در میزگرد آنلاین رویکرد مدیریت امنیت در تحول دیجیتال مطرح شد:

احتمال سونامی نشت اطلاعات بانک‌ها در آینده

کاهش بیش از 50 درصدی فیشینگ با اجرای رمز دوم پویا

احتمال سونامی نشت اطلاعات بانک‌ها در آینده

بخش دوم

      آقای دکتر اینالوئی سوالی مطرح کرده‌اند مبنی بر اینکه بسیاری از بانک‌های بزرگ کشور، از وی‌ست (VSAT) برای ارايه خدمات بانکی استفاده می‌کنند. شاید در نقاطی که امکان ارتباطی برقرار نیست یا شاید هم به عنوان بک‌بن (Backbone). ایشان معتقدند چون ما روی ترانسپوندرهای ماهواره‌ای کنترل چندانی نداریم، ممکن است این موضوع، موجب نشت اطلاعات شود. در این زمینه چرا هیچ اقدامی انجام نمی‌شود؟

واقفی: وی‌ست که در برخی از زیرساخت‌های بانکی استفاده می‌شود، در حوزه back up و ویژه فضاهایی است که دسترسی به شبکه‌های زمینی نداریم. بنابراین دیفالت ارايه سرویس‌های بانکی ما، روی زیرساخت‌های ملی کشور است و خوشبختانه طی یکی دو سال گذشته که دوستان پدافند، مانورهای خوبی در حوزه شبکه ملی اینترانت کشور برگزار کردند، موجب شد بانک‌ها تا حد زیادی سرویس‌های خودشان را به این حوزه منتقل کنند. در شرایط خاص که شبکه زمینی، قطع شود و امکان سرویس‌دهی نداشته باشیم، ممکن است فقط سرویس شعب برای چند ساعت روی وی‌ست، سوئیچ کند که رمزگذاری‌شده است و اگر تحلیل ریسک انجام شود، در مقایسه با ریسکی که در حوزه‌های دیگر داریم، از نظر من قابل چشم‌پوشی است. بحث استمرار سرویس‌دهی نیز از شاخه‌های اصلی امنیت است که نمی‌توان از کنار آن گذشت.

·        آیا شرکت‌های دانش‌بنیان در حوزه امنیت، اقدام خاصی انجام داده‌اند؟ و راه حلی برای اعتماد به راهکارهای داخلی وجود دارد یا اینکه همانند خرید اجناس و کالاها، تمایل به مسیرها و راهکارهای خارجی است؟

عباس‌نژاد: محصول خارجی در حوزه امنیت سایبری، معمولا یا محصولات آمریکایی است یا اسرائیلی و متاسفانه عمدتا اسرائیلی است. پس اگر محصول امنیتی آمریکایی خریداری می‌کنیم، مانند این است که یک تجهیز امنیتی خریداری کرده‌ایم که جلوی اسرائیل را بگیریم که اتفاقا خود محصول، اسرائیلی است! این موضوع را باید به صورت پیش‌فرض بپذیریم.

مهم این است که ما امنیت را ایجاد می‌کنیم که جلوی هکر داخلی را بگیریم تا از شبکه بانکی سوءاستفاده نکند و یا جلوی یک دولت متخاصم را می‌گیریم که خودش آن را ایجاد کرده است. مثال می‌زنم. چند روز پیش یک آسیب‌پذیری روی سرویس‌ DNS در پلتفرم‌های سرورهای مایکروسافتی پیدا شد. این آسیب‌پذیری، 17 سال است که در سیستم‌های مایکروسافت وجود دارد؛ یعنی از زمان ویندوز 2003 تا امروز! ما نیز از سیستم‌های عامل مایکروسافتی در شبکه بانکی زیاد استفاده می‌کنیم. آیا در 17 سال گذشته ما آسیب‌پذیر بوده‌ایم؟ پاسخ مثبت است. آیا کسی نمی‌دانسته این آسیب‌پذیری وجود دارد؟ قطعا بسیاری می‌دانستند و از آن در زیرساخت‌های ما سوءاستفاده می‌کرده‌اند اما ما نمی‌دانستیم. بنابراین باید بپذیریم چنین مواردی می‌تواند وجود داشته باشد. بسیاری از تجهیزاتی که خریداری می‌کنیم عجیب است که علی‌رغم تحریم‌ها، چگونه می‌توانیم یک تجهیز امنیتی جدی خریداری نماییم و در زیرساخت‌های کشور نصب کنیم؟ اینکه ما توان داخلی برای تولید این تجهیزات را داریم یا خیر، بحث دیگری است.

درخصوص توانایی شرکت‌های داخلی، به نظرم شرکت‌های دانش‌بنیان در کشور ما طی سال‌های گذشته تلاش‌های زیادی انجام داده‌اند. ما در حوزه دفاعی و نظامی کشور به تولید ملی اعتماد کردیم و باید به حوزه محصولات امنیتی داخلی کشور نیز اعتماد کنیم. اعتماد این نیست که تمام زیرساخت‌ها منتقل شود. ما باید اجازه و فرصت به شرکت‌های دانش‌بنیان بدهیم که محصولات‌شان را ارايه کنند و بعد از تست در آزمایشگاه و کنترل آن، در شبکه بانکی مورد استفاده قرار گیرد. قطعا امنیت سایبری، در حوزه تکنولوژی است و در حوزه تکنولوژی، این امکان وجود دارد که تست گرفته و کنترل شود و سپس در شبکه بانکی قرار گیرد. متاسفانه بانک‌های کشور، فرصت ایجاد نمی‌کنند تا این امر اتفاق بیفتد. هوآوی در چین بزرگ ترین سرویس‌دهنده مخابراتی است و در حوزه 5G، هوآوی، لیدر دنیاست و تقریبا همه استانداردهای اصلی حوزه 5G را توسعه داده‌اند. در چین به هوآوی اعتماد شد که این کار را انجام دهد، برای آن هزینه شد، تست کردند و به آن فرصت دادند که فعالیت کند. وقتی صحبت از جهش تولید و حمایت از محصول بومی مطرح می‌شود، یکی از نقاط قابل اعتماد، امنیت سایبری است و خوشبختانه شرکت‌های فناور دانش‌بنیان خوبی در کشور ما وجود دارند که قادرند امنیت سایبری را حداقل برای حوزه بانکی شروع کنند و به نظرم در آینده می‌توانند موفق شوند.

·        در اظهارات‌تان از هوآوی صحبت کردید. هفته پیش خبری منتشر شد که بریتانیا به خاطر استفاده از چیپ‌ست‌های جاسوسی در تجهیزات 5G، هوآوی را از بازار ارتباطی خودش اخراج کرده و به آن اجازه فعالیت نمی‌دهد. به نظر می‌رسد ما هم در این حوزه، تجهیزاتی را استفاده می‌کنیم اما اینکه بر روی این تجهیزات قبل از استفاده در شبکه بانکی از طریق آزمایشگاه وغيره تست امنیتی ‌شود که بعدا مشکلی پیش نیاید، مهم است. نکته دیگر اینکه به خاطر تحریم‌ها، بسیاری از این تجهیزات از مسیرهای قاچاق وارد کشور می‌شود. آیا این تجهیزات زمانی که بانک‌ها قصد استفاده از آن را دارند، به آزمایشگاه داده می‌شود یا خیر؟ آقای اینالو‌ئی هم در گروه سوال کرده‌اند که جایگزین سیسکو و اچ‌پی در حال حاضر چیست؟

عباس‌نژاد: هوآوی برای چینی‌ها یک مزیت رقابتی است؛ همچنان که برای ما مهم است سامانه پدافندی S300 یا S400 بخریم. طی هفت هشت سال آینده، وابستگی به حوزه فناوری اطلاعات، آن‌قدر زیاد می‌شود و مساله امنیت سایبری آن‌قدر جدی می‌شود که همان چیزی که درباره سامانه S300 یا S400 وجود دارد، همان موضوع نیز درباره امنیت سایبری مطرح خواهد شد. هوآوی مزیت رقابتی زیادی ایجاد کرده و بسیاری از کشورهای دنیا، از آن استفاده می‌کنند. شک نکنید چین هم ابزار شنود و جاسوسی وغيره را در فناوری‌های خود دارد. همه دولت‌ها دارند و طبیعی است که چنین اتفاقی رخ دهد. آیا محصولات آمریکابی مانند سیسکو، اچ‌پی، آی‌بی‌ام وغيره هیچ‌کدام بکدور (Back Door) ندارد. فارغ از این موارد، تجهیزات امنیتی مورداستفاده مانند Fortinet که در شبکه بانکی کشور بسیار متداول است، در دو سال اخیر انواع بکدور، مشخصا به خواست تولیدکننده روی آن قرار گرفته است. این موارد، حتما آسیب‌پذیری‌های جدیدی را نیز ایجاد می‌کند. پس نمی‌توان گفت تجهیزات خارجی این مسائل را ندارند. اینکه آیا این موارد کنترل می‌شود یا خیر، در حوزه کل فناوری اطلاعات، اطلاعی ندارم اما در حوزه تجهیزات امنیتی، پنج آزمایشگاه حوزه امنیت سایبری داریم که با مجوز مرکز راهبردی افتا کار می‌کنند و تجهیزات امنیتی وارداتی، در این آزمایشگاه‌ها تست می‌شود. اینکه توانمندی کافی در آزمایشگاه برای شناسایی این آسیب‌پذیری وجود دارد یا خیر، مساله مهمی است که باید بررسی شود. موضوع دیگر اینکه آیا تجهیزاتی که به کشور ارسال می‌شود، counterfeit hardware نیستند. مثلا اگر سیسکو وارد می‌کنیم، ممکن است ورژن دیگری از سیسکو باشد که مخصوصا مشکل داشته باشد.

درباره سوال آقای اینالوئی هم عرض کنم همکاران شبکه بانکی باید در نقطه‌ای به شرکت‌های دانش‌بنیان اعتماد کنند. گرانی هر روزه قیمت دلار، بیشتر ما را به این سمت‌وسو سوق می‌دهد که به شرکت‌های داخلی اعتماد کنیم. در حوزه تجهیزات امنیتی، شرکت‌های ما به نقطه‌ای رسیده‌اند که در حوزه‌هایی قادرند نیازمندی‌های کشور را مرتفع کنند مشروط بر اینکه براساس نیازمندی‌های واقعی حرکت کنیم. البته ممکن است زمانی تجهیزاتی از شرکت داخلی خواسته شود که لیست امکانات آن، کاملا یک تجهیز آمریکایی است در این صورت، سال‌ها تلاش هم فایده نخواهد داشت.

·        دکتر مرتضی ترک‌تبریزی، عضو هیات مدیره بانک تجارت که در لایوکست حضور دارند، درخصوص مباحث مطرح‌شده، نکاتی مدنظر دارند. در خدمت‌تان هستیم.

ترک‌تبریزی: وضعیت ما در کشور، جنگی است و دائما دچار مشکلات مختلف امنیتی در فضای آی‌تی هستیم. همه بانک‌ها بخش امنیت دارند و پروژه‌های مختلفی را در قالب آن دنبال می‌کنند و همگی نیز تحت فشار هستند. یک روز برای سهام عدالت، یک روز برای راه‌اندازی سامانه سیاح و نظایر آن. همه این پروژ‌ه‌ها با فشار، به معاون فناوری ارجاع می‌شود و باید به سرعت آن را با لحاظ کردن امنیت در فضای امن راه‌اندازی نماید که همواره از سوی بخش‌های امنیت در همان بانک با چالش مواجه است و مدام از طریق مدیرعامل یا بیرون بانک فشار وارد می‌شود که سریع‌تر ایجاد شود. بخش امنیتی همه بانک‌ها زیرنظر مدیرعامل است اما واقعا مدیرعامل یک بانک چقدر می‌تواند برای بخش امنیت که با چالش‌ها و موضوعات بسیار زیاد مواجه است، وقت بگذارد؟ ما هفته‌ای یکی دو روز مشکل DDOS (منع سرویس)، حمله به سایت، فیشینگ وغيره را داریم و همواره نیز ریسک و مسوولیت کار برعهده بانک است! اما واقعا مراجع دیگر، غیر از بانک نباید کاری انجام دهند؟ درخصوص قوانینی مانند GDPR چقدر باید صبر کنیم که ضربه بزرگ بخوریم تا بین چند سازمان حاکمیتی توافق صورت گیرد و بانک‌ها درخصوص بحث‌های دیتا این‌قدر عذاب نکشند. بنابراین موضوعات زیادی وجود دارد که بانک‌ها نیز قادر به انجام وظایف خود نباشند.

الان با بحث مهاجرت در حوزه امنیت مواجه هستیم. واقعا چقدر نیروی انسانی برای جذب در این حوزه با اشل حقوقی موردنظر آنها و اشل حقوقی بانک‌ها در اختیار داریم؟ چقدر قادر هستیم تجهیزات امنیتی را به سرعت خریداری کنیم که موردنیاز زیرساخت ماست و اگر نباشد، هر روز ریسک ما افزایش خواهد داشت؟ چقدر به لایسنس‌ها و مراجع حاکمیتی که نقش مشاور را در قبال بانک‌ها داشته باشند، دسترسی داریم؟ واقعا کمیسیون معاملات بانک‌ها چقدر در حوزه امنیت اعم از تامین مواردی مانند لایسنس‌ها، نیروهای انسانی، تجهیزات وغيره توجیه هستند؟ اینها، ماژول‌هایی است که امنیت را در بانک‌ها می‌سازد. البته بانک، مسوول است اما حتما باید بازیگران دیگری که نیاز است نقش‌شان را به درستی ایفا کنند، وجود داشته باشند تا تمام شبکه بانکی در زمینه امنیت رو به جلو حرکت کنند. این شبکه مانند دومینو است که اگر یک شعبه دچار مشکل شود، تا شعبه آخر بانک با مشکل مواجه می‌شود و تمام معاونان بانک مانند ویبره، شبانه‌روز نگران این موضوع هستند! یک نیروی انسانی پیمانکار بانک، می‌تواند یک بمب ساعتی باشد و یک بانک را دچار مشکل کند در حالی که تایید آن از مراجع بیرونی نیز گرفته شده است. البته در این زمینه واقعا بخش حراست با بخش آی‌تی بانک به شدت هماهنگ هستند. اگر این حلقه‌های گمشده قادر نباشند در این اکوسیستم با هم کار کنند، این خطرات و حملات را خواهیم داشت که در نهایت موجب نارضایتی مشتریان می‌شود و برند بانک‌ها را نیز خدشه‌دار می‌کند. سرویس‌های متعدد آنلاین بانک‌ها بدون آنکه همه بازیگران نقش خود را به درستی ایفا کنند، خصوصا در نقش مشاور، واقعا کاری از پیش نمی‌برند. در پروژه‌هایی که نیازمند مشارکت جمعی از حاکمیت است، باید انرژی بیشتری بگذاریم تا سیستم بانکی نیز وظیفه‌اش را به درستی انجام دهد.

·        بحث موازی‌کاری در حوزه امنیت هم وجود دارد. در این زمینه مرکز ماهر، پدافند غیرعامل و مرکز کاشف در بانک مرکزی را داریم. برخی مواقع این موازی‌کاری‌ها، موجب کندی سرعت عمل می‌شود و اجازه نمی‌دهد اتفاقات به درستی مدیریت شود. نکته دیگر - که البته به خاطر امنیتی بودن، چندان در رسانه‌ها مطرح نمی‌شود – این است که وقتی اطلاعات یک بانک، افشا می‌شود یا تحت نفوذ قرار می‌گیرد، اولین اقدام، محرمانه نگه‌داشتن آن است تا اصلا خبری درز نکند و بلافاصله موضوع، تکذیب می‌شود. البته این هماهنگی بین شبکه بانکی نیز وجود ندارد. نظرتان درباره این موضوع چیست؟ چرا در این زمینه مستندی برای هماهنگی بیشتر بین شبکه بانکی از سوی رگولاتور وجود ندارد؟

ترک‌تبریزی: اگر همان‌طور که میهمانان میزگرد اشاره کردند، امنیت بخش مستقل باشد - که در بانک‌هایی که بنده حضور داشتم، مستقل بوده - در چند سال اخیر، خوشبختانه، ارتباط خوب و مستحکمی با مرکز افتای ریاست جمهوری وجود داشته است؛ یعنی اطلاعات وضعیت بانک، اصلا مخفی نمی‌ماند. آخرین وضعیت امنیتی به اطلاع افتا می‌رسد و از افتا به داخل بانک‌ها. اینکه تعداد سازمان‌های نظارتی ما در حوزه امنیت، بسیار زیاد است، کاملا سخن درستی است اما به هرحال وظایف هرکدام از اینها در قانون، کاملا مشخص است. اینکه نقش پدافند غیرعامل یا پلیس یا افتا یا کاشف چیست، تعیین شده است. البته به نظرم برخی از این سازمان‌ها، شاید وظیفه خود را به دلیل ضعیف شدن، نیروی انسانی محدود و حتی عدم هماهنگی بانک‌ها با آنها، دقیق انجام نمی‌دهند اما این‌گونه نیست که موازی همدیگر باشند. با این وجود، در مواقعی که دچار مشکل امنیتی می‌شویم، هماهنگی این سازمان‌ها با بانک مربوطه بسیار مهم است تا بتوانیم سیستم را به حالت طبیعی برگردانیم و سرویس‌دهی تداوم یابد و سپس راه‌های بستن نفوذ را طراحی کنیم. بنابراین وجود این سازمان‌ها و مراکز لازم است؛ فقط باید هماهنگ‌تر عمل شود.

·        اگر درباره اظهارات آقای ترک‌تبریزی، نکته‌ای وجود دارد، بفرمایید.

معظمی گودرزی: بحثی مطرح شد که چرا آمار حملات سایبری توسط بانک‌ها ارايه نمی‌شود. این موضوع، چند دلیل دارد. برخی مواقع اصلا بانک‌ها متوجه حمله نمی‌شوند. نکته دیگر اینکه بعضا حملات، اطلاع داده نمی‌شود. ممکن است رده‌های بالای بانک، سختگیری برای این اطلاع‌رسانی نداشته باشند و الزامی برای این کار نبینند. موضوع دیگر اینکه در پی‌جویی مباحث جرایم سایبری موضوعی به نام «رقم سیاه» وجود دارد. رقم سیاه، جرایمی است که اتفاق می‌افتد اما به مراجع ذیصلاح مانند پلیس، سیستم قضایی و رده‌های رگولاتوری اطلاع داده نمی‌شود. در این موارد نیز ممکن است بانک‌ها به خاطر بیزینس‌ و رقابت بین بانکی، تا زمانی که کار به مرحله حساس نرسیده، اطلاع‌رسانی نکنند. مورد دیگر همان جداسازی حوزه فناوری از امنیت است که معاون فناوری به خاطر ترس از مواخذه مدیران بالادستی این کار را انجام نمی‌دهد. همچنین با پی‌جویی‌های پلیس فتا، برخی بانک‌ها از پیگیری موضوع، ناامید هستند مثلا به خاطر اینکه IP فرد متخلف، مربوط به خارج از کشور است. بعضا نیز اعلام می‌کنند سیستم در حال به‌روزرسانی است و علت وقفه در خدمات‌رسانی، همین موضوع بوده است و یا اعلام می‌کنند سرویس بانک، ایران‌اکسس شود تا خدمات را ارايه دهیم. این نوع جرایم، ممکن است پنهان بماند.

واقفی: در مبحث امنیت باید برای سناریوهای مختلف، برنامه‌ریزی داشته باشیم. برخی اوقات، بدبین هستیم که این امر، موجب جلوگیری از کسب‌وکار می‌شود و برخی مواقع خوش‌بین هستیم. البته در ایران، اغلب مدیران، سناریوی خوش‌بینانه را می‌پسندند و درباره سناریوهای محتمل یا بدبینانه معمولا اظهار می‌کنند: «ان‌شاالله اتفاق نمی‌افتد»! یا «ان‌شاالله خیر است.»! اگر این موضوع به صورت مدبرانه کنترل نشود، فشار روانی را در بدنه بانک‌ها و کسب‌وکار ایجاد می‌کند که بسیار آزاردهنده است. فرهنگ‌سازی، بهترین مسیری است که می‌تواند جلوی فیشینگ را بگیرد. اصلا در زمینه فرهنگ‌سازی، هزینه قابل‌توجهی نکردیم اما یک رخداد فیشینگ را در حد مدیرعامل یک بانک، بزرگ و برجسته می‌کنیم و معتقدیم باید وی پاسخگو باشد در حالی که در تمام دنیا، فیشینگ مسوولیت کاربر است که جایی را اشتباه کرده است. اینکه سرهنگ معظمی اشاره کردند که بانک مرکزی در حوزه اجرا، ورود کرد و رمز پویا ایجاد شد، قطعا به کاهش فیشینگ کمک کرده و خواهد کرد. این موضوع درست است اما اشکال دیگری ایجاد می‌کند چون هکرها همیشه جلوتر از متخصصان امنیت هستند؛ یعنی همیشه یا راهی می‌سازند یا راهی پیدا می‌کنند که دیگران به آن فکر نکرده‌اند. بنابراین اگر رگولاتور وارد اجرا شود از سایر نقش‌های خود جا می‌ماند و مرتبا باید به دنبال هکرها باشد. آقای ترک‌تبریزی هم به این موضوع اشاره کردند. بانک‌ها به جای اینکه تصویر کلان فناوری داشته باشند که  نتیجه آن تصویر کلان امنیت اطلاعات برای یک سال باشد، مدام در حال خاموش کردن آتش هستند و در نهایت از مهار آتش‌های بزرگ‌تر خسته می‌شوند.

معظمی گودرزی: اگر آمار فیشینگ را طی 10 سال گذشته در دنیا بررسی کنید، در چند سال متوالی، جزء 10 حمله برتر بوده و فقط مربوط به کشور ما نبوده است. برای فرهنگ‌سازی، ما در مقام پلیس، به عنوان یکی از اجزای این زنجیره، اطلاع‌رسانی‌های گسترده از طریق رسانه‌ها انجام داده‌ایم. ما تعداد زیادی شاکی بانکی داشتیم! و فردی که در حوزه امنیت بانکی کار می‌کند، نیز طعمه فیشینگ شده است. مگر چند نفر از مردم عادی، می‌توانند متخصص فناوری باشند که این اتفاقات رخ ندهد؟ هکرها و متهمان از شگردهای خاصی استفاده می‌کنند که بخشی از آن به کاربر برمی‌گردد اما برخی شگردها به‌گونه‌ای است که حتی افراد صاحبنظر و فنی نیز به دام آنها می‌افتند. اگر اسامی افرادی که در حوزه بانکی، طعمه فیشینگ شده‌اند، ذکر کنم شاید بشناسید. بنابراین با لحاظ کردن زیرساخت‌ها و موضوعاتی که در وضعیت بانکداری کشور وجود داشت، چاره‌ای به جز استفاده از رمز پویا نداشتیم که تاکنون هم موفق بوده است. البته اینکه بعدا چه اتفاقاتی بیفتد، موضوع دیگری است اما اگر فاز بعدی آن نیز اجرایی شود، قطعا اقدام پیشگیرانه مناسب‌تری انجام خواهد شد.

·        آقای شریفیان از فعالان حوزه امنیت که در لایوکست حضور دارند، درباره محصولات بومی، سوالی مدنظرشان است. بفرمایید.

شریفیان: در حال حاضر، محصولات مدرن دنیا مانند سیسکو، اچ‌پی و تمامی محصولات امنیتی، هر لحظه در حال باگ دادن هستند و البته پشتیبانی خوبی هم دارند. الان در محصولات بومی که در کشور استفاده می‌شود، هیچ باگی از آنها در رفرنس‌های دنیا نمی‌بینیم. آیا محصولات ما باگ ندارند یا سازوکاری برای استخراج باگ، آسیب‌پذیری و اعلام آن وجود ندارد. اگر آقای عباس‌نژاد در این خصوص توضیح دهند، ممنون می‌شوم.

عباس‌نژاد: سوال بجایی است. از محصولاتی مانند سیسکو، اچ‌پی و اوراکل هر روز باگ‌های زیادی مشاهده می‌شود. دو روز پیش حدود 220 آسیب‌پذیری روی اوراکل patch شد. بنابراین محصولات ما نیز قطعا آسیب‌پذیری دارد اما اینکه چرا در دنیا آسیب‌پذیری آن اعلام نمی‌شود، باید عرض کنم اگر روی محصولی که کاربر محدودی دارد، آسیب‌پذیری را پیدا کنید، حتی دیتابیس‌های آسیب‌پذیری (common  vulnerabilities and exposures CVEمحصول را به این دلیل که در همه جای دنیا استفاده نمی‌شود، منتشر نمی‌کنند. بنابراین اصلا کسی آن محصول را ندارد که تست امنیتی انجام دهد به جز آنهایی که در کشور هستند. در کشور خودمان نیز سازوکارهایی وجود دارد که آسیب‌پذیری شرکت‌های امنیتی یا محصولات حوزه فناوری را مشخص می‌کند. بسیاری برنامه‌های باگ بانتی (Bug Bounty) در کشور وجود دارد که برای پیدا شدن یک باگ، به یابنده باگ جایزه داده می‌شود. بنده درباره محصولات امنیتی بومی خودمان، چند مورد مشخص، سراغ دارم که باگ، مشاهده شده و باگ ‌بانتی شده و در نهایت، مشکل مرتفع شده است.

·        بسیاری از خودپردازهای کشور همچنان از ویندوز XP استفاده می‌کنند که این ورژن، دچار مسائل امنیتی و فضاهای زیاد برای رخنه است اما هنوز راه‌حل مشخصی، احتمالا به دلیل هزینه بالای نوسازی و تجهیز ATM ارايه نشده است. آیا واقعا هیچ راه‌حل دیگری برای رفع این دغدغه‌ها با هزینه کمتر وجود ندارد؟

عباس‌نژاد: بانک با ریسک، مستقیما ارتباط دارد و همه‌چیز ریسک‌محور است. در این زمینه، بسیاری چارچوب‌های ریسک مانند بازل وجود دارد که بانک درباره آن تصمیم می‌گیرد. در حوزه امنیت سایبری این‌گونه نیست که یک کنترل امنیتی گذاشته شود و ریسک را به صفر برساند. بنابراین تلاش می‌شود ریسک در حد قابل قبول، باقی بماند. اصطلاح دیگری در حوزه امنیت سایبری به نام RoSI داریم؛ یعنی سرمایه‌گذاری امنیتی که برای پیاده‌سازی یک کنترل امنیتی انجام می‌شود، چقدر منافع در پی دارد؟ درباره ATMها، یک راهکار این است که از ویندوز به‌روز مانند ویندوز 10 استفاده شود. برای این منظور باید سخت‌افزارها تغییر پیدا کند و برای این امر نیز نیاز است سخت‌افزار جانبی نیز تغییر یابد. این امر، هزینه‌های زیادی را برای بانک ایجاد می‌کند اما این اقدام، تنها راهکار نیست. ما فرایند ایمن‌سازی یا ارتقای سیستم را که قرار است از آن کاربری داشته باشیم، در اختیار داریم؛ اجرای این فرایند، خصوصا برای شبکه‌های بانکی و کامپیوترهایی که در خودپردازها استفاده می‌شود و یک وظیفه مشخص دارد، میسر است و هزینه‌های آن از خرید و تغییر سخت‌افزارها با قیمت بالا، مناسب‌تر است اما باید کاملا مهندسی شود.

واقفی: اینکه لزوما با هاردنینگ یا مقاوم‌سازی و امن‌سازی شبکه، بتوان به حوزه خودپردازها با ویندوز XP سروسامان داد، چندان مطمئن نیستم. چون برخی مواقع از همان پورت‌هایی که باید باز باشند و آسیب پذیری‌هایی که روی آن پورت‌ها وجود دارد، سال‌های بعد می‌توان استفاده کرد. به هرحال، امنیت، موضوعی است که بانک‌ها باید بین منفعت و هزینه، مقایسه و درباره آن تصمیم‌گیری کنند. بنابراین بحث خودپردازها و ویندوز XP، جواب صددرصدی ندارد اما قطعا راهکار دارد و باید هزینه‌های آن پرداخت شود.

·        طی روزهای اخیر در اخبار منتشر شد که هکرها توانستند اکانت‌های شرکت‌های بزرگ و افراد مشهور دنیا را در توئیتر هک کنند. توئیتر اعلام کرد که به واسطه مهندسی اجتماعی، این اتفاق، نفوذ به سیستم نبوده و از طریق کارکنان، این دسترسی ایجاد شده است. این امر نشان می‌دهد آموزش نیروی انسانی، از موضوعات مهمی است که خصوصا در ایام کرونا و دورکاری باید به آن توجه ویژه صورت گیرد. نظرتان را درباره نیروی انسانی و مدیران شبکه بانکی در این زمینه بفرمایید.

عباس‌نژاد: توئیتر، مورد جالبی است و در حوزه امنیت سابیری می‌توان سال‌ها درباره آن مثال زد. همان‌طور که سرهنگ معظمی اشاره کردند اشخاص صاحبنظر در حوزه امنیت سایبری نیز دچار حملات مهندسی اجتماعی می‌شوند. نمونه آن، ادمین‌های توئیتر هستند. حمله‌ای که به توئیتر اتفاق افتاده، هرچند از نظر فنی، جذاب و نوآورانه است، اما اصل اتفاق این بوده که سوپریوزرهای توئیتر که دسترسی به ادمین پنل‌های داخلی توئیتر داشتند، مهندسی اجتماعی شدند و از کاربران آنها استفاده شده است. نمونه پست‌ها را هم حتما ملاحظه کرده‌اید. در پست‌های بیل گیتس، ایلان ماسک، سیاستمداران بزرگ، اکانت اپل، اکانت رسمی بیت‌کوین وغيره همگی عبارت give away قرار داده شده است. حدود 121 هزار دلار Transfer بیت‌کوین اتفاق افتاده است؛ یعنی هم این افراد مهندسی اجتماعی شدند و هم قربانیان نهایی که کاربران توئیتر بودند. این در حالی است که توئیتر برای باگ بانتی و پیدا کردن آسیب‌پذیری‌ فقط 7700 دلار جایزه تعیین کرده بود. بنابراین بحث آموزش مهندسی اجتماعی، جدی است. مساله بعدی سوپریوزرها هستند که در شبکه بانکی نیز بسیار متعددند و دسترسی‌های بسیار زیادی به دیتابیس‌ها، زیرساخت‌های حیاتی و سیستم‌عامل‌های مهم دارند. این افراد، می‌توانند مدیران، کارشناسان یا شرکت‌های پیمانکار شبکه بانکی باشند. زمانی که دورکاری اتفاق می‌افتد، مساله، جدی‌تر است.

در این رابطه، اولین راهکار، آگاهی‌رسانی و آموزش سایبری برای این افراد خصوصا در شرایط کرونا و دورکاری است که علیرغم اهمیت بسیار زیاد آن، در شبکه بانکی به آن کاملا بی‌توجهی می‌شود. وقتی هم اتفاقی می‌افتد مدیران شبکه بانکی مانند فاجعه چرنوبیل آن را انکار می‌کنند! دومین راهکار، بهره‌مندی از شیوه‌های تکنولوژیک و محدودیت دسترسی سوپریوزرها به سامانه‌های اصلی بانک‌هاست. شیوه‌هایی مانند Privileged Access Manager و Privileged Access Workstation برای دسترسی به سیستم‌های بسیار حساس شبکه بانکی، جزء راهکارهای فنی است که حتما توسط صاحبنظران این حوزه پیشنهاد می‌شود تا مشکل امنیتی به حداقل برسد. این اتفاق، در توئیتر نشان داد که ممکن است در سایر شبکه‌ها نیز به راحتی روی دهد. انسان‌ها در حوزه امنیت سایبری، ضعیف‌ترین حلقه زنجیر هستند و بیش از همه ممکن است موردحمله قرار گیرند. بنابراین باید کنترل‌های لازم را در این عرصه داشته باشیم.

·        جناب عباس‌نژاد! به عنوان آخرین سوال، در حوزه امنیت سایبری در سازمان بانک‌ها، از دیدگاه جنابعالی، کدام مقام بانکی، مسوول است و باید پاسخگو باشد؟ بعد از پاسخ به این سوال، با توجه به اینکه به انتهای میزگرد رسیده‌ایم، جمع‌بندی خودتان را هم از مباحث بفرمایید.

عباس‌نژاد: بنده سال‌های زیادی در حوزه امنیت سایبری بانکی فعالیت می‌کنم و با کارشناسان، مدیران فناوری، مدیران ارشد، مدیران عامل و هیات‌مدیره بانک‌ها در این زمینه بارها صحبت کرده‌ام. به نظر من، اصلی‌ترین مسوول امنیت سایبری در یک بانک، مدیرعامل و هیات‌مدیره هستند. اینکه هر اتفاق امنیت سایبری را از آی‌تی یا واحدهای فنی امنیت، بازخواست کنیم کار اشتباهی است. مدیرعامل و هیات مدیره باید خود را مسوول بدانند و آگاه باشند که در حوزه امنیت سایبری سازمان، چه چیزی را پذیرفته‌اند و چه چیزی را نپذیرفته‌اند. آقای ترک‌تبریزی که در این گفت‌‌وگو وارد شدند، از مدیران ارشد بانکی هستند که فعالانه در حوزه امنیت فعالیت می‌کنند و همین انتظار از سایر مدیران ارشد بانکی وجود دارد. این افراد باید امنیت سایبری را به عنوان یکی از ابعاد تحول دیجیتال در یک بانک بپذیرند. البته قبول دارم امنیت سایبری، مسائل پیچیده‌ای دارد اما همان‌طور که درباره مصارف یک بانک و سایر ریسک‌های بانک نگران هستیم، باید نگران امنیت سایبری بانک هم باشیم و راهکارهای آن هم اندیشیده شود و برای آن وقت گذاشته شود تا امن باشیم و بانک‌هایی با قابلیت اعتماد بیشتر برای هموطنان‌مان داشته باشیم.

·        جناب سرهنگ معظمی! به عنوان سوال پایانی، با توجه به اینکه شما در حوزه پلیس فتا مسوولیت دارید، آیا برای امنیت سایبری شبکه بانک‌ها و شرکت‌های وابسته آنها، نگران هستید یا خیر؟ ضمن پاسخ به این سوال، جمع‌بندی خود را از مباحث نیز بفرمایید.

معظمی‌ گودرزی: یکی از مقوله‌هایی که به عنوان یک اصل باید آن را بپذیریم، این است که هیچ فرد یا سازمانی در مقابل تهدیدات سایبری مصون نیست و ما نیز در مقام خادم مردم و پی‌جویی جرایم سایبری، باید همیشه نگران امنیت باشیم. در حوزه بانکی به عنوان یک هدف، اگر امنیت آن خدشه‌دار شود، امنیت اقتصادی مردم و امنیت ملی به خطر می‌افتد، بنابراین یکی از دغدغه‌های اصلی ما در پلیس فتا همین است. در این چندساله سعی کردیم براساس سناریوهای واقعی و یافته‌های کارشناسان‌مان، ضمن تعامل با حوزه فناوری و امنیت در بانک‌ها، موارد لازم را گوشزد نماییم که امن‌سازی لازم را انجام دهند. گریدبندی بانک‌ها و اعلام آن به صورت محرمانه به خود بانک‌ها از جمله اقدامات آینده پلیس فتاست. البته در چند سال اخیر نیز این کار انجام شده و بانک‌هایی که آسیب‌پذیری بالایی از نظر امنیتی و پلیسی داشته‌اند، به رده‌های مدیریتی آنها اطلاع‌رسانی شده و خوشبختانه اقدامات خوبی برای رفع مشکلات صورت گرفته است. این اقدام، یعنی گریدبندی نیز انجام خواهد شد تا بانکداری امن‌تری داشته باشیم.

·        خانم واقفی! لطفا سرکارعالی نیز بفرمایید که آیا نگران وضعیت امنیت شبکه سایبری بانک‌ها و شرکت‌های وابسته آنها هستید یا خیر؟ ضمنا جمع‌بندی خودتان از مباحث را نیز ارايه بفرمایید.

واقفی: جناب سرهنگ معظمی به نکته درستی اشاره کردند. هرگز مصونیتی در حوزه امنیت سایبری وجود ندارد و همانند کرونا، واکسن آن هنوز تولید نشده است! بنابراین قاعدتا همیشه باید براساس ریسک تصمیم‌گیری کنیم. من احساس می‌کنم بزرگ‌ترین تهدید نظام بانکی کشور، در وهله اول، نشت اطلاعات است. سازمان‌‌های فعال در این زمینه باید براساس های‌ریسک‌های کشور به این موضوع بپردازند. واقعا مالک تمام اتفاقات و ریسک‌ها، مدیران عامل بانک‌ها نیستند و اندازه برخی از ریسک‌ها، بالاتر از مقامات بانکی است و باید مسوولیت آن در سطح کلان کشور، پذیرفته شود. اتفاق دیگر اینکه امنیت جدا از سرویس و محصول نیست. نکته مهم‌تر اینکه نیروی انسانی یکی از پاشنه آشیل‌های امنیت اطلاعات در کشور است و متاسفانه متخصصان خبره خصوصا در بخش فنی، محدود هستند که احتمال مهاجرت و از دست دادن آنها نیز زیاد است. بحث مهم دیگر که در این میزگرد به آن اشاره نشد، موضوع BCP است. اگر در شبکه بانکی کشور، دیتاسنترهای اصلی را از دست بدهیم، آیا با اطمینان بالا می‌توانیم در جای دیگری سرویس بدهیم؟ نمی‌دانم آیا پاسخ این سوال را داریم یا خیر؟ این موضوع، جزء های‌ریسک‌هایی است که باید به آن توجه کنیم

بخش اول