امنیت سایبری؛ فراتر از دیواره‌های آتش

مروری بر راه‌حل‌های امنیت سایبری پیشرفته و هوشمند که آن‌چنان که باید مورد توجه کسب‌وکارها نیستند

نویسنده: تحریریه انتشار در 24 دی 1403

عصر تراکنش ۸۹؛ پویا پوراعظم، رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه / با پیشرفت فناوری در ارائه خدمات بانکداری و پرداخت دیجیتالی و ظهور فین‌تک‌ها و به‌خصوص فراگیر شدن خدمات بانکداری باز، در عین ارتقای سطح تجربه کاربری و دریافت خدمات نوآورانه در این حوزه، با افزایش ریسک‌ها و تهدیدهای نوظهوری نیز از جنبه امنیت اطلاعات برای بانک‌ها، بازیگران فین‌تک‌ و کاربران، رو‌به‌رو هستیم. تهدیدهای دسترسی غیرمجاز به داده‌های هویتی و مالی کاربران، افشای اطلاعات مشتریان در نزد اشخاص غیرمجاز و شخص ثالث، دسترسی غیرمجاز به حساب یا کارت بانکی و افزایش نرخ تراکنش‌های متقلبانه، موارد پولشویی و تهدیدات نوین فیشینگ و مهندسی اجتماعی، کاربران و کسب‌و‌کارها را در حوزه این خدمات با ریسک‌های جدی همراه کرده است.

باید توجه شما را به این نکته معطوف کنم که کنترل‌ها و راه‌حل‌های سنتی و عمومی امنیت سایبری مانند تجهیز کردن زیرساخت فناوری و شبکه بانک به انواع تجهیزات سخت‌افزاری یا نرم‌افزاری امنیتی مانند دیواره آتش تحت وب (WAF)، سیستم‌های نوین تشخیص نفوذ لایه شبکه و اپلیکیشن، سیستم‌های ضد بدافزار یا ایجاد مراکز کنترل و عملیات امنیت یا SOC که اتفاقا در این حوزه‌ها، سرمایه‌گذاری‌های نسبتا زیادی نیز در کسب‌وکارهای بانکداری و پرداخت کشور، انجام می‌شود، به‌هیچ‌وجه برای مقابله با این تهدیدات نوظهور کافی نیستند.

نه این‌که لازم نباشند اما در صنایع مالی آن‌قدر تهدیدات امنیت سایبری نیز پیشرفته و پیچیده شده‌اند و از طرفی روش‌های دور زدن این کنترل‌های امنیتی سنتی و عمومی برای عناصر تهدید، راحت‌تر از گذشته در اختیار ایشان است که باید به رویکردهای جدید در ارتقای امنیت سایبری این صنعت توجه کرد؛ راه‌حل‌ها و چارچوب‌های امنیت سایبری پیشرفته و هوشمند که اتفاقاً متأسفانه آن‌چنان که باید مورد توجه کسب‌وکارهای بانکی و فناوری‌های مالی در کشور نیست.

از مهم‌ترین اقدامات امنیتی، باید به رویکرد امنیتی Shift-Left در تولید محصولات نرم‌افزاری اشاره کنم؛ بدان معنا که ریسک‌ها و مسائل امنیت اطلاعات از همان نقطه‌ ابتدایی شروع یک پروژه طراحی و توسعه محصول جدید، مورد توجه در بخش‌های مختلف چرخه حیات نرم‌افزار (SDLC) باشند. فرآیند چرخه حیات نرم‌افزار باید به گونه‌ای باشد که از همان مرحله آغازین، فعالیت‌هایی چون شناسایی الزامات امنیتی نرم‌افزار در حین انجام فعالیت تحلیل نیازمندی‌های اپلیکیشن، مدل‌سازی تهدیدات در معماری و طراحی نرم‌افزار، طراحی دیتا مدل امن، توسعه امن و کد زدن، انواع تست‌های پویا و ایستا، تست‌های امنیتی محیط استیج که باید کاملا همسان با محیط عملیاتی باشد (آزمون‌های نفوذپذیری) و در نهایت استقرار امن در محیط عملیاتی، پشتیبانی و استمرار سرویس‌دهی، مورد توجه قرار گیرد و توسط مالک آن فعالیت، انجام شده و گزارش آن ثبت شود.

البته با پیشرفت فناوری می‌توان فعالیت‌های امن‌سازی چرخه حیات نرم‌افزار را با ابزارهای سیستمی، خودکارسازی و نظارت کرد. در واقع استفاده از زیرساخت‌های DevSecOps، امکان خودکارسازی، تضمین اجرا و نظارت دقیق بر اجرای این فعالیت‌‎ها را فراهم می‌کند.

جنبه مهم دیگر امنیت سایبری در خدمات بر پایه نوآوری بانکداری یا پرداخت و خصوصاً بانکداری باز، موضوع دسترسی‌های غیرمجاز به حساب یا کارت و تراکنش‌های متقلبانه است. برای مقابله با این تهدیدات لازم است بانک و کسب‌وکارهای فناوری مالی دو رویکرد مهم امن‌سازی را مدنظر قرار دهند.

رویکرد اول، به‌کارگیری ابزارهای تشخیص و مقابله با تقلب است که با توجه به پیشرفت تهدیدات سایبری باید مبتنی بر فناوری‌های جدید مانند هوش مصنوعی و یادگیری ماشین باشد؛ به‌طوری که به‌صورت برخط، عملیات بانکی مورد پایش و موارد مشکوک به تقلب با مکانیسم‌های رفتار شناسایی و تشخیص رفتارهای مالی غیرمتعارف، شناسایی و به سرعت پاسخ داده شود. شناسایی و رسیدگی به موارد مشکوک متقلبانه باید به صورت هوشمند، خودکار و سریع صورت پذیرد. نکته حائز اهمیت این است که در عصر دیجیتالی شدن خدمات مالی و بانکی، دیگر یک نوع یا مدل احراز هویت تراکنش نباید مدنظر تمامی انواع عملیات بانکی یا همه مشتریان بانک باشد؛ باید روش‌های مختلف احراز هویت با رویکرد مبتنی بر میزان ریسک تراکنش، توسط بانک به کار گرفته شده و به مشتریان ارائه شود.

موضوع دیگر در این بخش، مکانیسم‌های احراز هویت مشتری در انجام تراکنش و عملیات بانکی است که باید از نوع احراز هویت قوی یا SCA بوده و تأیید مجازشماری تراکنش نیز با مدل‌های امن صورت پذیرد. مجازشماری و احراز هویت چندعامله تراکنش بانکی و پرداخت در خدمات دیجیتالی نوظهور و فناورانه، بهتر است از طریق به‌کارگیری مکانیسم‌های امن رمزنگاری مانند امضای دیجیتال تراکنش باشد. همچنین لازم است امکاناتی برای مشتری فراهم شود که قادر باشد تراکنش بانکی یا پرداختی پرریسک را که در یک کانال بانکی مانند اینترنت‌بانک یا در خدمات بانکداری باز، درخواست و آغاز کرده، در کانالی مستقل از کانال آغاز تراکنش مانند SMS یا از طریق امضای دیجیتال در یک اپلیکیشن هوشمند احراز هویت موبایلی خودش، تأیید و مجازشماری یا رد کند؛ به‌صورتی که اطلاعات مشخصات تراکنش شامل مبلغ و مقصد تراکنش درخواستی، در آن کانال مستقل به اطلاع مشتری مربوطه رسانده شود و تایید آن تنها برای همان تراکنش درخواستی، معتبر و عملاً یک‌بارمصرف نیز باشد.

در هر صورت، پیشرفت فناوری و ایجاد نوآوری در خدمات بانکداری یا پرداخت، با ریسک‌های جدید امنیت سایبری نیز همراه است و کسب‌وکارهای بانکی و فناوری مالی لازم است در این زمینه از فناوری‌های جدید برای طراحی و استقرار کنترل‌ها و راه‌حل‌های امنیتی جدید و اثربخش استفاده کنند.