برنامه کنترل‌های امنیتی در نظام بانکی اجرا می‌شود؛ امنیت بانکی، از انتظار تا واقعیت

حملات سایبری در سال‌های اخیر در مقیاسی گسترده و شدتی بیشتر از قبل علیه نهادهای مختلف رخ داده است. این را می‌شود با مرور اخبار و از لابه‌لای سخنان متخصصان امنیت فهمید. بانک‌ها در همه جای دنیا همیشه یکی از به‌اصطلاح «تارگت»های حملات سایبری بوده‌اند و حفظ امنیت اطلاعات و دارایی‌های کاربران با پیچیده‌ترین روش‌ها انجام می‌شود. ایران هم از این قاعده مستثنی نیست. با این تفاوت که شاید تحریم‌ها و جا نیفتادن فرهنگ اهمیت به امنیت آسیب‌پذیری سیستم‌ها را بیشتر کرده است.

شرکت مدیریت امن الکترونیکی کاشف یکی از شرکت‌هایی است که دستورها و الزام‌های بانک مرکزی در خصوص امنیت بانک‌ها را اجرا می‌کند. این نهاد به‌تازگی برنامه چارچوب کنترل‌های امنیتی در نظام بانکی و سامانه‌های اطلاعاتی بانکی را تدوین کرده است. طبق این چارچوب که با محوریت اداره امنیت اطلاعات بانک مرکزی تدوین شده است، ۱۱۳۵ الزام برای بانک‌ها در نظر گرفته شد؛ اما تدوین این الزام‌ها شروع آنچه کاشف سال‌هاست در تلاش برای عملی کردنش بوده، نیست.

در سال‌های پیش، این شرکت رصد سایت‌های بانک‌ها، اینترنت بانک‌ها و موبایل اپ‌ها را در دستور کار خود داشته است. تخلف‌هایی که با اپلیکیشن‌های بانکی انجام می‌شود نیز در کمیسیون‌ها و کمیته‌های این شرکت بررسی شده و همچنان می‌شود، اما تعدد سازمان‌های نظارتی بر امنیت بانک‌ها و منسجم نبودن برنامه‌های هر بانک و موسسه مالی، کاشف را وادار کرده تا برنامه یکسانی برای هر بانک تهیه کند. البته این برنامه‌ها با توجه به سطح بلوغ امنیتی بانک‌ها متفاوت است.

با این ‌حال، بانک‌هایی که به امنیت توجه کافی ندارند نه ‌تنها مشتریان خود بلکه کل سیستم بانکی را می‌توانند به خطر بیندازند. در واقع آنها ریسک را در کل نظام بانکی منتشر می‌کنند. میثم نجار، مدیر واحد نظارت کاشف، در این‌ باره به پیوست گفته است: ۹۰ درصد بانک‌ها همکاری بسیار خوبی با کاشف داشتند و دارند اما ۱۰ درصد باقی‌مانده هم سهم قابل ‌توجهی از مشتریان را دارند.

سطح بلوغی که مسئولان کاشف از آن صحبت می‌کنند پنج پله دارد. بانک‌هایی که در سطح یک و دو قرار دارند، کمترین سطح امنیت را دارا هستند. با این حال انتظار مدیران کاشف و بانک مرکزی این است که بانک‌ها در سطح چهار و پنج باشند. در ماه‌های ابتدایی سال ۱۴۰۲، این شرکت جلسه‌ای با اغلب بانک‌های کشور برگزار کرد و درباره چارچوبی که تعیین شده، وظایف بانک‌ها را مشخص کرد. این بانک‌ها مسائل خود را در حوزه امنیتی بیان کردند و درباره چارچوبی که قرار است به‌زودی ذیل آن فعالیت‌های خود را سامان دهند نظر دادند. هر بانک با توجه به سطح امنیتی که در حال حاضر دارد، الزام‌های تعیین‌شده را پیاده می‌کند. سه چهار بانک در این جلسات حضور نیافتند و به نظر می‌رسد کاشف باید تدبیر دیگری برای همراهی آنها بیندیشد.

نجار اعلام کرده انتظار کاشف در سال اول اجرای این برنامه از بانک‌ها این است که برنامه‌ها و داشته و نداشته‌های خود را نسبت به این برنامه اعلام کنند.

او می‌گوید: این چارچوب یک تصویر کلی است که از سوی بانک مرکزی و کاشف تعیین شده و حالا ما می‌خواهیم از بانک‌ها بپرسیم در کجای این تصویر قرار دارند.

او در پاسخ به سوالی درباره اقداماتی که از سوی کاشف برای افزایش سطح امنیت بانک‌ها انجام شده توضیح می‌دهد: باید ابتدا سطح بلوغ بانک‌ها را افزایش داد و بعد درباره اقداماتی که انجام شده اطلاع‌رسانی کرد. تلاش کاشف و بانک مرکزی در این راستاست که درباره ویژگی‌های لازم برنامه‌ها و وب‌سایت‌های بانک‌ها که نشان‌دهنده امن بودن آنهاست اطلاع‌رسانی کند، اما به زمان نیاز دارد و این مدت‌زمان به همکاری بانک‌ها و عملکرد کاشف وابسته است.

قدم‌به‌قدم با برنامه چارچوب کنترل‌های امنیتی در نظام بانکی و سامانه‌های اطلاعاتی بانکی

یک سال بعد از مشخص شدن الزام‌هایی که بانک‌ها موظف به پیاده‌سازی آن هستند، نوبت به این می‌رسد که هر بانک طرح و برنامه خود را تهیه و اعلام کند که در چه سالی به الزام معین‌شده می‌رسد. آن‌گاه نوبت به نقش نظارتی کاشف می‌رسد.

برخی از متغیرهای این الزام‌ها به صورت سالانه بررسی می‌شوند. در برخی موارد به صورت فصلی و برخی دیگر هر ۶ ماه یک ‌بار بررسی می‌شوند. به‌تدریج دایره ممیزی کوچک‌تر می‌شود. قرار است هر دو ماه یک ‌بار، وضعیت بانک‌ها به خودشان ابلاغ و رتبه‌بندی شوند. مشکلاتی که بانک‌ها در این بررسی‌ها داشتند نیز به آنها اعلام می‌شود. کاشف زیرساخت را فراهم کرده و نتایج ارزیابی‌ها را در اختیار بانک مرکزی قرار می‌دهد.

سطح بلوغ پایین بانک‌ها در چهار موضوع کلی

مدیران کاشف می‌گویند، در سطح فرایند، نیروی انسانی، تکنولوژی و در سطح سازمانی، سطح بلوغ پایینی از لحاظ امنیت وجود دارد و این موضوع می‌تواند ضررهای زیادی به کشور وارد کند. آنها معتقدند اگر بخواهیم یک چتر امنیتی در بانک‌ها وجود داشته باشد، پیشرفت باید در هر چهار موضوع یعنی هم در بخش فرایندها و هم در بخش‌های نیروی انسانی، تکنولوژی و سازمان رخ دهد.

چالش‌های زیادی درباره نیروی انسانی فعال در حوزه امنیت وجود دارد. جابه‌جایی آنها میان سازمان‌ها و مهاجرت این افراد می‌تواند برای امنیت نهادها مشکل‌ساز شود. این متخصصان در سطوح مختلفی قرار می‌گیرند؛ مثلاً برخی متولی ایجاد امنیت هستند، برخی دیگر در واحدهای فناوری حضور دارند و حتی نیروهای غیرفنی سازمان جزئی از آن بدنه هستند که سازمان را شکل می‌دهند و تاثیرگذارند.

نجار، مدیر واحد امنیت کاشف، معتقد است امنیت یک مساله حاکمیتی است؛ یعنی در سطح حاکمیت بانک یا سازمان باید به آن پرداخته شود.

او ادامه می‌دهد: در حال حاضر با مهاجرت مدیرانی که نقش سازنده داشتند مواجه هستیم. شرکت‌های بخش خصوصی حوزه امنیت هم با این چالش روبه‌رو هستند و دارند توسعه‌دهنده‌های خود را از دست می‌دهند.

در سطح تکنولوژی نیز به دلیل شرایط تحریمی مشکلاتی وجود دارد. تجهیزات امنیتی بانک‌ها رفته‌رفته فرسوده می‌شوند و جایگزینی آنها با تکنولوژی‌های جدید یا حتی تعمیر تجهیزات قبلی موضوعی است که شرکت‌های بخش خصوصی حوزه امنیت نیز عنوان کرده‌اند.

همه راه‌ها به فرهنگ‌سازی ختم می‌شود

اجرای این چارچوب و سروشکل دادن به فعالیت‌های متخصصان امنیت بانک‌ها در شرایطی که نهادهای نظارتی و بانک‌ها تفسیر متفاوتی از مقوله امنیت دارند دشوار است. این «فرهنگ‌سازی» کاری است که کاشف می‌خواهد انجام دهد. نجار معتقد است این فعالیت در گذشته مغفول مانده است. او می‌گوید: امنیت از سطح مدیرعامل یک سازمان آغاز می‌شود و گسترش آن نیازمند فرهنگ‌سازی است که در چارچوب کنترلی تدوین‌شده به آن اشاره شده است.

بخشی از فرهنگ‌سازی در حوزه امنیت به پاسخگویی مسئولان یک سازمان درباره حملات سایبری مربوط می‌شود. انتظار مردم این است که پس از وقوع حملات، میزان آسیب به اطلاع آنها برسد هرچند هزینه آن برای بانک‌ها ممکن است بسیار سنگین باشد.

مدیر واحد نظارت کاشف می‌گوید کاشف وظیفه دارد به بانک‌ها و بانک مرکزی گزارش حملات و هشدارها را بدهد، او می‌افزاید: اطلاع‌رسانی به مردم متوجه بانک‌هاست و این را باید در نظر داشت که عواقب افشای اندازه امنیت برای هر بانک وارد محاسبات ریسک کسب‌وکار خواهد شد، لذا این به بانک‌ها برمی‌گردد که چطور آن را مدیریت می‌کنند.

یکی از الزام‌های کاشف برای بانک‌ها تاسیس آزمایشگاه سایبری در بانک‌هاست تا برنامه‌ها، وب‌سایت‌ها و دیگر ابزارهای بانکی در این آزمایشگاه از لحاظ امنیت و آلوده بودن یا نبودن به بدافزارها بررسی شوند. خود کاشف نیز در سال ۱۴۰۰ این آزمایشگاه را راه‌اندازی کرده است. به گفته مدیر واحد نظارت کاشف، این آزمایشگاه می‌تواند به سازمان‌های مختلف خدمات امنیتی مورد نیاز آنها را اعطا کند.

به‌ طور کلی، با اجرای برنامه چارچوب کنترلی، کاشف سیستم‌های بانک‌ها را رصد و ارزیابی می‌کند و این ارزیابی کردن چندین پله بالاتر از خودارزیابی‌ای است که بانک‌ها برای خود انجام می‌دهند زیرا هم از لحاظ عملکرد چک می‌شوند و هم از جنبه ایمنی در برابر تخلفاتی مانند قمار بررسی می‌شوند. برای PSPها و شرکت‌های پرداخت‌یاری این اقدامات را شرکت شاپرک انجام داده است.

آیا در حوزه امنیت عقب‌مانده‌ایم؟

نجار در پاسخ به این سوال می‌گوید: ما انتظاری را مطالبه می‌کنیم که بیش از عمر آی‌تی مغفول مانده است. با شروع پاندمی، صنعت آی‌تی در کل دنیا جهش کرد و همه فرایندها غیرحضوری شد. آیا حوزه امنیت نیز متناسب با آی‌تی رشد کرد؟ بزرگان علم امنیت می‌گویند سازمان‌ها دو دسته‌اند: دسته اول سازمان‌هایی هستند که می‌دانند هدف حمله قرار گرفته‌اند و دسته دوم آنهایی هستند که نمی‌دانند. تا زمانی که توهم امنیت وجود دارد اقدامی هم برای ارتقای امنیت انجام نمی‌شود. وظیفه کاشف این است که چالش‌ها را صریحاً به مسئولان بانک مرکزی اعلام و بدترین وضعیت را برای آنها توصیف کند.

قرار بود کاشف نقش یک اپراتور را میان بازیگران مختلف عرصه امنیت ایفا کند. نقشی که به گفته نجار مغفول مانده بود اما حالا کاشف در پی بازپس‌گیری آن است.

معاون واحد نظارت کاشف اعلام کرده است این شرکت مذاکراتی را با شرکت‌های فعال در حوزه امنیت سایبری آغاز کرده و به صورت مرتب با آنها جلسه دارد. در این تعامل‌ها، امکانات این شرکت‌ها و در برخی مواقع ابزارهای آنها در آزمایشگاه بررسی می‌شود.

به گفته او، کاشف از همه کسانی که در این حوزه در حال ایفای نقش هستند تقاضا می‌کند به یکدیگر کمک کنند تا زیست‌بوم را به گونه‌ای بهبود دهند که به نفع همه باشد.