هشدار قرمز سايبري به نظام بانكي ايران

در حالي كه تقلب‌هاي سايبري در ايران با تغيير تاكتيك مجرمان رو به رشد است و اعتماد عمومي به سامانه‌هاي پرداخت را تهديد مي‌كند، كارشناسان ارشد پليس فتا، صنعت بانكي و فناوري اطلاعات در پيش‌نشست همايش بانكداري نوين هشدار دادند: بدون اصلاحات ريشه‌اي زيرساختي، آموزش عمومي گسترده و بازنگري در حاكميت داده، تاب‌آوري زيست‌بوم مالي كشور در برابر حملات سايبري به‌شدت آسيب‌پذير خواهد ماند. از موفقيت رمز پويا در كاهش ۲۶ درصدي جرايم تا ضرورت هوش مصنوعي و كيف پول ايراني، همه بر يك نقطه تأكيد دارند: زمان اقدام فوري فرا رسيده است. حملات سايبري در جنگ ۱۲ روزه لطمات جدي به شبكه بانكي كشور وارد كرد و باعث از كار افتادن برخي كارت‌هاي بانكي شد. روندي كه ضمن اختلال در تداوم كسب‌وكارها، امنيت تراكنش‌هاي خرد و اعتماد مردم به سامانه‌هاي پرداخت را به خطر انداخت. پيش‌نشست دوازدهمين همايش سالانه بانكداري نوين و نظام‌هاي پرداخت با عنوان حكمراني و تاب‌آوري زيست‌بوم مالي و بانكي در برابر تهديدات سايبري و بحران‌ها برگزار شد. محمد ميرزايي رييس مركز مبارزه با جرايم ملي و سازمان يافته پليس فتا فراجا در اين نشست با اشاره به افزايش زمينه‌هاي سوءاستفاده و تقلب اضافه كرد: «رشد تقلب‌هاي سايبري به‌طور مستقيم منجر به كاهش اعتماد عمومي به سامانه‌هاي پرداخت مي‌شود و اين افت اعتماد، پايداري كل اكوسيستم مالي و بانكي كشور را با چالش مواجه مي‌كند. هرچند در حوزه شناسايي آسيب‌پذيري‌ها و پايش مستمر، ارتباط موثري ميان پليس فتا، جامعه بانكي و رگولاتور مركزي برقرار است و تحليل پرونده‌هاي سايبري به‌صورت مستمر انجام و نتايج آن سريع به ذي‌نفعان منتقل مي‌شود، اما در مرحله رفع نقيصه و پاسخ عملياتي، همچنان با ضعف‌هاي جدي مواجه هستيم.»

   كاهش اعتماد عمومي  پيامد مستقيم رشد تقلب‌هاي سايبري است

ميرزايي با تاكيد بر ضرورت بازنگري مستمر در فرايندهاي زيرساختي حوزه پرداخت گفت: «هر اصلاحي كه در زيرساخت‌ها انجام مي‌شود، به‌طور طبيعي با واكنش مجرمان همراه است و آنها تلاش مي‌كنند مسيرهاي جديدي براي دور زدن اين اصلاحات پيدا كنند. با اين حال، تجربه نشان داده اصلاحات زيرساختي، به‌ويژه در حوزه رمز پويا، نقش بسيار موثري در كنترل جرايم داشته است. پيش از اجراي اين اصلاحات، آمار جرايم سايبري در كشور رشدهاي بيش از ۱۰۰ درصدي را تجربه مي‌كرد، اما در سال نخست پس از اعمال اصلاحات زيرساختي، نه‌تنها اين رشد متوقف شد، بلكه با كاهش تا منفي ۲۶ درصد نيز همراه بود. اين كاهش در شرايطي اتفاق افتاد كه هم‌زمان، به‌دليل همه‌گيري كرونا، استفاده عمومي از خدمات غيرحضوري و آنلاين به‌شدت افزايش يافته بود. در سال‌هاي بعد نيز اين آمار هيچگاه به سطوح پيش از اصلاحات بازنگشت و رشدهاي مشاهده‌شده متناسب با توسعه فناوري بوده است. البته امروز با تغيير تاكتيك‌ها و روش‌هاي مجرمان، نيازمند اصلاحات مجدد، عميق و ريشه‌اي در زيرساخت‌ها هستيم و اين موضوع بايد در اولويت راهبردي نظام بانكي و پرداخت كشور قرار گيرد.» رييس مركز مبارزه با جرايم ملي و سازمان‌يافته پليس فتا فراجا همچنين به رقابت بانك‌ها در ارايه سرويس‌هاي جديد اشاره كرد و گفت: «در برخي موارد، خدمات جديد بدون طي كامل فرايندهاي آزمايش‌هاي امنيتي و حتي بدون رعايت ملاحظات فرايندي راه‌اندازي مي‌شوند. تجربه پرونده‌هاي پليس فتا نشان مي‌دهد برخي از همين سرويس‌ها، به‌دليل وجود باگ‌هاي فرآيندي، در مقاطعي به بستري براي خروج سرمايه از نظام بانكي و سوءاستفاده مجرمان از دارايي مردم تبديل شده‌اند. پيش از توسعه يا ارايه هر سرويس غيرحضوري، لازم است ملاحظات فرآيندي و امنيتي به‌صورت جدي ديده شود تا از ايجاد زمينه‌هاي سواستفاده جلوگيري شود.» ميرزايي با اشاره به چالش كمبود نيروي متخصص، وابستگي به برخي محصولات خارجي و ضرورت ارتقاي توان فني گفت: «در كنار پيشرفت‌هاي حاصل‌شده، موضوع آموزش و فرهنگ‌سازي، چه در سطح سازمان‌ها و چه در ميان مردم، اهميت بسيار بالايي دارد.لازم است يك نظام آموزشي عمومي در حوزه امنيت سايبري براي كاربران خدمات غيرحضوري طراحي شود. به‌گونه‌اي كه افراد پيش از استفاده از اين خدمات، با حداقل‌هاي امنيتي و ريسك‌هاي فضاي سايبر آشنا شوند. چنين رويكردي مي‌تواند نقش موثري در كاهش ريسك و جرايم سايبري ايفا كند.»

   آموزش عمومي امنيت سايبري  ضرورتي مغفول مانده است

مسعود رجايي رييس هيات‌مديره سنديكاي افتا هم با اشاره به ماهيت هوشمند تمامي ابزارهاي ديجيتال امروز افزود: « از رايانه و تلفن همراه گرفته تا ساعت‌هاي هوشمند، همه اين ابزارها مبتني بر نرم‌افزار، الگوريتم‌هاي تحليلي و تصميم‌گيري هستند. هرجا نرم‌افزار وجود دارد، نياز به تحليل امنيتي هم وجود دارد و اين موضوع نه غيرممكن است و نه دست‌نيافتني. امروز بسياري از سيستم‌عامل‌ها و نرم‌افزارها بدون اطلاع يا اجازه كاربر به‌روزرساني يا حتي نصب مي‌شوند. در حالي كه اگر ابزارهاي تحليل و تشخيص مناسب در اختيار داشته باشيم، مي‌توان نرم‌افزارهاي مشكوك را پيش از ايجاد تهديد شناسايي و حتي غيرفعال كرد. مشكل اصلي اين است كه بخش مهمي از اين توان تحليلي را هنوز در اختيار نداريم.» او در ادامه تصريح كرد: «براي افزايش واقعي تاب‌آوري، حاكميت چند وظيفه كليدي دارد. مهم‌ترين آن، خروج از رقابت با بخش خصوصي است. دولت بايد از تصدي‌گري و اجراي مستقيم كارهايي كه بخش خصوصي توان انجام آن را دارد، كنار بكشد تا بتواند نقش اصلي خود يعني سياست‌گذاري، رگولاتوري و نظارت موثر را ايفا كند. يكي ديگر از وظايف حاكميت، هدف‌گذاري‌هاي بلندمدت براي توسعه فناوري، افزايش تاب‌آوري و تقويت زيست‌بوم امنيت سايبري است.» او افزود: «در برخي حوزه‌ها با خلاهاي جدي فناورانه مواجه هستيم. بخش‌هايي كه يا بازار اقتصادي مشخصي ندارند يا هزينه توسعه آنها براي بخش خصوصي بالا و غيراقتصادي است. در چنين مواردي، وظيفه حاكميت ايجاد مشوق‌هاست. ابتدا بايد اين خلاها شناسايي شوند و سپس با طراحي مشوق‌ها، بخش خصوصي به ورود و سرمايه‌گذاري در اين حوزه‌ها ترغيب شود. اگر اين سياست به‌درستي اجرا شود، طي چند سال مي‌توان ديد كه حوزه‌هايي كه امروز «بيابان فناوري» هستند، به زيست‌بوم‌هاي فعال، مولد و بهره‌ده تبديل مي‌شوند.»

   كيف پول ايراني بازنگري  در پردازش تراكنش‌هاي خرد است

عليرضا ماهيار، مديرعامل شركت ملي انفورماتيك با تأكيد بر ضرورت بازتعريف مفهوم «حاكميت داده» گفت: «حاكميت داده به‌هيچ‌وجه صرفاً به اين معنا نيست كه داده متعلق به چه كسي است. مساله بسيار فراتر از مالكيت داده است و به نحوه جمع‌آوري، نگهداري، تجميع و تبادل داده‌ها بازمي‌گردد. امروز حجم گسترده‌اي از اطلاعات هويتي، مالي و رفتاري افراد بدون نياز به دسترسي به داده‌هاي حاكميتي، صرفا از طريق داده‌هايي كه روي اينترنت و در پلتفرم‌هاي مختلف ذخيره شده‌اند، قابل بازيابي است. اين داده‌ها از اپراتورها، اپليكيشن‌هاي بانكي، وب‌سايت‌ها و سرويس‌هاي مختلف جمع‌آوري شده و در كنار هم قرار گرفته‌اند. پرسش اصلي اين است كه چرا اين پلتفرم‌ها، چه دولتي و چه خصوصي، اين حجم از داده را ذخيره مي‌كنند، در حالي كه مي‌توان تبادل داده را مبتني بر سرويس و بدون انباشت اطلاعات انجام داد. اگرچه چارچوب‌ها و قوانين مشخصي مشابه استانداردهاي جهاني در حوزه داده تعريف شده، اما در عمل بسياري از بازيگران به‌جاي اتكا به استعلام و سرويس، داده‌ها را ذخيره و تجميع مي‌كنند؛ مساله‌اي كه ريسك امنيتي را به‌شدت افزايش مي‌دهد.» او افزود: استفاده از هوش مصنوعي و ابزارهاي هوشمند در سه لايه تشخيص، واكنش و پيش‌بيني، مي‌تواند نقش تعيين‌كننده‌اي در افزايش تاب‌آوري شبكه پرداخت و نظام بانكي ايفا كند. تجربه بانك‌هاي مركزي جهان نيز نشان مي‌دهد حركت به سمت استفاده از ابزارهاي مبتني بر هوش مصنوعي، به يك ضرورت تبديل شده است. ماهيار در ادامه به پروژه‌هاي كليدي بانك مركزي اشاره كرد و گفت: «پروژه‌هايي مانند «كيف پول ايراني» و كيف پول ملي هر ايراني كه اجراي آنها با تأخير همراه بوده، اكنون وارد مرحله آزمايش و بهره‌برداري اوليه شده‌اند. با توجه به اينكه بيش از ۶۰ درصد تراكنش‌هاي كشور خرد هستند، بازنگري در مدل پردازش و هزينه‌كرد اين تراكنش‌ها يك ضرورت است.» او همچنين به اهميت نوآوري و استفاده از سندباكس‌هاي تخصصي در حوزه امنيت سايبري اشاره كرد و گفت: «فعال‌سازي سندباكس‌هاي امنيتي با همكاري نهادهايي مانند سازمان نظام صنفي رايانه‌اي مي‌تواند مسير نوآوري در اين حوزه را هموار كند. بدون ترديد، استفاده هدفمند از هوش مصنوعي در امنيت و تاب‌آوري سايبري، مي‌تواند پايداري و انگيزه‌اي مضاعف براي كل اكوسيستم امنيت سايبري كشور ايجاد كند.»

   شبكه بانكي جذاب‌ترين  هدف مهاجمان سايبري است

علي حكيم‌جوادي، رييس سازمان نظام صنفي رايانه‌اي كشور نيز گفت: با وجود دستورالعمل‌ها و چك‌ليست‌هاي امنيتي كه توسط بانك مركزي و ساير نهادها تدوين شده و بانك‌ها ملزم به اجراي آنها هستند، هنوز عملكرد قابل قبولي در عمل مشاهده نمي‌شود. وي با اشاره به اهميت آموزش و مسووليت‌پذيري در حوزه فناوري گفت: فعاليت‌ها و تلاش‌هاي طولاني‌مدت براي توليد محصولات قابل اعتماد نشان مي‌دهد كه انتخاب موضوع اين نشست هوشمندانه و شايسته تقدير بوده است، زيرا شبكه‌هاي بانكي در سراسر جهان از آسيب‌پذيرترين و جذاب‌ترين بخش‌ها براي تهديدهاي سايبري هستند. حكيم‌جوادي ادامه داد: يكي از بزرگ‌ترين چالش‌هاي شبكه بانكي كشور به نظر من، كم‌توجهي به آموزش و نيروي انساني است. بسياري از آسيب‌پذيري‌ها ناشي از عدم اشراف كاربران در سطوح مختلف، از كاربران عادي گرفته تا راهبران سيستم‌ها است. او افزود: تجربه سازمان نظام صنفي رايانه‌اي نشان مي‌دهد بسياري از مسائل گذشته در حوزه افشاي اطلاعات برطرف شده و بخش‌هاي نظارتي ديگر نگراني چنداني از اين بابت ندارند. با اين حال، بخش قابل توجهي از حملات ناشي از سادگي اقدامات كاربران، مانند استفاده از رمز عبور مشترك رخ مي‌دهد. وي به اهميت استفاده از ابزارهاي مناسب و تست‌هاي امنيتي پيش از ارايه محصولات اشاره كرد و گفت: رقابت شديدي در شبكه بانكي وجود دارد و هر بانك در تلاش است محصول خود را زودتر به بازار عرضه كند، اما گاهي بدون انجام آزمايش‌هاي لازم، از جمله تست نفوذ، اين محصولات وارد بازار مي‌شوند و اطلاعات كاربران در شبكه‌هاي مختلف منتشر مي‌شود. با وجود دستورالعمل‌ها و چك‌ليست‌هاي امنيتي كه توسط بانك مركزي و ساير نهادها تدوين شده و بانك‌ها ملزم به اجراي آنها هستند، هنوز عملكرد قابل قبولي در عمل مشاهده نمي‌شود. حكيم‌جوادي افزود: بسياري از محصولات بدون عبور از چارچوب‌هاي آزمايشي (سندباكس‌ها) وارد بازار مي‌شوند و آسيب‌پذيري‌هاي شبكه معمولاً از اين ناحيه وارد كشور مي‌شود. لازم است كاربران شناخت كافي از ابزارها و ويژگي‌هاي آنها داشته باشند و مسووليت محصول به سمت توليدكننده منتقل شود تا پاسخگويي تا انتهاي چرخه محصول تضمين شود. رييس سازمان نظام صنفي رايانه‌اي كشور همچنين به پراكندگي داده‌ها و مجزا بودن شبكه‌ها در كشور اشاره كرد و توضيح داد: بخش‌هاي مختلف شبكه بانكي اغلب اطلاعات خود را به‌صورت جزيره‌اي نگه مي‌دارند و اين مساله موجب مي‌شود مديران عامل بانك‌ها مجبور به دخالت مستقيم شوند. ايجاد يك شبكه بانكي مركزي كه بتواند داده‌ها را يكپارچه كرده و پيش‌بيني‌هاي لازم را انجام دهد، مي‌تواند بسياري از آسيب‌پذيري‌ها را كاهش دهد و بهره‌برداري از اطلاعات را براي كل شبكه فراهم كند. وي در ادامه به تجربه مواجهه با بحران‌ها در شبكه بانكي كشور اشاره كرد و گفت: گاهي هنگام بروز بحران‌ها، واكنش‌ها دستپاچه و ناكافي است و اطلاعات بين نهادها به‌خوبي به اشتراك گذاشته نمي‌شود. اين مساله ضرورت ايجاد يك تقسيم كار ملي براي مواجهه با تهديدها و بحران‌هاي احتمالي، حتي در سطح ملي را آشكار مي‌كند. برخي شركت‌ها در دسترسي به حساب‌هاي بانكي و مواجهه با مسائل مالياتي و بيمه‌اي در زمان بحران، هماهنگي و پاسخگويي بهتري بايد داشته باشند تا اثرات منفي چنين اتفاقاتي را كاهش دهند. حكيم‌جوادي در پايان ابراز اميدواري كرد كه نتايج اين نشست‌ها بتواند دستاوردهاي مهمي براي ارتقاي تاب‌آوري، امنيت و حكمراني شبكه بانكي كشور به همراه داشته باشد و زمينه‌ساز اقدامات موثر در سطح كلان شود.