واکاوی تاب‌آوری شبکه پرداخت؛ از درس‌های جنگ ۱۲ روزه تا لزوم حکمرانی مشترک و بومی‌سازی فناوری

به گزارش خبرنگار ایبنا، نشست «واکاوی ساختار‌های حکمرانی و سنجش تاب‌آوری در سطح شبکه پرداخت و بانک‌ها» در روز شنبه ۲۲ آذر ۱۴۰۴ با حضور مدیران ارشد بانکی، صاحبنظران اقتصادی و کارشناسان ارشد پولی و بانکی در پژوهشکده پولی و بانکی برگزار شد.

در این نشست علی حکیم‌جوادی، رئیس سازمان نظام صنفی رایانه‌ای کشور اظهار کرد: انتخاب کلیدواژه حکمرانی برای نشست امسال بسیار مناسب است. مسئله تاب‌آوری بعد از جنگ ۱۲ روزه بسیار مورد توجه قرار گرفت و بانک‌هایی که حتی فکر نمی‌کردند مورد تهاجم باشند با مشکل مواجه شدند و حتی برخی کسب‌و‌کار‌های حوزه رمزارز نیز مورد تهاجم قرار گرفتند.

حکیم‌جوادی عنوان کرد: این مشکلات به این دلیل شکل گرفته که تاکنون به مسئله حکمرانی توجه آنچنانی نداشته‌ایم. نگاه امروز به حکمرانی فقط این نیست که شبکه حاکمیت باید این کار را انجام دهد بلکه حکمرانی از همکاری نزدیک بخش خصوصی و دولت اتفاق می‌افتد.

رئیس سازمان نظام صنفی رایانه‌ای کشور عنوان کرد: در حوزه امنیت شبکه پرداخت و شبکه بانکی معمولا اهداف اقتصادی وجود دارد، اما در ایران مسئله حملات برای ضربه‌زدن به شبکه، از بین بردن داده یا انتشار آن برای ایجاد ناامنی نیز وجود دارد.

وی افزود: رقابت عجیبی بین بانک‌ها در ارائه محصول وجود دارد و این فارغ از این است که روند آزمایش محصول به صورت کامل و دقیق انجام شده باشد که این مسئله موجب می‌شود، امنیت شبکه با تهدیدات بیشتری مواجه شود.

حکیم‌جوادی اظهار داشت: از نظر دستورالعمل‌های حوزه امنیت، یکی از کشور‌هایی هستیم که دستورالعمل‌های بسیار زیادی در این حوزه داریم و بانک‌ها نیز تلاش می‌کنند آن را اجرا کنند، اما متاسفانه عملکرد خوبی در این حوزه نداشته‌ایم. این عملکرد به این دلیل اتفاق می‌افتد که هر روز با فناوری‌های جدیدی مواجه هستیم. در وزارت اقتصاد سندباکسی برای سنجش محصولات بانکی وجود دارد، اما بسیاری از خدمات شبکه بانکی بدون گذشتن از این سندباکس‌ها معرفی می‌شوند که موجب شکل‌گیری تهدید می‌شود.

رئیس سازمان نظام صنفی رایانه‌ای کشور در پایان تاکید کرد: مسئله تهدیدات هوشمند امروز وجود دارد و می‌خواهیم بتوانیم برای تولیدکنندگان یک فرآیند تعیین کنیم که تولیدکننده پاسخگوی محصول خودش باشد تا چرخه جرائم سایبری و تهدیدات امنیتی کاهش پیدا کند.

با کاهش وابستگی به محصولات خارجی، تاب‌آوری افزایش می‌یابد

در ادامه این نشست مسعود رجایی، رئیس هیات مدیره سندیکای افتا نیز گفت: حوزه کار ما امنیت است و سندیکای افتا تشکلی از شرکت‌های خصوصی است که در بحث امنیت شرکت‌های افتا فعالیت می‌کنند. بخشی از بحث تاب‌آوری شبکه بانکی به مقوله امنیت برمی‌گردد که نیازمند الزاماتی است.

رجایی بیان کرد: این حملاتی که در جنگ ۱۲ روزه اتفاق افتاده، شرایطی ایجاد کرده که تهدید‌ها بیشتر مورد توجه باشد. در هر تهدید فرصت‌هایی وجود دارد و این تهدید‌ها باور همگانی ایجاد کرده که تهدید‌های ناشناخته زیاد داریم و نباید تنها بگوییم که ما همه اقدامات را انجام داده‌ایم و دیگر نمی‌توان کاری انجام داد، بلکه امنیت نسبی است و به صورت دائم باید تکنولوژی‌ها و حملات جدید پایش شود. حملاتی که ایجاد شد این باور را بسیار عمیق‌تر کرد که به افزایش امنیت شبکه بانکی کمک می‌کند.

وی افزود: در تاب‌آوری الزاماتی از دید امنیتی وجود دارد. اگر بتوانیم وابستگی خود را به محصولات خارجی کم کنیم، تاب‌آوری افزایش می‌یابد و این اولین الزام در این حوزه است.

رئیس هیات مدیره سندیکای افتا عنوان کرد: مانور‌های عملیاتی برای اطمینان از پیاده‌سازی‌ها و تنظیمات نیز یکی دیگر از الزامات است. فراهم‌سازی نرم‌افزار‌های نهفته نیز بسیار مهم است. در حال حاضر نرم افزار‌های نهفته در بایاس‌ها را نداریم و برای سرمایه‌گذاری در آن باید انگیزه ایجاد کنیم. داشتن آزمایشگاه برای تشخیص حملات جدید نیز یکی از مسائل بسیار مهمی است که باید به آن توجه داشته باشیم.

وی خاطر نشان کرد: نمی‌توانیم تمام دانش‌ها و تکنولوژی‌های مورد نیاز در این حوزه را از کشور‌های خارجی وارد کنیم و باید این بخش را در داخل تهیه کنیم و روش‌های جایگزینی نیز برای آن در نظر داشته باشیم.

رجایی اظهار داشت: در بحث حکمرانی دولت باید بخش رگولاتوری و نظارت را بیشتر مورد توجه قرار دهد و از کار‌های اجرایی و فعالیت‌هایی که بخش خصوصی توان انجام آن را دارد، خارج شود.

رئیس هیات مدیره سندیکای افتا تصریح کرد: خلع‌هایی در بحث تاب‌آوری نظام بانکی و شبکه پرداخت وجود دارد که بخش خصوصی نتوانسته به دلیل عدم صرفه و عدم توان وارد آن شود. این بخش را باید دولت و حاکمیت انجام دهد و یا برای آن مشوق‌هایی برای ورود بخش خصوصی ایجاد کند.

وی افزود: ستاد توسعه فناوری افتا با ریاست معاون اول رئیس جمهور ۱۵ مورد از خلع‌ها را شناسایی کرده و این خلع‌ها را بین بخش‌های مختلف توزیع کرده است.

رجایی گفت: مسئله بعدی قطب‌بندی و تقسیم‌بندی نیازمندی‌ها، فناوری و دانش بین بخش‌های مختلف است تا تمام نیاز‌ها فراهم شود.

رئیس هیات مدیره سندیکای افتا خاطر نشان کرد: تحلیل‌های رفتاری کاربران شبکه بانکی یکی از موضوعات بسیار مهمی است که می‌توان در کاهش تهدیدات سایبری شبکه پرداخت انجام داد. هوش مصنوعی می‌تواند کمک کند که خطا در تحلیل ابرداد‌ها کاهش پیدا کند و به ما کمک می‌کند که از ابرداده‌ها نیز بتوانیم برای تقویت امنیت سایبری استفاده کنیم.

وی افزود: اگر بتوانیم سرور‌هایی در خارج از کشور داشته باشیم و ترافیک‌ها از خارج از کشور وارد شود، می‌توانیم برخی حملات را پیش‌بینی کرده و با این کار تهدید‌ها را در نطفه خفه کنیم.

رجایی در پایان تاکید کرد: در حوزه تاب‌آوری یک نکته مهم وجود دارد. پرداخت‌های کارتی در کشور ما تقریبا ۱۰۰ درصد است و افراد کمی از پول نقدی استفاده می‌کنند. این مسئله خود می‌تواند تهدیدی باشد و این الزام را ایجاد می‌کند که راه‌های جایگزینی در این حوزه ایجاد کنیم.

رمزدوم پویا به شدت حملات سایبری را کاهش داد

در ادامه این نشست، محمد میرزایی، رئیس مبارزه با جرائم سازمان یافته پلیس فتا فراجا اظهار کرد: یکی از مهمترین موضوعات حوزه امنیت سایبری در کشور تاب‌آوری شبکه پرداخت است. در جنگ ۱۲ روزه تجربه‌ای در این حوزه داشتیم که نشان داد باید این مقوله بیشتر مورد توجه باشد. با اینکه این مسئله همیشه مدنظر بانک مرکزی بوده است، اما باید تاب‌آوری را از نگاه دیگری مورد توجه داشته باشیم. منظور بنده از تاب‌آوری مسائلی است که عامل ایجاد پرونده‌های سایبری است.

وی افزود: وجود کاستی در ارائه سرویس‌ها یکی از موارد مهمی است که موجب ایجاد جرائم سایبری می‌شود. شاخص‌های مهمی در این حوزه وجود دارد که مهمترین آن ریسک سواستفاده و تقلب است. وقتی زمینه سواستفاده و تقلب زیاد شود موجب کاهش اعتماد به شبکه پرداخت می‌شود و کاهش اعتماد به کاهش پایداری سیستم منتج خواهد شد.

میرزایی با تاکید بر اینکه معیار زمان تشخیص حمله و زمان مقابله با آن در پیشگیری و جلوگیری از جرایم بسیار مهم است، اظهار کرد: پلیس فتا در حوزه پایش مستمر این کاستی‌ها فعال است و به صورت مداوم شبکه را پایش می‌کند.

رئیس مبارزه با جرائم سازمان یافته پلیس فتا در ادامه گفت: در حوزه حل موضوع و مقابله با حمله مشکلاتی وجود دارد و همین مسئله موجب ایجاد چندین هزار پرونده در کشور می‌شود. باید در کاهش زمان مقابله با تهدید‌ها اقداماتی انجام شود و این مسئله به کاهش جرائم این حوزه کمک زیادی می‌کند. این مولفه‌ها باید به صورت مستمر پایش شوند و باید به میزان آمادگی و شاخص‌های مختلف این حوزه توجه ویژه‌ای داشته باشیم.

وی افزود: اصلاحات در حوزه رمزدوم پویا به شدت حملات سایبری و جرائم حوزه پرداخت را کاهش داد. تا پیش از اصلاحات در شبکه پرداخت، رشد جرائم همواره بالای ۱۰۰ درصد بود، اما از سال اول بعد از انجام اصلاحات، نه تنها رشد جرائم صفر شد بلکه به منهای ۲۶ درصد نیز رسید و این در حالی بود که به دلیل همه‌گیری کرونا و سال‌های بعد از آن، شاهد استقبال مردم از خدمات غیرحضوری در شبکه بانکی و پرداخت بودیم. در سال‌های اخیر نیز هیچگاه شاهد آمار‌های قبل از اصلاحات نبوده‌ایم. البته روند سال‌های اخیر نشان می‌دهد که باید بازنگری و اصلاحات جدیدی در حوزه پرداخت داشته باشیم تا مشکلات به صورت ریشه‌ای برطرف شود.

میرزایی خاطر نشان کرد: علاوه بر موضوع آزمایش‌های امنیتی خدمات بانکی، شاهد این مسئله هستیم که خدماتی معرفی می‌شود که حتی از نظر فرآیندی نیز به امنیت آن توجه نشده است و وجود باگ در برخی سرویس‌ها موجب سواستفاده و شکل‌گیری جرائم می‌شود.

وی تاکید کرد: مسئله آموزش و فرهنگ‌سازی در حوزه سایبری بسیار مهم است و افرادی که از خدمات بانکی و پرداخت استفاده می‌کنند، باید آموزش دیده باشند و آگاهی لازم را دریافت کرده باشند. این مسئله قطعا در کاهش ریسک‌های حوزه پرداخت موثر خواهد بود.

رئیس مبارزه با جرائم سازمان یافته پلیس فتا با تاکید بر اینکه هماهنگی بین بازیگران حوزه نظام بانکی بسیار اهمیت دارد، گفت: اگر هماهنگی وجود نباشد، حتما مجرمین از این نقص برای سواستفاده و حملات استفاده می‌کنند؛ بنابراین باید به افزایش هماهنگی و انسجام بین بانک‌ها بیشتر توجه داشته باشیم.

وی در پایان اظهار کرد: دستورالعمل‌های بسیاری برای این حوزه داریم، اما بانک‌ها رویه واحدی را در ارائه خدمات ندارند و این منتج به سواستفاده مجرمین می‌شود؛ بنابراین در حوزه رگولاتوری، بانک مرکزی باید به ایجاد رویه واحد در ارائه خدمات بانکی توجه شود.