در حال خواندن
امنیت سایبری در حوزه نظام بانکی و پرداخت، با خوش‌شانسی همراه بوده است
0

امنیت سایبری در حوزه نظام بانکی و پرداخت، با خوش‌شانسی همراه بوده است

نویسنده:  علی اصغر افتاده1401-08-23

خلاصه مدیرتی: امروزه، توسعه فناوری اطلاعات و فضای سایبری موجب شده بخش‌های مهمی از کارکرد زیرساخت‌های حیاتی و حساس، وابسته به این فضا شوند. در نتیجه‌ وجود چنین وابستگی‌ای، امنیت زیرساخت‌ها به فضای سایبری گره خورده است. در چند هفته گذشته، کشورهای متخاصم با هدف اخلال در زیرساخت‌های حیاتی کشور، تلاش خود را در این مسیر به کار بسته‌اند.

بررسی شاخص‌های دفاعی- امنیتی فضای سایبری زیرساخت‌های حیاتی و حساس، با‌ توجه ‌به رویکردهای پدافند غیرعامل موضوع مهمی است. ‌اکنون کشور ما، بیش ‌از پیش به تعیین شاخص‌های دفاعی – امنیتی فضای سایبری نیاز دارد و پرداختن به این مهم، موجب تقویت تاب‌آوری زیرساخت‌ها در برابر چنین تهدیدهایی می‌شود.

در یکصد و پنجمین میزگرد آنلاین از سلسله نشست‌های تخصصی بانکداری و اقتصاد دیجیتال، که ۱۰ تیرماه ۱۴۰۱ برگزار شد، موضوع «وضعیت امنیت سایبری در زیرساخت‌های حیاتی کشور (با محوریت نظام بانکی و پرداخت)»، با حضور بهناز آریا رئیس کمیسیون افتای سازمان نظام صنفی رایانه‌ای استان تهران، رویا دهبسته مدیرعامل شرکت باگدشت و پویا پوراعظم، رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه، موردبحث و تبادل‌نظر قرار گرفت. خلاصه این گفت‌وگو پیش‌روی شماست.

  • تهدیدات داخلی امنیتی، نقطه ضعف بانک‌ها

پوراعظم: بانک‌ها و شرکت‌های فعال در حوزه فناوری‌ مالی نسبت به صنایع دیگر در حوزه امنیت سایبری، چندان وضعیت بدی نداشته‌اند. حداقل از نظر آماری این‌طور بوده است. با این حال، وضعیت نظام بانکی و پرداخت، مطلوب هم نبوده است. صادقانه فکر می‌کنم نسبت به صنایع و زیرساخت‌های دیگر کشور، در حوزه امنیت سایبری، شانس با نظام بانکی، پرداخت و فناوری مالی همراه بوده است. اینکه دسترسی‌ اینترنتی به خدمات و زیرساخت‌ها را از خارج ببندیم، راه‌حل اصلی نیست و درمان موقتی و سریع است.  همچنین ممکن است منشأ برخی حملات خارج از کشور باشد اما لزوما از طریق دسترسی به اینترنت و خارج از کشور نباشد و به داخل ایران و تهدیدهای داخلی سازمان برمی‌گردد. در حال حاضر در زیرساخت‌های حیاتی خصوصا نظام بانکی و شبکه پرداخت، تهدیدات داخلی، جدی است. نقطه ضعف اصلی، همین‌جاست. در بانک‌ها، برای محافظت از تهدیدات شبکه خارج از سازمان، تجهیزات، خریداری می‌شود اما باز هم نگرانی وجود دارد. ما به فرهنگ سازمان و بانک، توجه نکرده‌ایم تا امنیت سایبری در همه بخش‌ها، اعم از هیئت مدیره، مدیریت ارشد و البته در بین تمام کارمندان سازمان، دغدغه باشد و به آن اهمیت داده شود.

درخصوص اشتراک‌گذاری اطلاعات امنیت سایبری، در بسیاری کشورها، زیرساخت‌ها و پلتفرم‌های آن، مانند آیزک در حوزه امنیت سایبری ایجاد شده‌اند. این پلتفرم‌، زیرساخت‌هایی را فراهم می‌کند که اطلاعات سایبری از جمله حملات، موارد مشکوک، پیشنهاد از ذینفعان مختلف و… را مدنظر قرار می‌دهد. آیزک توسط بانک مرکزی و شرکت کاشف مطرح بوده اما بهره‌برداری نشده است.

  • جای خالی بخش خصوصی در حوزه امنیت سایبری

آریا: وضعیت امنیت سایبری ما بسیار ویژه است. ما موقعیت منحصربه‌فردی در دنیا داریم. با توجه به موقعیت‌مان، امنیت سایبری نیازمند توجه ویژه است. آیا توجه لازم را داشته‌ایم؟ خیر. آیا آنچه قرار است انجام ‌می‌دهیم تا به وضعیت مطلوب برسیم؟ خیر. امنیت سایبری باید جزء اولویت‌های کشور ما باشد اما نیست. آیا الان بخش خصوصی به اندازه کافی، نقش خود را بازی می‌کند؟ خیر.  بخش خصوصی در مهم‌ترین نهادهای تصمیم‌ساز در حوزه امنیت سایبری، کرسی ندارد. اگر وجود دارد، متعلق به اشخاص حقیقی است نه حقوقی. ما در شورای عالی فضای مجازی یا نهادهای تصمیم‌ساز در لایه استراتژیک، کرسی نداریم. البته پیشرفت‌هایی داشته‌ایم اما برای رسیدن به جایگاه واقعی، مسیر طولانی داریم. مهم‌ترین مسئله درباره بحران‌های اخیر، خصوصا در حوزه مالی اعتباری، عدم اشتراک دانش است. به دلیل عدم اشتراک تجربیات، نرسیدن به راه‌حل‌های درست و عدم پیاده‌سازی آن، این مشکلات را تجربه می‌کنیم. سازمان نظام صنفی، به عنوان نماینده بخش خصوصی، به شدت دغدغه امنیت ملی دارد.

  • باگ‌بانتی و امنیت سایبری: از جهان تا ایران

دهبسته: حدود ۱۰ سال است که از مفهوم باگ‌بانتی در دنیا استفاده می‌شود. نقشه ذهنی دنیا که به مفهوم باگ‌بانتی رسید، بر اساس تعدد شناسایی آسیب‌پذیری جدید بر روی اپلیکیشن‌ها و سامانه‌های مختلف است. هزینه‌بر بودن اجراهای پروژه تست نفوذ، از نظر مالی و زمانی برای تیم امنیت سازمان‌ها مهم است. همچنین انتخاب پیمانکار با صلاحیت و تعدد پیمانکارانی که تست نفوذ را دو یا سه بار در سال انجام دهند، حائز اهمیت است. فرایند پیچیده عقد قرارداد با هرکدام از پیمانکارها و پیچیدگی نگهداشت نیروی متخصص امنیت در سازمان، به دلیل مبالغ دریافتی و آپدیت بودن آنها هم مهم است و موجب عدم ماندگاری آنها می‌شود.

این فضا در دنیا، سازمان‌ها را به سمت پلتفرم‌های باگ‌بانتی سوق داد تا از کمک هکرهایی که متخصص امنیت یا کلاه سفید استفاده شود. سامانه‌های سازمان‌ها در پلتفرم‌های جدید، توسط آنها زیر بار تست است و تغییراتی که از دید یرنامه‌نویس جا می‌ماند یا دیده نمی‌شود، گزارش می‌کنند و مابه‌ازای آن، «بانتی» یا مبلغ قدردانی دریافت می‌کنند. در ایران نیز از سال ۹۷، در شرکت باگدشت این کار را شروع کردیم و تا الان، با بیش از ۸۰ سازمان در حال همکاری هستیم. درخصوص مجوز، پلتفرم‌های باگ‌بانتی، مجوز افتای ریاست جمهوری دارند. همچنین پلیس فتا و پدافند غیرعامل، اخیرا ادارات تخصصی باگ‌بانتی را تشکیل دادند. اکنون تعدادی از مشتریان، جزء بانک‌ها و موسسات مالی هستند.

  • شروط اجرای موفق باگ‌بانتی در بانک‌ها

دهبسته: اجرای موفق باگ‌بانتی، شروطی دارد. متخصصان ارزیابی سامانه، باید هم از لحاظ دانشی، تخصص مناسب داشته باشند و هم تعهد کاری و حرفه‌ای لازم را دارا باشند. پلتفرم مربوطه نیز باید قوانین را شفاف، دقیق و فنی بیان کند تا بین متخصص، هکر و سازمان، تضاد ایجاد نشود، داوری عادلانه باشد و انگیزه برای همکاری متخصص ایجاد شود. به خاطر تفاوت فاحش بین دلار و ریال، بسیاری از متخصصان ما تمایل به فعالیت فریلنسری، در پلتفرم‌های خارج از کشور دارند. مسئله دیگر حمایت محدود بانک‌ها از  فین‌تک‌های زیرمجموعه‌، در زمینه تامین بودجه امنیت سایبری است که آسیب‌پذیری بزرگ در سیستم ماست. مسئله بعدی، نگاه سنتی در برخی مجموعه‌های بانکی و مالی و تنظیم قراردادهای امنیت در قالب مناقصه با کمترین هزینه بدون توجه به کیفیت و بررسی فنی است. فرهنگ‌سازی برای مدیران ارشد و هیئت مدیره سازمان‌های بانکی نیاز است. همچنین بخش‌های حراست، ‌امنیت و فناوری سازمان، درباره ارتباط با یک هکر ارتباط، گرفتن اطلاعات و پرداخت مبالغ حواشی‌ ایجاد می‌کنند که به ضرر سازمان است. به همین دلیل پلتفرم‌های باگ‌بانتی ایجاد می‌شوند که این ارتباط مدیریت شود.

  • چالش نیروی انسانی و نقش کمیسیون افتای سازمان نظام صنفی

آریا: متاسفانه در سال‌های اخیر، به شدت موج مهاجرت را داریم و در زمینه تولید نیروی انسانی متخصص و نگهداشت آن، دچار چالش هستیم. یکی از اقدامات مهم، سرمایه‌گذاری در حوزه دانشی امنیت سایبری است. الان بیشتر به نیروی متعهد پرداخته می‌شود در حالی که نیروی متعهد نیازمند آموزش و تخصص است تا به متعهدِ متخصص تبدیل شود. آموزش را مغفول گذاشته‌ایم و بودجه‌های آموزشی را به حداقل می‌رسانیم. هنوز همه در حال آموزش دوره‌های Security+، CH هستند که صدسال است آموزش داده می‌شود! چند سال پیش، سندی در مرکز افتای ریاست جمهوری ایجاد، برای ارتقای دانش امنیت سازمان‌ها، در قالب مسیر سنز پیشنهاد کردیم. اینکه چقدر عملیاتی شده، حداقلی است. ما در کمیسیون افتا، دو فعالیت عمده در این حوزه داشته‌ایم. فعالیت اول، برگزاری سمینارهای آگاهی‌رسانی با موضوعات روز امنیت سایبری است. فعالیت دوم، ایجاد کارگروه منابع انسانی است که در حال تبدیل به کمیسیون منابع انسانی برای اشتراکگذاری تجربیات در عرصه تولید، تربیت و نگهداشت نیروهاست.

  • اولویت‌های بانک‌ها برای مقابله با مشکلات امنیت

پوراعظم: در حوزه امنیت سایبری، بر روی تجهیزات، هزینه‌هایی با مناقصه‌های میلیاردی اتفاق می‌افتد و تصور بر سازمان امن است اما بهره‌برداری درستی از تجهیزات نمی‌شود. نکته بعدی اینکه بخشی از بودجه امنیت سایبری باید برای آموزش، هزینه شود. همچنین باید بابت بخش‌هایی در حوزه امنیت سایبری در بانک‌ها، شرکت‌های پرداخت و فناوری‌ مالی هزینه شود و آسیب‌پذیری‌هایی امنیتی‌ را که با فایروال و تجهیزات امنیتی پوشش داده نمی‌شود، پوشش ‌دهد. الان مسائل اساسی امنیت ما در حوزه مباحث استراتژیک و کلان امنیت است چون بر روی تجهیزات، هزینه شده است. ما در بانک‌ها، در حوزه ساختار سازمانی امنیت اطلاعات و امنیت سایبری مشکل داریم. هنوز در برخی بانک‌ها، متولی امنیت اطلاعات آن، در سطوح میانی سازمانی قرار دارد. در حوزه قراردادهای فناوری با شرکت‌های پیمانکار، نیز زیرمجموعه و شرکای تجاری باید به ملاحظات قراردادی اهمیت بدهند تا دغدغه‌های امنیت سایبری در الزامات قراردادی گنجانده شود. تدارکات سازمان و ذینفعان بانک‌ها چقدر به آن می‌پردازند؟ ما باید بخش امنیت سایبری سازمان را از ابتدا در هر فرایند و تولید محصول یا نرم‌افزار، درگیر کنیم اما بعضا این اتفاق نمی‌افتد.

  • سهم بانک‌ها در باگ‌بانتی و شاخص‌های سطح بلوغ

دهبسته: طبق تجربه سه‌ چهار ساله مجموعه ما، در سال ۱۴۰۰ نسبت به سال ۱۳۹۹، تقریبا افزایش خوبی درخصوص همکاری مجموعه‌های مالی و بانکی داشته‌ایم. سال ۹۹، حدود ۲۰ درصد همکار‌های ما مختص به این صنعت بود اما سال ۱۴۰۰، به حدود ۴۰ درصد افزایش یافت. بعد از آن، اپراتورها و ISPها با حدود ۲۳ درصد قرار دارند و سپس پلتفرم‌های ارائه‌دهنده خدمات به کاربران با حدود ۱۶ درصد و نیز صنعت، دانشگاه‌ها و دولتی‌ها با درصدهای کمتر قرار دارند. بنابراین درک در سازمان‌های کشور در حال شکل‌گیری است اما هنوز پاسخگو نیست. سطح بلوغ باگ‌بانتی در کشور در چند مسئله قابل ارائه است. یکی نگاه سازمان‌ها به موضوع باگ‌بانتی است. نکته دیگر، نهادهای نظارتی است که علی‌رغم پیشرفت خوب در تعامل با مجموعه‌های باگ‌بانتی نیازمند نگاه تسهیل‌گرانه است. نکته بعدی اینکه قوانین سنتی در حوزه مالیات، تامین اجتماعی، مربوط به ۲۰ تا ۳۰ سال گذشته است و سنجش کسب‌وکارها، بر اساس آنها باعث شکست آنها می‌شود، در سال دانش‌بنیان آپدیت قوانین، مهم است. نکته دیگر، بلوغ خود پلتفرم‌های باگ‌بانتی است. ما در ابتدای راه هستیم و باید خدمات دیگری به پلتفرم باگ‌بانتی اضافه شود. نکته بعدی، آموزش پرسنل خصوصا در حوزه secure coding است که واقعا به آن کم‌توجهی می‌شود. نکته آخر، مشاوره انعقاد قرارداد یا SLA است و مسائلی است که به ارزیابی‌ مستمر کمک می‌کند. اینها بلوغ را در فضای امنیت سازمان‌ها و صنعت مالی و بانکی ایجاد می‌کند.

  • تعدد نهادهای نظارتی: خوب یا بد؟

آریا: نصف تلاش‌ها برای شرکت‌‌های ما، صرف گرفتن مجوزها می‌شود؛ مجوزهایی که هرکدام از نهادها، جداگانه دارند و علاوه بر آن، مجوزهای درون‌سازمانی داریم. در همه اینها، کار باید از اول انجام شود! حتی قائل به این نیستند که ارزیابی‌ها در یک نهاد بالادستی انجام شده است. عملا در بخش خصوصی، هرکدام از شرکت‌ها، یک بخش مجوز دارند. البته در آیین‌نامه اعتبارسنجی در حوزه محصولات امنیتی، همگرایی به تدریج دیده می‌شود اما نامه‌نگاری متولیان مختلف که توپ را به زمین یکدیگر می‌اندازند، مسئله مهمی است. همچنین تاثیر الزامات، قوانین و هرکدام از آیین‌نامه‌ها بدون ضمانت اجرایی، صفر است. در امنیت سایبری، بررسی، برنامه‌ریزی، پیاده‌سازی، ارزیابی و ممیزی و سپس اصلاح برای نتیجه مطلوب، مهم است اما این موضوع رخ نمی‌دهد.

پوراعظم: تعدد این نهادهای بالادستی در حوزه امنیت سایبری در کشور، ذاتا ممکن است بد نباشد و وظایف و نقش‌هایی وجود دارد که باید انجام شود اما نکته مهم، شفافیت است. تفکیک وظایف با راهبری شورای عالی فضای مجازی یا… نباید روی کاغذ باشد و باید اجرا شود. مثلا پلیس فتا، سال گذشته با ارسال نامه مستقیم به بانک‌ها، الزاماتی در سطح سقف و کف تراکنش‌ها و… تعیین کرد اما آیا پلیس می‌تواند در نقش قانون‌گذاری و سیاست‌گذاری ورود کند؟ هرچند نظرات مشورتی و تجربه‌ پیگیری جرایم خوب است اما نهاد رگولاتور بانک‌ها، بانک مرکزی است و این کار، می‌توانست با مشورت رگولاتور بانکی باشد. البته بانک مرکزی، سال گذشته سند خوبی با عنوان قوانین و الزامات ناظر بر ریسک فناوری اطلاعات را صادر کرد که امیدوارم در اجرا هم پیگیر باشد.

  • چیدمان نامناسب پازل امنیت سایبری

دهبسته: تا دو سه سال پیش، امنیت، یک واژه لوکس در سازمان‌ها بود و صرفا به خرید تجهیزات و لایسنس اختصاص داشت. در یکی دو سال اخیر، این نگاه، تغییر کرده و شاید بدتر شده است! می‌توان گفت نگاه کاملا fire fighting شده است. وقتی برای سازمان‌ها یک، اتفاق می‌افتد، تمرکز سازمان اعم از بودجه، وقت و… به آن سمت می‌رود و همزمان با سردرگمی، مهاجم از سامانه دیگری نفوذ می‌کند. این لوپ در یک سال اخیر اتفاق افتاد. از سوی دیگر، فین‌تک‌ها به دلیل نداشتن بودجه کافی و متخصص امنیت، هدف سهل‌الوصول‌تری برای مهاجم هستند و به جای آنکه بانک، آنها، هدف قرار می‌‌گیرند. ما استراتژی اجرایی امنیت در سازمان‌ها و طرح دفاع سایبری نداریم. همچنین تمرکز بیشتر روی سامانه‌های وب و موبایل است و شبکه سازمان‌ها یعنی ارزیابی امنیتی، کنترل‌های CIS در شبکه و پیکربندی امن تجهیزات شبکه، محدود است. آگاهی‌رسانی امنیت سایبری به کارکنان عادی هم به‌روز نیست و مانور امنیتی چندانی هم در سازمان‌ها نداریم. اینها همگی پازل خوبی از وضعیت امنیت سایبری نشان نمی‌دهد.

آریا:. مدت‌هاست این موضوع را در جلسات مطرح می‌کنیم که حوزه امنیت سایبری، نیازمند جهاد و نهضت امنیت اطلاعات است؛ جهاد یعنی کشور باید امنیت سایبری را جزء اولویت‌های خودش قرار دهد و فعالیت‌ها، عملیاتی انجام شود. همه اینها نیازمند سرمایه‌گذاری و در درجه اول، سرمایه دانشی و سپس به‌کارگیری فرایندهای لازم است و تمام ارکان از حاکمیت و بخش خصوصی تا اشخاص حقیقی و متخصصان باید توجه ویژه به آن داشته باشند.

پوراعظم:  امیدوارم در بانک‌ها و شرکت‌های فناوری، بحث تهدید افشای اطلاعات از طریق عوامل داخلی در سازمان، در بانک یا پیمانکاران یا شرکای تجاری مدنظر قرار گیرد. تعداد رخدادهای امنیتی اخیر در حوزه بانکی در زمینه افشای اطلاعات بود که بعضا به دلیل دسترسی‌های مدیریت‌نشده به داده‌ها و اطلاعات ایجاد شد. اگر دسترسی به اطلاعات، اعم از همه نوع اطلاعات، در همه نوع مدیا، در همه نوع جایی که ذخیره، پردازش و نگهداری می‌شود، از منظر شرکای تجاری، شرکت‌ها و کارکنان، کنترل و مدیریت نشود، بسیار خطرناک است. همه داده‌ها باید سیاست‌گذاری شود، الزامات داخلی داشته باشد و نظارت و طبقه‌بندی شود.

 

پادکست : رادیو عصر پرداخت

مدیرمسوول:  عبداله افتاده

مهمانان:  بهناز آریا رئیس کمیسیون افتای سازمان نظام صنفی رایانه‌­ای استان تهران، رویا دهبسته مدیرعامل شرکت باگدشت و پویا پوراعظم، رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه

موسیقی : معین صالحی

اسپانسر : هلدینگ راهبرد هوشمند شهر

مشروح این خبر را در ادامه بخوانید

 

امنیت سایبری در حوزه نظام بانکی و پرداخت، با خوش‌شانسی همراه بوده است

حیات اجتماعی کشورها بر پایه تداوم عملکرد زیرساخت‌های حیاتی و حساس آنها استوار است. از همین‌‎رو کشورهای متخاصم تلاش می‌کنند تا مانع تداوم این کارکرد در کشورهای هدف شوند.

امروزه، توسعه فناوری اطلاعات و فضای سایبری موجب شده بخش‌های مهمی از کارکرد زیرساخت‌های حیاتی و حساس، وابسته به این فضا شوند. در نتیجه‌ وجود چنین وابستگی‌ای، امنیت زیرساخت‌ها به فضای سایبری گره خورده است. این در حالی است که به نظر می‌رسد در چند هفته گذشته، کشورهای متخاصم با هدف اخلال در زیرساخت‌های حیاتی کشور، از هیچ ‌کاری فروگذار نکرده و تمام تلاش خود را در این مسیر به کار بسته‌اند و البته در برخی موارد، همچون حملات به شرکت‌های فولادی نیز تا حدودی موفق شده‌اند.

در این برنامه تلاش می‌کنیم به شاخص‌های دفاعی- امنیتی فضای سایبری زیرساخت‌های حیاتی و حساس کشور، با‌ توجه ‌به رویکردهای پدافند غیرعامل بپردازیم. البته نباید فراموش نشود به گفته «کلاوزویتس»، هر عصری، جنگ و محدودیت‌های خود را دارد. ‌اکنون نیز کشور ما، در عصر فناوری اطلاعات، بیش ‌از پیش به تعیین شاخص‌های دفاعی – امنیتی فضای سایبری نیاز دارد و پرداختن به این مهم، موجب تقویت تاب‌آوری زیرساخت‌ها در برابر چنین تهدیدهایی می‌شود.

از این‌رو، در یکصد و پنجمین میزگرد آنلاین از سلسله نشست‌های تخصصی بانکداری و اقتصاد دیجیتال، با موضوع «وضعیت امنیت سایبری در زیرساخت‌های حیاتی کشور (با محوریت نظام بانکی و پرداخت)» که با حضور بهناز آریا رئیس کمیسیون افتای سازمان نظام صنفی رایانه‌ای استان تهران، رویا دهبسته مدیرعامل شرکت باگدشت و پویا پوراعظم، رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه برگزار شد، مشکلات این حوزه، موردبحث و تبادل‌نظر قرار گرفت. آنچه پیش‌روی شماست، مشروح این گفتگوست. حامی این میزگرد، هلدینگ راهبرد هوشمند شهر است.

 

  • به عنوان اولین سوال، وضعیت بانکها و به طور کلی نظام بانکی و پرداخت، در حوزه امنیت سایبری به چه شکل است؟ آیا اقدامات انجامشده از گذشته تا کنون، اثربخش بوده یا خیر؟ لطفا به طور شفاف بفرمایید بیشترین نقاط ضعف و کاستیها را در زمینه امنیت سایبری در بانکها در چه مواردی میدانید؟

پوراعظم: در ابتدا عرض کنم اینکه اتفاقی در نظام بانکی و پرداخت نداشتیم، این‌طور نبوده است. البته مسئله جدی و حاد هم نبوده است. بانک‌ها و شرکت‌های فعال در حوزه فناوری‌ مالی یا نهادهای مالی، نسبت به صنایع دیگر که در یکی دو سال اخیر، مسائل و اتفاقات پیش‌آمده برای آنها قابل مشاهده است، چندان وضعیت بدی نداشته‌اند. حداقل از نظر آماری این‌طور بوده است. با این حال، این‌طور نیست که وضعیت نظام بانکی و پرداخت، مطلوب باشد. صادقانه فکر می‌کنم نسبت به صنایع و زیرساخت‌های دیگر کشور، شانس، با نظام بانکی، پرداخت و فناوری مالی، همراه بوده است. عنوان کشورهای متخاصم سال‌هاست که به درستی مطرح شده، موضوع جدیدی نیست و سال‌ها در حال رخ دادن است. البته ما هم در حوزه امنیت سایبری برای دیگر کشورها، متخاصم قلمداد می‌شویم. بنابراین این موضوع، دوطرفه است. اگر الان ضربه می‌خوریم، اتفاقا ممکن است دلیل آن، کشور متخاصم و خارج از کشور نباشد. مسئله، تهدیداتی است که در خود سازمان‌ها و نظام بانکی اتفاق می‌افتد. موضوع هم لزوما به تهدیدات خارج از کشور برنمی‌گردد. البته منظور این نیست که به تهدیدات خارج از کشور و کشورهای متخاصم نپردازیم. ما به این تهدیدات خارجی پرداخته‌ایم و به اندازه لازم می‌پردازیم. بیشتر مواقع در زیرساخت‌های مختلف، ایران اکسس هستیم که نوعی حذف کردن صورت مسئله است. اینکه دسترسی‌های اینترنتی به خدمات و زیرساخت‌ها را از خارج کشور ببندیم و اصطلاحا ایران اکسس کنیم، راه‌حل اصلی، درست و دقیقی نیست بلکه می‌تواند موقتا راه‌حل درمانی سریع باشد. وقتی بیشتر مواقع دسترسی به خارج از کشور، به زیرساخت‌های حیاتی وابسته است و طی چند وقت اخیر، دستور به اجرای این اتفاق از سوی نهادهای نظارتی داده می‌شود، اصلا این صورت مسئله وجود ندارد. بنابراین از خارج کشور، حملات سایبری نمی‌تواند وجود داشته باشد. حملاتی که ممکن است منشأ آن خارج کشور باشد اما لزوما از طریق دسترسی به اینترنت و خارج از کشور اتفاق نمی‌افتد، به عواملی در داخل ایران و همان تهدیدهای داخل سازمان برمی‌گردد. بنابراین مشخصا به دو نوع تهدید در امنیت سایبری می‌پردازم که در حال حاضر در همه زیرساخت‌های حیاتی خصوصا نظام بانکی و شبکه پرداخت، موضوع تهدیدات داخلی جدی است؛ موضوعاتی که می‌تواند منشأ خارج از کشور هم داشته باشد. با ایران اکسس و قطع ارتباط با کشور هم حل نمی‌شود و تهدیدات داخلی سازمان- با همه احترامی که برای کارمندان، شرکت‌های پیمانکار، شرکت‌های زیرمجموعه نهادهای بانکی قائلم- ممکن است منشأ خارج از کشور هم نداشته باشند و به دلایل، اهداف و انگیزه‌های مختلف اتفاق بیفتد. نقطه ضعف اصلی، همین‌جاست. در بانک‌ها، هزینه زیادی انجام می‌شود اما مهم این است که این هزینه، در مسیر درست و برنامه بلندمدت انجام شود و صرفا برنامه‌های واکنشی درمانی، ثمربخش نیست. در لایه محافظت از تهدیدات شبکه خارج از سازمان، شبکه اینترنت در خارج از کشور، تجهیزات، خریداری و هزینه می‌شود اما باز هم دغدغه و نگرانی وجود دارد. این مسئله بیشتر به این موضوع برمی‌گردد که ما به فرهنگ سازمان و بانک، توجه نکرده‌ایم تا امنیت سایبری در همه بخش‌ها، اعم از هیئت مدیره، مدیریت ارشد و البته در بین تمام کارمندان سازمان، دغدغه باشد و به آن اهمیت داده شود. بنابراین فکر می‌کنم مسئله اصلی، جایی است که چندان به آن نمی‌پردازیم. امیدوارم به فکر آن باشیم و هزینه‌ها و اقدامات، در مسیر درست قرار گیرد.

  • بنده وارد جزییات نشدم اما حالا که شما اشاره کردید عرض میکنم سال گذشته حملهای به اینترنتبانک چند بانک صورت گرفت که دوستان هم اطلاعرسانی نکردند و همین موضوع، یکی از دردهای بزرگ حوزه امنیت است. وقتی تهدید سایبری اتفاق میافتد، اولین کار، پنهان کردن است و با گستردهتر شدن آن، بهناچار اطلاعرسانی میکنند. ایراد این است که از این بانک به آن بانک، هیچ کارگروهی وجود ندارد که دیتا به اشتراک گذاشته شود و در نهایت گفته شود فلان هکر با این مشخصات وارد شد و ما با این روش، آن را جمع کردیم. در حوزه اینترنت بانکها، چهار پنج بانک با روش مشابه، گرفتار شدند و با گذاشتن دو کپچا برای ورود و اضافه کردن المانها، به سختی کار را جمع کردند که البته سختی آن، سمت مشتریان بود. این موضوع هم از دردهای بزرگ است. درست است؟

پوراعظم: قطعا همین‌طور است اما این موضوع، چیز جدیدی نیست و ما مدت‌هاست به آن دچار هستیم. الان باید به این موضوع بپردازیم که چه نهادهایی و خود سازمان‌ها در چه لایه‌هایی، چه اقداماتی انجام دهند که این مسئله حل شود. درخصوص اشتراک‌گذاری اطلاعات امنیت سایبری، این موضوع، چرخه‌ای نیست که ما بخواهیم آن را جدید بسازیم یا به دنبال آن برویم. در بسیاری از کشورها از جمله کشورهای همسایه، زیرساخت‌ها و پلتفرم‌های آن مانند آیزک در حوزه امنیت سایبری ایجاد شده‌اند. این پلتفرم‌، زیرساخت‌هایی را فراهم می‌کند که اطلاعات سایبری از جمله حملات، موارد مشکوک، پیشنهاد از ذینفعان مختلف و… را مدنظر قرار می‌دهد. به هرحال، راه‌حل‌ها، استانداردها و سازوکارهای فنی آن وجود دارد. اینکه چرا اتفاق نمی‌افتد، در ادامه مباحث مطرح می‌کنم. همین موضوع آیزک و اشتراک‌گذاری امنیت سایبری توسط بانک مرکزی و شرکت کاشف مطرح بوده اما بهره‌برداری نشده است. به هرحال، وجود اینها الزامی است و تا زمانی که چنین زیرساخت‌هایی نداشته باشیم، این دغدغه‌ها و نگرانی‌ها باقی است.

  • البته ما از دوستان بانک مرکزی دعوت کردیم اما مانند بسیاری موارد دیگر، قبول نکردند. خانم دکتر آریا! با توجه به اینکه شما رئیس کمیسیون افتا در سازمان نظام صنفی رایانهای استان تهران هستید، از دیدگاه کمیسیون صنف و از منظر بخش خصوصی، وضعیت واقعی امنیت سایبری و فناوری اطلاعات را در کشور چگونه ارزیابی میکنید؟ آیا وضعیت مطلوب است یا خیر؟ کمیسیون افتای نظام صنفی در ارتقای سطح امنیت سایبری در کشور، خصوصا در حوزه فناوریهای مالی نقش دارد یا خیر؟

آریا: ما نماینده بخش خصوصی هستیم و به عنوان بزرگ‌ترین تشکل مردم‌نهاد در حوزه فناوری اطلاعات فعالیت می‌کنیم. اگر درباره مطلوب بودن وضعیت امنیت سایبری صحبت کنیم، بنده می‌خواهم این واژه را تغییر دهم. اول باید وضعیت مطلوب را تعریف کنیم. به جای اینکه بگویم وضعیت مطلوب است یا خیر، می‌خواهم عرض کنم وضعیت امنیت سایبری ما بسیار ویژه است. با توجه به موقعیت ژئوپلتیک ایران و شرایط سیاسی موجود کشور، موقعیت منحصربه‌فردی در دنیا داریم و شاید هیج کشوری در دنیا، از گذشته تا الان، شرایط حساسی مانند ما نداشته است. مواردی مانند نوع قرار گرفتن کشور ما، در کنار همسایگانی که برای ما در منطقه سوق‌الجیشی مهم است، میزان منابع، وسعت و قدرت کشور، همگی باعث شده کشور ما در نقطه بسیار ویژه قرار گیرد. با توجه به موقعیتی که قرار داریم، امنیت سایبری در موقعیت بسیار ویژه و نیازمند توجه ویژه است. آیا ما توجه لازم را به این حوزه می‌دهیم؟ خیر. آیا به اندازه کافی، آنچه قرار است انجام دهیم تا به وضعیت مطلوب برسیم، انجام می‌دهیم؟ خیر. پاسخ تمام اینها با قدرت، خیر است. آیا تلاش می‌کنیم تا به توجه ویژه برسیم و تلاش‌ها، کافی است؟ خیر. بنابراین اگر به موضوع موقعیت ویژه امنیت سایبری بپردازیم، لایه‌ها و پارامترهای بسیار زیادی دارد. آقای پوراعظم به برخی موارد اشاره کردند اما موضوع امنیت سایبری، فقط با یک جنبه و دیدگاه قابل بررسی نیست و بازیگران مختلفی مانند حاکمیت، بخش خصوصی، افراد، پرسنل، آحاد جامعه، تکنولوژی و لایه‌های بسیار متفاوت با پارامترهای زیادی دارد. تک‌تک اینها جای کار دارد و در کشور ما، باید به تک‌تک آنها، اهمیت ویژه داده، روی آن سرمایه‌گذاری و بودجه تخصیص داده شود تا نشان دهیم امنیت سایبری، اولویت ما در کشور است. امنیت سایبری باید جزء اولویت‌های کشور ما باشد اما نیست. شاید در شعار و حرف، جزء اولویت‌های ما باشد اما به هیچ‌وجه این اولویت را نمی‌بینیم یا در جاهای اشتباه به روش‌های اشتباه دیده‌ایم. سازمان نظام صنفی، نماینده بخش خصوصی است. بخش خصوصی، بازوی اجرایی دولت و حاکمیت است. آیا الان بخش خصوصی به اندازه کافی، نقش خود را بازی می‌کند؟ خیر. آیا به اندازه کافی، بازی داده می‌شود؟ خیر. آنچه می‌توانیم به عنوان بخش خصوصی، در این حوزه، فعالیت کنیم و دانش را افزایش دهیم، نیازمند این است که به عنوان یکی از بازیگران مهم در حوزه امنیت سایبری به‌کار گرفته شویم اما این اتفاق نمی‌افتد. بخش خصوصی در مهم‌ترین نهادهای تصمیم‌ساز در حوزه امنیت سایبری، کرسی ندارد. اگر کرسی وجود دارد، متعلق به فرد حقیقی است نه حقوقی. ما در شورای عالی فضای مجازی یا سایر نهادهای تصمیم‌ساز که در لایه استراتژیک، تصمیم‌ می‌گیرند، به عنوان نماینده بخش خصوصی، کرسی نداریم. البته این موضوع، نسبت به سال‌های گذشته، پیشرفت فراوانی کرده و تعامل ما بسیار بهتر شده است. در بسیاری موارد، مورد مشورت قرار می‌گیریم اما برای رسیدن به جایگاه واقعی بخش خصوصی، واقعا راه بسیار طولانی داریم. مهم‌ترین مسئله درباره مشکلات و بحران‌های اخیر در کشور خصوصا در حوزه مالی اعتباری به عنوان یک حوزه پر اهمیت، عدم اشتراک دانش است. مسئله مهم اشتراک‌گذاری تجارب است و مواردی که می‌توانیم در آن نقش داشته باشیم، کمک کنیم و درس‌آموخته‌هایی که برای دفعات آتی، دوباره از همان اتفاق، آسیب نبینیم و موردحمله قرار نگیریم. متاسفانه در اتفاقات اخیر، به دلیل عدم اشتراک تجربیات، نرسیدن به راه‌حل‌های درست و عدم پیاده‌سازی آن، مجددا همان موارد را تجربه می‌کنیم. این اتفاقات، به این دلیل است که ما به بخش خصوصی به اندازه کافی اهمیت نمی‌دهیم، اشتراک دانش و تجربه حتی بین خود بانک‌‌ها و نهادهایی مانند مرکز ماهر، که انتظار داریم در این زمینه، نقش خوبی ایفا کنند، نداریم و از آنها هم عکس‌العمل‌های مناسب، به اندازه کافی نمی‌بینیم. سازمان نظام صنفی، به عنوان نماینده بخش خصوصی، به شدت دغدغه امنیت ملی دارد و این دغدغه در سطح تمام زیرساخت‌های حیاتی، دستگاه‌های اجرایی، بخش خصوصی و آحاد مردم صدق می‌کند. اینکه بخواهیم این موضوع را در سطح جامعه صحبت کنیم، با آن موافق نیستم. ما باید نگران عکس‌العمل مردمی که شاید چندان به مسائل آگاهی ندارند، باشیم. ما نباید در جامعه، وحشت ایجاد کنیم تا دچار مشکل نشویم. درباره این مسائل، در دنیا، به روش‌هایی در سطوح مناسب، در لایه‌های مورداعتماد با طبقه‌بندی‌های متفاوت، اطلاع‌‌رسانی و دانش آن، اشتراک‌گذاری می‌شود. بنابراین ما هم این طبقه‌بندی را درک می‌کنیم و می‌فهمیم اطلاعات باید در سطوح مختلف، اشتراک‌گذاری شود. البته همه این اطلاعات، قابل عمومی‌‌سازی نیست اما ما به عنوان بخش خصوصی‌‌ای که تا کنون آنچه در کشور انجام شده، توسط همین بخش خصوصی بوده، انتظار داریم بتوانیم نقش خود را ایفا کنیم. تا کنون نقش خود را ایفا نکرده‌ایم و زمینه، بستر و روش‌های کافی تعامل برای ما وجود ندارد.

  • بله. وقتی دوستان حوزه امنیت سایبری را دعوت میکنیم، آنقدر مسائل را با چشم پلیسی و ذرهبین امنیتی میبینند که حاضر نیستند در رسانه پاسخ دهند. آقای قریشی نیز در کامنتها، به همین حملهای که به صندوق امانات بانک ملی شد، اشاره کردهاند البته بعدا صندوق امانات به صندوق اجارهای تبدیل شد و کلمه امانات را برداشتند تا مردم به مسائل حقوقی، گرفتار نشوند! ظاهرا بانکها فرار به جلو را به خوبی بلدند! البته این مسئله، ختم به خیر شد اما همزمان چند سامانه شهرداری نیز دچار مسئله و با مشکل جدی همراه شد. همچنین درخصوص خروج از کشور، مواردی مطرح شد که البته دیتای دقیقی ندارم. در حوزه مرزهای هوایی که تعدادی افراد توانستند به خارج از کشور بروند، اختلالاتی ایجاد شد. این امر، نشان میدهد وقتی این پازلها را کنار هم بگذاریم، این اتفاقات به همدیگر، بیارتباط نیست. همین موضوع هم اطلاعرسانی یا حتی تکذیب نشد. درباره اینکه یک باند بیست و چندنفره دزد، که به راحتی همگی، کمتر از یک هفته گرفتار شدند و برخی، آنقدر تبحر داشتند که سامانههای دیگر در حوزه سایبری را تحتالشعاع قرار دهند و از آنجا به خارج از کشور فرار کنند، در هیچکدام از نهادها صحبت نشد اما این موضوع، در فضای مجازی چرخید و دست به دست شد. خانم دهبسته! سرکار عالی از بدنه بخش خصوصی هستید. لطفا بفرمایید در حوزه موردفعالیتتان، نقش برنامههای باگبانتی چیست؟ اساسا این برنامهها چیست و چه تاثیری در ارتقای سطح امنیت سایبری زیرساختهای کشور دارد؟ فعالیتهای باگبانتی در کشور، تحت قانونگذاری نهاد نظارتی خاصی انجام میشود یا خیر؟

دهبسته: به طور کلی، حدود ۱۰ سال است که از مفهوم باگ‌بانتی در دنیا استفاده می‌شود. نقشه ذهنی دنیا که به مفهوم باگ‌بانتی رسید، بر اساس تعدد شناسایی آسیب‌پذیری جدید بر روی اپلیکیشن‌ها و سامانه‌های مختلف است. از سوی دیگر، هزینه‌بر بودن اجراهای پروژه تست نفوذ به صورت سنتی، از نظر مالی و زمانی برای تیم امنیت سازمان‌ها مهم است. همچنین انتخاب پیمانکار که صلاحیت مناسب داشته باشد و تعدد پیمانکارانی که با نگاه متفاوت، تست نفوذ را دو یا سه بار در سال انجام دهند، حائز اهمیت است. فرایند پیچیده عقد قرارداد با هرکدام از پیمانکارها و در نهایت، پیچیدگی نگهداشت نیروی متخصص امنیت در سازمان، هم به دلیل مبالغ دریافتی و هم به دلیل آپدیت بودن آنهاست و موجب می‌شود که به صورت طولانی‌مدت در سازمان‌ها ماندگار نباشند. این فضا در دنیا هم ایجاد شد و سازمان‌ها را به سمت پلتفرم‌های باگ‌بانتی سوق داد. بر این اساس، از کمک تمام هکرهایی که متخصص امنیت هستند و هکر کلاه سفید نامیده می‌شوند، استفاده شد. تعداد بالای متخصصان بسیار کمک‌کننده است. در پلتفرم‌های جدید، سامانه‌های سازمان‌ها توسط این متخصصان، به طور مستمر، زیر بار تست است و نکات و تغییراتی که از دید یرنامه‌نویس سامانه جا می‌ماند یا دیده نمی‌شود، توسط متخصص دیده می‌شود و در پلتفرم، گزارش می‌کنند. مسلما ما‌به‌ازای گزارش‌ها و زمان صرف‌شده توسط متخصص، مبلغی به عنوان قدردانی به وی پرداخته می‌شود که از آن به «بانتی» تعبیر می‌شود. این، کلیت باگ‌بانتی در دنیاست که در ایران نیز از سال ۹۷، شرکت باگدشت این کار را شروع کرد و تا الان، با بیش از ۸۰ سازمان در حال همکاری هستیم. درخصوص مجوز، باید عرض کنم مجموعه افتای ریاست جمهوری، چارچوبی را ایجاد کرد و بر اساس آن، پلتفرم‌های باگ‌بانتی، مجوز افتا دارند. علاوه بر آن، پلیس فتا و مرکز پدافند غیرعامل، اخیرا ادارات تخصصی باگ‌بانتی را تشکیل دادند و هرکدام به تناسب سازمان‌هایی که با آنها در ارتباط هستند، در این حوزه فعالیت می‌کنند. درباره اینکه آیا این موضوع برای زیرساخت‌های حیاتی کشور خصوصا بانک‌ها و موسسات مالی کمک‌کننده است یا خیر، باید عرض کنم تعدادی از مشتریان، جزء مجموعه‌های بانکی و مالی هستند اما هرچه شناخت نسبت به مشکلات امنیتی سازمان و آسیب‌پذیری دارایی‌ها بیشتر باشد، کمک‌کننده است. اجرای موفق باگ‌بانتی، شروطی دارد. متخصصان ارزیابی سامانه، باید هم از لحاظ دانشی، تخصص مناسب داشته باشند و هم تعهد کاری و حرفه‌ای لازم را دارا باشند. همچنین پلتفرمی که این خدمات را به سازمان ارائه می‌کند، باید بتواند قوانین را به صورت شفاف، دقیق و فنی بیان کند تا بین متخصص، هکر و سازمان، تضاد ایجاد نشود و نظر دادن و داوری کردن عادلانه باشد و در نهایت، انگیزه برای همکاری متخصص ایجاد شود. از آنجا که تفاوت فاحش بین نرخ دلار و ریال وجود دارد، بسیاری از متخصصان ما تمایل دارند به صورت فریلنسر، در پلتفرم‌های خارج از کشور کار کنند و ریال کشور ارزش چندانی برای آنها ندارد. انگیزه پرداخت نرخ‌های بالاتر می‌تواند موجب جذب متخصصان امنیت بیشتر شود. مسئله دیگر که عینا در سه چهار سال فعالیت ما در حوزه مالی، بانکی و فین‌تک‌ها دیده می‌شود، این است که حمایت مجموعه‌های بانکی از مجموعه‌های فین‌تک زیرمجموعه‌شان، خصوصا در زمینه تامین بودجه امنیت سایبری، بسیار کم است. شرکت‌های فین‌تک و استارتاپی که از وب‌سرویس‌های بانکی استفاده می‌کنند، اطلاعات بانکی را دارند و حد مناسبی را در شرکت‌شان، ذخیره‌سازی می‌کنند، بودجه مناسب برای اختصاص امنیت ندارند و این امر، آسیب‌پذیری بزرگ در سیستم ماست. مسئله بعدی، نگاه سنتی در برخی مجموعه‌های بانکی و مالی است. این مجموعه‌ها، قراردادهای امنیت را مانند قراردادهای تدارک دیگر در قالب مناقصه با کمترین هزینه می‌بینند و کیفیت و بررسی فنی، اولویت ندارد. البته این بلوغ در مشتریان و همکارانی که افتخار همکاری با آنها را داریم، ایجاد شده ولی هنوز در ابتدای راه هستیم. تعداد مجموعه‌هایی که به این سطح رسیده‌اند، بسیار کم است و نیازمند فرهنگ‌سازی در سطح مدیران ارشد و هیئت مدیره سازمان‌های بانکی هستیم.

  • یکسری ایونت و رویداد در خارج از کشور دیده میشود و بعضی سازمانها و شرکتها، با اطمینان، فراخوان میدهند که هرکس بتواند هک و نفوذ کند، وجه قابل توجهی پرداخت میکنند. آیا در ایران، چنین نمونهای داشتهایم؟ حداقل در نظام بانکی ندیدهام. همچنین با وجود شرکتهای خصوصی مانند شما که بحث محرمانگی اطلاعات هم در این زمینه، وجود دارد، نمونه مشابهی نمیبینم.

دهبسته: این موضوع، چند دلیل دارد. یک مورد، همان بودجه‌ محدود سازمان‌هاست که قبلا عرض کردم و توجیه کردن ادارات تدارکات و قراردادها برای تیم‌های امنیت، فرایند پیچیده‌ای است. شاید ادارات ارزیابی ریسک، ادارات تدارکات و قراردادها همچنان ارزیابی امنیتی به روش تست نفوذ، باگ‌بانتی و red team را از یک مجموعه می‌بینند و تصور می‌کنند بابت یک موضوع، چند بار هزینه می‌شود. بنده این اتفاق را به دفعات در سازمان‌های مختلف بانکی دیده‌ام. فارغ از این، در مجموعه‌های باگ‌بانتی برای بانک‌ها، تقریبا می‌توان گفت نرخ‌ها در سال جاری نسبت به یکی دو سال قبل، بهبود پیدا کرده، هرچند هنوز خصوصا در زمینه تبادل نرخ ریال و دلار، جای پیشرفت وجود دارد. به هر حال، ما نیازمند بلوغ هستیم. ارتباط مستقیم هکر با سازمان، حواشی زیادی را ایجاد می‌کند که اخیرا این موضوع را در برخی سازمان‌های بانکی داشته‌‌ایم. متخصصان کشور ممکن است این بلوغ را نداشته باشند که به طور مستقیم با سازمان‌ها ارتباط برقرار کنند. همچنین بخش‌های حراست، ‌امنیت و فناوری سازمان، این پیشینه را که چگونه باید با یک هکر ارتباط برقرار کرد، چه اطلاعاتی را باید گرفت و چطور باید مبالغ را پرداخت کرد، حواشی‌ای ایجاد می‌کنند که در نهایت، به ضرر سازمان است. به همین دلیل پلتفرم‌های باگ‌بانتی ایجاد می‌شوند که این ارتباط مستقیم توسط واحد واسط و مورداعتماد، مدیریت شود و هکر برای قرار دادن اطلاعات باگ، به آن سازمان اعتماد کند و سازمان هم نگران نباشد که بعد از این، اتفاقی برایش رخ دهد و بنابراین، مبلغ را به پلتفرم و پلتفرم ما‌به‌ازای آن، به هکر پرداخت می‌کند. با این نگاه، پلتفرم‌های باگ‌بانتی کمک می‌کنند حواشی کمتری به سمت سازمان‌ها پیش برود تا آنها در حوزه ایمن‌‌سازی تمرکز کنند. سازمان‌های خارج از کشور نیز همین‌طور است و از طریق پلتفرم‌های مختلف، باگ‌های خود را گزارش می‌کنند.

  • البته در ایران، نمونههایی بوده که هکر مستقیما با مدیران سازمان ارتباط برقرار کرده و مبالغی در قالب رمزارز و ماجراهای دیگر، چانهزنی کرده که برخی موارد، داده شده و برخی موارد، داده نشده است. دیتای برخی حوزههای پرداخت یا بانکی، در سال گذشته، با باجخواهی همراه شد. ابتدا باجخواهی را از مدیران، شروع کرده بودند و چون به جایی نرسیده بودند، بخشی از اطلاعات را درز داده بودند و سپس در فضای مجازی برای فروش گذاشته بودند! در این زمینه، برخورد مدیران سازمان و اینکه چطور باید رفتار کنند، مهم است. آیا ما واقعا به سیستمهای خودمان اعتماد نداریم که حاضر نیستیم یک رویداد باگبانتی در کشور راهاندازی کنیم تا ببینیم آیا در مسیر درستی حرکت میکنیم. بگذریم… خانم دکتر آریا! در حوزه نیروی تخصصی و مهاجرت، در تمام حوزهها، خصوصا در حوزه هایتک و سایبر، دچار مشکل هستیم. مسائلی مانند تحریم و ماجراهای افت ارزش ریال، انگیزه کار در کشور را برای افرادی که قادر به کسب درآمدهای مناسب هستند، کاهش داده است. در این رابطه، بخش بزرگی از بانکهای ما دولتی هستند، آنهایی که دولتی نیستند و خصولتی یا حتی خصوصی هستند، در حوزه پرداخت به نیروی انسانی، مسئله دارند. نمیدانم چرا این فرهنگ در کشور ما جا نمیافتد که یک نیروی متخصص به اندازه کاری که انجام میدهد، باید پول بگیرد تا حفظ شود. وقتی این نیروهای تخصصی از دست میروند، سازمان و کشور را گرفتار میکنند. آیا در این زمینه، برنامهریزی داشتهاید؟ نقش کمیسیون افتای سازمان نظام صنفی در حوزه نیروی انسانی و برنامههای آموزشی و اقدامات این کمیسیون چه بوده است؟

آریا: نیروی انسانی یکی از مهم‌ترین دارایی‌هاست که می‌تواند شرایط ما را بهبود دهد. متاسفانه در سال‌های اخیر، همان‌طور که اشاره کردید، به شدت موج مهاجرت را درایم و در زمینه تولید نیروی انسانی متخصص و نگهداشت آن، دچار چالش هستیم. یکی از اقدامات مهم که باید در کشور ما اتفاق بیفتد، سرمایه‌گذاری در حوزه دانشی امنیت سایبری است. این حوزه دانشی، عملا بخش نیروی انسانی را دربرمی‌گیرد. ما نیاز فراوانی به آموزش نیروی متخصص داریم. در بحث امنیت سایبری، هم بحث نیروی متعهد را داریم و هم نیروی متخصص. آنچه بیشتر به آن پرداخته می‌شود، نیروی متعهد است در حالی که نیروی متعهد نیازمند آموزش و تخصص است تا به نیروی متعهدِ متخصص تبدیل شود. ما این حوزه را مغفول گذاشته‌ایم و در حوزه آموزش به شدت، کم‌کاری می‌کنیم و از آن‌طرف، نیروی تربیت‌شده، از کشور مهاجرت می‌کند و در نگهداشت نیرو هم دچار مسئله فراوانی هستیم. واقعا در دنیا سرمایه‌گذاری فراوانی برای این موضوع، انجام می‌شود. کاری که انجام می‌شود این است که برای کاربر نهایی یا آموزش‌گیرنده،  آن‌قدر به صرفه باشد که افراد هم علاقه‌مند به آموزش و ورود به حوزه تخصصی باشند و هم دائما خود را به‌روز کنند. به همین دلیل، برای مجموعه‌های آموزش‌دهنده، تسهیلاتی مانند سوبسید، کاهش مالیات و کمک‌های دیگر لحاظ می‌کنند تا هزینه‌‌های بخش آموزش و در نهایت، هزینه‌های نهایی پایین بیاید تا کاربر نهایی، آموزش بهتری ببیند. همجنین آموزش باید همراه با آگاهی‌رسانی باشد و آگاهی‌رسانی، نکته بسیار کلیدی‌ای است اما در ایران، برعکس رفتار می‌کنیم. نه تنها تسهیلاتی ایجاد نمی‌کنیم بلکه انواع و اقسام مشکلات برای مجموعه‌های آموزشی ایجاد می‌کنیم و بودجه‌های آموزشی سازمان‌ها را به حداقل می‌رسانیم. خصوصا در دو سه سال اخیر با شیوع کرونا، بسیاری از مجموعه‌های آموزشی قدیمی ما تعطیل شدند و ما هر روز بیشتر و بیشتر با کمبود آموزش مواجه هستیم. در عین حال، سطح آموزش را به اندازه کافی بالا نمی‌بریم. هنوز همه در حال آموزش دوره‌های Security+، CH و یک‌سری دوره‌هایی هستند که صدسال است در ایران آموزش داده می‌شود و به خروجی آن و نیاز کشور نگاه نمی‌کنند. چند سال پیش با کمک ما، سندی در مرکز افتای ریاست جمهوری ایجاد شد که مبنای آن دوره‌های سنز بود. برای ارتقای دانش امنیت سازمان‌ها، مسیر سنز پیشنهاد شد. اینکه چقدر عملیاتی شده، حداقلی است. ما واقعا نیاز داریم، در سازمان‌ها و علاقه‌مندان این حوزه، در زمینه آموزش، سرمایه‌گذاری جدی داشته باشیم و دانش آن را وارد کشور کنیم. در این زمینه، دولت باید سرمایه‌گذاری و مستنداتی که قیمت آن چندین هزار دلار است، خریداری کند و آن را به دانش بومی تبدیل نماید. ما باید از بهترین تجارب دنیا، استفاده کنیم و با توجه به نیازها و شرایط خودمان، از آنها بهره ببریم. در سازمان نظام صنفی، شرکت‌های خصوصی که در حوزه آموزش، فعالیت می‌کنند، عضو هستند و فعالیت‌هایی انجام می‌دهند. ما در کمیسیون افتا، دو فعالیت عمده در این حوزه داشته‌ایم. فعالیت اول، برگزاری سمینارهای آگاهی‌رسانی با موضوعات روز امنیت سایبری طی سال‌های گذشته تا کنون است. هدف ما، ارتقای دانش صنف و مشتریان صنف است تا آنها را با تکنولوژی‌هاِ و مسائل روز و راهکارهای جدید آشنا کنیم. یکی از مزایای کرونا این بود که آموزش‌های آنلاین، باب شده و الان این سمینارها به صورت وبینار برگزار می‌شود، محدودیت جغرافیایی ندارد و عملا همه می‌توانند در آن شرکت کنند. فعالیت دوم، ایجاد کارگروه منابع انسانی است که در حال تبدیل به کمیسیون منابع انسانی است تا در حوزه نیروی انسانی  تجربیات خود را در عرصه تولید، تربیت و نگهداشت نیروها به اشتراک بگذاریم. ما با کمبود نیروی انسانی، به‌هیچ‌وجه نمی‌توانیم امنیت، تولید و خدمات مطلوب داشته باشیم. هیچ‌کدام اینها، بدون نیروی انسانی متعهدِ متخصص امکان‌پذیر نیست و این امر، به شدت نیازمند حمایت دولت است.

  • بله دقیقا. البته نیازمند تغییر دیدگاه مدیران ارشد سازمانها و بانکهاست. ما سال گذشته یک تجربه ناموفق داشتیم. یک دوره بینالمللی غیرحضوری با استادان درجه یک تحول دیجیتال برگزار کردیم. باورتان نمیشود برای هر کارمند به منظور شرکت در دوره، ۷۰ هزار تومان درنظر گرفتیم که آن موقع پول یک پیتزا بود اما دوستان در دقایق نهایی، ماجرا را به سمتی بردند که اصلا دوره برگزار نشد! متاسفانه این موضوع در کشور به طور عجیبی، مغفول واقع شده است. به نظرم، دوستان باید نگاهشان را به ارتقای دانش منابع انسانی تغییر دهند.

آریا: این در حالی است که همان سازمانی که دوره شما را کنسل می‌کند، در حوزه خرید تجهیزات به راحتی چند ده میلیارد تجهیز می‌کند؛ تجهیزاتی که واقعا نیاز واقعی سازمان نیست و از آن استفاده نمی‌کند. بدون نیروی انسانی نیز این تجهیز به درد نمی‌خورد. این نگاه که امنیت را فقط خرید تجهیزات می‌بینیم، خطرناک و آسیب‌زاست.

  • البته فکر میکنم اعداد بزرگی که در خرید تجهیزات جابهجا میشود، جذابیتهای خاص خود را دارد و ما توان پرداخت این اعداد را نداریم. وقتی پول یک پیتزا میگیریم، پول دو پیتزا را نمیتوانیم به آن مدیر محترم بدهیم تا خوشحالش کنیم و او هم جای دیگری هزینه میکند! البته به مزاح این را عرض کنم و امیدوارم چنین اتفاقاتی نیفتد. آقای پوراعظم! بیشترین نقاط ضعف در حوزه ریسک و امنیت سایبری در زمینه نظام بانکی و پرداخت چیست؟ آیا اقدامات لازم در بانکها و شرکتهای پرداخت برای پوشش این موارد انجام میشود و چه چیزهایی باید اولویت قرار گیرد؟

پوراعظم: قبل از اینکه به پرسش شما پاسخ دهم، درباره فرمایشات خانم دهبسته یک نکته عرض کنم. بنده تحربه مشابهی در حوزه باگ‌بانتی در مجموعه فین‌تکی که زیرمجموعه بانک و سهام آن نیز متعلق به بانک بود، داشتم. البته مجموعه باگدشت، حتما اشاره خواهند کرد که یک برنامه باگ‌هانتینگ هم دارند، تقریبا مشابه فراخوان عمومی که هکرها و متخصصان امنیت، مستقیما با سازمان مواجه شوند، پرداختی‌ها مستقیما انجام یا اعتبارسنجی نقطه ضعف یا باگ مشخص شود. در این زمینه، مهم، بلوغ سازمانی است. آن مجموعه یعنی بانک و فین‌تک، بلوغ سازمانی نداشتند. درباره اینکه اشاره شد هکر یا متخصص امنیتی که باگ را پیدا کرده، هزینه‌ای مطالبه می‌کند و باید اطلاعات باگ را کامل، شفاف و دقیق در اختیار مجموعه ذینفع قرار دهد، باید عرض کنم در اینجا ممکن است هزینه، گرفته شود و اطلاعات، داده نشود. اینها راه‌حل دارد. سازوکارهای POC در حوزه امنیت سایبری، بسیار مشخص است و هکر، قبل از اینکه اطلاعات باگ را بدهد، نشانه‌ای از باگ ارائه می‌کند که سازمان مطمن شود باگ وجود دارد و توسط وی شناسایی شده اما هنوز سازمان نمی‌داند باگ چیست و بعد از اطمینان از وجود باگ، درباره مسائل مالی و سایر موارد، توافق می‌کنند. بنابراین بلوغ سازمانی در حوزه‌های مختلف امنیت سایبری از جمله این موضوع، مهم است. درباره سوال شما باید عرض کنم خانم دکتر آریا نیز به خوبی اشاره کردند در حوزه امنیت سایبری، بر روی تجهیزات، هزینه می‌شود و این هزینه‌ها با مناقصه‌های میلیاردی اتفاق می‌افتد و تصور می‌شود سازمان، امن است. با توجه به اینکه بنده سال‌ها در حوزه بانکی و فناوری مالی در حوزه ریسک‌های فناوری و امنیت اطلاعات فعالیت می‌کنم، می‌‌بینم وقتی از امنیت در یک مجموعه بانکی صحبت می‌کنیم، یک تجهیز فایروال مبتنی بر وب، یک وف F5 یا سیستم‌های تشخیص نفوذ تحت شبکه فلان برند را داریم و قطعا امن هستیم. همچنین اشاره کردند بهره‌برداری درستی از آن تجهیزات نشده، زیرا نیروی متخصص، دانش و… نبوده و اساسا از قابلیت‌ها و فیچرهای آن تجهیزات، استفاده نکرده است. نکته بعدی اینکه بخشی از بودجه امنیت سایبری باید برای آموزش، هزینه شود. در این زمینه، بخش دیگری باید بابت جاهایی در حوزه امنیت سایبری در بانک‌ها، شرکت‌های پرداخت و فناوری‌ مالی هزینه شود که آسیب‌پذیری‌هایی امنیتی‌ای را پوشش می‌دهد که با فایروال و تجهیزات امنیتی به هیچ‌وچه پوشش داده نمی‌شود. چطور می‌خواهیم فرهنگ سازمان را که همه لایه‌های آن، دغدغه امنیت سایبری داشته باشند، با فایروال یا تجهیزات امنیتی پوشش دهیم؟ چطور قرار است این دغدغه امنیت را برای همه کارمندان و مدیران، نهادینه کنیم یا با فایروال انجام دهیم؟ این امر، شدنی نیست. همچنین الان مسائل اساسی امنیت ما در حوزه مباحث استراتژیک و برنامه‌های کلان امنیت است چون به اندازه کافی، بر روی تجهیزات، هزینه شده است. حالا از درست و غلط بودن خرید تجهیزات بگذریم. الان هزینه مالی، زمانی و نیروی انسانی باید در جای دیگری گذاشته شود. ما در بانک‌ها، در حوزه ساختار سازمانی امنیت اطلاعات و امنیت سایبری مشکل داریم. هنوز بانک‌هایی هستند که اداره یا واحد متولی امنیت اطلاعات آن، در سطوح میانیِ ساختار سازمانی قرار دارد. این مدل، جواب نمی‌دهد. چند سال پیش شرکت کاشف و بانک مرکزی، سندی درخصوص ساختار سازمانی امنیت فناوری اطلاعات و امنیت اطلاعات تدوین کردند. نهاد ناظر یعنی بانک مرکزی، خودش چقدر نظارت کرده که این موضوع، رعایت شده یا خیر؟ فقط بخشنامه و تدوین سند، فایده ندارد، اجرا و نظارت بر اینها مهم است و اگر اجرا نمی‌شود، باید اقداماتی صورت گیرد که این امر، اتفاق نیفتاده است. بنابراین ضعف در ساختار سازمانی در حوزه امنیت سایبری، بسیار جدی است. همچنین نقش‌ها، مسئولیت‌ها و اختیارات واحد متولی امنیت در سازمان، مهم است که بعضا اختیارات کمی است و چندان به نظرات و مشاوره‌های این بخش، حتی در سطوح مدیران میانی و ارشد، اهمیتی داده نمی‌شود. نکته بعدی درباره پرسش قبلی، تهدیدات داخل خود مجموعه بانکی و شرکت‌های زیرمجموعه آن است که ممکن است منشأ خارج از کشور یا همان کشورهای متخاصم داشته باشد یا منشأ خارج از کشور و برون‌سازمانی نداشته باشد و خود افراد ذینفع سازمان، از پیمانکاران تا کارمندان، کارکنان و شرکت‌های زیرمجموعه، با هر دلیل یا هدف و انگیزه‌ای مانند خرابکاری، تلافی، اختلاف‌نظر و…، در آن دخیل باشند. با توجه به دسترسی‌های بازیگران داخلی سازمان، یعنی پیمانکاران و شرکای تجاری به اطلاعات و زیرساخت‌ها که بسیار بازتر، عمیق‌تر، جدی‌تر و خطرناک‌تر است، این دسترسی‌ها، آسیب‌پذیری‌های امنیتی بسیار خطرناک‌تر دارد و اگر واقعه یا رخدادی پیش بیاید، می‌تواند بسیار خطرناک یا جدی باشد. اینها با تجهیزاتی مانند فایروال درست نمی‌شود. ممکن است تجهیزات دیگری باشد که به اینها کمک کند اما تجهیزات و کنترل‌های فنی، در مبحث تهدیدات داخلی، آخرین قدم هستند. ما در حوزه قراردادهای فناوری با شرکت‌های پیمانکار، زیرمجموعه و شرکای تجاری باید به ملاحظات قراردادی اهمیت بدهیم تا مسائل و دغدغه‌های امنیت سایبری را در الزامات قراردادی قرار دهیم. چقدر تدارکات سازمان و بخش‌های ذینفع در بانک‌ها به این مسئله می‌پردازند؟ میزان آن، بسیار کم است. بعضا در قراردادها، بند یا مفادی وجود ندارد که بتوان اقدام یا نظارت کرد. متاسفانه بانک‌ها با شرکت‌ها و مجموعه‌های پیمانکاران، در قراردادها و تفاهم‌نامه‌ها،SLA های امنیت اطلاعات مناسبی ندارند. این مسائل با تجهیزات و کنترل‌های فنی،، حل و فصل نمی‌شود. حالا ما میلیاردها تومان هزینه می‌کنیم و می‌گوییم سازمان‌مان امن است! مادامی که به برنامه‌های بلندمدت و استراتژیک در این موارد نپردازیم تا ما را به بلوغ نسبی برساند، به‌هیچ‌وجه، سازمان یا بانک امن که خیال‌مان راحت باشد و دغدغه نداشته باشد، نخواهیم داشت. در ادامه، به فهرست مصادیق دیگر اشاره می‌کنم، چون درباره هرکدام از اینها می‌توان ساعت‌ها صحبت کرد. ما چقدر در حوزه تولید نرم‌افزارهای بانکی و پرداخت در چرخه تولید نرم‌افزار در شرکت‌های نرم‌افزار بانکی یا خود بانک به امنیت چرخه تولید نرم‌افزار پرداخته‌ایم و برای آن فرایندهای لازم را طراحی کرده‌ایم؟ چقدر برای آن، چرخه‌هایی مانند SSDLC پیاده‌سازی کردیم؟ چقدر ابزارهای دل‌سکوفت استفاده می‌کنیم؟ از روز اول که قرار است یک نرم‌افزار یا محصول در بانک یا شرکت فناوری بانکی طراحی شود، چرخه امن توسعه و تولید نرم‌افزار و مدل‌سازی تهدیدات نرم‌افزار باید دیده شود. همچنین واحد ذینفع امنیت اطلاعات آن مجموعه بانکی و مالی، باید در تولید، معماری و طراحی نرم‌افزار درگیر شود. در حالی که وقتی محصول یا نرم‌افزار به مراحل پایانی می‌رسد، نظرخواهی می‌کنیم. اگر قرار باشد به عقب برگردیم و چیزی را درست کنیم، قطعا مقاومت می‌شود و با چالش مواجه خواهد شد. اگر طراحی، مشکل امنیتی داشته باشد، برطرف کردن آن، مسئله دارد. ما باید از ابتدا در هر فرایند و تولید محصول یا نرم‌افزاری، بخش امنیت سایبری سازمان را درگیر کنیم اما متاسفانه بعضا این اتفاق نمی‌افتد. وقتی این فرهنگ در لایه هیئت مدیره، مدیران ارشد و کارکنان وجود ندارد، این دغدغه‌ها وجود دارد. مجددا تاکید می‌کنم اینها با تجهیزات حل نمی‌شود.

  • به طور خلاصه، در این ماجرا، زدوبندهای پشتپرده را چقدر موثر میدانید؟

پوراعظم: زدوبند در چه چیزی؟ در قرارداد یا در تامین تجهیزات امنیت سایبری؟ همه اینها ممکن است این مسائل را داشته باشد. بعضا در مجموعه‌هایی، تجهیزاتی تامین می‌شود که نیاز اصلی آن سازمان نیست. میلیاردها تومان برای خرید تجهیزات در حوزه امنیت سایبری هزینه می‌شود در حالی که نیازمندی وجود نداشته است. در نتیجه، اثربخشی در امنیت سازمان وجود نداشته است. دلیل آن ممکن است زدوبندهای قراردادی یا مسائل مشابه آن باشد.

  • عمدتا این سازمانها دولتی هستند، چون خصوصیها از این پولها خرج نمیکنند. درست است؟

پوراعظم: شرکت‌های خصوصیِ زیرنظر سازمان‌های دولتی، این مسائل را دارند. در حوزه امنیت سایبری در یک محموعه بانکی، چند نفر را می‌شناسیم که برنامه استراتژیک یا کلان امنیت سایبری یا برنامه سه‌ساله و پنج‌ساله داشته باشند. البته بعضا کارهایی انجام شده ولی اکثرا اتفاق نیفتاده یا اگر اتفاق افتاده، به روش صحیح و درست رخ نداده است. تا زمانی که برنامه بلندمدت نباشد، این مسائل وجود دارد.

  • آقای آیدین علیزاد پروین، رئیس گروه نظارت بر ریسک فناوری اطلاعات بانک مرکزی در گروه گفتهاند باید حاکمیت ریسک را در سازمان پیاده کنیم. مادامی که GRC در سازمانها نیاز به اولویت سرمایهگذاری داشته باشد و به آن توجه نشود، نمیتوان مسیر را به درستی جلو برد. خانم دهبسته! قطعا شما فقط با حوزه بانک و پرداخت کار نمیکنید بلکه برنامههای باگبانتی را با سایر حوزهها هم جلو میبرید. صنایع مختلف در این زمینه چقدر سرمایهگذاری میکنند؟ اگر بخواهید رتبهبندی کنید، کدام صنعت در این حوزه، بهتر سرمایهگذاری و عمل کرده است؟ درخصوص سهم مجموعه بانکی، چقدر از فعالیت شما به این حوزه برمیگردد؟ همچنین هرچند محرمانه است و امکان ارائه اطلاعات ریز وجود ندارد اما بفرمایید از نظر شما، وضعیت در حوزه باگبانتی در عرصه بانکها و شرکتهای پرداخت، چگونه بوده است؟

دهبسته: درخصوص صنایع مالی بانکی، هرجا برند سازمان مهم باشد و سازمان، درآمدزایی داشته باشد و پابرجا بودن سازمان به درآمدی باشد که خودش ایجاد می‌کند، اعتماد مشتری مهم باشد و در صورت از بین رفتن اعتماد، باعث ریزش مشتری یا ورشکستگی سازمان شود، حتما امنیت، مهم می‌شود. متاسفانه ما اقتصاد دولتی داریم و چون در سازمان‌های دولتی، بودجه از قبل تعیین می‌شود، نسبت به این موضوع، دغدغه‌ یا توجهی ندارند و اگر کم‌کاری هم اتفاق بیفتد، پاسخگویی نسبت به آن وجود ندارد. همه با قوانین GDPR و اینکه چقدر به آن تکیه می‌شود، آشنا هستیم. نسخه دوم آن، کمتر از یک ماه است که به صورت کاملا اجرایی تصویب و به سازمان‌ها ابلاغ شد. فکر می‌کنم کمتر از دو سه هفته، مانورهای امنیتی در حوزه سلامت و مخابرات و در عرصه فین‌تک در سطح اروپا برگزار شد. سندها و الزاماتی که در دنیا داده می‌شود، کاملا اجرایی و شفاف است و سازمان‌ها را دچار سردرگمی نمی‌کند اما بسیاری از سندهای ما، در این حوزه، حتی اگر مدیران امنیت سازمان‌ها، قصدپیاده‌سازی آن را داشته باشند، از طرف سازمان‌های مختلف، دچار تضاد، تناقض و ترجمه می‌شوند؛ یعنی با شرایط کشور، کاستومایز نشده‌اند و دید مناسبی به مدیر امنیت نمی‌دهد تا در این حوزه، اولویت‌‌گذاری و بودجه، صرف کند. طبق تجربه سه‌ چهار ساله مجموعه ما، در سال ۱۴۰۰ نسبت به سال ۱۳۹۹، تقریبا افزایش خوبی درخصوص همکاری مجموعه‌های مالی و بانکی داشته‌ایم. سال ۹۹، حدود ۲۰ درصد همکار‌های ما مختص به این صنعت بود اما سال ۱۴۰۰، به حدود ۴۰ درصد افزایش یافت. بعد از آن، اپراتورها و ISPها با حدود ۲۳ درصد قرار دارند و سپس پلتفرم‌های ارائه‌دهنده خدمات به کاربران با حدود ۱۶ درصد و نیز صنعت، دانشگاه‌ها و دولتی‌ها با درصدهای کمتر قرار دارند. بر این اساس، می‌توان مشاهده کرد این درک در سازمان‌های کشور در حال شکل‌گیری است اما همچنان پاسخگو نیست. به تدریج بودجه‌‌های خوبی در این حوزه پرداخت می‌شود اما سطح بلوغ باگ‌بانتی در کشور در چند مسئله قابل ارائه است. یکی نگاه سازمان‌ها به موضوع باگ‌بانتی است. متاسفانه همچنان سازمان‌هایی را داریم که از پلتفرم‌های باگ‌بانتی یا متخصصان انتظار کمترین هزینه یا حتی رایگان برای گرفتن باگ دارند و با بهانه‌های مختلفی سعی دارند از POC که آقای پوراعظم اشاره کردند، عبور کنند و اثر باگ را کاهش دهند. دوستان کمیته فنی ما در شرکت باگدشت، مابه‌ازای هر باگ، باید سه چهار جلسه با سازمان‌ها و برخی کارشناسان بگذارند و حتی شبیه‌سازی red team آن باگ را هم انجام دهند تا سازمان تاثیر آن را ببیند و مبلغ ناچیزی را پرداخت کند. متاسفانه این دید در برخی سازمان‌ها وجود دارد و این دیدگاه که جلب حمایت و همکاری بیشتر متخصصان را داشته باشیم و به امنیت سازمان خودمان فکر کنیم، همچنان ایجاد نشده است. بیشترین سن متخصصان پلتفرم‌های باگ‌بانتی، بین ۱۸ تا ۲۴ سال است. کسانی که به صورت عمومی با مجموعه باگدشت کار می‌کنند، حدود ۱۲۰۰ نفر هستند و وقتی به سطح VIP می‌رسند (که سطح بالاتری است)، امتیازبندی می‌شوند. در اینجا، تمرکز ما بر این است که مباحث رفتار حرفه‌ای، مطرح شود و حاشیه‌سازی در شبکه‌های اجتماعی ایجاد نشود و تا جای ممکن، به دلیل فرهنگ‌های سازمانی متفاوت و اینکه ممکن است مشکلاتی برای خود متخصص ایجاد شود، مستقیما با سازمان‌ها، رویارویی نداشته باشند و در فضای باگ‌بانتی کشور، فعالیت مستمر داشته باشند. این امر، نیازمند این است که در سطح VIP، این آیتم‌ها را رعایت کنیم و دوستان دیگری که در فضای امنیت سایبری در حوزه باگ‌بانتی فعالیت می‌کنند، این مباحث را بیشتر درنظر بگیرند چون پخش کردن باگ‌های سازمان، در شبکه‌های اجتماعی کمک‌کننده نیست. این امر شاید یک باگ را تبدیل به پول کند و به سازمان، فشار بیاورد تا بانتی را پرداخت کند اما عملا به فضای باگ‌بانتی کشور و فرهنگی که باید در آن سازمان ایجاد شود، ضربه می‌زند. نکته دیگر، نهادهای نظارتی است که در سال‌های اخیر پیشرفت خوبی داشته و همکاری آنها با مجموعه‌های باگ‌بانتی بیشتر شده ولی نیازمند نگاه تسهیل‌گرانه است. این امر به معنای تخصیص بودجه نیست چون مجموعه باگ‌بانتی، استارتاپی یا شرکت‌های فعال در فضای امنیت، خودشان می‌توانند از پس خودشان بربیایند. این امر،  مستلزم این است که قوانین سنتی کشور در حوزه مالیات، تامین اجتماعی و قوانینی که مربوط به ۲۰ تا ۳۰ سال گذشته است و کسب‌وکارها، همچنان بر اساس آنها سنجیده می‌شوند و می‌تواند باعث شکست آن کسب‌وکار شود، اصلاح گردد. از نهادهای نظارتی و همچنین معاونت علمی فناوری ریاست جمهوری انتظار می‌رود در سال جاری که سال دانش‌بنیان نامیده شده، از این فرصت استفاده کنند و در حوزه قوانین، آپدیت انجام دهند و به مجموعه‌های پلتفرمی مانند باگ‌بانتی‌ها و سایر پلتفرم‌ها کمک نمایند تا این فضا رشد کند. نکته دیگر، بلوغ خود پلتفرم‌های باگ‌بانتی است. ما در ابتدای راه هستیم و نیاز است خدمات دیگری به مجموعه‌های پلتفرم باگ‌بانتی اضافه شود. چرخه باگ‌بانتی که در حال حاضر به سازمان‌ها ارائه می‌شود، صرفا شناسایی باگ نیست بلکه ایمن‌سازی است، زیرا سازمان‌ها به شدت در این زمینه، ضعیف عمل می‌کنند یا پیمانکارانی دارند که در قرارداد آنها، ایمن‌سازی دیده نشده و ممکن است اصلا آن شرکت پیمانکار، دیگر وجود نداشته باشد یا از نرم‌افزار پشتیبانی نکند یا آن سامانه به صورت داخلی، توسعه داده شده باشد و کارکنان سازمان، دانش لازم را نداشته باشند تا ایمن‌سازی را به سرعت، همپای مجموعه باگ‌بانتی انجام دهند. نکته دیگر، آموزش پرسنل خصوصا در حوزه secure coding است که واقعا به آن کم‌توجهی می‌شود. اگر از ابتدای راه secure coding را در سامانه‌ها یا secure confederation را در حوزه شبکه‌ سازمان‌ها لحاظ کنیم، بسیاری از این موارد را می‌توانیم کاهش دهیم و هم هزینه‌های سازمان و هم دیتا لیگ کاهش پیدا می‌کند. نکته دیگر، مشاوره انعقاد قرارداد یا SLA است که دوستان به آن اشاره کردند و مسائلی که کمک کند ارزیابی‌ها به صورت مستمر انجام شود؛ چه از طریق تست نفوذ که معمولا سالانه دو سه بار باید انجام شود یا از طریق باگ‌بانتی به صورت مستمر یا مانورهای امنیتی که اخیرا به صورتred team موردتوجه قرار گرفته است. اینها در کنار هم می‌تواند بلوغ را در فضای امنیت سازمان‌ها، ایجاد و به صنعت مالی و بانکی کمک کند تا امنیت را به صورت عملیاتی‌تر به همراه داشته باشد.

  • وضعیت ارزیابی شما در صنایعی که کار کردید و رتبهبندی آنها، بیانگر کارکرد بهتر و ضعیفتر کدام صنایع است؟

دهبسته: به طور متوسط در صنایع مالی که در باگ‌بانتی شرکت داشتند، با وجود کم‌وکاستی در اجرا، سطح بلوغ وجود داشته است. این صنعت یکی از صنایع موفق در حوزه باگ‌بانتی است و سپس این مسائل برای اپراتورها و ISPها به دلیل اینکه در لبه تکنولوژی قرار دارند، شفاف‌تر و ارتباط آنها با خارج از کشور در این زمینه، کمک‌کننده‌تر است. در مجموعه‌های خصوصی که اینترپرایز هستند و از آنها نام نمی‌برم، به دلیل اینکه برند سازمان مهم است، پابه‌پای مجموعه باگ‌بانتی حضور یافته، زمان و انرژی خوبی را در این حوزه صرف می‌کنند.

  • ما در حال حاضر با تعدد نهادهای نظارتی در حوزه امنیت و قانونگذاری مانند مرکز افتا، کاشف، پدافند غیرعامل، پلیس فتا، مرکز ماهر و سازمانهای دیگر که احتمالا باید درونسازمانی به آنها اشاره شود، مواجه هستیم. نقش این نهادها در تعیین الزامات نظارت بر امنیت اطلاعات سازمان چیست؟ بسیاری از مواقع، این دوستان، یک نامه به همدیگر ارسال میکنند، اعم از بانک مرکزی یا مرکز افتای ریاست جمهوری و آن نامه را به نظام بانکی و بانکها نیز آن را به ستادهای اجرایی مرتبط ابلاغ مینمایند. عملا جز نامهنگاری، اتفاق دقیقی نمیافتد و بیشتر به دنبال این هستند که توپ را به زمین دیگری بیندازند و اعلام کنند حواستان به فلان موضوع باشد تا اگر روزی اتفاق افتاد، به آن استناد کنند و مقصر نباشند! این روش، یعنی نامهنگاری بین نهادهای نظارتی، خصوصا برای بانکها که در انتهای مسیر گرفتار این ماجرا میشوند، آزاردهنده شده است. بسیاری از مدیران از این نامههای نظارتی که الان زیادتر هم شده، خسته شدهاند. نکته دیگر، همراستایی نهادهای یادشده است. آیا این نهادها با همدیگر، هماهنگ هستند یا هرکس، کار خودش را میکند؟

آریا: دست روی دل ما گذاشتید آقای افتاده! چون یکی از مسائل بخش خصوصی، تعدد متولی و مجوز است. قبلا عرض کردم ما نیازمند توجه ویژه به حوزه امنیت سایبری و واقعا با بحران، مواجه هستیم. نصف تلاش‌ها برای شرکت‌‌های ما، صرف گرفتن مجوزها می‌شود؛ مجوزهایی که هرکدام از نهادها، جداگانه دارند و علاوه بر آن، مجوزهای درون‌سازمانی داریم. مثلا علاوه بر مجوز از افتای ریاست جمهوری یا پدافند یا سایر نهادهای دیگر، اگر به سمت صنایع دفاعی می‌رویم، باید علاوه بر همه اینها، مجوز دیگری بگیریم و در همه اینها، کار باید از اول انجام شود! حتی قائل به این نیستند که ارزیابی‌ها در یک نهاد بالادستی انجام شده و همه این مراحل را از ابتدا طی نکنیم. در نتیجه، عملا در بخش خصوصی، هرکدام از شرکت‌ها، یک بخش مجوز دارند؛ یعنی یک کارمند مجوزبگیر استخدام کرده‌اند و ۲۴ ساعته، از سامانه‌های مختلف با قلق‌های گوناگون، داکیومنت آپلود می‌کند تا مجوز بگیرند! این موضوع، یکی از مشکلات بخش خصوصی است. در سال‌های اخیر، مقداری چالش موازی‌کاری متولی‌ها را داشتیم که به تدریج در حال کاهش است. سند منتشرشده توسط شورای عالی فضای مجازی داریم که در این سند، حدود وظایف هرکدام از متولیان مشخص شده است. در آیین‌نامه‌های اخیر مانند آیین‌نامه اعتبارسنجی در حوزه محصولات امنیتی، همگرایی به تدریج دیده می‌شود؛ یعنی جلسات مشترک و دبیرخانه مشترک که آیین‌نامه‌ها را با نظر جمعی به نتیجه می‌رساند اما نامه‌نگاری‌هایی که متولیان مختلف انجام می‌دهند و توپ را به زمین یکدیگر می‌اندازند، نیز مسئله بسیار بزرگی است. وقتی درباره امنیت صحبت می‌کنیم، موضوع پاسخگویی سازمان‌ها، دستگاه‌های اجرایی و زیرساخت‌ها مسئله بزرگی است. هرچه فشار بیشتری بر روی بخش خصوصی، انواع مجوزهایی که باید بگیرند و آیین‌نامه‌هایی که باید رعایت کنند، آورده می‌شود تا در سازمان‌ها، زیرساخت‌ها و دستگاه‌های اجرایی، آیین‌نامه‌ها، الزامات و موارد لازم، پیاده‌سازی شود، این کار، انجام نمی‌شود یا غلط انجام می‌شود. در نتیجه، خروجی آن، بحران، رخداد و مشکلات امنیت سایبری است. واقعا چه کسی در آن سازمان، پاسخگو است و کدام‌یک از این متولیان این سازمان را توبیخ می‌کنند یا قبل از بروز رخداد، نظارت مناسب انجام می‌دهند تا از آن رخداد پیشگیری شود. این، چالش بزرگی است. اصلا هزار نامه بزنند ولی درباره آنچه در نامه الزام شده، نظارت انجام شود. اگر انجام نشد یا به درستی انجام نشد و اتفاقی افتاد، چه کسی نظارت یا از آن سازمان بازخواست می‌کند و چه اتفاقی برای آن سازمان می‌افتد؟! در نهایت، تاثیر الزامات، قوانین و هرکدام از آیین‌نامه‌ها بدون ضمانت اجرایی، صفر است. ما باید برای همه الزامات، ضمانت اجرایی داشته باشیم اما آیا این ضمانت اجرایی در کشور ما اتفاق می‌افتد؟ این همه سازمان‌ها را سال‌های سال در رخدادها، می‌بینیم که از نرم‌افزار کِرَک استفاده می‌کنند و همچنان این موضوع، ادامه دارد. ضمانت اجرایی اینکه این اتفاقات رخ ندهد، کجاست؟ با تعدد متولی و مجوز، به نتیجه مطلوب نمی‌رسیم و این موضوع، واقعا یک مسئله بغرنج و جدی است. آقای پوراعظم درباره اینکه چند سازمان داریم که نقشه راه و سند استراتژیک دارند، اشاره کردند. بنده می‌خواهم فراتر بروم. اگر الان نقشه راه امنیت سایبری به‌روز ما در بخش خصوصی در نظام صنفی وجود دارد، از آن مطلع نیستیم! حداقل از جایگاه خودمان، در این نقشه راه، آگاه نیستیم. ما به عنوان بخش خصوصی باید بدانیم نیاز کشور کجاست؟ الان چه نقشی ایفا می‌کنیم؟ کجا سرمایه‌گذاری می‌کنیم؟ کجا باید به نتیجه برسیم؟ این موضوع باید با ما به اشتراک‌ گذاشته شود اما تاکنون این کار انجام نشده و ما هم نمی‌دانیم قرار است به کجا برویم. وقتی از امنیت سایبری صحبت می‌کنیم، عملا بررسی، برنامه‌ریزی، پیاده‌سازی، ارزیابی و ممیزی و سپس برگشتن به این چرخه و اصلاح آنچه انجام دادیم برای رسیدن به نتیجه مطلوب، مهم است. این امر باید به صورت مستمر اتفاق بیفتد اما این موضوع در حال رخ دادن نیست و ما از بهترین تجارب استفاده نمی‌کنیم. در نتیجه، واقعا امنیت ما با وجود متولیان متعدد، مجوزها، نامه‌نگاری‌ها و اقدامات انجام‌شده، موثر نیست. آیا ما فقط باید با تهدیدات مقابله کنیم؟ در تمام دنیا، آنچه برای حفظ دارایی اتفاق می‌افتد، مثلث CIA؟؟ است که همگی با آن آشنایی دارند؛ یعنی ما بر روی داراییِ اطلاعاتیِ مهمی بحث می‌کنیم که باید آن را حفظ کنیم. این امر در دنیا، امروز با مدیریت ریسک میسر است و برای مدیریت ریسک، باید قبل از ریسک، تمهیداتی ایجاد شود و اینکه زمانی که ریسک اتفاق افتاد، چه اقداماتی باید انجام دهیم. عمده انرژی ما، صرف اقدامات حاشیه‌ای، نامه‌نگاری‌ها و مجوزها می‌شود که اگر نصف آن را برای ایجاد ضمانت اجرایی بگذاریم، به نتیجه بسیار بهتری خواهیم رسید.

  • آقای صادقی، معاون فناوری بانک اقتصاد نوین، در گروه اشاره کردهاند کاش فورس کردن اجرای استانداردهایی مانند ایزو در این حوزه و نظارت بر آنها نیز توسط نهاد ناظر اتفاق میافتاد. در این زمینه، باید عرض کنم ایزو، ماجراهای خاص خود را دارد. اواخر چون نظارت دقیقی نبود، رسم شده بود ایزوها را میفروختند! آقای پروین هم اشاره کردهاند ما استانداردها را فورس کردهایم ولی اجرا نشده است. آقای عباسنژاد نیز به آقای پروین گفتهاند گویا ضمانت اجرایی برای مستندهای ارسالی سمت بانک مرکزی وجود ندارد. این هم حرف درستی است. از طرف دیگر، اینکه حتما بانکها به این حوزه بپردازند، از سمت بانک مرکزی شاهد نظارت و پیگیری لازم نبودهایم. اگر آقای پروین دوست داشتند، میتوانیم روی خط، در خدمت ایشان باشیم. آقای صادقی هم مجددا اشاره کردهاند امنیت در سازمانها به خرید تجهیزات و نرمافزار خلاصه شده که به این موضوع در میزگرد پرداختیم. امیدواریم دوستان شنونده برنامه که تصمیمگیر هستند، درخصوص این موارد، مسیر مناسبی را دنبال کنند. همیشه برای خودم سوال است که در نظام بانکی، خصوصا در سامانههای حاکمیتی، نفوذ کردن، خرابکاری نیست؛ یعنی ممکن است نفوذ اتفاق بیفتد اما کسی متوجه نشود مانند رصد شنود دیتا که در فلان سازمان، نهاد یا سامانه، یک هکر ورود کند. اتفاقی که در صنایع هستهای هم رخ داده بود و در حال رصد کردن دیتا، خرابکاری هم انجام شد. وقتی در این زمینه با برخی مدیران حوزه امنیت صحبت میکنم، میگویند خودمان هم مطمئن نیستیم این اتفاق افتاده باشد! سوال مشخص این است که نقش نهادهای قانونگذار و ناظر، خصوصا بانک مرکزی را در راستای ارتقای امنیت سایبری بانکها و حوزه فناوری مالی، چگونه ارزیابی میکنید؟ آیا بانک مرکزی، اقدامات خود را در این مسیر به درستی انجام میدهد یا خیر؟

پوراعظم: در ادامه نکته مهمی که خانم دکتر آریا درباره تعدد نهادهای ناظر اشاره کردند، باید عرض کنم تعدد این نهادهای بالادستی در حوزه امنیت سایبری در کشور، ذاتا ممکن است بد نباشد و وظایف و نقش‌هایی وجود دارد که باید انجام شود اما نکته مهم، شفافیت است و اینکه تفکیک وظایف با راهبری شورای عالی فضای مجازی یا هر نهاد دیگری انجام می‌شود، روی کاغذ نباشد و اجرا شود. یک مصداق عرض می‌کنم. با وجود احترامی که برای دوستان پلیس فتا قائلم و می‌دانم در حوزه نهادهای بانکی و مالی چقدر زحمت می‌کشند، باید اشاره کنم پلیس فتا، سال گذشته مستقیما به بانک‌ها، نامه‌ای ارسال و الزاماتی در سطح سقف و کف تراکنش‌ها، دسترسی از خارج کشور برای شرکت‌های پرداخت و مانند آن تعیین کرد. سوال مشخص این است که آیا پلیس می‌تواند در نقش قانون‌گذاری و سیاست‌گذاری ورود کند؟ البته نظرات مشورتی بسیار خوب از اکستونیس و تجربه‌ای که از پیگیری جرایم حوزه امنیت سایبری دارند، می‌توانند داشته باشند اما نهاد رگولاتور بانک‌ها، بانک مرکزی است. این کار، می‌توانست با مشورت داخلی با بانک مرکزی، از طریق این نهاد رگولاتوری، مطرح شود که الزام باشد یا خیر. اینکه نهادی مانند پلیس فتا در جایگاه پیگیری جرایم، الزامات تعیین کند، بیانگر شفاف نبودن موضوع است و اینکه تفکیک نقش‌های نهادهای ناظر در اجرا و عمل، برای بانک‌ها آزاردهنده است و وقتی هماهنگی وجود نداشته باشد، در الزامات و سیاست‌گذاری‌ها، تضاد ایجاد می‌کند. نکته بعدی درباره پرسش شما این است که عزیزان بانک مرکزی در حوزه معاونت فناوری‌های نوین و بخش زیرمجموعه آن در حوزه امنیت اطلاعات، زحمات زیادی می‌کشند اما نکته اینجاست آیا برنامه‌هایی که بانک مرکزی به عنوان نهاد رگولاتور حوزه بانکی، مالی و پرداخت برای مباحث و مسائل امنیت سایبری دنبال می‌کند، در مسیر درستی حرکت می‌کند و نتیچه اثربخش دارد یا خیر؟ در این زمینه، به طور مصداقی باید عرض کنم در یکی دو سال اخیر، از سوی بخش امنیت سایبری در بانک مرکزی، انرژی زیادی گذاشته شده و از بانک‌ها در خصوص شناسایی قمارخانه‌ها و قماربازان سایبری مطالبه می‌شود. اصلا نمی‌خواهم ورود کنم آیا این موضوع، درست یا غلط است. در قوانین ما، قمار و شرط‌بندی، اعم از سایبری یا غیر آن، جرم است و باید درخصوص آن، اقدامات قانونی، پیگیری جرایم و نیز اقدامات پیشگیرانه اتفاق بیفتد و در این موضوع، شکی نیست اما اینکه چه نهادی، متولی آن باشد و این موضوع از کدام بخش سازمان‌های مالی و بانکی، مطالبه شود، نقد بنده است. اگر دوستان حضور داشتند، می‌توانستند پاسخ دهند. وقتی هر دو ماه یک‌بار از متولی امنیت سایبری و امنیت اطلاعات در بانک مرکزی، درخصوص بانک‌ها، نامه دریافت می‌کنیم که سازوکارهایی برای شناسایی قمارخانه‌ها و قمارخانه‌های سایبری گذاشته شود، باید پرسید آیا اساسا این موضوع، دغدغه ما در حوزه امنیت سایبری و امنیت اطلاعات است یا خیر؟ متولی آن، پلیس و نهادهای قضائی هستند و این کار باید به درستی انجام شود اما وقتی امنیت سایبری را در حوزه‌های دیگر می‌بریم که اساسا ممکن است به این موضوعات، چندان مرتبط نباشد، هم انرژی دوستان در نهاد رگولاتوری و ناظر، در جایگاه نادرست صرف می‌شود و هم وقتی از امنیت اطلاعات بانک مرکزی برای بانک‌ها نامه ارسال می‌شود، قطعا اداره امنیت بانک باید انرژی خود را بر روی این موضوع بگذارد. آیا اساسا امنیت اطلاعات و امنیت سایبری بانک،‌ باید به دنبال شناسایی حوزه قماربازهای سایبری باشند که البته بدون دسترسی به سوابق تراکنش‌های بین‌بانکی و کل نظام بانکی، اصلا قادر به شناسایی آن نیستند؟ البته در حوزه قمارخانه‌دارها، بحث، کمی متفاوت است. اگر این همه زحمت، توسط نهادهای متولی با هماهنگی درست انجام شود و نهادهای رگولاتور، ناظر و بالادستی از بانک مرکزی و سایر نهادها، مسیر درستی طی کنند و شفافیت در وظایف و اجرا اتفاق بیفتد، در مسیر درستی پیش رفته‌ایم. این اتفاق، آزاردهنده است که مثلا بخش امنیت داخل بانک، تمام انرژی، زمان، هزینه و نیروی انسانی خود را صرف مسئله‌ای کند که کار نهادهای قضائی، پلیس و جرایم است و اساسا بانک، نمی‌تواند چندان نقش اثربخشی در این زمینه داشته باشد. در این زمینه، اتفاقا امنیت اطلاعات در حوزه بانک باید از سمت امنیت سایبری مطالبه ‌شود و آن انرژی و زحمتی که همین الان، بر روی کارهای دیگر گذاشته می‌شود، معطوف به برنامه‌های بلندمدت برای بانک‌ها شود. همان‌طور که دوستان در گروه اشاره کردند بانک مرکزی، سال گذشته سند خوبی با عنوان قوانین و الزامات ناظر بر ریسک فناوری اطلاعات صادر کرد. امیدواریم مانند سندهای دیگر نباشد که بانک مرکزی، اکثرا درخصوص آن الزامات، واکنش خاصی برای اجرا کردن یا نکردن آن توسط بانک‌ها نداشته باشد. امیدواریم این امر، با یک‌سری سازوکار و اقدامات لازم از سوی نهادهای رگولاتور اتفاق بیفتد.

  • شما درباره تقلب، قمار و مانند آن اشاره کردید و آقای صادقی هم در گروه، درخصوص شاپرک، کنترل متمرکز تراکنشهای کارتی صحبت کردند. بنده هم نکتهای را عرض کنم. قرار بود این هفته به ماجرای اتباع خارجی بپردازیم اما متاسفانه فرصت هماهنگی ایجاد نشد و در هفتههای آینده این موضوع را بررسی خواهیم کرد. شنیدم بانک مرکزی، هم معاونت نظارت و هم معاونت فناوری، به طور شفاهی به بانکها اعلام کردند دسترسی اتباع را بر روی اینترنتبانک و همراهبانک ببندند و افتتاح حساب جدید اتفاق نیفتد! اگر اتباع، مشتری بانک هستند و افتتاح حساب کردهاند، چرا باید اینترنتبانک و همراهبانک آنها مسدود شود؟ اگر مدعی نظارت بر روی تراکنشها و ورود و خروجی آن به صورت سیستماتیک هستیم، در حوزه یارانهها، سازمان هدفمندی نشان داد چقدر دقیق ورودی و خروجی حسابها، حداقل شخص بنده و معترضان یارانهها را داشت. اینکه اینترنتبانک و همراهبانک اتباع بسته شده، نشان میدهد در دسته خاصی با کادر خاصی در بانکها، قابلیت شناسایی دارند. چرا این بندگان خدا را گرفتار میکنید؟! اگر ۵ یا ۱۰ درصد یا هر میزان، تخلف کردهاند، آیا باید چماق برداریم و بر سر ۹۰ تا ۹۵ درصد آنها بزنیم؟! این چه مدیریتی است که وقتی یکی تخلف میکند، چون توان مبارزه با تخلفات را نداریم، همه را با یک چوب میزنیم و گرفتار میکنیم. دوستان بانک مرکزی که شنونده برنامه هستند، لطفا خودشان را در جایگاه اتباع بیگانهای بگذارند که از بد روزگار در مملکت ما کار میکنند! این رفتار، درست نیست و انتظار میرود دوستان، منطقیتر رفتار کنند. خودشان هم میدانند رفتار درستی نیست. اگر بود، حتما به صورت کتبی به بانکها ابلاغ میکردند. لطفا آقای سروش و آقای محرمیان، درباره این موضوع، تجدیدنظر بفرمایند و اگر از مسیر آنها اقدام نشده، اعلام نمایند. ما به عنوان رسانه، وظبفه خودمان میدانیم که پیگیری کنیم کدام نهاد درباره این اتباع که در مملکت ما زندگی میکنند، چنین دستوری داده که این افراد، باید با محدودیت در حوزه بانکی، سرویس بگیرند. بگذریم… خانم دهبسته! با توجه به فعالیت چندساله در حوزه امنیت سایبری، با اشاره به تجربه خودتان، دلایلی که منحر به عدم پیادهسازی امنیت به صورت کامل و وقوع رخدادهای امنیتی در سازمانها و صنایع مختلف شده، چیست؟ واقعیت ماجرا و راز گل شببو کجاست؟ برای اینکه این موضوع به سرانجام برسد، چه راهکاری دارید؟ ضمن پاسخ به این سوال، در پایان، اگر سخن یا نکتهای مدنظر دارید، بفرمایید.

دهبسته: با توجه به تجربیات چندساله اخیر در حوزه امنیت سایبری کشور، باید عرض کنم تا دو سه سال پیش، امنیت، یک واژه لوکس و کاملا نادیده گرفته‌‌شده در سازمان‌ها بود و صرفا به خرید تجهیزات و لایسنس اختصاص داشت که عملا با توجه به تاخیر پیاده‌سازی پیمانکار، آموزش نیروی انسانی و مانند آن، لایسنس چندان به کار نمی‌آمد و زمانی، پیاده‌سازی و کاربردی می‌شد که دوره لایسنس تمام شده بود و هیچ استفاده خاصی نمی‌شد؛ حتی اگر تجهیز به درستی انجام می‌شد و در مسیر خودش قرار می‌گرفت. البته تامین نیروی انسانی برای پیاده‌سازی درست آن تجهیز، نیز کار سختی است. در یکی دو سال اخیر، این نگاه، مقداری تغییر کرده و عملا شاید بدتر شده است. می‌توانم بگویم نگاه کاملا fire fighting شده است. برای سازمان‌ها یک، اتفاق می‌افتد، تمام تمرکز سازمان اعم از بودجه، وقت و… به آن سمت می‌رود و پیرو آن گزارش ارائه می‌کنند. همزمان با آن سردرگمی در سازمان، سرور و سامانه دیگری موردحمله قرار می‌گیرد و مهاجم از سامانه دیگری به سازمان، نفوذ می‌کند و این لوپ همچنان در سازمان طی یک سال اخیر اتفاق می‌افتد. از سوی دیگر، در مجموعه استارتاپی‌مان، مجموعه‌های فین‌تکی داریم که بودجه کافی و متخصص برای لحاظ کردن امنیت از ابتدای کار ندارند و نیازمند حمایت هستند. این امر، خودش یک باتلنک است که آن مجموعه فین‌تکی یا استارتاپ به تمام وب‌سرویس‌ها دسترسی دارد و هدف سهل‌الوصول‌تری برای مهاجم است و به جای آنکه بانک را هدف قرار دهد، در گام اول، مجموعه‌های استارتاپی و فین‌تک را هدف قرار می‌دهد. ما استراتژی اجرایی امنیت در سازمان‌ها نداریم و سندها، اکثرا کپی‌پیست‌شده هستند و اقدام اجرایی در سندها دیده نمی‌شود. ما در سازمان‌ها، طرح دفاع سایبری نداریم و اینکه اگر رخدادی اتفاق افتاد، باید چه دارایی‌هایی محدود شوند و دارایی سازمان در چه پوزیشنی، تغییر پیدا کند. این سبک سند، به‌هیچ‌وجه وجود ندارد و دارایی‌های سازمان مانند آی‌پی آدرس‌ها  و سامانه‌ها، اصلا شناخته‌شده نیست. این انتقال اطلاعات، به مرور زمان انجام نمی‌شود و کنترل و دسترسی بر روی دارایی‌ها وجود ندارد. نکته دیگر به‌روز نبودن آسیب‌پذیری‌هاست. در حال حاضر، آسیب‌پذیری‌های جدید شناسایی می‌‌شود و سازمان نسبت به آن، به‌روز نیست و ارزیابی مستمر روی آن، نسبت به دارایی‌های سازمان ندارد. نکته دیگر اینکه تمرکز بیشتر روی سامانه‌های وب و موبایل است و شبکه سازمان‌ها یعنی ارزیابی امنیتی، کنترل‌های CIS و در شبکه و پیکربندی امن تجهیزات شبکه، به صورت محدود انجام می‌شود. در نهایت، بحث پرسنل یعنی آگاهی‌رسانی امنیت سایبری به کارکنان عادی سازمان‌ها درباره مقابله یا شناسایی یا حداقل موارد مشکوک به تیم امنیت است که این آگاهی را ندارند و پرسنل متخصص ما هم به‌روز نیست تا از دانش خود، حداقل در زمینه نظارت بر پروژه‌های امنیت استفاده کند. همه اینها در کنار هم پازل خوبی را از وضعیت امنیت سایبری نشان نمی‌دهد. در کنار همه اینها، مانور امنیتی چندانی در سازمان‌ها نداریم. حداقل بنده ندیده‌ام مانور امنیت سایبری در سازمان‌ها ایجاد شده باشد، در حالی که می‌توان از پتانسیل پلتفرم‌های باگ‌بانتی در این زمینه، استفاده و به سازمان‌ها کمک کرد تا یک قدم جلوتر بروند. این موارد، فضای کلی سازمان‌های کشور است که با توجه به نکاتی که عرض کردم و تمرکز بر روی آنها، شاید بتوانیم فضا را به سمت امنیت سوق دهیم. ضمنا آقای مهندس پوراعظم نکته‌ای درباره باگ‌هانتینگ اشاره کردند. برای اینکه دوستان آشنایی داشته باشند، عرض کنم باگ‌بانتی، سازمان‌های طرف قرارداد پلتفرم هستند و طبق قوانین، باگ‌ها به آنها گزارش می‌شود و مابه‌ازای بانتی، به متخصص پرداخت می‌شود اما باگ‌هانتینگ، باگ‌هایی است که اگر هکرها و متخصصان امنیت، مشکل امنیتی را روی سامانه‌های کل کشور، شناسایی کنند، با جزییات کامل، همراه با POC، به پلتفرم باگ‌بانتی به عنوان پلتفرم واسط، ارائه می‌دهند زیرا این سمت، اعتمادسازی ایجاد شده است. تیم سرت مجموعه باگدشت، سعی می‌کند این باگ‌ها را با کانتکت‌پوینت سازمان به سرعت شناسایی کند و در اختیار آنها قرار دهد. در واقع، این اعتمادسازی در سازمان شکل می‌گیرد که اطلاعات دقیق و فنی به آن نهاد داده شود و در صورت تمایل، سازمان مبلغی به هکر پرداخت می‌کند. سازمان‌هایی که طرف قرارداد نیستند و احیانا هنوز با مفاهیم باگ‌بانتی و مانند آن، آشنا نیستند، هکرها از این طریق، می‌توانند باگ‌های آنها را به پلتفرم بدهند و پلتفرم به عنوان واسط فنی، باگ را با جزییات کامل در اختیار سازمان قرار می‌دهد تا به امن شدن فضا کمک کند.

  • خانم دکتر آریا! جمعبندی و سخن پایانی شما را هم میشنویم.

آریا: رسانه‌ها نقش بسیار مهمی در آگاه‌سازی جامعه خصوصا در حوزه امنیت اطلاعات دارند. متشکرم که این وظیفه را مسئولانه انجام می‌دهید. با توجه به صحبت‌های انجام‌شده و مسائلی که این روزها اتفاق می‌افتد، به این نتیجه می‌رسیم که امنیت، موضوع ویژه است. مدت‌هاست این موضوع را در جلسات مطرح می‌کنیم که حوزه امنیت سایبری، نیازمند جهاد و نهضت امنیت اطلاعات است. جهاد به این معنا که کشور باید امنیت سایبری را جزء اولویت‌های خودش قرار دهد و در این زمینه، فعالیت‌ها، عملیاتی انجام شود. باید تمرکز کشور و سرمایه‌گذاری‌ها در این حوزه صورت گیرد. اگر بحث دانش‌بنیان و محصولات بومی – که در این برنامه، فرصت پرداختن به آن فراهم نشد – و کیفیت موردانتظار از خدمات و محصولات بومی را مدنظر داریم، همه اینها نیازمند سرمایه‌گذاری و در درجه اول، سرمایه دانشی و سپس همه فرایندهایی است که دوستان به درستی به آن اشاره کردند. در زمینه موضوع جهاد و نهضت امنیت اطلاعات، تمامی ارکان و افراد از حاکمیت و بخش خصوصی تا اشخاص و افراد حقیقی و متخصصانی که در این حوزه فعالیت می‌کنند، باید توجه ویژه به آن داشته باشند. واقعا ما در شرایط خاصی قرار داریم. امیدوارم با همراهی دوستان متعهد و متخصص به نتایج مطلوبی برسیم. آقای پوراعظم اشاره کردند تا الان شانس آوردیم و بسیاری موارد، آن‌قدر عمومی نشده که تبعات آن را بدانیم اما بعد از این، اوضاع، برای ما بحرانی‌تر خواهد شد. امیدوارم بتوانیم از این بحران، به سلامت عبور کنیم.

  • آقای پوراعظم، از کنار سوال قبلی به صورت شیک و دیپلماتیک عبور کردند. درباره اینکه عرض کردم نفوذ، همیشه به معنای خرابکاری نیست بلکه نشستن و رصد دیتا هم نوعی نفوذ است. واقعا الان در حوزه زیرساختهای حیاتی کشور، مخصوصا در نظام بانکی میتوانیم صددرصد مطمئن باشیم هیچ رصد و شنودی اتفاق نمیافتد؟!

آریا: همان‌طور که در امنیت، هیچ‌چیز صددرصد نیست، در این موارد هم هیچ‌چیز صددرصد نیست! در نتیجه، همیشه ریسک وجود دارد.

  • امیدوارم با حضور شما در سازمان نظام صنفی، بخش خصوصی در حوزه امنیت، بیشتر و بهتر پیش برود. بالاخره کار کردن با دوستان امنیتی، سختی کار دارد. امیدوارم سختی کار را به شما و سایر فعالان این حوزه پرداخت کنند. (به مزاح)

آریا: البته فعالیت سازمان نظام صنفی و تمام تشکل‌ها، داوطلبانه است و اجرمان در آخرت!

  • بله، مزاح عرض کردم! انشاءالله اجر معنوی نصیبتان شود! برخی مواقع، دوستان امنیتی با ما در رسانهها، مباحثی مطرح میکنند. مثلا برخی دوستان پیشنهاد دادند برنامه امروز را برگزار نکنید، خطرناک است! مگر قرار است ما در رسانه درباره اسرار مملکت صحبت کنیم؟ امیدواریم این مباحث، اهمیت زنگ صدایی که باید در گوش مدیران بانکی اتفاق بیفتد، دوچندان کند تا اگر کمکاری اتفاق افتاده به این موضوع برگردند. همانطور که آقای عباسنژاد، به درستی در گروه اشاره میکنند، دیتای بانکی، آنقدر حیاتی است که اگر به جای دیتای شهرداری، یک بانک در کشور، در دو هفته اخیر، دچار مسئله شده بود، میتوانست یک بحران اجتماعی ایجاد کند. واقعا موضوعِ بسیار حساسی است. آقای پوراعظم! نکات پایانی شما را میشنویم.

پوراعظم: به عنوان جمع‌بندی پایانی درباره یک نکته تاکید بیشتری می‌کنم. امیدوارم در بانک‌ها و شرکت‌های فناوری، بحث تهدید افشای اطلاعات از طریق عوامل داخلی در سازمان، در بانک یا پیمانکاران یا شرکای تجاری مدنظر قرار گیرد. با احترامی که برای همه این عزیزان قائل هستیم، می‌دانیم تعداد رخدادهای امنیتی که طی چند وقت اخیر در حوزه بانکی رخ داد، در زمینه افشای اطلاعات بود که بعضا به دلیل دسترسی‌های مدیریت‌نشده به داده‌ها و اطلاعات ایجاد شد. متاسفانه ما در سازمان‌های‌مان به موضوع طبقه‌بندی اطلاعات نمی‌پردازیم. نهایتا روی اسناد، مهر محرمانه و سری می‌زنیم که هیچ اقدام درستی روی آن انجام نمی‌دهیم. نمونه آن را امروز در کنکور دیدیم. ساعت ۸ کنکور شروع شد اما آن‌طور که می‌گویند ساعت ۸:۰۵ دقیقه، سوالات منتشر شد! اگر دسترسی به اطلاعات، اعم از همه نوع اطلاعات، در همه نوع مدیا، در همه نوع جایی که ذخیره، پردازش و نگهداری می‌شود، از منظر شرکای تجاری، شرکت‌ها و کارکنان، کنترل و مدیریت نشود، بسیار مسئله خطرناکی است. امیدوارم در بانک‌ها، به طور جدی به آن پرداخته شود. همه اطلاعات و داده‌ها در سازمان، باید سیاست‌گذاری شود، الزامات داخلی داشته باشد و نظارت و طبقه‌بندی شود. امیدوارم این اتفاق بیفتد.

  • متشکرم. ما به دوستانی مانند شما که در عرصه رسانه، حضور پیدا کرده و صحبت میکنند، نیاز داریم. همانطور که اشاره کردید پای برخی نامهها، مهر محرمانه میخورد و کار رسانهها هم در انتشار آنها سخت میشود. واقعا وقتی فردی تخلف کرده، چرا نباید آن را منتشر کنیم و نام وی را ذکر نکنیم؟! این افراد باید تنبیه شوند تا برای کسانی که شیطنت زیادی دارند، درس عبرت شوند. در این برنامه، سعی کردیم تا جای ممکن، به موضوعات مختلف ورود کنیم و البته وارد بسیاری از موضوعات نشدیم، چند هفته برای سامانه شهرداری تهران، اختلال ایجاد شد. قبلا در سامانه سوخت این اتفاق افتاد و امروز هم در حوزه کنکور، این مسئله رخ داد و صحبت از این است که سوالات و پاسخهای کنکور، نیم ساعت یا ۲۵ دقیقه قبل از شروع کنکور، به بیرون درز کرده است. وقتی این رخدادها، اتفاقات و پازلها را کنار هم بگذاریم، متوجه میشویم در این مسیر، یک نقطه عطف کم داریم و هماهنگی لازم وجود ندارد. تغییر و تحولاتی که در برخی سازمانهای نظارتی در حوزه اطلاعاتی، در یک هفته اخیر اتفاق افتاد، نشان داد یکسری کمبودها داریم. در این حوزه، چون مسئله، جدیتر بود، فکری به حال آن کردند. اگر در حوزه سایبر، جدی کار نکنیم، با مشکل مواجه میشویم. البته به قول آقای پوراعظم، در نظام بانکی، خوششانس هستیم که هنوز اتفاقی رخ نداده وگرنه اگر آسیبی اتفاق بیفتد، قابل جبران نیست. در شهرداری و مسئله سامانه بنزین، اتفاق شدیدی رخ نداد. نهایتا مردم، چهار روز طرح ترافیک نگرفتند و چهار روز، پرداختها انجام نشد و در مسئله بنزین هم ۲۴ ساعت یا ۴۸ ساعت، سوخت نزدند اما اگر در نظام بانکی، اتفاقی رخ دهد، میتواند بحران اجتماعی برای کشور ایجاد کند که جمع کردن آن، کار راحتی نیست. موضوع دیگر اینکه درباره مشکلات اتباع خارجی در حوزه نظام بانکی نیز پیگیری میکنیم. دوستان شنونده و مدیران بانکها هم کمک کنند زیرا تصمیم فعلی، تصمیم درستی نیست. وقتی قرار باشد در خارج کشور، یک انتقال وجه انجام دهیم و با صرافیهایی مواجه شویم که با ایرانیها کار نمیکنند یا شرکتهایی که دچار مسئله هستند، آنقدر درد دارد که فکر میکنم حداقل یک بار صابون آن به بدنمان خورده و عملا کسر شأن ماست. با اینکه خودمان این موضوع را لمس میکنیم، بعد این بلا را پشتپرده بر سر مهمانی که در کشور ما زندگی میکند، میآوریم، چون نمیتوانیم تخلفات را مدیریت کنیم. اگر مدیریت را مقداری جدیتر بگیریم، این مسئله هم قابل حل است. فکر نمیکنم تعداد اتباع خارجی که در مملکت ما حساب دارند، بیشتر از یک میلیون یا دو میلیون باشند. با توجه به اینکه حسابهای آنها مشخص است، دوستان بهتر است نظارت کنند. نظارت، چیز بدی نیست و حق نهادهای ناظر است اما به خاطر یک ابروی کج، چشم هزاران هزار، مهمان کشور را کور نکنیم!
حس شما نسبت به این خبر چیست؟
دوستش دارم
0%
علاقه‌مندم
0%
نظری ندارم
0%
شگفت زدم
0%
ازش متنفرم
0%
غمگینم
0%
خوشحالم
0%
درباره نویسنده
علی اصغر افتاده

ارسال یک نظر