فناوری

سمانه سمیع تحریریه

پیوست » اخبار » جنگ تداوم کسب‌وکارها را به اولویت اول نظام بانکی تبدیل کرد

جنگ تداوم کسب‌وکارها را به اولویت اول نظام بانکی تبدیل کرد

سمانه سمیع تحریریه

۲۵ آبان ۱۴۰۴

زمان مطالعه : ۷ دقیقه

تجربه هک بانک سپه و بانک پاسارگاد در جنگ تحمیلی اسراییل به ایران و افزایش حملات سایبری به زیرساخت‌های مالی در سال‌های اخیر، نگاه نظام بانکی به امنیت را وارد مرحله‌ تازه و جدی‌تری کرده است. پیدا کردن مسیرهای جایگزین خدمات و تمرکز کامل روی تداوم خدمات حیاتی بانکی و کسب و کاری حالا به اولویت اصلی مدیران فناوری حوزه بانکی تبدیل شده است.

به گزارش پیوست، سعید ایثاری، معاون فناوری اطلاعات بانک سرمایه در پنل ضرورت‌های امنیتی در صنعت بانکی پس از جنگ که در اختتامیه ششمین رویداد امنیتی CTB باگدشت برگزار شد از غفلت چندساله شبکه بانکی در مواجهه جدی با مقوله امنیت انتقاد کرد.

او با اشاره به روند توسعه سرویس‌ها بدون توجه کافی به الزام‌های امنیتی توضیح داد: از دهه ۸۰ تا حدود سال ۹۵ سیستم‌های بانکی به ثبات نسبی رسیدند و کسب‌وکارها روی روال افتاد. اما همین ثبات ما را وارد یک رکود در حوزه امنیت کرد. تا اوایل ۱۴۰۱، خبر نشت داده یا هک شدن برخی نهادها می‌رسید اما هیچ‌وقت این موضوع به‌عنوان یک بحران مورد توجه قرار نگرفت.

تحریم‌ها و مهاجرت؛ مانع انتقال دانش به نسل جدید

ایثاری با توضیح اینکه از سال ۱۴۰۱ و با تغییر رویکرد در بانک مرکزی، نگاه به امنیت جدی‌تر شد، افزود: ترند جهانی امنیت به‌عنوان یک بیزینس B2B از سال ۲۰۱۰ شکل گرفت، زمانی که ما در ایران در اوج توسعه خدمات بانکی و پرداخت بودیم و نسبت به این تغییر بی‌توجه بودیم. تمرکز ما بیشتر روی یکپارچگی سرویس‌ها و بالا آمدن سریع سیستم‌ها بود و استانداردهای امنیتی کمتر دیده شد. در حالی که بسیاری از چالش‌های امروز محصول همان دوره ذوق‌زدگی و نادیده گرفتن جزئیات پیچیده امنیتی است.

ایثاری تأکید کرد که تحریم‌ها و مهاجرت گسترده نیروهای متخصص مانع انتقال دانش به نسل جدید کشور شده است.‌ او در این باره گفت: سال‌ها شرکت‌های بین‌المللی به ایران می‌آمدند و ما آموزش می‌دیدیم، اما با تحریم‌ها و خروج بخش بزرگی از نسل متخصص، این چرخه انتقال دانش کاملاً مختل شد.

او موضوع انحصار را هم یکی دیگر از چالش‌های جدی صنعت بانکی دانست و افزود: به‌واسطه انحصاری که در شبکه بانکی ایجاد شد امکان ورود بازیگران جدید به شبکه بانکی ناممکن شد. حتی استانداردهای پایه مثل استانداردهای تولید کارت یا دستورالعمل‌هایی مثل تراکنش، سال‌ها به‌طور جدی در بانک‌ها رعایت نمی‌شد.

تعادل میان سرعت و امنیت

میلاد سجادی، مدیر اداره امنیت بانک تجارت هم با تأکید بر ضرورت نظارت چندلایه بر امنیت در بانک‌ها گفت: نظارت امنیتی نباید فقط وابسته به یک مدیر یا یک واحد باشد. حتی اگر معاون امنیت گرفتار پروژه‌های دیگر شود یا از برخی مسائل غافل بماند، باید ساختارهای نظارتی دیگر نقش فعال‌تری در کنترل امنیت ایفا کنند.

او با اشاره به چالش‌های داخلی بانک‌ها در حوزه حکمرانی امنیت افزود: از بانکداری شخصی و تجاری گرفته تا اسناد و توسعه بازار الزامات امنیتی ناچار است کندی‌هایی ایجاد کند، چون به صورت ذاتی با ملاحظات جدی همراه است. همین موضوع معاونان فناوری را دائماً در چالش میان سرعت و امنیت قرار می‌دهد.

سجادی با انتقاد از کم‌توجهی رگولاتور طی سال‌های گذشته گفت: تا چند سال اخیر، رگولاتور علاقه چندانی به امنیت نداشت و آن را الویت نمی‌دانست.

او با اشاره به بار عملیاتی بالا در شبکه بانکی هم افزود: ما برای جابه‌جایی مبالغ بسیار کوچک، سرویس آنلاین دائمی ارائه می‌دهیم، در حالی که در دنیا چنین سطحی از تراکنش آنلاین خرد رایج نیست. حجم بالای سرویس‌ها و تراکنش‌ها فشار شدیدی به سیستم ایجاد می‌کند، اما در مقابل، بخش امنیت در همین ساختار فوق‌العاده پرازدحام، به اندازه کافی تقویت نشده است.

سجادی در پاسخ به راهبر پنل مهرک محمودی سردبیر پیوست درباره تجربه شبکه بانکی در دوره «جنگ سایبری» و میزان تأثیر محدودسازی دسترسی‌ها (ایران‌اکسس) هم توضیح داد: کم‌کردن سطح حمله (Attack Surface) یک راهکار اصولی است؛ اما اینکه محدودسازی دسترسی از خارج کشور چقدر در حملات مؤثر است، قابل اندازه‌گیری دقیق نیست. نه می‌توان گفت کاملاً مؤثر است و نه می‌توان آن را بی‌اثر دانست.

او با اشاره به تجربه حملات پیشین افزود: معمولاً حملات گسترده از ترکیب‌های مختلفی برای کسب دسترسی اولیه استفاده می‌کنند. مهاجمان اغلب از سرورهای آلوده داخل کشور بهره می‌برندـ سرورهایی که ممکن است سال‌ها قبل آلوده شده باشند. حتی مواردی داشتیم که ریشه حمله به سه سال قبل بازمی‌گشت.

سجادی تأکید کرد که اقدامات بانک‌ها در دوره بحران محدود به ایران‌اکسس نبود: در بسیاری از بانک‌ها کمیته بحران تشکیل شد و با هماهنگی نهادهای بالادستی تصمیم‌گیری انجام می‌شد. بسیاری از سرویس‌های کم‌اهمیت یا دارای ریسک بالا به‌طور موقت غیرفعال شدند تا سطح حمله کاهش یابد. این سرویس‌ها در آن مقطع کاربرد تجاری فوری نداشتند.

او با اشاره به آمادگی پیشین شبکه بانکی گفت: بانک‌ها از سال‌ها قبل روی تجهیزات، فناوری‌ها و آموزش ادمین‌ها سرمایه‌گذاری کرده بودند. همین آمادگی موجب شد در دوره جنگ سایبری، با وجود محدودیت‌های گسترده، دسترسی ادمین‌ها برقرار بماند و بانک‌ها بتوانند سرویس‌های حیاتی را سرپا نگه دارند.

سجادی با اشاره به سازمان‌هایی که در آن دوره دچار حادثه شدند، گفت: حوادث رخ‌داده ساده نبود؛ مهاجم قطعاً دسترسی ویژه و از قبل آماده‌شده داشت. در آن شرایط وقوع حادثه برای برخی نهادها اجتناب‌ناپذیر بود.

باید درس بگیریم

شادرخ مدیر فناوری اطلاعات بانک سامان هم با تاکید بر ضرورت گزارش‌دهی ساختارمند در حوادث امنیتی گفت: اتفاقاتی که رخ می‌دهد باید تبدیل به درس‌آموخته‌های عملی شود. این نیازمند آن است که نهاد رگولاتور، با دسترسی سراسری‌ خود گزارش‌های فنی دقیق و قابل اتکا تولید و در اختیار بازیگران صنعت قرار دهد.

شادرخ با اشاره به حادثه اخیر برای بانک سپه و پاسارگاد ادامه داد: دو سه روز بعد از آن اتفاق، جلساتی با مرکز رگولاتوری داشتیم و اطلاعاتی که جمع‌آوری شده بود، به‌صورت شفاهی در اختیار ما قرار گرفت و توانستیم سریع از آن استفاده کنیم. اما این فرآیند باید بسیار ساختاریافته‌تر باشد.

او تأکید کرد: بر اساس همین داده‌ها توانستیم گزارش‌های تحلیلی داخلی را آماده کنیم و نقاط ضعف ضروری را برای مدیران ارشد ارائه دهیم. سپس منابع لازم تخصیص یافت و تجهیزات فنی موردنیاز تأمین شد. اما برای آینده، صنعت بانکی نیازمند یک سازوکار نظام‌مند و پایدار برای دریافت این ریپورت‌ها و گزارش‌های فنی است.

چالش جدی کمبود نیروی انسانی

شهرام بخشا، معاون فناوری اطلاعات بانک توسعه تعاون هم با اشاره به چالش‌های جدی بانک‌ها در جذب نیروی متخصص امنیت سایبری گفت: به‌صورت لحظه‌ای امکان تأمین نیروی متخصص در داخل سازمان وجود ندارد. تنها راهکاری که فعلاً برای آن اندیشیده‌ایم، برونسپاری است.

او با اشاره به مهاجرت نیروهای متخصص و هزینه‌های بالای حقوق و دستمزد در حوزه امنیت افزود: در شرایطی که جذب نیروهای حرفه‌ای سخت شده و محدودیت‌های ساختارهای دولتی نیز وجود دارد، چاره‌ای جز همکاری با شرکت‌های تخصصی باقی نمی‌ماند.

بخشا در عین حال تأکید کرد که خودِ برونسپاری نیز بدون ریسک نیست و گفت: استفاده از پیمانکاران امنیتی مخاطرات خاص خودش را دارد و نیازمند نظارت جدی بر عملکرد پیمانکار است. اگر این نظارت وجود نداشته باشد، برونسپاری می‌تواند حتی آسیب‌پذیری‌های جدید ایجاد کند.

او با اشاره به افزایش حملات و توجه روزافزون به امنیت در نظام بانکی گفت: اکنون نگاه به امنیت بسیار جدی‌تر شده است. اما این جدیت باید تبدیل به برنامه‌ریزی عملی و سریع شود. باید برای هرکدام از این چالش‌ها راه‌حل داشته باشیم و نمی‌توانیم صرفاً مشکلات را گردن شرایط بیرونی بیندازیم. اتفاقات اخیر یک فرصت جدی برای شبکه بانکی ایجاد کرد تا نگرش خود را نسبت به امنیت تغییر دهد. امروز همکاران ما بسیار محکم‌تر از قبل روی اصول امنیت پافشاری می‌کنند. در ماه‌های گذشته برای دریافت برخی مجوزهای خاص اقدام کردیم تا بتوانیم سطح امنیت را ارتقا دهیم. معاون فناوری اطلاعات بانک توسعه تعاون با اشاره به اهمیت تداوم کسب‌وکار (BCP) در دوره جنگ سایبری گفت: تمرکزمان را بر تقویت تداوم خدمات حیاتی گذاشتیم. حملات اخیر نشان داد که هر بانک ممکن بود مورد هدف قرار گیرد و تنها راه مقابله، داشتن سناریوهای جایگزین و عملیاتی برای تداوم خدمات است. حفظ تداوم کسب‌وکار و آمادگی برای سناریوهای مختلف، امروز دیگر یک برنامه سطح دوم نیست؛ بلکه به اولویت اول نظام بانکی تبدیل شده است.

https://pvst.ir/mxg

سمانه سمیعتحریریه

همه‌چیز از یک مطلب به اسم «اسپایدرزن» که در دوره ارشدم نوشته بودم شروع شد. درحالی که ۱۰ سال کارمند آژانس هواپیمایی بودم در همان روزها احساس کردم چقدر نوشتن را دوست دارم. از دی ۹۸ با کار در آژانس روابط عمومی پرسش و تولید محتوا شروع کردم. بعد از مدتی نوشتن بخش شرکت‌گردی پیوست را به عهده گرفتم و حالا خبرنگار ثابت پیوستم و دقیقا اینجا و در همین نقطه احساس می‌کنم از اینکه به پیوست، پیوستم خوشحالم.

تمام مقالات

0 نظر

ارسال دیدگاه لغو پاسخ