لزوم نهادینه سازی فرهنگ امنیت اطلاعات
نوشآفرین مومن واقفی
مدیر ریسک و امنیت اطلاعات شرکت خدمات انفورماتیک
با گسترش خدمات بانکداری الکترونیک و افزایش روزافزون تعداد تراکنشهای مالی در این بستر، میزان تقلبها و تهدیدات امنیتی نیز به شکل قابل توجهی، در همه کشورها، رشد یافته است. نفوذگرها و متقلبان سالانه میلیاردها ریال از راه نفوذ به سامانههای بانکی و استفاده از انواع راهکارهای تقلب به بانکها و موسسات مالی ضرر میرسانند. دو مفهوم هک (Hack) و تقلب (Fraud) در ادبیات امنیت بانکداری الکترونیک بهطور متداول استفاده میشوند.
نوشآفرین مومن واقفی
مدیر ریسک و امنیت اطلاعات شرکت خدمات انفورماتیک
با گسترش خدمات بانکداری الکترونیک و افزایش روزافزون تعداد تراکنشهای مالی در این بستر، میزان تقلبها و تهدیدات امنیتی نیز به شکل قابل توجهی، در همه کشورها، رشد یافته است. نفوذگرها و متقلبان سالانه میلیاردها ریال از راه نفوذ به سامانههای بانکی و استفاده از انواع راهکارهای تقلب به بانکها و موسسات مالی ضرر میرسانند. دو مفهوم هک (Hack) و تقلب (Fraud) در ادبیات امنیت بانکداری الکترونیک بهطور متداول استفاده میشوند.
واژه هک (Hack) به نفوذ و اخذ دسترسی غیرمجاز به اجزای سرویس اطلاق میشود و با استفاده از آسیبپذیری سامانه در لایههای مختلف نظیر شبکه، برنامه کاربردی، پایگاه داده و نظایر آن امکانپذیر میشود. درصورتیکه سرویسی هک شود، تهدیدات گوناگونی ازجمله افشای اطلاعات، تحریف اطلاعات و از دسترس خارج کردن سرویس میتواند بهعنوان نتیجه نفوذ مطرح شود. نفوذگران یا هکرها ممکن است انگیزههای مختلفی نظیر کسب درآمد، به چالش کشیدن سازمانها و افراد یا شناسایی نقاط ضعف سیستم یا شبکه به منظور کمک به برطرف کردن آنها داشته باشند. در کنار این مفهوم، واژه تقلب یا کلاهبرداری (Fraud) بانکی را نیز داریم که به مفهوم هرگونه سوءاستفاده بهمنظور کسب پول، دارایی یا دیگر اموال متعلق به صاحبان اصلی اموال است.
ممکن است در مواردی اطلاعاتی که از نفوذ به سیستم بهدست آمده است در تقلب مورد استفاده قرار گیرد. عموما در تقلبهای بانکی، شخص با دسترسی به اطلاعات کارت با روشهای گوناگون نظیر جعل درگاه پرداخت پایانه فروش (POS)، استفاده از Skimmerها در دستگاههای خودپرداز (نوعی از ابزار که در دستگاههای خودپرداز قرار داده میشود و اطلاعات کارت از طریق این ابزار در اختیار نفوذگر- متقلب قرار میگیرد)، جعل درگاه پرداخت اینترنتی یا ایجاد یک سایت مشابه با درگاه پرداخت اینترنتی و استفاده از روشهای مهندسی اجتماعی، اطلاعات لازم برای انجام یک تراکنش جعلی را به دست میآورد. گاه حتی این تهدیدات از طریق شبکه پرداخت پذیرنده یا از طریق بدافزارها میتواند صورت پذیرد، نظیر حملهای که در سال ۲۰۱۴ از طریق شبکه فروشگاههای Target در آمریکا، توسط یک بدافزار انجام شد و اطلاعات ۴۰ میلیون کارت اعتباری به سرقت رفت.
اگر نگاهی به روند ارائه خدمات و ترویج بانکداری الکترونیک در کشور داشته باشیم، باید اذعان کنیم که در این حوزه سریع و موثر عمل شده است، اما در ایجاد و استقرار الزامات امنیت اطلاعات در بانکداری الکترونیک در همان سطح بلوغ و اثربخشی حرکت نکردهایم و البته این اختلاف تا حدی در روند سریع رشد اولیه هر فناوری قابل توجیه است. حتی میتوانیم ادعا کنیم بسیاری از سرویسهایی که در کشور ارائه میشود و سهولتی که برای کاربر ایجاد میشود، نظیر سرویسهای انتقال آنی کارت به کارت در نوع خود کمنظیر است، اما باید بپذیریم خدمات نوآورانه هم ریسکهای خاص خودش را دارد و متاسفانه نگرش به بحث امنیت در فضای بانکداری الکترونیک، نگرش جامعی نیست. در حال حاضر در تمامی استانداردهای امنیت اطلاعات بحث مدیریت امنیت بر پایه مدیریت ریسک مطرح است و این نگرش مدیریتی در کشور ما هنوز نهادینه نشده است. لازم است در ارائه هر خدمت جدید، ریسکهای آن شناسایی و برنامه لازم برای پاسخگویی به ریسکها در کلیه سطوح از ابتدای طراحی آن خدمت یا سرویس مورد توجه قرار گیرد. یکی دیگر از نکات مطرح، عدم توجه کافی به مقوله امنیت در سطح استراتژیک است.
نباید مقوله امنیت اطلاعات برای مدیران در سطح فناوری محدود شود و صرفا با خرید تجهیزات بیشتر این تصور ایجاد شود که به امنیت بیشتری دست خواهیم یافت. نیروی انسانی و فرآیندها به مراتب نقش کلیدیتری در ارتقای سطح امنیت دارند و ضروری است این حوزهها با نظارت و دقت بیشتری مدیریت شود. بپذیریم که حتی با رعایت همه کنترلهای امنیتی، ارائه هرگونه خدمت در حوزه بانکداری الکترونیک، ریسکهایی نیز به همراه دارد و این موضوع در همه دنیا مطرح است ولی با آن برخورد منطقیتری میشود. همچنین این نکته را در نظر داشته باشیم که ارائه هر خدمت جدید در حوزه نظام بانکی، نیازمند زیرساختهای فنی، حقوقی، فرهنگی و اجتماعی است و برای ارائه خدمات امن و پایدار ضروری است که همه جنبهها در ارائه خدمت و تحلیل ریسکها مورد توجه قرار گیرد. تا زمانی که برداشت ما از مفهوم استقرار امنیت در بانکداری الکترونیک صرفا توجه به مسائل فنی امنیت در سامانهها باشد، میتوان گفت متاسفانه در کشور، چندان موثر عمل نکردهایم.
در همه دنیا یک رویکرد پیشگیرانه مهم در بحث امنیت بانکداری الکترونیک وجود دارد و آن این است که هر مشتری بانکی در صورتی که از مجوزهای در اختیار خود به هر شکلی سوء استفاده کند و از تعهدات خود در قبال بانک یا موسسه مالی تخطی کند، از دریافت خدمات بانکی بهطور گسترده محروم خواهد شد و اعتبار خود را از دست خواهد داد و دقیقا به دلیل ذکر شده، رفتارهای متقلبانه از مشتریان بانکی و سایر افراد و سازمانهایی که به هر شکل مجوزی برای ارائه سرویسهای بانکی در اختیار دارند؛ نظیر پذیرندههای بانکی کمتر مشاهده میشود. رویکرد فعلی در این زمینه در کشور ما، نیاز به بررسی و بازنگری دارد.
اما مهمترین چالش در حوزه امنیت بانکداری الکترونیک در ایران، عدم آگاهی مشتریان از تهدیدات امنیتی و کمتوجهی آنان به توصیههای امنیتی ارائه شده از طرف بانکها و موسسات مالی است. در این حوزه نیاز به فرهنگسازی و آگاهی دادن به مشتریان بانکی به صورت مستمر، یک ضرورت غیر قابل اغماض است.
نباید فراموش کرد که از ویژگیهای مهم عصر دیجیتال، پویایی و سرعت تغییرات فناوری است. بدیهی است با تغییرات سریع فناوریها، ماهیت آسیبپذیریها و ریسکهای امنیتی نیز در این فضا با همان سرعت تغییر میکند. از طرف دیگر با افزایش تنوع و حجم تبادلات دادهای در اکوسیستمهای بزرگ، رویکردهای امنیت در فضای سایبری نیز به صورت بارزی دچار تحول شده است. دیگر دغدغه امنیتی بانکها و موسسات مالی در فضای سایبری صرفا جلوگیری از دزدیده شدن رمز کارت بانکی یا اطلاعات مالی کاربران نیست، بلکه در بسیاری از موارد حملات سایبری با اهداف کلان سیاسی، تجاری و... انجام میپذیرد. بدیهی است در چنین فضایی دیگر رویکردهای سنتی به بحث امنیت جوابگوی نیازها و چالشهای مطرح در این فضا نخواهد بود و نیازمند تغییر رویکرد در تفکر مدیریتی و استراتژیک فعلی هستیم. امروزه رویکرد امنیت از مدیریت واکنشی و به عبارتی «پاسخ به رخداد» به رویکرد «پایش و نظارت و آمادگی برای پاسخگویی مداوم» تغییر یافته است.
برای پاسخگویی به چالشهای آتی در امنیت اطلاعات، بانکها و موسسات مالی باید مدیریت امنیت اطلاعات بر پایه «هوش امنیتی»، «مدیریت ریسک» و «کنترل و مدیریت برخط تقلب» را مورد توجه قرار دهند. باید نهادینهسازی فرهنگ امنیت اطلاعات مورد توجه قرار گیرد و توجه به مولفههای امنیتی سامانهها و خدمات جزئی از فرآیند طراحی و الزامات آن تا ارائه یک خدمت محسوب شود. مدیریت امنیت به عنوان موضوعی استراتژیک با هدف مدیریت ریسک و استمرار کسب و کار در همه سازمانها باید مورد توجه قرار گیرد. در جهان امروز امنیت فضای سایبری یک اولویت ملی است و در فضای سیاسی یا تجاری، در سطح بینالمللی یا ملی، تهدیدات امنیت سایبری مهمترین چالش آتی کشورها در تمامی حوزهها خواهد بود.
ارسال نظر