امنیت سایبری یا تاب‌آوری سایبری؟‌

نویسنده: تحریریه انتشار در 28 آبان 1402

عصر تراکنش ۷۵؛ اسماعیل باقری اصل، مدیر امنیت شرکت پرداخت الکترونیک سداد / صنعت بانکی و پرداخت کشور یکی از زیرساخت‌های حیاتی هر کشوری است که نبض اقتصاد و توسعه‌ آن محسوب می‌شود. یکی از اساسی‌ترین مسائل پیش ‌روی این زیرساخت‌ها مورد هدف قرار گرفتن توسط عوامل تهدید مختلف به‌صورت مستقیم یا غیرمستقیم از طریق سایر وابستگی‌های مرتبط (همانند نیروی انسانی، فناوری و…) است.

اهمیت حیاتی این زیرساخت‌ها، ایجاب می‌کند مخاطرات ناشی از آسیب‌پذیری‌ها و تهدیدات برآوردشده علیه این بخش در کمینه‌ترین حالت ممکن باشند. در واقع درک این مسئله که بهبود امنیت نقطه انتهایی ندارد و همواره باید مورد پایش قرار گیرد، رویکرد سازمان‌ها را نسبت به حملات سایبری تغییر می‌دهد؛ چراکه بروز حملات سایبری به‌دلیل تهدیدات مختلف، وابستگی‌های سامانه‌ای، سرمایه انسانی و سایر عوامل مؤثر، قابل پیش‌بینی نیست، در نتیجه بهتر است نگرش ما به امنیت تغییر کند.

نگرش سنتی توسعه امنیت، مبتنی بر شناخت و رفع آسیب‌پذیری‌های شناخته‌شده است که این نگرش، تضمین‌کننده کاهش یا رفع مخاطرات ناشی از تهدیدات ناشناخته یا مبتنی بر نفوذ و حضور مهاجمان و متخاصمان در زیرساخت‌های حساس و حیاتی نیست. بر این اساس رویکرد تلفیق امنیت فعال با رویکرد دفاع پیش‌کنشانه و بهبود تاب‌آوری سایبری بسیار مؤثرتر خواهد بود.

تاب‌آوری سایبری توانایی پیش‌بینی، دفاع، بازیابی از بحران و سازگاری با شرایط نامساعد، تنش‌ها و حملات در زیرساخت و سامانه‌های سایبری یک سازمان است که به‌عنوان یک ویژگی ضروری برای سیستم‌ها به رسمیت شناخته شده و باعث افزایش آگاهی از تهدیدات سایبری پیچیده و در حال رشد شده است. این مورد آن‌قدر در بازه زمانی چند سال اخیر رشد پیدا کرده که تمامی ‌سازمان‌های بزرگ و کوچک را به سمت خود سوق داده تا بتوانند با بهره‌مندی از سازوکارهای معرفی‌شده و پیاده‌سازی مفاهیم و اصول تاب‌آوری، تداوم کسب‌وکار و امنیت خود را حفظ کنند.

اما نکته مهم در خصوص پیاده‌سازی مفاهیم و اصول تاب‌آوری سایبری در زیرساخت‌های بانکی و پرداخت، نیازمندی‌های آن است که نیل به اهداف تعریف‌شده را دشوار می‌کند.

همان‌طور که می‌دانیم، مرزوبوم سایبری در هر سازمانی وابسته به نیروی انسانی، فناوری و فرایند‌های مربوطه است. در خصوص منابع انسانی و نیروی متخصص متأسفانه با توجه به دستمزد‌های نامناسب و عدم توجه به چالش‌های افراد شاغل در این حوزه، بسیاری از متخصصان یا از کشور خارج شده‌اند و در سایر کشور‌ها (حتی حوزه خلیج فارس) مشغول به فعالیت‌ شده‌‌، یا بی‌انگیزه شده و قصد مهاجرت دارند. ولی این تمام ماجرا نیست؛ چراکه با توجه به تحریم‌های ظالمانه از سوی کشور‌های غربی، عملاً امکان به‌روزرسانی و توسعه زیرساخت‌ها متناسب با نیازهای آینده و حتی حال نیز، هم از نظر هزینه و هم از لحاظ دسترسی به منابع تأمین‌کننده، چالش‌های بهبود و ارتقای تاب‌آوری سایبری در سازمان‌ها و زیرساخت‌های صنعت بانکی و پرداختی کشور را بسیار فرسایشی می‌کند.

تمامی موارد ذکرشده تنها دغدغه‌های پیشبرد مفاهیم تاب‌آوری سایبری نیستند؛ چراکه در کنار عدم تخصیص منابع کافی در صنعت بانکی و پرداخت کشور (از منظر نیروی انسانی، تجهیزات، فناوری و فرایند‌های مورد نیاز)، سکان‌داری مناسبی نیز در نهادهای حاکمیتی شکل نگرفته و گاهی دستورالعمل‌ها، ابلاغیه‌ها و نامه‌نگاری‌ها آن‌قدر متعدد می‌شوند که پرداختن به آنها و ارائه پاسخ متناسب، متخصصان را از مسیر پیاده‌سازی اصول در نظر گرفته‌شده بازمی‌دارد.

خوشبختانه در حوزه پرداخت کشور، داستان کمی متفاوت است و شرکت شاپرک جهت جلوگیری از ناهماهنگی در حوزه امنیت، مسیر را مشخص کرده و تمامی مکاتبات از سوی اداره محترم ریسک و امنیت شاپرک و بدون واسطه صورت می‌پذیرد. هرچند فعالیت‌های صورت‌گرفته طی چند سال اخیر کافی نیست، ولی مسیر درستی را در پیش گرفته است.

یکی از نکاتی که باعث بهبود وضعیت موجود خواهد شد، برنامه‌ریزی مؤثر (نه صرفاً کاغذی) جهت حفظ و نگهداشت نیرو متخصص در زیرساخت‌های بانکی، پرداخت و فین‌تک و دیگری هماهنگی بیشتر بین نهاد‌های نظارتی، حاکمیتی با سازمان‌ها و شرکت‌های حوزه بانکی، پرداخت و فین‌تک در راستای همیاری جهت پیاده‌سازی اصول تاب‌آوری و نه صرفاً رفع مسئولیت و انتقال ریسک است. به ‌نظر می‌رسد برای رسیدن به این مهم بانک مرکزی جمهوری اسلامی می‌تواند نقش بسزایی در این مهم داشته باشد.