کم‌کاری بانک‌ها در اجرای امنیت سایبری؛ راه‌حل چیست؟

رئیس سازمان نظام صنفی رایانه‌ای کشور گفت: با وجود دستورالعمل‌ها و چک‌لیست‌های امنیتی که توسط بانک مرکزی و سایر نهادها تدوین شده و بانک‌ها ملزم به اجرای آن‌ها هستند، هنوز عملکرد قابل قبولی در عمل مشاهده نمی‌شود.

علی حکیم‌جوادی – رئیس سازمان نظام صنفی رایانه‌ای کشور – در نشست بررسی تاب‌آوری و حکمرانی شبکه پرداخت با اشاره به اهمیت آموزش و مسئولیت‌پذیری در حوزه فناوری گفت: فعالیت‌ها و تلاش‌های طولانی‌مدت برای تولید محصولات قابل اعتماد نشان می‌دهد که انتخاب موضوع این نشست هوشمندانه و شایسته تقدیر بوده است، زیرا شبکه‌های بانکی در سراسر جهان از آسیب‌پذیرترین و جذاب‌ترین بخش‌ها برای تهدیدهای سایبری هستند.

حکیم‌جوادی ادامه داد: یکی از بزرگ‌ترین چالش‌های شبکه بانکی کشور به نظر من، کم‌توجهی به آموزش و نیروی انسانی است. بسیاری از آسیب‌پذیری‌ها ناشی از عدم اشراف کاربران در سطوح مختلف، از کاربران عادی گرفته تا راهبران سیستم‌ها است.

او افزود: تجربه سازمان نظام صنفی رایانه‌ای نشان می‌دهد بسیاری از مسائل گذشته در حوزه افشای اطلاعات برطرف شده و بخش‌های نظارتی دیگر نگرانی چندانی از این بابت ندارند. با این حال، بخش قابل توجهی از حملات ناشی از سادگی اقدامات کاربران، مانند استفاده از رمز عبور مشترک رخ می‌دهد.

وی به اهمیت استفاده از ابزارهای مناسب و تست‌های امنیتی پیش از ارائه محصولات اشاره کرد و گفت: رقابت شدیدی در شبکه بانکی وجود دارد و هر بانک در تلاش است محصول خود را زودتر به بازار عرضه کند، اما گاهی بدون انجام آزمایش‌های لازم، از جمله تست نفوذ، این محصولات وارد بازار می‌شوند و اطلاعات کاربران در شبکه‌های مختلف منتشر می‌شود. با وجود دستورالعمل‌ها و چک‌لیست‌های امنیتی که توسط بانک مرکزی و سایر نهادها تدوین شده و بانک‌ها ملزم به اجرای آن‌ها هستند، هنوز عملکرد قابل قبولی در عمل مشاهده نمی‌شود.

حکیم‌جوادی افزود: بسیاری از محصولات بدون عبور از چارچوب‌های آزمایشی (سندباکس‌ها) وارد بازار می‌شوند و آسیب‌پذیری‌های شبکه معمولاً از این ناحیه وارد کشور می‌شود. لازم است کاربران شناخت کافی از ابزارها و ویژگی‌های آن‌ها داشته باشند و مسئولیت محصول به سمت تولیدکننده منتقل شود تا پاسخگویی تا انتهای چرخه محصول تضمین شود.

رئیس سازمان نظام صنفی رایانه‌ای کشور همچنین به پراکندگی داده‌ها و مجزا بودن شبکه‌ها در کشور اشاره کرد و توضیح داد: بخش‌های مختلف شبکه بانکی اغلب اطلاعات خود را به‌صورت جزیره‌ای نگه می‌دارند و این مسئله موجب می‌شود مدیران عامل بانک‌ها مجبور به دخالت مستقیم شوند. ایجاد یک شبکه بانکی مرکزی که بتواند داده‌ها را یکپارچه کرده و پیش‌بینی‌های لازم را انجام دهد، می‌تواند بسیاری از آسیب‌پذیری‌ها را کاهش دهد و بهره‌برداری از اطلاعات را برای کل شبکه فراهم کند.

وی در ادامه به تجربه مواجهه با بحران‌ها در شبکه بانکی کشور اشاره کرد و گفت: گاهی هنگام بروز بحران‌ها، واکنش‌ها دستپاچه و ناکافی است و اطلاعات بین نهادها به‌خوبی به اشتراک گذاشته نمی‌شود. این مسئله ضرورت ایجاد یک تقسیم کار ملی برای مواجهه با تهدیدها و بحران‌های احتمالی، حتی در سطح ملی را آشکار می‌کند. برخی شرکت‌ها در دسترسی به حساب‌های بانکی و مواجهه با مسائل مالیاتی و بیمه‌ای در زمان بحران، هماهنگی و پاسخگویی بهتری باید داشته باشند تا اثرات منفی چنین اتفاقاتی را کاهش دهند.

حکیم‌جوادی در پایان ابراز امیدواری کرد که نتایج این نشست‌ها بتواند دستاوردهای مهمی برای ارتقای تاب‌آوری، امنیت و حکمرانی شبکه بانکی کشور به همراه داشته باشد و زمینه‌ساز اقدامات مؤثر در سطح کلان شود.