عصر تراکنش ۷۵؛ اسماعیل باقری اصل، مدیر امنیت شرکت پرداخت الکترونیک سداد / صنعت بانکی و پرداخت کشور یکی از زیرساختهای حیاتی هر کشوری است که نبض اقتصاد و توسعه آن محسوب میشود. یکی از اساسیترین مسائل پیش روی این زیرساختها مورد هدف قرار گرفتن توسط عوامل تهدید مختلف بهصورت مستقیم یا غیرمستقیم از طریق سایر وابستگیهای مرتبط (همانند نیروی انسانی، فناوری و…) است.
اهمیت حیاتی این زیرساختها، ایجاب میکند مخاطرات ناشی از آسیبپذیریها و تهدیدات برآوردشده علیه این بخش در کمینهترین حالت ممکن باشند. در واقع درک این مسئله که بهبود امنیت نقطه انتهایی ندارد و همواره باید مورد پایش قرار گیرد، رویکرد سازمانها را نسبت به حملات سایبری تغییر میدهد؛ چراکه بروز حملات سایبری بهدلیل تهدیدات مختلف، وابستگیهای سامانهای، سرمایه انسانی و سایر عوامل مؤثر، قابل پیشبینی نیست، در نتیجه بهتر است نگرش ما به امنیت تغییر کند.
نگرش سنتی توسعه امنیت، مبتنی بر شناخت و رفع آسیبپذیریهای شناختهشده است که این نگرش، تضمینکننده کاهش یا رفع مخاطرات ناشی از تهدیدات ناشناخته یا مبتنی بر نفوذ و حضور مهاجمان و متخاصمان در زیرساختهای حساس و حیاتی نیست. بر این اساس رویکرد تلفیق امنیت فعال با رویکرد دفاع پیشکنشانه و بهبود تابآوری سایبری بسیار مؤثرتر خواهد بود.
تابآوری سایبری توانایی پیشبینی، دفاع، بازیابی از بحران و سازگاری با شرایط نامساعد، تنشها و حملات در زیرساخت و سامانههای سایبری یک سازمان است که بهعنوان یک ویژگی ضروری برای سیستمها به رسمیت شناخته شده و باعث افزایش آگاهی از تهدیدات سایبری پیچیده و در حال رشد شده است. این مورد آنقدر در بازه زمانی چند سال اخیر رشد پیدا کرده که تمامی سازمانهای بزرگ و کوچک را به سمت خود سوق داده تا بتوانند با بهرهمندی از سازوکارهای معرفیشده و پیادهسازی مفاهیم و اصول تابآوری، تداوم کسبوکار و امنیت خود را حفظ کنند.
اما نکته مهم در خصوص پیادهسازی مفاهیم و اصول تابآوری سایبری در زیرساختهای بانکی و پرداخت، نیازمندیهای آن است که نیل به اهداف تعریفشده را دشوار میکند.
همانطور که میدانیم، مرزوبوم سایبری در هر سازمانی وابسته به نیروی انسانی، فناوری و فرایندهای مربوطه است. در خصوص منابع انسانی و نیروی متخصص متأسفانه با توجه به دستمزدهای نامناسب و عدم توجه به چالشهای افراد شاغل در این حوزه، بسیاری از متخصصان یا از کشور خارج شدهاند و در سایر کشورها (حتی حوزه خلیج فارس) مشغول به فعالیت شده، یا بیانگیزه شده و قصد مهاجرت دارند. ولی این تمام ماجرا نیست؛ چراکه با توجه به تحریمهای ظالمانه از سوی کشورهای غربی، عملاً امکان بهروزرسانی و توسعه زیرساختها متناسب با نیازهای آینده و حتی حال نیز، هم از نظر هزینه و هم از لحاظ دسترسی به منابع تأمینکننده، چالشهای بهبود و ارتقای تابآوری سایبری در سازمانها و زیرساختهای صنعت بانکی و پرداختی کشور را بسیار فرسایشی میکند.
تمامی موارد ذکرشده تنها دغدغههای پیشبرد مفاهیم تابآوری سایبری نیستند؛ چراکه در کنار عدم تخصیص منابع کافی در صنعت بانکی و پرداخت کشور (از منظر نیروی انسانی، تجهیزات، فناوری و فرایندهای مورد نیاز)، سکانداری مناسبی نیز در نهادهای حاکمیتی شکل نگرفته و گاهی دستورالعملها، ابلاغیهها و نامهنگاریها آنقدر متعدد میشوند که پرداختن به آنها و ارائه پاسخ متناسب، متخصصان را از مسیر پیادهسازی اصول در نظر گرفتهشده بازمیدارد.
خوشبختانه در حوزه پرداخت کشور، داستان کمی متفاوت است و شرکت شاپرک جهت جلوگیری از ناهماهنگی در حوزه امنیت، مسیر را مشخص کرده و تمامی مکاتبات از سوی اداره محترم ریسک و امنیت شاپرک و بدون واسطه صورت میپذیرد. هرچند فعالیتهای صورتگرفته طی چند سال اخیر کافی نیست، ولی مسیر درستی را در پیش گرفته است.
یکی از نکاتی که باعث بهبود وضعیت موجود خواهد شد، برنامهریزی مؤثر (نه صرفاً کاغذی) جهت حفظ و نگهداشت نیرو متخصص در زیرساختهای بانکی، پرداخت و فینتک و دیگری هماهنگی بیشتر بین نهادهای نظارتی، حاکمیتی با سازمانها و شرکتهای حوزه بانکی، پرداخت و فینتک در راستای همیاری جهت پیادهسازی اصول تابآوری و نه صرفاً رفع مسئولیت و انتقال ریسک است. به نظر میرسد برای رسیدن به این مهم بانک مرکزی جمهوری اسلامی میتواند نقش بسزایی در این مهم داشته باشد.
