عصر تراکنش ۹۵ / وقتی از امنیت دادههای بانکی صحبت میکنیم، ذهن ما ناخودآگاه به سمت فناوریهای پیچیده رمزنگاری، فایروالهای چندلایه و پروتکلهای پیشرفته میرود. اما ابعاد متنوع این موضوع، فراتر از این قاب محدود است. در بررسی عمیقتر این مسئله، به مؤلفههای دیگری نیز میرسیم: از فرسودگی زیرساختها و کمبود نیروی انسانی گرفته تا تأثیرات تحریمها و نبود درک عمیق مدیریتی از امنیت، که امروزه نه یک گزینه، بلکه ضرورتی برای بقا محسوب میشود. امروزه امنیت دادهها تنها ابزاری برای حفظ اطلاعات کاربران نیست؛ بلکه به یک مؤلفه حیاتی برای حفظ اعتماد عمومی به نظام بانکی تبدیل شده است. بااینحال، رشد حملات سایبری در سالهای اخیر، پیچیدگی تهدیدات و ضعف هماهنگی نهادهای قانونگذار نشان میدهد که منحنی امنیت داده در ساختارهای بانکی با شیبی تند به سمت نقطهای بحرانی در حال حرکت است.
در همین راستا و با توجه به اهمیت این موضوع، با حسام حبیبالله، معاون فناوری اطلاعات بانک شهر؛ وحید صیامی، کارشناس صنعت بانکی و پرداخت؛ و عماد ایرانی، مدیرعامل فرداتک، درباره راهکارهایی که میتوانند در بهبود این شرایط نقش مؤثری ایفا کنند، گفتوگو کردهایم. این گفتوگوها تأکید میکنند که امنیت، برخلاف تصورات رایج، یک مقصد نیست؛ بلکه مسیری است که باید بهطور دائم و با رویکردی چندبعدی پیموده شود. در ادامه گزارشی از این گفتوگوها را میخوانید.
ضرورت سرمایهگذاری و نوسازی زیرساختها
چالشهای حوزه امنیت دادههای بانکی، نگرانیهای متعددی را میان فعالان حوزه فناوری اطلاعات برانگیخته است. حسام حبیبالله، معاون فناوری اطلاعات بانک شهر، دراینباره بر این عقیده است که امنیت دادههای بانکی در ایران با چالشهای جدی روبهروست. او میگوید: «اخیراً مواردی از نشت اطلاعات بانکی، توجهها را به ضعفهای امنیتی در این حوزه جلب کرده است. کارشناسان امنیت سایبری هشدار دادهاند که حملات فیشینگ و سرقت اطلاعات بانکی، از تهدیدات اصلی کاربران ایرانی محسوب میشود. با وجود تلاشهایی برای بهبود امنیت، مانند استقرار استانداردهای امنیتی و سرمایهگذاری در زیرساختها، هنوز نقاط ضعف قابلتوجهی وجود دارد. کمبود نیروی انسانی متخصص و تجهیزات زیرساختی فرسوده، بهویژه تحتتأثیر تحریمها، از جمله چالشهای اصلی هستند. بهطور کلی، امنیت دادههای بانکی در ایران نیازمند توجه و سرمایهگذاری بیشتری است تا بتواند به سطح مطلوبی برسد.»
حبیبالله باور دارد که در حوزه امنیت دادههای بانکی، چند نکته اساسی وجود دارد که باید مورد توجه قرار بگیرد؛ اولین مسئلهای که او به آن اشاره میکند، مقولهی حملات سایبری و نشت اطلاعات است. حبیبالله توضیح میدهد: «بانکهای ایران در سالهای اخیر هدف گروههای هکری قرار گرفتهاند. این گروهها ممکن است از ضعفهای امنیتی در سیستمهای بانکی برای دسترسی به اطلاعات حساس استفاده کنند. این نشتها نهتنها برای مشتریان مشکلاتی ایجاد میکنند، بلکه اعتماد عمومی به سیستم بانکی را کاهش میدهند.»
دومین مسئله، میزان تأثیر تحریمها بر امنیت است. حبیبالله باور دارد که تحریمهای اقتصادی باعث شدهاند بانکهای ایرانی دسترسی کمتری به فناوریها و سیستمهای امنیتی پیشرفته داشته باشند و این موضوع میتواند منجر به ایجاد شکافهای امنیتی شود و مهاجمان قادر خواهند بود از آنها بهرهبرداری کنند. بااینحال در وهلهی سوم، به اقدامات پیشگیرانهای اشاره میکند که کنار آموزش و آگاهسازی، میتوانند تا حدود زیادی از بروز شکافهای امنیتی جلوگیری کنند.
معاون فناوری اطلاعات بانک شهر دراینباره توضیح میدهد: «بسیاری از بانکها سعی کردهاند با اجرای استانداردهای امنیتی مانند ISO 27001 و همچنین پیادهسازی فایروالهای قویتر و سیستمهای مدیریت دسترسی، امنیت دادههای خود را ارتقا دهند. بااینحال، این اقدامات هنوز کافی نیستند و باید کارهای بیشتری در این زمینه انجام شود. یکی از نقاط ضعف مهم، عدم آگاهی کاربران از تهدیدات سایبری است. برای مثال، حملات فیشینگ که با استفاده از ایمیلها یا پیامهای جعلی انجام میشوند، میتوانند اطلاعات حسابهای بانکی را به سرقت ببرند. آموزش عمومی در این زمینه میتواند نقش مؤثری در کاهش این حملات داشته باشد. در مجموع، اگرچه اقداماتی برای بهبود امنیت انجام شده، اما نیاز به سرمایهگذاری بیشتر در حوزه فناوری و آموزش وجود دارد تا بتوان با چالشهای پیش رو مقابله کرد.»
امنیت دادههای بانکی در سه سطح؛ از زیرساخت تا کاربران
امنیت بهطور عمومی از سطوح مختلفی برخوردار است و به تعبیر حبیبالله، امنیت دادههای بانکی نیز میتواند در سه سطح اصلی بررسی شود. او دراینباره میگوید: «سطح اول، امنیت فنی و زیرساختی است؛ بسیاری از بانکها از سیستمهای قدیمی و بعضاً منسوخ استفاده میکنند. این سیستمها به دلیل طراحی قدیمیشان، مستعد نفوذهای امنیتی هستند. استفاده از الگوریتمهای قوی رمزنگاری در این سطح میتواند از بسیاری از حملات جلوگیری کند. بااینحال، اگر این الگوریتمها بهدرستی پیادهسازی نشوند، ممکن است نقاط ضعف ایجاد شود. همچنین بانکها باید از ابزارهای پیشرفته نظارتی مانند سیستمهای تشخیص نفوذ (IDS) و دیوارهای آتشین چندلایه (Next-Generation Firewalls) استفاده کنند تا حملات شناسایی و خنثی شوند.»
به گفته او، سطح دوم، سطح امنیت سازمانی و مدیریتی است: «سازمانها باید سیاستهای دقیقی برای مدیریت دسترسیها و کنترل دادهها وضع کنند، مثلاً محدود کردن دسترسی کارکنان به اطلاعات حساس براساس نیاز. از طرفی، یکی از دلایل مهم نشت اطلاعات، خطای انسانی است. آموزش مداوم کارکنان درباره امنیت سایبری و مدیریت دادهها ضروری است و باید برای احتمال وقوع بحران نیز آماده بود؛ طراحی یک برنامه مدیریت بحران در صورت وقوع نشت اطلاعات، میتواند به کاهش اثرات آن کمک کند. سطح سوم نیز امنیت کاربران نهایی است. بسیاری از کاربران بانکی در مورد تهدیدات سایبری آگاهی کافی ندارند. حملات فیشینگ، بدافزارها و سرقت اطلاعات از طریق دستگاههای آلوده، ازجمله تهدیدات متداول هستند و آگاهسازی درباره آنها میتواند بر بهبود شرایط تأثیر مستقیمی بگذارد. همچنین استفاده از روشهای پیشرفته احراز هویت، مانند احراز هویت چندعاملی (MFA)، میتواند امنیت حسابهای کاربری را افزایش دهد. کاربران باید فقط از اپلیکیشنهای رسمی بانکها استفاده کنند و دستگاههای خود را بهطور مرتب بهروز کنند.»
حبیبالله در ادامه به اقداماتی اشاره میکند که به عقیدهاش در افزایش امنیت دادههای بانکی نقش مطلوبی ایفا میکنند: «جایگزینکردن تجهیزات قدیمی با سختافزارهای امن و همکاریهای بینالمللی و بهرهمندی از تخصص شرکتهای بینالمللی در حوزه امنیت سایبری، از روشهای مؤثری به شمار میروند که به کاهش التهاب در این حوزه کمک میکنند. همچنین باید با تشویق کاربران به رفتارهای امن، همانند استفاده از رمزهای عبور قوی و اجتناب از اتصال به شبکههای عمومی هنگام انجام تراکنشهای بانکی، آنها را نسبت به رفتارهای پرخطر آگاه کرد.»
جستوجوی راهکارهای نوین برای ارتقای امنیت دادهها
البته نمیتوان گفت که صنعت بانکی کشور در زمینه حفظ امنیت دادهها به بنبست رسیده است و هنوز روشهایی برای بهبود شرایط وجود دارد. حبیبالله با اشاره به این موضوع میگوید: «برای افزایش امنیت اطلاعات کاربران در صنعت بانکی کشور، بازیگران اصلی این حوزه میتوانند اقدامات استراتژیکی را اتخاذ کنند؛ رویکردهایی نظیر سرمایهگذاری در فناوریهای پیشرفته و استقرار سیستمهای امنیتی مدرن یا استفاده از فناوریهای پیشرفته مانند هوش مصنوعی برای شناسایی رفتارهای غیرعادی و حملات سایبری در لحظه.
از طرفی بهکارگیری الگوریتمهای پیشرفته رمزنگاری برای محافظت از اطلاعات حساس کاربران و الزام آنها به تأیید هویتشان از طریق چند روش مختلف به جای یک روش (مثلاً رمز عبور و اثرانگشت یا پیامک تأیید) برای کاهش خطرات دسترسی غیرمجاز، میتواند از بار ناامنی فرایندها بکاهد. از سمت دیگر برگزاری دورههای آموزشی مرتب برای کارکنان بانکها در زمینه شناسایی و پیشگیری از تهدیدات سایبری، ارائه برنامههای آموزشی و اطلاعرسانی برای کاربران درباره راههای جلوگیری از حملات سایبری، مانند اجتناب از کلیک روی لینکهای ناشناس و استفاده از رمزهای عبور قوی و تشویق آنها به تغییر دورهای رمزهای عبور و استفاده از دستگاههای امن برای تراکنشهای بانکی، میتواند به تقویت فرهنگ امنیت کمک کند.»
حبیبالله باور دارد که همکاریهای ملی و بینالمللی نیز میتوانند در این زمینه راهگشا باشند و میگوید: «مشارکت در ایجاد استانداردهای امنیتی ملی و بینالمللی و پیادهسازی آنها در بانکها و ایجاد یک شبکه ملی برای اشتراک اطلاعات بین بانکها درباره حملات و تهدیدات سایبری، در همافزایی شرکتها جهت خلق فضایی امنتر مؤثر است. همچنین دعوت از شرکتها و متخصصان امنیت سایبری بینالمللی در بهبود زیرساختهای امنیتی نقش پررنگی ایفا میکند.»
و صد البته که نباید از مسئله بهبود زیرساختها نیز غافل شد. مقولهای که به زعم حبیبالله در جایگزین کردن سختافزارهای قدیمی با تجهیزات مدرن و مطمئنتر، استقرار سیستمهای نظارتی هوشمند برای مانیتورینگ لحظهای و شناسایی تهدیدات سایبری و استفاده از معماریهای پایگاه داده توزیعشده برای کاهش خطر نشت اطلاعات نمود پیدا میکند.
امنیت سایبری؛ نیازمند نگاه همهجانبه و فرهنگسازی
فناوریهای امنیتی، هرچند قدرتمند و حیاتی باشند، نمیتوانند بهتنهایی تمام نیازهای امنیت سایبری یک سازمان را پوشش دهند. امنیت سایبری یک فرایند جامع است که به همافزایی میان فناوری، فرایندها و افراد نیاز دارد. به گفته او، شکلگیری یک فرهنگ امنیت سایبری نقش مهمی در این زمینه ایفا میکند: «تحقیقات نشان میدهند که درصد بالایی از حملات سایبری موفق، به دلیل خطای انسانی رخ میدهد؛ از جمله کلیک روی لینکهای مخرب یا استفاده از رمز عبور ضعیف. آموزش کارکنان درباره تهدیدات سایبری، روشهای شناسایی حملات، و رفتارهای امن میتواند به کاهش این خطاها کمک کند. اگر کارکنان نسبت به گزارش فعالیتهای مشکوک و تهدیدات آگاهی و انگیزه داشته باشند، سازمان میتواند سریعتر به مشکلات واکنش نشان دهد و یک سازمان با فرهنگ امنیتی قوی به امنیت سایبری بهعنوان بخشی ضروری از هر پروژه یا فرایند نگاه میکند، نه بهعنوان یک افزودنی بعدی.
ایجاد فرهنگ امنیت باعث میشود کارکنان و مدیران اعتماد بیشتری به سیستمها و فرایندهای سازمان داشته باشند، که این امر تأثیر مستقیمی بر بهرهوری و امنیت دارد. فرهنگ امنیت سایبری باید حس مسئولیتپذیری را در تمام سطوح سازمان تقویت کند. فناوری زمانی مؤثرتر عمل میکند که افراد آموزش دیده و نسبت به امنیت حساس باشند. سازمانها باید کارکنان را به استفاده از ابزارهای امنیتی، مانند احراز هویت چندعاملی، تشویق کنند.»
همچنین یکی از شئون فرهنگ در زمینه امنیت داده، میتواند چگونگی اتخاذ یک رویکرد صحیح در زمان وقوع بحرانهای احتمالی باشد و حبیبالله در این زمینه میگوید: «اطلاعرسانی سریع و شفاف به کاربران در صورت بروز مشکلات امنیتی و ارائه راهکارهای حمایتی، یکی از روشهایی است که بهواسطه آن میتوان عواقب بحران را به حداقل رساند.»
دادههای بانکی، دادههای حساس هستند
وضعیت سرمایهگذاری در حوزه امنیت صنعت بانکی کشور با چالشهای متعددی مواجه است. اگرچه تلاشهایی برای بهبود امنیت صورت گرفته، اما همچنان نیاز به سرمایهگذاریهای بیشتری احساس میشود. حبیبالله در این زمینه میگوید: «با رشد روزافزون حملات سایبری و پیچیدگی آنها، بانکها نیازمند فناوریهای پیشرفتهتر و زیرساختهای مقاومتر هستند. اطلاعات بانکی جزو دادههای حساس به شمار میروند و حفاظت از آنها برای حفظ اعتماد عمومی ضروری است. تحریمها، دسترسی به فناوریهای روز دنیا را محدود کردهاند و در نتیجه، سرمایهگذاری در توسعه فناوریهای بومی بهنظر الزامی است. برخی از فعالان این صنعت (از جمله برخی نهادها و مؤسسات مالی و اعتباری) به دلیل محدودیتهای اقتصادی و فشارهای مالی، توانایی سرمایهگذاری کافی در حوزه امنیت را ندارند.»
طبق صحبتهای او، تعدد نهادهای قانونگذار و نبود هماهنگی میان آنها، اجرای پروژههای امنیتی را پیچیده کرده است. مهاجرت نخبگان و کمبود نیروی کار ماهر در حوزه امنیت سایبری نیز توان اجرایی این پروژهها را کاهش داده است: «ضعف کیفی برخی محصولات امنیتی داخلی باعث شده بانکها به محصولات خارجی وابسته شوند، که این موضوع خود چالشهایی را به همراه دارد. دولت میتواند با ارائه تسهیلات مالی و کاهش موانع قانونی، بانکها را به سرمایهگذاری در حوزه امنیت تشویق کند. در این راستا، ایجاد همکاریهای ملی و بینالمللی برای دسترسی به فناوریهای پیشرفته، آموزش نیروی انسانی و سرمایهگذاری در تحقیق و توسعه برای تولید محصولات امنیتی با کیفیت بالا نیز میتواند مؤثر باشد.»
گامهای ناتمام برای تبدیل دادهها به موتور تصمیمگیری در بانکها
گاهی اوقات، عدم دقت در معنای اصلی یک واژه یا عبارت به سوءتفاهمهایی منجر میشود که هرچه پیش میرویم، گریبانگیرتر میشوند. وحید صیامی، کارشناس صنعت بانکی و پرداخت، معتقد است که در گام نخست، برای بررسی وضعیت دادههای بانکی کشور، باید در ادراک مفاهیم اولیه بازنگری شود.
او میگوید: «فهم ما از دنیا بهواسطهی شبکهای از واژگان و ارتباطات معنایی ممکن میشود. زیستجهانهای متفاوت (کلیه پدیدارهای تجربهشده یک فرد) منجر به خلق و استفاده از واژگان متفاوت میشوند و این مسئله در هنگام درک موضوعات، بهویژه از طریق ترجمه، میتواند مشکلساز باشد. بهعنوان مثال، در زبان انگلیسی واژه Shame وجود دارد، اما در فارسی، سه مفهوم متمایز از یکدیگر یعنی شرم، خجلت و آزرم وجود دارند. یا واژه Security در انگلیسی، در فارسی به دو مفهوم امنیت و ایمنی ترجمه میشود. این دو با هم تفاوت دارند: یکی ذهنی و سوبژکتیو است و دیگری عینی و ابژکتیو. در شرایط کنونی، مستقل از وضعیت واقعی امنیت بانکها، مشتریان و شهروندان ذهنیتی که دارند مبنی بر نبود ایمنی در نظام بانکی است. در مقابل، مدیران و مسئولان بانکها معتقدند که کسبوکارشان ایمن است و نیاز چندانی به سرمایهگذاری در امنیت یا مدیریت آن ندارند. یعنی ذهنیتی که از واقعیت جداست، زیرا واقعیت را درک نمیکنند.»
صیامی تأکید میکند که دادهها در ساختار بانکی کشور هنوز جایگاه شایستهای در تصمیمگیریهای کلان مدیریتی پیدا نکردهاند و توضیح میدهد: «اتکای روزافزون به دادهها در لایه مدیریتی و مالکیتی (سهامی)، بازتابی در عملکرد و رویکرد آنها نداشته است. به تبع آن، امنیت اطلاعات و امنیت سیستمهای کامپیوتری – که دو مقوله جدا هستند – نیز در این دو لایه انعکاسی نداشته است. منظورم این است که مثلاً شاپرک هر فصل، شرکتهای PSP را از نظر امنیتی ارزیابی میکند؛ روزی که این نمرههای ارزیابی در تحلیلهای تکنیکال کارگزاران بورس اثر بگذارد و باعث تغییر قیمت سهام شرکتها شود، یک گام جدی برای رسیدن به وضعیت مطلوب برداشتهایم. و فعلاً تا آن مرحله فاصله زیادی داریم.»
فقدان خطمشی امنیتی و ساختار ناکارآمد مدیریتی
ابهام در پروتکلهای موجود در حوزه حفاظت از دادهها، یکی از پاشنهآشیلهای واضحی است که بهزعم صیامی، مسیر را برای سلب امنیت و نفوذ به سیستمها – بهویژه در ساختارهای بانکی – هموار میسازد. او دراینباره میگوید: «در ایران، مشکل جدی در زمینه بهرهوری (Productivity) داریم. سطح حداقلی از بهرهوری اقتضا میکند که خطمشی (Policy)، مقاصد (Objectives) و اهداف (Goals) در هر زمینهای از جمله حوزه امنیت، تعیین شوند؛ تا بتوان گفت اصولاً کاری انجام میشود. من منکر زحمات بسیار زیاد کارشناسان و مدیران امنیت نیستم، ولی در شرکتها و بانکهای زیادی مشاهده میشود که هیچ مقصدی تعریف نشده، هیچ هدفگذاری صورت نگرفته و هیچ خطمشی برای واحد امنیت تعیین نمیشود. هدفگذاری باید توسط لایه ارشد سازمان و در همسویی و پیوند با کسبوکار انجام شود که به دلیل عدم آشنایی مدیران ارشد با مباحث امنیتی و فقدان درک کافی نسبت به اهمیت آنها، صورت نمیپذیرد.»
طبق صحبتهای او، خطمشیها تابع دیسیپلینهای سازمانی هستند که در این مورد هم سازمانهای ما بسیار ضعیف عمل میکنند. صیامی توضیح میدهد: «در بانکها و شرکتها، دیسیپلین به معنای روالهای مشخص و تکرارشونده بهازای رخدادها و سناریوهای مختلف است که باید دائماً کنترل شده و بهطور مستمر بهبود یابند؛ درحالیکه اکنون کارکنان بر اساس عادت و تجربه وظایف خود را انجام میدهند. لذا احتمال بروز خطاهای کوچکی که دیده نشوند، بسیار بالاست. به این ترتیب است که ضعف سازمان و ضعف مدیریت در حوزه امنیت اطلاعات نمود پیدا میکند. بخش زیادی از بزرگترین حوادث امنیتی، ریشه در اشتباهی کوچک و فراموشکاری جزئی یکی از کارکنان در هنگام انجام یک کار تکراری دارد که همین روزنهای میشود برای نفوذ.»
امنیت یکی از حوزههایی است که افزایش سرمایهگذاری در آن بهتنهایی موفقیتی را رقم نمیزند و الزاماً به بهرهوری منجر نمیشود. صیامی با تأکید بر این مسئله که ذیل سرمایهگذاری، باید نوعی فرهنگسازی سازمانی نیز به وقوع بپیوندد تا نتایج مطلوبی در حوزه تأمین امنیت دادههای بانکی حاصل شود، میگوید: «وضعیت فعلی انتظار از مدیران برای سرمایهگذاری بیشتر در زمینه امنیت در برخی از سازمانها، مولد فساد است و در کل به یک چیدمان نهادی جدید نیاز دارد. در امنیت اگر ۱۰۰ واحد سرمایهگذاری شود یا اگر ۱۰۰۰ واحد، در هر دو حالت احتمال شکست تدابیر و بروز بحران امنیتی وجود دارد. با چیدمان فعلی، آن سازمانی که ۱۰۰۰ واحد سرمایهگذاری کرده، در مقایسه با سازمانی با ۱۰۰ واحد سرمایهگذاری، دیوار حاشایش بلندتر، انکار و فرافکنیاش بیشتر و عدم قبول مسئولیتش محتملتر است. چنین چیدمان نهادی بسیار آسیبزننده است ولی متأسفانه فعلاً حاکم است و ابتدا باید این چیدمان را از بین برد.
ما به دو نحوهی متفاوت از چیدمان و ارتباط و تعامل بین افراد و سازمانها نیاز داریم: یکی برای زمان پیشگیری و دیگری برای زمان بروز فاجعه. در زمان بروز فاجعه امنیتی، اصولاً باید افرادی با روابطی متفاوت و اهداف متفاوت، بهطور موقت کار را دست بگیرند. در ایران اما اینگونه نیست و برخی از رفتارهای کودکانه بانکهایی که در حفظ امنیتشان شکست خورده و مورد حمله قرار گرفتهاند نیز ناشی از همین ماجراست.»
چالشهای ناشی از شبکههای بسته بانکی
در بسیاری از مواقع، تعاریفی که ما در ایران با آنها روبهرو هستیم، با آنچه در فضای بینالمللی مرسوم است، تفاوت چشمگیری دارند. این مسئله منجر به دوگانگیهایی میشود که به شفافیت تصویر موردنظر کمکی نمیکنند. عماد ایرانی، مدیرعامل فرداتک، با تعمیم این مسئله به حوزه امنیت دادههای بانکی، میگوید: «واقعیت این است که امنیت در حوزه بانکهای ایرانی تا حدی با سازوکارهای جهانی متفاوت است. اصلیترین دلیل این تفاوت، شبکه بانکی و شبکه پرداخت ماست که بهطور نسبی، بسته هستند. شبکهای که بانکهای ما در آن دادهها را جابهجا میکنند – که به آن NIBN یا شبکه بانکی ملی ایران گفته میشود – در عمل مسیری بسته، کنترلشده و محافظتشده است. در سالهای گذشته در سوئیچهای بانکی شاهد رخدادهایی بودهایم؛ چراکه برخلاف شبکه داخلی بانکها، سوئیچها دارای ارتباطات بیرونی هستند. به دلیل اتصال پایانههای فروشگاهی، درگاههای پرداخت اینترنتی و دیگر دسترسیها، گاهی پیش آمده که این سوئیچها دچار اتفاقات و افشای داده شدهاند.
نکته قابلتوجه این است که بهعلت بسته بودن این مسیر و فضای شبکهای، ما نمیتوانیم با قطعیت درباره امنیت بانکها اظهارنظر کنیم. نمیتوانیم بگوییم که آیا در وضعیت خوبی قرار دارند یا خیر. گاهی پیش میآید که گروهی هکری موفق به استخراج دادههایی از شبکه بانکی میشود و این پرسش مطرح میشود که چرا این موضوع پیشتر شناسایی نشده بود؟ دلیل آن این است که بانکها بهدلیل الزامات امنیتی نهادهای تنظیمگر، نمیتوانند بهطور شفاف و آزاد از گروههای هکری یا امنیتی بخواهند که امنیتشان را تست کنند. معمولاً تستهای امنیتی روی بانکها توسط شرکتهای مجاز انجام میشود؛ شرکتهایی که تستها را بهصورت عمومی و ازپیشتعیینشده انجام میدهند و بهروزرسانی این تستها نیز معمولاً کند و با تأخیر انجام میشود.»
بهروزرسانیهای ناکافی و فشار الزامات بانک مرکزی
صد البته طول قدمت سیستمها و زیرسیستمهای بانکی از جمله عواملی نیست که به بهبود شرایط امنیت دادهها کمک کند. ایرانی با اشاره به این موضوع میگوید: «در سالهای اخیر، با افزایش هزینههای نیروی انسانی و مهاجرت نیروهای متخصص و کارآمد، شاهد بهروزرسانی مؤثری در سرویسهای بانکی نیستیم. کربنکها تقریباً قدیمی هستند و سوئیچهای بانکی ما نیز قدیمیاند. اگر بهروزرسانیای هم صورت گرفته، صرفاً بهاجبار و در راستای الزامات بانک مرکزی بوده است، مثل موضوعات کارمزدها، رمز پویا و… .
نکته اساسی این است که دو مسئله مهم وجود دارد: اول اینکه بانکهای ما هنوز آن سطح دغدغه و هشدار لازم را درباره امنیت ندارند. امنیت همچنان در کشور ما بهعنوان یک مقوله لوکس و جانبی تلقی میشود و توجه کافی از سوی مدیران ارشد فناوری بانکها به آن نمیشود. اگر هم کاری در این زمینه انجام میشود، فقط بهدلیل الزامات بانک مرکزی است – مثل برخی تستها و موارد مشابه. مسئله دوم این است که بانک مرکزی برای بانکها، بهویژه در حوزه فناوری اطلاعات و بانکداری الکترونیکی، وظایف و مسئولیتهای متعددی تعریف میکند. اگر به هر بانکی مراجعه کنید، معمولاً درگیر اجرای دستورات بانک مرکزی هستند؛ از کیف پول الکترونیکی گرفته تا رمز ریال، رمز پویا و سازوکارهای جدید بانکداری، پل و… .
بانک مرکزی پیوسته در حال ارائه سرویسهای جدید است. اگرچه برخی از این سرویسها مفید هستند، اما واقعیت این است که قبل از آنکه این سرویسها به بلوغ برسند، بانکها مجبورند آنها را در شبکه عملیاتی خود وارد و استفاده کنند. یعنی وقتی بانک مرکزی اعلام میکند «رمز ریال» تعریف شده، بلافاصله به بانکها نامه میزند که آن را پیادهسازی و مورد استفاده قرار دهند. درحالیکه آن سرویس، نرمافزار یا خدمت، هنوز مسیر صحیح آزمون و بلوغ و رسیدن به پایداری را طی نکرده است. این دو مسئله باعث شدهاند که بانکهای ما آسیبپذیر شوند. اگر همین شبکه بسته و محدود امنیتی را نداشتیم، احتمالاً نقصها و مشکلات بیشتری در شبکه بانکی کشور نمایان میشد.»
امنیت؛ یک مسیر بیپایان و متغیر
تکاپو و تغییر مداوم از ویژگیهای جهان مدرن است که در برخی حوزهها بیشتر به چشم میآید و امنیت نیز از همین دسته است. ایرانی دراینباره میگوید: «امنیت یک هدف نیست؛ ما نقطهای به نام امنیت نداریم که بگوییم بهسمت آن در حرکتیم و نهایتاً به آن خواهیم رسید. امنیت یک مسیر دائمی است. ما چیزی به نام «پیشرفت در امنیت» به معنای ایستا نداریم. مجموعه اقداماتی که پنج سال پیش انجام میدادیم، امروز دیگر چندان کاربردی ندارند، زیرا خدمات، سازوکارها و حتی شبکهها تغییر کرده و تقویت شدهاند. بهعنوان مثال، ده سال پیش شبکه اینترنت کشور بسیار محدود و کند بود. اما اکنون در هر خانه و هر تلفن همراه، کاربران به شبکههای LTE و 5G و اینترنت سریع دسترسی دارند. بنابراین، مکانیسمهای امنیتی نیز باید همواره بهروز شوند.
اگر قرار باشد درباره پنج سال آینده صحبت کنیم، باید همان زمان با توجه به پیشرفتها و فناوریهای موجود، تهدیدها و تدابیر امنیتی را از نو بررسی کنیم. در نتیجه، ما نمیتوانیم پیشنهادی ارائه دهیم که امنیت بانکها را به یک نقطه خاص برساند یا بگوییم «بانک امن» شده است. بلکه این مسیر باید بهعنوان یک برنامه دائمی و زیرساخت همیشگی، با متولی مشخص در بانکها دنبال شود. همچنین، این مسیر باید بهطور مستمر شامل بهینهسازی، بهبود، تقویت، تحلیل حملات، بررسی مدلهای ارتباطی و سایر اقدامات مرتبط باشد و این چرخه بهصورت پویا در بانک اجرا شود.»
سرپا ماندن شبکه بانکی؛ یک دستاورد در شرایط دشوار
فضای بانکی کشور در سالهای اخیر با چالشهای زیادی دستوپنجه نرم کرده است؛ مسائلی که ایرانی معتقد است با وجود آنها، سرپا نگه داشتن شبکه بانکی میتواند دستاورد مهمی به شمار رود. او میگوید: «به نظر من، با توجه به وضعیتی که اکنون در کشور داریم – چه از نظر تحریمهای اطلاعاتی و چه تحریم تجهیزات – همین که توانستهایم شبکه بانکی را سرپا نگه داریم، انصافاً دستاوردی قابلتقدیر است. شبکه شتاب و شاپرک از جمله شبکههای بانکی و پرداختی بسیار خوب حتی در سطح بینالمللی هستند. اینها شبکههایی بسیار قدرتمند، پرکار، با عملکرد بالا و مقاوم هستند.
اصطلاحاً به این وضعیت Robust یا مقاوم گفته میشود و ما این ویژگی Robustness را هم در سطح شبکههای بانکی و هم در خدمات بانکی خود پیادهسازی کردهایم. بااینحال، در حوزه امنیت و نفوذ، مهاجمان نیز پیشرفتهایی داشتهاند و بانکها باید حتماً این موضوع را در برنامهریزیها و اقدامات خود لحاظ کنند. اگر تنها یک پیشنهاد به بانکها داشته باشیم، این است که امنیت باید بهعنوان یک واحد مستقل، با بودجه مناسب و قدرت تصمیمگیری کافی، در هر بانک فعال باشد و بتواند نظرات اصلاحی خود را بر تمام بخشهای مرتبط با خدمات بانکداری الکترونیکی و پرداخت اعمال کند.»
بدنه بانک باید خود را بهروزرسانی کند
فناوری امنیتی، برخلاف بسیاری از فناوریهای دیگر، دوره عمر طولانی ندارد. هرروزه صنعت فناوری اطلاعات شاهد ظهور روشهای جدید نفوذ و دسترسیهای غیرمجاز به اطلاعات است و همین مسئله کار بانکها را برای تقابل با خطرات احتمالی سختتر کرده و نیاز به برخورداری از فناوریهای نوین و پیشرفتهتر را برجسته میکند.
ایرانی در این زمینه توضیح میدهد: «نکتهی قابلتوجه این است که بانکها نیز در سالهای اخیر به سمت بانکداری باز روی آوردهاند و هر روز سرویسهای جدیدتری را در اختیار شبکههای استارتاپی و شرکتهای خلاق قرار میدهند. سرویسهای بانکی که امروزه در کشور ارائه میشوند، از سطح کیفی بسیار بالایی برخوردارند؛ سرویسهایی که میتوان گفت حتی در سطح بینالمللی نیز از بلوغ فرایندی و فناورانهی قابلقبولی برخوردار هستند. بااینحال، بدنهی بانک ـ بهعنوان یک نهاد سنتی و صنعتی با قدمتی چندصدساله ـ باید خود را بهروزرسانی کند. در بانکهای کشور، افراد متخصصی حضور دارند که بانکداری را بهخوبی میشناسند: از حسابداری شعب گرفته تا موضوعات مرتبط با سپردهها، مدلهای محاسبهی ریسک، جذب مشتری و تعریف سرویسهای جدید. اما باید توجه داشته باشیم که نقطهی تماس مشتری با بانک تغییر کرده است. هرچند «بانک» همچنان موجودیتی مرکزی دارد، اما ارتباط مشتریان امروزی بیشتر از طریق درگاههای الکترونیکی برقرار میشود.
بهتدریج شاهد آن هستیم که بانکها در حال عقبنشینی به نقش زیربنایی خود هستند ـ یعنی ارائهدهندهی سرویس پایه ـ و این استارتاپها هستند که در خط مقدم ارتباط با مشتری قرار میگیرند. استارتاپهایی که در حوزههای مختلفی همچون BNPL، کیف پول دیجیتال، پول دیجیتال و… فعال هستند. در این مسیر، باید به این نکته توجه کنیم که پیشرفتهای فعلی در حوزهی بانکداری الکترونیکی نیازمند رویکردی نوین است. ضروری است در کنار مدیران بانکی، مشاورانی حضور داشته باشند که بر موضوع «فرهنگ سازمانی بانکداری الکترونیکی» مسلط باشند. تعریف سرویسهای جدید و طراحی محصولات نو باید با این رویکرد انجام شود که دیگر در فضای فیزیکی و امن شعب بانک نیستیم؛ بلکه در فضای شخصی کاربران، در تلفنهای همراه و رایانههای شخصی آنها فعالیت میکنیم ـ فضایی که از طریق وب و اینترنت اداره میشود و دیگر کنترلی مانند محیط فیزیکی شعبه (دوربین، نظارت حضوری و …) در آن وجود ندارد.»
او صحبتهایش را اینطور ادامه میدهد: «ما در بانک، در تمام بخشها و فرایندها، باید بانکداری الکترونیکی را نه بهعنوان یک واحد مجزا، بلکه بهعنوان یک شیوهی تفکر، یک منش و حتی یک شخصیت مستقل وارد کنیم. فناوری اطلاعات بانک نباید تنها یک بخش تولیدکنندهی محصولات باشد. کل سازمان و شیوههای مدیریتی بانک باید فناوریمحور شوند. واحد اعتبارات بانک باید بهشدت فناورانه شود، شعب بانکی باید با فناوری روبهرو شوند و خود را با آن تطبیق دهند. در بخشهای جزئیتر مانند مالی و حسابداری، حوزهی مشتریان، ابزارها و امکانات نیز نیاز به بازنگری جدی و اساسی وجود دارد.»
بانکها در مسیر توسعه خدمات جدید، از اولویت امنیت غافل میمانند
به نظر میرسد سرمایهگذاری در حوزههای امنیتی در وضعیت نابسامانی به سر میبرد. ایرانی با طرح این مسئله میگوید: «سرمایهگذاری در حوزه امنیت ـ چه در بانکها و چه در شبکه پرداخت ـ وضعیت مطلوبی ندارد. همانطور که پیشتر نیز اشاره کردم، با توجه به افزایش هزینهها، موضوع امنیت به دلیل نداشتن اثر لحظهای و مستقیم بر عملکرد بانک، همواره در اولویتهای پایینتری قرار میگیرد. بسیاری از بانکها گمان میکنند که از وضعیت امنیتی مناسبی برخوردارند و همین تصور باعث میشود که هزینهکرد برای امنیت را به تعویق بیندازند.
اما واقعیت این است که بسیاری از اتفاقاتی که در سطح کشور در حوزه امنیت رخ میدهد، قابل پیشبینی و قابل پیشگیری بودهاند؛ میشد برای آنها از قبل تمهیداتی اندیشید و مسیرهایی طراحی کرد تا از وقوعشان جلوگیری شود. یکی از دلایل اصلی این وضعیت، این است که بانکها بهشدت درگیر توسعه سرویسهای جدید هستند و فضای ذهنی کافی برای پرداختن به مقوله امنیت وجود ندارد. از سوی دیگر، با افزایش قیمت تجهیزات سختافزاری و همچنین خدمات نرمافزاری که شامل نیروی انسانی، دانش و تجربه است، سرمایهگذاری در این حوزه به اولویتهای آخر منتقل شده است. طبیعتا ما همیشه در معرض مشکلات و تهدیدات مختلف هستیم و این امری اجتنابناپذیر است. بنابراین بانکها حتما باید در حوزه امنیت سرمایهگذاری کنند.»
طبق صحبتهای ایرانی، این سرمایهگذاری صرفاً محدود به خرید تجهیزات امنیتی نیست. امنیت مفهومی بسیار گستردهتر از خرید چند دستگاه یا ابزار امنیتی است. به عقیده او، سرمایهگذاری در امنیت یعنی بهروزرسانی نرمافزارها، ارتقای دانش و مهارت پرسنل، توسعهی آموزشهای تخصصی و افزایش سطح آگاهی کارکنان در مواجهه با تهدیدات امنیتی: «نباید تصور کنیم که صرفاً با خرید یکسری سختافزارهای امنیتی، میتوانیم ساختاری امن و مقاوم ایجاد کنیم؛ تجهیزاتی که اغلب پس از خریداری بهعنوان یک بدنه منفعل در گوشهای از بانک قرار میگیرند و نه بهدرستی از آنها استفاده میشود و نه کارکنان بانک به سطح بلوغ لازم برای بهرهبرداری مؤثر از آنها دست مییابند.»
بانکها، امنیت و تلهی تلاشهای تکراری
ایرانی باور دارد که بانکها با تمرکز جداگانه بر مسئله امنیت، نیروهای خود را تقسیم میکنند و با این رویکرد در عمل از توان خود میکاهند. او میگوید: «اگر بخواهیم نگاهی متفاوت به سرمایهگذاری در حوزه امنیت داشته باشیم، باید بگوییم که انجام این سرمایهگذاریها بهصورت جداگانه در هر بانک، در واقع بهمعنای اختراع مجدد چرخ است. ما در کشور بیش از ۳۰ بانک داریم که همگی از نقطه صفر شروع میکنند، فرایندهای امنیتی را تست میکنند، تجربه میکنند و بهتدریج به یک سطحی از بلوغ میرسند. این در حالی است که میتوان این روند را با نگاهی کلانتر و ساختاریافتهتر دنبال کرد. بهجای تمرکز بر سرمایهگذاری سنگین و مجزا در هر بانک، باید بر تقویت شبکهی خصوصی امنیت – که متأسفانه درحالحاضر میتوان گفت در وضعیت نیمهفعال یا حتی غیرفعال قرار دارد – تمرکز کرد.»
به عقیده او، اگر چند شرکت خصوصی و استارتاپی در حوزه امنیت بانکی فعال شوند و بهصورت تخصصی روی امنیت بانکداری الکترونیکی کار کنند، با توجه به اشرافی که بر فعالیت بانکهای مختلف به دست میآورند، میتوانند به تجربیات و دستاوردهای بسیار غنیتری نسبت به یک بانک منفرد دست یابند. او توضیح میدهد: «چنین شرکتهایی خواهند توانست خدمات امنیتی جامع و مؤثری را به تمام بانکها و نهادهای پرداختی ارائه دهند. یادگیریهایی که در این مجموعهها اتفاق میافتد، منحصر به یک بانک خاص نخواهد بود و آثار مثبتی که روی محصولات، خدمات و تحلیل دادهها میگذارد، میتواند به شکل گستردهتری در کل شبکه بانکی کشور اثرگذار باشد.
اما برای تحقق این مهم، ضروری است که بانکها نگاه بسته و گارد تدافعی خود را در برابر همکاری با بخش خصوصی در حوزه امنیت کنار بگذارند. باید پذیرفت که همکاری با شرکتهای متخصص در حوزه امنیت اطلاعات و مدیریت دسترسی کنترلشده به دادهها، با رعایت قوانین و ضوابط مشخص، میتواند از بروز بسیاری از رخدادهای ناگوار جلوگیری کند. متأسفانه، هرجا که بانکها خود را منزوی کردهاند، دسترسی به اطلاعات را محدود و از نظرپذیری پرهیز کردهاند، بهصورت ناگزیر در جزیرهای گرفتار شدهاند که نهتنها در اولویتهای اصلیشان قرار ندارد، بلکه ظرفیت مواجهه مؤثر با تهدیدهای امنیتی روز را نیز از آنها سلب کرده است.»
یکپارچهسازی امنیت در سطح ملی؛ ضرورتی برای مقابله با تهدیدها
به عقیده ایرانی، این سرمایهگذاریها و توجهات، علاوه بر سطوح محدودتر درونبانکی، باید شمایل ملی نیز به خود بگیرند. او ادامه میدهد: «باید توجه داشت که در کنار این سرمایهگذاری داخلی، لازم است زیرساختهایی در سطح ملی و شبکهای نیز تقویت شوند. ما نیازمند مجموعههایی تخصصی در حوزه امنیت بانکی هستیم – نه صرفاً در یک نقطه یا بانک خاص، بلکه در سطحی کلان و فراگیر که بتوانند وضعیت کل شبکه بانکی را بررسی و تحلیل کنند. این مجموعهها باید به دادهها، اطلاعات و رخدادهای امنیتی دسترسی مناسبی داشته باشند تا بتوانند مدلهای مقابله با تهدیدات را طراحی کنند؛ مدلهایی که نهفقط در یک بانک، بلکه در سطح کل شبکه بانکی کشور قابلیت اجرا و بهرهبرداری داشته باشند. ایجاد چنین نهادهایی و استفاده از تجارب مشترک بین بانکها، میتواند به تولید راهکارهایی منجر شود که چندین برابر مؤثرتر از تلاشهای پراکنده و منفرد هر بانک خواهد بود.»
پایان رویکرد جزیرهای؛ آغاز همگرایی امنیتی
به نظر میرسد با کنار هم قرار دادن همه نکاتی که در این گزارش مطرح شد، بتوان تصویری همهجانبه از چالشها و الزامات امنیت دادههای بانکی در ایران ترسیم کرد؛ چالشهایی که از فرسودگی زیرساختها، کمبود نیروی انسانی متخصص و فشار تحریمها آغاز میشوند و تا نبود درک دقیق مدیریتی، ضعف فرهنگ امنیتی و تعدد نهادهای تصمیمگیر ادامه مییابند و همانند قطعات یک پازل کنار هم قرار میگیرند تا تصویر مدنظر را کامل کنند.
کارشناسان در این گزارش با تأکید بر اینکه امنیت صرفاً به معنای خرید تجهیزات نیست، بر لزوم تغییر در نگاه راهبردی به امنیت بانکی تأکید میکنند؛ نگاهی که امنیت را فرایندی مستمر در نظر میگیرد که نیازمند سرمایهگذاری، آموزش، هماهنگی بیننهادی و بهروزرسانی مداوم در همه سطوح فنی، سازمانی و کاربری است. همچنین به نظر میرسد که تشکیل نهادهای تخصصی، شبکههای امنیتی مستقل و همکاری با شرکتهای خصوصی و دیگر بانکها در این حوزه، برای تمامی نهادهای بانکی اجتنابناپذیر باشد؛ زیرا همانطور که در این گزارش هشدار داده شد، استمرار رویکردهای جزیرهای و بیتوجهی به واقعیتهای امنیت سایبری، میتواند در آیندهای نهچندان دور، اعتبار و پایداری شبکه بانکی کشور را با تهدیدهای جدی مواجه کند.
