مصاحبه با ابوالفضل غلامرضایی کارشناس بانکداری الکترونیک
کانالهای امن ضامن اعتماد به بانکداری مجازی
فصل نامه تازه های اقتصاد , 28 فروردين 1391 ساعت 21:35
مصاحبه با ابوالفضل غلامرضایی کارشناس بانکداری الکترونیک
در حال حاضر در حوزهها و لایههای مختلف نظام بانکی به تقویت ساختارهای امنیت پرداخته شده اما این تلاشها به معنای این نیست که بتوان ادعا کرد لایهها امنیتی به طور کامل در نقاط مقتضی پیادهسازی شده است./در اغلب کشورها امکان تقلب امری پذیرفته شده است در نتیجه منابعی برای جبران تقلب های احتمالی در نظام مالی پیش بینی شده است.
به گزارش افتانا، ایجاد یک محیط امن برای توسعه بانکداری الکترونیک امری گریزناپذیر است. در عین حال وجود امنیت یک فرایند پویا و زنده است و هیچ بانکی نمی تواند ادعا کند که فضای کاملا امنی برای کاربران حوزه های مختلف خدمات نوین بانکی فراهم ساخته است. اینکه ساختار پویای ایجاد امنیت در فضای بانکداری مجازی چه مختصاتی دارد و مستلزم چه پیش نیازهایی است محور اصلی گفتگو با ابوالفضل غلامرضایی کارشناس بانکداری الکترونیک است. گفتگو با وی را با هم می خوانیم.
*بحث امنیت در بانکداری الکترونیک دارای چه اجزایی است؟
اصولا سیستم الکترونیکی مانند هر سیستم دیگری در لایههای مختلف نیازمند امنیت است، لایه زیرساخت شبکه، سرورها، پایانههایی که مردم با آنها کار میکنند و برنامههای کاربردی تماما نیاز به امنیت دارد. ولی علاوه بر اینها رفتار امنیتی و پایش امنیتی دو مقوله مهم در این حوزه است.
بدین معنا که هیچگاه نمیتوان امنیت را به صورت صددرصد فراهم کرد. چراکه تکنولوژی و فناوری اطلاعات به همزمان با پیشرفت های سرقت هر روزه دچار چالشهای جدید امنیتی غیر قابل پیش بینی میشود به این معنی سیستمی که تا به امروز امن بوده، فردا هیچ تضمینی برای امن بودنش نیست. به اضافه اینکه رفتار و نوع استفاده کاربران و کسانی که این سیستمها را نگهداری میکنند نیز خود میتواند باعث بروز چالشهای امنیتی شود.
در حوزه امنیت حوزه بانکداری مجازی در مقایسه با جهان ما اکنون کجا هستیم ؟
در حال حاضر در حوزهها و لایههای مختلف به تقویت ساختارهای امنیت پرداخته شده اما این تلاشها به معنای این نیست که بتوان ادعا کرد لایهها امنیتی به طور کامل در نقاط مقتضی پیادهسازی شده است.
در عین حال بانکها در لایه های مختلف به صورت جدی به مقوله امنیت پرداخته اند و همچنین میزان آگاهی و اطلاعرسانی در راستای افزایش دانش و فرهنگ کاربران در حوزه امنیت فضای مجازی بالاخص از زمانی که فعالیت پلیس فتا زیاد کرده، به طور متمرکزتر افزایش یافته است.
قبل از این بانکها به خاطر حفظ اعتبارشان در بازار و اینکه مبادا چالشی به وجود آید و این اندیشه که یک فاجعه بزرگ در حال رخ دادن است، معمولا اطلاعات را به نحو مطلوب مبادله نمیکردند، اما در حال حاضر با حضور پلیس فتا اطلاعرسانی انجام میشود و به نظر من کمک بزرگی در افزایش ضریب امنیت فضای مجازی محسوب می شود.
نوع تعامل بانکها با فتا چگونه است؟ یا فتا سراغ آنها میآید؟
به هر حال اگر تقلبی یا سوءاستفادهای در بانک رخ داده باشد، یکی از نهادهایی وظیفه رسیدگی دارد و از جریان مطلع شود فتا است. این مسئله باعث شده تا این پلیس فرایند اطلاعرسانی را به طور جدی دنبال کند تا کاربران بتوانند در استفاده از خدمات بانکی با اطلاعات وارد شوند.
*استانداردهایی که در جهان رعایت میشود در بستر حقوقی ، فنی و در زمینه فرهنگسازی چیست؟.
اصولا ایجاد سلسه امور حقوقی حوزه امنیت مبتنی بر اتفاقاتی که رخ داده بنا شده است. برای مثال وقتی یک هک ، تقلب یا سوءاستفاده صورت گرفته و لاجرم رویه قضایی که در مورد آن موضوع طی شده به روند تبدیل شده است. ولی در کشورهایی که فضای مجازی بیشت توسعه یافته به طور مشخص قانونهایی درباره مباحث مختلف امنیت وجود دارد قانونهایی که نه تنها فضای سوءاستفاده را پوشش میدهد بلکه در مورد حساسیتهایی که معمولا در برخی جوامع در مورد حریم شخصی افراد هست را هم پوشش میدهد و از آنجا که سالهاست از این فناوری استفاده میکنند معیارهای حقوقی شان به مرور شکل گرفته است.
بانکها در خصوص حفظ امنیت کانالهای ارتباطی چه ریسک هایی را باید بپذیرند؟
در اغلب کشورها امکان تقلب امری پذیرفته شده است در نتیجه منابعی برای جبران تقلب های احتمالی در نظام مالی پیش بینی شده است. در نظام بانکی مصطلح است که گفته می شود امنیت و خدمات دهی همیشه در تضاد با هم قرار دارند و یکی از روشها برای حل کردن این تضاد، پذیرفتن بخشی از این ریسک است بنابراین بخشی از ریسک را ارایه دهندگان خدمات برعهده می گیرند مثل ویزا و مسترکارت برای جبران خسارتها ناشی از ریسک امنیت صندوقهایی ایجاد کرده اند که این صندوقها خسارتهای مرتبط را جبران میکند و در عین حال روشهای فنی را برای پایش مداوم کیفیت امینت به کار میگیرند.
درخصوص مباحث فنی و ساختار مدیریت فرایند امنیت وضعیت چگونه است؟
وقتی به حوزه فنی مقوله امنیت وارد می شوید غیر از اینکه باید راهکارهای فنی و تکنیکها ، تکنولوژیها و نقاط ضعف و نحوه رفع این ضعفها را شناسایی کنید باید نگاه یکپارچه داشته باشید ومدیریت روند و پایش مداوم نیز مهم است. بدین معنی که باید از فضایی که در آن کار میکنید شناخت کامل داشته باشید. و همانطور که می دانیدامنیت یک فرآیند است نه یک پروژه به این معنی که این طور نیست که بگوییم پروژه امنیت را به صددرصد رساندیم و تمام شد، نه یک فرآیند مداوم است.
*کلمه پایش خیلی کلی است در بحث کارت یک شکل است در بحث شبکه یک شکل است. این پایش در حوزههای مختلف چگونه است؟
حجم دادهها آنقدر بالا است و هر روز افزایش می یابد که الزاما باید سیستمها مختلفی برای پایش لایه های مختلف سیستم و داده ها وجود داشته باشد.
صمنا سیستمها نیز باید متناسب با لایههای امنیتی ایجاد شوند. یعنی برای پایش امنیت شبکه، سیستمهای خاص ایجاد شده است از جمله .دیوارههای آتش (fire wall) که مکانیزمها و برنامههای کاربردی مربوط به خود را دارد. در برنامههای خاص بانکداری نیز برای خود قواعد خاص دارد که تامین کنندههای نرم افزار باید آن را برای بانکها فراهم کنند.
عامل انسانی در بحث امنیت چقدر موثر است؟
عامل انسانی در هر دو طرف معادله امنیت از اهمیت زیادی برخوردار است. چون شناخت رفتارهای غیرطبیعی در فرآیند انجام تراکنش بانکی، خیلی مهم است. بخش امنیت سیستم ممکن است که هیچ حفره امنیتی را تا امروز شناسایی نکرده باشد یا تمام حفرههای امنیتی را پوشش داده باشد، اما احتمال دارد همین فردا یک حفره امنیتی جدید به وجود آید، بنابراین عامل انسانی برای کشف اینها مهم است.
به عبارت دیگر لزوما عامل سیستمی نمیتواند این حفره ها را کشف کند و اغلب تجارب نشان داده اند برای شناخت سریع یا به حداقل رساندن هزینه های حفره های جدید ترکیب دو عامل سیستمی و انسانی نیاز است. یعنی شما نمیتوانید تنها به سیستمی متکی باشید بلکه یک ذکاوت انسانی باید کنار سیستم وجود داشته باشد، این ذکاوت انسانی باید بتواند امنیت را بالاتر برود واگر اتفاق جدیدی میافتد آن را کشف کند.
*در مورد بحث شبکه و دیوارهای آتش، ساختار چگونه است و در ایران به چه نحوی است؟
استانداردهای زیادی در حوزه شبکه وجود دارد چون سالهاست روی این حوزه کار انجام میشود. خوشبختانه در ایران هم با این استانداردها آشنایی لازم وجود دارد.تجهیزاتی هم که استفاده میکنیم، تجهیزات روز دنیا است و به نظر فاصله زیادی با دنیا فاصلهای نداریم، ولی اینکه این فرآیند به شکل مداوم انجام شود مستلزم ان است که کز کارشناسان دارای تحصیلات و دانش تخصصی مدیریتی امنیت اطلاعات بهره ببریم اما به هر دلیل در این بعد کمی با دنیا فاصله داریم ، هر چند که کارهای خوبی چند سال اخیر آغاز شده ولی اینکه با یک ساختار متمرکز و به طور مداوم این کار را انجام شود کمی نیاز به سرمایه گذاری بیشتر داریم.
البته باید این را هم اضافه کنم که مراکزی که بتوانند سرویسهای امنیتی را در حالتهای ضروری فراهم کنند و سریع به نیاز ها پاسخ دهند (چون وقوع یک رخداد امنیتی نیاز به واکنش سریع، پایش، حل و فصل موضوع و جلوگیری از رخدادهای سلسلهای، دارد) هر چقدر هم که توسعه یابد باز هم با ایجاد تکنولوژیهای جدیدتر ، نیاز به سرمایه گذاری مداوم بیشتر احساس میشود، .
آیا در موسسات بانکی، یک اداره مشخص یا نهاد خاصی بحث امنیت را پیگیری میکند؟
تقریبا در تمام بانکها اداره یا نهاد مسئول امنیت اطلاعات دارند. در عین حال یک سری بانکها در کنار بخش فناوری اطلاعات، بخشهای امنیتی دارند
چقدر از نظر مدیریت ارشد سازمان، این اداره، (امنیت اطلاعات) جدی گرفته میشود؟
کاملا تابع سیاستگذاریهای مدیران ارشد است. البته این بخش سازمانی هنوز کاملا نهادینه نشده چون ازیک سو اتفاق بغرنج امنیتی در ایران رخ نداده است از سوی دیگر زمان زیادی(کمتر از ۱۰ سال) از استقرار بانکداری الکترونیک به صورت گسترده در ایران نمی گذرد.
در این ده سال نیز بیشتر تمرکز روی سرویس متمرکز بوده و تنها در دو سه سال گذشته بانکها به شکل چالشی با فناوری اطلاعات برخورد داشتهاند با این حال تجربه نشان میدهد ساختار امینتی ما جلوتر از دیگران بودهاست. به همین حاطر کسی به صورت جدی دنبال تقلب نرود.
در خصوص امنیت چه استاندارد هایی باید رعایت شود؟
استانداردهای اولیه برای این کار وجود دارد و چندین بار هم در مصوبات دولت و بانک مرکزی تاکید شده که بانکها به سمت رعایت استاندارد مدیریت امنیت اطلاعات پیش بروند و لوازمش را برای رسیدن به آن پیادهسازی کنند. ولی در هر حال دانش مدیریت امنیت اطلاعات در ایران چندان قوی نیست.
سوال این است که بانک مرکزی تا به حال در مورد این مساله چه کرده و چه باید بکند و آیا به نظر شما، هسته خاصی لازم است که هستههای درون بانکها را پایش کند؟
به اعتقاد من نباید وارد یک فضای متمرکز شویم. بلکه نهاد ناظر با توجه به استانداردها یک بستر مقرراتی فراهم و بانکها را ملزم به رعایت آن کند. سپس چنانچه بانکی این مقررات و استاندارد امنیت را رعایت نکرد و تقلبی رخ داد ملزم به جبران آن باشد. به عنوان مثال در فضایی که بانک مرکزی هم درگیر شده استفاده از رمز ایستا، برای ورود به اینترنت بانکها ممنوع شده و صاحبان حساب باید با کلمه عبور پویا مثل رمز یکبار مصرف وارد اینترنت بانک شوند حال با توجه به این دستورالعمل بانک مرکزی اگر از این به بعد در بانکی به خاطر رمز ایستا کلاهبرداری رخ میدهد بانک موظف به جبران خسارت است این شکل سازوکار خود به خود، باعث می شود که بانکها به این سمت رعایت استاندارها پیش بروند.
اشاره کردید که دانش امنیت اطلاعات در ایران کامل نیست آیا باید رشته خاصی ایجاد شود ؟
ما اگر فضای شایسته را در نظر بگیریم، بخشی از آن دانش و بخشی دیگر مهارت است. مهارت بیشتر مبتنی برتجربه است که به مرور زمان شکل میگیرد اما دانش باید در موقعیتهای از قبل ایجاد شده ایجاد شود. در این راستا یک مقدار در مهارت با شرایط روز جهان فاصله داریم اما به مرور در حال بهبود است. در دانش هم رشته فوق لیسانس مدیریت امنیت اطلاعات در دانشگاهها اکنون تدریس می شود. تدریس این رشته در راستای افزایش دانش و امنیت خیلی موثر است.
دیواره آتش چه ساختاری دارد؟
معمولا دیواره آتش دقیقا مثل یک دیوار یا سیستم است شما یک خط شبکه دارید و این میآید روی این خط شبکه مینشیند و هر اطلاعاتی که از این خط عبور میکند و این براساس قوانین و قواعدی که برایش تعریف شده اجازه عبور را میدهد یا مانع عبور میشود و مثلا در مورد فیلترینگ شما وقتی درخواست میدهید که به سایت خاصی وصل شوید دیواره آتش وقتی میبیند آن سایت با قواعد مریوم متناسب نیست درخواست را لغو میکند و به سمت شما یا به سمت سرور دیگری بر میگرداند که آدرس وب سایت دیگری را به شما بدهد.
*یکسری روزنههایی ممکن است باشد که توسط یکسری افراد پیدا شود و از دیواره عبور کنند ساختار پایش برای این گونه موارد در کشور ما چقدر قوی است؟
بهترین نرم افزارها و سخت افزارهای دنیا هم راههایی برای نفوذ دارند، ما یک مفهومی را تحت عنوان حفرههای امنیتی شناخته نشده که بخشی از هکرها توانایی شان کشف این حفرهها و نوشتن برنامههای کاربردی برای ورود به این حفرههای امنیتی برای نفوذ به سیستم است اما وقتی که از قبل این حفرهها شناخته شده نیست طبعا هیچ نرم افزار آنتی ویروسی نمیتواند جلوی ورود ویروس را بگیرد. بنابراین فقط شناخت رفتارها،ی انسانی و ذکاوت انسانی است که باید با ساختار مند شدن سریع مانع نفوذ شود.
*پس سرعت و مهارت شناخت ویروس اینجا مهم است که سریع عمل کند و آنتی ویروس بسازد؟
در این حوزه در ایران شرکتهایی داریم که به این کار میپردازند این قابل تقدیر است ولی از آن طرف، در دنیا هم شرکتهای بزرگی هستند که رسالت خودشان را در این نمیبینند که منافع کسی را در نظر بگیرند منافع خود را در این میبینند که واقعا این فضا را امن و برخط نگهدارند.
این شرکتها پس از اتفاقات اخیر آمدند و مشکلات را شناسایی کردند راه حل های لازم را برایش دادند بدون اینکه نگاه کنند که فضای سیاست یا رقابت چگونه است. وظیفه آنها این است که در دنیا این کار را بکنند و سعی شان این است که این ایمنسازی را انجام دهند. در ایران هم این رونددر حال انجام است.
به هر حال این امر نیاز به اطلاعات و عمق زیاد دارد و پشتیانی خیلی خوب میخواهد. شناسایی آدمهای زیاد، سرمایهگذاری قوی لازم دارد، چون شما تعداد آدم زیادی دارید که لازم است اینها را شناسایی کنند و برنامه های لازم را بنویسند.
* بسترهای مخابراتی در کشور ما از نظر رعایت امنیت چگونه است؟
بسترهای مخابراتی ریسکهای امنیتی خاص خودشان را دارد که خاص آن بستر است. مثلا مبادله اطلاعات از طریق تلفن، (اگر از سطح ویس برای انتقال اطلاعات استفاده کنید) درجه ریسک بالاست. در همین بستر اگر کدینگ انجام شود ریسک پذیری پایین میآید. در واقع لایه های پروتکل اطلاعاتی که در بسترهای مخابراتی، از آن استفاده میشود، مهم است.
اکنون کانالهای موبایل، تلفن ، اینترنت و کارت در چه وضعیتی قرارا دارند؟
درخصوص کانالها، وضعیت سرویسهایی که در قالب این کانالها ارایه میشود و هم نحوهای که ما مراحل امنیتی را انجام دهیم تا آن سرویس را استفاده کنیم خیلی مهم است. یعنی برخورد یکسان با کانال تلفن و اینترنت غلط است. هم پایشهای امنیتی مختلف و هم سطوح امنیتی متفاوتی باید رعایت شود و قواعد و قوانین و سطوح ریسکی که در اینها میتوانیم بپذیریم، متفاوتند. به طور مثال به دلیل نیاز و خاص جامعه میتوانیم انتقال وجه را در خطوط تلفن مجاز بدانیم اما لزومی ندارد که سقف این کانال را نامحدود کنیم یا لزومی ندارد که از خطوط ایستا این کار را انجام دهیم میتوانیم المانهای دیگری به آن بیفزاییم مثل اینکه از پسورد یکبار مصرف استفاده کنیم .
یا اینکه بیاییم و سقف انتقال را به مثلا تا ۱۰۰ هزار تومان محدود کنیم و همچنین یک پیامک هم به فرد جهت اطلاع وی ارسال شود. وچنانچه سقف انتقال بالا بود تمهید دیگر انجام شود مثلا از بانک با فرد تماس بگیرند و خواستار تایید این تراکنش شوند. به تعبیر دیگر با اتخاذ تمهیداتی سرویس را فعال باقی بمانند چون اگر ما بخواهیم هر کانالی مثل تلفن را ببندیم در واقع ضریب دسترسی به بانکها را کاهش دادهایم بخصوص وقتی که میبینیم نفوذ اینترنت در شهرستانها ضعیف است.
یا اینکه در شهرستانها برای همه بستر موبایل جی پی آر اس فراهم است و همه میتواند استفاده کنند. اما در عمل این طور نیست و هر کسی به راحتی قادر نیست به این سرویس وصل شود و در نتیجه دسترسی به بانکها کمتر است. بنابراین بستن کانالها و عدم تراکنش در آنها لزوما خوب نیست چون ما فرآیند انجام مبادلات اقتصادی مان را سخت میکنیم ولی از آن طرف اگر در یک سطح ریسک معقول، مخابرات را بپذیریم و مبادلات را با افزودن المانهای امنیتی انجام دهیم، در واقع ضمن تعدد کانالها انتقال ضریب نفوذ نیز کاهش یافته است.
کد مطلب: 835