عصر تراکنش
رسانه مدیران فناوری‌های مالی ایران

تنظیم‌گری

ضرورت تدوین و تصویب قوانین توسعه‌دهنده

گفت‌وگو با متخصصان و فعالان صنعت بانکی و پرداخت درباره وضعیت امنیت و ارتقای سطح آن در صنایع مالی کشور

نویسنده: تحریریه

عصر تراکنش ۷۹ و ۸۰ / پارادایم‌های بانکداری و پرداخت در سراسر جهان تغییر کرده و این چرخش پارادایمی به سمت‌وسویی رفته که شاهد گذار از شیوه‌های سنتی انجام امور بانکی و پرداخت به شیوه‌های مدرن و دیجیتال هستیم. در این پارادایم جدید، حفاظت از داده‌های مشتریان و ایجاد بستری امن برای انجام امور مالی‌ آنها یکی از مسائل اساسی و چالش‌برانگیزی است که همواره محل بحث و بررسی متخصصان امنیت شبکه بوده است. به عقیده فعالان این حوزه، نظام بانکی و پرداخت هر کشور یکی از مهم‌ترین و حساس‌ترین نقاط بدنه اقتصاد آن کشور است که اگر با بحران امنیت مواجه شود، می‌تواند علاوه‌بر از بین بردن منابع مالی اشخاص درگیر در شبکه، بحران‌های امنیتی ملی و کشوری نیز ایجاد کند. شهریورماه ۱۴۰۲ را می‌توان ماه هک و نشت اطلاعات سازمان‌های دولتی و خصوصی دانست؛ ماهی که در آن اپلیکیشن به‌نما، اپلیکیشن هف‌هشتاد، ۱۸ شرکت بیمه، تپسی، سازمان ثبت احوال و وزارت علوم هک شدند و هکرها ادعا کردند که به اطلاعات کاربران این سازمان‌ها دسترسی دارند. به همین دلیل در بخش «تنظیم‌گری» شماره ۷۵ ماهنامه عصر تراکنش به سراغ فعالان و کارشناسان این حوزه رفتیم تا با آنها درباره وضعیت امنیت صنعت بانکی و پرداخت کشور و دلیل هک کسب‌وکارهای مختلف صحبت کنیم.

نقش بخش خصوصی در توسعه امنیت سایبری

حمیدرضا ولی‌زاده، مدیر دپارتمان امنیت شرکت پیشرو فناوری اطلاعات رادین، از آن دست افرادی است که معتقدند صنعت بانکی و پرداخت کشور در مقایسه با سایر صنایع به لحاظ امنیت سایبری در وضعیت بهتری به‌ سر می‌برد. او در این‌ باره می‌گوید: «به ‌دلیل وجود برخی الزامات امنیتی از سوی نهادهای بالادستی در صنعت بانکی و پرداخت، وضعیت امنیت سایبری در این صنعت نسبت به سایر صنایع بهتر است. با وجود این هنوز هم برای ارتقای سطح امنیت صنعت بانکی و پرداخت کشور جای کار زیادی وجود دارد.»

او با اشاره به توانایی بخش خصوصی در توسعه امنیت سایبری در صنایع مختلف اظهار می‌کند که با توجه به اینکه بخش خصوصی هیچ کرسی حقوقی در نهادهای تصمیم‌گیرنده و شورای عالی فضای مجازی ندارد، ممکن است نتواند آن‌طور که باید سهم خود در توسعه امنیت سایبری را برعهده بگیرد: «شرکت‌های خصوصی موتور محرکه و پیشرو در امور توسعه عملیاتی هستند، اما این انرژی و انگیزه به‌ دلیل وجود محدودیت‌های مختلف دچار اتلاف و هدررفت شده است.»

خلأ قانونی در زمینه امنیت سایبری

پویا پوراعظم، رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه، اصلی‌ترین اقدام برای ارتقای سطح امنیت سایبری در کشور، ازجمله صنعت بانکی و پرداخت‌ را تدوین و تصویب قوانین توسعه‌دهنده می‌داند و در این ‌باره اظهار می‌کند: «ما با خلأ قانونی در زمینه امنیت سایبری مواجهیم و نیازمند قوانینی هستیم که در زمینه حفاظت از داده‌ها و اطلاعات کاربران، ضمانت اجرایی کافی را داشته باشند و در عین حال مانعی برای پیاده‌سازی روش‌های نوآورانه نباشند. برای مثال افشای اطلاعات در یک سازمان باید به جریمه جدی آن سازمان و اقدامات قضایی و حتی تأثیر در سطح یا مجوز‌شان منجر شود؛ چیزی شبیه به قانون GDPR در اتحادیه اروپا.»

او اضافه می‌کند که این خلأ قانونی به عدم پاسخگویی سازمان‌ها در قبال افشای اطلاعات کاربرانشان منجر می‌شود: «برای مثال همین اواخر شاهد هک و افشای اطلاعات کاربران برخی از پلتفرم‌های داخلی بودیم که هیچ توضیحی برای این اتفاق هم نداشتند. علاوه‌بر این، برای آن دسته از مخاطرات امنیت سایبری که به‌صورت عمدی و غیرعمدی توسط کارمندان انجام می‌شود نیز باید تدابیری اندیشید و برنامه‌های بازدارنده‌، تشویق‌کننده، آموزش‌محور و فرهنگی ایجاد کرد تا کمتر شاهد چنین اتفاقاتی باشیم.»

وظیفه مهم و سنگین واحد امنیت

بنا بر صحبت‌های هاشم راز،‌ مدیر امنیت پرداخت الکترونیک پاسارگاد، ریسک‌هایی که صنعت بانکی و پرداخت کشور را تهدید می‌کنند، گستره وسیعی دارند. این ریسک‌ها شامل مسائل اقتصادی و نوسان‌های نرخ ارز، مسائل اجتماعی و سیاسی، مسائل فنی و موارد مربوط به تخلفات احتمالی ناشی از مسائل فرهنگی و اجتماعی می‌شود. او در این باره می‌گوید: «خسارت‌هایی که تمام این موارد می‌تواند به ذی‌نفعان صنعت پرداخت الکترونیک وارد کند، در نگاه اول به از دست دادن پول اشخاص برمی‌گردد که ما آن را خسارات مشهود می‌نامیم، اما گاهی دامنه این خسارت‌ها که غالباً قابل رؤیت هم نیستند، فراتر از هدر رفتن پول شده و حتی به مسئله‌ ملی و کشوری تبدیل می‌شود. از این رو واحد امنیت در صنعت پرداخت وظیفه بسیار مهم و سنگینی در راستای پیاده‌سازی استانداردها، ارائه سیاست‌ها و دستورالعمل‌ها دارد؛ زیرا تعلل در تصمیم‌گیری‌ها و همچنین تدوین و پیاده‌سازی یک طرح به شکل شتاب‌زده و کارشناسی‌نشده، ممکن است برای بخش بزرگی از ذی‌نفعان مشکل و خسارت به بار آورد یا کل یک کسب‌وکار را مختل کند.»

قانون تجارت الکترونیک و صیانت از داده‌ها

محمدجعفر نعناکار، حقوقدان نیز به بررسی ابعاد حقوقی هک‌های اخیر می‌پردازد و در این‌باره توضیح می‌دهد: «از زمان انتشار پایگاه‌های حیاتی اطلاعاتی توسط شورای‌ عالی فضای مجازی، شاهد هک‌های دقیقی هستیم. قانون تجارت الکترونیکی درباره مسائل مرتبط با حمله سایبری صحبت کرده است. طبق ماده ۶۵ این قانون، باید از تمامی اسناد تجارت الکترونیکی صیانت شود. زمانی که ابعاد هک گسترده باشد و میلیون‌ها اطلاعات منتشر شده باشد، باید مدعی‌العموم یعنی دادستانی به این قضیه ورود و در صورت خسارت، مطالبه جبران خسارت کند. البته اشخاص حقیقی و حقوقی هم می‌توانند شخصاً اقامه دعوی کنند.»

ضرورت تاب‌آوری سایبری برای سیستم‌ها

اسماعیل باقری‌اصل، مدیر امنیت شرکت پرداخت الکترونیک سداد، نیز معتقد است که نگرش سنتی توسعه امنیت، مبتنی بر شناخت و رفع آسیب‌پذیری‌های شناخته شده است که این نگرش، تضمین‌کننده کاهش یا رفع مخاطرات ناشی از تهدیدات ناشناخته یا مبتنی بر نفوذ و حضور مهاجمان و متخاصمان در زیرساخت‌های حساس و حیاتی نیست. بر این اساس رویکرد تلفیق امنیت فعال با دفاع پیش‌کنشانه و بهبود تاب‌آوری سایبری بسیار مؤثرتر خواهد بود. او در ادامه توضیح می‌دهد: «تاب‌آوری سایبری توانایی پیش‌بینی، دفاع، بازیابی از بحران و سازگاری با شرایط نامساعد، تنش‌ها و حملات در زیرساخت و سامانه‌های سایبری یک سازمان است که به‌عنوان یک ویژگی ضروری برای سیستم‌ها به رسمیت شناخته شده و باعث افزایش آگاهی از تهدیدات سایبری پیچیده و در حال رشد شده است. این مورد آن‌قدر در بازه زمانی چند سال اخیر رشد پیدا کرده که تمامی ‌سازمان‌های بزرگ و کوچک را به سمت خود سوق داده تا بتوانند با بهره‌مندی از سازکارهای معرفی‌شده و پیاده‌سازی مفاهیم و اصول تاب‌آوری، تداوم کسب‌وکار و امنیت خود را حفظ کنند.»

مصون بودن کاربر در مقابل افشای داده‌‌ها

بنا بر صحبت‌های شاهین نورصالحی، پژوهشگر آسمانی آبی، یکی از روش‌های مناسب برای افزایش امنیت سایبری صنایع استفاده از الگوی ایمن بر مبنای طراحی است. او در این باره بیان می‌کند: «در این رویکرد ‌مسئله باید تغییر کند؛ یعنی مسئله از «هکر نباید به داده‌ها دسترسی داشته باشد» به «کاربر باید در مقابل هر نوع افشای داده سهوی یا عمدی مصون باشد» تبدیل شود و شما تحت هر شرایطی موظف به اعمال نهایت بدبینی نسبت به سیستم‌عامل، شبکه و سخت‌افزارهای مربوطه هستید. درواقع درک این مهم برای پیاده‌سازی مبحث «اعتماد بر مبنای آزمون» اهمیت بالایی دارد؛ زیرا در این مدل شما به جای یک مرتبه اجرای آزمون امنیتی برای محصول نهایی، موظف به پیاده‌سازی یک روند روزانه تست امنیتی بابت هر بخش از توسعه محصول هستید، درنتیجه با درجه بالاتری از اطمینان در مقابل «حملات زنجیره تأمین» مقاوم می‌شوید، اما این رویکرد جدید، تمام عملیات «اعتماد بر مبنای آزمون» را شامل نمی‌شود. جمع‌آوری و تطابق ‌دادن توابع استفاده‌شده در طراحی محصول، باگ از سمت محصول در دست کاربر نهایی و گزارش آسیب‌پذیری‌ها از مراجع رسمی در یک بانک اطلاعاتی و پردازش دائمی آنها رویه‌ای است که تقریباً انواع خطای سهوی یا عمدی انسانی را در سرتاسر زنجیره تأمین محصولات انفورماتیکی پوشش می‌دهد.»

تحریریه
ممکن است شما دوست داشته باشید بیشتر از نویسنده
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.