در سال ۱۴۰۳ در شبکه پرداخت، هک یا نفوذی نداشتیم

در گفت‌وگو با سعید احمدی‌پویا، معاون نظارت شرکت شاپرک، درباره مقوله امنیت در صنعت پرداخت کشور مطرح شد

نویسنده: تحریریه انتشار در 9 دی 1403

عصر تراکنش ۸۹ / صنایع مالی ایران از لحاظ امنیت اطلاعات یقیناً از سایر صنایع کشور جلوتر هستند، بااین‌حال وضعیت مطلوبی ندارند و با پیچیده‌تر شدن حملات، تهدیدات جدی این صنایع را تهدید می‌کند. برای مثال در یک سال گذشته خبرهایی از رخدادهای امنیتی گوناگونی در صنایع مالی کشور شنیده‌ایم و تجربه نشان داده این رخدادهای امنیتی باعث می‌شوند مدیران نهادها و کسب‌وکارها برای مدت کوتاهی دوباره به مسائل امنیت اطلاعات و استانداردهای پیرامون آن توجه کنند و بعد از گذر زمان، دوباره رویه‌های قبل را در پیش بگیرند.

همین موضوع باعث شد در گفت‌وگو با سعید احمدی‌پویا، معاون نظارت شرکت شاپرک، درباره استانداردهای امنیتی صنعت پرداخت کشور، اقداماتی که شاپرک در راستای تقویت پدافند غیرعامل و ممیزی‌های امنیتی که در شرکت‌های PSP دارد، گفت‌وگو کنیم. طبق صحبت‌های او، در میان رخدادهای امنیتی شبکه پرداخت در سال جاری هیچ‌گونه هک یا نفوذی مشاهده نشده و صرفاً عدم انطباق‌های داخلی در میان بوده است. به گفته او، شرکتی که نگاه استراتژیک دارد، در حوزه امنیت صرفه‌جویی نمی‌کند، بلکه به شکل‌گیری یک سازمان امن و معماری امن می‌پردازد. در ادامه گزارشی از گفت‌وگوی عصر تراکنش با سعید احمدی‌پویا را می‌خوانید.

نحوه به‌روزرسانی‌ استانداردهای امنیتی صنعت پرداخت

در سال‌های اخیر، با توجه به اتفاق‌هایی که در حوزه امنیت داده و اطلاعات در سازمان‌های بزرگ کشور رخ داد، ملاحظات امنیتی نقش پررنگی در تصمیم‌گیری‌های کلان پیدا کرده‌اند. سعید احمدی‌پویا، معاون نظارت شرکت شاپرک، با بیان اینکه هر گاه راجع به امنیت صحبت می‌کنیم باید بدانیم دامنه بحث تا کجا گسترش می‌یابد، درباره چالش‌های امنیتی صنعت پرداخت که در دایره اختیارات شاپرک هستند، صحبت می‌کند و می‌گوید:

«دامنه امنیتی که شاپرک از ابتدای تأسیس بر مبنای آن شروع به کار کرد، بر مبنای تعاریف PCI در شبکه‌های کارتی بود. به این معنا که هرجا تراکنش کارت پردازش یا ذخیره یا انتقال داده می‌شود، در دامنه PCI قرار گیرد. به همین دلیل، تمام دامنه نظارتی و امنیتی شاپرک در مسیر تراکنش‌های کارت تعریف شده. دامنه تراکنش‌های کارتی در هر کسب‌وکار جزو حوزه نظارت شاپرک قرار می‌گیرد. به عنوان مثال، تمام سایت‌های عملیاتی و سایت‌هایی که درگیر سرویس و خدماتی هستند که به کارت‌ها و تراکنش‌های بانکی داده می‌شود، قطعاً در دایره امنیتی شاپرک قرار می‌گیرند. با این تفسیر، تمام حوزه‌ها بازنگری می‌شوند. از مرکز تماس گرفته تا سایتِ داده. عملاً تمام این حوزه‌ها به این معنی کنترل می‌شود که امنیت شبکه تراکنش‌های کارتی تضمین شود.»

همان‌طور که کسب‌‌وکار یک موجود دینامیک به شمار می‌رود و مرتب تغییر می‌کند، وضعیت امنیت نیز دچار تغییر می‌شود. طبق صحبت‌های احمدی‌پویا، به همین دلیل، تمام شرکت‌های حوزه پرداخت، با هر تغییری در کسب‌وکارشان باید مجدداً فرایند اطمینان از امنیت را مورد پایش و ارزیابی قرار دهند. او درباره ممیزی‌های شاپرک صحبت می‌کند و می‌گوید: «شاپرک، نوعی ممیزی جامع را به صورت سالانه انجام می‌دهد و تمام شرکت‌های حوزه پرداخت، هر هفته یک شرکت، مورد پایش و ممیزی قرار می‌گیرد. روال کار ما این‌طور است که، مثلاً، ابتدای هر سال، آخرین به‌روزرسانی‌های استانداردهای امنیتی را در نظر می‌گیریم و درس‌آموخته اتفاقات امنیتی گذشته را کنار آن می‌گذاریم.

بسیاری از استانداردها و قوانین امنیتی که به ما ابلاغ می‌شود، فراتر از شبکه پرداخت و برای کل حوزه‌های امنیت کشور است. با توجه به تمام اینها، استانداردها و الزامات شاپرک را بازنگری می‌کنیم. با این بازنگری، می‌فهمیم که سند استاندارد امنیت در کجاها تغییر ‌یافته است. امسال، این سند را در قالب یک فایل قابل‌ویرایش در اختیار شرکت‌ها گذاشتیم تا نظر بدهند. شرکت‌ها با دید کارشناسی این سند را مرور و نظرات خود را ارسال می‌کنند. گاهی نظرات بعضی شرکت‌ها بسیار دقیق، تخصصی و مبتنی بر استانداردهای روز دنیاست و برای ما خیلی جذاب است و دعوت می‌کنیم که در جلساتی به جزئیات بیشتر بپردازیم تا اتاق فکر شاپرک، از محدوده بچه‌های شاپرک به کل سیستم ارتقا یابد. نهایتاً بر مبنای دیدگاه تمام صاحب‌نظران و اسناد بالادستی ابلاغی به شاپرک، یک پیش‌نویس سند استاندارد امنیت تدوین و برای بانک مرکزی ارسال می‌شود. بانک مرکزی در بازه زمانی مشخص، پیش‌نویس سندها را بررسی می‌کند و دوباره در آن‌جا جلساتی می‌گذاریم که پس از اصلاح سندها، سند نهایی توسط بانک مرکزی به شاپرک ابلاغ می‌شود.»

بانک مرکزی؛ رگولاتور اصلی حوزه پرداخت در کشور

احمدی‌پویا بر این عقیده است که همیشه باید توازنی بین تداوم کسب‌وکار و ملاحظات امنیتی برقرار شود. او در این باره می‌گوید: «بالاترین سطح امنیت این است که همه چیز را متوقف کنیم و هیچ کاری انجام نشود. حتی در این صورت هم از امنیت کامل اطمینان نداریم. پس معماری امن وقتی معنی دارد که کسب‌وکار در جریان باشد. سامانه امن زمانی کارایی دارد که به کار خود ادامه دهد. بعد از دریافت دیدگاه کارگروه‌های مختلف بانک مرکزی، یک سند استاندارد امنیت از سمت بانک مرکزی به شاپرک ابلاغ می‌شود. یک اشتباه رایج خیلی‌ها این است که متصورند الزامات امنیت اطلاعات بانکی و در کل الزامات و مقررات شبکه پرداخت را شاپرک ابلاغ می‌کند درحالی‌که رگولاتور نظام پولی کشور، بانک مرکزی است و شاپرک به عنوان بازوی تخصصی بانک مرکزی، مشاوره‌هایی در جهت تدوین مقررات و الزامات می‌دهد؛ اما روال همیشگی این بوده که بررسی و ابلاغ نهایی توسط بانک مرکزی انجام می‌گیرد و به شاپرک ابلاغ می‌کند. ابلاغ شاپرک، همان دستور بانک مرکزی است. خیلی‌ها فقط قسمت آخر را می‌بینند و متوجه نیستند که تمام نامه‌های شاپرک، منبع و مرجع دارد؛ یعنی به استناد نامه شماره فلان و تاریخ فلان بانک مرکزی ابلاغیه‌ای می‌فرستد. رگولاتور اصلی حوزه پرداخت در کشور، بانک مرکزی است.»

طبق صحبت‌های او، در قوانین کشور صراحتاً آمده که بانک مرکزی رگولاتور حوزه پولی است. شاپرک نقش بازوی اجرایی و مشاور تخصصی را برای بانک مرکزی دارد و نمی‌تواند در جایگاه مقرره‌گذار حوزه پرداخت باشد. او در این باره می‌گوید: «بدون تعارف بگویم؛ شبکه پرداخت و تمام شبکه‌های مالی، به‌خصوص در حوزه فناوری، بسیار پیچیده هستند و در بانک‌های مرکزی دنیا، اگر بخواهند خودشان به این حوزه ورود کنند، باید سازمان‌های بسیار گسترده‌ای شوند. بانک‌های مرکزی، در هر حوزه مشخص فقط چند کارشناس متخصص محدود دارند، درصورتی‌که نیاز به نظر عده زیادی از متخصصان در حوزه‌های گوناگون و متنوع شبکه پرداخت است.

یکی از کارهای بسیار متهورانه که در سال ۱۳۹۰ انجام شد، این بود که علی‌رغم تمام انتقادها، بالاخره شاپرک به وجود آمد و یک سازمان فناور تخصصی در کنار رگولاتوری در جهت تعمیق نگاه رگولاتور به مباحث تخصصی شکل گرفت و حتی یک پایان‌نامه دکترا نیز در این رابطه کار شد و تجربه شاپرک به سایر رگولاتورهای حوزه‌های دیگر پیشنهاد شد. این‌که شاپرک در بعضی جاها موفق بوده و بعضی جاها نبوده، بحث جداگانه‌ای است ولی عملاً بانک مرکزی با تأسیس شاپرک توانست یک نهاد تخصصی را در کنار خود ایجاد کند که، فارغ از سازوکار رگولاتوری، نقش مشاور را برای او داشته باشد. ما خیلی جاها نظر کارشناسی خود را صریحاً به بانک مرکزی ارائه می‌دهیم؛ ولی بانک مرکزی بنا به صلاحدید خود می‌تواند آن نظر را نپذیرد. وظیفه شاپرک این است که تمام آنچه را کارشناسان می‌گویند به رگولاتور منعکس کند و خودش هم نظر کارشناسی و جمع‌بندی تخصصی را بدهد.»

نحوه ممیزی شرکت‌های ارائه‌دهنده خدمات پرداخت

وظیفه و مأموریت شاپرک، ایفای نقش به عنوان بازوی تخصصی و مشاوره‌ای بانک مرکزی است و به گفته احمدی‌پویا، موقعی که بانک مرکزی استانداردهای امنیتی فناوری اطلاعات را ابلاغ می‌کند، شاپرک به شرکت‌های PSP حداقل یک ماه وقت می‌دهد تا آنها را اجرا کنند. او در‌این‌باره این‌طور توضیح می‌دهد: «در سال‌های ۱۳۹۳ تا ۱۳۹۵ این فرایند را انجام می‌دادیم که بعداً دچار تغییرات شد، ولی اکنون دوباره آن را مطابق استاندارد ISO 17021 اصلاح کردیم و به سند داخلی تبدیل کردیم تا دیگر دچار فراموشی یا اعمال سلیقه نشود و بر مبنای سند داخلی فرایند ممیزی و سند انتخاب ممیزان، میزی امسال را پیش بردیم.

ما در جلسه ماهانه «شورای مدیران عامل» قرعه‌کشی تعیین زمان ممیزی را انجام دادیم. ممیزی با بازرسی فرق دارد؛ بازرسی زمانی اتفاق می‌افتد که تخلفی رخ دهد و بخواهیم بدون اعلام قبلی تخلف را بررسی کنیم؛ ولی فرایند ممیزی با هدف بهبود انجام می‌شود؛ پس شرکت‌ها باید از قبل خبر داشته و آماده باشند؛ به صورت سرزده ممیزی اتفاق نمی‌افتد. ما برنامه ممیزی را تا آخر آذرماه برای تمام مدیران عامل مشخص و به شرکت‌ها اطلاع‌رسانی می‌کنیم. بر اساس قرعه‌کشی که خودِ مدیران عامل انجام می‌دهند، نوبت هر شرکت مشخص می‌شود. در این میان، اتفاق‌های جالبی هم می‌افتد؛ مثلاً یک شرکت کاغذ قرعه‌کشی را بیرون می‌آورد و قرعه به اسم خودش می‌افتد! تمام شرکت‌ها از ابتدای سال می‌دانند که ممیزی‌شان در چه زمانی اتفاق می‌افتد؛ هیچ‌کس سورپرایز نمی‌شود.»

معاون نظارت شرکت شاپرک درباره چهارچوب ممیزی سال جاری نیز صحبت می‌کند و می‌گوید که بخش‌های جدیدی دارد: «یک بخش به نام «الزامات عمومی» داریم که تمام مسائل امنیتی و نظارتی حوزه شاپرک را در آنجا مستند کرده‌ایم. ما صحبت‌های زیادی با نهادهای امنیتی انجام می‌دهیم. نهادهای امنیتی کشور توقعات زیادی دارند و حتی می‌خواهند خودشان وارد ممیزی شرکت‌های پرداخت شوند، ولی تصمیم گرفتند که از توان شاپرک کمک بگیرند. ما نوعی ممیزی جامع داریم که بعضاً با چهارچوب دیگر نهادها متفاوت است.

چهارچوب ما منطبق بر ۱۷۰۲۱ است. چک‌لیست‌های امنیتی و تطابق با الزامات را با سه گزینه می‌سنجد: انطباق دارد، انطباق ندارد، کاربردی برای آن شرکت ندارد! هیچ‌وقت از این سه حالت خارج نیست! این سه حالت کاملاً منطبق بر سابقه کارهای اجرایی هستند؛ پس ممیز نمی‌تواند اعمال سلیقه شخصی کند! اگر موجود باشد، گزینه «انطباق» تیک می‌خورد، وگرنه «عدم انطباق». گاهی هم آن موضوع اصلاً در کسب‌وکار آن شرکت کاربردی ندارد، پس می‌نویسیم «کاربرد ندارد». تمام آنها از متن مستندات و مقررات ابلاغ‌شده، خط به خط، تنظیم شده‌اند و تمام شرکت‌ها از آن مطلع‌اند و قبول می‌کنند؛ دو طرف صورت‌جلسه ممیز را امضا می‌کنند و تأیید می‌شود.»

بر اساس استاندارد ۱۷۰۲۱، تشریفات ممیزی هر سال در قالب افتتاحیه ممیزی برگزار می‌شود. معاون نظارت شاپرک با مدیرعامل شرکت ارائه‌دهنده خدمات پرداخت به جلسه افتتاحیه می‌آیند و در اولین روز ممیزی، اهداف ممیزی را برای کل تیم ممیزی شاپرک و تیم مدیران ارشد شرکت ممیزی‌شونده تشریح می‌کنند که همه آن جمع بداند هدف از ممیزی و استراتژی تیم ممیزی چیست و هر عضو تیم ممیزی در چه محدوده‌ای کار ممیزی را پیش می‌برد. او می‌گوید: «ما همواره توضیح می‌دهیم که هدف کار ما توسعه و بهبود است؛ پس اگر در روز اول یک عدم انطباق به چشم بخورد و در روز سوم ببینیم که برطرف شده، آن موضوع را با افتخار به عنوان «انطباق» ثبت می‌کنیم. چرا؟ چون هدف این است که سطح امنیت و تطابق با الزامات بانک مرکزی و شاپرک یک پله بالا برود. این روش در شرکت‌ها پیاده شد و شرکت‌ها همراهی خوبی نشان دادند.»

در کنار الزامات عمومی ممیزی، یک سری الزامات اختصاصی نیز وجود دارد که بر اساس رصد هوشمند داده‌ها انجام می‌شود. احمدی‌پویا درباره این موضوع می‌گوید: «این بررسی‌ها هر ماه انجام می‌شود؛ به همین دلیل، نمره ممیزی شرکت‌ها هر ماه تغییر می‌کند. امسال هم گزارش جدیدی هم تحت عنوان «کارنامه ممیزی شرکت‌های پرداخت» به دستورکار شاپرک اضافه کرده‌ایم. هر ماه یک کارنامه به صورت محرمانه برای مدیرعامل و رئیس هیئت‌مدیره می‌فرستیم که وضعیت امنیتی و نظارتی شرکت و انطباق با الزامات را به اطلاع ایشان می‌رساند. به عنوان بخشی از الزامات حاکمیت شرکتی، پیشنهاد شکل‌گیری «کمیته انطباق» را به بانک مرکزی دادیم و بانک مرکزی الزام کرد که در تمام هیئت‌مدیره‌ها کمیته انطباق تشکیل شود. اکنون کمیته انطباق جزئی از ساختار حاکمیت شرکتی تمام شرکت‌ها به شمار می‌رود. کارنامه ممیزی تمام شرکت‌ها به کمیته انطباق می‌رود و با حضور حداقل یکی از اعضای هیئت‌مدیره بررسی می‌شود تا راهکار را هیئت‌مدیره بچیند. به این ترتیب، موضوع امنیت و انطباق با الزامات در بالاترین سطوح شرکت مورد بررسی قرار می‌گیرد و در لایه کارشناسی نمی‌ماند. بدین ترتیب، الزامات عمومی در فرایند ممیزی و الزامات اختصاصی به شکل ماهانه چک می‌شود.»

عدم انطباق‌هایی که در فرایند ممیزی گزارش شود، شرکت‌ها فرصت دارند که آن را برطرف و درخواست «ممیزی اصلاحی» کنند. به گفته او، بازه ممیزی شاپرک تا انتهای آذرماه ادامه دارد و از ابتدای دی‌ماه، شروع به ممیزی اصلاحی خواهند کرد و به ترتیب به سراغ شرکت‌ها می‌روند.

امسال یک سری امتیازات تشویقی نیز به چهارچوب ممیزی صنعت پرداخت کشور اضافه شده است. او دراین‌باره می‌گوید: «با بانک مرکزی مذاکره داشتیم و آنها را قانع کردیم که امتیاز تشویقی در سه حوزه بگذاریم؛ اولین مورد مربوط به پروژه‌های حاکمیتی حوزه رگولاتور پولی است. خیلی جاها شرکت‌ها کمک می‌کنند و پیشران پروژه‌های بانک مرکزی می‌شوند؛ مثلاً در کهربا، ریال دیجیتال و پل‌پی. چراکه معتقد هستیم شرکتی که پیشران در پروژه‌ها می‌شود، در ابتدا چالش‌های بسیاری را تجربه می‌کند؛ چون موضوع جدید است و خیلی جاها مجبور است فرایند آزمون و بررسی خطا انجام دهد.

همچنین در بدنه تخصصی شبکه نیاز بسیار به نیروی انسانی مجرب و متخصص وجود دارد. شرکت‌ها بنا به ارسال مدارک تخصصی کارشناسان خودشان که مدرک مربوطه مورد تأیید شاپرک باشد، نمره تشویقی در ممیزی‌هایشان می‌گیرند. ما یک بازه گذاشتیم برای این‌که شرکت‌ها نیروهای خود را از نظر تخصصی به‌روز کنند. همچنین یک بازه تشویقی دیگر هم قرار دادیم که شرکت، اطلاع‌رسانی عمومی برای کل جامعه انجام دهد؛ مثلاً مدیران عامل و اعضای هیئت‌مدیره‌ و مدیران ارشد شرکت که راجع به الزامات و مقررات حوزه پذیرندگان و دارندگان کارت در رسانه‌های ملی صحبت کنند و مشتری نهایی شبکه پرداخت کشور را نسبت به چگونگی بهره‌برداری امن و صحیح از ابزارهای پذیرش آموزش دهند، بابت تلاش‌های آگاهی‌بخش در حوزه پذیرندگی امتیاز مثبت می‌گیرند. امسال بررسی این سه حوزه برای ترغیب شرکت‌ها به اقدامات نوآورانه و افزایش دانش تخصصی همکاران خودشان و دانش عمومی ذی‌نفعان شبکه به چهارچوب ممیزی شرکت‌ها افزوده شد.»

هیچ رخداد امنیتی از بیرون نداشتیم

معاون نظارت شرکت شاپرک می‌گوید که باید پذیرفت که برقراری امنیت مستلزم هزینه‌هایی است که در واقع سرمایه‌گذاری به شمار می‌رود: «در کل دنیا برای امنیت بودجه گذاشته می‌شود. همه شرکت‌ها، حتی اگر در حوزه مالی نباشند، بودجه خاصی برای امنیت دارند. همه می‌خواهند ریسکِ امنیتی و ریسکِ عدم انطباق را کاهش دهند. بسیاری از رگولاتورهای حوزه‌های دیگر و نهادهای امنیتی مختلف به‌راحتی می‌گویند: فلان اقدام امنیتی باید انجام شود اما ممکن است از نظر ما، هزینه‌های آن اقدام بسیار بالا باشد و شاید در توان شرکت و شبکه موجود نباشد.

ما با آنها صحبت می‌کنیم و می‌گوییم که این حد از سخت‌گیری الزامات و مقررات به تاب‌آوری شرکت‌ها در این برهه زمانی آسیب می‌زند و شرکت‌ها توان اجرای دقیق آن را ندارند. ما مذاکره کارشناسی انجام می‌دهیم و هرجا بتوانیم، دوستان را اقناع می‌کنیم. اما هر جا اقناع نشوند، در صورتی که به ما چیزی را ابلاغ کنند، ناگزیر به اجرا و ابلاغ آن به شبکه هستیم. این‌طور نیست که شاپرک صرفاً نقش ابلاغ‌کننده داشته باشد. خودِ بانک مرکزی و بسیاری از نهادهای نظارتی هم در خیلی حوزه‌ها از ما نظر کارشناسی می‌خواهند و تمام سعی شاپرک این است که صرفاً یک مشاوره تخصصی دقیق و نه سلیقه‌ای با استناد به مراجع، استانداردها یا تجارب موفق بین‌المللی با لحاظ واقعیت‌ها و نتایج رصد دقیق وضعیت جاری شبکه پرداخت کشور ارائه کند و تلاش بر این است که فرایند تصمیم‌گیری نهادهای بالادستی برآمده از نظرات خبرگان صنعت شود.»

امسال و در ماه‌های گذشته چند چالش امنیتی در صنعت پرداخت کشور پیش آمد که توجه همه را به خود جلب کرد. احمدی‌پویا در واکنش به این اتفاق‌ها می‌گوید: «من با اطمینان می‌گویم که خوشبختانه هیچ رخداد امنیتی از بیرون نداشتیم؛ تمام آنچه رخ داد، به خاطر سهل‌انگاری یا کنار گذاشتن فرایندهای شاپرک بود. به عنوان نمونه، هر تغییری در حوزه عملیاتی خدمات شرکت، باید مطابق با سند الزامات مدیریت تغییرات باشد. جایی که در حوزه عملیات، تغییری پیش آید که در فرایند کسب‌وکار پذیرندگان، توقف یا اختلال پیش می‌آید، حتماً باید فرایند مشخص ابلاغی را طبق سند الزامات طی کنند و در زمان مقررشده به شاپرک اطلاع‌رسانی کنند و در بعضی موارد حتی باید از شاپرک تأییدیه انجام تغییرات بگیرند. گاهی یک پروژه در تداخل با پروژه‌های دیگر صنعت یا در شرایط خاصی درخواست می‌شود و تأییدیه برای آن صادر نمی‌شود. ما تمام موارد را با بانک مرکزی هماهنگ و سپس تأییدیه تغییر را صادر می‌کنیم.

حالا در نظر بگیرید که کارشناسان شرکت می‌خواهند محصول جدیدی را با ذوق و شوق ارائه دهند، در‌حالی‌که مدیران ارشد آن شرکت هیچ خبری از تغییرات جدید محصول ندارند و شاپرک هم ناگهان اختلال می‌بیند و همه تصور می‌کنند اختلال مشاهده‌شده نتیجه نفوذ است، در‌حالی‌که سهل‌انگاری عامل اصلی بوده است. پس از بررسی رخدادهای امنیتی شبکه پرداخت در سال جاری هیچ‌گونه هک یا نفوذی مشاهده نشده و صرفاً عدم انطباق‌های داخلی در میان بوده است. بعضی اتفاق‌های شبکه بانکی کشور هم در حوزه شاپرک نیست؛ به‌ویژه اتفاقاتی که در حوزه صادرکنندگی و شبکه بانکی رخ می‌دهد و برخی روی تراکنش‌کارت بوده است که در حوزه بررسی و اعلام نظر تخصصی شاپرک قرار نمی‌گیرد و لذا در شبکه پرداخت هیچ‌گونه نفوذی مشاهده نکرده‌ایم.»

شاپرک تمام رخدادهای امنیتی شبکه را مورد بررسی قرار می‌دهد: «نکته جالب این‌که در بررسی‌های ما نوعی رابطه معنادار بین گزارش عدم انطباق و وقوع رخدادهای امنیتی دیده می‌شود. ربط تمام این موارد را به نهادهای مختلف گزارش می‌دهیم. هر عدم انطباق می‌تواند به یک رخداد بینجامد. رخداد، به برند شرکت و پذیرنده و مشتری آسیب می‌زند؛ ممکن است مشتری از آن شرکت مهاجرت کند و به شرکت دیگر برود. تمام نهادهای نظارتی از او پاسخ دقیق و قانع‌کننده می‌خواهند. حالا شرکت باید ببیند که آیا هزینه‌کردن برای بهبود زیرساخت امنیتی به‌صرفه‌تر است یا هزینه ناشی از تبعات رخداد امنیتی؟ هر تغییر و اختلالی می‌تواند مدیرعامل و سهام‌دار شرکت و بانک را برآشفته سازد. هیئت‌مدیره شرکت‌ها فقط هزینه‌ای را که بابت یک تجهیز یا یک دوره آموزشی یا یک اقدام امنیتی می‌پردازند در نظر می‌گیرند؛ ولی نگاه نمی‌کنند که هزینه‌های پنهانِ عدمِ انطباق چقدر زیادتر و چند برابر است.»

احمدی‌پویا توضیح می‌دهد که بانک مرکزی جریمه‌هایی هم بابت بعضی تخلفات در نظر می‌گیرد و اعمال می‌کند که ‌گاه مورد انتقاد شرکت‌های PSP است. او در‌این‌باره می‌گوید: «اگر یک جست‌وجوی ساده انجام دهید، متوجه می‌شوید که همه جای دنیا، وقتی یک مؤسسه مالی دچار رخداد امنیتی شود، باید جریمه بسیار سنگینی به رگولاتوری آن کشور بپردازد. مصرف‌کننده نهایی بسیار مهم است و برای تمام رگولاتورها اهمیت دارد و آن را هزینه انطباق با عنوان Compliance Cost می‌خوانند. در قیاس با هزینه‌هایی که رخدادهای امنیتی ایجاد می‌کنند، هزینه برقراری امنیت زیاد نیست.»

رابطه مستقیم سهم بازار و نمره ممیزی بالا

بسیاری از مدیران ارشد شرکت‌ها همچنان امنیت را یک موضوع هزینه‌زا و تزئینی تلقی می‌کنند. او در واکنش به این گزاره می‌گوید: «صریح بگویم. شرکت‌هایی که در به دست آوردن سهم بازار موفق هستند، در الزامات ممیزی هم نمرات بهتری کسب می‌کنند. شرکتی که الزامات را رعایت می‌کند، در عمل سرویس بهتری می‌دهد و پذیرنده مشتاق می‌شود که به سراغ او بیاید و سهم بازار او را بالاتر ببرد. ما به عنوان رگولاتور می‌دانیم که رابطه معنادار بین هزینه امنیت و رشد کسب‌وکار وجود دارد. شرکت‌ها باید معماری امن داشته باشند؛ از ابتدا سامانه حوزه مالی را به شکل امن طراحی کنند. هر چقدر هزینه امنیت بدهیم، به نفع خودمان است؛ هم مشتری راضی می‌ماند، هم برند شرکت حفظ می‌شود و هم خیال خودمان آسوده می‌ماند.»

رخداد‌های امنیتی؛ به دلیل روزمرگی

احمدی‌پویا می‌گوید که بسیاری از رخدادهای امنیتی که در صنعت پرداخت اتفاق می‌افتد، به دلیل روزمرگی رخ می‌دهد؛ مثلاً شرکتی انجام یک فرایند کنترلی و ارزیابی امنیتی داخلی را فراموش می‌کند یا با تغییر یک نیروی مجرب به یک نیروی تازه‌کار که به حوزه موردنظر مسلط نیست، اتفاقی رخ می‌دهد. او توضیح می‌دهد: «هر کس که سکان یک شرکت یا بخشی از شرکت را در دست می‌گیرد باید تمام الزامات حوزه خود را به‌خوبی بشناسد. در شرکت‌های خارجی، یکی از معیارهای جذب و استخدام فرد را چنین می‌گذارند که آیا الزامات رگولاتوری را در حوزه موردنظر می‌شناسد؟

چرا پرداخت‌یارها چالش بیشتری دارند؟ چون مدیران آنها جوان‌ترند؛ خیلی انرژی دارند اما در حوزه کسب‌وکار بانکی یا در تعامل با رگولاتور حوزه پولی بی‌تجربه هستند و می‌خواهند محصولشان هر چه زودتر بالا بیاید؛ ولی پی‌اس‌پی‌ها این‌طور نیستند؛ با پشتوانه بانکی جلو می‌روند؛ قبلاً در بانک بوده‌اند؛ یک سری از الزامات را خوانده‌اند و می‌شناسند. من تأکید زیادی می‌کنم که الزامات و مقرره‌ها به تمامی شرکت‌ها ابلاغ شده‌اند و باید مدیران و کارمندان از آن مطلع باشند. شاپرک امتیازهای مثبت را با این هدف گذاشته که شرکت‌ها تشویق به بازآموزی شوند. خودمان هم در حال طراحی دوره‌های آموزشی برای نیروهای جدید در شرکت‌ها هستیم تا الزامات رگولاتوری را بشناسند. علاوه بر اینها، تمام تصمیم‌های رگولاتور بنا به عقل حاضر و مصلحت عمومی و همچنین با اتکا به خرد جمعی اخذ می‌شود؛ امکان ندارد که یک مقرره یا الزام حاصل نظر شخصی باشد. وقتی یک جا تقلب یا تخلف (fraud) اتفاق می‌افتد و تکرر پیدا می‌کند؛ می‌فهمیم که مسئله اهمیت دارد؛ پس مقرره‌ای برای آن موضوع بااهمیت گذاشته می‌شود.»

تلاش‌هایی در راستای ارتقای پدافند غیرعامل

با توجه به شرایط خاص کشور، پدافند غیرعامل تبدیل به یکی از دغدغه‌های مهم تمام نهادهای مقرره‌گذار شده است. احمدی‌پویا با بیان این موضوع می‌گوید: «من صراحتاً می‌گویم معماری و پایه‌های سامانه‌های ملی پرداخت کشور بسیار درست و محکم طراحی شده‌اند. استراتژی‌ها و سطح امنیتی که پیاده شده در کمتر شبکه‌ای با این بلوغ به چشم می‌خورد. مرحوم نوربخش اتفاق عجیبی را در ایران رقم زد. همین الان هم بسیاری از همسایگان ما هنوز سوئیچ ملی پرداخت ندارند و وابسته به ویزا و مستر و اسکیم‌های دیگر هستند؛ پس نگاه مرحوم نوربخش بسیار دورنگر بود. از زمان شکل‌گیری سوئیچ ملی پرداخت، مقاومت زیادی در شبکه بانکی کشور نسبت به آن وجود داشت. من آن موقع یک کارشناس بودم و می‌دیدم که برخی صاحب‌نظران مدعی امروز، چقدر سعی می‌کردند این امر جلو نرود. دوستانی که آن موقع ایستادند و این شبکه را بنیان نهادند، واقعاً دمشان گرم. بچه‌های ایرانی در زمینه فناوری اطلاعات صنعت بانکی واقعاً زحمت زیادی کشیده‌اند؛ ما در دنیا پیشرو بوده‌ایم و اکنون هم با وجود شرایط دشوار، سعی داریم که پیشرو بمانیم.»

به گفته احمدی‌پویا، در الزامات شاپرک تلاش زیادی برای کاهش ریسک پیش‌بینی شده است و آنها چند پلن هم‌زمان را پیش‌بینی کرده‌اند که اگر هر اتفاق و رخدادی پیش بیاید، پلن متناسب را برایش انجام دهند. با تمام اوصاف، او می‌گوید که امنیت هیچ‌گاه به ۱۰۰درصد نمی‌رسد و باید به پلن‌های جایگزین اندیشید: «پلن‌های امنیتی جایگزین زیادی در شاپرک آماده شده که شرکت‌های PSP آن پلن‌ها را تست می‌کنند تا بتوانیم آنها را اجرایی کنیم. مثلاً «شبکه پرداخت حسابی» را در پیش داریم که دقیقاً موازی با شبکه کارتی است؛ در آنجا به جای ابزار کارت، ابزار حساب بانکی را داریم.

شبکه پرداخت حسابی، سازوکار خاص خود را دارد. شبکه ریال دیجیتال هم روی بستر تازه‌ای برای پرداخت‌های خرد شکل می‌گیرد. تمام اینها با آن فکر شکل می‌گیرد که راه‌های متعددی برای دسترسی مردم ایجاد شود و بتوانیم از نظر پدافند غیرعامل وضعیت خوبی داشته باشیم. این فقط از زاویه پدافند غیرعامل اهمیت ندارد، بلکه از حیث تجربه مشتری نیز حائز اهمیت است. شاید نسل Z دوست نداشته باشد با کارت بانکی کار کند؛ بخواهد پرداخت خرد را شبیه به انتقال رمزارز انجام دهد یا خرید را با موبایل صورت دهد که تجربه‌ای متفاوت به شمار می‌رود. برای هر کار، سعی شده روش‌های متعددی در دسترس قرار گیرد.»

به نظر معاون نظارت شرکت شاپرک، تعریف درست امنیت همین است که کسب‌وکار ادامه داشته باشد و درعین‌حال امن بماند: «اینجاست که می‌گوییم بچه‌های ایرانی پیشتاز بوده‌اند و اکنون هم دارند کارهای خارق‌العاده‌ای را رقم می‌زنند. قضاوت‌های تاریخی باید در گذر زمان صورت گیرد. ما اکنون خیلی راحت می‌توانیم راجع به دهه ۱۳۸۰ نظر بدهیم چون بیش از یک دهه از آن گذشته است؛ اکنون منفعت‌ها و آسیب‌های هر تصمیم را می‌بینیم. شاید در مورد تصمیم‌های امروز خودمان به‌سختی بفهمیم که کجاها اشتباه کرده و کجاها کار بزرگی انجام داده‌ایم، ولی این موضوع را گذر زمان مشخص می‌کند.»

توصیه‌هایی امنیتی به شرکت‌های PSP

احمدی‌پویا مهم‌ترین توصیه امنیتی به شرکت‌های PSP را توجه به نیروی انسانی می‌داند و در این باره این‌طور می‌گوید: «توصیه من به شرکت‌های PSP این است که حال بچه‌هایتان را خوب کنید. در شبکه پرداخت، بچه‌هایی نخبه و متخصص کار می‌کنند که سرمایه‌های کشور به شمار می‌روند. وقتی حال آنها خوب نباشد، اولین گزینه‌ای که به ذهنشان می‌رسد مهاجرت است. دومین فکر آنها این می‌شود که یک جور کار از راه دورداشته باشند. سومین فکرشان این خواهد بود که دو جا کار کنند. چهارمین فکرشان اینکه مشکلات مالی هر ماه را چه‌کار کنند؟

آیا چنین نیرویی می‌تواند روی پروژه حساس تمرکز کند؟ اگر هم تمرکز داشته باشد، آیا حجم کار شرکت‌ها در تناسب با نیرویی که تخصیص می‌دهند، هست؟ آیا این نیرو، فرصتی برای به روز کردن دانش خود خواهد داشت؟ آیا برای او دوره‌های تخصصی می‌گذاریم؟ آیا توان نیروی انسانی را بالا می‌بریم؟ نه. فقط کار و کار و کار! باید به این بیندیشم که هر چقدر برای یک شرکت مهم است که سرویس‌های جدید راه‌اندازی کند، باید نیروی شرکت نیز به دانش روز مجهز باشد. بدین ترتیب، حالش خوب می‌شود؛ احساس نمی‌کند که در روزمرگی افتاده و دست‌وپا می‌زند. به این فکر می‌کند که امروز یک چیز یاد گرفتم و یک قدم جلو رفتم. بهترین اتفاق همین است.»

توصیه بعدی احمدی‌پویا به شرکت‌های پرداخت، داشتن اندیشه معماری امن است: «مقوله امنیت را باید از بالا بنگریم؛ برای داشتن سازمان امن، باید اجزای امنیت را بشناسیم. در این صورت، خیلی نکات را می‌فهمیم که از ذهن غافل می‌ماند. به عنوان مثال، به تمام شرکت‌ها می‌گوییم باید استانداردهای امنیتی سازمانی را پاس کنند و گواهی آن را بگیرند. چرا؟ چون بعضی قسمت‌ها در سازمان وجود دارد که جزو حوزه ممیزی من قرار نمی‌گیرد. سازمان باید همواره امن بماند. جایی که معماری امن و نگاه استراتژیک به حوزه امنیت وجود داشته باشد؛ به این می‌اندیشیم که با نادیده گرفتن هر مسئله کوچک، یک دغدغه بزرگ برایمان پیش می‌آید. در آخر اینکه شرکتی که نگاه استراتژیک دارد، در حوزه امنیت صرفه‌جویی نمی‌کند؛ بلکه به شکل‌گیری یک سازمان امن و معماری امن می‌پردازد.»