چالشی دائمی به ‌نام امنیت اطلاعات

گفت‌وگو با مدیران و متخصصان صنعت بانکی کشور که معتقدند نقاط ضعف و آسیب‌پذیری‌های زیادی در زیرساخت‌ها و سیستم‌های بانکی وجود دارد

نویسنده: تحریریه انتشار در 17 دی 1403

عصر تراکنش ۸۹ / با توسعه ابزارهای فناورانه در صنعت بانکی،‌ امنیت در بانک‌ها در سال‌های گذشته به مسئله‌ای حیاتی تبدیل شده است. صنعت بانکی کشور نیز به‌منظور ارتقای وضعیت امنیت اطلاعات تلاش‌های زیادی را در سال‌های اخیر صورت داده است، اما این صنعت هنوز به مصونیت کامل در برابر حملات سایبری نرسیده و بعضاً اخلال‌هایی در سیستم‌های بانکی و پرداخت کشور دیده می‌شود.

استفاده از سخت‌افزارهای قدیمی و عدم دسترسی به فناوری‌های روز جهان از جمله موارد مؤثر در ضعف‌های امنیت اطلاعات در صنعت بانکی و پرداخت کشور هستند. به گفته فعالان این صنعت، عدم وجود یکپارچگی و تعدد نهادهای قانون‌گذار و نظارتی، کمبود نیروی انسانی متخصص و پیچیدگی در فرایند تأمین محصولات و تجهیزات حوزه فناوری اطلاعات از چالش‌های اساسی توسعه و بهبود امنیت در این صنایع است.

با توجه ‌به اهمیت مسئله امنیت، با علی‌اصغر تقوی، معاون فناوری اطلاعات بانک کارآفرین؛ حامد دهقانی آرانی، مدیرعامل هلدینگ داده‌ورزی سداد؛ داود محمدبیگی، مشاور بانک خاورمیانه در حوزه بانکداری دیجیتال و سید محمدحسین محمودی، معاون مدیرعامل بانک ملت در امور فناوری اطلاعات درباره چالش‌ها و راهکارهای امنیت اطلاعات در صنایع بانکی و پرداخت کشور گفت‌وگو کردیم که گزارشی از این گفت‌وگوها را می‌توانید در ادامه بخوانید.

در امنیت اطلاعات منفعلانه رفتار کرده‌ایم

در حال حاضر وضعیت امنیت در شبکه بانکی نسبت به سایر صنایع در وضعیت بهتری قرار دارد که این موفقیت مرهون حساسیت بانک‌ها در سال‌های گذشته و سرمایه‌گذاری‌های کلان صورت‌گرفته در این بخش بوده است. علی‌اصغر تقوی، معاون فناوری اطلاعات بانک کارآفرین، با اشاره به این موضوع، درباره امنیت در صنعت بانکی کشور بیان می‌کند: «این واقعیت را هم باید در نظر بگیریم که امنیت یک مقوله نسبی و پویاست که نمی‌توان هیچ‌گاه با اطمینان بیان کرد که به امنیت مطلوب و ۱۰۰درصدی دست‌ یافته‌ایم، ولی با توجه به زیرساخت‌ها، فرایندها و فناوری‌هایی که در این حوزه به کار گرفته ‌شده است، وضعیت امنیت در صنعت بانک و پرداخت به‌صورت کلی مطلوب ارزیابی می‌شود.

یک مثل معروفی وجود دارد که می‌گوید: «مهم نیست خودروی شما چقدر سریع می‌رود، اگر ترمز خوبی نداشته باشد!» مقوله امنیت اطلاعات به‌مثابه ترمز و سیستم‌های ایمنی در شبکه بانکی است. هر آنچه شما خدمات و محصولات خود را در حوزه دیجیتال توسعه دهید اگر زیربنای امنیتی آن ناقص باشد، در واقعیت به این معناست که سریع‌تر به استقبال شکست می‌روید.»

تقوی با بیان اینکه تمام دارایی بانک‌ها اطلاعات آنهاست که تماماً در زیرساخت‌های دیجیتال ذخیره و پردازش می‌شوند، می‌گوید: «اگر در حوزه امنیت اطلاعات نقص جدی یا کوتاهی صورت پذیرد، لطمات جبران‌ناپذیری نه‌تنها برای بانک، بلکه در سطح کشور خواهد داشت؛ بنابراین مقوله امنیت بیش از هر حوزه دیگری در فناوری اطلاعات اهمیت دارد به‌نحوی‌که هر محصول دیجیتال صرفاً با نظر و تأییدات امنیتی قابل‌استفاده خواهد بود. به همین دلیل است که در بانک کارآفرین در سال‌های اخیر، پس از پروژه مهاجرت، بیشترین سرمایه‌گذاری در زیربنای امنیتی و تقویت زیرساخت‌ها به‌منظور دستیابی به تداوم خدمت بوده است.»

طبق گفته‌های تقوی، مهم‌ترین چالش حوزه امنیت، ضعف در فناوری‌های بومی و کمبود نیروی انسانی متخصص در این بخش است. او دراین‌باره می‌گوید: «متأسفانه در همه این سال‌ها در امنیت اطلاعات منفعلانه رفتار کرده‌ایم و بیشتر مصرف‌کننده محصولات خارجی بوده‌ایم. به همین دلیل محصولات داخلی کمی تولید شده‌اند و همین محصولات هم کمتر خریداری و حمایت شده‌اند. اینکه ما امنیت زیرساخت‌های حیاتی خود را به دست محصولات ناشناس خارجی بسپاریم که بعضاً ما را تحریم نیز کرده‌اند، ریسک بزرگی برای تمام حوزه‌های فناوری دیجیتال محسوب می‌شود. البته باید توجه داشت که این ریسک با روش‌هایی مانند ایجاد ساختارهای موازی در کنترل‌های امنیتی تا حدودی مرتفع می‌شود؛ ولی این روش‌ها هزینه‌های مضاعفی را به صنعت بانکی و در کل به تمام حوزه‌های فناوری تحمیل می‌کند. در بخش نیروی انسانی باید توجه داشت که تعداد رشته‌های مرتبط دانشگاهی مرتبط بسیار کمتر از نیاز صنعت است که در کنار پدیده تأسف‌بار مهاجرت نیروهای متخصص، چالش بسیار جدی برای این حوزه پدید آورده است.»

علی‌اصغر تقوی، معاون فناوری اطلاعات بانک کارآفرین

استفاده از هوش مصنوعی در حوزه امنیت، استفاده از ظرفیت‌های بومی، فرصت افزایش رشته‌های مرتبط دانشگاهی و تقویت و استفاده از زیرساخت‌های ابری از جمله مواردی هستند که معاون فناوری اطلاعات بانک کارآفرین برای تقویت و توسعه امنیت اطلاعات در صنایع مالی کشور پیشنهاد می‌کند. او در توضیح این موارد می‌گوید: «رشد خیره‌کننده فناوری‌های هوش مصنوعی در سال‌های اخیر در کنار فرصت‌های بی‌شماری که ایجاد کرده است، تهدیداتی نیز دارد. پیش‌بینی می‌شود که هوش مصنوعی در آینده نزدیک با سرعت و دقت بسیار بالا و در حجم گسترده برای نفوذ به سامانه‌ها و حملات سایبری استفاده شود که در این صورت با فناوری‌ها و روش‌های گذشته نمی‌توانیم با آن مقابله کنیم. برای پاسخ به این تهدید نیز باید از همین فناوری بهره گیریم. فناوری هوش مصنوعی و کاربرد آن در زیرساخت‌های امنیتی به‌تازگی عرضه شده‌اند و به همین دلیل درحال‌حاضر در بهترین زمان‌های سرمایه‌گذاری در این بخش هستیم.»

به گفته او، درحال‌حاضر بخش مهمی از زیرساخت‌های امنیتی در کشور در اختیار محصولات خارجی است که لازم است با سرمایه‌گذاری صحیح در این بخش، به‌خصوص با درنظرگرفتن فناوری‌های هوش مصنوعی، با محصولات بومی جایگزین شوند. تقوی می‌گوید: «محصولات خارجی علاوه بر هزینه‌های بالا، به دلیل تحریم‌ها معمولاً پشتیبانی ضعیفی نیز دارند که این یک تهدید محسوب می‌شود. در حال حاضر تعداد کمی رشته مرتبط با موضوعات امنیت اطلاعات در دانشگاه‌های کشور وجود دارد که منجر به کمبود نیروی انسانی متخصص شده است. با توجه به نیاز روزافزون و نفوذ فناوری‌های دیجیتال در صنایع و بخش‌های مختلف اقتصادی، بهتر است که سیاست‌گذاران آموزش عالی در کشور هرچه سریع‌تر رشته‌های مرتبط را در دانشگاه‌ها و مراکز آموزش عالی تأسیس کنند.»

طبق صحبت‌های معاون فناوری اطلاعات بانک کارآفرین، در دنیا بانک‌ها از سرویس‌ها و زیرساخت‌های ابری استفاده می‌کنند که این تحول بزرگی در زمینه ارائه خدمات مالی و بانکی محسوب می‌شود. زیرساخت‌های ابری با سرمایه‌گذاری مجتمع در ایجاد زیرساخت امن و پایدار ارائه خدمت گزینه مناسبی برای میزبانی سرویس‌های مختلف محسوب می‌شوند.

پذیرش مشکل؛ اولین گام در حل مسئله

طبق صحبت‌های حامد دهقانی آرانی، مدیرعامل هلدینگ داده‌ورزی سداد، واقعیت صحنه صنعت پرداخت و بانکی کشور این است که شاخص‌های امنیت مطلوب نیست. او در این باره می‌گوید: «بزرگان ما گفته‌اند: اولین گام حل مسئله، پذیرش مشکل است. نگرانی کاربران و مشتریان این صنعت از حفاظت از اطلاعات خود و مصون بودن آنها در مقابل حملات فزاینده از یک سو و عدم توالی و دسترس‌پذیری خدمات و عدم اطمینان به انجام فعالیت در زمان مورد انتظار از سوی دیگر، دغدغه‌های واقعی و درخور توجهی هستند. اگرچه به نسبت میزان تهدیدات و آسیب‌پذیری‌های شناخته‌شده و آلودگی تأسف‌بار پهنه دستگاه‌های مورداستفاده کاربران و نیز شرایط صنعت از حیث دسترسی به تجهیزات و فناوری‌های روز، همین میزان امنیت فعلی در مقایسه با وضعیت عمومی جهانی ستودنی است، اما با نقطه مطلوب فاصله قابل‌ توجهی احساس می‌شود.»

امروز در همه اسناد بالادستی در ایران و جهان، امنیت از زیرساخت‌های اصلی ارائه خدمات در بستر دیجیتال است. توجه به این موضوع را می‌توان در سرفصل تمام نشست‌های اصلی و نمایشگاه‌ها به‌خوبی مشاهده کرد. دهقانی آرانی با بیان این موارد می‌گوید: «توجه به گزارش‌های مالی ارائه‌شده در میزان هزینه‌کرد بزرگ‌ترین نهادهای مالی و شرکت‌های مرتبط در جهان یکی از نشانه‌های اهمیت این موضوع است. یکی از شاخص‌های قابل‌توجه نیز میزان حقوق پیشنهادی برای به‌کارگیری متخصصان این حوزه است که به‌راحتی فاصله قابل‌ توجه آن با سایر حوزه‌های تخصصی دیده می‌شود. امنیت و تمامی وجوه آن یکی از کلمات کلیدی در ادبیات مدیران شده است. با اضافه‌کردن این جمله معترضه که «من سر درنمی‌آورم» ولی بروید و این کار را انجام بدهید. مدیران بانک‌ها به‌خوبی درک کرده‌اند که کوچک‌ترین مخاطره در حوزه امنیت سال‌ها هزینه‌کرد در برندسازی‌شان را نابود می‌کند. حتی شایعه افشای اطلاعات به‌راحتی منجر به مهاجرت مشتریان بین اپراتورهای مختلف می‌شود و در این زمانه که منابع برای همه فعالان بسیار مهم است، این مهاجرت می‌تواند به ناترازی‌های سنگین مالی منجر شود.»

مدیرعامل هلدینگ داده‌ورزی سداد چهار چالش را به‌عنوان اصلی‌ترین چالش‌های امنیت اطلاعات و امنیت داده در صنعت بانکی و پرداخت کشور عنوان می‌کند که عبارت‌اند از: کمبود نیروی متخصص، عدم دسترسی به تجهیزات خاص امنیتی، نگاه اشتباه به مسئله امنیت در حاکمیت و نگاه اشتباه به مسئله امنیت در مدیران صنعت. او درباره این موارد این‌طور می‌گوید: «عدم توانایی در جذب و نگهداری متخصص برای صنعت داخل به یک قصه پرغصه در این حوزه تبدیل شده است. عدم دسترسی به تجهیزات خاص امنیتی و نگاه اشتباه به مسئله امنیت در حاکمیت نیز که ایجاد نهادهای موازی و متعدد و عدم بلوغ در جایگاه سیاست‌گذاری و ممیزی کارا را در پی دارد از دیگر چالش‌های امنیت اطلاعات و امنیت داده در صنعت بانکی و پرداخت کشور هستند. از طرفی دیگر نگاه اشتباه به مسئله امنیت در مدیران صنعت را می‌توان دیگر چالش این حوزه دانست، چراکه نگاه آنها به مسائل جزئی است نه زیرساختی و به امنیت به‌عنوان یک مسئله ابزاری نگاه می‌کنند نه یک مسئله جاری در فرهنگ و روزمره سازمان.»

به عقیده او، تقویت دانشگاه‌ها و سایر مراکز آموزشی برای تربیت نیروی متخصص در این حوزه و تشکیل اپراتورهای تخصصی امنیت از مهم‌ترین کارهایی است که باید انجام شود. او با اشاره به این موضوع می‌گوید: «تعریف بیمه سایبری می‌تواند به‌عنوان یک پیشران مؤثر برای بهبود فرایندها عمل کند و از همه مهم‌تر در نظر گرفتن بودجه و هزینه‌کرد منابع برای ارتقای شاخص‌های امنیتی باید پیگیری شود. تعدد دستگاه‌های نظارتی و حاکمیتی نیز، باعث حرکت سازمان‌های پاسخگو و تحت نظارت، به اپراتورهایی شده که وظیفه آنها، ارائه مستندات – بدون نگاه ریشه‌ای به نیازمندی‌ها و راهکارهای بهبود – است؛ درحالی‌که می‌توان استفاده بهینه‌تر و دقیق‌تری از توان تیم‌های سیاست‌گذار در کنار تیم‌های مجری در صنعت، جهت بهبود شرایط کرد.»

نباید به امنیت اطلاعات، دید درآمدزایی داشت

طبق صحبت‌های داود محمدبیگی، مشاور بانک خاورمیانه، نمی‌توان گفت که وضعیت فعلی امنیت اطلاعات کشور بد است، ولی این نکته وجود دارد که ما به دلیل وضعیت کشور از فناوری‌های روز جهان و دسترسی به آنها محروم هستیم. او با اشاره به این موضوع می‌گوید: «این امر یک خوبی و یک بدی دارد. خوبی آن این است که ما را به سامانه‌های داده باز (open source) وابسته کرده است و بسیاری از نیازهای امنیت اطلاعات در حال بومی‌سازی‌شدن هستند. نکته منفی آن هم این است که ورود تخصصی‌تر به مبحث امنیت اطلاعات نیازمند دسترسی به فناوری‌های متعدد و متنوع است و محدودشدن ما به تعدادی فناوری خاص یکی از آسیب‌ها و ریسک‌هایی است که شبکه پرداخت را تهدید می‌کند.»

بخش امنیت اطلاعات و صیانت از داده‌ها و نگهداری اطلاعات مشتریان و ارائه خدمات در بستر امن یکی از نکات کلیدی و یکی از چالش‌های همه کشورها در حوزه بانکی و پرداخت است. محمدبیگی در این راستا بیان می‌کند: «هنوز مقررات PSD3 به‌عنوان مقرره نهایی ابلاغ نشده است، ولی وقتی شما آن را تورق می‌کنید می‌بینید، احراز هویت قوی مشتری (SCA) که در PSD2 هم به آن پرداخته شده بود در PSD3 خیلی جدی‌تر به آن ورود کرده است و مباحثی مانند احراز هویت بیومتریک و احراز هویت زنده‌سنجی، دادن کارت‌های امن به مشتری را به‌عنوان الزامات پیشنهادی معرفی کرده است. نکته مهم‌تر این است که در این حوزه هم به شرکت‌ها و بانک‌ها گفته شده که این خدمات رایگان در اختیار مردم قرار می‌گیرد.»

پیامک‌های رمز دوم پویا در سال ۱۳۹۸ به بانک‌ها ابلاغ شد و بانک مرکزی اعلام کرد که از مشتریان برای این خدمات هزینه‌ای گرفته نشود. همان موقع انتقادهایی از بانک مرکزی شد که چرا نمی‌گذارد بانک‌ها قیمت تمام‌شده خدمات خود را بگیرند. محمدبیگی با بیان این موضوع می‌گوید: «ما آن موقع بحث امنیت را از بقیه موضوعات جدا می‌کردیم. گرچه ما این اعتقاد را داریم که بانک‌ها باید قیمت تمام‌شده خدمات خود را بگیرند، ولی مسئله امنیت موضوعی‌ ا‌ست که جزو ارکان و مأموریت‌های پایه‌ای هر شبکه و زیرساختی است و نباید به آن نگاه درآمدی داشت و باید به‌عنوان یک مأموریت اصلی دیده شود.»

به عقیده محمدبیگی، در حوزه امنیت پرداخت دو ریسک و خطر جدی وجود دارد. ریسک اول به سرویس‌دهنده خدمت برمی‌گردد که باید سرویس‌گیرنده را به‌صورت کامل شناسایی کند و اگر این اتفاق نیفتد ممکن است سرویس را در اختیار شخص دیگری قرار دهد. او درباره نکته دوم این‌طور بیان می‌کند: «نکته بعدی هم به سرویس‌گیرنده‌ها برمی‌گردد. آنها باید این توانمندی را داشته باشند که سرویس‌دهنده را شناسایی کنند. در این حالت معمولاً تهدیداتی مثل فراود و فیشینگ وجود دارد که بعضی از سایت‌ها خود را به‌عنوان سرویس‌دهنده‌ها معرفی می‌کنند و اطلاعاتی را از مشتری یا سرویس‌گیرنده می‌گیرند.»

طبق صحبت‌های او، در کشور ما که به هویت دیجیتال افراد چندان توجه نشده است، کارت ملی تنها ابزار شناسایی در فضای حقیقی است و مشتری برای اثبات خود در فضای مجازی هم باید از همین کارت ملی استفاده کند. این مسئله یک خلأ است و مدل احراز هویت فضای مجازی ما نباید بیش از حد به مدل احراز هویت فضای حقیقی ما متکی باشد. محمدبیگی با اشاره به این موضوع می‌گوید: «مباحث زنده‌سنجی و اخذ تصویر از مشتری در سال ۱۳۹۸ پس از شیوع کرونا پررنگ شدند، ولی این موارد کافی نیستند. ما برای ارائه خدمات به یک تصویر ویدئویی از مشتری اکتفا می‌کنیم. این مسئله نیاز به ساختاری دارد که حداقل‌هایی را به‌عنوان استاندارد ارائه خدمات در فضای غیرحضوری تعیین کند. بانک مرکزی در سال ۱۴۰۰ به این سمت حرکت کرد و مصوبه‌ای را از شورای پول و اعتبار دریافت کرد، ولی در نحوه اجرای این مصوبه خیلی نظارت نشد.»

او بر این باور است که هویت در فضای مجازی نیاز به یک قانون و مقرره بالادستی دارد. سازمان ثبت‌احوال در فضای حقیقی هویت را در اختیار مردم قرار می‌دهد و این سازمان در فضای مجازی هم باید حداقل‌های احراز هویت و نحوه احراز هویت در فضای مجازی را تعیین کند: «ما در حوزه امنیت اطلاعات باید به دو نکته توجه کنیم. اول از همه نباید به این حوزه نگاه درآمدزایی داشته باشیم و نکته دوم اینکه امکان استفاده از فناوری‌های روز مثل احراز هویت توسط صدا و مهم‌تر از آن احراز هویت به واسطه رفتار مهیا شود. اهمیت احراز هویت به واسطه رفتار این است که اگر فردی تمام اقلام هویتی شخص دیگری را داشته باشد و به‌جای آن شخص سرویس بگیرد، ولی نوع تراکنش و انجام خدمات مالی آن فرد متفاوت باشد، سرویس‌دهنده به آن مشکوک می‌شود. در مقررات PSD3 هم روی این موضوع خیلی تأکید شده است که شما به‌صورت برخط در مرحله انجام تراکنش بتوانید با توجه ‌به نوع رفتار قبلی، مشتری را تشخیص بدهید که آیا یک اعوجاج یا عملیات غیرعادی را می‌بینید یا خیر.»

سرمایه‌گذاری و هماهنگی؛ شروط مقابله با تهدیدات سایبری

پیچیدگی روزافزون حملات سایبری و ارزش بالای اطلاعات مالی و از سوی دیگر رشد سریع خدمات دیجیتالی و فناوری‌های مالی و فین‌تک‌ها در سال‌های اخیر در صنعت بانکی و پرداخت کشور به‌عنوان یکی از مهم‌ترین زیرساخت‌های حیاتی کشور و همچنین موقعیت ژئوپلیتیک و روابط خاص بین‌المللی کشور منجر به تبدیل‌شدن بانک‌ها به یکی از مهم‌ترین اهداف حملات سایبری شده که حملات گسترده به بانک‌ها و نهادهای مالی کشور در سال‌های اخیر، شامل سرقت اطلاعات کاربران، اختلال در سیستم‌های پرداخت و بعضاً دست‌کاری اطلاعات مالی، نشان‌دهنده لزوم توجه ویژه به این مهم است. سید محمدحسین محمودی، معاون مدیرعامل بانک ملت در امور فناوری اطلاعات، با اشاره به این موضوعات می‌گوید: «به دلیل شرایط خاص مطروحه، دسترسی به نرم‌افزارها و سخت‌افزارهای امنیتی پیشرفته محدود بوده و بسیاری از بانک‌ها همچنان مجبور به استفاده از سیستم‌های قدیمی و نرم‌افزارهای منسوخ هستند که این امر خطرپذیری آنها را افزایش می‌دهد.»

طبق صحبت‌های او، تاکنون در راستای کاهش این مخاطرات، از سوی صنایع مالی و بانکی کشور تلاش‌های بسیار زیادی به‌منظور ارتقای امنیت صورت ‌گرفته است. محمودی در این باره بیان می‌کند: «به‌روزرسانی زیرساخت‌های فناوری اطلاعات و امنیت، تلاش در راستای افزایش آگاهی و فرهنگ‌سازی در حوزه امنیت در بین کارکنان و مشتریان، ایجاد تیم‌های تخصصی امنیت، نمونه‌ای کوچک از تلاش‌های انجام‌شده برای ارتقای امنیت است. بااین‌حال، باوجود تلاش‌های بسیار زیاد انجام‌شده در این حوزه، همچنان نقاط ضعف و آسیب‌پذیری‌های زیادی در زیرساخت‌ها و سیستم‌های بانکی وجود دارد که می‌تواند مورد هدف مهاجمان سایبری قرار گیرد و همچنین از سوی دیگر، با توجه ‌به اینکه این تلاش‌ها از سوی مؤسسات مالی و بانکی اغلب پراکنده، غیرسیستماتیک و فاقد هماهنگی بین سازمانی بوده، نمی‌تواند به طور مناسب پاسخگوی تهدیدات روزافزون باشد.»

سید محمدحسین محمودی، معاون مدیرعامل بانک ملت در امور فناوری اطلاعات

دیجیتالی‌شدن خدمات بانکی، افزایش حجم تراکنش‌های آنلاین و همچنین محدودیت‌های ناشی از تحریم‌ها و کمبود فناوری‌های به‌روز، چالش‌های متعددی را در حوزه امنیت در کشور به وجود آورده است. طبق صحبت‌های محمودی، حملات سایبری به سیستم‌های بانکی و کاهش سطح تاب‌آوری می‌تواند پیامدهای فاجعه‌باری، ازجمله سرقت اطلاعات، اختلالات در خدمات بانکی، خسارت مالی سنگین و حتی تضعیف اقتصاد کلان و ایجاد بحران اقتصادی در سطح کشور را در پی داشته باشد. این موضوع در ایران به دلیل شرایط خاص سیاسی و تحریم‌ها، اهمیتی مضاعف دارد. او با بیان این مسائل می‌گوید:

«این موضوع می‌تواند پیامدهایی فراتر از خسارات مالی مستقیم داشته باشد، چون امنیت اطلاعات در صنعت بانکی، به‌عنوان یکی از ستون‌های اصلی اعتماد مشتریان، از اهمیت استراتژیکی در این صنعت برخوردار است و در صورت افشای اطلاعات مشتریان یا ناکارآمدی سیستم‌های بانکی، اعتماد عمومی به این نهادها تضعیف شده و اثرات بلندمدتی بر جای می‌گذارد. این در حالی است که رقابت در صنعت بانکی و ظهور شرکت‌های فناوری مالی (فین‌تک‌ها) بانک‌ها را ملزم به ارائه خدمات سریع‌تر و امن‌تر می‌کند؛ بنابراین، بانک‌هایی که نتوانند امنیت لازم را تأمین کنند، در بازار رقابتی جایگاهی نخواهند داشت. به‌طورکلی باید گفت امنیت اطلاعات در صنعت بانکی و پرداخت یک چالش دائمی است و نیاز به تلاش‌های مستمر و هماهنگ همه ذی‌نفعان دارد.»

معاون مدیرعامل بانک ملت در امور فناوری اطلاعات در بیان مشکلات امنیت اطلاعات و امنیت داده در صنعت بانکی و پرداخت کشور از ۹ مورد نام می‌برد که عبارت‌اند از: کمبود نیروی متخصص؛ افزایش سریع سطح دانش و فناوری در حوزه فناوری اطلاعات؛ تحریم‌های بین‌المللی؛ الزام به استفاده از زیرساخت‌های داخلی و توسعه راهکارهای بومی؛ عدم هماهنگی بین نهادهای نظارتی و بانک‌ها؛ فقدان فرهنگ‌سازی مناسب و مستمر در حوزه امنیت اطلاعات؛ عدم وجود یکپارچگی، تعدد نهادهای قانون‌گذار و نظارتی در حوزه امنیت اطلاعات در صنعت بانکی و پیچیدگی در فرایند تأمین محصولات و تجهیزات حوزه فناوری اطلاعات.

محمودی در توصیف این موارد این‌طور توضیح می‌دهد: «کمبود نیروی متخصص در کشور به علت مهاجرت عمده نیروهای متخصص به خارج از کشور یکی از اساسی‌ترین مشکلات امنیت اطلاعات و امنیت داده در صنعت بانکی و پرداخت کشور است. از طرفی دیگر سطح دانش و فناوری در حوزه فناوری اطلاعات از رشد سریعی برخوردار است و ظهور تهدیدات جدید نیز نیازمند تطبیق سیستم‌های امنیتی است تا بتواند مقابل تهدیدات جدید ایستادگی کند.»

فقدان زیرساخت‌های فناوری اطلاعات و امنیت به‌روز در کشور باعث شده است در صنعت بانکی و پرداخت از تجهیزات قدیمی و بعضاً ازرده‌خارج‌شده استفاده شود و تحریم‌های بین‌المللی نیز عدم دسترسی بانک‌ها به فناوری‌های پیشرفته امنیتی را در پی دارد. او با اشاره به این موضوع در مورد دیگر مشکلات امنیت اطلاعات و امنیت داده در صنعت بانکی و پرداخت کشور بیان می‌کند: «بانک‌ها و مؤسسات مالی کشور مجبور به استفاده از زیرساخت‌های داخلی و توسعه راهکارهای بومی هستند. این در حالی است که فناوری‌های بومی ممکن است نسبت به فناوری‌های روز دنیا، قوی و به‌روز نباشند و عدم هماهنگی بین نهادهای نظارتی و بانک‌ها منجر به نبود سیاست‌های منسجم و هماهنگ شده و بانک‌ها به‌صورت مستقل و با رویکردهای متفاوت در حوزه امنیت اطلاعات اقدام می‌کنند که این امر اثربخشی اقدامات را کاهش داده است.»

محمودی با اشاره به این موضوع که فقدان فرهنگ‌سازی مناسب و مستمر در حوزه امنیت اطلاعات در داخل سازمان و همچنین سطح کشور، یکی از عوامل مهم نفوذ و موفقیت حملات سایبری است، می‌گوید: «در حوزه امنیت اطلاعات در صنعت بانکی با عدم وجود یکپارچگی و تعدد نهادهای قانون‌گذار و نظارتی مواجه هستیم که بعضاً مشاهده تناقضات در قوانین و مقررات ابلاغی از سوی این مراجع را به همراه دارد. فرایند تأمین محصولات و تجهیزات حوزه فناوری اطلاعات نیز از پیچیدگی و محدودیت‌های اعمال‌شده از سوی مراجع قانون‌گذار برخوردار است.»

به عقیده معاون مدیرعامل بانک ملت در امور فناوری اطلاعات، بانک‌ها و مؤسسات مالی در کشور به‌خوبی به اهمیت امنیت اطلاعات واقف هستند و سرمایه‌گذاری‌های قابل‌توجهی در این زمینه انجام می‌دهند. بااین‌وجود برای بهبود وضعیت امنیت اطلاعات در کشور، نیاز به اقدامات جدی و هماهنگ در سطح ملی است.

او امکان سرمایه‌گذاری کلان در جهت آموزش، ارتقا، حفظ و تأمین نیروی انسانی متخصص؛ ایجاد بستر مناسب در کشور جهت همکاری سازمان‌های داخلی با یکدیگر در راستای تبادل دانش و تجربیات در حوزه امنیت اطلاعات؛ همکاری نهادهای قانون‌گذار کشور با بخش خصوصی و شرکت‌های دانش‌بنیان؛ همکاری بانک‌ها و مؤسسات مالی در جهت سرمایه‌گذاری مشترک در پروژه‌های تحقیق‌وتوسعه مرتبط با امنیت اطلاعات مانند بلاکچین و رمزنگاری متمرکز را از جمله اقدامات مؤثر در این حوزه می‌داند.

علاوه بر این‌ها، طبق صحبت‌های محمودی، تلاش نهادهای کشور در راستای فرهنگ‌سازی افزایش سطح آگاهی مردم در حوزه امنیت اطلاعات؛ بهره‌گیری از فناوری‌های نوین بر پایه هوش مصنوعی به‌عنوان یک ابزار قدرتمند برای افزایش امنیت سیستم‌های بانکی؛ به‌کارگیری دیپلماسی فناوری اطلاعات در سطح کلان کشور؛ ایجاد یکپارچگی و متمرکزکردن نهادهای قانون‌گذار و نظارتی در حوزه امنیت اطلاعات در صنعت بانکی و تسهیل روال‌های تأمین تجهیزات امنیتی توسط نهادهای نظارتی و از سوی دیگر تصویب قوانین سخت‌گیرانه‌تر در راستای نظارت دقیق‌تر و مؤثرتر از دیگر اقدامات مؤثری هستند که می‌توانند به بهبود وضعیت امنیت اطلاعات در کشور کمک کنند.

باوجود همه این چالش‌ها، به گفته محمودی، بانک‌ها توانسته‌اند در برخی از زمینه‌های امنیت سایبری پیشرفت‌های چشمگیری داشته باشند و نسبت به سایر صنایع کشور در حوزه امنیت سایبری پیشتاز باشند. او دراین‌باره می‌گوید: «بااین‌وجود در راستای تاب‌آوری سامانه‌های بانکی در تداوم ارائه خدمات به مشتریان، تلاش‌های اثربخشی از سوی بانک ملت و سایر بانک‌ها در حال انجام است. برای مقابله با تهدیدات روزافزون سایبری، نیاز به تلاش مستمر و هماهنگ در سطح ملی است. این اقدامات نیازمند همکاری همه‌جانبه نهادهای مرتبط، سرمایه‌گذاری مؤثر و برنامه‌ریزی بلندمدت است تا امنیت اطلاعات را در صنعت بانکی کشور و سایر صنایع به سطح قابل‌قبولی برساند.»