کد خبر: 339027
20 تیر 1405 - 10:24

تغییر پیمانکار راه حل اختلالات بانکی نیست؛ فقدان نظارت فنی و روال های امنیتی؛ عامل اصلی بحران

گلزاری، کارشناس حوزه فناوری اطلاعات و بانکداری، گفت: تغییر پیمانکار نباید نخستین واکنش بانک ها به اختلالات سامانه های بانکی باشد؛ ریشه اصلی این مشکلات به ضعف در سیاست های امنیتی، عدم اجرای استانداردهای متعارف در زیرساخت های مراکز داده و مهم تر از همه عدم تدوین اصول پدافند سایبری در سطح سامانه های بانکداری و امنیت داده هاست.

متن خبر

عبدالرضا گلزاری، کارشناس فناوری اطلاعات در حوزه امور بانکی در گفت‌وگو با خبرنگار سیتنا درباره رویکرد بانک ها در مواجهه با اختلالات اخیر اظهار کرد: هرچند در زمان وقوع اختلالات گسترده، بانک ها ناچارند برای آرام کردن افکار عمومی و حفظ مشتریان خود واکنشی فوری نشان دهند، اما تغییر پیمانکار نه نخستین راهکار است و نه می تواند مشکل را به صورت ریشه ای بر طرف نماید.

وی افزود: زمانی که اختلالات بانکی برای ساعت ها و یا حتی روزها ادامه پیدا می کند، یعنی اینکه در تشخیص دقیق خرابی و راهکارهای برون رفت از آن دچار سردرگمی و ضعف شدید هستیم، چراکه باید مشخص شود منشاء اختلال در کدام سطح یا سطوح از ساختار خدمات بانکی است و آیا حمله سایبری داخلی است یا خارجی؟ همچنین استمرار اختلالات، نشان دهنده آن است که عمق آسیب در سطح لایه های نرم افزاری و پایگاه داده ها بوده و رویه های عملی برای بازیابی اطلاعات و داده ها کارآمد نبوده اند.

گلزاری با اشاره به اهمیت آمادگی سازمان ها در برابر حملات سایبری تصریح کرد: بانک ها باید به صورت مستمر تست های نفوذپذیری، مانورهای امنیتی و رصد و ارزیابی های تاب آوری انجام دهند تا نقاط ضعف بخش های مختلف امنیت داده ها و سیستم ها مشخص گردیده و حملات سایبری پیش از وقوع گسترده شناسایی و مرتفع گردند؛همچنین وجود ساختار معین برای تشخیص نوع حمله و بازسازی سریع خدمات، یکی از الزامات امنیت سایبری است.

این کارشناس حوزه بانکی با انتقاد از وضعیت مراکز داده بانک ها، گفت:بسیاری از بانک ها اگر چه از اطلاعات مشتریان و داده های عملیات بانکی نسخه های پشتیبان تهیه می کنند، اما بدلیل عدم رعایت رویه های استاندارد در بازیابی دوره ای اطلاعات، در زمان بروز بحران، امکان بازیابی آنها را ندارند.

وی همچنین با استناد بر الزامات پدافند غیرعامل، بر ضرورت ایجاد مراکز داده پشتیبان (Disaster Recovery) مطابق استانداردهای جهانی تاکید کرد و گفت:حتی در صورت وقوع حوادث طبیعی مانند زلزله نیز نباید خدمات بانکی در سراسر کشور مختل گردد و این امر مستلزم طراحی زیر ساخت های افزونه و مراکز داده جایگزین است.

گلزاری یکی از مهمترین چالش های موجود را نبود نظارت و ارزیابی تخصصی سامانه های بانکداری متمرکز (Core Banking) دانست و اظهار کرد: بانک مرکزی تا کنون نه تنها هیچ برنامه ای برای اعمال نظارت فنی مؤثر در جهت ارزیابی کیفی، امنیتی و سطح خدمات سامانه های بانکداری نداشته، بلکه در راستای تدوین مقررات و استانداردهای نظارتی (Regulation) سامانه های بانکداری نیز اقدام شایسته ای به عمل نیاورده است؛ در حالی که وجود یک نظام ارزیابی و رتبه بندی برای این سامانه ها می تواند نقش مهمی در ایجاد رقابت برای ارتقاء کیفیت و افزایش تاب آوری شبکه بانکی ایفا نماید.

وی با بیان اینکه نبود متولی مشخص مثلا مدیر ارشد امنیت اطلاعات (CISO:Chief Information Security Officer) در حوزه امنیت سایبری بانک ها سبب گردیده تا هیچ مرجع پاسخگویی در قبال بروز اختلالات سایبری در بانک ها وجود نداشته باشد، پیشنهاد کرد نهادی مستقل و تخصصی با حمایت بانک مرکزی برای انجام وظایفی از قبیل:

  1. نظارت بر امنیت اطلاعات و خدمات، زیر ساخت و عملیات با هدف ارزیابی تضمین سلامت، در دسترس بودن و امنیت سیستم های بانکی 
  2. نظارت بر پایش هوشمند تراکنش ها و تطابق آنها با پروفایل مشتریان برای کشف فعالیت های مشکوک 
  3. تدوین پایش مبتنی بر ریسک در جهت کشف ارتباطات پنهان بین حساب ها و ذینفعان  
  4. تدوین معماری اعتماد صفر (Zero Trust) با الزامات نظارتی جدید

و رتبه بندی سامانه های بانکی و نظارت بر عملکرد زیرساخت های فناوری اطلاعات بانک ها ایجاد شود.

این کارشناس در پایان خاطرنشان کرد: افزایش پیچیدگی خدمات بانکی و توسعه بانکداری باز بیش از گذشته نیازمند حکمرانی تخصصی مبتنی بر هوش مصنوعی، استانداردسازی و نظارت مستمر بر خدمات بانک ها و سرمایه گذاری در حوزه امنیت سایبری است درغیر اینصورت، تکرار اختلالات گسترده و کاهش اعتماد عمومی به نظام بانکی کشور دور از انتظار نخواهد بود. 

انتهای پیام

گفت و گو از سارا استوار

نظرات خود را با ما درمیان بگذارید

دیدگاه‌ها

اینترنت وصل کنید
خوب کاملا مشخصه که این جنگ تمومی نداره و فشارش روی مردم بیچاره خواهد بود. یه چیزی بدتر از اوکراین چون اینترنت درست حسابی هم نداریم
میر علی شهیدی
با احترام به نظر مطرح شده، باید تأکید کرد که "تغییر پیمانکار" نه یک واکنش هیجانی، بلکه یک ضرورت اجتناب‌ناپذیر در صورت نقض توافق‌نامه عدم افشا (NDA) و اصول محرمانگی است. امنیت اطلاعات در نظام بانکی، پیش از آنکه صرفاً یک چالش فنی باشد، یک مقوله مبتنی بر «اعتماد» و «حاکمیت داده» است.
​زمانی که پیمانکار، چه در لایه زیرساخت و چه در لایه توسعه، پروتکل‌های امنیتی را نقض کرده یا استانداردهای توافق شده را نادیده می‌گیرد، دیگر «ضعف سیاست‌های امنیتی بانک» تنها عامل بحران نیست، بلکه «خطر نفوذ از طریق شخص ثالث (Third-Party Risk)» به متغیر اصلی تبدیل می‌شود.
​اتفاقاً تجربه سال‌های اخیر و تحلیل‌های فنی نشان می‌دهد که در حوزه مدیریت امنیت اطلاعات و طراحی معماری‌های تاب‌آور، ما نیازی به وابستگی به پیمانکاران خارجی (مانند شرکت‌های چینی) نداریم. توانمندی متخصصان داخلی در حوزه امنیت سایبری، پدافند غیرعامل و مدیریت زیرساخت‌های حیاتی، اکنون به سطحی از بلوغ رسیده است که می‌توانیم بدون تن دادن به ریسک‌های امنیتی ناشی از حضور پیمانکاران غیرمتعهد یا وابستگی به زیرساخت‌های غیرشفاف، امنیت سامانه‌های بانکی را به‌صورت بومی و با استانداردهای جهانی (مانند Zero Trust) تضمین کنیم.
​سیاست صحیح این است که به‌جای تکیه بر پیمانکارانی که اصول حرفه‌ای را نقض می‌کنند، با تکیه بر دانش متخصصان داخلی و تدوین چارچوب‌های سخت‌گیرانه برای «مدیریت ریسک تأمین‌کنندگان»، امنیت را به عنوان یک دارایی بومی بازتعریف کنیم.
علی
لطفاً زمانی که خبری از اختلال های بانک ها قرار می دهید، بنویسید: / به ادعای بانک ملی مثلاً سامانه ... درست شد. / چون اینها فقط ادعا هست و دروغگویی. باید ریس بانک مرکزی، ملی و صادرات اخراج شوند و در تلویزیون بارها گفته شود.

افزودن دیدگاه جدید

کپچا
CAPTCHA ی تصویری
کاراکترهای نمایش داده شده در تصویر را وارد کنید.