شنبه 3ام آذر 1403

عزم جدی برای امنیت

به گزارش پایگاه خبری بانکداری الکترونیک، امنیت و پایداری سامانه‌های ملی به عنوان یکی از وظایف ذاتی شرکت خدمات انفورماتیک، به عنوان بازوی فناوری بانک مرکزی همواره مورد توجه بوده است.، پس از  بازگشت مجدد تحریم‌ها، ریسک کلان” تحریم” در این شرکت در کارگروه‌های تخصصی طی ماه‌های اخیر شناسایی و ابعاد مختلف آن مورد تحلیل […]

967 Views


به گزارش پایگاه خبری بانکداری الکترونیک، امنیت و پایداری سامانه‌های ملی به عنوان یکی از وظایف ذاتی شرکت خدمات انفورماتیک، به عنوان بازوی فناوری بانک مرکزی همواره مورد توجه بوده است.، پس از  بازگشت مجدد تحریم‌ها، ریسک کلان” تحریم” در این شرکت در کارگروه‌های تخصصی طی ماه‌های اخیر شناسایی و ابعاد مختلف آن مورد تحلیل و بررسی قرار گرفته است.

بر این اساس معاون امنیت شرکت خدمات انفورمایک معتقد است :« تحریم ها در بُعد فنی قابل مدیریت هستند؛بنابراین تنها کافی است اراده‌ای راسخ برای این امر در کشور‌ وجود داشته باشد.» در عین حال عملکرد سامانه های ملی بعد از خروج یک طرفه ایالات متحده از برجام نشان دهنده حفظ پایداری این سامانه هاست. گفتگوی مفصل  ماهنامه بانکداری آینده با «نوش آفرین مومن واقفی»در خصوص ابعاد این بررسی ها را در ادامه می خوانید:

تعریف شرکت خدمات انفورماتیک از امنیت در حوزه بانکی و متعاقبا امنیت در سامانه های ملی چیست ؟  


در ساده‌ترین تعریف، امنیت را مرتبط با مولفه‌های محرمانگی، ‌صحت و یکپارچگی و دسترس‌پذیری اطلاعات تعریف می‌کنند. تعریف امنیت در حوزه بانکی نیز جدا از این تعریف کلی نیست.

در شرکت خدمات انفورماتیک‌، “مدیریت ریسک و ‌امنیت اطلاعات” همواره در حد یک راهبرد و استراتژی کلان سازمانی مورد توجه مدیریت ارشد بوده است و از همین رو در منشور سیستم مدیریت امنیت اطلاعات شرکت اهداف زیر مورد توجه جدی قرار گرفته است که به نوعی نشان دهنده تعریف شرکت از امنیت است.

•    تامین،تضمین، نگهداشت و بهبود مستمر در سرویس ها و شبکه های بین بانکی و ملی در راستای حفظ منابع و اعتبار مشتریان بانکی،شرکای تجاری، سهامداران و کلیه ذی‌نفعان

•    صیانت از محرمانگی، صحت و یکپارچگی و دسترس‌پذیری اطلاعات مشتریان و کلیه ذی نفعان

•    ارتقاء سطح کیفی و امنیتی سامانه‌ها با پایش و کنترل متمرکز و یکپارچه و انجام ارزیابی های امنیتی

•    اتخاذ رویکرد آینده‌نگر در توسعه زیرساخت‌های امنیتی نظام بانکداری الکترونیک کشور

•    بسترسازی و استقرار مدیریت ریسک

•    مدیریت رخدادهای سرویس ها و شبکه های بین بانکی و بانکی

•    طراحی و پیاده‌سازی سیستم مدیریت تداوم کسب و کار به منظور ارائه سرویس‌های پایدار، مستمر و بدون‌ وقفه  

•    انطباق با الزامات امنیتی قانونی و قراردادی درون و برون سازمانی

•    برنامه‌ريزي، سیاست‌گذاری، تأمین منابع مورد نیاز، نظارت بر حسن اجرا، بهبود مستمر فرآیندها با هدف کاهش ریسک در حوزه سامانه‎های بانکی و ملی

•    کاهش مستمر ریسک در حوزه‎های مختلف سرویس‌های بانکی

در حوزه سامانه‌های ملی بانکی نیز رویکرد ما نگاه به بحث امنیت در حد یک استراتژی کلان است. ‌در شرکت خدمات انفورماتیک در جایگاه پیمانکار و مجری پروژه‌های حاکمیتی خود را ملزم می‌دانیم تا در تمامی سامانه‌های حاکمیتی تحت راهبری شرکت، الزامات و استانداردهای امنیتی به روز را مورد توجه قرار دهیم. البته رویکرد ما در چند سال گذشته مدیریت امنیت اطلاعات بر اساس مدیریت ریسک بوده است و ما در این حوزه با نظر مشاوره‌ای ریسک‌ها را اعلام می‌نماییم ولی در نهایت تصمیم‌گیری در مورد اصول امنیتی با نظر و سیاست‌گذاری بانک مرکزی است.

مدلی کلی یا مفهومی  که در خصوص امنیت در شبکه بانکی از سوی نهاد ناظر و طبعا توسط بازوی فناوری این نهاد یعنی شرکت خدمات طراحی و اجرا شده دارای چه ساختار‌ توصیفی یا ترسیمی است؟


 در مدل کلی در سه لایه حاکمیت، مدیریت و راهبری امنیت اطلاعات رویکردهای مشخصی تدوین شده و در حال اجراست. بصورت کلی :

•    بانک مرکزی بعنوان سیاست گذار اصلی در حوزه بانکی متولی تبیین سیاست‎های امنیتی کلان در حوزه بانکی است. بالطبع این نهاد در فرآیند تبیین سیاست‎های کلان امنیتی از مشاوره بازوهای اجرایی خود نظیر شرکت خدمات انفورماتیک استفاده می‎نماید.

•    بانک مرکزی برای بهبود سطح امنیتی سامانه‎های بانکی و کاهش ریسک امنیتی در حوزه بانکی اقدام به ایجاد ساختار مشخص در حوزه امنیت اطلاعات بانکی نموده است. این نهادها در لایه حاکمیت امنیت، مدیریت امنیت و راهبری امنیت وظایف مشخصی را به عهده دارند.

•    شرکت خدمات انفورماتیک در حوزه امنیت وظیفه دارد سیاست‎های کلان بانک مرکزی را در حوزه‎های اجرایی و فنی به بهترین شکل ممکن پیاده¬سازی نماید. پیاده سازی این سیاست‎ها در حوزه‎های مختلف نظیر طراحی، پیاده سازی سامانه، فرآیندهای ارزیابی امنیتی سامانه و بهبود مستمر امنیتی سامانه و نیز پایش رخدادهای امنیتی اجرا می‎شوند. مدل در نظر گرفته شده در این خصوص در دو دسته پیشگیرانه و واکنشی در شرکت خدمات انفورماتیک تعریف شده است. در بخش تمهیدات امنیتی پیشگیرانه، پیاده‌سازی و استقرار استانداردهای بین‌المللی، تدوین و ابلاغ الزامات امنیتی، نظارت و ممیزی، ارزیابی امنیتی در تمامی مراحل فرآیند تولید نرم‌افزار ، مدیریت ریسک، مدیریت کلید، مدیریت تغییرات، امن سازی، مدیریت آسیب‌پذیری، آموزش و فرهنگ‌سازی در زمینه امنیت اطلاعات در نظر گرفته شده است. همچنین در بخش تمهیدات امنیتی واکنشی اقداماتی نظیر پیاده‌سازی مرکز عملیات امنیت (SOC)، جرم شناسی و تحلیل بدافزار، مدیریت رخداد و نظایر آن تعریف شده است.

•    علاوه بر شرکت خدمات انفورماتیک، شرکت کاشف به‌عنوان نماینده بانک مرکزی  مرجع حاکمیت و مدیریت امنیت در فضای تولید و تبادل اطلاعات بانکی تعریف شده است و  مأموریت دارد تا از طریق پایش، ارزشیابی، جهت‌دهی، برقراری تعاملات و به اشتراک‌گذاری اطلاعات، امنیت و تاب‌آوری زیرساخت‌ها و خدمات بانک‌ها، مؤسسات مالی و اعتباری و بازار غیرمتشکل پولی کشور را ارتقا بخشد. شرکت شاپرک نیز در حوزه پرداخت‎های کارتی وظیفه دارد نظارت کامل بر اجرای سیاست‎های کلان بانک مرکزی در حوزه شرکت‎های ارائه دهنده خدمات پرداخت داشته باشد.

•    از سازو کارهای دیگر در نظر گرفته تعامل با سازمان‌های نظارتی نظیر مرکز مدیریت راهبردی افتا است که به عنوان مشاور و راهنما در کنار بانک مرکزی هستند و نظارت و هدایت کلی بر روند مدیریت امنیت اطلاعات در شبکه بانکی دارند.

                      

 

نحوه رفتار متقابل سامانه‌های ملی و دیگر نظام‌های نرم افزاری حاکمیتی  با سیستم متمرکز بانک‌ها و سوئیچ‌های مرتبط مانند سوئیچ‌های پرداخت در راستای ایجاد و تداوم امنیت‌ چگونه و در قالب مقررات، گواهی نامه‌ها و پرتکل‌هایی دنبال می‌شود؟


      بانک مرکزی و شرکت خدمات انفورماتیک بعنوان بازوی اجرایی این بانک، سیاست‎های کلان و استانداردهای مورد نیاز برای ارتباط بانک‎های عامل با سامانه‎های ملی بانکی را تدوین و ابلاغ و در سمت مرکز این الزامات را پیاده سازی می‎نمایند. هر بانک و مجموعه‎ای که بنابر نیاز باید به این سامانه‎های متصل شوند باید این الزامات و استانداردها را به صورت دقیق رعایت نمایند در غیر این صورت امکان برقراری اتصال وجود نخواهد داشت. متاسفانه در این حوزه بانک‌ها از نظر تخصص در حوزه امنیت و آمادگی اجرای این الزامات در یک سطح نیستند و در نتیجه جهت جلوگیری از توقف اجرای سامانه‌های ملی در بسیاری از موارد بانک مرکزی ریسک‌هایی را در این حوزه می‌پذیرد و به بانک‌ها زمان می‌دهد تا آمادگی لازم را به دست آورند.

 

با توجه به نمودار امنیت در شبکه بانکی آیا این نمودار قبل و بعد از تحریم‌ها تغییر کرده است؟ علت یا علل را  لطفا بیشتر توضیح دهید. به تعبیر دیگر همان‌طور که می‌دانید جنگ اقتصادی که تحریم‌ها بخشی از آن است احتمالا ادامه خواهد داشت. ‌آیا کارگروهی  در خصوص پیشگیری از خطرات احتمالی برای شبکه بانکی  ایجاد شده و نتایج تا کنون چه بوده است؟

 

         در حال حاضر با بازگشت مجدد تحریم ها، ریسک کلان” تحریم” در شرکت خدمات انفورماتیک در کارگروه‌های تخصصی در چند ماه گذشته  شناسایی و ابعاد مختلف آن مورد تحلیل و بررسی قرار گرفته است. برنامه‌های مدیریت این ریسک‌ها و راه‌کارهای مربوطه مشخص و پس از یک دوره 6 ماهه اثربخشی راهکارهای مقابله با ریسک تحریم پایش و بررسی و درصورت نیاز اقدامات اصلاحی لازم انجام خواهد شد. لازم به ذکر است‌ در دوران پساتحریم با توجه به اینکه احتمال اتصال ایران به شبکه پرداخت بین الملل وجود داشت، در شرکت خدمات اقدامات خوبی در راستای مطابقت با استانداردهای بین المللی از جمله PCI DSS، EMV و نظایر آن آغاز شد و هنوز هم ادامه دارد که این موضوع در صورت تعامل و همکاری بانک‌ها، باعث ارتقا  اکوسیستم پرداخت کشور خواهد شد. قطعا اگر هم با تحریم با کندی‌هایی در مسیر بهبود مواجه شویم ولی اقدامات مثبتی انجام خواهد شد.

در خصوص نمودار امنیت که فرمودید ‌ابتدا باید به صورت دقیق تعریف شود. به این معنا که شاخص‎های مدنظر در هر سامانه متفاوت است و به ازای هر شاخص و برای هر سامانه یک نمودار متفاوت می‎توان ترسیم نمود.


سامانه‎های مرتبط با شبکه اینترنت نمودارها و شاخص‎های متفاوتی با سامانه‎های حلقه بسته که ارتباطی با بیرون ندارند خواهند داشت. به طور کلی می‎توان شاخص‎های کلان که معمولا در همه سامانه‎ها مشترک هستند را به این شکل تقسیم بندی نمود. البته باید ذکر کرد برای کلیه سامانه‎های شاخص ریسک یکی از اصلی‎ترین نمودارهایی است که باید همیشه در تصمیم‎گیری‎ها به آن توجه ویژه داشت.

حملات امنیتی

رخدادهای امنیتی به صورت تفکیک شده بر اساس تاثیر هر رخداد

نمودارهای ریسک

نمودار دسترس پذیری سامانه

نمودار Time to Launch

با توجه به شاخص‎های کلان ذکر شده می‎توان تاثیر تحریم‎ها را در مورد هر شاخص و تاثیر آن بر روی سامانه‎های ملی را به صورت جداگانه مورد بررسی قرار داد. در نگاه کلی :


حملات امنیتی:برآورد متخصصین حوزه بانکی احتمال افزایش حملات امنیتی است. برای مقابله با این تهدید و بالا رفتن این شاخص متولیان شبکه بانکی و بالاخص شرکت خدمات انفورماتیک تمهیدات متعددی را اندیشیده است. این تمهیدات به طور کلی در دو دسته سیاست‎گذاری‎های کلان کنترلی و استفاده از تکنولوژی‎های نوین هستند.


رخدادهای امنیتی به صورت تفکیک شده بر اساس تاثیر هر رخداد : با توجه به تمهیدات در نظر گرفته شده به نظر می‎رسد نباید رشدی در میزان این شاخص و تاثیر رخداد داشته باشیم. البته باید اشاره شود که بدلیل وجود مشکلات تحریمی دستیابی و بهره برداری از تکنولوژی ممکن است با چالش مواجه شود.


نمودارهای ریسک‌: بطورکلی شاخص ریسک در سامانه‎های همواره افزایشی است. البته این افزایش در صورتی رخ می‌دهد که هیچ‌گونه اقدام کاهشی انجام نپذیرد. بدلیل بوجود آمدن تهدیدات جدید و نیز افزایش تاثیر هر رخداد ریسک افزایش می‎یابد. البته مهم‎ترین اقدام کاهش ریسک با استفاده از اقدامات کنترلی است.


نمودار دسترس پذیری سامانه‌: اقدامات لازم با هدف افزایش میزان دسترس‌پذیری سامانه در حال انجام است. تمام تلاش بانک مرکزی و شرکت خدمات انفورماتیک حفظ پایداری و دسترس پذیری سامانه‎های ملی بانکی است به شکلی که مشتریان نهایی هیچگونه تغییری در این شاخص حس  نخواهند کرد.

به طور خلاصه می توان گفت تحریم‌ها در بعد فنی تا حدزیادی قابل مدیریت هستند تنها اگر اراده‌ای راسخ برای این امر در کشور ‌وجود داشته باشد. متاسفانه ما با دو نوع تحریم در حال حاضر مواجه هستیم؛ یکی تحریم کشورهای غربی در جلوگیری از دسترسی صنعت بانکی به دانش و سخت افزار و نرم افزار مورد نیاز است و چالش دیگر‌ که مهم‌تر است، مشکلات فرایندی و کنترلی ناقص در داخل کشور در بحث زنجیره تامین است که گاهی از آن به عنوان تحریم های داخلی در صنعت یاد می کنیم.‌ گاهی سخت افزاری که با چالش فراوان و برای نیاز پایداری سامانه‌ها تهیه شده است و فاکتور زمان در دسترسی به آن بسیار حیاتی است، در داخل کشور و در فرایندهای طولانی گمرک و نظایر آن ما‌ه‌ها معطل می ماند.

 

تعریف و منظور مشخص بانک مرکزی و شرکت خدمات انفورماتیک از پایداری در سیستم بانکی چیست و دارای چه ابعاد و شاخص‌های کیفی و کمی(عددی) است و هم اکنون این شاخص یا شاخص‌های در چه وضعیتی بوده و هستند و نقطه هدف کجاست؟ و چونه می‌توان به عدد مطلوب دست یافت؟


شاخص‌های پایداری سرویس در سامانه‎های مختلف تا حدودی با هم متفاوت هستند. در برخی سامانه‎ها نظیر سامانه‎های تراکنش محور نظیر شتاب و شاپرک شاخص بیشتر مبتنی بر درصد تراکنش‎های موفق و درصد دسترس‌پذیری سرویس است. در برخی دیگر از سامانه‎ها شاخص بر اساس زمان‎های تعریف شده در سامانه نظیر زمان پاسخگویی به پیغام تعریف می‎شود. شاخص در برخی از سامانه‎ها نیز مبتنی بر میزان حجم و سرعت پردازش اطلاعات تعریف می‎شود نظیر سامانه‎های BI و Fraud Detection. شاخص در سامانه‎هایی که با هدف مقابله با تهدیدات امنیتی و کاهش ریسک راه‎اندازی شده‎اند نیز بیشتر مبتنی بر میزان قدرت تشخیص تهدیدات می‎باشد نظیر سامانه‎های امنیتی مانند سامانه‎هایی که در مرکز عملیات امنیت مورد استفاده قرار می‎گیرند.


•    شرکت خدمات انفورماتیک “تداوم و پایداری سرویس‌های مشتریان” را جزء اهداف سالیانه خود تعریف کرده است و برای سنجش آن شاخص‌‌های کمی در نظرگرفته شده و به صورت سالیانه و شش ماهه پایش و اندازه‌گیری می‌نماید. تا کنون شاخص‌های تعیین شده در وضعیت مطلوبی قرار گرفته‌اند.

از لحاظ عددی می‎توان گفت شاخص عملکردی میزان تراکنش‎های موفق حداقل 99/99 درصد برای  سامانه‌های حاکمیتی نظیر شتاب و شاپرک در حال حاضر وجود دارد.‌ البته در کل شبکه بانکی و برای کل بانک‌ها با توجه به عملکرد متفاوت بانک‌ها در سرویس‌های مختلف هنوز بانک‌هایی با عملکرد ضعیف این پایداری را در کل زنجیره سرویس تضعیف می‌کنند. بدلیل ماهیت سامانه‎ها که در طی مرور زمان با افزایش بار سرویس و تنوع خدمات مواجه هستند، نگهداری شاخص در میزان مورد قبول و بهبود مستمر هدف اصلی بانک مرکزی و شرکت خدمات انفورماتیک است.

               

تمهیداتی که شرکت خدمات در راستای حفظ پایداری سیستم در بعد از تحریم‌ها در پیش گرفته چه هستند و چقدر توانسته این تمهیدات به حفظ شاخص‌های پایداری کمک کند و آیا باعث بهبود شاخص شده است یا خیر؟


  تمهیداتی که در حوزه پایداری ارائه سرویس اعمال شده در پاسخ به سوال 4 قبلا توصیف شد.  چنانچه در اینجا منظور از پایداری سیستم، بکارگیری مکانیزم های اطمینان از تداوم ارائه خدمت در مواجهه با تحریم ها باشد، برخی از تمهیداتی که شرکت خدمات انفورماتیک در این خصوص پیش گرفته است عبارتند از بومی سازی سامانه های حاکمیتی با الگوبرداری از راهکارهای موفق بین‌المللی و منطبق با استاندارهای مرتبط . اصولا یکی از سیاست‌های کلی این بوده است که قسمت اصلی در سامانه های ملی حتما بصورت بومی طراحی و اجرا گردد. خوشبختانه شاخص‌های پایداری در سطح قابل قبول است و در صورت مدیریت موثر تحریم‌ها این پایداری حفظ خواهد شد.

طبعا تدوین سیاست‌های مرتبط با سیستم بانکی و از جمله امنیت با بانک مرکزی و اجرای سیاست‌ها با شرکت خدمات است در عین حال بخشی یا تمام  مطالعات کلی و مقدماتی  در خصوص چگونگی اتخاذ سیاست‌ها و تصمیمات و برنامه‌ها‌ در شرکت خدمات انجام می‌شود. با توجه به شرایط و ساختار خاص بانکی ایران، چه نقش راهی برای امنیت سامانه‌های ملی و طبعا بانکی بیشتر شبکه بانکی را به هدف می‌رساند؟  اساسا نقشه راه کلی چیست؟


با توجه به گستردگی و سیر تحولات در حوزه امنیت فناوری اطلاعات، تعریف یک نقشه راه کلان و کلی در این حوزه امکان پذیر نمی باشد؛ ولی نکته ای که جهت برنامه ریزی و تعیین نقش راه به تفکیک حوزه های مختلف امنیت در سامانه های بانکی، بسیار حائز اهمیت است، همگام بودن با سیر تحولات منطبق با استانداردها، راهکارها و زیرساخت ها نوین امنیتی و توانمندی تقابل با تهدیدات و آسیب پذیری جدید امنیتی  در این حوزه می باشد.  لذا در حوزه های مختلف امنیت با توجه به ماهیت متفاوت آن ها نیاز به تعریف نقشه راه مربوطه می باشد. بعنوان مثال در حوزه‌های زیر استراتژی‌ها و راه‌کارهای مشخص تعریف شده است:

•    فراهم سازی بستر فناوری ها و راهکارهای نوین نظیر بیومتریک و بلاک چین؛

•    طراحی و استقرار  زیرساخت های امنیتی نظیر PKI و تجهیز سامانه های بانکی به این زیرساخت ها؛

•    طراحی و استقرار  Fraud Management؛

•    تدوین و پیاده سازی سیاست ها، الزامات و استانداردهای امنیتی نظیر استانداردهای مرتبط با مدیریت امنیت اطلاعات ، استانداردهای پرداخت نظیر PSD2 و …؛

•    رصد و‌ پایش حوزه امنیت اطلاعات با راه اندازی و اجرای مرکز عملیات امنیت (SOC)؛

•    طراحی و استقرار  Threat Intelligence  و همچنین مدیریت آسیب پذیری ها

و …

 

مسیر قالب ایجاد امنیت و پایداری در‌ فناوری‌های بانکی اعم از سامانه‌های نرم و سخت افزاری در دنیا چیست و چه روندهایی حاکم است  این روندها با توجه به ساختار خاص ایران تا چه حد هم‌پوشانی با روش‌های مورد نظر شرکت خدمات انفورماتیک دارد.تفاوت‌ها را نیز لطفا اشاره بفرمایید.


برخی از گرایش ها و مسیرهای تعریف شده  جهت ایجاد امنیت و پایداری در فناوری های بانکی  که در حال حاضر در دنیا بسیار مورد توجه قرار گرفته و سرمایه گذاری های قابل توجهی در آن ها شده است را اشاره خواهم کرد. طبق گزارش مراجع متعدد بین المللی، مواردی نظیر نشت اطلاعات، امنیت در حوزه سرویس های ابری، آسیب‌پذیری های برنامه‌های موبایلی‌  و چالش های حوزه رمزنگاری از مهمترین ریسکهای امنیتی در حال حاضر در صنعت بانکی در جهان محسوب می شوند و بیشتر روندهای مطرح در راستای ارتقای امنیت در حوزه های فوق  است. مواردی نظیر پیاده سازی و توسعه استانداردها و زیرساخت های نوین پرداخت نظیر PSD2 ، بکارگیری فناوری‌های نوین نظیر بیومتریک و ‌امضای دیجیتال و استفاده از راهکارهای کارآمد احراز هویت و کنترل دسترسی، امنیت کلان داده‌ها و مدیریت کنترل دسترسی به داده ها،  سیستم های مدیریت تقلب (Fraud Management)؛ اجرای راهکارها و فرآیندهای کارآمد شناسایی مشتریان، بهره برداری از الگوریتم های مناسب و  استاندارد رمزنگاری و بکارگیری راهکارهای کارآمد مدیریت کلید و استفاده از فناوری های جدید نظیر بلاک چین در ارتقا امنیت در برخی از حوزه های طرح شده از روندهای مطرح موجود است.


در شرکت خدمات انفورماتیک‌ نیز با انجام مطالعات گسترده ‌و با تحلیل و بررسی سیر تحولات و گرایش های فناوری در حوزه ارتقای امنیت ارائه سرویس های بانکی پروژه های مختلفی تعریف شده است که منطبق با استانداردها و راهکارهای موفق بین المللی طراحی ها، برنامه ریزی ها و پیاده سازی های لازم در حوزه های مختلف مورد اشاره در بالا صورت گرفته که بسیاری از این موارد به مرحله بهره برداری و ارائه سرویس رسیده اند.  تفاوت هایی که در ایران  نسبت به راهکارها و سامانه های مشابه بین المللی وجود دارد، عمدتاً به دلیل محدودیت های مرتبط با تحریم بوده است. نظیر محدودیت های مرتبط با ورود تجهیزات خاص امنیتی نظیر HSM، عدم امکان اتصال به زیرساخت های پرداخت بین المللی نظیر Master و VISA  و عدم امکان صدور گواهی های الکترونیکی قابل شناسایی در پلت فرم های بین المللی.


لازم بذکر است که برای اینگونه تفاوت ها و محدودیت ها، در برخی موارد امکان اعمال راهکارهای جایگزین وجود داشته و تدابیر لازم در این خصوص اندیشیده شده است و در برخی دیگر نیز ارائه سرویس همراه با محدودیت هایی بوده که لازم است جهت انجام برنامه ریزی های آتی در نظر گرفته شود.

 

شاخص‌های  کلی پایداری در  سیستم های مطرح بانکی در جهان در چه نقطه‌ای قرار دارند‌. ‌در ایران وضعیت چگونه است و تا رسیدن به نقطه مطلوب باید چه اتخاذ تمهیدات و سرمایه گذاری‌هایی ‌پیش بینی شده  و برای دوران حاضر چه نگاه‌های پیشگیرانه‌ای را باید در نظر داشت؟


در دنیا ملاک اصلی ارزیابی شاخص‌های پایداری انطباق با استانداردها و بهترین تجارب موجود و همچنین انطباق با قوانین و دستورالعمل ها است. در حالی‌که متاسفانه در ایران مطابقت با استانداردهای بین المللی این حوزه همچون EMV و PCI هنوز وجود ندارد و همچنین در بسیاری از موارد با خلا قانونی مواجه هستیم که مشتریان سرویس‌های بانکی را با ریسک و چالش جدی مواجه می‌سازد. به طوریکه در بانکداری باز مدل ایرانی! به شرکت‌های غیر حوزه بانکی‌ اجازه فعالیت داده می‌شود بدون اینکه ساز و کار اجرایی و الزامات امنیتی آن مطابق الگوهای بین المللی در نظر گرفته شود. همچنین در زمینه حفظ حریم خصوصی مشتریان بانکی هم هیچ ساز و کاری وجود ندارد. در دنیا قوانینی نظیر  PSD2 و GDPR به شدت سخت گیرانه برخورد می نماید و ما مشابه آن را هنوز نداریم. در واقع فاصله اصلی ما نه در بعد فناوری که در بعد الزامات و قوانین و نظارت بر اجرای آن است.

 

نکاتی اگر مانده بیان بفرمایید.


از فرصتی که در اختیارم قرار دادید بسیار سپاسگزارم. تاکید می‌کنم که بهبود و نگهداشت امنیت اطلاعات بانکی جز در تعامل و هم افزایی همه اعضا اکوسیستم بانکی به وجود نمی آید. ضعیف ترین عضو این اکوسیستم می تواند همه ذی نفعان  را با ریسک جدی مواجه سازد. اعتقاد دارم که  بزرگترین ریسک و چالش امنیت اطلاعات در کشور، ضعف دانش تخصصی و تصمیم سازی‌ها  و تصمیم گیری های غیر اصولی های در این حوزه و کپی برداری های ناقص (سهوا یا عمدا) از به روشها و قوانین و الزامات و استانداردهای صنعت بانکی در  دنیاست.

 

منبع: ماهنامه بانکداری آینده شماره: 36

 

 

لینک منبع

قالب وردپرس