در حوزه امنیت با نقطه مطلوب، فاصله قابل‌توجهی داریم

مدیران بانکی و پرداخت کشور درباره وضعیت امنیت در این صنایع چه گفته‌اند؟

نویسنده: تحریریه انتشار در 6 فروردین 1404

عصر تراکنش ۹۱ و ۹۲ / پرونده «تنظیم‌گری» هشتادونهمین شماره از ماهنامه عصر تراکنش به موضوع امنیت در صنایع بانکی و پرداخت کشور اختصاص داده شده بود. معتقدیم که این صنایع نبض اقتصاد کشور را در دست دارند و از زیرساخت‌های حیاتی آن به‌ حساب می‌آیند؛ در نتیجه، اگر دچار مشکلات امنیتی شوند، علاوه‌ بر صدمه به منابع مالی افراد و اطلاعاتشان، ممکن است منجر به بحران در سطح ملی نیز شوند. بنابراین پرداختن به مقوله امنیت بیش از هر حوزه دیگری در صنعت مالی اهمیت دارد. طبق صحبت‌های مدیران و متخصصان صنعت بانکی و پرداخت کشور، برخی از سازمان‌ها همچنان در اجرای تدابیر امنیتی ضعف دارند یا سرعت کافی در شناسایی و پاسخگویی به تهدیدات را ندارند و حملاتی که در یک سال گذشته اتفاق افتاده نیز نشان‌دهنده وجود شکاف‌های امنیتی در زیرساخت‌ها و فرایندهای بازیگران این صنعت است. پرونده «تنظیم‌گری» این شماره سه گزارش مفصل و دو یادداشت داشت که در ادامه مروری بر مهم‌ترین مطالب آنها خواهیم داشت.

در امنیت اطلاعات بیشتر مصرف‌کننده محصولات خارجی بوده‌ایم

طبق گفته‌های علی‌اصغر تقوی، معاون فناوری اطلاعات بانک کارآفرین، مهم‌ترین چالش حوزه امنیت، ضعف در فناوری‌های بومی و کمبود نیروی انسانی متخصص در این بخش است. او در این باره می‌گوید: «متأسفانه در همه این سال‌ها در امنیت اطلاعات منفعلانه رفتار کرده‌ایم و بیشتر مصرف‌کننده محصولات خارجی بوده‌ایم. به همین دلیل محصولات داخلی کمی تولید شده‌اند و همین محصولات هم کمتر خریداری و حمایت شده‌اند. اینکه ما امنیت زیرساخت‌های حیاتی خود را به دست محصولات ناشناس خارجی بسپاریم که بعضاً ما را تحریم نیز کرده‌اند، ریسک بزرگی برای تمام حوزه‌های فناوری دیجیتال محسوب می‌شود. در بخش نیروی انسانی باید توجه داشت که تعداد رشته‌های مرتبط دانشگاهی مرتبط بسیار کمتر از نیاز صنعت است که در کنار پدیده تأسف‌بار مهاجرت نیروهای متخصص، چالش بسیار جدی برای این حوزه پدید آورده است.»

پذیرش مشکل؛ اولین گام در حل مسئله

حامد دهقانی آرانی، مدیرعامل هلدینگ داده‌ورزی سداد، معتقد است که واقعیت صحنه صنعت پرداخت و بانکی کشور این است که شاخص‌های امنیت مطلوب نیست. او در این باره می‌گوید: «بزرگان ما گفته‌اند: اولین گام حل مسئله، پذیرش مشکل است. نگرانی کاربران و مشتریان این صنعت از حفاظت از اطلاعات خود و مصون بودن آنها در مقابل حملات فزاینده از یک سو و عدم توالی و دسترس‌پذیری خدمات و عدم اطمینان به انجام فعالیت در زمان مورد انتظار از سوی دیگر، دغدغه‌های واقعی و درخورتوجهی هستند. اگرچه نسبت به میزان تهدیدات و آسیب‌پذیری‌های شناخته‌شده و آلودگی تأسف‌بار پهنه دستگاه‌های مورداستفاده کاربران و نیز شرایط صنعت از حیث دسترسی به تجهیزات و فناوری‌های روز، همین میزان امنیت فعلی در مقایسه با وضعیت عمومی جهانی ستودنی است، اما با نقطه مطلوب فاصله قابل‌توجهی احساس می‌شود.»

هیچ رخداد امنیتی از بیرون نداشتیم

امسال و در ماه‌های گذشته چند چالش امنیتی در صنعت پرداخت کشور پیش آمد که توجه همه را به خود جلب کرد. سعید احمدی‌پویا، معاون نظارت شرکت شاپرک، در واکنش به این اتفاق‌ها می‌گوید: «من با اطمینان می‌گویم که خوشبختانه هیچ رخداد امنیتی از بیرون نداشتیم. تمام آنچه رخ داد، به‌خاطر سهل‌انگاری یا کنارگذاشتن فرایندهای شاپرک بود. برای نمونه، هر تغییری در حوزه عملیاتی خدمات شرکت، باید مطابق با سند الزامات مدیریت تغییرات باشد. جایی که در حوزه عملیات، تغییری پیش آید که در فرایند کسب‌وکار پذیرندگان، توقف یا اختلال پیش می‌آید، حتماً باید فرایند مشخص ابلاغی را طبق سند الزامات طی کنند و در زمان مقررشده به شاپرک اطلاع‌رسانی کنند و در بعضی موارد حتی باید از شاپرک تأییدیه انجام تغییرات بگیرند. گاهی یک پروژه در تداخل با پروژه‌های دیگر صنعت یا در شرایط خاصی درخواست می‌شود و تأییدیه برای آن صادر نمی‌شود. ما تمام موارد را با بانک مرکزی هماهنگ و سپس تأییدیه تغییر را صادر می‌کنیم.»

امنیت سایبری؛ گرفتار یک روند سینوسی وابسته به بحران‌ها

مجید جعفریان، سرپرست معاونت فناوری اطلاعات بانک اقتصاد نوین، در یادداشت خود درباره امنیت سایبری و گرفتار شدن آن در یک روند سینوسی وابسته به بحران‌ها صحبت می‌کند و می‌گوید: «مقوله امنیت سایبری همواره در تمام حوزه‌های فناوری اطلاعات پراهمیت بوده، اما میزان توجه و سرمایه‌گذاری در این بخش همواره یک روند سینوسی وابسته به بحران‌ها و حملات سایبری اتفاق‌افتاده، بوده است. به این معنی که معمولا بعد از یک رخداد امنیتی پرسروصدا در یک صنعت، ناگهان توجهات بازیگران آن صنعت به امنیت و سرمایه‌گذاری در این حوزه جلب می‌شود و بعد از گذشت زمان، نگاه‌ها به دلیل هزینه‌بر بودن و محدودیت‌های کسب‌وکاری ایجادشده و کاهش احساس خطر، به موضوعات دیگر برمی‌گردد. صنایع بانکداری و پرداخت کشور هم از این امر مستثنی نیستند و کم‌وبیش دچار این آسیب‌اند. توجه به نوآوری و ارائه محصولات کسب‌وکاری جدید و اهمیت سرعت ارائه این محصولات برای کسب بازارهای بیشتر، همیشه از چالش‌هایی بوده که متولیان امنیت در این صنایع با آن مواجه بودند، اما روند سینوسی که به آن اشاره شد میزان اهمیت امنیت در نوآوری را بالا و پایین برده است.»

امنیت اطلاعات؛ مؤلفه‌ای مهم در برساخت اعتماد

احمد پیشگاه‌زاده، مدیرعامل شرکت پرداخت الکترونیک سپهر، معتقد است که امنیت اطلاعات یک مؤلفه اساسی در اعتمادسازی میان کاربران و نهادهای پرداختی است و کوچک‌ترین نقص در این زمینه می‌تواند به از دست ‌رفتن اعتبار شرکت‌ها، خسارت‌های مالی سنگین و حتی تهدید امنیت ملی منجر شود. او در این باره می‌گوید: «ازآنجاکه اکوسیستم پرداخت کشور به‌شدت به داده‌های مشتریان وابسته است، عدم توجه به امنیت می‌تواند تأثیرات عمیقی بر توسعه اقتصاد دیجیتال داشته باشد. یکی از موضوعات نبود استانداردهای هماهنگ و مدون است و بسیاری از سازمان‌ها فاقد چهارچوب‌های مشخص و استانداردهای قابل‌اجرا هستند. همچنین ضعف در آموزش و فرهنگ‌سازی وجود دارد که کارکنان و کاربران اغلب با مفاهیم امنیت اطلاعات و رفتارهای پرخطر آشنا نیستند. علاوه بر اینها، نبود همگرایی میان بازیگران کلیدی را نیز شاهد هستیم.»

امنیت مقوله‌ای تزیینی نیست

محمد عباس‌پور، مدیر واحد ریسک و امنیت پرداخت الکترونیک سامان کیش، بیان می‌کند: «با وجود نهاد شاپرک و نظارت آن بر شرکت‌های پرداخت، رشد قابل‌توجهی در حوزه امنیت در سال‌های اخیر صورت گرفته است. به همین جهت بیشترین پایداری را در شبکه پرداخت کشور مشاهده می‌کنید و همچنان اعتماد بسیار خوبی به این سرویس وجود دارد. شاید در سال‌های گذشته به مقوله امنیت به‌عنوان یک موضوع تزیینی و هزینه‌زا نگاه می‌شد، اما به ‌مرور زمان و با پیاده‌سازی برخی استانداردهای این حوزه، مانند سیستم مدیریت امنیت اطلاعات، سیستم مدیریت تداوم کسب‌وکار و لمس اثربخشی آن در پایداری سرویس‌ها و ادامه فرایند کسب‌وکار در شرایط بحرانی، اهمیت این موضوع به‌وضوح مشاهده شد.»

به دلیل تحریم‌ها با چالش تأمین فناوری‌های به‌روز روبه‌رو هستیم

ماهان مهدوی امیری، مدیر ارشد امنیت اطلاعات امیدپی، درباره چالش‌های امنیت اطلاعات در صنایع بانکی و پرداخت کشور می‌گوید: «به نظر من، بزرگ‌ترین چالش این حوزه بحث‌های فناورانه است، به‌ویژه با توجه ‌به شرایط تحریمی که کشور با آن مواجه است. دنیا به سمت هوش مصنوعی، فناوری‌های جدید و خدمات پیشرفته حرکت کرده است. اینها نیازمند دسترسی به منابع اطلاعاتی و فناوری‌های جهانی است. متأسفانه به دلیل تحریم‌ها، ما در تأمین فناوری‌های نرم‌افزاری و سخت‌افزاری روز دنیا با مشکل مواجه هستیم. بااین‌حال، از دانش و تخصص داخلی و منابع متن‌باز استفاده شده است و توانسته‌ایم تا حدی این شرایط را مدیریت کنیم. این چالش بزرگی است و متأسفانه راه‌حل‌های آسان و دردسترسی برای آن وجود ندارد.»

به سرمایه‌‌گذاری در حوزه امنیت نیازمندیم

بنا بر صحبت‌های محمدعلی کردئی، معاون عملیات شرکت آسان پرداخت پرشین، تبعیت از استانداردهای بین‌المللی در حوزه پرداخت و همین‌طور برگزاری انواع تست‌ها می‌تواند تا حد خوبی نقاط ضعف جدی در امنیت داده‌ها را برطرف کند. او می‌گوید: «البته باید در نظر داشت که با ظهور فناوری‌های مبتنی بر هوش مصنوعی شاهد تهدیدات بسیار نوینی خواهیم بود که به جز استفاده از هوش مصنوعی نمی‌توان سطح امنیت سیستم را نگه داشت. این صنعت نیاز به سرمایه‌گذاری جدیدی دارد تا دیگر درجا نزند.»