لیلا رضایی در گفتگو با خبرنگار ایبِنا، با اشاره به چارچوب های مدیریت امنیت اظهارداشت: چارچوب مدیریت امنیت اطلاعات ISMS که مورد تایید افتا نیز هست، نگاه جامع و کلنگری نسبت به امنیت دارد و جنبههای انسانی، فیزیکی، سیستمی، اطلاعاتی و همه حوزهها را از سطح استراتژیک تا آخرین لایه عملیاتی جهت امنسازی لحاظ میکند.
وی افزود: فرایند امنسازی سازمان بدون در نظر گرفتن مسائل مدیریت امنیت و گسترش آن در همه بخشهای راهبردی سازمان به واسطه کنترلهای امنیتی مناسب میسر نیست و جنبههای امنیتی چارچوبهایی مانند مدیریت تداوم کسب و کار (BCM)، مدیریت ریسک (RM) یا حوزههای حاکمیت فناوری اطلاعات مانند CoBIT یا ITIL نیز کمتر از جنبههای کسبوکاری آنها نیستند.
رضایی با اشاره به انواع استانداردهای امنیتی تصریح کرد: امنیت اطلاعات سه جنبه اصلی صحت، دسترسیپذیری و محرمانگی اطلاعات را شامل میشود که محور همه استانداردهای امنیت در حوزه زیرساخت، سرویسدهنده و نرم افزار هستند.
وی افزود: در حوزه مدیریت امنیت اطلاعات، سری استانداردهای ISO27000 الزامات و کنترلهای امنیتی جامعی را معرفی میکنند. با استقرار این استانداردها البته در یک رویکرد مرحلهای و مطابق نیازها و اولویتهای موجود، امنیت فضای تبادل اطلاعات در سازمان تامین می شود. البته همانطور که مستحضر هستید، امنیت دو ویژگی خاص دارد: اول اینکه امنیت نسبی بوده و ۱۰۰ درصد حاصل نمیشود، ثانیا امنیت دو روی یک سکه بوده و تأمین هر سطح از آن نیازمند تلاش و هزینه درخور است.
رضایی با بیان اینکه سری استانداردهایی نیز توسط مؤسسه ملی استاندارد و تکنولوژی آمریکا (NIST) در زمینه امنیت و ممیزی امنیتی وجود دارد، افزود: استاندارد CISP-PC الزامات کارتهای بانکی و زیرساختهای مدیریت امن کارت را بیان میکند و استانداردهای متعددی نیز در حوزه امنیت نرمافزار و داده وجود دارد. برای نمونه در حال حاضر Oauth2 درزمینه احراز هویت و محرمانگی با ضریب نفوذ بالایی در حال استفاده است. همچنین استانداردهای زیادی نیز در حوزه رمزنگاری و امنیت شبکه وجود دارد.
معاون اداره کل امنیت و توسعه سیستم های بانک ملی ایران خاطرنشان کرد: استانداردهای سری TIA و BICSIالزامات فیزیکی و امنیتی مراکز داده را بیان میکنند، به گونهای که فضا کاملا مدیریتشده است و تابآوری بالایی در برابر حوادث گوناگون ایجاد میکند. این استاندارد در سایتهای اصلی پشتیبان و بحران به نسبت اهمیت باید رعایت شود.
نوآوری و فناوریهای جدید در حوزه امنیت
وی با اشاره به نوآوریها و فناوریهای جدید در حوزه امنیت بیان داشت: بدیهی است که با رشد روزافزون فناوریهای نوین و کاربردهای مختلف آنها در زندگی انسان، فناوریهای امنیتی مرتبط نیز باید بهروز شوند. هر فناوری جدید با خود ریسکها و ویژگیهای منحصربهفردی میآورد و امنسازی متناسب با خود را طلب میکند. به عنوان نمونه IOT باعث گسترش شبکههای رباتیک (BOTNET) بهصورت خانگی میشود و متناسب آن فایروال خاص شبکههای خانگی به بازار عرضه شده است. به تبع، وقتی تعاملات مالی در منزل و از هر وسیلهای امکانپذیر باشد، تحت تاثیر محدودیتها و یا قابلیتهای حوزه IOT قرار میگیرد؛ به طوری که در حال حاضر حوزه Bank of Things و امنیت آن نیز مطرح است.
سرویسهای مدیریت شده امنیت
رضایی خاطرنشان کرد: سرویسهای مدیریت شده امنیت (Managed Security Services) میزان چابکی و توانمندیهای سازمان در حفظ و نگهداشت امنیت در لایههای زیرساخت را افزایش میدهند؛ زیرا شما خدمات امنیتی در سطح مشاوره، راهکار و ابزار را از سازمانی دریافت میکنید که به صورت حرفهای فقط کار امنیت انجام میدهد. ولی در سطح عملیاتی، بهخصوص در سازمانهای مالی و بانکها به دلیل ویژگیهای خاص امنیتی که دارند، باید نکاتی جهت مدیریت مخاطرات در نظر گرفته شود. سیاستهای جداسازی مسئولیتها باید به روشنی تدوین شده باشند و سازمانی که خدمات MSS ارائه میکند برای ارایه اینگونه خدمات به بانکها مجوزهای لازم را از مراجع ذیصلاح داشته باشد.
وی افزود: روزانه شبکه بانکی کشور با مخاطرات و حملات امنیتی متعددی روبرو است که توسط مراکز امنیتی بانکها و برخورداری از ابزارها، استانداردها، فرایندها و تکنیکهای امنیتی مدیریت میشوند. رویکرد واحد امنیت بانک ها مبتنی بر پیشگیری از بروز رخداد است و عمدتا حملات امنیتی صورتگرفته ناموفق هستند.
معاون اداره کل امنیت و توسعه سیستم های بانک ملی ایران ادامه داد: همچنین مرکز کاشف با هدف حفظ و ارتقای امنیت نظام پرداخت و بانکداری الکترونیکی به منظور جمعآوری اطلاعات رخدادها و کنترل فوریتهای امنیتی بانکها ایجاد شده است که ضمن مدیریت تهدیدات داخلی و خارجی بتواند تجارب مختلف را در شبکه بانکی به اشتراک بگذارد و باعث چابکی و توانمندسازی بانکها در مقابله با رخدادهای امنیتی باشد. خدمات این مرکز میتواند فراتر رفته و به MSS بانکی تبدیل شود.
امنیت در پرداخت در بسترهای جدید مانند IOT و پایانههای فروش سیّار
رضایی افزود: Wi-Fiها و سنسورها شیوه تعامل ما با دنیای اطراف را عوض کرده و عصر جدیدی از ارتباطات بدون مرز ایجاد کردهاند. گجتهای پوشیدنی و مجهز به فناوری بایومتریک و بالاتر از آن "اینترنت انسان" زمینهای فراهم کردهاند که محدودیت در تصورات انسان تنها محدودیت در توسعه است. ارتباطات همیشه تعاملات را بهدنبال دارد. به عنوان مثال فرض کنید ماشین لباسشویی شما هشدار دهد که گوشی موبایل خود را در جیب لباسی که تصمیم به شستشو دارید جا گذاشتهاید یا سفارش اتوشویی و پرداخت آن را انجام دهد، یا گوشی شما هنگام زنگ صبحگاهی سفارش تحویل صبحانه و پرداخت آن را انجام دهد.
وی با بیان اینکه در دنیای بیانتهای ارتباطات و شهرهای متصل شده، مهمترین نقش بانکها پرداخت است گفت: در Bank of Thing، پرداخت ازطریق چیپهای هوشمند کارگذاشته شده در بدن انسانها تا تمام اشیای شخصی مقدور خواهد شد که به آن Payment of Thing میگویند. موضوع امنیت این پرداختها بسیار مهم بوده و باید روی بهینهسازی تجربه و رفتار مشتری در این مسیر سرمایهگذاری شود.
معاون اداره کل امنیت و توسعه سیستم های بانک ملی ایران ادامه داد: در این مسیر امنیت فرآیند احراز هویت دستگاهها تامین میشود، اما احراز هویت مالکان دستگاهها در زمان دریافت خدمات اشتراکی از دستگاهها همچنان بحرانی خواهد ماند. برای این کار راحتترین راه، استفاده از اجزای بدن یا همان احراز هویت بیومتریک است. در حال حاضر، موضوع توسعه کارتهای پرداخت بیومتریک از طریق یکپارچگی یک سنسور اثر انگشت به جای استفاده از یک شماره مطرح شده است.
کاربردهای هوش امنیتی در شبکه بانکی
وی درباره کاربردهای هوش امنیتی در شبکه بانکی نیز گفت: با گسترش قابلیتهای پردازش سختافزارها و ظهور Big Data، حجم بیشتری از اطلاعات را به صورت برخط میتوانیم تحلیل و استنتاج کنیم که در این زمینه برخی از الگوهای عمومی تحلیل رفتارهای مالی درزمینه تشخیص تقلب، استاندارد PCI و تحلیل رفتار مشتری وجود دارد و رویکرد مقابله با عدم انطباقها میتواند در سامانههایی که الگوهای مذکور را پیادهسازی کردهاند، تعریف شود.
رضایی ادامه داد: بهعنوان مثال، صرفا به فرد یا مرکز خاصی اعلام شود یا از ادامه عملیات مشکوک ممانعت به عمل آید و یا با دریافت تایید مضاعف، ادامه فعالیت را مجاز قلمداد کند. این سامانهها قدرت تشخیص کارت دزدیده شده، نرمافزارهای غیرمجاز ATMها، تراکنشهای همزمان یک فرد در محلهای جغرافیایی مختلف، تراکنشهای بالای سقف مجاز، سوءاستفاده از PANها، دسترسیهای غیرمجاز یا خارج از ساعت مجاز، پرداختهای تکراری و موارد دیگر را دارند، ولی با وجود Big Data و امکان نگهداری دادهها در درازمدت، قدرت تشخیص الگوهای بیشتر و پیچیدهتری برای کنترل تعاملات مالی مشتری و بانک و تشخیص رفتارهای غیرمعمول و غیرمجاز وجود دارد.