پربازدید‌ها

امنیت داده‌ها و تاب‌آوری سایبری در صنعت مالی دیجیتال

اعتماد، آخرین ارز باقی‌مانده

عصر تراکنش ۱۰۱؛ امیر کشورزاد، مدیرعامل کیسان / در مسیر شتابان دیجیتالی‌شدن خدمات مالی در ایران، اغلب نگاه‌ها معطوف به نوآوری، تجربه مشتری و رشد بوده است؛ اما واقعیتی که به‌تدریج پررنگ‌تر می‌شود این است که نوآوری بدون امنیت، نه‌تنها ارزش‌افزا نیست، بلکه می‌تواند اعتماد عمومی را تخریب کند و هزینه‌های جبران‌ناپذیری برای برندها و کل اکوسیستم مالی به همراه داشته باشد. اعتماد، مهم‌ترین دارایی صنعت مالی است و امنیت داده‌ها و تاب‌آوری سایبری ستون فقرات این اعتماد محسوب می‌شوند؛ دارایی‌ای که اگر از دست برود، به‌آسانی قابل بازگشت نیست.

صنعت مالی کشور، از بانک‌ها و شرکت‌های پرداخت گرفته تا شرکت‌های معتمد مالیاتی و حتی نهادهای دولتیِ دخیل در ارائه خدمات مالی، همگی با حجم عظیمی از داده‌های حساس، از جمله اطلاعات تراکنش‌ها، احراز هویت دیجیتال، داده‌های مالیاتی و الگوهای رفتاری، سروکار دارند. نشت یا دسترسی غیرمجاز به این داده‌ها، چیزی فراتر از یک «مسئله فنی» است؛ این یک بحران اعتماد عمومی است که نه با بیانیه، نه با یک وصله امنیتی، و نه با کمپین تبلیغاتی قابل برطرف شدن نیست.

تجربه‌های داخلی و جهانی نشان داده‌اند که آسیب‌دیدن اعتبار یک برند پس از نشت داده‌ها، بسیار سریع‌تر و عمیق‌تر از رشدی است که از مسیر نوآوری حاصل می‌شود. در عصر شبکه‌های اجتماعی، یک رخنه کوچک امنیتی می‌تواند ظرف چند ساعت به یک بحث عمومی تبدیل شود و سال‌ها سرمایه‌گذاری برای ساخت اعتماد را از بین ببرد. واقعیت این است که امنیت داده‌ها در ایران همچنان در حاشیه نگاه‌ها قرار دارد؛ بخشی به‌دلیل نگاه هزینه‌ای به امنیت، و بخشی دیگر به‌دلیل تمرکز بیش‌ازحد بر ابزارها، در حالی که تهدیدات امروزی پیچیده‌تر و هوشمندانه‌تر شده‌اند.

در اکوسیستم‌های پیشرفته، امنیت داده‌ها بدون همکاری جمعی و اشتراک‌گذاری اطلاعات تهدیدات معنا پیدا نمی‌کند. دو سازوکار مهم جهانی که می‌توانند در این زمینه الگو باشند، عبارت‌اند از:

ISAC (Information Sharing and Analysis Center)، که مرکز اشتراک‌گذاری و تحلیل اطلاعات امنیتی برای یک صنعت مشخص است. اعضای ISAC می‌توانند بانک‌ها، شرکت‌های پرداخت، شرکت‌های معتمد مالیاتی، ارائه‌دهندگان خدمات فناوری مالی و حتی بخش‌هایی از دولت باشند. در این سازوکار، اعضا به‌صورت محرمانه تهدیدات، حملات مشاهده‌شده، آسیب‌پذیری‌ها و الگوهای حمله را با یکدیگر به اشتراک می‌گذارند. هدف این است که اگر یک نهاد تجربه‌ای از حمله یا تلاش برای نفوذ داشته، دیگر اعضا از آن مطلع شوند و پیش‌دستی کنند.

سازوکار بعدی CERT (Computer Emergency Response Team) است؛ تیمی که به‌صورت حرفه‌ای به مدیریت و پاسخ به رخدادهای سایبری می‌پردازد. نقش CERT تحلیل رخداد، راهنمایی در اقدامات فوری، هماهنگی پاسخ و کمک در بازیابی است. بسیاری از کشورها، از جمله ایران، CERT ملی دارند و در کنار آن، بخش خصوصی نیز CERTهای اختصاصی خود را ایجاد کرده است. این سازوکارها در بسیاری از کشورها به‌صورت سازمان‌یافته عمل می‌کنند، نه صرفاً در سطح تبادل اطلاعات غیررسمی. تجربه جهانی نشان می‌دهد که این مدل‌ها باعث شده‌اند سازمان‌ها با مشاهده الگوی حمله و دفاع دیگران، پیش از وقوع حمله مشابه آماده شوند.

چرا نهادهای فعلی کافی نیستند؟

ایران نهادهایی مانند مرکز ماهر (CERT ملی) و کاشف (در حوزه بانکی) را دارد؛ اما پرسش اصلی این است که چرا با وجود این نهادها، مدل اشتراک‌گذاری واقعی تهدیدات شبیه ISAC در کشور شکل نگرفته است؟ پاسخ ساده نیست، اما دست‌کم دو عامل کلیدی در این زمینه نقش دارند:

نخست، مسئله اعتماد میان بخش‌ها؛ به این معنا که بخش خصوصی نسبت به سازوکارهای دولتی تردید دارد و نگران استفاده غیرفنی یا رسانه‌ای از اطلاعات مربوط به رخدادهاست.

دوم، فرهنگ کتمان رخداد؛ فرهنگی که در فضای رقابتی و گاه امنیتی، باعث می‌شود سازمان‌ها از ترس خدشه‌دار شدن برند یا مواجهه با جریمه‌ها، نشت‌ها و حملات را پنهان کنند. این فرهنگ، مانع شکل‌گیری یک اکوسیستم مقاوم می‌شود.

می‌توان این مانع را با ایجاد سازوکارهای شفاف و مصونیت قضایی برای گزارش‌دهی داوطلبانه کاهش داد؛ به این معنا که اگر یک سازمان حمله را گزارش دهد و همکاری کند، به‌جای مجازات، مشوق دریافت کند. چنین رویکردی، گزارش‌دهی را از یک خطر بالقوه برای شهرت، به یک وظیفه حرفه‌ای تبدیل می‌کند.

اما نکته مهم دیگر این است که تهدیدات فقط از بیرون سازمان نمی‌آیند. بخش قابل‌توجهی از نشت اطلاعات، از داخل سازمان رخ می‌دهد؛ از خطای انسانی و دسترسی‌های گسترده و غیرضروری گرفته تا مدیریت نامناسب حساب‌ها و حتی کارکنان ناراضی. هرچقدر ابزارهای امنیتی پیشرفته باشند، اگر فرهنگ سازمانی و ساختار دسترسی‌ها اصلاح نشوند، مسیر نفوذ همچنان باز خواهد ماند.

تاب‌آوری؛ فقط جلوگیری از حمله نیست، ادامه کار در بحران است. تمرکز امنیت در ایران معمولاً بر «پیشگیری» بوده، اما تاب‌آوری به معنای توان ادامه‌دادن فعالیت حتی در شرایطی است که حمله موفق شده باشد. بسیاری از نهادهای مالی هنوز تصویر شفافی از میزان تاب‌آوری خود ندارند؛ تمرین‌های مدیریت بحران، سناریوهای حمله، تست نفوذ و برنامه‌های بازیابی، همچنان در حد توصیه باقی مانده‌اند. برای آنکه امنیت داده‌ها از «حاشیه فنی» به «اصل راهبردی» تبدیل شود، چند اقدام مشخص می‌تواند مسیر را تغییر دهد:

  • ایجاد سازوکار اشتراک تهدیدات با الگوی ISAC، اما مستقل، قابل‌اعتماد و همراه با تضمین محرمانگی؛
  • تدوین چهارچوب قانونی برای گزارش‌دهی داوطلبانه، همراه با مصونیت قضایی؛
  • شفاف‌سازی پروتکل‌های امنیت داخلی و مدیریت دسترسی‌ها، با هدف کاهش تهدیدات داخلی؛
  • اجرای تمرین‌های منظم شبیه‌سازی حمله، نه صرفاً تهیه سندهای روی کاغذ؛
  • گفت‌وگو با مدیران اجرایی با زبان پیامدهای مالی و ریسک، در کنار زبان فناوری.

در نهایت، امنیت سایبری صرفاً یک موضوع فنی برای متخصصان نیست؛ بلکه مسئله‌ای راهبردی، اجتماعی و اقتصادی است. تا زمانی که امنیت در قلب تصمیم‌گیری‌ها قرار نگیرد، هر نوآوری بر سازه‌ای سست بنا خواهد شد. اما اگر امنیت را نخستین لایه این سازه بدانیم، می‌توانیم از اعتماد مراقبت کنیم؛ اعتمادی به‌عنوان آخرین ارز باقی‌مانده، ارزشی که نه جعل‌شدنی است و نه به‌سادگی کاهش می‌یابد.

نمایش لینک کوتاه
کپی لینک کوتاه: https://asretarakonesh.ir/du3l کپی شد
تصویر تحریریه

تحریریه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *