حامد سنجري، رييس مركز نظارت بر امنيت اطلاعات بازار سرمايه سازمان بورس و اوراق بهادار به اقدامات مركز نظارت بر امنيت اطلاعات بازار سرمايه سازمان بورس و اوراق بهادار در سال ۱۴۰۲ اشاره كرد و گفت: در سالي كه گذشت، بر اساس الزامات ابلاغ شده از سوي سازمان بورس و اوراق بهادار و ابلاغيات مركز افتاي رياستجمهوري، نزديك به ۳۰ شركت فناوري محور بازار سرمايه مميزي امنيتي شدند كه در اين راستا مشكلات امنيتي آنها مورد بررسي قرار گرفت و بر اين اساس بايد مشكلات اعلام شده در سال ۱۴۰۳ برطرف شوند. وي اظهار داشت: از اين تعداد، ۲۲ شركت جزو شركتهاي OMS (سيستم معاملات برخط براي صندوقهاي سرمايهگذاري و باشگاه مشتريان) بازار سرمايه هستند كه سفارشات كارگزاريها را به هسته معاملات ارسال ميكنند و مسووليت امنيتي آنها با شركتهاي كارگزاري است. سنجري با بيان اينكه با اين روش سامانه معاملاتي همه كارگزاريهاي بازار سرمايه مميزي خواهد شد، افزود: در كنار اين شركتها، حوزه فناوري اطلاعات تعداد هشت شركت مانند سازمان بورس و اوراق بهادار، شركت بورس تهران، فرابورس، بورس كالا، بورس انرژي، سپردهگذاري مركزي و نيز شركتهاي تابعه كه جزو شركتهاي اركان بازار سرمايه هستند، مميزي امنيتي شدند و مشكلات آنها اعلام شده است. رييس مركز نظارت بر امنيت اطلاعات بازار سرمايه سازمان بورس و اوراق بهادار به اقدامات انجام شده در حوزه پايش سامانههاي بازار سرمايه اشاره كرد و گفت: از چند سال گذشته مركز «مكنا» اقدام به راهاندازي SOC بازار سرمايه كرد كه از اين طريق همه سامانهها مورد نظارت قرار ميگيرند. وي ادامه داد: امسال SOC (مركز عمليات امنيتي) را به صورت سلسله مراتب راهاندازي كرديم و از اين طريق همه سامانههاي معاملاتي بازار سرمايه را مورد نظارت قرار داديم كه به كمك نظارتهاي صورت گرفته، رخدادها مورد تشخيص و بررسي قرار ميگيرند. سنجري خاطرنشان كرد: در سال ۱۴۰۲ سامانه همه شركتهاي اركان بازار سرمايه و شركتهاي نرم افزاري را با سيستم SOC ارتباط داديم كه از اين طريق، همه اتفاقات رخ داده در سامانههاي متصل شده به سيستم SOC را مورد نظارت قرار ميدهيم و در صورتي كه رخدادي به وجود آيد قابل حسابرسي امنيتي خواهد بود. رييس مركز نظارت بر امنيت اطلاعات بازار سرمايه سازمان بورس و اوراق بهادار ادامه داد: اكنون به لحاظ امنيتي با تمامي كارگزاريهاي بازار سرمايه از طريق سيستمهاي OMS در ارتباط هستيم و اتفاقات را بررسي ميكنيم. در صورت رخ دادن اتفافات، ديگر شركتها را آگاه خواهيم كرد تا مانع از همهگيري اتفاقات شويم.
بهكارگيري سامانهها جلوگيري از حملات احتمالي سايبري
وي با اعلام اينكه به كارگيري اين سامانهها براي تشخيص و جلوگيري از حملات احتمالي سايبري است، گفت: براي مثال، اگر يك حمله سايبري بر روي سامانه شركت بورس تهران رخ دهد به سرعت اتفاقات به صورت سيستمي ارسال ميشود و پس از بررسي، افرادي كه در حال تلاش براي نفوذ هستند را به همه اركان بازار سرمايه اطلاع خواهيم داد تا اقدامات مربوط به جلوگيري از اين حملات را به كار بگيريم. وي به ديگر اقدام انجام شده اين مركز اشاره كرد و گفت: با توجه به اينكه سيستمهاي معاملاتي شركتهاي كارگزاري توسط omsها اقدامات مربوط به معاملات اين شركت را انجام ميدهند؛ بنابراين شركتهاي كارگزاري احساس ميكنند از حوزه امنيت جدا هستند كه در اين راستا در سال ۱۴۰۱ و ۱۴۰۲ دو اقدام متفاوت را انجام داديم.سنجري اعلام كرد: در سال ۱۴۰۱، تعداد ۳۰ كارگزاري اول بازار سرمايه را مميزي امنيتي كرديم، با توجه به اينكه دادههاي امنيتي مشتريان بازار سرمايه در اين شركتها قرار دارند، براي جلوگيري از انتشار اطلاعات مشتريان سيستمها را امنيتي و مشكلات امنيتي اين شركتها را مشخص و ملزم به اصلاح كرديم. رييس مركز نظارت بر امنيت اطلاعات بازار سرمايه سازمان بورس و اوراق بهادار اعلام كرد: در سال ۱۴۰۲، حدود ۴۵ كارگزاري ديگر را مميزي كرديم كه اكثر آنها داراي مشكلات امنيتي گسترده بودند. وي به يكي از چالشهاي مهم در اين حوزه اشاره كرد و گفت: عدم اهميت شركتهاي كارگزاري به حوزه امنيتي داخل شركتها از جمله چالشهاي موجود در اين زمينه است كه مميزيها و بازرسيهاي صورت گرفته آنها را مجاب ميكند تا مشكلات را برطرف كنند. سنجري اعلام كرد: در اين زمينه يك كارگزاري را بابت اجرايي نكردن امنيت سايبري و هك شدن سامانه كارگزاري به اداره تخلفات فرستاديم كه اكنون هم پرونده اين شركت در جريان است. رييس مركز نظارت بر امنيت اطلاعات بازار سرمايه سازمان بورس و اوراق بهادار ادامه داد: در سال ۱۴۰۳ به صورت جديتر به پيگيري تخلفات ميپردازيم كه اگر موارد مدنظر را برطرف نكنند پرونده آنها را سريعا به اداره تخلفات ارسال خواهيم كرد. وي با اعلام اينكه اكنون در حال تلاش براي ارسال دادههاي فناوري محور سفارشات مشتريان كارگزاريها به سيستمهاي نظارتي سازمان بورس براي ارتقای نظارت بر معاملات هستيم. رييس مركز نظارت بر امنيت اطلاعات بازار سرمايه سازمان بورس و اوراق بهادار با بيان اينكه در حوزه امنيت ميتوان ۲ نوع افشا براي اطلاعات محرمانه داشت كه نبايد بنا بر هر دليلي افشا شود، افزود: نوع نخست مربوط به افرادي است كه اطلاعات در اختيار آنها قرار دارد و نبايد به هيچ عنوان اطلاعات را مورد افشا قرار دهند اما فرد به دليل دسترسي به برخي از ديتاها تخلف كرده و ديتا نشت پيدا ميكند، اين افشا ناشي از حمله سايبري نيست و نفوذ امنيتي صورت نگرفته است. وي به برنامههاي مركز نظارت بر امنيت اطلاعات بازار سرمايه سازمان بورس و اوراق بهادار در سال ۱۴۰۳ اشاره كرد و افزود: به دنبال راهاندازي سوتزني سايبري هستيم، در اين زمينه هر شخصي كه بتواند آسيبپذيري و مشكل امنيتي را در سامانه بازار سرمايه كشف كند، جايزه دريافت خواهد كرد.
