تغییر پیمانکار راه حل اختلالات بانکی نیست؛ فقدان نظارت فنی و روال های امنیتی؛ عامل اصلی بحران
گلزاری، کارشناس حوزه فناوری اطلاعات و بانکداری، گفت: تغییر پیمانکار نباید نخستین واکنش بانک ها به اختلالات سامانه های بانکی باشد؛ ریشه اصلی این مشکلات به ضعف در سیاست های امنیتی، عدم اجرای استانداردهای متعارف در زیرساخت های مراکز داده و مهم تر از همه عدم تدوین اصول پدافند سایبری در سطح سامانه های بانکداری و امنیت داده هاست.
عبدالرضا گلزاری، کارشناس فناوری اطلاعات در حوزه امور بانکی در گفتوگو با خبرنگار سیتنا درباره رویکرد بانک ها در مواجهه با اختلالات اخیر اظهار کرد: هرچند در زمان وقوع اختلالات گسترده، بانک ها ناچارند برای آرام کردن افکار عمومی و حفظ مشتریان خود واکنشی فوری نشان دهند، اما تغییر پیمانکار نه نخستین راهکار است و نه می تواند مشکل را به صورت ریشه ای بر طرف نماید.
وی افزود: زمانی که اختلالات بانکی برای ساعت ها و یا حتی روزها ادامه پیدا می کند، یعنی اینکه در تشخیص دقیق خرابی و راهکارهای برون رفت از آن دچار سردرگمی و ضعف شدید هستیم، چراکه باید مشخص شود منشاء اختلال در کدام سطح یا سطوح از ساختار خدمات بانکی است و آیا حمله سایبری داخلی است یا خارجی؟ همچنین استمرار اختلالات، نشان دهنده آن است که عمق آسیب در سطح لایه های نرم افزاری و پایگاه داده ها بوده و رویه های عملی برای بازیابی اطلاعات و داده ها کارآمد نبوده اند.
گلزاری با اشاره به اهمیت آمادگی سازمان ها در برابر حملات سایبری تصریح کرد: بانک ها باید به صورت مستمر تست های نفوذپذیری، مانورهای امنیتی و رصد و ارزیابی های تاب آوری انجام دهند تا نقاط ضعف بخش های مختلف امنیت داده ها و سیستم ها مشخص گردیده و حملات سایبری پیش از وقوع گسترده شناسایی و مرتفع گردند؛همچنین وجود ساختار معین برای تشخیص نوع حمله و بازسازی سریع خدمات، یکی از الزامات امنیت سایبری است.
این کارشناس حوزه بانکی با انتقاد از وضعیت مراکز داده بانک ها، گفت:بسیاری از بانک ها اگر چه از اطلاعات مشتریان و داده های عملیات بانکی نسخه های پشتیبان تهیه می کنند، اما بدلیل عدم رعایت رویه های استاندارد در بازیابی دوره ای اطلاعات، در زمان بروز بحران، امکان بازیابی آنها را ندارند.
وی همچنین با استناد بر الزامات پدافند غیرعامل، بر ضرورت ایجاد مراکز داده پشتیبان (Disaster Recovery) مطابق استانداردهای جهانی تاکید کرد و گفت:حتی در صورت وقوع حوادث طبیعی مانند زلزله نیز نباید خدمات بانکی در سراسر کشور مختل گردد و این امر مستلزم طراحی زیر ساخت های افزونه و مراکز داده جایگزین است.
گلزاری یکی از مهمترین چالش های موجود را نبود نظارت و ارزیابی تخصصی سامانه های بانکداری متمرکز (Core Banking) دانست و اظهار کرد: بانک مرکزی تا کنون نه تنها هیچ برنامه ای برای اعمال نظارت فنی مؤثر در جهت ارزیابی کیفی، امنیتی و سطح خدمات سامانه های بانکداری نداشته، بلکه در راستای تدوین مقررات و استانداردهای نظارتی (Regulation) سامانه های بانکداری نیز اقدام شایسته ای به عمل نیاورده است؛ در حالی که وجود یک نظام ارزیابی و رتبه بندی برای این سامانه ها می تواند نقش مهمی در ایجاد رقابت برای ارتقاء کیفیت و افزایش تاب آوری شبکه بانکی ایفا نماید.
وی با بیان اینکه نبود متولی مشخص مثلا مدیر ارشد امنیت اطلاعات (CISO:Chief Information Security Officer) در حوزه امنیت سایبری بانک ها سبب گردیده تا هیچ مرجع پاسخگویی در قبال بروز اختلالات سایبری در بانک ها وجود نداشته باشد، پیشنهاد کرد نهادی مستقل و تخصصی با حمایت بانک مرکزی برای انجام وظایفی از قبیل:
- نظارت بر امنیت اطلاعات و خدمات، زیر ساخت و عملیات با هدف ارزیابی تضمین سلامت، در دسترس بودن و امنیت سیستم های بانکی
- نظارت بر پایش هوشمند تراکنش ها و تطابق آنها با پروفایل مشتریان برای کشف فعالیت های مشکوک
- تدوین پایش مبتنی بر ریسک در جهت کشف ارتباطات پنهان بین حساب ها و ذینفعان
- تدوین معماری اعتماد صفر (Zero Trust) با الزامات نظارتی جدید
و رتبه بندی سامانه های بانکی و نظارت بر عملکرد زیرساخت های فناوری اطلاعات بانک ها ایجاد شود.
این کارشناس در پایان خاطرنشان کرد: افزایش پیچیدگی خدمات بانکی و توسعه بانکداری باز بیش از گذشته نیازمند حکمرانی تخصصی مبتنی بر هوش مصنوعی، استانداردسازی و نظارت مستمر بر خدمات بانک ها و سرمایه گذاری در حوزه امنیت سایبری است درغیر اینصورت، تکرار اختلالات گسترده و کاهش اعتماد عمومی به نظام بانکی کشور دور از انتظار نخواهد بود.
انتهای پیام
گفت و گو از سارا استوار
دیدگاهها
زمانی که پیمانکار، چه در لایه زیرساخت و چه در لایه توسعه، پروتکلهای امنیتی را نقض کرده یا استانداردهای توافق شده را نادیده میگیرد، دیگر «ضعف سیاستهای امنیتی بانک» تنها عامل بحران نیست، بلکه «خطر نفوذ از طریق شخص ثالث (Third-Party Risk)» به متغیر اصلی تبدیل میشود.
اتفاقاً تجربه سالهای اخیر و تحلیلهای فنی نشان میدهد که در حوزه مدیریت امنیت اطلاعات و طراحی معماریهای تابآور، ما نیازی به وابستگی به پیمانکاران خارجی (مانند شرکتهای چینی) نداریم. توانمندی متخصصان داخلی در حوزه امنیت سایبری، پدافند غیرعامل و مدیریت زیرساختهای حیاتی، اکنون به سطحی از بلوغ رسیده است که میتوانیم بدون تن دادن به ریسکهای امنیتی ناشی از حضور پیمانکاران غیرمتعهد یا وابستگی به زیرساختهای غیرشفاف، امنیت سامانههای بانکی را بهصورت بومی و با استانداردهای جهانی (مانند Zero Trust) تضمین کنیم.
سیاست صحیح این است که بهجای تکیه بر پیمانکارانی که اصول حرفهای را نقض میکنند، با تکیه بر دانش متخصصان داخلی و تدوین چارچوبهای سختگیرانه برای «مدیریت ریسک تأمینکنندگان»، امنیت را به عنوان یک دارایی بومی بازتعریف کنیم.
افزودن دیدگاه جدید