پیشرفت‌ در فناوری، مقررات و قوانین جدیدی را برای فعالیت‌های مالی ایجاد کرده و در عین حال فعالیت‌های مجرمانه و سوءاستفاده‌های مالی کلان را نیز ممکن ساخته است. در این بین، نگرانی فزاینده بانک‌ها و موسسات مالی این است که چگونه به انبوهی از بحران‌های احتمالی ناشی از ضعف در امنیت سایبری و روندهای آن واکنش موثر نشان دهند. آنچه مسلم است، از هک و خرابکاری‌های مجرمانه گرفته تا آسیب‌پذیری‌ در زیرساخت‌های موجود و روزنه‌های افشای داده‌های محرمانه، بانک‌ها را با چالش‌های متنوعی مواجه ساخته است؛ بر همین اساس موضوع تامین امنیت سایبری در زیرساخت‌های حیاتی با تکیه بر نظام بانکی و حوزه پرداخت، از ضرورت‌هایی است که در چند سال گذشته با حساسیت بالایی دنبال شده‌ است. صمت در این گزارش به بررسی مشکلات احتمالی و راهکارهای افزایش امنیت سایبری در نظام بانکی ایران پرداخته است.

ضرورت تقویت تاب‌آوری زیرساخت‌ها

امروزه، توسعه فناوری اطلاعات و فضای سایبری موجب شده بخش‌های مهمی از کارکرد زیرساخت‌های حیاتی و حساس، وابسته به این فضا شوند. در نتیجه‌ وجود چنین وابستگی‌ای، امنیت زیرساخت‌ها به فضای سایبری گره خورده است. گاهی نیز کشورهای متخاصم با هدف اخلال در زیرساخت‌های حیاتی کشور، سعی در ایجاد اختلال در زیرساخت‌هایی می‌کنند که شبکه بانکی بر آن استوار است.

هرچند تا امروز مشکل جدی در این زمینه ایجاد نشده اما بررسی شاخص‌های دفاعی-امنیتی فضای سایبری زیرساخت‌های حیاتی و حساس، با‌توجه ‌به رویکردهای پدافند غیرعامل موضوع مهمی است که در دستور کار تمام دولت‌ها قرار دارد. ‌اکنون کشور ما، بیش ‌از پیش به تعیین شاخص‌های دفاعی-امنیتی فضای سایبری نیاز دارد و پرداختن به این مهم، موجب تقویت تاب‌آوری زیرساخت‌ها در برابر چنین تهدیدهایی می‌شود.

تهدیدات داخلی امنیتی، نقطه ضعف بانک‌ها

پویا پوراعظم، رئیس پیشین اداره تطبیق بانکداری دیجیتال بانک خاورمیانه: تا امروز بانک‌ها و شرکت‌های فعال در حوزه فناوری‌ مالی نسبت به صنایع دیگر در حوزه امنیت سایبری، از وضعیت بهتری برخوردار بوده‌اند. حداقل از نظر آماری این‌طور بوده است. با این حال، وضعیت نظام بانکی و پرداخت، مطلوب هم نبوده است. برای تامین امنیت سایبری حذف دسترسی‌ به خدمات و زیرساخت‌های خارجی، راه‌حل اصلی نیست و درمان موقتی و سریع است. همچنین ممکن است منشأ برخی حملات خارج از کشور باشد، اما لزوما از طریق دسترسی به اینترنت و خارج از کشور اعمال نشود و به داخل ایران و تهدیدهای داخلی سازمان باز‌گردد؛ بنابراین می‌توان گفت درحال‌حاضر در زیرساخت‌های حیاتی به‌ویژه نظام بانکی و شبکه پرداخت، تهدیدات داخلی، جدی است و نقطه ضعف اصلی هم همین‌جاست.

درحال‌حاضر بانک‌ها در تامین تجهیزات موردنیاز برای کنترل تهدیدات شبکه خارج از سازمان، مشکلی ندارند، اما در بعد فرهنگ‌سازی در سازمان و بانک، توجه لازم نشده است؛ بنابراین گاهی مشاهده می‌شود امنیت سایبری در همه بخش‌ها، اعم از هیات مدیره، مدیریت ارشد و البته در بین تمام کارمندان سازمان، دغدغه اصلی نبوده و به آن اهمیت داده نمی‌شود.برای حفظ امنیت سایبری در اشتراک‌گذاری اطلاعات نیز باید مانند سایر کشورهای جهان از زیرساخت‌ها و پلتفرم‌های موجود استفاده کرد. گاهی نیز باوجود پرداخت هزینه‌های بالا برای تامین تجهیزات، به‌دلیل بهره‌برداری نادرست از تجهیزات به نتایج مطلوب در برقراری امنیت سایبری نمی‌رسیم. نکته بعدی اینکه بخشی از بودجه امنیت سایبری باید برای آموزش، هزینه شود. همچنین باید بابت بخش‌هایی که خارج از پوشش فایروال و تجهیزات امنیتی هستند اقدامات لازم صورت گیرد.

با این همه درحال‌حاضر باتوجه به تامین تجهیزات، موضوع اصلی در تامین امنیت سایبری، در حوزه مباحث استراتژیک و کلان امنیت است؛ چنانچه مشکلاتی در حوزه ساختار سازمانی امنیت اطلاعات و امنیت سایبری بانک‌ها مشاهده می‌شود. به‌عنوان نمونه هنوز در برخی بانک‌ها، متولی امنیت اطلاعات آن، در سطوح میانی سازمانی قرار دارد. در حوزه قراردادهای فناوری با شرکت‌های پیمانکار نیز زیرمجموعه و شرکای تجاری باید به ملاحظات قراردادی اهمیت بدهند تا دغدغه‌های امنیت سایبری در الزامات قراردادی گنجانده شود.

استفاده از تخصص هکرها در حفظ امنیت سایبری

رویا دهبسته، کارشناس حوزه فناوری اطلاعات: حدود ۱۰ سال است که از مفهوم «باگ‌بانتی» در دنیا استفاده می‌شود. ضرورت تامین امنیت سایبری در نظام بانکی دنیا، سازمان‌ها را به سمت پلتفرم‌های باگ‌بانتی سوق داد تا از کمک هکرهایی که متخصص امنیت بوده و به‌اصطلاح «کلاه‌سفید» هستند استفاده شود. این افراد سامانه‌های سازمان‌ها در پلتفرم‌های جدید را زیر بار تست می‌برند و تغییراتی را که از دید برنامه‌نویس جا می‌ماند یا دیده نمی‌شود، گزارش و مابه‌ازای آن، «بانتی» یا مبلغ قدردانی دریافت می‌کنند. در ایران نیز از سال ۹۷ این کار انجام می‌شود و استفاده از توان این حوزه در تامین امنیت سایبری در بانک‌ها و موسسات مالی در حال گسترش است.

شروط اجرای موفق باگ‌بانتی در بانک‌ها

اجرای موفق باگ‌بانتی، شروطی دارد. متخصصان ارزیابی سامانه، باید هم از لحاظ دانشی، تخصص مناسب داشته باشند و هم تعهد کاری و حرفه‌ای لازم را دارا باشند. پلتفرم مربوطه نیز باید قوانین را شفاف، دقیق و فنی بیان کند تا بین متخصص، هکر و سازمان، تضاد ایجاد نشود، داوری عادلانه باشد و انگیزه برای همکاری متخصص ایجاد شود. به‌خاطر تفاوت فاحش ارزش دلار و ریال، بسیاری از متخصصان ما تمایل به فعالیت فریلنسری، در پلتفرم‌های خارج از کشور دارند. مسئله دیگر حمایت محدود بانک‌ها از فین‌تک‌های زیرمجموعه‌، در زمینه تامین بودجه امنیت سایبری است که آسیب‌پذیری سیستم را بالا می‌برد. مسئله بعدی، نگاه سنتی در برخی مجموعه‌های بانکی و مالی و تنظیم قراردادهای امنیت در قالب مناقصه با کمترین هزینه بدون توجه به کیفیت و بررسی فنی است. فرهنگ‌سازی میان مدیران ارشد و هیات مدیره سازمان‌های بانکی نیز از ضرورت‌هاست.

سهم بانک‌ها در شاخص‌های سطح بلوغ

سطح بلوغ استفاده از ظرفیت‌های باگ‌بانتی در کشور باید افزایش یابد که از یک سو نیازمند تغییر نگاه سازمان‌ها به موضوع باگ‌بانتی است و از سوی دیگر، نیازمند نگاه تسهیل‌گرانه در نهادهای نظارتی. نکته بعدی اینکه قوانین حوزه مالیات و تامین اجتماعی، مربوط به ۲۰ تا ۳۰ سال گذشته است و لحاظ آنها برای کسب‌وکارها، باعث شکست آنها می‌شود؛ بنابراین بروزرسانی قوانین نیز مهم است. نکته دیگر، بلوغ خود پلتفرم‌های باگ‌بانتی و آموزش نیروی انسانی به‌ویژه در حوزه secure coding است که واقعا به آن کم‌توجهی می‌شود.نکته آخر، مشاوره انعقاد قرارداد یا SLA برای ارزیابی‌ مستمر این فرآیند است. این موارد منجر به بلوغ فضای امنیت سازمان‌ها و صنعت مالی و بانکی می‌شود.

نقش نوآوری در بانک‌ها برای ارتقای امنیت سایبری

ارژنگ طالبی‌نژاد، مدیر برندینگ: باتوجه به اینکه وظیفه حفاظت از حجم عظیم داده‌های حساس مشتری و دارایی‌ و سپرده برعهده بانک‌هاست، با افزایش پیچیدگی تهدیدات سایبری، حفاظت از این اطلاعات به یک چالش مهم تبدیل شده است. در این زمینه، اقدامات امنیت سایبری برای جلوگیری از دسترسی‌های غیرمجاز، سرقت داده‌ها و کلاهبرداری مالی بسیار مهم است.

بانک‌ها باید روی فناوری‌های پیشرفته‌ای مانند رمزگذاری، احراز هویت چندمرحله‌ای و سیستم‌های تشخیص تقلب و کشف ناهنجاری سرمایه‌گذاری کنند تا بتوانند زیرساخت‌های خود را در برابر تهدیدات سایبری پیشرفته تقویت کنند.

نوآوری، نقشی محوری در توانمند کردن بانک‌ها برای انطباق، رشد و برآورده‌ ساختن نیازهای درحال‌رشد مشتریان دارد. با این‌ حال، نوآوری با خطرات امنیتی ذاتی همراه است. از آنجا که بانک‌ها از فناوری‌های نوظهور مانند بانکداری تلفن همراه، هوش مصنوعی و بلاک‌چین استقبال می‌کنند، باید اطمینان حاصل کنند که اقدامات امنیت سایبری نیز با سرعت و دقت انجام می‌شود.نوآوری‌هایی در فناوری امنیت سایبری از جمله تشخیص ناهنجاری مبتنی بر یادگیری ماشین و تجزیه‌وتحلیل رفتاری، به بانک‌ها کمک می‌کند تا تهدیدات را در زمان واقعی شناسایی کنند و به آنها پاسخ دهند. همچنین، این امر انعطاف‌پذیری آنها را در برابر حملات افزایش می‌دهد.

همکاری با فین‌تک‌ها

ظهور شرکت‌های فین‌تک شیوه‌های سنتی بانکداری را متحول و بانک‌ها را مجبور به همکاری با استارت‌آپ‌های نوآور کرده است. چنین همکاری‌هایی جدا از اینکه فرصت‌های جدیدی را ارائه می‌دهند، چالش‌هایی را نیز برای امنیت سایبری طرح می‌کنند. بانک‌ها باید چهارچوب‌های امنیتی قوی ایجاد کنند تا از داده‌های به اشتراک گذاشته شده مشتریان با شرکای فین‌تک خود محافظت کنند. در این زمینه، تلاش‌های مشترک می‌تواند منجر به توسعه راه‌حل‌های ایمن و یکپارچه، مانند شکل‌گیری پلتفرم‌های بانکداری باز که استانداردهای امنیتی را نیز افزایش می‌دهند، شود.صنعت بانکداری تحت چهارچوب‌های نظارتی سختگیرانه‌ای عمل می‌کند که برای تضمین ثبات مالی، حفاظت از منافع مشتریان و مبارزه با جرایم مالی طراحی شده‌اند. این مقررات استانداردهای امنیت سایبری و الزامات حفاظت از داده‌ها را در برمی‌گیرد. بانک‌ها باید در شیوه‌هایی که برای برقراری امنیت سایبری خود انجام می‌دهند، نوآوری کنند تا بتوانند با قوانین در حال تحول این حوزه مانند مقررات حفاظت از داده‌های عمومی اتحادیه اروپا ( GDPR ) و دستورالعمل دوم خدمات پرداخت ( PSD ) همسو شوند.پذیرش اقدامات امنیتی نوآورانه به بانک‌ها کمک می‌کند ضمن حفظ شیوه‌های نوین و سختگیرانه حفاظت از داده‌ها، بتوانند با قوانین جدید انطباق پیدا کنند.

اعتماد و تجربه مشتری

حفظ اعتماد مشتریان برای بانک‌ها مهم است و امنیت سایبری نقشی حیاتی در ایجاد و حفظ این اعتماد دارد. مشتریان از موسسات مالی و بانک‌ها انتظار دارند که از اطلاعات شخصی و مالی آنها به بهترین شکل ممکن محافظت کنند. بانک‌هایی که تامین امنیت سایبری را در اولویت خود قرار و تعهد خود را به حفاظت از داده‌ها نشان می‌دهند، از یک مزیت رقابتی بهره‌مند می‌شوند.

راه‌حل‌های نوآورانه امنیت سایبری، مانند احراز هویت بیومتریک، اینترنت بانک‌ها و اپلیکیشن‌های بانکداری همراه ایمن و سیستم‌های تشخیص کلاهبرداری و کشف تقلب، تجربه مشتری را به‌راحتی و بدون به خطر انداختن امنیت او افزایش می‌دهند.

سخن پایانی

با پیشرفت فناوری اطلاعات، سرویس‌های مختلفی به مشتریان نظام بانکی داده می‌شود و به همین میزان نیز تهدیدهایی از سوی مهاجمان، مشتریان بانکی را تهدید می‌کند. در یک حمله سایبری به سیستم بانکی یکسری خدمات از جمله اینترنت بانک، اطلاعات هویتی مشتریان نزد بانک‌ها و زیرساخت‌های سامانه‌های حاکمیتی دچار مشکل می‌شود. در همین راستا بانک مرکزی مجموعه‌ای از پروژه‌های مختلف را برای اشرافیت بر فضای امنیت سایبری و تهدیدهای سایبری در دستور کار قرار داده و معماری کلان سامانه‌های هوشمند تهدیدهای سایبری را پیگیری کرده است. به‌نظر می‌رسد امنیت سایبری و نوآوری در چشم‌انداز در حال تکامل بانک‌ها و موسسات مالی، در هم ‌تنیده شده‌اند. از آنجا که فناوری به تغییر شکل بانکداری سنتی ادامه می‌دهد، اقدامات امنیتی سایبری قوی برای محافظت از دارایی‌های مشتری، رعایت مقررات و تقویت اعتماد مشتریان برای بانک‌ها، امری ضروری است. بانک‌ها در ادامه باید بیش از همیشه از نوآوری برای تقویت دفاع خود در برابر تهدیدات سایبری نوظهور و در عین‌ حال ارائه خدمات مالی یکپارچه، ایمن و مشتری‌محور استفاده کنند. شاید با ایجاد تعادل مناسب بین نوآوری و امنیت، بانک‌ها بتوانند عصر دیجیتال را طی کنند و آینده نوین صنعت مالی را با اطمینان رقم بزنند.