عزم جدی برای امنیت
به گزارش پایگاه خبری بانکداری الکترونیک، امنیت و پایداری سامانههای ملی به عنوان یکی از وظایف ذاتی شرکت خدمات انفورماتیک، به عنوان بازوی فناوری بانک مرکزی همواره مورد توجه بوده است.، پس از بازگشت مجدد تحریمها، ریسک کلان” تحریم” در این شرکت در کارگروههای تخصصی طی ماههای اخیر شناسایی و ابعاد مختلف آن مورد تحلیل […]
به گزارش پایگاه خبری بانکداری الکترونیک، امنیت و پایداری سامانههای ملی به عنوان یکی از وظایف ذاتی شرکت خدمات انفورماتیک، به عنوان بازوی فناوری بانک مرکزی همواره مورد توجه بوده است.، پس از بازگشت مجدد تحریمها، ریسک کلان” تحریم” در این شرکت در کارگروههای تخصصی طی ماههای اخیر شناسایی و ابعاد مختلف آن مورد تحلیل و بررسی قرار گرفته است.
بر این اساس معاون امنیت شرکت خدمات انفورمایک معتقد است :« تحریم ها در بُعد فنی قابل مدیریت هستند؛بنابراین تنها کافی است ارادهای راسخ برای این امر در کشور وجود داشته باشد.» در عین حال عملکرد سامانه های ملی بعد از خروج یک طرفه ایالات متحده از برجام نشان دهنده حفظ پایداری این سامانه هاست. گفتگوی مفصل ماهنامه بانکداری آینده با «نوش آفرین مومن واقفی»در خصوص ابعاد این بررسی ها را در ادامه می خوانید:
تعریف شرکت خدمات انفورماتیک از امنیت در حوزه بانکی و متعاقبا امنیت در سامانه های ملی چیست ؟
در سادهترین تعریف، امنیت را مرتبط با مولفههای محرمانگی، صحت و یکپارچگی و دسترسپذیری اطلاعات تعریف میکنند. تعریف امنیت در حوزه بانکی نیز جدا از این تعریف کلی نیست.
در شرکت خدمات انفورماتیک، “مدیریت ریسک و امنیت اطلاعات” همواره در حد یک راهبرد و استراتژی کلان سازمانی مورد توجه مدیریت ارشد بوده است و از همین رو در منشور سیستم مدیریت امنیت اطلاعات شرکت اهداف زیر مورد توجه جدی قرار گرفته است که به نوعی نشان دهنده تعریف شرکت از امنیت است.
• تامین،تضمین، نگهداشت و بهبود مستمر در سرویس ها و شبکه های بین بانکی و ملی در راستای حفظ منابع و اعتبار مشتریان بانکی،شرکای تجاری، سهامداران و کلیه ذینفعان
• صیانت از محرمانگی، صحت و یکپارچگی و دسترسپذیری اطلاعات مشتریان و کلیه ذی نفعان
• ارتقاء سطح کیفی و امنیتی سامانهها با پایش و کنترل متمرکز و یکپارچه و انجام ارزیابی های امنیتی
• اتخاذ رویکرد آیندهنگر در توسعه زیرساختهای امنیتی نظام بانکداری الکترونیک کشور
• بسترسازی و استقرار مدیریت ریسک
• مدیریت رخدادهای سرویس ها و شبکه های بین بانکی و بانکی
• طراحی و پیادهسازی سیستم مدیریت تداوم کسب و کار به منظور ارائه سرویسهای پایدار، مستمر و بدون وقفه
• انطباق با الزامات امنیتی قانونی و قراردادی درون و برون سازمانی
• برنامهريزي، سیاستگذاری، تأمین منابع مورد نیاز، نظارت بر حسن اجرا، بهبود مستمر فرآیندها با هدف کاهش ریسک در حوزه سامانههای بانکی و ملی
• کاهش مستمر ریسک در حوزههای مختلف سرویسهای بانکی
در حوزه سامانههای ملی بانکی نیز رویکرد ما نگاه به بحث امنیت در حد یک استراتژی کلان است. در شرکت خدمات انفورماتیک در جایگاه پیمانکار و مجری پروژههای حاکمیتی خود را ملزم میدانیم تا در تمامی سامانههای حاکمیتی تحت راهبری شرکت، الزامات و استانداردهای امنیتی به روز را مورد توجه قرار دهیم. البته رویکرد ما در چند سال گذشته مدیریت امنیت اطلاعات بر اساس مدیریت ریسک بوده است و ما در این حوزه با نظر مشاورهای ریسکها را اعلام مینماییم ولی در نهایت تصمیمگیری در مورد اصول امنیتی با نظر و سیاستگذاری بانک مرکزی است.
مدلی کلی یا مفهومی که در خصوص امنیت در شبکه بانکی از سوی نهاد ناظر و طبعا توسط بازوی فناوری این نهاد یعنی شرکت خدمات طراحی و اجرا شده دارای چه ساختار توصیفی یا ترسیمی است؟
در مدل کلی در سه لایه حاکمیت، مدیریت و راهبری امنیت اطلاعات رویکردهای مشخصی تدوین شده و در حال اجراست. بصورت کلی :
• بانک مرکزی بعنوان سیاست گذار اصلی در حوزه بانکی متولی تبیین سیاستهای امنیتی کلان در حوزه بانکی است. بالطبع این نهاد در فرآیند تبیین سیاستهای کلان امنیتی از مشاوره بازوهای اجرایی خود نظیر شرکت خدمات انفورماتیک استفاده مینماید.
• بانک مرکزی برای بهبود سطح امنیتی سامانههای بانکی و کاهش ریسک امنیتی در حوزه بانکی اقدام به ایجاد ساختار مشخص در حوزه امنیت اطلاعات بانکی نموده است. این نهادها در لایه حاکمیت امنیت، مدیریت امنیت و راهبری امنیت وظایف مشخصی را به عهده دارند.
• شرکت خدمات انفورماتیک در حوزه امنیت وظیفه دارد سیاستهای کلان بانک مرکزی را در حوزههای اجرایی و فنی به بهترین شکل ممکن پیاده¬سازی نماید. پیاده سازی این سیاستها در حوزههای مختلف نظیر طراحی، پیاده سازی سامانه، فرآیندهای ارزیابی امنیتی سامانه و بهبود مستمر امنیتی سامانه و نیز پایش رخدادهای امنیتی اجرا میشوند. مدل در نظر گرفته شده در این خصوص در دو دسته پیشگیرانه و واکنشی در شرکت خدمات انفورماتیک تعریف شده است. در بخش تمهیدات امنیتی پیشگیرانه، پیادهسازی و استقرار استانداردهای بینالمللی، تدوین و ابلاغ الزامات امنیتی، نظارت و ممیزی، ارزیابی امنیتی در تمامی مراحل فرآیند تولید نرمافزار ، مدیریت ریسک، مدیریت کلید، مدیریت تغییرات، امن سازی، مدیریت آسیبپذیری، آموزش و فرهنگسازی در زمینه امنیت اطلاعات در نظر گرفته شده است. همچنین در بخش تمهیدات امنیتی واکنشی اقداماتی نظیر پیادهسازی مرکز عملیات امنیت (SOC)، جرم شناسی و تحلیل بدافزار، مدیریت رخداد و نظایر آن تعریف شده است.
• علاوه بر شرکت خدمات انفورماتیک، شرکت کاشف بهعنوان نماینده بانک مرکزی مرجع حاکمیت و مدیریت امنیت در فضای تولید و تبادل اطلاعات بانکی تعریف شده است و مأموریت دارد تا از طریق پایش، ارزشیابی، جهتدهی، برقراری تعاملات و به اشتراکگذاری اطلاعات، امنیت و تابآوری زیرساختها و خدمات بانکها، مؤسسات مالی و اعتباری و بازار غیرمتشکل پولی کشور را ارتقا بخشد. شرکت شاپرک نیز در حوزه پرداختهای کارتی وظیفه دارد نظارت کامل بر اجرای سیاستهای کلان بانک مرکزی در حوزه شرکتهای ارائه دهنده خدمات پرداخت داشته باشد.
• از سازو کارهای دیگر در نظر گرفته تعامل با سازمانهای نظارتی نظیر مرکز مدیریت راهبردی افتا است که به عنوان مشاور و راهنما در کنار بانک مرکزی هستند و نظارت و هدایت کلی بر روند مدیریت امنیت اطلاعات در شبکه بانکی دارند.
نحوه رفتار متقابل سامانههای ملی و دیگر نظامهای نرم افزاری حاکمیتی با سیستم متمرکز بانکها و سوئیچهای مرتبط مانند سوئیچهای پرداخت در راستای ایجاد و تداوم امنیت چگونه و در قالب مقررات، گواهی نامهها و پرتکلهایی دنبال میشود؟
بانک مرکزی و شرکت خدمات انفورماتیک بعنوان بازوی اجرایی این بانک، سیاستهای کلان و استانداردهای مورد نیاز برای ارتباط بانکهای عامل با سامانههای ملی بانکی را تدوین و ابلاغ و در سمت مرکز این الزامات را پیاده سازی مینمایند. هر بانک و مجموعهای که بنابر نیاز باید به این سامانههای متصل شوند باید این الزامات و استانداردها را به صورت دقیق رعایت نمایند در غیر این صورت امکان برقراری اتصال وجود نخواهد داشت. متاسفانه در این حوزه بانکها از نظر تخصص در حوزه امنیت و آمادگی اجرای این الزامات در یک سطح نیستند و در نتیجه جهت جلوگیری از توقف اجرای سامانههای ملی در بسیاری از موارد بانک مرکزی ریسکهایی را در این حوزه میپذیرد و به بانکها زمان میدهد تا آمادگی لازم را به دست آورند.
با توجه به نمودار امنیت در شبکه بانکی آیا این نمودار قبل و بعد از تحریمها تغییر کرده است؟ علت یا علل را لطفا بیشتر توضیح دهید. به تعبیر دیگر همانطور که میدانید جنگ اقتصادی که تحریمها بخشی از آن است احتمالا ادامه خواهد داشت. آیا کارگروهی در خصوص پیشگیری از خطرات احتمالی برای شبکه بانکی ایجاد شده و نتایج تا کنون چه بوده است؟
در حال حاضر با بازگشت مجدد تحریم ها، ریسک کلان” تحریم” در شرکت خدمات انفورماتیک در کارگروههای تخصصی در چند ماه گذشته شناسایی و ابعاد مختلف آن مورد تحلیل و بررسی قرار گرفته است. برنامههای مدیریت این ریسکها و راهکارهای مربوطه مشخص و پس از یک دوره 6 ماهه اثربخشی راهکارهای مقابله با ریسک تحریم پایش و بررسی و درصورت نیاز اقدامات اصلاحی لازم انجام خواهد شد. لازم به ذکر است در دوران پساتحریم با توجه به اینکه احتمال اتصال ایران به شبکه پرداخت بین الملل وجود داشت، در شرکت خدمات اقدامات خوبی در راستای مطابقت با استانداردهای بین المللی از جمله PCI DSS، EMV و نظایر آن آغاز شد و هنوز هم ادامه دارد که این موضوع در صورت تعامل و همکاری بانکها، باعث ارتقا اکوسیستم پرداخت کشور خواهد شد. قطعا اگر هم با تحریم با کندیهایی در مسیر بهبود مواجه شویم ولی اقدامات مثبتی انجام خواهد شد.
در خصوص نمودار امنیت که فرمودید ابتدا باید به صورت دقیق تعریف شود. به این معنا که شاخصهای مدنظر در هر سامانه متفاوت است و به ازای هر شاخص و برای هر سامانه یک نمودار متفاوت میتوان ترسیم نمود.
سامانههای مرتبط با شبکه اینترنت نمودارها و شاخصهای متفاوتی با سامانههای حلقه بسته که ارتباطی با بیرون ندارند خواهند داشت. به طور کلی میتوان شاخصهای کلان که معمولا در همه سامانهها مشترک هستند را به این شکل تقسیم بندی نمود. البته باید ذکر کرد برای کلیه سامانههای شاخص ریسک یکی از اصلیترین نمودارهایی است که باید همیشه در تصمیمگیریها به آن توجه ویژه داشت.
حملات امنیتی
رخدادهای امنیتی به صورت تفکیک شده بر اساس تاثیر هر رخداد
نمودارهای ریسک
نمودار دسترس پذیری سامانه
نمودار Time to Launch
با توجه به شاخصهای کلان ذکر شده میتوان تاثیر تحریمها را در مورد هر شاخص و تاثیر آن بر روی سامانههای ملی را به صورت جداگانه مورد بررسی قرار داد. در نگاه کلی :
حملات امنیتی:برآورد متخصصین حوزه بانکی احتمال افزایش حملات امنیتی است. برای مقابله با این تهدید و بالا رفتن این شاخص متولیان شبکه بانکی و بالاخص شرکت خدمات انفورماتیک تمهیدات متعددی را اندیشیده است. این تمهیدات به طور کلی در دو دسته سیاستگذاریهای کلان کنترلی و استفاده از تکنولوژیهای نوین هستند.
رخدادهای امنیتی به صورت تفکیک شده بر اساس تاثیر هر رخداد : با توجه به تمهیدات در نظر گرفته شده به نظر میرسد نباید رشدی در میزان این شاخص و تاثیر رخداد داشته باشیم. البته باید اشاره شود که بدلیل وجود مشکلات تحریمی دستیابی و بهره برداری از تکنولوژی ممکن است با چالش مواجه شود.
نمودارهای ریسک: بطورکلی شاخص ریسک در سامانههای همواره افزایشی است. البته این افزایش در صورتی رخ میدهد که هیچگونه اقدام کاهشی انجام نپذیرد. بدلیل بوجود آمدن تهدیدات جدید و نیز افزایش تاثیر هر رخداد ریسک افزایش مییابد. البته مهمترین اقدام کاهش ریسک با استفاده از اقدامات کنترلی است.
نمودار دسترس پذیری سامانه: اقدامات لازم با هدف افزایش میزان دسترسپذیری سامانه در حال انجام است. تمام تلاش بانک مرکزی و شرکت خدمات انفورماتیک حفظ پایداری و دسترس پذیری سامانههای ملی بانکی است به شکلی که مشتریان نهایی هیچگونه تغییری در این شاخص حس نخواهند کرد.
به طور خلاصه می توان گفت تحریمها در بعد فنی تا حدزیادی قابل مدیریت هستند تنها اگر ارادهای راسخ برای این امر در کشور وجود داشته باشد. متاسفانه ما با دو نوع تحریم در حال حاضر مواجه هستیم؛ یکی تحریم کشورهای غربی در جلوگیری از دسترسی صنعت بانکی به دانش و سخت افزار و نرم افزار مورد نیاز است و چالش دیگر که مهمتر است، مشکلات فرایندی و کنترلی ناقص در داخل کشور در بحث زنجیره تامین است که گاهی از آن به عنوان تحریم های داخلی در صنعت یاد می کنیم. گاهی سخت افزاری که با چالش فراوان و برای نیاز پایداری سامانهها تهیه شده است و فاکتور زمان در دسترسی به آن بسیار حیاتی است، در داخل کشور و در فرایندهای طولانی گمرک و نظایر آن ماهها معطل می ماند.
تعریف و منظور مشخص بانک مرکزی و شرکت خدمات انفورماتیک از پایداری در سیستم بانکی چیست و دارای چه ابعاد و شاخصهای کیفی و کمی(عددی) است و هم اکنون این شاخص یا شاخصهای در چه وضعیتی بوده و هستند و نقطه هدف کجاست؟ و چونه میتوان به عدد مطلوب دست یافت؟
شاخصهای پایداری سرویس در سامانههای مختلف تا حدودی با هم متفاوت هستند. در برخی سامانهها نظیر سامانههای تراکنش محور نظیر شتاب و شاپرک شاخص بیشتر مبتنی بر درصد تراکنشهای موفق و درصد دسترسپذیری سرویس است. در برخی دیگر از سامانهها شاخص بر اساس زمانهای تعریف شده در سامانه نظیر زمان پاسخگویی به پیغام تعریف میشود. شاخص در برخی از سامانهها نیز مبتنی بر میزان حجم و سرعت پردازش اطلاعات تعریف میشود نظیر سامانههای BI و Fraud Detection. شاخص در سامانههایی که با هدف مقابله با تهدیدات امنیتی و کاهش ریسک راهاندازی شدهاند نیز بیشتر مبتنی بر میزان قدرت تشخیص تهدیدات میباشد نظیر سامانههای امنیتی مانند سامانههایی که در مرکز عملیات امنیت مورد استفاده قرار میگیرند.
• شرکت خدمات انفورماتیک “تداوم و پایداری سرویسهای مشتریان” را جزء اهداف سالیانه خود تعریف کرده است و برای سنجش آن شاخصهای کمی در نظرگرفته شده و به صورت سالیانه و شش ماهه پایش و اندازهگیری مینماید. تا کنون شاخصهای تعیین شده در وضعیت مطلوبی قرار گرفتهاند.
از لحاظ عددی میتوان گفت شاخص عملکردی میزان تراکنشهای موفق حداقل 99/99 درصد برای سامانههای حاکمیتی نظیر شتاب و شاپرک در حال حاضر وجود دارد. البته در کل شبکه بانکی و برای کل بانکها با توجه به عملکرد متفاوت بانکها در سرویسهای مختلف هنوز بانکهایی با عملکرد ضعیف این پایداری را در کل زنجیره سرویس تضعیف میکنند. بدلیل ماهیت سامانهها که در طی مرور زمان با افزایش بار سرویس و تنوع خدمات مواجه هستند، نگهداری شاخص در میزان مورد قبول و بهبود مستمر هدف اصلی بانک مرکزی و شرکت خدمات انفورماتیک است.
تمهیداتی که شرکت خدمات در راستای حفظ پایداری سیستم در بعد از تحریمها در پیش گرفته چه هستند و چقدر توانسته این تمهیدات به حفظ شاخصهای پایداری کمک کند و آیا باعث بهبود شاخص شده است یا خیر؟
تمهیداتی که در حوزه پایداری ارائه سرویس اعمال شده در پاسخ به سوال 4 قبلا توصیف شد. چنانچه در اینجا منظور از پایداری سیستم، بکارگیری مکانیزم های اطمینان از تداوم ارائه خدمت در مواجهه با تحریم ها باشد، برخی از تمهیداتی که شرکت خدمات انفورماتیک در این خصوص پیش گرفته است عبارتند از بومی سازی سامانه های حاکمیتی با الگوبرداری از راهکارهای موفق بینالمللی و منطبق با استاندارهای مرتبط . اصولا یکی از سیاستهای کلی این بوده است که قسمت اصلی در سامانه های ملی حتما بصورت بومی طراحی و اجرا گردد. خوشبختانه شاخصهای پایداری در سطح قابل قبول است و در صورت مدیریت موثر تحریمها این پایداری حفظ خواهد شد.
طبعا تدوین سیاستهای مرتبط با سیستم بانکی و از جمله امنیت با بانک مرکزی و اجرای سیاستها با شرکت خدمات است در عین حال بخشی یا تمام مطالعات کلی و مقدماتی در خصوص چگونگی اتخاذ سیاستها و تصمیمات و برنامهها در شرکت خدمات انجام میشود. با توجه به شرایط و ساختار خاص بانکی ایران، چه نقش راهی برای امنیت سامانههای ملی و طبعا بانکی بیشتر شبکه بانکی را به هدف میرساند؟ اساسا نقشه راه کلی چیست؟
با توجه به گستردگی و سیر تحولات در حوزه امنیت فناوری اطلاعات، تعریف یک نقشه راه کلان و کلی در این حوزه امکان پذیر نمی باشد؛ ولی نکته ای که جهت برنامه ریزی و تعیین نقش راه به تفکیک حوزه های مختلف امنیت در سامانه های بانکی، بسیار حائز اهمیت است، همگام بودن با سیر تحولات منطبق با استانداردها، راهکارها و زیرساخت ها نوین امنیتی و توانمندی تقابل با تهدیدات و آسیب پذیری جدید امنیتی در این حوزه می باشد. لذا در حوزه های مختلف امنیت با توجه به ماهیت متفاوت آن ها نیاز به تعریف نقشه راه مربوطه می باشد. بعنوان مثال در حوزههای زیر استراتژیها و راهکارهای مشخص تعریف شده است:
• فراهم سازی بستر فناوری ها و راهکارهای نوین نظیر بیومتریک و بلاک چین؛
• طراحی و استقرار زیرساخت های امنیتی نظیر PKI و تجهیز سامانه های بانکی به این زیرساخت ها؛
• طراحی و استقرار Fraud Management؛
• تدوین و پیاده سازی سیاست ها، الزامات و استانداردهای امنیتی نظیر استانداردهای مرتبط با مدیریت امنیت اطلاعات ، استانداردهای پرداخت نظیر PSD2 و …؛
• رصد و پایش حوزه امنیت اطلاعات با راه اندازی و اجرای مرکز عملیات امنیت (SOC)؛
• طراحی و استقرار Threat Intelligence و همچنین مدیریت آسیب پذیری ها
و …
مسیر قالب ایجاد امنیت و پایداری در فناوریهای بانکی اعم از سامانههای نرم و سخت افزاری در دنیا چیست و چه روندهایی حاکم است این روندها با توجه به ساختار خاص ایران تا چه حد همپوشانی با روشهای مورد نظر شرکت خدمات انفورماتیک دارد.تفاوتها را نیز لطفا اشاره بفرمایید.
برخی از گرایش ها و مسیرهای تعریف شده جهت ایجاد امنیت و پایداری در فناوری های بانکی که در حال حاضر در دنیا بسیار مورد توجه قرار گرفته و سرمایه گذاری های قابل توجهی در آن ها شده است را اشاره خواهم کرد. طبق گزارش مراجع متعدد بین المللی، مواردی نظیر نشت اطلاعات، امنیت در حوزه سرویس های ابری، آسیبپذیری های برنامههای موبایلی و چالش های حوزه رمزنگاری از مهمترین ریسکهای امنیتی در حال حاضر در صنعت بانکی در جهان محسوب می شوند و بیشتر روندهای مطرح در راستای ارتقای امنیت در حوزه های فوق است. مواردی نظیر پیاده سازی و توسعه استانداردها و زیرساخت های نوین پرداخت نظیر PSD2 ، بکارگیری فناوریهای نوین نظیر بیومتریک و امضای دیجیتال و استفاده از راهکارهای کارآمد احراز هویت و کنترل دسترسی، امنیت کلان دادهها و مدیریت کنترل دسترسی به داده ها، سیستم های مدیریت تقلب (Fraud Management)؛ اجرای راهکارها و فرآیندهای کارآمد شناسایی مشتریان، بهره برداری از الگوریتم های مناسب و استاندارد رمزنگاری و بکارگیری راهکارهای کارآمد مدیریت کلید و استفاده از فناوری های جدید نظیر بلاک چین در ارتقا امنیت در برخی از حوزه های طرح شده از روندهای مطرح موجود است.
در شرکت خدمات انفورماتیک نیز با انجام مطالعات گسترده و با تحلیل و بررسی سیر تحولات و گرایش های فناوری در حوزه ارتقای امنیت ارائه سرویس های بانکی پروژه های مختلفی تعریف شده است که منطبق با استانداردها و راهکارهای موفق بین المللی طراحی ها، برنامه ریزی ها و پیاده سازی های لازم در حوزه های مختلف مورد اشاره در بالا صورت گرفته که بسیاری از این موارد به مرحله بهره برداری و ارائه سرویس رسیده اند. تفاوت هایی که در ایران نسبت به راهکارها و سامانه های مشابه بین المللی وجود دارد، عمدتاً به دلیل محدودیت های مرتبط با تحریم بوده است. نظیر محدودیت های مرتبط با ورود تجهیزات خاص امنیتی نظیر HSM، عدم امکان اتصال به زیرساخت های پرداخت بین المللی نظیر Master و VISA و عدم امکان صدور گواهی های الکترونیکی قابل شناسایی در پلت فرم های بین المللی.
لازم بذکر است که برای اینگونه تفاوت ها و محدودیت ها، در برخی موارد امکان اعمال راهکارهای جایگزین وجود داشته و تدابیر لازم در این خصوص اندیشیده شده است و در برخی دیگر نیز ارائه سرویس همراه با محدودیت هایی بوده که لازم است جهت انجام برنامه ریزی های آتی در نظر گرفته شود.
شاخصهای کلی پایداری در سیستم های مطرح بانکی در جهان در چه نقطهای قرار دارند. در ایران وضعیت چگونه است و تا رسیدن به نقطه مطلوب باید چه اتخاذ تمهیدات و سرمایه گذاریهایی پیش بینی شده و برای دوران حاضر چه نگاههای پیشگیرانهای را باید در نظر داشت؟
در دنیا ملاک اصلی ارزیابی شاخصهای پایداری انطباق با استانداردها و بهترین تجارب موجود و همچنین انطباق با قوانین و دستورالعمل ها است. در حالیکه متاسفانه در ایران مطابقت با استانداردهای بین المللی این حوزه همچون EMV و PCI هنوز وجود ندارد و همچنین در بسیاری از موارد با خلا قانونی مواجه هستیم که مشتریان سرویسهای بانکی را با ریسک و چالش جدی مواجه میسازد. به طوریکه در بانکداری باز مدل ایرانی! به شرکتهای غیر حوزه بانکی اجازه فعالیت داده میشود بدون اینکه ساز و کار اجرایی و الزامات امنیتی آن مطابق الگوهای بین المللی در نظر گرفته شود. همچنین در زمینه حفظ حریم خصوصی مشتریان بانکی هم هیچ ساز و کاری وجود ندارد. در دنیا قوانینی نظیر PSD2 و GDPR به شدت سخت گیرانه برخورد می نماید و ما مشابه آن را هنوز نداریم. در واقع فاصله اصلی ما نه در بعد فناوری که در بعد الزامات و قوانین و نظارت بر اجرای آن است.
نکاتی اگر مانده بیان بفرمایید.
از فرصتی که در اختیارم قرار دادید بسیار سپاسگزارم. تاکید میکنم که بهبود و نگهداشت امنیت اطلاعات بانکی جز در تعامل و هم افزایی همه اعضا اکوسیستم بانکی به وجود نمی آید. ضعیف ترین عضو این اکوسیستم می تواند همه ذی نفعان را با ریسک جدی مواجه سازد. اعتقاد دارم که بزرگترین ریسک و چالش امنیت اطلاعات در کشور، ضعف دانش تخصصی و تصمیم سازیها و تصمیم گیری های غیر اصولی های در این حوزه و کپی برداری های ناقص (سهوا یا عمدا) از به روشها و قوانین و الزامات و استانداردهای صنعت بانکی در دنیاست.
منبع: ماهنامه بانکداری آینده شماره: 36