امنیت سایبری؛ گرفتار یک روند سینوسی وابسته به بحران‌ها

مروری بر چالش‌های امنیت سایبری در صنعت بانکداری ایران؛ از نوسانات سرمایه‌گذاری تا تهدیدهای نوظهور

نویسنده: تحریریه انتشار در 4 بهمن 1403

عصر تراکنش ۸۹؛ مجید جعفریان، سرپرست معاونت فناوری اطلاعات بانک اقتصاد نوین / مقوله امنیت سایبری همواره در تمامی حوزه‌های فناوری اطلاعات پراهمیت بوده، اما میزان توجه و سرمایه‌گذاری در این بخش همواره یک روند سینوسی وابسته به بحران‌ها و حملات سایبری اتفاق‌افتاده، بوده است. به این معنی که معمولا بعد از یک رخداد امنیتی پرسروصدا در یک صنعت، ناگهان توجهات بازیگران آن صنعت به امنیت و سرمایه‌گذاری در این حوزه جلب می‌شود و بعد از گذشت زمان، نگاه‌ها به دلیل هزینه‌بر بودن و محدودیت‌های کسب‌وکاری ایجاد شده و کاهش احساس خطر، به موضوعات دیگر برمی‌گردد.

صنایع بانکداری و پرداخت کشور هم از این امر مستثنی نیست و کم و بیش دچار این آسیب است. توجه به نوآوری و ارائه محصولات کسب‌وکاری جدید و اهمیت سرعت ارائه این محصولات برای کسب بازارهای بیشتر، همیشه از چالش‌هایی بوده که متولیان امنیت در این صنایع با آن مواجه بودند، اما روند سینوسی که به آن اشاره شد میزان اهمیت امنیت در نوآوری را بالا و پایین برده است.

اما فارغ از این روند، چالش‌ها و نکات پراهمیت دیگری نیز در حوزه امنیت اطلاعات صنایع بانکی و پرداخت کشور وجود دارد که باید درباره آن صحبت کرد. موضوع نیروی انسانی متخصص و معمولا گران‌قیمت و کمیاب، از آن دسته مواردی است که بارها درباره آن صحبت شده و کماکان ازجمله مهم‌تسرین چالش‌های این حوزه به شمار می‌آید که از ذکر چندباره آن پرهیز می‌کنم.

فرآیند دشوار و بسیار هزینه‌بر تأمین نرم‌افزارها، ابزارها و تجهیزات امنیتی، که در بسیاری از موارد محصولات مشابه بومی، رقابتی مناسب در بازار ندارند، هم از دیگر مصائب حوزه امنیت است که تقریبا تمامی بانک‌های کشور با آن دست و پنجه نرم می‌کنند. اینکه چه بخریم؟ از چه کسی بخریم؟ با چه فرایندی بخریم؟ چه مدت طول خواهد کشید که تجهیزات را تحویل بگیریم؟ و… از یک طرف و از سوی دیگر بعد از انجام تمامی این موارد، اصالت‌سنجی و اخذ تاییدیه‌ها، موضوعی است که علی‌الخصوص این روزها به عنوان چالش جدید به این فرآیند اضافه شده است.

پیمانکاران متعدد در حوزه‌های مختلف فناوری بانکی، خصوصاً در بانک‌های کوچک و متوسط، دغدغه دیگری است که فعالان امنیت نظام بانکی با آن روبه‌رو هستند. در بسیاری از بانک‌ها به دلیل کمبود نیروهای متخصص، امور مرتبط با فناوری به شرکت‌های مختلف برون‌سپاری می‌شود. در بانک‌های بزرگ‌تر این کمبود با استفاده از توان شرکت‌های تابعه بانک مرتفع می‌شود و در برخی بانک‌های دیگر، سایر پیمانکاران بیرونی عهده‌دار این مسئولیت هستند. در نتیجه، خصوصاً پس از پاندمی ویروس کرونا، دسترسی از راه دور پیمانکاران مذکور جهت توسعه و پشتیبانی سامانه‌های بانکی امری متداول شده است. در این زمینه باز هم دوگانه تداوم کسب‌وکار و امنیت چالش اصلی بانک‌هاست. از یک طرف ایجاد دسترسی‌های از راه دور مخاطراتی را برای بانک‌ها به همراه خواهد داشت و از سوی دیگر به دلیل محدودیت‌های منابع انسانی متخصص در شرکت‌های پیمانکار، امکان حضور فیزیکی در محل بانک با چالش روبه‌روست. لذا یکی از دغدغه‌های اصلی مدیران فناوری بانک‌ها، ایجاد تعادل فی‌مابین این دوگانه‌ی مسئولیت‌زاست.

مخاطرات مرتبط با هکرهای سازمان‌یافته به قصد باج‌خواهی نیز از مواردی است که اخیرا به چالش تبدیل شده است و با گسترش ابزارهای هوش مصنوعی در حوزه امنیت اطلاعات و همچنین ساختارهای بعضا سنتی و قدیمی زیرساختی صنعت بانکی کشور، مقابله با این نوع تهدیدات نیازمند برنامه‌ریزی دقیق و هدفمند است.

گسترش ابزارهای فناورانه پرداخت و رویکرد نسل زد به استفاده از تلفن همراه به‌عنوان تنها نقطه ارتباطی با بانک‌ها، در کنار ایجاد سرعت و سهولت در ارائه خدمات، موضوع امنیت کاربران را نیز به همراه دارد. استفاده عمده از فیلترشکن‌ها و نرم‌افزارهای اصالت‌سنجی‌نشده، یکی از چالش‌هایی است که امکان سوءاستفاده از اطلاعات بانکی مشتریان را به‌شدت افزایش داده است. به همین دلیل، سرمایه‌گذاری روی امنیت اپلیکیشن‌های سمت مشتری نیز از اهمیت بیشتری برخوردار شده است.

به هر حال، به عقیده من نظام بانکی کشور و صنعت پرداخت، تمام توان خود را در راستای ارتقای سطح امنیت سایبری به کار گرفته و می‌توان با مدیریت کلان این حوزه و ایجاد استانداردهای مناسب و تعیین متولیان متخصص جهت رفع موانع و نه ایجاد آن، چالش‌های اشاره‌شده را مدیریت کرد.