Blog

دومین نمایشگاه امنیت

مصاحبه با خانم دکتر آریا: “بانکداری نوین و تهدیدات فضای سایبر”

اگرچه رویدادهای امنیتی فضای سایبری و هزینه آن‌ها روزبه‌روز در حال افزایش می‌باشد، اما توان مقابله با این رخدادها به میزان قابل قبولی افزایش نیافته است. اکثر مجموعه‌ها سرمایه‌گذاری استراتژیک در امنیت فضای سایبر را جدی نگرفته و آن را با استراتژی کلی سازمان خود
هم سو نمی‌نمایند.

گزارش‌های اخیر حاکی از آن است که اگرچه مؤسسات مالی اعتباری قدم‌های بزرگی برای تأمین امنیت سرویس‌های خود در فضای سایبر برداشته‌اند، شتاب تغییر فناوری و رشد ریسک‌های مرتبط، همچنان چالش بزرگ این نوع مجموعه‌ها و مؤسسات محسوب می‌گردد. باوجوداینکه بانک‌ها از تکامل روزبه‌روز این تهدیدات آگاه‌اند ولی فضای رقابتی شدید برای استفاده از جدیدترین فناوری‌ها در خدماتشان، آماده بودن برای مقابله با این تهدیدات را دشوار می‌نماید.

این حقیقتی روشن است که راه‌حل‌های در نظر گرفته‌شده برای تهدیدات پرمخاطره و مداوم کنونی، کافی نمی‌باشند.

در دنیای مملو از جرائم فضای سایبر امروزی، مجرمین به‌صورت مداوم و به‌سرعت تاکتیک‌های خود را به‌روز می‌نمایند تا در مقابل پیشرفت‌های امن سازی پیاده‌سازی شده توسط کسب‌وکارها و دولت‌ها از مزیت رقابتی برخوردار باشند.

به‌عنوان‌مثال اخیراً نفوذ گران موفق به طراحی نوعی از حملات DDOS گردیده‌اند که می‌تواند ترافیک سرسام‌آوری در حد 400 گیگا بیت در ثانیه ایجاد نماید، قدرتمندترین نوع DDOS ای که تا به امروز مشاهده‌شده است (منبع گزارش 2014 US Cybercrime Report)

از مهم‌ترین تهدیداتی که بانک‌ها و مؤسسات مالی اعتباری با آن مواجه هستند می‌توان به موارد زیر اشاره نمود:

-کارکنان، خصوصاً کارکنانی که از مجموعه خارج‌شده و اطلاعات کلیدی با خود خارج می‌نمایند.

-نشت اطلاعات مشتریان خصوصاً اطلاعات مشتریان شرکتی و حقوقی

-نشت اطلاعات تبادلات و معاملات بانکی ازجمله شماره‌حساب‌ها، مقدار حساب و ….

-مکاتبات داخلی که به مشکلات و بحث‌های درون‌سازمانی موردتوجه نفوذ گران می‌پردازد.

-نشر و نشت اطلاعات توسط رسانه‌ها

-انتشار برنامه‌های بازاریابی و نوآوری‌های بانک که برای رقبا مهم است.

-آشکار شدن برنامه‌های سرمایه‌گذاری بانک

-نشت راهکارهای مرتبط با امنیت اطلاعات بانک

-نشت اطلاعات جابجایی نقدینگی‌هایی که در جرائم متداول کاربرد فراوان دارد.

باوجود این‌همه تهدیدات و مخاطرات، آیا باید بانکداری نوین و استفاده از فناوری اطلاعات و فضای سایبر را برای ارائه خدمات به فراموشی سپرد و همان رویکرد بانکداری سنتی را ادامه داد؟

بسیار طبیعی است که دغدغه‌های تهدیدات سایبری بر میزان رشد تأثیر گذاشته و روند استفاده از فناوری را کند نمایند. اما راه‌حل در عدم استفاده یا پرهیز از فناوری نیست و نخواهد بود.

راه‌حل در شناسایی و ارزیابی تهدیدات و آمادگی برای مقابله با آن‌ها نهفته است.

امن سازی اطلاعات فرآیندی مداوم است. مقابله با تهدید در مؤسسات مالی اعتباری عملیاتی است روزانه. تعیین دارایی‌های اطلاعاتی ارزشمند که نیاز به محافظت دارند، شناخت تهدیداتی که با آن مواجه هستند و احتمال وقوع آن‌ها و اثر آن بر کسب‌وکار به بهبود خدمات، اعتبار و کسب‌وکار مجموعه‌ها کمک قابل‌توجهی می‌نماید.

زمانی که دارائی‌های ارزشمند و تهدیدات مرتبط شناسایی گردید، کنترل‌های لازم برای حفاظت از این اطلاعات موردنیاز است. در این راستا، استانداردها، راهنماها و مجموعه‌ای از روش‌ها و بهترین تجارب در دنیا وجود دارند که راه‌های پیاده‌سازی امنیت و مدیریت آن را در مجموعه ارائه می‌نمایند.

بیش از 80 درصد مجموعه‌ها که در امن سازی موفق بوده‌اند از دانش و تجربه سایر مجموعه‌ها و با به اشتراک‌گذاری دانسته‌هایشان و شناسایی روند تهدیدات، بهره فراوانی برده‌اند.

ازجمله توصیه‌هایی برای بهبود سطح امنیت بانک‌ها و مؤسسات مالی اعتباری در فضای سایبر، می‌توان به موارد ذیل اشاره نمود،

  1. استراتژی امنیتی مجموعه باید هم‌راستا با استراتژی اصلی سازمان تدوین گردد.
  2. شرکای تجاری و پیمانکاران و زنجیره‌های تأمین باید ازلحاظ امنیتی باسیاست‌های امنیتی مجموعه بانکی هم‌راستا باشند.
  3. جریان اطلاعات به تأمین‌کنندگان باید تحت سیاست‌های امنیتی بانک انجام پذیرد.
  4. فناوری‌های موبایل و تهدیدات آن باید به‌طورجدی موردتوجه قرار گیرد.
  5. ارزیابی تهدیدات باید به‌طور مداوم انجام‌شده و تهدیدات و مخاطرات به‌درستی مدیریت شوند.
  6. همکاری با سایر بانک‌ها و مجموعه‌ها و به اشتراک‌گذاری اطلاعات برای درک مخاطرات و بهبود امنیت فضای مجازی ضروری است.
  7. اثرات مخرب رویدادهای امنیتی مرتبط با کارکنان و تهدیدات درون‌سازمانی باید به‌اندازه تهدیدات برون‌سازمانی نظیر نفوذ گران در نظر گرفته شود.
  8. در مواردی که تهدیدات مرتبط با انسان‌ها موردتوجه قرار می‌گیرد، اصل آموزش و آگاهی‌رسانی باید در رأس کلیه فعالیت‌ها قرار گیرد.
  9. استراتژی تداوم کسب‌وکار باید به‌عنوان بخشی از استراتژی کلی سازمان و هم‌راستا با استراتژی امنیتی سازمان تدوین گردد.

نتیجه آنکه برای مدیریت امنیت اطلاعات در مجموعه‌های حساس مالی و اعتباری، باید وضعیت کنونی را شناخت، وضعیت مطلوب موردنظر را با توجه به استراتژی‌های اصلی سازمان تعیین و راه رسیدن به این وضعیت مطلوب و ماندن در آن را ترسیم نمود و برای رسیدن به امنیت اطلاعات منابع لازم را تأمین کرد. با این تدبیر می‌توان به نیاز بانک به پیاده‌سازی استاندارد، ایجاد گوهر، استقرار مرکز عملیات امنیت و موارد دیگر پی برد.

برای ماندن در وضعیت مطلوب نیز باید نظارت نمود، با سایر مجموعه‌ها تبادل اطلاعات انجام داده و دانش را به اشتراک گذارد.

استفاده از فناوری‌های جدید غیرقابل‌اجتناب است. راه‌حل در آمادگی برای مقابله با تهدیدات فناوری‌های نوین و مخاطرات فضای سایبر است. این آمادگی فعالیتی است روزانه، نیازمند تأمین منابع و سرمایه‌گذاری، نیازمند حمایت مدیران، افزایش آگاهی و دانش و در یک جمله ایجاد سند راهبردی امنیت اطلاعات بانک، هم‌راستا با سند راهبردی کلی سازمان. تنها با مشخص بودن اهداف امنیتی بانک، روشن بودن مسیر دستیابی به این اهداف و تأمین منابع مناسب، می‌توان برای مقابله با تهدیدات فضای سایبر آماده شد و بانکداری نوین را از یک تهدید به یک فرصت تبدیل نمود.

بخش خصوصی فعال در حوزه امنیت فضای تولید و تبادل اطلاعات به‌عنوان بازوی اجرایی، آماده ارائه خدمات برای شناسایی، ارزیابی و تأمین نیازهای امنیتی زیرساخت‌های حیاتی کشور ازجمله بانک‌ها و مؤسسات مالی اعتباری بوده و در کمیسیون افتای سازمان نظام صنفی رایانه‌ای استان تهران، فرصت تبادل‌نظر و طرح مسائل برای تدوین راهکارهای مناسب فراهم می‌باشد.

آگاهی و آمادگی آگاهانه، بهترین سلاح برای مقابله با تهدیدات فضای سایبر می‌باشد!

بهناز آریا
عضو هیات مدیره و رییس کمیسیون افتا
سازمان نظام صنفی رایانه‌ای استان تهران

3