‌کند: «قطعاً پاسخ این سؤال، منفی است؛ خیر این مقوله در اولویت صنعت قرار ندارد و این مسئله دلایل مختلفی نیز دارد که از جمله آنها می‌توان به زیاد و متکثر بودن دغدغه‌‌‌های نظام بانکی و پرداخت کشور اشاره کرد. برای مثال پایداری اقتصادی یک مؤسسه بانکی یا شرکت پرداختی به گونه‌ای که زیان‌ده نباشد، به‌طور خودبه‌خودی به در اولویت قرار نگرفتن مقوله امنیت منجر می‌شود.

از طرفی ثابت‌نبودن نرخ ارز و تورم باعث رشد روزافزون قیمت فناوری‌ها و ابزارهای گوناگونی می‌شود که صنعت بانکی و پرداخت کشور برای توسعه خود به آنها نیاز دارد و این نیز می‌تواند یکی از دلایل در اولویت نبودن مقوله امنیت و به تعویق افتادن تأمین حداکثری آن باشد. علاوه بر اینها باید این را هم در نظر گرفت که چون اثرات مثبت پروژه‌ها و فعالیت‌های امنیت سایبری، به‌راحتی قابل مشاهده نیست و در واقع اندازه‌گیری نرخ بازگشت سرمایه برای هزینه‌های این حوزه سخت و پیچیده است، فعالان صنعت آن‌طور که باید به مقوله امنیت بها نمی‌دهند و ترجیح می‌دهند وقت، انرژی و بودجه اختصاص داده‌شده به صنعت را در راستای توسعه مقولات دیگری به کار ببندند که رؤیت‌پذیرتر است؛ ممکن است هزینه زیادی برای ارتقای امنیت صنعت شود و تا سال‌ها پس از آن شبکه بانکی و پرداخت کشور مورد حمله سایبری قرار نگیرد تا اثر مثبت این ارتقا و هزینه‌کردن‌ها رؤیت‌پذیر شود، البته برعکس آن هم ممکن است.»

بخش خصوصی در عمل هیچ کرسی حقوقی در نهادهای تصمیم‌گیرنده و شورای عالی فضای مجازی ندارد و این مسئله مهمی است که می‌تواند در نحوه توسعه صنایع مختلف و به‌طور خاص توسعه مقوله امنیت در صنعت بانکی و پرداخت کشور مؤثر باشد. او با اشاره به این مهم بیان می‌کند: «در وضعیتی که بخش خصوصی هیچ کرسی حقوقی در نهادهای تصمیم‌گیرنده ندارد،‌ تنها راهی که ممکن است به افزایش نقش او در تصمیم‌گیری‌ها کمک کند، فعالیت‌های صنفی است؛ نهادهای صنفی مانند کمیسیون افتای نظام صنفی که به‌طور خاص در این زمینه فعالیت‌ می‌کنند، توان این را دارند که با کاربست ابزارهای گوناگونی مانند رسانه‌ها و کمک‌گرفتن از توان چانه‌زنی اعضایشان تا حد قابل قبولی در تصمیم‌گیری‌های نهادهای بالادستی مداخله کنند.»

در سال‌های اخیر، پلتفرم‌های باگ‌بانتی که از کلاه‌سفیدها برای افزایش امنیت شبکه‌ها استفاده می‌کنند، در جهان ترند شده‌اند. پوراعظم درباره نقش این پلتفرم‌ها توضیح می‌دهد که پیدایش این پلتفرم‌ها می‌تواند کمک قابل توجهی به ارتقای سطح امنیت سایبری سازمان‌های مختلف، از جمله بانک‌ها و شرکت‌های پرداختی کند: «البته باید فرهنگ استفاده از آنها برساخت شود و بانک‌ها و شرکت‌های پرداختی به آنها اعتماد کنند.

از طرفی این پلتفرم‌ها نیز باید تعهدات لازم را در راستای حفظ محرمانگی داده‌ها و نقاط ضعف امنیتی را به سازمان‌ها بدهند. ممکن است سازمانی بدون استفاده از پلتفرم‌های بیرونی، برنامه‌های باگ‌بانتی ارائه دهد که به نظر من چنین کاری می‌تواند ریسک بالایی داشته باشد و توصیه‌ام به سازمان‌ها این است که حتماً از پلتفرم‌های بیرونی و تخصصی این حوزه استفاده کنند و تفکر پلتفرمی را در سازمان خود نهادینه کنند. سالیان سال است که پروژه‌های تست نفوذ در بانک‌ها و شرکت‌های پرداختی اجرا می‌شود و چون اثربخشی لازم را نداشته‌اند، پلتفرم‌های باگ‌بانتی در سال‌های اخیر مورد توجه قرار گرفته‌اند.»

رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه معتقد است تحریم‌ها نقش بسزایی در کاهش روند توسعه امنیت در شبکه بانکی و پرداخت کشور دارند و مانع ورود فناوری‌های روز دنیا به داخل کشور می‌شوند؛ ممکن است تحریم‌ها روی توسعه کربنکینگ تأثیر بسزایی نداشته باشند،‌ اما قطعاً در زمینه فناوری و ابزارهای مربوط به بحث امنیت سایبری اثرات منفی خود را می‌گذارند. او درباره استفاده از فناوری‌های ساخت داخل ایران می‌گوید: «من مخالف استفاده از محصولات فناورانه‌ای که در داخل مرزهای کشور خودمان ساخته می‌شوند، نیستم، اما این محصولات باید توان رقابت با محصولات جهانی را داشته باشند و به ‌گونه‌ای نباشند که هزینه‌ای که برای آنها می‌شود، تلف شود، بلکه باید ما را برای توسعه و رقابت با سایر کشورها مهیا کنند.

تحریم‌ها باعث عدم تبادل دانش میان کشورهای توسعه‌یافته و ایران و عدم دسترسی افراد به دوره‌های آموزشی متخصص‌پرور شده که این مسئله ما را در ایجاد محصولات کارآمد و باکیفیت داخلی عقب می‌اندازد. با این وجود، فکر می‌کنم که باید فکری به حال این وضعیت کرد و بودجه‌هایی برای ایجاد برنامه‌های آموزشی بومی در سطح کیفیت جهانی، در نظر گرفت تا در سال‌های آینده بتوان از توسعه در ابعاد مختلف صحبت کرد. صنعت بانکی و پرداخت کشور می‌تواند محرک خوبی در این زمینه باشد.»

او مهاجرت منابع انسانی را نیز عامل مهمی در کاهش روند توسعه امنیت سایبری در صنایع مختلف می‌داند و در این‌باره می‌گوید: «حالا دیگر همه ما می‌دانیم که وضعیت مهاجرت از ایران تا چه اندازه بحرانی شده است. این مهاجرت‌ها ریشه در مسائل خرد و کلان اقتصادی و اجتماعی کشور دارد و اگر قرار باشد که این روند صعودی مهاجرت،‌ در نقطه‌ای ثابت شود یا کاهش یابد، نیازمند اقدامات اساسی و بزرگ در سطح کشوری هستیم. با این وجود تنها کاری که از دست شرکت‌های مختلف برمی‌آید، این است که به تربیت نیروهای بومی مبادرت بورزند و آنها را از صفر آموزش دهند و در شرکت‌های خود استخدام‌شان کنند. این برنامه‌ها باید توسط بانک‌ها و شرکت‌های پرداخت مورد توجه قرار بگیرد و دنبال نتایج زود‌رس آن نباشند و از الان برای ساختن آینده‌ای بهتر برنامه‌های بلندمدت بریزند.»

پوراعظم اصلی‌ترین اقدام روبه‌جلو برای ارتقای سطح امنیت سایبری در کشور، از جمله صنعت بانکی و پرداخت‌ کشور را تدوین و تصویب قوانین توسعه‌دهنده می‌داند و در این‌باره اظهار می‌کند: «ما با خلاء قانونی در زمینه امنیت سایبری مواجهیم و نیازمند قوانینی هستیم که در زمینه حفاظت از داده‌ها و اطلاعات کاربران، ضمانت اجرایی کافی را داشته باشد و در عین حال مانعی برای پیاده‌سازی روش‌های نوآورانه نباشد. برای مثال افشای اطلاعات در یک سازمان باید به جریمه جدی آن سازمان و اقدامات قضایی و حتی تأثیر در سطح یا مجوز‌شان منجر شود؛ چیزی شبیه به قانون GDPR در اتحادیه اروپا.»

او اضافه می‌کند که این خلاء قانونی به عدم پاسخگویی سازمان‌ها در قبال افشای اطلاعات کاربران‌شان منجر می‌شود: «برای مثال همین اواخر شاهد هک و افشای اطلاعات کاربران یکسری از پلتفرم‌های داخلی بودیم که هیچ توضیحی برای این اتفاق هم نداشتند. علاوه بر این، برای آن دسته از مخاطرات امنیت سایبری که به‌صورت عمدی و غیرعمدی توسط کارمندان انجام می‌شود نیز باید تدابیری اندیشید و برنامه‌های بازدارنده‌، تشویق‌کننده، آموزش‌محور و فرهنگی ایجاد کرد تا کمتر شاهد چنین اتفاقاتی باشیم.»

تغییر رویکرد هزینه‌محور بودن امنیت

هاشم راز، مدیر امنیت پرداخت الکترونیک پاسارگاد معتقد است وظیفه امنیت اطلاعات محافظت از کسب‌وکارهای مبتنی بر IT در قبال هرگونه عامل داخلی و خارجی است که سبب مختل‌شدن آن کسب‌وکار می‌شود. در واقع، این‌طور می‌توان گفت که امنیت یک مؤلفه پیشران است، نه بازدارنده که به‌عنوان یک کیفیت در ارائه خدمات IT ایفای نقش می‌کند. امنیت باید قواره کسب‌وکارها باشد، اما گاهی به‌دلیل تمرکز بسیار زیاد روی فاکتورهای فنی و تکنیکی پیاده‌سازی امنیت و فراموش‌کردن ماهیت و ذات اصلی کسب‌وکار، این نقش به‌درستی اجرا نمی‌شود.

او در این خصوص توضیح می‌دهد: «یک اصل بسیار مهم و جود دارد و آن این است که با توجه به شباهت‌‌ها و استانداردهای مشابه بسیار زیاد پیاده‌سازی امنیت از منظر مسائل فنی، در کسب‌وکارهای متفاوت به‌دلیل ساختارها و شرایط گوناگون باید به ظرافت‌های بسیار زیادی در پیاده‌سازی امنیت توجه شود و امنیت باید به‌اصطلاح، قواره کسب‌وکار سازمان باشد. برای مثال ممکن است در تولید یک لباس مسائل فنی دوخت، برش و غیره بسیار شبیه به یکدیگر باشند، اما بهترین لباس اسکی نمی‌تواند برای شنا مناسب باشد و بهترین لباس شنا مناسب کوهنوردی نیست. باید ذی‌نفعان هر صنعت، گستره جغرافیایی آن، ریسک‌هایی که آنها را تهدید می‌کند و خسارت‌هایی را که ممکن است به شکل آشکار یا پنهان به آنها وارد شود، بشناسیم.»

‌راز با اشاره به آنچه در اکوسیستم پرداخت می‌گذرد،‌ عنوان می‌کند: «ذی‌نفعان اصلی این شرکت، تمام شهروندان ایرانی هستند که به هر شکل به خرید یا انتقال وجه با استفاده از کارت‌های بانکی مبادرت می‌ورزند. پس از آن می‌توان از بانک‌ها، بنگاه‌های تجاری و تمامی کسب‌وکارهایی که متصل به هر نوع از درگاه‌ها و پایانه‌های پرداخت هستند، به‌عنوان ذی‌نفعان این شرکت نام برد. با این وجود، گستره جغرافیایی این صنعت به وسعت تمام کشور و همه فرهنگ‌ها و هنجارهای نهفته در آن است.»

مدیر امنیت پرداخت الکترونیک پاسارگاد درباره ریسک‌های فعالیت در حوزه پرداخت الکترونیک مطرح می‌کند: «ریسک‌هایی که این صنعت را تهدید می‌کنند، گستره وسیعی دارند. این ریسک‌ها شامل مسائل اقتصادی و نوسان‌های نرخ ارز، مسائل اجتماعی و سیاسی، مسائل فنی و موارد مربوط به تخلفات احتمالی ناشی از مسائل فرهنگی و اجتماعی می‌شود.

خسارت‌هایی که تمام این موارد می‌تواند به ذی‌نفعان صنعت پرداخت الکترونیک وارد کند، در نگاه اول به از دست دادن پول اشخاص تعبیر می‌شود که ما آن را خسارات مشهود می‌نامیم، اما گاهی دامنه این خسارت‌ها که غالباً نیز غیرقابل رؤیت است، فراتر از هدر رفتن پول شده و حتی به مسئله‌ ملی و کشوری تبدیل می‌شود. از این رو واحد امنیت در صنعت پرداخت وظیفه بسیار مهم و سنگینی در راستای پیاده‌سازی استانداردها، ارائه سیاست‌ها و دستورالعمل‌ها دارد؛ چراکه تعلل در تصمیم‌گیری‌ها و همچنین تدوین و پیاده‌سازی یک طرح به شکل شتاب‌زده و کارشناسی‌نشده ممکن است بخش زیادی از ذی‌نفعان را دچار مشکل و خسارت کرده یا کل یک کسب‌وکار را مختل کند.»

به اعتقاد ‌راز، حفظ تعادل در شرایط سخت برای دستیابی به اهداف خرد و کلان تمام ذی‌نفعان باید سرلوحه کار یک مدیر امنیت باشد و در واقع این‌طور می‌توان گفت که واحد امنیت شرکت‌های پرداخت باید بندبازی در شرایط توفانی را بیاموزد.

او با اشاره به اینکه برای تأمین امنیت تراکنش‌های پرداخت الکترونیک پاسارگاد در درگاه‌های پرداخت، دستگاه‌های کارت‌خوان و نرم‌افزار پی‌پاد دو بخش کلی دارند، می‌گوید: «در بخش اول باید بگویم که خط‌مشی کلان پرداخت الکترونیک پاسارگاد محاسبه ریسک‌ها و مخاطرات در هر اقدام و پیاده‌سازی و اجرای حداکثری قوانین و مقررات بالادستی است. بعد از آن تکیه بر مباحث مربوط به شناخت مشتری در ارائه خدمات یا KYC در دستورکار ما قرار دارد. در همین راستا، شعار اصلی ما ارائه خدمات به شکل سریع، راحت و کارا بوده تا حداکثر قابلیت‌ها را با حداقل فشار و سختی کار برای مردم فراهم کنیم.»

به گفته مدیر امنیت پرداخت الکترونیک پاسارگاد، حذف بوروکراسی‌های ناکارآمد و سخت، تکیه بر ایجاد تغییرات مثبت بدون اعمال شوک‌های عملکردی و کسب‌وکاری به مشتریان و استفاده از فناوری‌های نوین در عرصه‌هایی چون احراز هویت دیجیتال و یادگیری ماشین و… از جمله مواردی است که از آنها می‌توان تحت عنوان مزیت رقابتی پرداخت الکترونیک پاسارگاد نام برد.

راز در توضیح اینکه محصولات پرچالش شرکت‌های پرداخت از لحا‌ظ امنیتی، چه هستند، اظهار می‌کند: «در این خصوص نمی‌توان برای تمام شرکت‌ها یک حکم کلی و یکسان صادر کرد؛ زیرا هر یک از بازیکنان این عرصه شرایط خاص خود را دارند. مطلبی که عرض می‌کنم بر اساس شواهد و تجربیات شخصی‌ام در صنعت و شرکت‌های همکار است. اگر ما چالش‌های امنیتی را فقط از منظر فنی در نظر بگیریم و شیوه‌های پرداخت را به دو شکل کلی با حضور کارت و بدون حضور کارت بررسی کنیم، چالش‌های فنی امنیت در بخش پرداخت بدون حضور کارت بسیار زیاد است؛ مواردی مانند هک‌کردن و نفوذ به سایت‌های درگاه پرداخت، سایت‌های جعلی، نرم‌افزارهای موبایلی غیراستاندارد و تأییدنشده روی گوشی‌های هوشمند مثل انواع وی‌پی‌ان‌ها از جمله مهم‌ترین مسائلی هستند که به بحران‌های امنیتی ختم می‌شوند.»

او اضافه می‌کند که ریسک بالای ارائه خدمات بدون کارت به این معنا نیست که در ابزار پذیرش با حضور کارت هیچ چالش فنی امنیتی وجود ندارد، بلکه مواردی چون کپی کارت و گاهی باگ‌های سخت‌افزاری یا نرم‌افزاری در این ابزارها نیز ممکن است خسارات جبران‌ناپذیری بر صنعت وارد کنند.

به‌عنوان مثال در بحث کپی کارت یا در اصطلاح فنی، «اسکیمینگ» مسئله به این شکل است که متخلف کارت مشتری را هنگام انجام تراکنش علاوه بر ابزار پرداخت روی یک دستگاه دیگر نیز کشیده و به این شکل اطلاعات کارت علاوه بر اینکه روی پایانه فروش یا ابزار پرداخت خوانده ‌می‌شود، توسط دستگاه دیگری نیز ذخیره می‌شود. حال از آنجا که پرداخت با حضور کارت با استفاده از همین اطلاعات و رمز ثابت انجام می‌شود، با ارائه رمز توسط مشتری به شخص متخلف تمامی اطلاعات لازم جهت انجام تراکنش‌های غیرمجاز بعدی داده شده و همچنین او می‌تواند یک کپی از کارت داشته باشد.

مدیر امنیت پرداخت الکترونیک پاسارگاد در خاتمه بیان می‌کند: «به عقیده من باورهای قدیمی در این خصوص که مقوله امنیت، تحمیل‌کننده هزینه اضافه به سازما‌ن‌هاست، کمرنگ شده و رویکرد‌های جدید مدیران ارشد سازمان‌های مختلف از جمله پرداخت الکترونیک پاسارگاد نه‌تنها نگاه هزینه‌محور به مقوله امنیت نیست، بلکه توجه به آن را نوعی پس‌انداز برای آینده به حساب می‌آورند، چراکه معتقد هستند که این سیاست‌ها و تصمیم‌گیری‌ها نجات‌دهنده کسب‌وکارها هستند. در نتیجه تصور من این است که آینده مقوله امنیت در صنایع مختلف، از جمله صنعت پرداخت کشور روشن است و نسل جدید و تازه‌نفسی که در سال‌های آینده وارد بازار کار می‌شود، با پشتوانه علمی و فنی خوبی که دارد، اتفاقات خوبی را برای آینده صنایع در بحث امنیت رقم می‌زند.»

کلام آخر

صنعت بانکی و پرداخت کشور یکی از مهم‌ترین صنایع کشور است که در تلاقی با سایر صنایع و مردم قرار دارد و به آنها خدمات می‌دهد. در نتیجه حفظ امنیت سایبری آن بیشتر از سایر صنایع مورد توجه رگولاتور و اکوسیستم بانکی و پرداخت کشور بوده است. با این وجود مدیران امنیت شبکه در این دو صنعت بر این باورند که هنوز آن‌طور که باید و شاید به وضعیتی نرسیده‌ایم که بتوانیم از توسعه‌یافته شدن مقوله امنیت در شبکه بانکی و پرداخت کشور صحبت کنیم و هنوز در برخی سازمان‌ها ارتقای امنیت سایبری در اولویت قرار ندارد. برخی به خلأهای قانونی در این زمینه اشاره می‌کنند و برخی دیگر هم بر این باورند که تحریم،‌ مهاجرت نیروی انسانی، عدم وجود فرهنگ استفاده از کلاه‌سفیدها، نداشتن کرسی رسمی بخش خصوصی در نهادهای بالادستی و تصمیم‌گیرنده و عدم تبادل دانش فنی میان ایران و سرزمین‌های دیگر از جمله عواملی هستند که توسعه امنیت در صنایع مختلف، از جمله صنعت بانکی و پرداخت کشور را به تعویق می‌اندازند. با این وجود آنها می‌گویند که نسل جدید مدیرانی که روی کار آمده‌اند، معتقدند هزینه‌کردن روی مقوله امنیت به معنای جلوگیری از بحران‌های امنیتی و ملی است که ممکن است از این طریق بر بدنه صنعت و کشور تحمیل شود. در نتیجه به آینده توسعه این مفهوم در صنایع مختلف خوش‌بین هستند و امید دارند که رفته‌رفته به وضعیت مطلوبی برسیم که در آن همگان با خیال راحت از خدمات بانکی و پرداخت استفاده کنند.