نقطه آغاز امینت در بانکداری نوین فرهنگ است/ جایگاه سند افتا در نقشه راه امنیت بانکداری الکترونیک
مهندس مجتبی جعفری از طراحان سند افتا و معاون فناری اطلاعات بانک تجارت :
امنسازی بالا به پایین به عنوان یکی از وظایف ارایه کنندگان خدمات الکترونیکی و دولت ها است./از مهمترین وظایف از بالا به پایین، اتخاذ راهبرد ملی و تعیین حدود وثغور کلی و تعریف وظایف بخشهای گوناگون دولتی و غیردولتی در تامین و تداوم امنیت فضای تولید و تبادل اطلاعات است، که این وظیفه برعهده دولت است/ببینید فرهنگسازی معمولا در کنار آموزش مطرح میشود و اینها لازم و ملزوم همند و این امر هم مثل بقیه امور نسبی است/ببینید فرهنگسازی معمولا در کنار آموزش مطرح میشود و اینها لازم و ملزوم همند و این امر هم مثل بقیه امور نسبی است
به گزارش پایگاه خبری بانکداری الکترونیک امنسازی بالا به پایین به عنوان یکی از وظایف ارایه کنندگان خدمات الکترونیکی و دولت ها است. برای سامانبخشی و مدیریت کلان این بخش، دولت اسنادی را در کشور بهتصویب و به مورد اجرا گذاشتهاست که محوریترین آنها، سند راهبرد ملی امنیت فضای تولید و تبادل اطلاعات(افتا) است. در این سند وظایفی را به بخشهای مختلف دولتی و غیردولتی محول گردیده تا تامین امنیت از هر دو سوی بالا به پایین و پایین به بالا به موازات اتفاق بیفتد. یکی از این نوع وظایف و اقدامات، وظایفی است که در حوزه زیرساختهای حیاتی بخش اقتصادی کشور لازم است و بانکها بهعنوان یک زیرساخت حیاتی در بخش پولی و بانکی، برعهده دارند. در گفتگو با مهندس مجتبی جعفری از طراحان سند افتا و معاون فناری اطلاعات بانک تجارت میزان عملکرد بانکها از نقطه تظر اجرای افتا مورد بحث قرار رفته است. این گفتگو از پی می آید:
*************************************
* نگاه شما به عنوان پژوهشگری که از حوزه ملی IT به حوزه بانک وارد شده به بحث امنیت در بانکداری الکترونیک چگونه است و روی چه عواملی تاکید ویژهتری دارید؟
اگر اجازه دهید ابتدا موضوع امنیت را به طور عام در نظر بگیریم امنیت بانکداری الکترونیکی هم یک بخشی از این مقوله است که در ادامه میتوانیم به آن بپردازیم. به تعبیر دیگر برای دریافت یک دید کلان و دقیق از هر حوزه ای مناسب تر آن است که مروری بر خاستگاه آن حوزه داشته باشیم و جایگاه آن را در فضای کلان بررسی کنیم. برای امنسازی فضای تبادل اطلاعات دو حرکت لازم است: یکی از پایین به بالا و دیگری از بالا به پایین. در حرکت پایین به بالا، افراد، بخشها و سازمانهای گوناگون دولتی و غیردولتی، باید خودشان فضای تبادل اطلاعات خود را امن کنند بعنوان مثال آحاد مختلف جامعه در مورد امن سازی حوزه خودشان وظیفهای دارند. من، شما و همه کسانی که میخواهیم وارد فضای تبادل اطلاعات شوند، لازم است در حوزه خودمان یکسری اقداماتی را انجام دهیم که این اقدامات منتج به ارتقای سطح امنیت فضای تبادل اطلاعات خودمان شود. ارتقاء سطح امنیت، قبل از این که هرگونه حادثه امنیتی در حوزه فعالیت ما رخ دهد باید آغاز شود و با ارتقاء آگاهی، شناخت و آمادگی لازم در زمان وقوع حادثه با آن مواجه شویم مانند تمریناتی که در زمان وقوع حوادث طبیعی مثل زلزله باید انجام گیرد و نهایتاً اقداماتی که پس از حادثه برای ترمیم خرابیهای ناشی از حادثه و بازگشت به حالت طبیعی لازم است را بشناسیم و مقدمات آنرا فراهم کنیم. همین بحث در حوزه سازمانها و کسبوکارهای منفرد و زیرساختهای حیاتی نیز جاری است. هر سازمان، با هر کسبوکاری به صورت منفرد و یا در قالب زیرساخت حیاتی، در هر سطحی، لازم است که فضای کسب و کار خود را امن کنند. این وظیفه، وظیفه از پایین به بالاست یعنی هر کس و هر سازمان در حوزه خودش وظیفه امن سازی محیط خود را برعهده دارد و باید از آمادگی لازم برای پیشگیری و مقابله با حوادث برخوردار باشد. در صورتی که در بسیاری از موارد، افراد و سازمانهایی را میبینیم که سیستمهایی با قابلیت امنسازی بالا در اختیار دارند اما نه قبل ازحادثه، به امنسازی پیشینی پرداختهاند و نه در زمان وقوع حادثه به دلیل عدم شناخت و آگاهی از وضعیت امنیتی، و نداشتن آمادگی لازم، اقدامات مورد نیاز را معمول میدارند و حتی از وقوع حادثه در حوزه خود مطلع نمیشوند یعنی نسبت به مساله توجیه نشدهاند ویا به عبارتی قبل و به موازات اقدامات پایین به بالا، به اقداماتی نیازمندیم که ما آن را در دسته اقدامات بالا به پایین دستهبندی نمودهایم.
اما وظیفه دوم امنسازی بالا به پایین به عنوان یکی از وظایف ارایه کنندگان خدمات الکترونیکی و دولت ها است. برای سامانبخشی و مدیریت کلان این بخش، دولت اسنادی را در کشور بهتصویب و به مورد اجرا گذاشتهاست که محوریترین آنها، سند راهبرد ملی امنیت فضای تولید و تبادل اطلاعات(افتا) است. در این سند وظایفی را به بخشهای مختلف دولتی و غیردولتی محول گردیده تا تامین امنیت از هر دو سوی بالا به پایین و پایین به بالا به موازات اتفاق بیفتد. یکی از این نوع وظایف و اقدامات، وظایفی است که در حوزه زیرساختهای حیاتی بخش اقتصادی کشور لازم است و بانکها بهعنوان یک زیرساخت حیاتی در بخش پولی و بانکی، برعهده دارند.
در انجام وظایف از بالا به پایین چه مقوله هایی از اهمیت بالاتری برخوردارند؟
این امر ناظر بر ایجاد بسترهای امنسازی است و کار افراد و سازمانهای کاربر نیست. یک فرد ممکن است که در یک سطحی امنیت خود را حفظ کند ولی در صورتی که امنیت در سطح کلان حفظ نشده باشد آن فرد هم از فضای امن برخوردار نخواهدبود. برای مثال اگر کشوری، شهری و یا محلهای امن نباشد، یک خانواده هرچقدر قفل و بست به خانهاش بزند، تاثیر چندانی در ایجاد امنیت آنها نخواهد داشت بلکه باید یک سری کارهای زیربنایی در حوزه امنیت فضای تبادل اطلاعات از سوی دولت صورت گیرد. از مهمترین وظایف از بالا به پایین، اتخاذ راهبرد ملی و تعیین حدود وثغور کلی و تعریف وظایف بخشهای گوناگون دولتی و غیردولتی در تامین و تداوم امنیت فضای تولید و تبادل اطلاعات است، که این وظیفه برعهده دولت است که بهحمدالله انجام گرفته است. در گام بعدی تشکیل نهادها و سازمانهای مورد نیاز است بهعنوان نمونه برای ایجاد امنیت فضای تبادل اطلاعات در سطح عمومی تشکیل و ایجاد پلیس فتا است که در سند افتا پیشبینی شده بود و وظایفی که در این عرصه برعهده ناجا گذاشته شد و پس از تعریف نظامهای گوناگون مورد نیاز در سند افتا نوبت طراحی و استقرار نظام های بنیادی افتا مثل نظام پیشگیری و مقابله با حوادث رایانه ای است که باید از سوی دولت طراحی و استقرار یابد و یا نظام رسیدگی به جرایم رایانه و …
یکی دیگر از کارهایی که باید به موازات نهادسازی رخ دهد فرهنگسازی است، به تعبیر دیگر ارتقاء فرهنگ عمومی نسبت به ضرورت و لزوم توجه به امنیت در فضای رایانهای. مثلاً در حوزه بانکی ممکن است عموم سازمانها و مردم به عنوان کاربر این بخش، نسبت به اهمیت مسائل امنیتی و ابزارهایی بانکی خود آگاهی نداشته باشند و در نتیجه به امنیت خود در این حوزه توجه و عنایت لازم مبذول ننماید، در بخشی دیگری از سند افتا، به ضرورت فعالیتهای فرهنگسازی تاکید شدهاست. این امر موجب میشود تا افراد متوجه اهمیت موضوع شده و نسبت به امنیت فضای تبادل اطلاعات و ابزارهای الکترونیک در اختیار خود، حساس شوند و سیستم خود را کنترل و امنیت آنرا ارتقاء دهند. البته این مبحث، از ابعاد و سطوح مختلفی برخوردار است، در این بخش یک سلسله کارهایی است که ارایهکنندگان خدمات باید انجام دهند و کارهایی هم وجود دارد که باید از سوی دولت انجام شود.
*در راستای گفته شما دولت و حاکمیت باید کارهایی در حوزه فرهنگسازی انجام دهد به نظر شما با رویکرد بانکداری الکترونیک، این فرهنگسازی انجام شده یا نشده یا در چه سطحی شده؟
ببینید فرهنگسازی معمولا در کنار آموزش مطرح میشود و اینها لازم و ملزوم همند و این امر هم مثل بقیه امور نسبی است و مطلق نمیتوان گفت انجام شده یا نشده است و از سویی امری است جاری که باید تداوم یابد. اما به طور کلی تاکنون در بخشهای مختلف در راستای فرهنگسازی اقداماتی انجام شده است. برای مقایسه مخاطبان شما، سابقه ای را عرض می کنم. در بررسی که در سال 1379برای شناسایی نیرویهای متخصص مورد نیاز برای تشکیل گروه پژوهشی امنیت در مرکز تحقیقات مخابرات صورت گرفت، خاطرم هست کل متخصصینی که فعالیت علمی و پژوهشی به نوعی مرتبط با حوزه افتا داشتند به20نفر نمیرسید و این مساله فقط منحصر به ایران هم نبود، در دنیا هم این وضع حاکم بود و این موضوع، موضوع نوظهوری بود و دنیا هم با آن آشنایی نداشت و به تبع آن در داخل کشور هم خیلی در این حوزه فعالیتی صورت نگرفته بود لذا به ضرورت به اجرای پروژه فرهنگ سازی و تربیت نیروی انسانی در هشت دانشگاه کشور و برگزاری مسابقات، تعریف و ارایه پروژههای مرتبط با موضوع و حمایت و تشویق دانشجویان برای انجام آنها پرداختیم، به طوری که در پایان طرح فرهنگ سازی و تربیت نیروی انسانی در طول حدوداً یکسال و اندی ما حدود پانصد دانشجوی فعال در پروژه داشتیم، اینگونه طرح ها و پروژه ها در کنار فعالیتهای بخشهای مردم نهاد و انجمنهای علمی، که از انجمن رمز باید به عنوان محوریترین و موثرترین بخش مردم نهاد یاد کرد، موجب گردید در زمان کوتاهی موضوع افتا به یک موضوع رایج و شناخته شده در کشور درآید.
در ادامه فعالیتهای علمی، ترویجی و عملی نیز طرح ایجاد مراکز آگاهیرسانی، پشتیبانی و امداد رایانهای (آپا) پیشنهاد و در هشت دانشگاه به مورد اجرا گذاشته شد که امروزه پایگاه امنیتی علمی کشور در همان هشت دانشگاه است. این مراکز با تشکیل آزمایشگاههای امنیتی درباره حوزههای شناخت آسیبپذیریها و روشهای وصله کردن آنها و حوزههای گوناگون به فعالیت مشغولند و با ارایه آگاهیهای امنیتی موجبات ارتقاء سطح آگاهی، شناخت کاربران مختلف را فراهم میسازد.
*و چقدر موفق بوده؟
به نظر من از موفقیت نسبی بالایی برخوردار بودهاست، همینقدر که امروز مردم، دستگاههای مختلف، از جمله بانکها به اهمیت این امر واقفند و برای ارتقاء سطح امنیت خود از توان داخلی بهرهمند هستند نشان دهنده موفقیتهای حوزه فرهنگسازی و تربیت نیروی انسانی در سطح ملی است. البته همانطور که عرض شد این موضوع امری جاری است و باید در سطوح مختلف از جمله سطح ملی تداوم و ارتقاء یابد و در سطوح دیگر از جمله ارایه کنندگان خدمات امنیتی گسترش یابد. ارایهکنندگان خدمات امنیتی باید به آگاهیرسانی اختصاصی پرداخته و در آخرین سطح نیز، ارایه کنندگان خدمات فاوایی مثل بانکها باید با گسترش خدمات امن خود، به ارتقاء سطح امنیتی مشتریان خود کمک کنند.
*در آن پروژهای که در روند کار دانشگاهها اتفاق افتاد در حوزه فرهنگسازی بانکی چه موردی تعریف شده بود و بعد در مسیر مصاحبهمان به سطح کلان میرسیم.
در گام اولیه فرهنگسازی در سطح ملی بانکها مخاطب این طرح محسوب میشدند و همانطور که اشاره شد حرکتهای امروز در بانکها محصول اجرای آن پروژههاست. سند افتا تعیین می کند که چه فعالیتهایی باید در کشور انجام شود، در این سند، پیش بینی شده که در سطح عمومی، مردم و در سطح اختصاصی، سازمانهای دولتی و خصوصی و در سطح ویژه، زیرساختهای حیاتی کشور هدف اقدامات امنیتی از جمله فرهنگسازی قرار گیرند. زیرساختهای حیاتی کشور، در حوزههای مختلفی مطرح هستند؛ در حوزههای نظامی و انتظامی، حوزههای زیربنایی، اقتصادی، اجتماعی و سیاسی. درحوزههای زیربنایی؛ بخشهای مختلف تولید و ارایه انرژی، در حوزههای اقتصادی بخش پولی و مالی، که بانکها در این بخش قرار دارند.
هیچ سرمایهگذاری در بخشی که با خطر و ریسک بالا مواجه باشد سرمایهگذاری نخواهد کرد. در بانکداری نیز مشتریان از ورود به محیط نا امن گریزان هستند و ما نمیتوانیم حرکتی بسمت بانکداری الکترونیکی داشته باشیم مگر اینکه امنیتش را کاملا تامین کرده باشیم، بانک ها باید با تدابیر گوناگونی که در بخش امنیتی خود اتخاذ می نمایند در نهایت باید خدمات امن الکترونیکی تجلی نماید یعنی خدمت امن الکترونیکی هدف بخش امنیت الکترونیکی است. جایگاه امنسازی بانکداری الکترونیکی در حوزه امنیت زیرساختهای حیاتی کشور قرار دارد که در سند افتا از اولویت اول برخوردار است.
*و بعد در پروژه فرهنگسازی برای بانکها چه کار کنید؟
فرهنگسازی بیشتر در دو حوزه صورت پذیرفت. یک حوزه عمومی که به فرهنگسازی برای ارتقاء آگاهی و شناخت عمومی میپردازد و دیگری در حوزه تخصصی که به فرهنگسازی برای تولید علم و فناوری میپردازد. همانطورکه اشاره شد وقتی فرهنگ سازی در سطح ملی مطرح می شود، بانکها مخاطب این سطح از فرهنگسازی هستند. در سطح ملی در دانشگاههای و صنعت فرهنگسازی تخصصی انجام شده است. هدف فرهنگسازی تخصصی در دانشگاهها، ایجاد رغبت و گرایش به تولید علم و تربیت نیروی انسانی در حوزه افتا بود تا از این طریق نیروی تخصصی مورد نیاز بخشهای مختلف از جمله بانکها تربیت شود و همچنین نیروی انسانی و دانش فنی برای تولید فناوری و شکلگیری صنعت افتا تحقق یابد. بانکها در این سطح، از محصولات آن بهرهمند شده اند و امروز وجود شرکتهای پیمانکار و ارایهکننده خدمت و محصول و نیروی انسانی متخصص تربیت یافته شاغل در بانکها نتیجه فرهنگسازی و تربیت نیروی انسانی در بخش تخصصی در سطح ملی است.
*در حیطه بانکی، یک بخش تخصصی دارد و یک عمومی…
نه من در سطح ملی دارم صحبت میکنم. عمومی را در سطح ملی مطرح کردم که ناظر بر ارتقاء آگاهی های عموم مردم را شامل می شد و بحث دانشگاه و صنعت در حوزه تخصصی را نیز در سطح ملی بحث کردیم. کاری که در سطح ملی انجام میپذیرد در سطح کاربر مطرح نمیشود. وقتی این اتفاق رخ داد، کاربرها خودشان انگیزه و توان پیدا کردهاند. آگاهی پیدا می کنند که مشکل چیست؟ و متوجه شدهاند چه کاری باید در امنسازی انجام دهند؟ آن پروژههایی «آپا» که در دانشگاهها مطرح شد برای تبیین همین نیازها بود. امروز آپاها مخاطبان خود را در بین مردم، سازمانهای منفرد و زیرساختها پیدا کرده اند. آپاهای دانشگاهها در حوزه عمومی؛ به آگاهیرسانی به مردم، سازمان های گوناگون دولتی و خصوصی طرف قرارداد خود می پردازد. البته امروز شما شاهد فرهنگسازی عمومی در حوزههای مختلف هستید مثل روزنامهها، صداوسیما و جاهای مختلف، بحث امنیت را مطرح میکنند و اطلاعاتی را ارائه میدهند مثلا فلان حمله انجام گرفته، فلان ویروس آمده، در فلان سیستم این آسیبپذیری است. این نوعی از فرهنگرسانی و آگاهیرسانی در سطح عمومی است. این رسانه ها نیز اطلاعات خود را از آپاها دریافت می کنند و در واقع آپاها، تولید کننده محتوای مورد استفاده آنها هستند.
*فرمودید هشت دانشگاه آنها کدامها بودهاند؟
در هشت دانشگاه، شریف، امیرکبیر، تربیت مدرس، امام حسین(ع)،صنعتی اصفهان، مشهد و یزد؛ در وهله اول موضوعات حوزههای امنیتی را تقسیم کردیم که همه دانشگاهها نروند در یک حوزه کار کنند و یک جایی انباشتگی بوجود آید و یا جایی کمبود بوجود آید. مثلا حوزه امنیت سیستم عامل به دانشگاه پلیتکنیک واگذار شد، و حوزه امنیت پایگاه داده ها به دانشگاه شریف واگذار شد، حوزه امنیت شبکه به دانشگاه صنعتی اصفهان واگذار شد، حوزه امنیت نرمافزارها، به دانشگاه یزد واگذار شد. هر کدام از دانشگاه ها در یکی از حوزه ها آغاز کردند.
* یک مروری هم کردیم. چگونه سال به سال رصد میشود که چه کارهایی انجام شده؟
برای یکپارچه سازی و هماهنگی عملیات گوناگون غیر از برنامه و راهبرد در سطوح گوناگون، یکی از امور مهم و لازم، امر نهادسازی است. همانطور که اشاره شد در سطح ملی سند راهبردی افتا و برای تحقق اهداف آن نهادی لازم بود که امروز با تشکیل شورای عالی مجازی شکل گرفته که می تواند اینگونه رصدها از سوی یکی از معاونتهای دبیرخانه شورای عالی فضای صورت گیرد و علی القاعده نهادهای مختلف دیگر نیز باید با این دبیرخانه همکاری کنند.
*بانکها چی؟ چون بحث اصلی ماست و چگونه با بانک مرکزی ارتباط گرفتید؟
*در طراحی و تدوین سند افتا یکی از مراکزی که به عنوان زیرساخت حیاتی کشور از ابتدا دعوت میشدند نمایندگان بانک مرکزی بودند. یک کاری هم که بعد از تدوین سند انجام گرفت در برنامه پنجم، تکلیفی بود که قانون به عهده بخشهای مختلف دولت از جمله بانک مرکزی و حوزههای بانکی گذاشتهاست و بحث ارتقاء سطح امنیت بانکها با اجرای سامانه مدیریت امنیت اطلاعات است. از طریق این سامانه می توان زیرساختهای فاوایی بانک ها را امن و خدمات الکترونیکی امن را ارایه کرد.
درباره مهندس جعفری:
مهندس جعفری از پژوهشگران حوزه فناوری اطلاعات است که فعالیت خود را در بخش امنیت فضای تبادل اطلاعات، با تاسیس گروه پژوهشی در همین زمینه در سال 1379 در مرکز تحقیقات مخابرات آغاز نموده و از اعضاء فعال انجمن رمز ایران است که عضویت شورای راهبردی و دبیری این انجمن در همان سالها را در کارنامه خود دارد. وی در سال 1380 مرکز فناوری اطلاعات ریاست جمهوری تاسیس نموده و مدیریت طرحها و پروژه های مطالعاتی و تحقیقاتی و اجرایی گوناگونی را در حوزه فناوری اطلاعات برعهده داشته است که طراحی شبکه دولت، تدوین سند راهبردی دولت الکترونیک و سند راهبردی امنیت فضای تولید وتبادل اطلاعات(افتا) از جمله نتایج آنها محسوب میگردد. او در سال 1385 اولین پژوهشکده در حوزه امنیت فناوری ارتباطات و اطلاعات را در مرکز تحقیقات مخابرات کشور تاسیس نمود. طراحی نظام های مختلفی در حوزه افتا، از جمله طراحی و ایجاد مراکز آگاهی رسانی، پشتیبانی و امداد رایانه ای (آپا)در هشت دانشگاه کشور، تحت مدیریت جعفری طراحی و به مورد اجرا گذارده شده است و با حمایت این پژوهشکده پا گرفته است. وی موسس مرکز تحقیقات امنیت سامانه های رایانه ای پاس است که طراحی معماری نظام ملی پیشگیری و مقابله با حوادث رایانه را برعهده داشته است. اکنون مهندس جعفری به عنوان معاون فناوری اطلاعات بانک تجارت وارد عرصه بانکداری الکترونیک شده است.