نقطه آغاز امینت در بانکداری نوین فرهنگ است/ جایگاه سند افتا در نقشه راه امنیت بانکداری الکترونیک

مهندس مجتبی جعفری از طراحان سند افتا و معاون فناری اطلاعات بانک تجارت :

امن‌سازی بالا به پایین به عنوان یکی از وظایف ارایه کنندگان خدمات الکترونیکی و دولت ها است./از مهم‌ترین وظایف از بالا به پایین، اتخاذ راهبرد ملی و تعیین حدود وثغور کلی و تعریف وظایف بخش‌های گوناگون دولتی و غیردولتی در تامین و تداوم امنیت فضای تولید و تبادل اطلاعات است، که این وظیفه برعهده دولت است/ببینید فرهنگ‌سازی معمولا در کنار آموزش مطرح می‌شود و اینها لازم و ملزوم همند و این امر هم مثل بقیه امور نسبی است/ببینید فرهنگ‌سازی معمولا در کنار آموزش مطرح می‌شود و اینها لازم و ملزوم همند و این امر هم مثل بقیه امور نسبی است

به گزارش پایگاه خبری بانکداری الکترونیک امن‌سازی بالا به پایین به عنوان یکی از  وظایف ارایه کنندگان خدمات الکترونیکی و دولت ها است. برای سامان‌بخشی و مدیریت کلان این بخش، دولت اسنادی را در کشور به‌تصویب و به مورد اجرا گذاشته‌است که محوری‌ترین آن‌ها، سند راهبرد ملی امنیت فضای تولید و تبادل اطلاعات(افتا) است. در این سند وظایفی را به بخش‌های مختلف دولتی و غیردولتی محول گردیده تا تامین امنیت از هر دو سوی بالا به پایین و پایین به بالا به موازات اتفاق بیفتد. یکی از این نوع وظایف و اقدامات، وظایفی است که در حوزه زیرساختهای حیاتی بخش اقتصادی کشور لازم است و بانک‌ها به‌عنوان یک زیرساخت حیاتی در بخش پولی و بانکی، برعهده دارند. در گفتگو با مهندس مجتبی جعفری از طراحان سند افتا و معاون فناری اطلاعات بانک تجارت میزان عملکرد بانکها از نقطه تظر اجرای افتا مورد بحث قرار رفته است. این گفتگو از پی می آید:

 

*************************************

* نگاه شما به عنوان پژوهشگری که از حوزه ملی IT به حوزه بانک وارد شده به بحث امنیت در بانکداری الکترونیک چگونه است و روی چه عواملی تاکید ویژه‌تری دارید؟

اگر اجازه دهید ابتدا موضوع امنیت را به طور عام در نظر بگیریم امنیت بانکداری الکترونیکی هم یک بخشی از این مقوله است که در ادامه میتوانیم به آن بپردازیم. به تعبیر دیگر برای دریافت یک دید کلان و دقیق از هر حوزه ای مناسب تر آن است که مروری بر خاستگاه آن حوزه داشته باشیم و جایگاه آن را در فضای کلان بررسی کنیم. برای امن‌سازی فضای تبادل اطلاعات دو حرکت لازم است: یکی از پایین به بالا و دیگری از بالا به پایین. در حرکت پایین به بالا، افراد، بخش‌ها و سازمانهای گوناگون دولتی و غیردولتی، باید خودشان فضای تبادل اطلاعات خود را امن کنند بعنوان مثال آحاد مختلف  جامعه در مورد امن سازی حوزه خودشان وظیفه‌ای دارند. من، شما و همه کسانی که می‌خواهیم وارد فضای تبادل اطلاعات شوند، لازم است در حوزه خودمان یکسری اقداماتی را انجام دهیم که این اقدامات منتج به ارتقای سطح امنیت فضای تبادل اطلاعات خودمان شود. ارتقاء سطح امنیت، قبل از این که هرگونه حادثه امنیتی در حوزه فعالیت ما رخ دهد باید آغاز شود و با ارتقاء آگاهی، شناخت و آمادگی لازم در زمان وقوع حادثه با آن مواجه شویم مانند تمریناتی که در زمان وقوع حوادث طبیعی مثل زلزله باید انجام گیرد و نهایتاً اقداماتی که پس از حادثه برای ترمیم خرابی‌های ناشی از حادثه و بازگشت به حالت طبیعی لازم است را بشناسیم و مقدمات آنرا فراهم کنیم. همین بحث در حوزه سازمان‌ها و کسب‌وکارهای منفرد و زیرساخت‌های حیاتی نیز جاری است. هر سازمان، با هر کسب‌وکاری به صورت منفرد و یا در قالب زیرساخت حیاتی، در هر سطحی، لازم است که فضای کسب و کار خود را امن کنند. این وظیفه، وظیفه از پایین به بالاست یعنی هر کس و هر سازمان در حوزه خودش وظیفه امن سازی محیط خود را برعهده دارد و باید از آمادگی لازم برای پیشگیری و مقابله با حوادث برخوردار باشد. در صورتی که در بسیاری از موارد، افراد و سازمان‌هایی را می‌بینیم که سیستم‌هایی با قابلیت امن‌سازی بالا در اختیار دارند اما نه قبل ازحادثه، به امن‌سازی پیشینی پرداخته‌اند و نه در زمان وقوع حادثه به دلیل عدم شناخت و آگاهی از وضعیت امنیتی، و نداشتن آمادگی لازم، اقدامات مورد نیاز را معمول می‌دارند و حتی از وقوع حادثه در حوزه خود مطلع نمی‌شوند یعنی نسبت به مساله توجیه نشده‌اند ویا به عبارتی قبل و به موازات اقدامات پایین به بالا، به اقداماتی نیازمندیم که ما آن را در دسته اقدامات بالا به پایین دسته‌بندی نموده‌ایم.

اما وظیفه دوم امن‌سازی بالا به پایین به عنوان یکی از  وظایف ارایه کنندگان خدمات الکترونیکی و دولت ها است. برای سامان‌بخشی و مدیریت کلان این بخش، دولت اسنادی را در کشور به‌تصویب و به مورد اجرا گذاشته‌است که محوری‌ترین آن‌ها، سند راهبرد ملی امنیت فضای تولید و تبادل اطلاعات(افتا) است. در این سند وظایفی را به بخش‌های مختلف دولتی و غیردولتی محول گردیده تا تامین امنیت از هر دو سوی بالا به پایین و پایین به بالا به موازات اتفاق بیفتد. یکی از این نوع وظایف و اقدامات، وظایفی است که در حوزه زیرساختهای حیاتی بخش اقتصادی کشور لازم است و بانک‌ها به‌عنوان یک زیرساخت حیاتی در بخش پولی و بانکی، برعهده دارند.

در انجام وظایف از بالا به پایین چه مقوله هایی از اهمیت بالاتری برخوردارند؟

این امر ناظر بر ایجاد بسترهای امن‌سازی است و کار افراد و سازمان‌های کاربر نیست. یک فرد ممکن است که در یک سطحی امنیت خود را حفظ کند ولی در صورتی که امنیت در سطح کلان حفظ نشده باشد آن فرد هم از فضای امن برخوردار نخواهدبود. برای مثال اگر کشوری، شهری و یا محله‌ای امن نباشد، یک خانواده هرچقدر قفل و بست به خانه‌اش بزند، تاثیر چندانی در ایجاد امنیت آن‌ها نخواهد داشت بلکه باید یک سری کارهای زیربنایی در حوزه امنیت فضای تبادل اطلاعات از سوی دولت صورت گیرد. از مهم‌ترین وظایف از بالا به پایین، اتخاذ راهبرد ملی و تعیین حدود وثغور کلی و تعریف وظایف بخش‌های گوناگون دولتی و غیردولتی در تامین و تداوم امنیت فضای تولید و تبادل اطلاعات است، که این وظیفه برعهده دولت است که به‌حمدالله انجام گرفته است. در گام بعدی تشکیل نهادها و سازمانهای مورد نیاز است به‌عنوان نمونه برای ایجاد امنیت فضای تبادل اطلاعات در سطح عمومی تشکیل و ایجاد پلیس فتا است که در سند افتا پیش‌بینی شده بود و وظایفی که در این عرصه برعهده ناجا گذاشته شد و پس از تعریف نظامهای گوناگون مورد نیاز در سند افتا نوبت طراحی و استقرار نظام های بنیادی افتا مثل نظام پیشگیری و مقابله با حوادث رایانه ای است که باید از سوی دولت طراحی و استقرار یابد و یا نظام رسیدگی به جرایم رایانه و …

یکی دیگر از کارهایی که باید به موازات نهادسازی رخ دهد فرهنگ‌سازی است، به تعبیر دیگر ارتقاء فرهنگ عمومی نسبت به ضرورت و لزوم توجه به امنیت در فضای رایانه‌ای. مثلاً در حوزه بانکی ممکن است عموم سازمان‌ها و مردم به عنوان کاربر این بخش، نسبت به اهمیت مسائل امنیتی و ابزارهایی بانکی خود آگاهی نداشته باشند و در نتیجه به امنیت خود در این حوزه توجه و عنایت لازم مبذول ننماید، در بخشی دیگری از سند افتا، به ضرورت فعالیت‌های فرهنگ‌سازی تاکید شده‌است. این امر موجب می‌شود تا افراد متوجه اهمیت موضوع شده و نسبت به امنیت فضای تبادل اطلاعات و ابزارهای الکترونیک در اختیار خود، حساس شوند و سیستم خود را کنترل و امنیت آن‌را ارتقاء دهند. البته این مبحث، از ابعاد و سطوح مختلفی برخوردار است، در این بخش یک سلسله کارهایی است که ارایه‌کنندگان خدمات باید انجام دهند و کارهایی هم وجود دارد که باید از سوی دولت انجام شود.

*در راستای گفته شما دولت و حاکمیت باید کارهایی در حوزه فرهنگ‌سازی انجام دهد به نظر شما با رویکرد بانکداری الکترونیک، این فرهنگ‌سازی انجام شده یا نشده یا در چه سطحی شده؟

ببینید فرهنگ‌سازی معمولا در کنار آموزش مطرح می‌شود و اینها لازم و ملزوم همند و این امر هم مثل بقیه امور نسبی است و مطلق نمی‌توان گفت انجام شده یا نشده است و از سویی امری است جاری که باید تداوم یابد. اما به طور کلی تاکنون در بخش‌های مختلف در راستای فرهنگ‌سازی اقداماتی انجام شده است. برای مقایسه مخاطبان شما، سابقه ای را عرض می کنم. در بررسی که در سال 1379برای شناسایی نیرویهای متخصص مورد نیاز برای تشکیل گروه پژوهشی امنیت در مرکز تحقیقات مخابرات صورت گرفت، خاطرم هست کل متخصصینی که فعالیت علمی و پژوهشی به نوعی مرتبط با حوزه افتا داشتند به20نفر نمی‌رسید و این مساله فقط منحصر به ایران هم نبود، در دنیا هم این وضع حاکم بود و این موضوع، موضوع نوظهوری بود و دنیا هم با آن آشنایی نداشت و به تبع آن در داخل کشور هم خیلی در این حوزه فعالیتی صورت نگرفته بود لذا به ضرورت به اجرای پروژه فرهنگ سازی و تربیت نیروی انسانی در هشت دانشگاه کشور و برگزاری مسابقات، تعریف و ارایه پروژه‌های مرتبط با موضوع و حمایت و تشویق دانشجویان برای انجام آنها پرداختیم، به طوری که در پایان طرح فرهنگ سازی و تربیت نیروی انسانی در طول حدوداً یکسال و اندی ما حدود پانصد دانشجوی فعال در پروژه داشتیم، اینگونه طرح ها و پروژه ها در کنار فعالیت‌های بخش‌های مردم نهاد و انجمن‌های علمی، که از انجمن رمز باید به عنوان محوری‌ترین و موثرترین بخش مردم نهاد یاد کرد، موجب گردید در زمان کوتاهی موضوع افتا به یک موضوع رایج و شناخته شده در کشور درآید.

در ادامه فعالیتهای علمی، ترویجی و عملی نیز طرح ایجاد مراکز آگاهی‌رسانی، پشتیبانی و امداد رایانه‌ای (آپا) پیشنهاد و در هشت دانشگاه به مورد اجرا گذاشته شد که امروزه پایگاه امنیتی علمی کشور در همان هشت دانشگاه است. این مراکز با تشکیل آزمایشگاه‌های امنیتی درباره حوزه‌های شناخت آسیب‌پذیری‌ها و روش‌های وصله کردن آن‌ها و حوزه‌های گوناگون به فعالیت مشغولند و با ارایه آگاهی‌های امنیتی موجبات ارتقاء سطح آگاهی، شناخت کاربران مختلف را فراهم می‌سازد.

*و چقدر موفق بوده؟

به نظر من از موفقیت نسبی بالایی برخوردار بوده‌است، همین‌قدر که امروز مردم، دستگاه‌های مختلف، از جمله بانک‌ها به اهمیت این امر واقفند و برای ارتقاء سطح امنیت خود از توان داخلی بهره‌مند هستند نشان دهنده موفقیت‌های حوزه‌ فرهنگ‌سازی و تربیت نیروی انسانی در سطح ملی است. البته همان‌طور که عرض شد این موضوع امری جاری است و باید در سطوح مختلف از جمله سطح ملی تداوم و ارتقاء یابد و در سطوح دیگر از جمله ارایه کنندگان خدمات امنیتی گسترش یابد. ارایه‌کنندگان خدمات امنیتی باید به آگاهی‌رسانی اختصاصی پرداخته و در آخرین سطح نیز، ارایه کنندگان خدمات فاوایی مثل بانک‌ها باید با گسترش خدمات امن خود، به ارتقاء سطح  امنیتی مشتریان خود کمک کنند.

 *در آن پروژه‌ای که در روند کار دانشگاه‌ها اتفاق افتاد در حوزه فرهنگ‌سازی بانکی چه موردی تعریف شده بود و بعد در مسیر مصاحبه‌مان به سطح کلان می‌رسیم.

در گام اولیه فرهنگ‌سازی در سطح ملی بانک‌ها مخاطب این طرح محسوب می‌شدند و همان‌طور که اشاره شد حرکت‌های امروز در بانک‌ها محصول اجرای آن پروژه‌هاست. سند افتا تعیین می کند که چه فعالیتهایی باید در کشور انجام شود، در این سند، پیش بینی شده که در سطح عمومی، مردم و در سطح اختصاصی، سازمان‌های دولتی و خصوصی و در سطح ویژه، زیرساخت‌های حیاتی کشور هدف اقدامات امنیتی از جمله فرهنگ‌سازی قرار گیرند. زیرساخت‌های حیاتی کشور، در حوزه‌های مختلفی مطرح هستند؛ در حوزه‌های نظامی و انتظامی، حوزه‌های زیربنایی، اقتصادی، اجتماعی و سیاسی. درحوزه‌های زیربنایی؛ بخش‌های مختلف تولید و ارایه انرژی، در حوزه‌های اقتصادی بخش پولی و مالی، که بانک‌ها در این بخش قرار دارند.

هیچ سرمایه‌گذاری در بخشی که با خطر و ریسک بالا مواجه باشد سرمایه‌گذاری نخواهد کرد. در بانکداری نیز مشتریان از ورود به محیط نا امن گریزان هستند و ما نمی‌توانیم حرکتی بسمت بانکداری الکترونیکی داشته باشیم مگر اینکه امنیتش را کاملا تامین کرده باشیم، بانک ها باید با تدابیر گوناگونی که در بخش امنیتی خود اتخاذ می نمایند در نهایت باید خدمات امن الکترونیکی تجلی نماید یعنی خدمت امن الکترونیکی هدف بخش امنیت الکترونیکی است. جایگاه امن‌سازی بانکداری الکترونیکی در حوزه امنیت زیرساخت‌های حیاتی کشور قرار دارد که در سند افتا از اولویت اول برخوردار است.

*و بعد در پروژه فرهنگ‌سازی برای بانک‌ها چه کار کنید؟

فرهنگ‌سازی بیشتر در دو حوزه صورت پذیرفت. یک حوزه عمومی که به فرهنگ‌سازی برای ارتقاء آگاهی و شناخت عمومی می‌پردازد و دیگری در حوزه تخصصی که به فرهنگ‌سازی برای تولید علم و فناوری می‌پردازد. همان‌طورکه اشاره شد وقتی فرهنگ سازی در سطح ملی مطرح می شود، بانک‌ها مخاطب این سطح از فرهنگ‌سازی هستند. در سطح ملی در دانشگاه‌های و صنعت فرهنگ‌سازی تخصصی انجام شده است. هدف فرهنگ‌سازی تخصصی در دانشگاه‌ها، ایجاد رغبت و گرایش به تولید علم و تربیت نیروی انسانی در حوزه افتا بود تا از این طریق نیروی تخصصی مورد نیاز بخش‌های مختلف از جمله بانک‌ها تربیت شود و همچنین نیروی انسانی و دانش فنی برای تولید فناوری و شکل‌گیری صنعت افتا تحقق یابد. بانک‌ها در این سطح، از محصولات آن‌ بهره‌مند شده ا‌ند و  امروز وجود شرکت‌های پیمانکار و ارایه‌کننده خدمت و محصول و نیروی انسانی متخصص تربیت یافته شاغل در بانک‌ها نتیجه فرهنگ‌سازی و تربیت نیروی انسانی در بخش تخصصی در سطح ملی است.

 *در حیطه بانکی، یک بخش تخصصی دارد و یک عمومی…

نه من در سطح ملی دارم صحبت می‌کنم. عمومی را در سطح ملی مطرح کردم که ناظر بر ارتقاء آگاهی های عموم مردم را شامل می شد و بحث دانشگاه و صنعت در حوزه تخصصی را نیز در سطح ملی بحث کردیم. کاری که در سطح ملی انجام می‌پذیرد در سطح کاربر مطرح نمی‌شود. وقتی این اتفاق رخ داد، کاربرها خودشان انگیزه و توان پیدا کرده‌اند. آگاهی پیدا می کنند که مشکل چیست؟ و متوجه شده‌اند چه کاری باید در امن‌سازی انجام دهند؟ آن پروژه‌هایی «آپا» که در دانشگاه‌ها مطرح شد برای تبیین همین نیازها بود. امروز آپاها مخاطبان خود را در بین مردم، سازمانهای منفرد و زیرساختها پیدا کرده اند. آپاهای دانشگاه‌ها در حوزه عمومی؛ به آگاهی‌رسانی به مردم، سازمان های گوناگون دولتی و خصوصی طرف قرارداد خود می پردازد. البته امروز شما شاهد فرهنگسازی عمومی در حوزه‌های مختلف هستید مثل روزنامه‌ها، صداوسیما و جاهای مختلف، بحث امنیت را مطرح می‌کنند و اطلاعاتی را ارائه می‌دهند مثلا فلان حمله انجام گرفته، فلان ویروس آمده، در فلان سیستم این آسیب‌پذیری است. این نوعی از فرهنگ‌رسانی و آگاهی‌رسانی در سطح عمومی است. این رسانه ها نیز اطلاعات خود را از آپاها دریافت می کنند و در واقع آپاها، تولید کننده محتوای مورد استفاده آنها هستند.

*فرمودید هشت دانشگاه آنها کدام‌ها بوده‌اند؟

در هشت دانشگاه‌، شریف، امیرکبیر، تربیت مدرس، امام حسین(ع)،صنعتی اصفهان، مشهد و یزد؛ در وهله اول موضوعات حوزه‌های امنیتی را تقسیم کردیم که همه دانشگاه‌ها نروند در یک حوزه کار کنند و یک جایی انباشتگی بوجود آید و یا جایی کمبود بوجود آید. مثلا حوزه امنیت سیستم عامل به دانشگاه پلی‌تکنیک واگذار شد، و حوزه امنیت پایگاه داده ها به دانشگاه شریف واگذار شد، حوزه امنیت شبکه به دانشگاه صنعتی اصفهان واگذار شد، حوزه امنیت نرم‌افزارها، به دانشگاه یزد واگذار شد. هر کدام از دانشگاه ها در یکی از حوزه ها آغاز کردند.

* یک مروری هم کردیم. چگونه سال به سال رصد می‌شود که چه کارهایی انجام شده؟

برای یکپارچه سازی و هماهنگی عملیات گوناگون غیر از برنامه و راهبرد در سطوح گوناگون، یکی از امور مهم و لازم، امر نهادسازی است. همانطور که اشاره شد در سطح ملی سند راهبردی افتا و برای تحقق اهداف آن نهادی لازم بود که امروز با تشکیل شورای عالی مجازی شکل گرفته که می تواند اینگونه رصدها از سوی یکی از معاونتهای دبیرخانه شورای عالی فضای صورت گیرد و علی القاعده نهادهای مختلف دیگر نیز باید با این دبیرخانه همکاری کنند.

*بانک‌ها چی؟ چون بحث اصلی ماست و چگونه با بانک مرکزی ارتباط گرفتید؟

*در طراحی و تدوین سند افتا یکی از مراکزی که به عنوان زیرساخت حیاتی کشور از ابتدا دعوت می‌شدند نمایندگان بانک مرکزی بودند. یک کاری هم که بعد از تدوین سند انجام گرفت در برنامه پنجم، تکلیفی بود که قانون به عهده بخش‌های مختلف دولت از جمله بانک مرکزی و حوزه‌های بانکی گذاشته‌است و بحث ارتقاء سطح امنیت بانکها با اجرای سامانه مدیریت امنیت اطلاعات است. از طریق این سامانه می توان زیرساختهای فاوایی بانک ها را امن و خدمات الکترونیکی امن را ارایه کرد.

 درباره مهندس جعفری:

مهندس جعفری از پژوهشگران حوزه فناوری اطلاعات است که فعالیت خود را در بخش امنیت فضای تبادل اطلاعات، با تاسیس گروه پژوهشی در همین زمینه در سال 1379 در مرکز تحقیقات مخابرات آغاز نموده و از اعضاء فعال انجمن رمز ایران است که عضویت شورای راهبردی و دبیری این انجمن در همان سالها را در کارنامه خود دارد. وی در سال 1380 مرکز فناوری اطلاعات ریاست جمهوری تاسیس نموده و مدیریت طرحها و پروژه های مطالعاتی و تحقیقاتی و اجرایی گوناگونی را در حوزه فناوری اطلاعات برعهده داشته است که طراحی شبکه دولت، تدوین سند راهبردی دولت الکترونیک و سند راهبردی امنیت فضای تولید وتبادل اطلاعات(افتا) از جمله نتایج آنها محسوب میگردد. او در سال 1385 اولین پژوهشکده در حوزه امنیت فناوری ارتباطات و اطلاعات را در مرکز تحقیقات مخابرات کشور تاسیس نمود. طراحی نظام های مختلفی در حوزه افتا، از جمله طراحی و ایجاد مراکز آگاهی رسانی، پشتیبانی و امداد رایانه ای (آپا)در هشت دانشگاه کشور، تحت مدیریت جعفری طراحی و به مورد اجرا گذارده شده است و با حمایت این پژوهشکده پا گرفته است. وی موسس مرکز تحقیقات امنیت سامانه های رایانه ای پاس است که طراحی معماری نظام ملی پیشگیری و مقابله با حوادث رایانه را برعهده داشته است. اکنون مهندس جعفری به عنوان معاون فناوری اطلاعات بانک تجارت وارد عرصه بانکداری الکترونیک شده است.

لینک کوتاهلینک کپی شد!
ممکن است شما دوست داشته باشید
ارسال یک پاسخ

7  ×  1  =