با گسترش استفاده از اینترنت و فضای مجازی در سالهای اخیر، نیاز به افزایش امنیت اطلاعات، دانش بومی و بهبود زیرساختهای لازم برای ایجاد امنیت و اطمینانخاطر در محیط سایبری روزبهروز بیشتر احساس میشود. بانکها نیز به عنوان کسبوکارهایی که پا به دنیای تجارت الکترونیک گذاشتهاند، یکی از ارزشمندترین دارایی خود را اعتبار نزد مشتریان میدانند و با ایجاد زیرساختهای امنیتی سعی در حفظ اعتبارشان دارند. رادیو اقتصاد اواسط مردادماه عنوان برنامه خود را به جایگاه امنیت در نظام بانکداری الکترونیک در کشور اختصاص داد.
در این برنامه مرتضی سرلک، مدیر امور امنیت اطلاعات شرکت داتین به ارائه راهکارهایی برای ایجاد امنیت بانکداری الکترونیک در کشور پرداخت.
هدفی جذاب برای حملات سایبری
مرتضی سرلک، مدیر امور امنیت اطلاعات شرکت داتین در ابتدای این برنامه با بیان اینکه مساله امنیت در بانکها و مؤسسات مالی و اعتباری بعد از گسترش استفاده از اینترنت اهمیت بسیاری پیدا کرده، گفت: «فرض کنید با حمله سایبری به بانکی، اطلاعات محرمانه مشتریان در سطح جامعه یا شبکههای مجازی منتشر شود. به دنبال این اتفاق اعتماد مشتریان به آن بانک از دست خواهد رفت. این مساله رابطه مستقیمی با از بین رفتن آن کسبوکار یا موسسه بانکی دارد.»
او تاکید کرد که اولین اشتباه امنیتی کسبوکارهایی که با پول مردم سروکار دارند مانند بانکها و مؤسسات مالی، ممکن است آخرین اشتباه آنها باشد و منجر به نابودیشان شود. به گفته او، بانکها هدف جذابی برای هکرها به منظور انجام اقدامات تروریستی سایبری هستند. او با اشاره به وضعیت تحریمها از تلاش سایر کشورها به منظور آسیب رساندن به وضعیت اقتصادی کشورمان گفت.
تحریمها و چالشهای بانکی
مدیر امور امنیت اطلاعات شرکت داتین با بیان اینکه در حال حاضر در وضعیت متفاوتی نسبت به سایر کشورها قرار داریم، تصریح کرد: «به منظور ارتقای امنیت بانکها، به زیرساختهای سختافزاری مانند دستگاههای امنیتی نیاز داریم. همچنین فراهمسازی زیرساختهای نرمافزاری باعث شده، گواهینامههایی از تأمینکننده و ارائهدهندگان سرویسهای خارج از کشور تهیه کنیم. اما تحریمها ما را با چالشهای جدیدی در راستای بالا بردن سطح امنیت زیرساختهای بانکی مواجه کرده است.»
مساله اصلی؛ امنیت و پشتیبانی اطلاعات
سرلک با تاکید بر اینکه از سوی شرکتهای داخلی اقداماتی در راستای فراهمسازی زیرساختهای امنیتی انجام شده، افزود: «شرکتهای داخلی مسیر طولانی برای بومیسازی محصولات منطبق با سیاستهای بانکداری داخل کشور و سیاستهای بانکداری اسلامی پیشروی دارند. کیفیت محصولات تولیدی بسیاری از شرکتها پایین است و این مساله باعث میشود بانکها بعد از استفاده از محصولات آنها به سمت محصولات خارجی بروند. استفاده از محصولات خارجی ریسکهایی را برای کشور دارد، بنابراین اهمیت دارد که بانکها اشراف اطلاعاتی کامل نسبت به سرویس و تکنولوژی که از آن استفاده میکنند داشته باشند. اکثر برندها و کمپانیهایی که محصولات مرتبط با زیرساختهای بانکداری الکترونیک تولید میکنند در کشورهای اروپایی و آمریکای شمالی قرار دارند. دقیقاً همان کشورهایی که ما را بهشدت تحریم کردهاند؛ بنابراین واردات این محصولات و پشتیبانی از آنها بسیار سخت شده است.»
به گفته او دسترسی و پشتیبانی اطلاعات در بسیاری از بانکها بهدرستی انجام نمیشود. درصورتیکه در صنایعی که با تکنولوژی و فناوری اطلاعات سروکار دارند یکی از مسالههای اصلی، امنیت و پشتیبانی داده است.
عدم روالمندی یکی از مشکلات نظام بانکی
او با اشاره به نقش بانکها و مشتریان در ایجاد امنیت، گفت: «عدم آموزش در نحوه استفاده از اینترنت برای انجام مسائل مالی و پرداخت، باعث افزایش آمار کلاهبرداریهای اینترنتی شده است. در حال حاضر بسیاری از مردم نمیدانند با رعایت چه نکات امنیتی باید به تبادل پول در بستر اینترنت اقدام کنند. میتوانیم با آموزشهای ابتدایی به مردم یادآوری کنیم هنگام انجام عملیاتهای آنلاین برای مثال اعتبار گواهینامه سایتها را چک کنند.»
مدیر امور امنیت اطلاعات شرکت داتین افزود: «استفاده مردم از سایتهای جعلی پرداخت اینترنتی منجر به افشای اطلاعات و از دست رفتن اعتبار حساب بانکیشان میشود. در یکسوی این قضیه، عدم آگاهی مردم و در سوی دیگر بانکها قرار دارند. باید به این توجه کرد که بانکها زیرساختی را فراهم کنند تا از کوچکترین آسیبپذیری که در لحظه اتفاق میافتد آگاه شوند و بتوانند سرویسهایشان را با توجه به آن بهروزرسانی کنند.»
سرلک در ادامه با بیان اینکه عدم روالمندی یکی از مشکلات اصلی نظام بانکی است، افزود: «فرض کنید بانکی از چندین نوع سرویس آنلاین مانند اینترنت بانک برای ارائه خدمات بانکداری الکترونیکی استفاده میکند. هر کدام از این سرویسها ممکن است از چند تکنولوژی (نرمافزاری و سختافزاری) استفاده کنند. اگر مستندات دقیقی از تکنولوژیهای به کار رفته در دسترس نباشد و همزمان آسیبپذیری این تکنولوژیها نیز منتشر شود لیستی وجود ندارد تا مطلع شویم که آیا از آنها در سیستمهایمان استفاده کردهایم یا خیر؟ و با چه رویکردی میبایست در کوتاهترین زمان ممکن آسیبپذیری ایجاد شده را از بین ببریم؟»
حملات سایبری
به گفته سرلک، دیگر نیاز به دانش سطح بالا برای انجام حملات سایبری نیست؛ زیرا نرمافزارهایی که با استفاده از آنها این حملات صورت میگیرد تا حد زیادی پیشرفت کردهاند. در آمریکا رده سنی افرادی که اقدام به حملات سایبری میکنند از ۱۵ تا ۲۴ سال تخمین زده شده است.
نکتهای که در حملات سایبری وجود دارد بحث حملات DDOS (حملاتی که از مبداهای زیادی به یک سایت یا سامانهای که روی اینترنت قرار دارد، میشود.) است. او با بیان این مطلب، تصریح کرد: «در حملات DDOS از صد هزار نقطه درخواستهایی به بانک فرستاده میشود که به دلیل تعداد بالای آنها سرویس بانک از دسترس خارج میشود. در حال حاضر سرویسهایی برای انجام حملات سایبری در دنیا وجود دارد که با ماهانه پنج تا ۱۰ دلار در اختیار افراد قرار میگیرد. این مساله بسیار خطرناک است.»
سرلک در خصوص دو نوع از حمله های سایبری DOS و DDOS افزود: «تا چند وقت اخیر امکان مقابله با حملات DDOS وجود نداشت. این حملات توزیع شده هستند و ممکن است از هزاران مبدأ صورت بگیرند، اما حملات DOS توزیع شده نیستند و میتوان خیلی راحت کنترلشان کرد.
او ادامه داد: «با حملات توزیع شده تا چند سال پیش، بهراحتی نمیشد مقابله کرد. خوشبختانه تکنولوژیهای جدید ابداع شدهاند مانند CDN که این امکان را فراهم میکنند ترافیک بانکی در خارج از کشور و قبل از رسیدن به سرورهای داخلی مورد برسی قرار گیرد تا به صورت توزیع شده جلو حملات گرفته شود؛ اما مشکلی که وجود دارد این است که بانکها تاکنون به اهمیت چنین سرویسهایی پی نبردند. متاسفانه زمانی اهمیت استفاده از این سرویسها مشخص میشود که با حملهای سرویس بانکی از دسترس خارج شده باشد آن زمان بانک به فکر فرو میرود که چه باید کند.»
آسیبپذیری تکنولوژی
مدیر امور امنیت اطلاعات داتین با بیان اینکه بانکها باید فکری به حال این نوع حملات کنند، بیان کرد: «این تنها بخشی از قضیه است. دَهها نوع حملات سایبری داریم که در لایه برنامه کاربردی یا اپلیکیشنها صورت میگیرد. این موضوع که از چه نوع تکنولوژیهایی استفاده میکنیم و چه آسیبپذیریهایی روی آنها اعلام میشود، بسیار اهمیت دارد.»
سرلک افزود: «با نگاهی به آمار ترافیک حملات مشخص شد در لایه اپلیکیشنها در بازه زمانی کوتاه چند صد تیپ حمله به برنامههای کاربردی موسسههایی که روی اینترنت و در دسترس عموم قرار میگیرند میشود. خوشبختانه با تجهیزاتی که داشتیم این حملات را دفع کردیم، اما سرویسهای مالی هنگامیکه روی اینترنت قرار میگیرند هدف خوبی برای ضربه زدن به منظور پایین آوردن حس امنیت هستند. مساله صرفاً پول نیست. بسیاری از کشورها با هدف سلب امنیت عمومی برای حمله به زیرساختهای بانکی سایر کشورها برنامهریزی میکنند.»
امنیت دغدغه اصلی کسبوکارهای آنلاین
او با بیان اینکه اگر در حوزه مالی و اعتباری کسبوکاری با مشکلی روبهرو شود شایعهسازی میتواند منجر به عدم اعتماد نسبت به کلیه فعالان این حوزه شود، افزود: «باید سطح امنیت در تمامی بانکها را بالا ببریم تا به سطح قابل قبولی برسیم. در حال حاضر تعدادی از بانکها برای استانداردسازی سرویسهایشان و پایین آوردن ریسک استفاده از آنها اقداماتی انجام دادهاند. در بحث آموزش نیز با آگاهیسازی میتوان از فاش شدن اطلاعات بانکها و مردم جلوگیری کرد و آمار تخلفهای اینترنتی را پایین آورد.»
مدیر امور امنیت اطلاعات داتین تصریح کرد: «نه تنها بانکها و مؤسسات بانکی بلکه تمامی حوزههایی که به ارائه خدمات در بستر اینترنت میپردازند باید به فکر امنیت سرویسهایشان باشند. هر سال آمار حملههای سایبری افزایش پیدا میکنند، بنابراین لازم است کسبوکارهای آنلاین پیشبینی کنند که تجهیزاتشان تا چه سطحی میتواند خدمات ارائه کند و چه زمانی تکنولوژیهای آنها نیاز بهروزرسانی دارد. یکی از مسالههای پیشگیری از حملات، آگاهی از آسیبپذیریهاست. بنابراین لازم است با رصد مجامع امنیتی بینالمللی با کیفیت امنیت خدماتی که در سطح دنیا ارائه میشود همسو باشیم.»
به گفته سرلک بحث مدیریت دارایی در نظام بانکی بسیار اهمیت دارد و اگر بانکها اطلاع کاملی نسبت به سرویسها و تکنولوژیهایی خود داشته باشند، میتوانند سطح امنیت خود را بهروز نگه دارند.
مدیر امور امنیت اطلاعات داتین همچنین تاکید کرد با پیاده سازی اصول اولیه امنیت اطلاعات در چرخه تولید نرم افزار و یا در زمان طراحی زیرساخت های لازم آن می توان تا حد زیادی از ایجاد حفره های امنیتی در آینده جلوگیری کرد.
واحد امنیتی بانکها چه میکند؟
او در پاسخ به این سؤال که بانکها چگونه میتوانند از تکنولوژیهای که در سرویسهایشان استفاده میکنند مطلع شوند؟ گفت: «این مساله وابسته به واحدهای عملیات در بانکهاست و واحد امنیت به تنهایی نمیتوانند این کار را انجام دهد. باید روالهایی مدون با نظارت واحد امنیت و سایر بخشهای عملیاتی مثل بخش تأمینکننده زیرساخت بانک وجود داشته باشد تا با مدیریت واحد امنیت در بانکها سایر بخشها را به روز کند و به کیفیتی که مد نظرشان است برسد.»
مدیر امور امنیت اطلاعات داتین در رابطه با راهکارهای ایجاد امنیت در نظام بانکداری الکترونیک گفت: «نسبت به سال های گذشته بانکها پیشرفتهای خوبی در زمینه ایجاد امنیت داشتند اما سرعت این پیشرفتها بهقدری نیست که با تمامی نهادها و هکرها بتوانیم با آنها مقابله کنیم. برای رسیدن به منطقه امن باید به حوزه منابع انسانی امنیت اطلاعات به ویژه در سطح دانشگاهها توجه کنیم. در حال حاضر استارتآپهایی به وجود آمدهاند که در حوزه امنیت اطلاعات فعالیت میکنند. باید نهادهای بالاتر مثل بانک مرکزی از آنها پشتیبانی کنند. یکی از معضلاتی که بانکها درگیر آن هستند کمبود نیروی خبره در حوزه امنیت اطلاعات است.»
نقش بانکها در ایجاد امنیت
سرلک در ادامه با بیان اینکه اکثر حملات سایبری متوجه مشتریان بانکهاست، افزود: «آمار حملات سایبری به بانکها در حال حاضر بالاست و اگر زیرساخت بانکهای کوچک یا بزرگ تهدید شود آن میزان سلب اعتمادی که در جامعه ایجاد میشود به شدت هزینهبر است. درست است که در حال حاضر با این حملات مقابله میشود اما با توجه به رشد تکنولوژی باید سرعتمان را بیشتر کنیم.»
مدیر امور امنیت اطلاعات داتین در پایان با اشاره به اهمیت آموزش در استفاده از خدمات پرداخت الکترونیکی، گفت: «آموزش میتواند بخش زیادی از مشکلات را مرتفع سازد. امیدواریم بانکها با جدیتر گرفتن موضوع و اختصاص بودجه بتوانند سطح کیفی حوزه امنیتشان را به استاندارهای جهانی نزدیک کنند و از ریسکهای به وجود آمده فعلی و آینده دور باشند.»