نبود پروتکل امنیتی واحد در حوزه منابع انسانی

نگرانی از نشت اطلاعات در شبکه بانکی ادامه دارد

شواهد تایید می‌کنند اطلاعات حیاتی و بانکی افراد در شرکت‌های مرتبط با مجموعه نظام بانکی در دسترس تعداد زیادی از افراد و کارشناسان در این شرکت‌ها است و گویا نظارت متمرکزی بر این دسترسی‌ها وجود ندارد. در حال حاضر پرسش اصلی این است که شرکت‌های مهم از جمله بانك‌ها، شاپرک یا شرکت خدمات انفورماتیک و بسياري ديگر از شركت‌ها كه اطلاعات حياتي مردم را در اختيار دارند، چه گارانتی و ضمانتی در زمینه حفظ محرمانگی اطلاعات توسط کارشناسان مرتبط با این مجموعه‌ها، به جامعه داده‌اند و با وجود مواردی که قبلا در برخی از شرکت‌ها در زمینه درز اطلاعات و سوءاستفاده برخی افراد در زمینه اطلاعات بانکی مردم وجود داشت، آیا نباید در حال حاضر نگران رخداد مشابه و حتی در سطحی بزرگ‌تر باشیم؟ آیا پروتکل یا استاندارد واحدی از سوی نهاد بانک مرکزی در زمینه حفظ این اطلاعات وجود دارد یا اینکه اگر هر شرکتی بر اساس موازین و سیاست سازمانی خود این مورد را پیگیری کند، واقعا کافی و قابل اعتماد خواهد بود؟

عصر ارتباط ضمن گفت‌و‌گو با برخی از کارشناسان و مسوولان در این حوزه، به بررسی بیشتر این موضوع در گزارش حاضر پرداخته است.

 

سوءاستفاده منابع انسانی قابل نفی نیست

سروش صاحب‌فصول، مدیر روابط عمومی شرکت شاپرک در پاسخ به این پرسش که در حال حاضر دسترسی به اطلاعات حیاتی در شرکت شاپرک بر اساس چه فرایندهایی تعریف شده و سطح دسترسی افراد به اطلاعات مهم به چه صورت تعیین می‌شود، گفت: اطلاعات در شرکت شاپرک به سه دسته محرمانه، داخلی و عمومی تقسیم می‌شوند و در خصوص هر یک از این سه دسته از اطلاعات، دستورالعمل‌های مشخصی درباره نحوه، سطح دسترسی و احیانا انتشار، تدوین و ابلاغ شده است. به‌طور مشخص در بخش اطلاعات محرمانه؛ بر اساس شرح شغل پرسنل و احیانا مجوزهای موردی که توسط مدیریت صادر می‌شود، افراد اجازه و امکان دسترسی به اطلاعات را دارند، یعنی طبیعتا افرادی که ضرورتی ندارد بر اساس شرح شغل‌شان به اطلاعات طبقه‌بندی شده یا نامرتبط دسترسی داشته باشند، این امکان را ندارند. افرادی که مجوز دسترسی به اطلاعات را دارند بر اساس فرایندها و آیین‌نامه‌های داخلی شرکت شاپرک احراز صلاحیت می‌شوند.

صاحب‌فصول بيان كرد: مشابه این دستور‌العمل متناسب با دایره فعالیت‌ها به تمام شرکت‌های پرداخت ابلاغ شده و رعایت این موازین در بازرسی‌های دوره‌ای شاپرک از شرکت‌های PSP بررسی می‌شود. بخشی از این موارد از جنس الزامات سخت و نرم‌افزاری مانند سامانه ISMS و برخی دیگر نیز از جمله طبقه‌بندی اطلاعات و تعیین سطح دسترسی به آنها توسط نیروی انسانی است.

وی در پاسخ به این پرسش که آیا کارشناسان و نیروهای انسانی درگیر در این فرایند، صرفا بر اساس پروتکل‌ها و استانداردهای شاپرک احراز صلاحیت می‌شوند یا بر اساس طبقه‌بندی‌های شغلی، استعلام‌هایی از سایر نهادهای مسوول از جمله وزارت اطلاعات، قوه قضاییه سازمان‌هاي نظارتي از اين دست در زمان استخدام افراد در سازمان صورت می‌گیرد، گفت: در برخی موارد که چنین اقدامی ضروری باشد، امکان چنین استعلام‌هایی به صورت موردی وجود دارد.

مدير روابط عمومی شرکت شاپرک در این خصوص که چه شاخص‌هایی از سوی شرکت شاپرک برای احراز صلاحیت افراد در دسترسی به اطلاعات حیاتی و بانکی مردم مورد بررسی و تعیین اهلیت برای منابع انسانی در این بخش لحاظ می‌شود، گفت: شاپرک با پرسنل شرکت و حتی پیمانکارانی که به صورت موردی برای انجام یک پروژه، قرارداد همکاری امضا می‌کند، تعهدنامه عدم افشای اطلاعات منعقد می‌کند. یعنی تمام پرسنل شاپرک نسبت به عدم افشای اطلاعات چه در زمان فعالیت در شرکت و بسته به جایگاه فعالیت خود تا پنج سال پس از انفصال همکاری متعهد هستند. این در مورد پیمانکارانی هم که به صورت موردی با شاپرک همکاری دارند، نیز اجرا می‌شود.

در کشورهای دیگر درز یا سرقت اطلاعات ناشی از حملات سیستماتیک و مسايل امنیتی به صورت فنی است، اما در کشور ما در تجربه‌هایی که تاکنون از افشا یا سوءاستفاده از اطلاعات حیاتی مردم در حوزه بانکداری رخ داده، ناشی از سوءاستفاده‌های نیروهای انسانی بوده، بنابراین می‌توان ادعا کرد که این نگرانی همچنان وجود دارد. صاحب‌فصول در این خصوص گفت: بله وجود دارد، البته پیش از اینکه به صورت موردی به این بحث بپردازیم باید تفکیک دو موضوع را از هم مدنظر قرار دهیم. نخست اینکه همه این موارد چه از جنس فنی و چه از جنس عدم تعهد نیروی انسانی، مواردی هستند که هرگز نمی‌شود آنها را به صفر رساند، نه شاپرک و نه هیچ نهاد دیگری با تدوین و اجرای قوی‌ترین و دقیق‌ترین پروتکل‌ها هم نمی‌توانند این قبیل اتفاقات را به‌طور صد درصدی و کاملا قطعی کنترل کنند، زيرا در این حوزه با رفتار انسانی روبه‌رو هستیم که هیچ‌گاه نمی‌توان آن را به‌طور كامل کنترل کرد نهایتا هر فردی هر قدر هم از صافی‌های کنترلی عبور کرده باشد ممکن است به هر دلیل و علتی انگیزه پیدا کند در مورد اطلاعات محرمانه در دسترس خود رفتاری غیرمتعهدانه انجام دهد.

او افزود: پروتکل‌ها صرفا می‌توانند سطح دسترسی‌ها را تعیین کنند و ریسک دسترسی غیرضروری به اطلاعات را برای افراد کاهش دهند، یا در انتخاب افراد معیارهایی را تعریف کنند که بر اساس آن معیارها احتمال اینکه فردی که به اطلاعات دسترسی دارد بر اساس عوامل بیرونی یا انگیزه‌های درونی به سمت عدم رعایت محرمانگی سوق داده شود، کاهش پیدا کند.

صاحب‌فصول تاکید کرد: همه این‌ها اقداماتی هستند که تنها می‌توانند احتمال افشای اطلاعات یا سوءاستفاده از آن را توسط کاربر کاهش دهد، ولی احتمال این اتفاق هرگز به صفر نمی‌رسد؛ بنابراین اینکه بگوییم شاپرک یا نهادهای فرابخشی، باید پروتکل‌هایی را تدوین و اجرا کنند و بر حسن اجرای آن نظارت تام و تمام نیز داشته باشند، البته لازم است اما اینکه انتظار داشته باشیم در این صورت، هرگز شاهد درز اطلاعات نباشیم، انتظار بیهوده‌ای است و اگر هر موردی از درز اطلاعات هم را ناشی از نبود یا ضعف پروتکل‌های امنیتی بدانیم، این هم تحلیل اشتباهی است.

وی در ادامه تصریح کرد: باید از نگاه صرفا فنی و تکنیکال و به تعبیری مهندسی فاصله بگیریم تا بتوانیم این قبیل مشکلات را راحت‌تر تحلیل و حل کنیم.

مدیر روابط عمومی شرکت شاپرک ادامه داد: باید دو مقوله امنیت و اعتماد را از هم تفکیک کنیم؛ ما در کشور از جنبه امنیت در نظام بانکی و پرداخت، متحمل ضربه‌ای نشدیم، آنچه تاکنون اتفاق افتاده عمدتا ناشی از عدم بررسی کافی در مورد سطح قابل اعتماد بودن اپراتوری است که به اطلاعات محرمانه دسترسی داشته است.

او همچنين افزود: در حال حاضر شبکه بانکی و پرداخت از قوی‌ترین سیستم‌های امنیتی برخوردارند، اما در همین فضا نيز تاکنون اخباری درباره بروز اتفاقات ناخوشایندی در خصوص درز اطلاعات حساس بانکی منتشر شده است و ممکن است در آینده نیز باز هم چنین خبرهایی منتشر شوند، زيرا تاکنون به اندازه کافی بر تفکیک دو مقوله امنیت و اعتماد از هم تمرکز نکرده‌ایم. ما باید به دنبال این برویم که قابل اعتماد بودن افراد را بسنجیم، برای افزایش قابل اعتماد بودن‌شان تلاش کنیم و اطلاعات را به اندازه‌ای که آن افراد قابل اعتماد هستند در اختیارشان قرار دهیم.

صاحب‌فصول عنوان کرد: ابزارها و روش‌هایی که در حال حاضر عمدتا مبتنی بر بستر فناوری‌های هوشمند و هوش مصنوعی کار می‌کنند روی این موضوع متمرکز شده‌اند که رفتار افراد را حتی قبل از اینکه وارد فعالیت حرفه‌ای در حوزه‌های حساس مانند فعالیت‌های بانکی بشوند، بررسی می‌کنند.

وی در ادامه به ضرورت به‌کارگیری چنین روش‌هایی در نظام بانکی و پرداخت کشور تاکید کرد و افزود: استفاده از چنین ابزارهایی به فراهم بودن بانک‌های اطلاعاتی دقیق و کامل از رفتارهای افراد نیاز دارد. فرض کنید شاپرک چنین ابزارها و روش‌هایی را طراحی و آماده اجرا کرده باشد، آیا اطلاعات لازم در خصوص رفتار گذشته افراد برای ارایه به این مدل برای پردازش اطلاعات و بررسی نتایج تحلیلی وجود دارد؟ متاسفانه در کشور ما چنین اطلاعاتی برای تحلیل و بررسی افراد وجود ندارد. در حالی که در موارد پیشرفته حتی رفتار افراد در قبال پرداخت قبوض خدماتی، مدت اقامت در هر منزل مسکونی، دوره اشتغال، اهلیت رفتار اعتباری در قبال بازپرداخت تسهیلات دریافتی از بانک‌ها یا کارت‌های اعتباری به صورت منسجم و قابل استناد وجود دارد.

او تاکید کرد: بیش از هر چیز ما نیازمند یک تغییر در نگاه به مقوله اعتماد هستیم. باید بین اعتماد و امنیت تفکیک قائل شد، تا وقتی این تفکیک را قائل نشویم مدل‌های امنیتی را برای افراد قائل می‌شویم و مدل‌های اعتمادی را برای ماشین‌ها به کار می‌بریم و به نظر مي‌رسد در هر دو نیز به نتیجه نخواهیم رسید.

 

مدیریت امنیت فرایندی تدریجی است

حامد تنها، مدیرعامل شرکت بهسازان ملت در خصوص اهمیت موضوع امنیت فناوری اطلاعات در حوزه منابع انسانی، گفت: موضوع توجه به منابع انسانی در حوزه تامین امنیت اطلاعات موضوع پیچیده‌ای است، از این منظر که رفتار با یک اپراتور یا ادمین با هر سطحی از دسترسی به اطلاعات به لحاظ ویژگی‌های انسانی، موضوع پیچیده‌ای است و شاید هیچ پروتکل یا الزام امنیتی نتواند به صورت صددرصدی در این زمینه گارانتی لازم برای حفظ محرمانگی اطلاعات را ارایه دهد.

او در خصوص رعایت استانداردهای امنیتی در زمینه دسترسی افراد به اطلاعات حساس و محرمانه در مجموعه‌های مختلف مرتبط با نظام بانکی و پرداخت کشور با تایید این مطلب که در حال حاضر پروتکل واحدی برای این منظور در مجموعه نظام بانکی وجود ندارد، گفت: در حال حاضر هر مجموعه‌ای با توجه به بررسی و ارزش‌گذاری دارایی‌های اطلاعاتی موجود و تعیین ریسک این اطلاعات، سطح امنیت اطلاعات را در سازمان خود دسته‌بندی می‌کند، در نتیجه محتوای پروتکل‌های موجود نسبت به هر سازمانی متفاوت است ولی آنچه مسلم است اکنون ما براساس یک استانداردی می‌توانیم بگوییم که اگر در چرخه مدیریت امنیت اطلاعات یا به عبارتی شرکت‌هایی که مبتنی بر استاندارد ISMS یا هر استاندارد امنیت اطلاعات دیگری هستند، در برخورد با فرایندها و دارایی‌های خود، مطمئنا به صورت علمی‌تر برخورد خواهند کرد و روش‌های اجرایی درست و متناسب با سیاست‌های سازمانی خود اتخاذ خواهند کرد.

تنها تصریح کرد: آنچه می‌توانم بگویم افتا و سازما‌ن‌های نظارتی بالادستی، یک سری الزامات به سازمان‌های دولتی و برخی شرکت‌های خصوصی ابلاغ کردند که این شرکت‌ها باید بر اساس این استانداردهای مشخص با دارایی‌های اطلاعاتی خود برخورد کنند. به عنوان مثال شرکت بهسازان ملت برای مدیریت امنیت اطلاعات حدودا از پنج سال پیش، تصمیم گرفت استاندارد FRAMWORK ISMS ISO2700 2013 را استقرار دهد.

مدیرعامل شرکت بهسازان ملت در تشریح تاثیر عملکرد این استاندارد بر شرکت بهسازان ملت گفت: این سیستم مدیریت یک گام نیست، بلکه یک فرایند مبتنی بر چرخه‌های متعدد است که با هر بار طی کردن مسیر یک چرخه، سازمان به بلوغ بیشتری دست می‌یابد و به مرور زمان بلوغ امنیتی را در سازمان بیشتر می‌کند.

او گفت: این استاندارد برای همه حوزه‌های سازمان دستورالعمل‌های مختلف دارد، استانداردهایی از این قبیل بر اساس بهترین تجارب دنیا تدوین شده و چیزی نیست که به‌طور بسته و محدود دستور‌العمل خاصی را تحمیل كند. بر این اساس سوالاتی تدوین شده که هر سازمانی باید پاسخ دقیقی برای آن داشته باشد، مثلا در حوزه منابع انسانی با تمرکز بر فرایندهای پیش، حین و بعد از استخدام، دستورالعمل‌هایی دارد، یعنی سازمان باید با توجه به اهمیت دارایی‌های اطلاعاتی خود، سطحی از بررسی‌های پیش از استخدام و نیز فرایندهای حین خدمت را مورد نظر قرار دهد.

این مقام مسوول افزود: در نهایت باید تاکید کرد که یک ادمین با توجه به سطح دسترسی‌ها در سیستم، قادر به هرنوع برخوردی با اطلاعات موجود است و باید پذیرفت که ما روی ادمین‌ها نمی‌توانیم پروتکل‌های امنیتی را اعمال کنیم و انتظار داشته باشیم درصد این سوءاستفاده‌ها به صفر برسد.

او همچنين گفت: به معنای دیگر برخورد با انسان در سیستم‌ها مشتمل بر اشراف به اطلاعات بی‌شمار و حتی بی‌نهایتی است که بر همین اساس امکان تجویز یک نسخه واحد برای این منظور امکان‌پذیر نيست.

تنها ادامه داد: ما در بحث امنیت مسایل مختلفی در حوزه منابع انسانی داریم، شاید گاهی حتی در سیستم متوجه برخی خطاها توسط ادمین هم بشویم ولی مساله اینجاست که برای برخی از خطاها، امکان بازگشت و جبران و حل مساله وجود ندارد. بنابراین تلاش بر اجرای تمام فرایندها از پیش از استخدام تا در زمان فعالیت یک فرد در سازمان، می‌تواند با کاهش احتمال سوءاستفاده انسانی از اطلاعات حیاتی را کاهش دهد، اما قطعا روش مطلقی برای به صفر رسیدن این موضوع، دست کم در حال حاضر، وجود ندارد.

وی در عین حال به اهمیت موضوع شیوه برخورد مدیریتی با پرسنل شاغل در مشاغل مرتبط با امنیت اطلاعات در سازمان‌ها اشاره کرده و گفت: یکی از خطرناک‌ترین مسايل برای یک سامانه اطلاعاتی، نیروی انسانی ناراضی است، باید در نظر داشت جدایی یک فرد به‌خصوص با دسترسی‌های حتی محدود و قدیمی به اطلاعات حساس از یک سازمان باید با در نظر گرفتن شئونات کامل اخلاقی، انسانی و قانونی صورت پذیرد و نیز مراقبت‌های بعد از ترک شغل نسبت به قطع کامل دسترسی‌های پیشین به اطلاعات سازمان انجام پذیرد.

تنها با تايید این فرضیه که با در نظرگرفتن همه این مسايل و رعایت همه پیشگیری‌ها و الزامات در بخش امنیت اطلاعات، باید نگران این دسترسی‌ها و مسايل مرتبط با خطای انسانی یا سوءاستفاده از اطلاعات حیاتی مردم در نظام بانکی باشیم، به نوعی که می‌توان ادعا کرد این مساله همانند یک بمب ساعتی می‌تواند مساله حفاظت از داده‌های حساس را در نظام بانکی به چالش بکشد، گفت: این موضوعی است که وجود دارد و نمی‌توان به‌طور کامل آن را منتفی دانست.

مدیرعامل شرکت بهسازان ملت در خصوص توجه به احراز صلاحیت افراد پیش از استخدام و کسب پیشینه شغلی و فردی متقاضی ورود به شرکت در جهت تامین امنیت اطلاعات گفت: شرکت بهسازان ملت با توجه به تعلق صددرصدی به بانک ملت، از تمام فرایندهای بانک ملت در استخدام تبعیت می‌کند، حتی این فرایندها شامل گزینش‌های اخلاقی و مسايل مرتبط با سوءپیشینه و استعلام از نهادهایی نظیر وزارت اطلاعات یا افتا و غیره نیز هست و تمام اطلاعات و مدارک ارایه شده توسط متقاضی مورد راستی‌آزمایی قرار می‌گیرند و در نهایت بر اساس استراتژی سازمانی مایل به همکاری با افرادی هستیم که از نظر شخصیت فردی، همسو با ارزش‌های سازمانی در شرکت بهسازان ملت باشند تا هزینه حفظ این نیروها کمتر و ضریب صیانت از دستاوردهای درون‌سازمانی از جمله حفاظت از داده‌های اطلاعاتی موجود در سازمان بیشتر باشد.

او تصریح کرد: در عین حال باید در نظر داشت که فرایندهای انسانی در سازمان‌ها در مواجهه با مسايل امنیت اطلاعات، به دلیل ماهیت انسان، بسیار پیچیده است و اعمال همه این روش‌ها نیز در نهایت درصدی از خطا را در برخواهند داشت.

 

زنگ خطری که هنوز شنیده نشده

در نهایت به نظر می‌رسد نظام بانکی در این بخش با حفره بزرگی مواجه است و با وجود همه تلاش‌ها و اقدامات صورت گرفته، نبود یک روش موثر و جامع برای مواجهه با این موضوع، منجر به افزایش پیچیدگی و در نهایت افزایش خطرپذیری اطلاعات حساس بانکی از سوی مجموعه افرادی است که در شرکت‌های مرتبط با صنعت بانکداری خصوصا در شرکت‌های اصلی و مادر دسترسی به چنین اطلاعاتی دارند.

اگر چه اطلاعات محرمانه نزد شرکت‌هایی نظیر شاپرک یا شرکت خدمات انفورماتیک، تاکنون با هیچ درز یا نشتی از سوی کارشناسان این شرکت‌ها مواجه نشده است، اما تجربیات پیشین در برخی شرکت‌های دیگر و نیز اطلاعات به دست آمده در گزارش حاضر، تایید می‌کند که سطح و حدود دسترسی افراد به اطلاعات در این شرکت‌ها و نبود برخی استانداردها و عدم به کارگیری فرایندهایی از قبیل فناوری‌های مبتنی بر هوش مصنوعی، حفره بزرگی در زنجیره تامین امنیت اطلاعات آفریده که مثل یک بمب ساعتی ممکن است هر لحظه با شمارش معکوس، منجر به افشای اطلاعات بانکی مردم نزد افراد سودجو شده و فاجعه‌ای تازه به بار آورد. زنگ خطری که به نظر می‌رسد هنوز مسوولان توجه چندانی به آن ندارند.