سازمان دهی ساختار امنیت اطلاعات بانکها در دستور کار بانک مرکزی /آیا «انیاک» باعث ایجاد کاشف شد/رونمایی از امنیت با طعم کاشف
این وضعیت موجب شد که دو سال پیش شاهد اتفاقی نظیر شرکت «انیاک» باشیم. این نهیب را به مجموعه بانکی کشور زد که برای رصد این مجموعه، بایستی ساختاری را شکل دهد و خوشبختانه شورای پول و اعتبار، با درکی صحیح از اوضاع، طرح تشکیل ساختاری با نام کاشف را تصویب کرد./کاشف شرکتی هدایت کننده امنیت و در حقیقت انشاء کننده و سیاستگذار در این حوزه است/ما بانکها را یکی از اعضای اتاق فکر و مشورت کاشف میدانیم/ بهعنوان اولین گام، پروژه سازمان دهی ساختار امنیت اطلاعات بانکها را در زمره پروژههای با الویت بالای شرکت قرار دادهایم/شرکت کاشف پس از یک دوره فترت و خاموشی کوتاه، از مهر ماه امسال آغاز به کار کرد/کاشف آمده است تا ضربهگیری مناسب میان سازمانهایی که میخواهند در حوزه امنیت با بانکها تعامل کنند و خود بانکها باشد
عکس از روابط عمومی شرکت کاشف
– لطفاً ذینفعان کاشف را معرفی کنید و مشخص کنید که گستره و نوع ارتباط کاشف با این ذینفعان چگونه تعریف میشود؟
کاشف چهار ذینفع اصلی خواهد داشت. ذینفع اول کاشف بانکهای کشورند. یعنی نقطه تعامل اصلی کاشف بانکهای کشور هستند.
در بانکهای کشور حتی در مورد اینکه جایگاه واحد امنیت و ساختار امنیت اطلاعاتشان باید چگونه باشد تفرق نظر وجود دارد. به دلیل اینکه ابعاد این بانکها، ساختار سازمانی، تعداد تراکنش و حد و مرز توسعه جغرافیایی آنها و حتی مأموریتشان از این دی که بانک عمومی یا تخصصی در یک حوزه خاص هستند، یکسان نیست و شما ساختار یکسانی را حتی به لحاظ نمودار سازمانی در بانکها نمیبینید. مثلاً در بانکی ساختار فناوری اطلاعات در حد یک اداره است و در بانک دیگر، در حد معاونت مدیر عامل.
بنابراین این تفاوتها در ساختهای مختلف، موجب میشود که امنیت هم در آن سازمانها ساختارهای متفاوتی داشته باشد. این قضیه ما را بر آن داشت که یکی از اساسیترین و اولین وظایف خود را تحت عنوان تعریف ساختار امنیتی منطقی و کارآمد در بانکها بدانیم.
اینکه از ذینفعان ما بانکهای کشور هستند، به دلیل اینکه قرار است «امنیت اطلاعات»، ابتدا، عملاً در آنها نهادینه شود و به این دلیل مشتریان اصلی کاشف، بانکهای کشورند که حلقه گمشده امنیت در نقطه تعامل نهاییاش با مردم بهعنوان سرویس گیرندگان نهایی، همین بانکها هستند.
به تعبیری دیگر، شاید بتوان گفت نقطه گسترش خدمات، شبکه بانکی و سیستمهای پرداخت ملی، بانکها هستند، پس با این رویکرد مسلماً مشتری اصلی کاشف بانکها هستند.
تدوین فرهنگ امنیت، ساختار امنیت، نظام امنیت، ممیزی امنیت، رصد امنیت، همه باید در بانکها شکل بگیرد تا اینکه شما در جایگاه چتر نجات سیستم نظام پرداخت کشور مطمئن باشید که بهتدریج ساختاری سلامت و دارای فرهنگ امنیت در حال شکل گیری و حرکت است.
ذینفع دوم کاشف سازمانهایی هستند که ما اصطلاحاً در سندمان به آنها سازمانهای بالادستی میگوییم. سازمانهایی که در حوزه پرداخت کشور فعال نیستند، اما بنا به دلایل مختلف، تعامل مستقیم یا غیرمستقیم با حوزۀ بانکی دارند؛ مثل قوه قضاییه، پلیس بهعنوان بازوی اجرایی قوه قضاییه، مرکز افتای نهاد ریاست جمهوری در جایگاه شخصیتی که عملاً باید طرح جامع امنیت کشور را در حوزه دولت ابلاغ کند یا مراکز تخصصیتر و فنیتر در حوزه فناوری ارتباطات و اطلاعات مانند مرکز ماهر که نقطه تعاملی CCERT کشور با کشورهای دیگر است.
این سازمانها به دلیل نبود پنجرهای واحد -که ما کاشف را پنجره واحد امنیت در حوزه بانکی میدانیم- قبلاً از الگوی تعاملی یک به n با هر بانک تبعیت میکردند که در نگاه کلی به یک ارتباط m به n تبدیل شده بود و این نوع از تعامل، مشکلاتی را ایجاد کرده بود. در چارچوب این الگو، یک بانک باید بهصورت مستقل با تمام این سازمانها مرتبط میشد و بعضاً هم نمیشد و در واقع بسیاری از ارتباطات ضروری شکل نمیگرفت و از سوی دیگر، آنها هم میباید با تکتک مجموعه بانکی تعامل میکردند و چون تخصص آنها مقوله پرداخت و بانکداری نبود و با زیرساختها و درونساختهای این حوزه بهصورت تخصصی آشنایی نداشتند، به ناگزیر از نگرانیها و مسائل موجود در بانکها هم اطلاع دقیقی نداشتند و به همین دلیل، گاهی اوقات انتظارات و الزاماتی را مطرح میکردند که در شبکه بانکی قابل اجرا نبود. برخی از این الزامات اعلام شده توسط این ذینفعان به شبکه بانکی به دلیل وجود این نقیصه و نیز بیاطلاعی از درونساختهای بانکها کاربردی نداشت و شبکه را بیشتر دچار تشویش و تلاطم میکرد.
از سوی دیگر، به دلیل نبودن ساختار و سازوکار ساخت یافته برای تعامل بانکها با این مراکز، صدور دستور کار و گردش و برگشت آن در بسیاری از اوقات نزدیک به یک ماه یا حتی یک ماه و نیم زمان میبرد تا اینکه آن مجموعه به چیزی که میخواهد برسد. به بیانی دیگر روند بوروکراتیک اجرای این الزامات تأخیری بود در حالی که یکی از نکات مهم در حوزه امنیت، سرعت پاسخ بهاتفاق و رخداد است.
با توجه به اینکه تراکنشهای بانکی سرعت بالایی دارند، بهصورت منطقی، تمام اتفاقاتی هم که در این شبکه رخ میدهد، اعم از درست یا نادرست و تمام کلاه برداریها و خلافهایی که صورت میگیرد، سرعت بسیار بالایی دارد و چنانچه اجرای اقدامی پیشگیرانه و یا جبرانی در شبکه بانکی کشور حدود سه هفته، یک ماه و یا بیش از یک ماه زمان ببرد، اصلاً نزد مراجع قضایی و شبکه بانکی پذیرفته نیست و این امر اقدامات انجام شده را بسیار ناکارآمد کرده بود و در نتیجه ذینفعانی که از این حوزهها تأثیر میگرفتند، مانند مردم عادی که در اثر بروز مسائلی به مؤسسات بالادستی مانند پلیس، قوه قضائیه و … مراجعه میکردند، پاسخ لازم و مؤثری را که انتظار داشتند نمیگرفتند و در برخی مواقع کار شبکه بانکی و کار پلیس به دلیل این عدم تعامل بسیار سخت میشد.
این مسئله هم یکی از نقاطی است که کاشف با ایجاد نقطه تعامل چه از نظر فکری و چه از نظر سیستماتیک آن را رفع خواهد کرد. به یاری خداوند فاز یک پرتال کاشف را مهیا کردهایم و تعامل آن با ذینفعان از طریق ساختار امن PKI شکل خواهد گرفت و این معضل را هم پله به پله مرتفع خواهیم کرد.
در این حوزه جلسات سازندهای با مجموعه این ذینفعان از جمله پلیس داشتهایم و فکر میکنم با نظر مثبتی که نهادهای بالادستی دارند و استقبالی که آنها هم از این سیستم میکنند، بتوانیم تعاملی دوسویه، سازنده و فزایندهای را شکل دهیم.
اما نقطه تعامل بعدی ما فرهنگسازی است؛ چرا که بخش مهم دیگری از ذینفعان ما مردماند. ما شرکتی نیستیم که ابزار یا بازوی حضور در جامعه را داشته باشیم. ابزار حضور ما در عرصه فرهنگسازی اجتماعی بانکها هستند؛ یعنی تمام تعاریف، ساختارها، نیازها، و بسیاری از الزامات مربوط به خود بانکهاست که امیدواریم با همکاری خود بانکها تعریف شود. مجموعهای از نیازهای اجتماعی هم هست که از طریق نهادهای دیگر به ما میرسد.
بعد از فیلتر شدن، غنی شدن و بعضاً اضافه و حذف شدن مجموعهای از موارد شکل گرفته در روند تعاملی و همافزا با بانکها، این دستاوردها در اختیار شبکه بانکی قرار میگیرد تا در زمینه فرهنگسازی و یا ساختهایی که منجر به ارتقای فرهنگ عمومی در حوزه امنیت سیستم پرداخت میشود، از آنها بهره برداری شود.
ذینفعان یا بهتر بگویم اشخاص دیگری که در چارچوب این تعامل نقش دارند، شرکتهای فعال در حوزه فناوری اطلاعات هستند که سیستمهای پایه و کمکی بانکی را تأمین میکنند. این شرکتها ممکن است به بانکها خدمات امنیتی بدهند و یا نرم افزارهای امنیتی در اختیار آنان بگذارند. اینها فعلاً باواسطه و شاید بعدها بدون واسطه، نقطه تعاملی با شرکت کاشف خواهند داشت.
ممکن است این نگرانی برای آنها به وجود بیاید که با ورود کاشف، آیا فعالیت آنها مختل میشود؟ پاسخ به این پرسش احتمالی مؤکدا «نه» است، زیرا کاشف شرکتی هدایت کننده امنیت و در حقیقت انشاء کننده و سیاستگذار در این حوزه است و اتفاقاً زمانی که سیاستها تدوین شود، کار این شرکتها برای فراهم آوردن زیر ساختها، سامانهها و ابزارهای مدیریتی باهدف دستیابی هر بانک به اهداف تعیین شده از سوی کاشف راحتتر خواهد شد.
قطعاً مجموعهای از نیازها و الزاماتی که شبکه پرداخت کشور خواهد داشت، بدون ایجاد شالودهها و بنیانهای لازم در سامانههای بانکی اعم از Core Banking ها و یا سیستمهای جانبی آنها نمیتواند فراهم شود؛ یعنی شرکتهای تأمین کننده خدمات بانکی، باید مجموعهای از تغییرات، سرویسها یا رویههایی را در نرم افزارهایشان اضافه کنند یا تغییر دهند تا بتوانند خواستها و الزاماتی که بعداً از طریق کاشف به بانکها اعلام خواهد شد تأمین کنند.
در تعریف و تعیین نقاط تعاملی کاشف و ذیربطان و ذینفعان این شرکت، از بانکها بهعنوان مشتریان اصلی یاد کردید، پرسشی که در این فضا ایجاد میشود این است که برای کمک به این مشتریان محوری و بهبود بخشی به روند خدمت دهی آنها، بهویژه در بعد امنیتی، آیا از خود بانکها هم کمک خواهید گرفت و میتوان امیدوار بود که روند تعامل کاشف با بانکها روندی هم افزا و در عین حال تأمین کننده اهداف کاشف باشد؟
بله. قطعاً. اصلاً بدون اطلاع از حوزه نگرانی و معضلات یک مجموعه نمیتوان برایش ضابطه، معیار و آیین نامه صادر کرد. تعبیر دقیقتر آن این جمله است که کاشف بهعنوان بازوی اجرایی بانک مرکزی در حوزه امنیت و تنها نهاد متولی امنیت در شبکه بانکی کشور، نمیتواند بدون اینکه حرف ذینفعانش را بشنود قوانین، مقررات و استاندارد صادر کند. یا به بیانی دیگر شاید بتواند، اما مطمئناً آن قوانین و استاندارد کارآمد نخواهد بود، چون از حوزه آنها و مسائل مبتلابه آنها کاملاً آگاه نیست. قطعاً در طراحی و تدوین و تألیف این موارد از خود بانکها کمک خواهیم گرفت. آنها بازوی اجرایی کاشفاند و لذا کاشف حداقل در چشمانداز 5 سالهاش، در حوزه ریز اجرایی بانکها ورود نخواهد کرد.
ما پیشتر تجربه مشابه خوبی را در بانک مرکزی داشتیم. بین سالهای 85-89 مجموعه کارگروههایی در بانک مرکزی شکل گرفت که بستر تعامل مستقیم بانکها و شرکتهای توسعه دهنده سیستمهای بانکی شد و باعث شد که در مرحله نخست، معضلات و مشکلات شبکه پرداخت ملی بهسرعت حل شود و دوم اینکه موجب شد تمام نگرانیها و معضلات بانکها منعکس شود و ضرورتاً تصمیمی که گرفته میشد یا قوانینی که نوشته میشد با در نظر گرفتن تمام این موارد بود.
ما به تأسی از همان تجربه، قطعاً در تمام این روند، بانکها را یکی از اعضای اتاق فکر و مشورت کاشف میدانیم و قطعاً جلسات منسجمی با آنها خواهیم داشت. البته پر واضح است مجموعههایی که بیشتر حضور پیدا کنند و همکاری بیشتری داشته باشند، منافع بیشتری میبرند، چون نظراتشان در خروجیهایی که از این سیستم بیرون میآید، منعکس میشود و به همین دلیل، ما حضور فعال مجموعهها را بعد از ساخت یافتن رسمیمان طلب میکنیم.
– آیا تاکنون استانداردهای مورد اشاره شما تدوین شده است؟
این استانداردها بهصورت جسته گریخته وجود داشته است. بهطور مثال ما مجموعه استانداردهایی تحت عنوان ISO27001 داریم و یا مجموعه به روشهایی مانند COBIT در حوزه امنیت داشتهایم که بعضاً برخی بانکها یا مجموعهها آن را اجرا کرده بودند. این موارد در برخی از مجموعهها بهمنظور بهبود، در برخی دیگر بهمنظور رفع مسئولیت و یا باهدف دریافت گواهینامه صورت گرفته بود.
امروز نمیتوانم در این حوزه بهطور قطعی از مجموعهای نام ببرم که در حوزه پرداخت بهصورت نظاممند وارد شده و آن را به انجام رسانده و پایشهای دورهای انجام میدهد. البته امیدوارم که وجود داشته باشد و اگر بازخوردهایی در این حوزه دریافت کنیم باعث خرسندی ماست.
در واقع تا امروز بنا بر حکم واجب کفایی، هر کس هر آنچه که میتوانسته در این زمینه اجرا کرده است، اما نگاه، نگاهی حوزهای بوده و اقدامات تنها در حوزه خودشان انجام شده است. این نگاه، نگاهی ملی، جامع و یکپارچه نبوده است. ما میخواهیم با همکاری خود دوستان، مواردی را که قبلاً بهصورت مستقیم از نهادهای بالا دستی به شبکه بانکی وارد میشد، به شیوهای منطقی و کارا تنظیم و توزیع کنیم و تعامل از نقطه کاشف باشد و از سوی دیگر، هم نقاط نگرانی را رفع کنیم و هم جوابهایی را که ذینفعان بالادستی نیاز داشتند ارائه دهیم و عملاً نقطه تعامل آنها باشیم و انشاا…. بتوانیم نظم و نسقی به ساختار امنیت در این حوزه بدهیم.
خوشبختانه خود من به تمام دلایل پیش گفته از شبکه بانکی وارد این مجموعه شدهام و اکثر دوستانی که در کاشف هستند، کاملاً به معضلات، مشکلات و نیازمندیهای شبکه بانکی کشور آشنا هستند.
ما هم اکنون بهعنوان اولین گام، پروژه سازمان دهی ساختار امنیت اطلاعات بانکها را در زمره پروژههای با الویت بالای شرکت قرار دادهایم که اولین جلسات مربوط به آن هم قبل از پایان سال، پس از معرفی نمایندگان امنیت به بانک مرکزی و شرکت کاشف، برگزار خواهد شد و در حقیقت تشکیل واحدی با ساختاری منسجم و مناسب در اثر این نشستها نقطه مهم و محوری است و باید شکل بگیرد و تبدیل به نقطه اتصال بانک مرکزی و شرکت کاشف و بانکها شود. این بستر باید فراهم شود تا بتوانیم سایر روشها و ساختارها را با سرعت بیشتری جلو ببریم.
اما قطعاً کاشف یک بخش ممیزی خواهد داشت که بهمحض شکلگیری ساختار و الزامی شدن ابلاغیههایش، در چرخههای منظم و بعضاً غیرمترقبه به پایش الزامات ابلاغی خواهد پرداخت تا انشاءا… با تلاش دسته جمعی و هماهنگ، ظریف و مستمر، ظرف مدت چند سال بتوانیم حداقل به سطح مطلوبی از ساختار امنیت در شبکه بانکی و پس از آن در کل کشور برسیم.
– در فضای کنونی، پتانسیل تهدید اخلالگرانه و یا حمله به فضای پرداختها در کشور را چگونه ارزیابی میکنید؟
واقعیتی که وجود دارد این است که بدون تعارف در حمله بعدی که در قالب بحران، جنگ سرد یا جنگ نرم صورت خواهد گرفت، هدف حمله، حوزه بانکداری ما خواهد بود که توسط افراد مغرض یا سازمانهای مغرض و یا مجموعههایی که کارشان تضعیف کشورهاست شکل میگیرد.
شاید بتوان گفت، تا آنجایی که من اطلاع دارم، شبکه بانکی ما تاکنون به دلیل معضلات و تنگناهایی که چه از نظر فنی و چه از نظر فرهنگ سازمانی داشته تنها تا حدی در این زمینه اقدام کرده است که حملهای به ما نشود. در واقع تاکنون حمله بینالمللی گسترده و ساخت یافته به شبکه بانکی ما شکل نگرفته است، اما بهمحض اینکه بخواهیم شبکه بانکی کشورمان را به شبکه جهانی اتصال دهیم و امکان انتقال پول بین شبکه بانکی ما و شبکههای بانکی دیگر کشورها وجود داشته باشد، حرکتهای آماتوری و انسجام یافته به شبکه بانکی ما صورت خواهد گرفت که ما باید خود را با سرعت برای مقابله با آن تجهیز کنیم.
اما این سرعت نباید باعث دستپاچگی، بینظمی و دیده نشدن نقاط ضعفمان شود. باید یادمان باشد که ضعیفترین نقطه یک زنجیر، یکی از حلقههای ضعیف آن است که بیشتر در معرض شکستن است. در یک زنجیر بسیار قوی اگر حتی یک حلقه ضعیف باشد آن زنجیر پاره خواهد شد. به همین دلیل ما باید در این حوزه توسعه پایدار و همهجانبهای داشته باشیم تا بتوانیم بهصورت متوازن تمام ابعاد را بهموازات هم رشد بدهیم.
متأسفانه در سالهای اخیر، ظهور بعضی از سودجویان و گاهی مواقع بیاطلاعی مجموعهها در تهیه سامانههای امنیتی بانکی، باعث ظهور شرکتهایی شده است که تهدیدی برای امنیت در این بخشند، اما بر اساس آمارهایی که داریم و دوستان مطلع در حوزۀ بانکداری هم از آن آگاه هستند، نشان از این دارد که علت نزدیک به 80 درصد مخاطرات، فرهنگ سازمانی حاکم بر سازمان بوده است و منشأ 20 درصد دیگر عوامل تهدید کننده خارجی بوده است. البته برخی از دوستان خاستگاه 90 درصد تهدیدها را داخلی و تنها 10 درصد آن را خارجی میدانند و جالب است بدانیم که 90 درصد مخاطراتی که شکل گرفته به دلیل عدم رعایت روالها و عملکردهای بسیار سادهای بوده که فقط با انجام آنها میتوانستیم جلوی این اتفاقات را بگیریم.
در اینجا باز من به صحبت اولم بر میگردم و تأکید میکنم که باید در حوزه بانکی ما «فرهنگ امنیت» شکل بگیرد و انشاا… به سمتی برویم که از این پس هیچ کس، هیچ سیستمی را یک شبه و بدون در نظر گرفتن ضابطه معیارهای امنیتی و بدون فراهم آوردن تمهیدات و الزامات امنیتی دایر نکند و از آن استفاده نکند. باید یادمان باشد که همه ما در یک کشتی نشستهایم و هیچ بانکی حق ندارد بگوید که من زیر پای خودم را سوراخ میکنم. به دلیل انسجام بسیار زیادی که با تلاش بانک مرکزی و تدوین نظام پرداخت ملی در شبکه بانکی شکل گرفته، در این زنجیرۀ قوی، هر حلقهای که ضعیفترین باشد آسیبش به همه خواهد رسید.
در حال حاضر شرکت کاشف به لحاظ ساختار، تشکیلات و عملکرد در چه مرحلهای است؟ آیا رسماً شروع به کار کرده و یا اگر نه، افق و زمانبندی فعالیتش به چه شکلی است؟ در یک کلام کاشف الان در چه مرحلهای است؟
شرکت کاشف پس از یک دوره فترت و خاموشی کوتاه، از مهر ماه امسال آغاز به کار کرد و در این دوره از نسخه اولیه سند چشم انداز که تدوین شده بود بهره گرفت و حرکتش شروع شد.
زمان شکلگیری اولیهاش با جذب نیروی انسانی مورد نیازش همراه شد که در این فرآیند هم ملاحظاتی وجود داشت. افرادی که به کاشف میپیوندند باید از پیش با شبکه بانکی آشنا باشند؛ زیرا آموزش نیرویی که امنیت را خوب میداند اما از شبکه بانکی شناختی ندارد، به خودی خود روندی زمانبر است تا بهمرور زبانی مشترک میان کارکنان ایجاد شود.
در حال حاضر نسخه یک پرتال کاشف که در حقیقت نقطه تعامل سیستمی کاشف با بانکها و سازمانهای بالا دستی است، طراحی شده و آماده کار است. بهمحض اینکه بانکها نمایندگان امنیتشان را تا بهمن ماه امسال معرفی کنند و توکنهای ارتباطیشان با این پرتال فراهم شود، قابلیت استفاده خواهد داشت و طبق ابلاغیههایی به اطلاعشان خواهد رسید.
همچنین ما برای اینکه فضایی را فراهم کنیم تا با بانکها تعامل مستقیم و رو در رو داشته باشیم و توانمندیها، نگاه، چشم انداز و مسیر و نوع حرکت ما را بدانند، بااینکه شاید بسیار بسیار زود هنگام بود و آمادگی لازم وجود نداشت، اما با هماهنگیهایی که با دوستان در بانک مرکزی صورت گرفت، نهایتاً قرار شد که در چهارمین همایش سالانه بانکداری الکترونیک و نظامهای پرداخت حضور پیدا کنیم و کارگاههایی علمی داشته باشیم تا بانکها و مؤسسات مالیای که ما نقطه تماسشان خواهیم بود، با نگاه کاشف، سیاق کاشف و سبک کاشف در تعاملات آتی و تواناییهایی که کاشف برای آنها ایجاد خواهد کرد، آشنا شوند.
– به طور خلاصه ماموریت کاشف چیست؟
بهطور خلاصه میتوان گفت: کاشف آمده است تا دست بانکهای کشور را بهمنظور ارتقای سطح امنیت و توانمندتر شدن در حوزه امنیت بگیرد و از سوی دیگر امکاناتی را فراهم آورد تا ضربهگیری مناسب میان سازمانهایی که میخواهند در حوزه امنیت با بانکها تعامل کنند و خود بانکها باشد تا فشار مستقیم و بعضاً ناصواب به بانکها وارد نشود و در نهایت به هدفی که هم وجهه بانکها و هم وجهه شبکه بانکی را حفظ خواهد کرد، یعنی کوتاه کردن زمان پاسخ به سیستم برسد تا در میهن عزیزمان طعم امنیت در شبکه بانکی چشیده شود، امنیت به طعم کاشف.