دو کارگاه در حوزه امنیت فناوری اطلاعات

متخصصان در دو کارگاه تخصصی «سازماندهی امنیت اطلاعات در بانک‌ها » و «بد افزارهای بانکی» به معرفی و ارائه راهکار در این حوزه‌ها پرداختند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در روز سه‌شنبه هفتم بهمن‌ماه ۹۳ و روز پایانی چهارمین همایش بانکداری الکترونیکی و نظام‌های پرداخت نیز کارگاه‌های تخصصی متعددی برگزار شدند که از جمله آن‌ها « سازماندهی امنیت اطلاعات در بانک‌ها » و «بد افزارهای بانکی» بودند. 

در کارگاه تخصصی «سازماندهی امنیت اطلاعات در بانک‌ها» با حضور سید علی هاشمی اقدم و علیرضا اطهری فرد، رهنمودهای سازماندهی امنیت اطلاعات مورد بررسی قرار گرفت. این رهنمودها با تاکید بر رعایت الزامات خاص هر سازمان در حوزه‌های مدیریت ریسک و امنیت اطلاعات و درک تمایز میان امنیت اطلاعات و مدیریت ریسک‌های فناوری اطلاعات ارائه شدند. 

این رهنمودها در شش بخش مجزا معرفی شدند . رهنمود اول به رعایت الزامات خاص هر سازمان در حوزه های مدیریت ریسک و امنیت اطلاعات پرداخت.رهنمود دوم به درک تمایز میان امنیت اطلاعات و مدیریت ریسک‌های فناوری اطلاعات تاکید کرد و آگاهی‌رسانی مدیران ارشد، كاركنان امنیت اطلاعات، صاحبان فرآیندهای كسب‌ و كار و همچنین صاحبان دارایی‌های اطلاعاتی در خصوص تفاوت‌ها و شباهت‌های میان مدیریت ریسک و امنیت اطلاعات. 

رهنمود سوم به در نظر گرفتن ویژگی‌های خاص هر سازمان، قبل از تصمیم‌گیری در خصوص طراحی سازمان امنیت اطلاعات تاکید دارد و همچنین رهنمود چهارم به توسعه هم‌زمان، انعطاف پذیری و هماهنگی در تقسیم و توزیع وظایف امنیتی سازمان می پردازد. 

در نظر گرفتن تمامی گزینه‌ها در منبع‌یابی برای کارکردهای امنیتی عنوان رهنمود پنجم بود که تامین خدمات از طریق فراهم کنندگان خارجی را به عنوان یک استراتژی ارزشمند به شمار آورد. این استراتژی انتقال کارکردها از عملیات امنیت به عملیات فناوری اطلاعات را با تامین منابع در عملیات فناوری اطلاعات و کنترل کارکردها امکان‌پذیر می‌کند. 

در پایان با تاکید بر به حداقل رساندن تضاد منافع که رهنمود ششم به شمار می‌رود، ریشه این موضوع در عدم درک تمایز میان مفاهیم هدایت، مدیریت و عملیات امنیت عنوان شد که مدل سه لایه وظایف و مسئولیت‌های امنیتی گارتنر به‌خوبی آن را توصیف کرده‌است. 

در کارگاه تخصصی «بد افزارهای بانکی» که توسط سید علی هاشمی و محمد جرجندی نژاد ارائه شد مدرسان به این مسائل اشاره کردند: با توجه به تجربه حمله سایبری در تاسیسات انرژی هسته‌ای، مخابرات و صنایع نفتی ایران این احتمال وجود دارد که هدف بعدی آن‌ها بانک‌ها باشند. حمله کننده‌ها می‌توانند با سرعت بسیار زیادی میلیون‌ها کامپیوتر در یک شبکه را آلوده سازند یا مورد حمله قرار دهند. حملات سایبری به دو شکل دولتی و مستقل رخ می‌دهد. نمونه حمله‌های سایبری حمله ویروس استاکس‌نت و فلیم (Flame) است. معروف‌ترین ویروس سایبری با ۵۸ درصد آمار خرابی در ایران استاکس‌نت است. 

مدرس این کارگاه در توضیح سناریوی اول با عنوان فیشینگ توضیح داد: حمله فیشینگ شکل خاصی از جرم سایبری است. مجرم، یک کپی تقریباً صددرصدی شبیه یک وب سایت بنگاه تجاری، ایجاد کرده و سپس تلاش می‌کند تا کاربران را جهت افشای جزئیات شخصی مانند نام کاربری، کلمه عبور، پین کد و سایر اطلاعات از طریق یک فرم در سایتی جعلی فریب می‌دهد. این امر به مجرم اجازه می‌دهد تا با استفاده از این اطلاعات پول به دست آورد. 

در ارتباط با سناریوی دوم که با عنوان ایمیل مطرح شد، مدرسان کارگاه به ارسال ایمیل‌هایی جعلی در این حوزه تاکید کردند. درباره این سناریو گفته شد که این ایمیل‌ها اغلب از لوگوهای قانونی و یک سبک تجاری خوب استفاده می‌کنند و سربرگ نامه را طوری طراحی می‌کنند که به نظر برسد از یک سازمان قانونی است. همچنین این ایمیل شما را به باز کردن لینکی شامل بدافزار ترغیب می‌کند. 

مدرسان این کارگاه درباره سناریو سوم با عنوان جعل هویت نرم‌افزار توضیح دادند که شبکه‌ها و سیستم‌های عامل از IP آدرس یک دستگاه برای شناسایی آن استفاده می‌کند. بعضی وقت‌ها، ممکن است یک IP آدرس به طور اشتباه ارسال شود که به آن جعل هویت می‌گویند. 

سناریو چهارم با عنوان گمراهی به رشد کاربران اینترنت و شبکه‌های اجتماعی پرداخت و میزان آگاهی از امنیت اطلاعات که باید هم‌زمان با رشد کاربران، افزایش داشته باشد؛ چراکه همین مسئله می‌تواند آسیب‌های بسیار جدی وارد آورد. مسئله دیگر به اشتراک گذاری بیش از حد اطلاعات بر روی وب سایت است که باعث می‌شود تا کاربران به سادگی قربانی شوند. علاوه بر آن با رشد استفاده از تلفن‌های همراه و گوشی‌های هوشمند و استفاده از این ابزارها در شبکه‌های اجتماعی هم روبه‌رو است و این مسئله نیاز به رعایت مسائل امنیتی و آگاهی افراد استفاده کننده را دوچندان می‌کند.