در میزگرد آنلاین رویکرد مدیریت امنیت در تحول دیجیتال مطرح شد:

احتمال سونامی نشت اطلاعات بانک‌ها در آینده

کاهش بیش از 50 درصدی فیشینگ با اجرای رمز دوم پویا

احتمال سونامی نشت اطلاعات بانک‌ها در آینده

بخش اول

عبداله افتاده

امنیت، واژه راهبردی است و در عصر امروز از زمانی که برخی نگرانی‌ها درخصوص تعرض به حریم خصوصی افراد و سازمان‌ها و قطع سرویس‌های ضروری ظاهر شد، متخصصان فناوری اطلاعات برای مقابله با این تهدیدات و تامین پایداری خدمات تحت شبکه بنگاه‌ها و نیز افراد و دستگاه‌های مختلف، تلاش‌های ارزشمندی را سازماندهی کردند تا فضای اعتماد به تبادلات الکترونیکی دچار آسیب کمتری شود. در همین راستا تولید محصولات مختلف امنیتی اعم از سخت‌افزاری و نرم‌افزاری در حوزه‌های گوناگون، ارايه راهکارها و تدوین سیاست‌های خرد و کلان برای صیانت از امنیت و پایداری فضای تبادل اطلاعات، تربیت نیروهای متخصص به منظور حفاظت از شبکه‌های تبادل اطلاعات، همچنین ایجاد آمادگی در برابر حوادث ناشی از تهدیدات الکترونیکی همگام با پیشرفت دانش IT، در صحنه دنیای دیجیتال، نمود بیشتری پیدا کرده است.

در بانکداری سنتی نیز افراد با برخی تهدیدات مواجه بودند که این تهدیدات در سیستم الکترونیکی به صورت دیگری وجود دارد. بانک‌ها برای تامین و افزایش امنیت در بانکداری الکترونیکي و کاهش تهدیدها در کنار رعایت سیاست‌های امنیتی مانند محرمانگی، سندیت، تمامیت وغيره باید از ابزارهای امنیتی همچون تکنیک‌های رمزنگاری نظیر رمز دوعاملی، استفاده از کد کاربری و رمز عبور، گواهی‌های دیجیتال، امضای دیجیتال، نرم‌افزارها و پروتکل‌های امنیتی بهره گیرند.

از این رو، در این میزگرد آنلاین از سلسله نشست‌های تخصصی حوزه بانکداری، موضوع «رویکرد مدیریت امنیت در تحول دیجیتال» با حضور سرهنگ داوود معظمی گودرزی رييس پلیس فتا تهران بزرگ، نوش‌آفرین مومن واقفی مدیرعامل هلدینگ فناوری بانک تجارت (تفتا) و علی عباس‌نژاد، مدیرعامل گروه شرکت‌های کهکشان، با تاکید بر شناسایی تهدیدات عمده سایبری در فضای کسب‌وکار و تجربیات موجود در این عرصه، مورد بحث و تبادل ‌نظر قرار گرفته است. ماحصل این میزگرد، پیش‌روی شماست.

احتمال سونامی نشت اطلاعات بانک‌ها در آینده

*در ماه‌های اخیر، اخبار زیادی درباره مشکلات متعدد در زمینه عدم دسترسی سرویس‌های مختلف، از کارگزاری‌های بورس تا سرویس‌های مخابراتی وغيره شنیده شد. با توجه به رویکرد تحول دیجیتال در حوزه بانکداری کشور، استفاده هرچه بیشتر از خدمات بانکداری برخط و وابستگی فراوان زیرساخت‌های بانکی به فناوری، بالاخص فناوری‌های امن بیشتر شده است. جناب سرهنگ معظمی، با توجه به افزایش تمایل به استفاده از خدمات برخط، نفوذگران به شبکه‌های بانکی، عمدتا چه کسانی هستند؟ هدف آنها از حملات به شبکه بانکی و زیرساخت‌های آن چیست؟

معظمی گودرزی: حمله به زیرساخت‌های کشور از سازمان بورس تا سایر نهادها، همواره وجود دارد. برخی مواردی که اشاره کردید، در پلیس فتا با عنوان پروند‌ه‌های جرایم سایبری تحت بررسی هستند. پلیس فتا در یک نگاه امنیتی، لابراتوار امنیتی است و فعالیت‌های سازمان‌ها بعد از اینکه اقدامات امنیتی خود را در بالاترین سطح انجام می‌دهند یا برای آن سطح تعیین می‌کنند، از طریق پروند‌ه‌هایی که در دست پلیس فتاست، سنجش می‌شود. مثلا یک سازمان یا بانک مدعی می‌شود که بالاترین سطح امنیت را برقرار کرده است. در این حالت، اولین پرونده جرایم سایبری که به سمت ما می‌آید، آسیب‌پذیری آن را متوجه می‌شویم و آن را گوشزد می‌کنیم. افراد یا سازمان‌ها ممکن است با انگیزه‌های مختلفی اعم از اقتصادی، اجتماعی، فرهنگی و سیاسی این نفوذ یا حملات را انجام دهند. براساس ورودی‌های پروند‌ه‌هایی که در پلیس سایبری داریم، حملات انجام‌شده در شبکه بانکی، توسط اشخاصی انجام می‌شود که انگیزه مالی دارند. حملات آنها، بیشتر فیشینگ یا دسترسی به اطلاعات است که پیرو آن، باج‌خواهی صورت می‌گیرد و بحث باج‌افزارها نیز در اینجا مطرح می‌شود.

*روزهای گذشته، خبری در خبرگزاری‌های رسمی دنیا منتشر شد. یاهونیوز به نقل از یک منبع آگاه رسمی ایالات متحده اعلام کرد که گویا ترامپ به سازمان سیا برای نفوذ و خرابکاری به زیرساخت‌های ایران اختیار تام داده است. با توجه به رویکرد متخاصم آمریکا در برابر ایران، می‌توان گفت آیا در حالت فعلی، ممکن است به شبکه بانکی ما نفوذ کرده‌ باشند؟ و اصولا باید نگران خرابکاری از سوی این دولت‌ها باشیم یا خیر؟

عباس‌نژاد: سوال خیلی خوبی است. در کشور ما وقتی از تعبیر امنیت سایبری استفاده می‌شود، این اصطلاح بیشتر برای افراد به‌کار می‌رود نه دولت‌های متخاصم. موضوعی که اشاره کردید، از پایان سال 2018 اتفاق افتاده است؛ یعنی از ابتدای سال 2019، نوع دیگری از حملات سایبری را در کشور شاهد بودیم. دستور ترامپ دو تفاوت کلی داشته و محدودیت‌های قبلی را برداشته است. اولین تفاوت این است که نوع حمله، فرق می‌کند و دومی اینکه چه کسانی مخاطب هدف (target) هستند. در حال حاضر، سیا اجازه دارد به راحتی علیه ما حملات سایبری انجام دهد بدون اینکه دستور از کاخ سفید بگیرد در حالی که قبلا باید هماهنگ می‌کردند. بنابراین ما الان باید به بازیگران تهدید که به شبکه بانکی کشور حمله می‌کنند، علاوه بر افراد با انگیزه‌های مالی، یک دولت متخاصم را هم اضافه کنیم. مساله بعدی این است که براساس دستور ترامپ، هدف، ایجاد اختلال و قطع کردن سرویس‌ها (disruption) است. نمونه disruption‌ها، بحث قطع برق یا آشکارسازی اطلاعات محرمانه افراد، اعضا و حتی مشتریان سازمان‌هاست. ما از سال 2009 بعد از استاکس‌نت، نمونه‌های متعددي از حملات دولت متخاصم را به کشور داریم اما با این دستور باید مشکلات جدید و متفاوتی را متصور باشیم. نوع حملات بسیار زیادتر خواهد بود و با توجه به شرایط کشورمان، باید در شبکه بانکی توجه ویژه‌ای به حوزه امنیت سایبری داشته باشیم.

*در ما‌ه‌های گذشته، نشت اطلاعات در صنایع و نهادهای مختلف اعم از دانشگاه‌ها، اپراتورهای مخابراتی، ثبت احوال، استارت‌آپ‌ها و حمل‌ونقل، به‌طور متعدد مطرح شده است. حتی سال گذشته شنیده شد که وزارت رفاه، اطلاعات تمامی مشتریان شبکه بانکی از صدر تا ذیل را از بانک مرکزی خواسته بود و بانک مرکزی در قالب یک سی‌دی این اطلاعات را به وزارت رفاه داده است. آیا شما این موضوع را تایید می‌کنید یا خیر؟ اخیرا نیز این موضوع در ثبت احوال برای وزارت صمت اتفاق رخ داد و اطلاعات در قالب یک سی‌دی در اختیار سازمان دیگری قرار داده و روی اینترنت بارگذاری شد. با این وضعیت، عملا به نشت اطلاعات عادت می‌کنیم! خانم واقفی به نظر شما، با توجه به ذخیره اطلاعات بسیار زیاد شبکه بانکی و محرمانگی این اطلاعات، ابزارهای دفاعی کافی را در کشور داریم؟ آیا شبکه بانکی ما ایمن است؟ البته مثال‌های مطرح‌شده نشان می‌دهد اگر به صورت سیستمی، ایمن هستیم در حوزه پرسنلی ایمن نیستیم. دلایل این اتفاقات چیست؟

واقفی: یکی از زیرساخت‌های جذاب و حیاتی هر کشور، زیرساخت فناوری پولی و بانکی آن کشور است. هر اختلال امنیتی که در این زیرساخت اتفاق می‌افتد بسته به سطح آن، می‌تواند تبعاتی در یک کسب وکار، صنعت یا یک کشور داشته باشد. به نظر من، هنوز در کشور رخداد جدی نداشتیم و آنچه شما اشاره کردید، نسبت به آن چیزی که با توجه به شرایط خاص کشور می‌تواند رخ دهد، طنز کوچکی است! نوع واکنش نسبت به آن موارد و ریشه‌یابی دلایل آن، موجب نگرانی می‌شود. هر اقدامی انجام شود، امنیت صددرصد نخواهیم داشت بنابراین وجود رخدادهای امنیتی و حتی نشت دیتا در تمام دنیا وجود دارد و ما هم از این قاعده مستثنا نیستیم اما علت ایجاد آن چیست؟ آیا تیم هکری پیشرفته به دیتاها دسترسی پیدا کرده‌اند یا اینکه یک دانش‌آموز دبیرستانی به یک آسیب‌پذیری که در چند سال گذشته وجود داشته و مهار نکردیم، دسترسی پیدا کرده است. از دیدگاه بنده، واقعیت این است با توجه به سطح ریسک، اقدامات لازم را در سطح کلان کشور انجام نداده‌ایم. فرایند برخورد با یک رخداد امنیتی باید شفاف باشد. با مواردی که خطرپذیری بالا هم تلقی نمی‌شوند، برخورد سیستماتیک مناسبی نداشتیم و اگر همگرایی بین ساختارهایی که در کشور بدون تحلیل ریسک و بدون اقدام جدی در حوزه طراحی و منابع انسانی، بخش‌نامه و دستورالعمل در حوزه دیتا صادر می‌کنند، انجام نشود، انتظار سونامی در نشت واقعی دیتا را در آینده باید شاهد باشیم. آنچه تا کنون اتفاق افتاده در مقایسه با اتفاق اصلی، چیز زیادی نیست.

*آقای دکتر عباس‌نژاد، آیا شما به واسطه تجربیات‌تان، نمونه‌های دیگری به جز مواردی که ذکر کردم، سراغ دارید؟

عباس‌نژاد: در تحول دیجیتال در حوزه بانکی، همان‌طور که خانم واقفی فرمودند، هنوز اتفاقی نیفتاده است. اما اینکه در سال‌های گذشته در صنعت بانکی و در حوزه پولی و اعتباری در کشور اتفاقی افتاده یا خیر، باید عرض کنم اتفاق افتاده است؛ شاید برخی از آنها خبری و رسانه‌ای نشده باشد یا کنترل شده باشد اما مدیرانی که در همین پادکست حضور دارند، یادشان هست که اتفاقاتی رخ داده است؛ یکی از این موارد، شرکت انیاک و افشای اطلاعات کارت‌های بانکی بود که مردم مجبور به تعویض رمز شدند. این، یک نمونه ساده است. همچنین مواردی که نقل‌وانتقال پول به دلیل آسیب‌پذیری شبکه بانکی -نه به دلیل فیشینگ و نظایر آن- وجود داشته که در بانک‌های بزرگ کشور اتفاق افتاده است. هرچند در حال حاضر با خارج از کشور، ارتباط مالی چندانی نداریم و امکان اینکه پول در کشور دیگری نقد شود، چندان وجود ندارد اما روش‌هایی برای استفاده از این پول‌ها وجود دارد. اگر بگوییم ریسک، پارامتری از احتمال وقوع در شدت اثر است، احتمال وقوع آن زیاد است و بعید می‌دانم بانکی وجود داشته باشد که اعلام کند چنین تجربه‌ای را نداشته است. با این وجود فکر می‌کنم تمام اتفاقاتی که رخ داده، نسبت به اتفاقاتی که می‌توانست ایجاد شود، چندان جدی نیست. با این حال، به دلیل شرایط خاص کشور از نظر سیاسی، جغرافیایی و اقتصادی در نقطه‌ای هستیم که باید توجه بیشتری به امنیت سایبری شود به دلیل اینکه دولت متخاصم هم نگاه جدی به این حوزه دارد و به دنبال این است که شبکه پولی و بانکی کشور را دچار مشکل کند.

*برخی بانک‌های خارجی در اقدامات نوآورانه، موضوع امنیت خود را به شرکت‌های دیگر، برون‌سپاری می‌کنند. البته برخی بانک‌های داخلی نیز در حال حرکت به این سمت هستند. جناب معظمی، نظر شما به عنوان پلیس در این حوزه چیست؟ آیا برون‌سپاری‌ها عامل تهدید نیستند یا اینکه قابل مدیریت هستند؟

معظمی گودرزی: متاسفانه این برون‌سپاری‌ها، بدون لحاظ کردن تمهیدات امنیتی صورت گرفته و یک‌سری بانک‌ها این اقدام را انجام داده‌اند. ما براساس گزارش رخدادهای دریافتی، موضوعات را دسته‌بندی کردیم و متاسفانه ایرادات زیرساختی به این موضوع وارد است. ما در بالاترین سطوح لازم، استانداردهای امنیتی را از بانک‌ها مطالبه می‌کنیم، غافل از اینکه بخش اعظمی از دیتا که در بالاترین سطح محرمانگی قرار دارد در اختیار شرکتی است که هیچ تمهیدات امنیتی را رعایت نمی‌کند و اتفاقاتی رخ می‌دهد که برای ما به عنوان پلیس بهتر قابل لمس‌ است. چند نمونه از مشکلات برون‌سپاری امنیت در شبکه‌های بانکی را تشریح می‌کنم.

اولین نکته، عدم چابکی در بهینه‌سازی سیستم‌ها در شرکت‌های برون‌سپاری است. مثلا وقتی به بانک‌ها گفته می‌شود OTP یا رمز پویا را روی اینترنت بانک اجرا کنید، باید با آن شرکت مذاکره کنند که ممکن است چندین ماه طول بکشد و هزینه‌های هنگفتی هم بپردازند و نهایتا زمان مشخصی برای انجام آن به ما اعلام نمی‌شود. در حالی که هر روز پرونده‌هایی را شاهد هستیم زیرا جرایم به این سمت، تغییر یافته‌اند. متاسفانه این کار منوط به شرکت‌هایی شده که چندان چارچوب‌های امنیتی را نیز رعایت نمی‌کنند.

دومین نکته، خطر نشت اطلاعات در برون‌سپاری اطلاعات به سایر شرکت‌هاست. در مواردی، اطلاعات محرمانه در اختیار شرکت‌هایی بوده که برون‌سپاری شده و مشاهده شده که اطلاعات به صورت آشکار در اختیار آنها قرار می‌گیرد و افرادی که هیچ‌گونه تاییدیه امنیتی ندارند به محرمانه‌ترین اطلاعات آن بانک دسترسی دارند. یک کارمند ناراضی می‌تواند اطلاعات را استخراج و باج‌خواهی کند. همچنین پروتکل‌ها و استانداردهای امنیتی به‌هیچ عنوان از سوی این شرکت‌ها رعایت نمی‌شود.

سومین نکته عدم توجه به قراردادهای منعقدشده است. متاسفانه در برخی بانک‌ها، اشراف لازم روی حقوق فناوری وجود ندارد و بدون توجه به محتوای قرارداد، بالاترین سطح دسترسی آن شرکت برون‌سپاری‌شده به کُر وجود دارد که این امر، محرمانگی، اطلاعات خصوصی مردم و امنیت ملی را خدشه‌دار می‌کند.

چهارمین نکته این است که هرچند بسیاری از بانک‌ها فعالیت‌های مناسبی در این زمینه دارند و با پلیس هماهنگ هستند اما متاسفانه برخی بانک‌ها، با بعضی شرکت‌ها قرارداد می‌بندند و بر آن پافشاری می‌کنند. وقتی آسیب‌شناسی صورت می‌گیرد، تبانی‌هایی با برخی پیمانکاران مشاهده می‌شود. افرادی که در این شرکت‌ها هستند، قبلا در این بانک فعال بودند و امنیت خدشه‌دار می‌شود.

پنجمین نکته مشکل ساختاری در بحث برون‌سپاری است که به حوزه ساختاری بانک‌ها برمی‌گردد. امیدواریم رگولاتورهای مربوطه در این حوزه، دستورالعمل جامع‌تر و قابل اجرا صادر کنند. مستحضر هستید که امور فناوری تمام بانک‌ها فعال است اما در کنار آن باید حوزه امنیت از نظر ساختاری زیرنظر بالاترین رده بانکی یعنی مدیرعامل باشد. در حالی که حوزه امنیت یا در دل فناوری است یا بنا به دلایلی بسیاری از حملات گزارش نمی‌شوند یا امنیت در بانک‌ها، زیرنظر حراست و بازرسی قرار گرفته است. این ایراد ساختاری برای پلیس فتا، نگرانی ایجاد کرده و موجب شده برخی موضوعات، گزارش نشود و تناقضاتی در آمار داشته باشیم.

ششمین نکته، کارمندان ناراضی بانک‌ها هستند. این کارمندان، می‌توانند بیشترین ضربه را بزنند زیرا مسیرها را می‌دانند و دسترسی‌هایی دارند. در این زمینه، جمع کردن اتفاقاتی که رخ می‌دهد، بسیار دشوار است.

اگر این موارد در قالب پروتکل‌های امنیتی توسط بانک‌ها رعایت شود، قطعا شاهد بانکداری امن‌تر خواهیم بود و پلیس فتا نیز در کنار بانک‌هاست تا امنیت را روزبه‌روز ارتقا دهد.

عباس‌نژاد: درباره اظهارات جناب سرهنگ معظمی و موضوع برون‌سپاری حوزه امنیت از سوی بانک‌ها، یک مساله خیلی مهم است. ریسک آبرویی و ریسک امنیت، قابل انتقال نیست؛ یعنی بانک نمی‌تواند با واگذاری خدمات امنیتی به شرکت‌های پیمانکار، ریسک امنیتی را به آن شرکت منتقل کند زیرا هرچه ضمانت‌های مختلف اخذ شود، به هر حال آبروی یک بانک و امنیت کاربران آن مطرح است. آنچه بانک منتقل می‌کند، فرایندهای عملیاتی است. اینکه متاسفانه بانک‌ها در انتخاب پیمانکار حوزه امنیت اطلاعات، روال‌های درستی را انتخاب نمی‌کنند بنده نیز قبول دارم و باید تصحیح شود. در کشور ما، سازوکارهایی برای انتخاب شرکت‌های امنیتی معتمد مانند مرکز راهبردی افتا وجود دارد که شرکت‌های امنیتی را از نظر خدمات طبقه‌بندی کرده و این شرکت‌ها تحت نظارت فنی و امنیتی هستند تا هم کارشان را درست انجام دهند و هم افرادی را استخدام کنند که متبحر و قابل اعتماد باشند.

مورد دوم یعنی مشکل ساختاری که اشاره شد، نیز کاملا درست است. ساختار امنیتی باید ساختاري مستقل باشد. امنیت هیچ‌گاه برای سازمان، ارزش جدیدی ایجاد نمی‌کند. هدف امنیت، از بین نرفتن سایر ارزش‌های یک سازمان است. بنابراین اگر امنیت در زیرمجموعه واحد فناوری باشد، در نهایت موضوع به مدیر فناوری اطلاعات ارجاع می‌شود و وی مشکل را گزارش نمی‌کند اما با توجه به اینکه ما به سمت تحول دیجیتال و وابستگی بیشتر به سمت فناوری اطلاعات حرکت می‌کنیم، اگر ساختار جداگانه‌ برای امنیت وجود داشته باشد، این مشکلات باید به سرعت گزارش شود تا مدیران ارشد بانکی فورا آن را حل کنند. این مشکل ساختاری با کمک رگولاتور یعنی بانک مرکزی، می‌تواند هرچه سریع‌تر حل شود.

*در کشورهای پیشرفته با سیستم بانکی کارآمد، یکی از ارکان موفقیت حوزه بانکی، رگولاتورهای شبکه بانکی هستند. به عنوان فردی که سال‌ها در این حوزه فعالیت داشته‌اید، نقش رگولاتور را در حوزه امنیت سایبری چقدر جدی می‌دانید، آیا تاکنون نقش خود را به خوبی ایفا کرده است؟

واقفی: خوشبختانه در چند سال اخیر، بحث امنیت سایبری در کشور تا حدی موردتوجه بوده و نهادها و سازمان‌های مختلفی نیز در این حوزه در بخش متولی‌گری آن وارد شده‌اند اما نکته اینجاست که آیا با توجه به موارد دارای ریسک و خطرپذیری بالا، برنامه‌ریزی کرده‌ایم و به تدوین قوانین پرداخته‌ایم یا خیر؟ این موضوع، بحث مفصلی می‌طلبد. قطعا رگولاتور نقش بسیار مهمی در حوزه امنیت دارد و البته یک چاقوی دولبه است. اگر قوانینی داشته باشیم که به شدت سختگیرانه باشد یا کار تخصصی روی آن انجام نشده باشد، می‌تواند ریسک بزرگ‌تری ایجاد کند. اگر به حوزه صنعت بانکی دنیا نگاه کنیم، می‌بینیم که چقدر در این حوزه خلأ بانکی داریم. این خلأهای قانونی، موجب شده مشتریان سرویس‌های بانکی کسانی باشند که با ریسک‌ها و چالش‌های جدی مواجه شوند؛ مثلا در بانکداری باز در دنیا چند سال در حوزه PSP2 کار می‌کنند و بعد وارد حوزه تکنیکال آن می‌شوند. ما در ایران، دو سه سال در بحث بانکداری باز از نظر فنی کار می‌کنیم و چهارپنج روز هم در زمینه رگولیشن کار می‌کنیم؛ این مثال، تفاوت نگاه را در حوزه‌های مختلف در ایران و دنیا نشان می‌دهد، بنابراین ما نیازمند اصلاح قوانین هستیم که متخصصان روی آن کار کنند. نمونه دیگر، قانون GDPR اروپا، در حوزه حریم خصوصی است. در کشور ما، اطلاعات یک مشتری بانکی بدون اجازه وی در اختیار دیگری قرار می‌گیرد در صورتی که در GDPR نسبت به این موضوعات، بسیار سختگیرانه برخورد می‌شود، بنابراین ما در حوزه فناوری طی یک دهه گذشته یا در 15 سال قبل، پیشرفت خیلی خوبی داشته‌ایم اما متناسب با آن، هنوز نتوانسته‌ایم الزامات، قوانین، ساختارهای اجرایی و حسابرسی‌های IT را ایجاد کنیم. این امر، یکی از نقاط آسیب‌پذیر ماست که باید انرژی بیشتری برای بهبود آن گذاشته شود. ضمن اینکه رگولاتور لزوما نباید فقط سند بدهد. ما در بسیاری از زیرساخت‌ها که نیاز اصلی امنیت است، عقب هستیم مثلا 15 سال است که وضعیت امضای دیجیتال مشخص نیست. این موارد موجب می‌شود در فضاهای فنی و امنیتی به شدت دچار چالش شویم.

*ما در شماره اخیر هفته‌نامه عصر ارتباط، گزارشی را درباره شاپرک منتشر و نقش این نهاد را در نظارت بر عملکرد PSPها بررسی کردیم. به نظر می‌رسد رگولاتور بانکی ما به جای اینکه به دنبال راه‌حل برای رفع مشکلات باشد، بیشتر به دنبال اعمال جریمه سنگین در حوزه تخلفات، اعم از امنیت یا سایر حوزه‌هاست و از این طریق، سعی در مدیریت حوزه امنیت دارد؛ آیا این رفتار منطقی است و با جریمه کردن حل می‌شود؟

واقفی: بنده این رگولیشن را هنوز ملاحظه نکردم و بنابراین اظهارنظر من، قطعی نیست اما یک نکته مهم وجود دارد. برخی مواقع قانون بد صدمات بیشتری از نبود قانون ایجاد می‌کند. قطعا در تمام دنیا، جرایم وجود دارد و یکی از راهکارهای برخورد، جرایم است اما اینکه این جرایم، متناسب با جرم است یا خیر؟ و اینکه آیا این جرم توسط آن افراد یا شرکت‌ها و سازمان‌ها، قابل پیشگیری و مدیریت است یا خیر؟ قطعا باید در مقررات‌گذاری دیده شود. اولین بحث در امنیت، شفاف‌سازی نقش‌ها و مسوولیت‌هاست. اگر با مسوولیتی که داده شده، واقعا آن شرکت یا سازمان می‌تواند جلوی تخلفات را بگیرد و این کار را انجام نمی‌دهد، باید جریمه شود وگرنه حتما قانون دچار ضعف است که موجب ایجاد این فضا شده است.

*در حوزه واگذاری‌های API کارت به کارت به بعضی از شرکت‌ها، اتقاقات بدی رخ داد و اطلاعات بسیاری از مردم منتشر شد و سوءاستفاده‌هایی از آن صورت گرفت اما چندان رسانه‌ای نشد. در اینجا مسوولیت API بانک، تماما به عهده بانک گذاشته شده و اگر خطایی اتفاق بیفتد مسوولیت با بانک است. با یکی از مدیران اسبق نظارتی بانک مرکزی صحبت می‌کردم، اشاره داشتند که در این مواقع، بانک را به خاطر کوتاهی در نظارت جریمه می‌کردیم اما با یک تماس با رييس کل یا دیگران در رگولاتور بانکی، این جریمه منتفی می‌شد و عملا زور ما به جریمه نمی‌رسید! راه‌حل دیگر این بود که اصلا چرا این سرویس واگذار شد یا مسیر به شکلی طرح‌ریزی شد که بانک اجازه داشته باشد این سرویس را به هرکس بدون نظارت بدهد. شما اطلاعات کامل‌تری در این زمینه دارید؟

عباس‌نژاد: بنده چون در بخش خصوصی فعالیت می‌کنم به صراحت باید عرض کنم رگولاتور مسوولیت خودش را در زمینه امنیت سایبری اصلا انجام نمی‌دهد. تمام رگولاتورهای بانکی دنیا به طور مستقیم نظارت را انجام می‌دهند و مقررات‌گذاری می‌کنند و چارچوب‌هایی ارايه می‌کنند که پیاده‌سازی شود و رگولاتور آن را آدیت یا ممیزی می‌کند. کما اینکه مثلا راهنمای امنیت شاپرک با ورژن خاص اجازه می‌دهد که PSP‌ها، ممیزی شوند اما آیا درباره سایر نقش‌های بانک‌ها در شبکه بانکی و پولی و مالی، رگولاتور راهکاری ارايه داده است؟ یک نمونه‌اش همین APIهایی است که بانک‌ها در اختیار سایرین قرار می‌دهد و شما اشاره کردید. آیا جریمه بانک، کافی است و به درستی اتفاق می‌افتد؟ آیا قانون مناسبی برای آن وجود دارد؟ آیا به بانک گفته شده اگر قرار است APIها در اختیار دیگری قرار داده شود چه کنترل‌هایی باید روی آن انجام شود؟ زمانی که این اقدامات انجام نشده، طبیعی است که این مشکلات پیش بیاید. در این حوزه‌ها، بانک مرکزی، هیچ کار جدی انجام نداده است. ما در بانک‌ها از تمام نهادهای نظارتی اعم از پلیس فتا، شورای عالی فضای مجازی، مرکز راهبردی افتا وغيره نامه می‌گیریم اما از بانک مرکزی، آن چیزی که مختص امنیت سایبری حوزه بانکی باشد، متاسفانه خروجی مناسبی دیده نمی‌شود.

·        فکر می کنید رویکرد تحول دیجیتال در صنعت بانکی، در بحث امنیت سایبری چه نقشی دارد؟

واقفی: یکی از مباحث رایج این روزها، تحول دیجیتال است که فکر می‌کنیم در اکوسیستم صنعت بانکی می‌تواند به طور جدی تحول‌آفرین باشد که در این رابطه، مفاهیمی مانند بانکداری دیجیتال مطرح می‌شود. طبیعتا تغییر پارادایم‌هایی از سرویس‌های سنتی در حوزه صنعت بانکی به سمت سرویس‌های جدید خواهیم داشت و یک‌سری کلان‌روندهایی مانند هوش مصنوعی، اینترنت اشیا، بلاک‌چین و بحث‌های مرتبط با زیرساخت‌های امنیت استفاده می‌شود. تحول دیجیتال، فقط بعد فناوری ندارد اما متاسفانه فقط به این بعد توجه می‌شود و ابعاد مرتبط با مدل کسب وکار، ساختار، فرایند، ریسک وغيره چندان موردتوجه نیست. همزمان با صحبت از مفاهیم جدید در بانکداری، نگاه‌ماه را باید از حوزه مدیریت سنتی امنیت به راهکارهای نوین امنیت ببریم و راهبردها و مدل‌های کسب‌وکار ما با بحث‌های جدید امنیت بازنگری شود. به نظر می‌رسد که می‌توانیم از حوزه هوش مصنوعی برای ظرفیت تحلیل کلان‌داده‌ها  و از این موضوع، برای بحث‌های مرتبط با امنیت استفاده کنیم. یکی از این موارد، سامانه‌های مدیریت تقلب و پولشویی است که می‌توان از مباحث ماشین لرنینگ و تحلیل دیتا استفاده کرد و موارد تقلب و پولشویی را به صورت دینامیک مبتنی بر ریسک شناسایی کرد. اینها مواردی است که باید همزمان به آن توجه کرد و در لایه‌های زیرین بانکداری دیجیتال و تحول دیجیتال مدنظر قرار گیرد. هنوز موضوعاتی مانند امضای دیجیتال و احراز هویت دیجیتال که ستون‌های بانکداری دیجیتال هستند، بلاتکلیف است و وضعیت مناسبی در این زمینه نداریم. در این فضا، واقعیت این است که اگر به تحول دیجیتال فکر می‌کنیم این موضوع باید در امنیت هم دیده شود تا کل این زنجیره ارزش، قابلیت تولید ارزش واقعی را داشته باشد. در غیر این صورت، تنها میزگرد و صحبت خواهد بود اما در عمل تحول خاصی را در حوزه صنعت مشاهده نخواهیم کرد.

·        طبق نظرات خانم واقفی، بحث تحول دیجیتال با امنیت سایبری گره خورده است. مشکلات موجود در این عرصه، به دلیل ضعف بانک‌هاست یا شرکت‌های خصوصی یا اینکه اصلا این موضوع، در اولویت رگولاتور نیست؟ آیا امنیت سایبری می‌تواند یکی از عوامل موفقیت در تحول دیجیتال باشد یا خیر؟

عباس‌نژاد: یکی از گزارش‌هایی که در امنیت سایبری بسیار به آن رجوع می‌کنیم، گزارش (DBIR) Data Breach Investigations Report است که هر سال به‌ وسیله Verizon منتشر می‌شود. براساس گزارش سال 2020، تعداد 3950 نفوذ که در دنیا اتفاق افتاده، از دیدگاه‌های مختلف، موردبررسی قرار گرفته است. یکی از نکات مهم گزارش، این است که 80 درصد حملات، اهداف مالی داشتند. بنابراین صنعت بانکی بهترین هدف برای کسانی است که قصد سوءاستفاده دارند. باید بپذیریم احتمال اینکه شبکه بانکی موردسوءاستفاده قرار گیرد، بسیار زیاد است. آمار دیگر این گزارش نشان می‌دهد 72 درصد حملات در کسب‌وکارهای بزرگ انجام می‌شود. از آنجا که حوزه بانکی جزء کسب‌وکارهای بزرگ محسوب می‌شود باز هم احتمال وقوع حملات در صنعت بانکی بیشتر است. بنابراین باید برای آن فکر اساسی صورت گیرد. در این زمینه، رگولاتور باید نقش خود را کلیدی‌تر ایفا کند. همچنین این سوال، مطرح می‌شود که آیا باید امنیت سایبری را یک عامل کلیدی بدانیم یا خیر؟ در پاسخ باید عرض کنم وقتی برای بانک یک مشکل امنیتی ایجاد می‌شود، اعتماد کاربران کاهش می‌یابد و سپرده‌های خود را به بانک‌های دیگر منتقل کرده و از بستر الکترونیک در آن بانک کمتر استفاده می‌کنند و به تدریج عدم اطمینان ایجاد می‌شود. همچنین اگر به وب‌سایت یک بانک حمله شود، ممکن است هیچ اطلاعاتی از کاربران دچار مشکل نشود و نفوذگر به هیچ دیتایی از کاربران دسترسی نداشته باشد اما کافی است یک عکس بر روی وب‌سایت یا خودپردازهای آن بانک نمایش داده شود که این بانک، قابل اطمینان نیست. در این صورت مشتری، به آن بانک اطمینان نمی‌کند. وقتی به تحول دیجیتال فکر می‌کنیم باید به عنوان یک بعد تاثیرگذار به امنیت سایبری هم فکر کنیم و به همان میزان که بانک‌ها در ارايه خدمات، قدرتمندتر ظاهر می‌شوند، در ایمن بودن آن خدمات نیز باید قوی باشند.

·        البته رگولاتور قبلا هم عنوان کرده که تحت فشار نهادهای نظارتی و پلیس در زمینه اجرای رمز پویا ورود کرد و بانک‌ها را تحت فشار گذاشت. در حال حاضر با استفاده از رمز دوم پویا، چه میزان از تخلفات فیشینگ، مدیریت می‌شود و آن قسمت که مدیریت نمی‌شود، دلیل آن چیست؟

معظمی گودرزی: اقداماتی که پیرو تعامل پلیس فتا، بانک مرکزی و قوه قضائیه درخصوص رمز پویا صورت گرفت، اقدام مناسبی بود. چون ما در حوزه عملیاتی فعالیت می‌کنیم و شاهد پرونده‌های تخلفات و مشکلات مردم در این زمینه هستیم، این موضوع را کاملا درک می‌کنیم. بررسی‌ها و راهکارهایی برای کاهش تخلفات در این عرصه انجام شد. موضوع رمز دوم پویا یا OTP از چندسال پیش موردتوجه بود و با توجه به زیرساخت‌های بومی در بانکداری الکترونیک ما و ارتباط بین اپراتورها و بانک‌ها، به این نتیجه رسیدیم که بهترین راه برای کاهش تخلفات، رمز دوم پویاست. خوشبختانه راه‌اندازی رمز دوم پویا، تاثیرات مثبتی داشت و از آن زمان تاکنون، بالغ بر 50 درصد جرایم فیشینگ کاسته شده که عدد بسیار بالایی است. هر یک شاکی موجب می‌شود هم حوزه بانکی زیرسوال برود و هم مردم مستاصل شوند. با این حال باز هم فیشینگ اتفاق می‌افتد که این موضوع را در تعامل با خود بانک‌ها و بانک مرکزی آسیب‌شناسی کردیم که این موارد نیز در حال مرتفع شدن هستند. یکی از دلایل تداوم فیشینگ، با وجود رمز دوم، همان زمان 120 ثانیه است که اصلاحاتی در این زمینه، در حال انجام است. همچنین در اینترنت بانکِ برخی از بانک‌ها، رمز دوم پویا فعال نیست اما با ورود به فازهای بعدی، چشم‌انداز ما این است که وضعیت بسیار بهتر خواهد شد. از نظر پلیس، ایجاد رمز دوم پویا اقدام بسیار مناسبی بود و امیدوارم با همکاری بانک مرکزی، اقدامات دیگری انجام دهیم که از سایر جرایم نیز جلوگیری شود. در حال حاضر برخی جرایم به سمت کلاهبرداری‌های اینترنتی، اسکیمرها وغيره تغییر مسیر داده‌اند که امیدوارم در این زمینه نیز بتوانیم اقدامات پیشگیرانه مناسبی را  انجام دهیم.

·        هر تحولی در سازمان نیاز به سیاست‌گذاری‌های مناسب در ابتدای طراحی سیستم دارد. در فرایند تحول دیجیتال، براساس اظهارات مطرح‌شده قبلی، امنیت و قابلیت اعتماد به عنوان یکی از عوامل کلیدی موفقیت مطرح شد. خانم واقفی! وضعیت بانک‌های کشور و شبکه پرداخت الکترونیک در لایه سیاست‌گذاری امنیت را از زبان شما بشنویم.

واقفی: همان‌طور که عرض کردم به خاطر نگاه سنتی به امنیت، آن را یک‌سری کنترل‌های ایستا  و از جنس QC می‌دیدیم که وقتی محصول یا سرویسی آماده می‌شود، کنترل عملیاتی روی آن صورت می‌گیرد. این نگاه، با وضعیت امروز همخوان نیست. امنیت زمانی می‌تواند موفق باشد که جزئی از کل چرخه حیات طراحی، تولید و عملیاتی‌سازی سرویس باشد. در عقد قرارداد با یک پیمانکار، تولید و برون‌سپاری، باید دانش متخصص امنیت سایبری را داشته باشیم. بحث کدنویسی امن باید برای محصول موردتوجه قرار گیرد. اگر اینها نهادینه نشود، به مشکل برمی‌خوریم. باید انعکاس این موارد را در سیاست‌های سازمان مشاهده کنیم. اگر این موارد در سیاست‌های سازمان شفاف باشد، می‌توان انتظار پیگیری و اجرا داشت تا تضمینی برای بحث امنیت باشد اما در غیر این صورت اگر بخشی از زنجیره دچار آسیب شود، اتفاقاتی که نباید رخ دهد، در سرویس‌ها روی می‌دهد در حال حاضر، توجیه مدیران ارشد برای خرید ابزارهای مختلف، بسیار راحت‌تر از توجیه این موضوع است که در عقد قرارداد با شرکت دیگر به عنوان شخص ثالث باید فرایند امنیت و ریسک‌ها دیده شود. این موارد باید در کل صنعت بانکی موردتوجه باشد و اصلاح شود وگرنه حوزه فناوری به تنهایی نمی‌تواند موجب شود پاشنه آشیل این صنعت موردهدف قرار نگیرد.

·        نقش رگولاتور در مواردی که خانم واقفی اشاره کردند، چیست؟ آیا در اسناد بالادستی امنیت در شبکه بانکی، تاکنون کاری انجام شده است؟

عباس‌نژاد: به نظرم رگولاتور در این عرصه، چندان فعال وارد نشده و بنابراین مدیران ارشد بانک‌ها نیز چندان توجه نمی‌کنند. در حال حاضر در بانک‌ها نگاه به امنیت، در واحد فناوری، صرفا فنی است. امنیت، فقط تکنولوژی نیست بلکه مردم و فرایند هم جزئی از آن هستند که در این دو حوزه، رگولاتور نقش خود را در عرصه‌های اطلاع‌رسانی، آموزش، منابع انسانی و  اینکه چه فرایندهای سیستماتیکی برای استقرار امنیت لازم است، به خوبی انجام نمی‌دهد. علاوه بر تکنولوژی، مردم و فرایند، عامل مهم دیگر حاکمیت است؛ یعنی مدیران ارشد بانک باید در امنیت دخیل باشند. در تمام این موارد، رگولاتور باید ایفای نقش کند و مدیران ارشد بانک را توجیه نماید. عمده مشکلات ما در شبکه بانکی در حوزه امنیت در سال‌های اخیر، الزاما موارد فنی نبوده بلکه عدم کنترل مناسب پیمانکار بوده است. در این زمینه رگولاتور باید دستورالعمل و راهنما داشته باشد و ممیزی کند و بانک را کنترل نماید و در نهایت یک مدیر ارشد بانکی باید درگیر شود تا امنیت به خوبی پیاده‌سازی گردد.

·        درباره امنیت بومی در کشور صحبت‌های مختلفی مطرح می‌شود. تجربیات مختلف در حوزه‌های نظامی و دفاعی کشور، بیانگر موفقیت‌های بسیاری بوده است. نظرتان درباره استفاده از توان و دانش داخلی در محصولات امنیت داخلی در شبکه بانکی کشور چیست؟

واقفی: نکته اصلی سوال شما، همان اعتماد است. هنوز این اعتماد شکل نگرفته است. ممکن است بخشنامه و ابلاغیه از سازمان‌های بالادستی مبنی بر استفاده از یک ابزار داخلی وجود داشته باشد اما وقتی داخل سازمان، درباره حوزه‌هایی که باید در طراحی از این ابزارها استفاده کنند، وارد تعامل با همکاران شوید، عموما با این توجیه مواجه می‌شوید که اگر با استفاده از این ابزار، سرویس، دچار مشکل شود، آیا پاسخگو هستید؟! در این حالت، مجبور به عقب‌نشینی می‌شوید. این امر، نشان می‌دهد اگر قرار است توان داخلی را تقویت کنیم، راه‌حل فقط نامه‌نگاری با سازمان‌ها و اجبارِ بخشنامه‌ای نیست بلکه باید نیروهای متخصصِ لایه‌های کارشناسی را متقاعد و این اعتماد را ایجاد کنیم. این موضوع، جای کار زیادی دارد و در بیشتر صنایع کشور، اصلا شکل نگرفته است

.بخش دوم