تامین امنیت در شبکههای بانکی و نظام پرداخت با توجه به سطح بالای تراکنشها و معاملات مالی همواره یکی از مهمترین موضوعات در نظام بانکی است که راه اندازی مرکز شاپرک خود مبین این مسئله است.
بروزرسانی امنیت در شاپرک انتها نخواهد داشت
9 فروردين 1393 ساعت 9:00
تامین امنیت در شبکههای بانکی و نظام پرداخت با توجه به سطح بالای تراکنشها و معاملات مالی همواره یکی از مهمترین موضوعات در نظام بانکی است که راه اندازی مرکز شاپرک خود مبین این مسئله است.
تامین امنیت در شبکههای بانکی و نظام پرداخت با توجه به سطح بالای تراکنشها و معاملات مالی همواره یکی از مهمترین موضوعات در نظام بانکی است که راه اندازی مرکز شاپرک خود مبین این مسئله است گفتگویی داشتیم با سامان قطبی مدیر عامل شاپرک و مهندس آزادی مدیر کارگروه امنیت شرکتهای PSP شاپرک که شرح آن را در ادامه میخوانید.
لطفا بفرمایید دلیل راه اندازی مرکز شاپرک چیست؟
قطبی: سیستم شاپرک حدود یک و سال و نیم است که راه اندازی شده است، با سرعت بالایی که رشد تکنولوژی و راه اندازی، توسعه و عملیاتی شدن بانکداری الکترونیک و خدمات مبتنی بر کارت داشته اند با توجه به چارچوبهای مورد نیاز رشد و گسترش این خدمات خلاء شبکه ای متمرکز برای نظامهای پرداخت به وجود آمد.
در واقع هنگامی که سرویسی برای گسترش و توسعه محیط کسب و کار ارائه میشود وجود مجموعه ای متعهد با چارچوب و قوانین مستند لازم و ضروری است تا سوء استفادهها به حداقل ممکن برسد و همگام با رشد تکنولوژی این سیستم نیز بروز رسانی شود.
روشن است که با پیشرفت و توسعه تکنولوژی با ترکیب ICT میتواند خدمات جدیدی را ایجاد کند بنابراین لازم است متناسب با این پیشرفتها چارچوبهایی برای حفظ امنیت ایجاد شود زیرا اطلاعاتی که در شبکه انتقال داده میشوند اطلاعات شخصی و حریم خصوصی افراد است بنابراین به عنوان مرجع انتقال دهنده اطلاعات باید هم حریم خصوصی رعایت شود و همچنین تکنولوژی باید دارای قواعدی در مسیر داد و ستد باشد.
در واقع رعایت مقررات در جریان سرعت توسعه قربانی شد و از الزامات و مقررات چشم پوشی شد در حالی که قوانین مورد نیاز توسط بانک مرکزی تدوین شده بود اما در جریان رقابتهای بین موسسات در ارائه خدمات نوین اصل کسب و کار زیر سوال رفت و از منابع عمومی برای هزینه این پیشرفتها هزینه شد.
وقتی کنترل نباشد الزام بر رعایت مقررات و پاسخ گویی نیز نخواهد بود در این خصوص لازم بود تا هرینه فایدهها در محیط کسب و کار بررسی شود بنابراین با توجه به دامنه وسیع مبادلات مالی که از یک شعبه عبور میکنند لزوم انضباط و اجرای مقررات و اطمینان از اجرای آنها خلاء ساز و کار و یکپارچه بیشتر نمایان شد بنابراین با توجه به سطح معاملات روزانه در سیستم بانکی مطالعاتی در این زمینه صورت گرفت و نتیجه این بود که تقریبا هیچ کشوری نیست که برای نظام پرداخت خود از یک ساز و کار یکپارچه استفاده نکند.
با بروز امکان انجام خدمات بانکی دور از شعبه و خارج از بانک باید فعالیتهای آنها به صورت یکپارچه و متمرکز توسط موسسه ای که مولود بانک شبکه بانکی است مدیریت شود.
آیا لزوم وجود چنین موسسه ای پس از بروز مشکلات امنیتی در سیستم بانکی به وجود آمد؟
قطبی: خیر حجم بزرگ مبادلات و گردش مالی بود که نیاز به انضباط دقیق تر را قبل از مسائل مالی ایجاد کرد زیرا با وجودانجام تراکنشهای بانکی دور از شعبه و انتقال پول از حسابی به حساب دیگر، مقررات الزاما اجرا نمیشد.
در واقع مسئولیت دستگاههای pos تسهیل داد و ستد است در حالی که پس از مدتی این دستگاهها به شعبه تبدیل شدند این اتفاق الزامی برای وجود سیستمی همچون شاپرک را ایجاد کرد زیرا خدمات بانکی نیاز به تعریف، اجرای این تعریفات و نظارت بر اجرای آنها بود و نبود چنین سیستمی ممکن بود منجر به بروز فاجعه در شبکه بانکی شود.
در واقع احتمال نشت اطلاعات در شبکه بانکی و خدمات مبتنی بر IT در محیط مجازی وجود دارد، بنابراین لازم است تا قبل از وقوع تا جایی که امکانات و تکنولوژی اجازه میدهد مانع از نشت اطلاعات شویم یعنی به روشی عمل کنیم که نشت اطلاعات به خودی خود امکان پذیر نباشد.
نکته مهم تر این است که پنلی وجود داشته باشد که در صورت نشت اطلاعات و نفوذ به آنها بتوانیم آن رویداد را مدیریت کنیم. تلاش بر این است که روشها به صورت مداوم بازنگری و توسعه داده شوند تا شرایط ارائه خدمات قابل اطمینان همیشه امکان پذیر باشد. و در صورت بروز یک رویداد امنیتی مقابله سریع با بحران مدیریت شود.
جهت اطمینان از رعایت مقررات از سوی شرکتهای PSP چه اقداماتی صورت میگیرد؟
قطبی: در این خصوص مدیر کارگروه امنیت شرکتهای PSP جلسههای هفتگی با این شرکتها برگزار میکند تا رویدادهای که بیانگر ضعفهای سیستم هستند که موجب رخداد امنیتی میشود را بررسی و تبادل نمایند و راههای پیشگیری را مشخص کنند. یکی از مزایای یکپارچه سازی و نظارت بر سیستم تشکیل فوری این کمیته در مواقع اضطرار است.
علاوه بر آن رعایت دقیق اصول و چارچوبهای تدوین شده از سوی شرکتهای PSP به صورت مداوم پایش و ممیزی میشود و عملکرد آنها نظارت میشود این نظارت علاوه بر تراکنش در خصوص کسب و کار آنها نیز صورت میگیرد تا برای کسب سود بیشتر اقدام به دورزدن مقررات نکنند. همچنین نظارت بر اجرای دقیق مقررات ابلاغی از سوی بانک مرکزی کنترل میشود تا همه ذینفعان این مقررات را به درستی انجام دهند.
همچنین در کنار آن برای توسعه کسب و کار و ایجاد خلاقیتهایی در این زمینه فعالیت میکنیم و درکنار این فعالیتها نظرات PSPها را نیز انتقال میدهیم اگر در موردی آئین نامه ای وجود ندارد اقدام به تدوین آن نماییم تا در صورت تایید بانک مرکزی اجرایی شود.
راه اندازی سیستمها تا حدودی توسعه پیدا کرده است و اکنون نیز در حال الویت بندی مجموعه وظایف و تکالیفی هستیم که بر عهده ما گذاشته شده است مثلا توسعه کسب و کار یکی از وظایفی است که در الوین نخست نیست البته این امر در آینده بیشتر مورد توجه قرار خواهد گرفت تلاش ما در حال حاضر بر این است در حالی که کارت بانکی وجود دارد دیگر نیازی به پول نقد نباشد بنابراین در نظارت بر PSPها باید کیفیت تراکنشها نیز کنترل شود که به تمام تراکنشها پاسخ دهند.
چه زیر ساختهایی جهت راه اندازی شاپرک فراهم شد؟
قطبی: در مقطع راه اندازی شاپرک به جای اینکه تمام امکانات و سرویس همانند سوئیچ و دیتا سنتر از اول ایجاد شوند از امکانات موجود در کشور استفاده شد همچنین در مورد منابع انسانی نیز محدودیتهایی وجود داشت زیرا افرادی که تجربه پیاده سازی، راه اندازی و مدیریت شبکه را داشته باشند زیاد نیستند بنابراین با توجه به اینکه قرار بود از شبکه ملی پرداخت استفاده شود از منابع موجود در کشور استفاده شد.
بنابراین در زمانی کوتاه برای جلوگیری از آسیب دیدن کسب و کار و توسعه خدمات قسمت عملیات و سوئیچ به شرکت خدمات انفورماتیک سپرده شد تا دیتا سنتری که این تراکنشها را انجام میدهد بتواند تمام الزامات مورد نیاز را فراهم کند.
در جهت حفظ امنیت در خود سیستم شاپرک و PSPها چه اقداماتی صورت گرفته است و چه الزاماتی باید فراهم شود ؟
قطبی: الزامات مورد نیاز شامل الزامات فنی و الزامات امنیتی میشوند.
الزامات فنی فعالیتهایی هستند که از زمان استفاده از کارت در دستگاهها تا رسیدن اطلاعات به شاپرک صورت میگیرند. ممیزی و پایش این فعالیتها و نظارت بر عملکرد PSPها و رویدادهای امنیتی در شبکه انتقال نیز جزء اقدامات امنیتی شاپرک است. همچنین ایجاد چارچوب امنیتی معین در خدمات مبتنی بر بانکداری الکترونیک در شبکه بانکی از جمله فعالیتهایی است که توسط شاپرک انجام شده است.
در تدوین این چارچوب از PSADSS، مقررات بالادستی ابلاغی رگولاتور، نظرات PSPها و اسناد بالادستی و تجربیات دیگران در موارد مشابه استفاده شده و چارچوبی متناسب با شرایط بومی کشور تدوین شده است.
فعالیتهای شاپرک مدت زمانی پیش از اعلام رسمی آغاز به کار آن شروع شده بود و در واقع مطالعات در زمینه تدوین چارچوب امنیتی در حال انجام بود در این زمینه تلاش بر این بود که از PSPها نیز دخیل شوند بنابراین کارگروه امنیت تشکیل شد نظرات جمع آوری شد و پس از بررسی و مطالعه به اطلاع اعضاء رسید. در واقع در تدوین این سند از تجربه بازار پرداخت کشور استفاده شد.
پس از تایید این سند توسط بانک مرکزی زمانبندی مشخصی در اختیار PSPها قرار گرفت تا الزامات لازم را فراهم نمایند. پیاده سازی این الزامات در سه فاز صورت گرفت و در پایان هر دوره نظارت بر اجرای صحیح انجام شد.
البته این مسئله فقط در مورد مسائل امنیتی نبود بلکه در بعد کیفیت نیز مورد توجه بود مثلا در ارتقاء امنیت از استانداردهای موجود دنیا استفاده از جمله ISO ۲۷۰۰۰ هزار استفاده شد و برآوردی انجام شد تا هزینه ی صورت گرفته در مورد امنیت متناسب با ریسک موجود باشد و لایههای امنیتی در سطوح مورد نیاز تامین شوند یعنی اگر موضوع در سطح امنیت ملی است و لایههای امنیتی چهارم مورد نیاز است سطح مورد نیاز تامین شود و نه بیشتر یا کمتر از آن.
در حال حاضر ما در آغاز کار هستیم و حدود دو سه سال زمان نیاز داریم تا مجموعه کامل تری داشته باشیم امروز میزان هزینه در حدی است که ممکن است در آینده نیاز به تغییر داشته باشد.
با توجه به الزاماتی که تدوین شده آیا بخشی از این سند قابل انتشار هست یا خیر؟
آزادی: البته این سند محرمانه نیست اما بخشهای زیادی از این سند صرفا برای بازار پرداخت تدوین شده و به صورت رایگان در اختیار PSPها قرار گرفته است اما ممکن است بخشهایی از آن در حوزههای دیگر شبکه بانکی قابل استفاده باشد.
در خصوص ارتقاء امنیت چه فعالیتهایی صورت گرفته است و SOC در کدام مرحله از فازهای انجام شده مورد توجه قرار گرفت؟
آزادی: در روش گام به گامی که انتخاب حالا طبقه ای مورد توجه بود یعنی در گام اول زیر ساختها فراهم شد یعنی ایجاد شبکه و امنیت شبکه تکنولوژیکی و ابزاری بود در گام دوم فرآیندهایی که روی شبکه کار میکنند مورد توجه بود و در گام آخر فرآیند مدیریت امنیت به همین دلیل در گام آخر به SOC رسیدیم که در حال حاضر در اواسط فاز انتهایی هستیم و شرکتها تا حدودی SOC را عملیاتی کرده اند در انتها PSPها باید بتوانند گواهی ISO۲۷۰۰۰ را دریافت کنند.
آیا در خصوص گواهی ISO۲۷۰۰۰ ممیزیهای داخلی نیز مورد قبول است یا حتما باید گواهی از CBهای اصلی دریافت شود؟
آزادی: خیر دریافت گواهی مورد نظر از شاپرک نیز به منزله کسب استانداردهای لازم خواهد بود و این گواهی کافی است زیرا برای دریافت این گواهی از CBهای اصلی که خارج از کشور هستند باید اسناد امنیتی در اختیار کشورهای دیگر قرار بگیرد که این خود در تضاد با اصول امنیتی است بنابراین دارا بودن سطح امنیت مشخص و تایید آن کافی است. نکته مهم دریافت گواهی داخلی و رسیدن به الزامات مورد نیاز است.
به نظر شما چه چشم اندازی امنیتی را برای آینده در پیش رو داریم؟
قطبی: همه الزامات مورد نیاز تا کنون فراهم شده اند در سال آینده اسناد مورد بازبینی قرار خواهند گرفت و از تجربیات ممیزیها برای تدوین استانداردهای بروز حرکت خواهیم کرد. در واقع در حال حاضر حداقلها تامین شده است و سال آینده به سمت بهتر شدن گام برمی داریم و در تلاش هستیم تا با سرعت تکنولوژی و تغییرات آن هماهنگ شویم و شرکتها را نیز با این تغییرات هماهنگ کنیم تا بتوانیم به سطح قابل قبولی از امنیت برسیم.
این مطلب در ویژه نامه نوروزی افتانا منتشر شده است. برای دریافت نسخه آنلاین با کیفیت خوب اینجا و برای دریافت نسخه آنلاین با کیفیت عالی اینجا را کلیک کنید.
کد مطلب: 7317