http://www.ictnews.ir/
http://ictnews.ir
آرشیوی
امنيت بانك‌ها دوباره سوژه شد
امنيت بانك‌ها دوباره سوژه شد

امسال آژير پدافند غيرعامل درحالي كشيده شد كه تهديدات فيزيكي، اقتصادي و سايبر حوزه بانكي و پولي كشور را تهديد مي‌كند.

به گزارش عصر ارتباط، سازمان پدافند غيرعامل با طراحي نظام رزمايش‌هاي سايبري درصدد برآمد تا نقاط آسيب‌پذير در سيستم بانكي را شناسايي كند و در اين راستا با حمله به برخي از دستگاه‌ها و بانك‌ها اين نقاط را شناسايي كرد.
رييس سازمان پدافند غیرعامل کشور با اشاره به طراحی نظام رزمایش‌های سایبری در کشور گفت: «ما برای پیدا کردن نقطه‌های آسیب‌پذیر سیستم بانک مرکزی و تهاجم به آن طراحي كرديم به‌طوري كه خدمت‌رسانی به مردم آسیب نبیند؛ همچنین رزمایش‌های تخصصی در برخی دستگاه‌ها انجام دادیم.»
به گفته سردار غلامرضا جلالی، «این رزمایش‌ها در بانک ملت، صداوسیما و شرکت همراه اول انجام شد که ضعف‌های زیادی در آنها وجود داشت و به آنها هشدارهای لازم را دادیم تا ضعف‌ها را برطرف کنند.
پيش از اين نيز رييس سازمان پدافند غيرعامل از بانك مركزي خواسته بود تا سند پدافند غیرعامل بانک مرکزی باز مهندسی شود.» به گفته جلالي‌ «سه دسته از تهدیدات شامل تهدیدات فیزیکی، اقتصادی و سایبری در حوزه بانکی و پولی کشور موجود است كه به‌دلیل جدی بودن تهدیدات سایبری در شبکه پولی و بانکی کشور، لزوم توجه به دفاع سایبری در شبکه بانکی و پولی کشور فراتر از مفهوم امنیت سایبری است.» به همين دليل او سرمایه‌گذاری بر تولید بومی محصولاتی مانند سامانه بانکداری متمرکز و امن‌افزارها را از واجبات در این حوزه برشمرد.
از سوي ديگر، بانك مركزي بر استفاده از استانداردهای امنیت اطلاعات و انجام آزمون‌های نفوذ در شبکه بانکی به‌وسیله مجموعه‌های متخصص و مورد اعتماد براي مقابله با حملات سايبري تاكيد كرده است.
حفظ امنيت در بانك‌ها
اختلاس‌هاي بانكي، فيشينگ و كلاهبرداري‌هاي مجازي هر يك به ايجاد ناامني‌ در شبكه مالي و پولي كشور منجر مي‌شوند كه در صورت امن شدن سامانه‌هاي بانكي و كاهش نقاط آسيب‌پذيري در سيستم بانكي، امكان دفع حملات سايبري افزايش پيدا مي‌كند. شش سال پيش در همايش پدافند غير‌عامل شبكه بانكي كشور گزارشي از عملکرد کميته پدافند غيرعامل بانک مرکزي ارايه شد كه بر اساس آن برآورد امنيتي، آموزشي، تدارکاتي و لحاظ کردن آنها در بودجه‌هاي اجرايي و عملياتي، برنامه‌ريزي براي افزايش ضريب امنيتي سايت کامپيوتري پشتيبان بانک مرکزي، ابلاغ دستورالعمل‌هاي کلي دفاع غير‌عامل به تمام بانک‌ها براي سازماندهي کميته پدافند غيرعامل، برگزاري دوره آموزشي امدادگري و عمليات در مواقع بحران درنظر گرفته شد.
آنچه شش سال پيش مطرح شد، با گذشت زمان كهنه نشده است و ضرورت اعمال چنين مولفه‌هايي همچنان باقي است. هوشياري در زمان بحران‌ها نيازمند امن بودن فضا است. حفظ امنيت در بانك‌ها نيازمند گام‌هايي است كه مي‌توان از جمله به ايجاد بانكداري متمركز، انجام مكرر تست نفوذ، وجود سايت‌هاي بك‌آپ‌، وجود ديتاسنتر و همچنين سيستم مديريت امنيت اطلاعات اشاره كرد. اگرچه بسياري از بانك‌ها معتقدند گام‌هاي ‌اوليه را با موفقيت برداشته‌اند، اما بسياري از بانك‌ها در همين مراحل نيز با چالش‌هايي جدي مواجه‌اند.
مدير عامل شركت توسن در خصوص وضعيت امنيت بانك‌ها گفته است: «همگام با رشد تکنولوژی و امکان دسترسی به اطلاعات از طریق فضای مجازی فعالیت‌هایی براي نفوذ به اطلاعات بانک‌ها صورت می‌گیرد. متاسفانه بانک‌ها در این خصوص از امنیت قابل قبولی برخوردار نیستند و لازم است قبل از بروز مشکل جدی و صدمات جبران‌ناپذیر، توجه بیشتری به مساله امنیت داشته باشند و تا حد امکان سیستم‌های امنیتی خارج از بانک برای حفظ امنیت داده‌ها ایجاد كنند.»
او افزود: «در حال حاضر نیز فعالیت‌ها و هزینه‌های زیادی از سوی بانک‌ها براي ایجاد امنیت صرف می‌شود، اما لزوما این هزینه‌ها کاربردی نیستند بنابراین لازم است هدفمند و کاربردی باشند. در حال حاضر کمتر بانکی در کشور سیستم بک‌آپ فعال دارد تا بتواند در کمترین زمان ممکن اطلاعات خود را بازیابی کند که این مساله موجب ضررهای جبران‌ناپذیری به آنها خواهد شد.»
اگرچه چالش‌هاي امنيتي هميشه معضلي بوده كه بانك‌ها و موسسات مالي با آن رو‌به‌رو بوده‌‌اند، اما در دو سال گذشته اقداماتي در سطح كلان در اين زمينه انجام شده است؛ از آن ميان مي‌توان به تدوين سند امنيت و راه‌اندازي مركز كاشف اشاره كرد.
سندي براي حفظ امنيت
سند امنیت بانکداری الکترونیکی توسط کارگروه امنیت بانکداری الکترونیکی تقریبا تابستان دو سال گذشته تدوین شد و خبر ابلاغ آن را وزارت اقتصاد و دارایی اواخر سال گذشته منتشر کرد، ولی تقریبا در همان زمان بانک مرکزی ابلاغ این سند را متوقف کرد؛ چراکه برخی از سیاست‌های پیش‌بینی شده در این دستورالعمل که عنوان سند را به خود گرفت با سیاست‌های بانک مرکزی هماهنگ نبود؛ از همین رو ابلاغ آن تا هماهنگی آن سیاست‌ها با سیاست‌های بانک مرکزی هماهنگ شود، به طول انجامید.
یکی از همین سیاست‌ها پیش‌بینی سازمان حسابرسی برای ممیزی امنیت اطلاعات بانک‌ها بود. در سند تدوین‌شده از سوی کارگروه پیش‌بینی شده بود که این سازمان تحت مالکیت مجمع عمومی بانک‌های کشور و یا بانک مرکزی تشکیل شود، ولی هم‌اکنون قطعی شده که این سازمان و یا شرکت حتما باید مجوزهای لازم را از بانک مرکزی دریافت کند.
یکی دیگر از تغییرات عمده‌ای که این سند با آن مواجه شده، مشخص‌نشدن میزان بودجه تخصیص‌یافته به امنیت سیستم‌های بانکی است. در سند پیشنهادی مقرر شده بود که 10 درصد از بودجه فناوری‌ اطلاعات بانک‌ها باید به امنیت تخصیص یابد، اما هم‌اکنون بانک‌ها میزان تخصیص این بودجه برعهده خود بانک‌ها است.
در این سند پیش‌بینی شده است كه سایت مرکز داده و پشتیبان آن در یک استان ایجاد شود؛ سایت اصلی مرکز داده در زیرزمین و سایت پشتیبان در طبقه فوقانی ایجاد شود. سایت پشتیبان درست آیینه سایت اصلی مرکز داده خواهد بود تا در صورت بروز مشکل در سایت اصلی به‌سادگی بتوان بار فعالیت را روی سایت پشتیبان منتقل کرد و هیچ مشکلی برای ارایه سرویس‌های بانکی ایجاد نشود.
در مقابل سایت بحران باید در یک استان دیگر و یا حداقل به فاصله 400 کیلومتری سایت مادر ایجاد شود. این سایت برای دوره‌های بحرانی مانند زلزله طراحی خواهد شد. در این سایت لازم نیست تمامی سرویس‌ها به‌صورت آنلاین ارایه شود، ولی باید امکان ارایه سرویس‌های اصلی از طریق این سایت وجود داشته باشد. از تفاوت‌های دیگر این سایت، امکان استفاده مشترک با سایر بانک‌ها است. طراحی و پیاده‌سازی سیستم مدیريت امنیت اطلاعات بر مبنای استاندارد ‌ISO 27001 از دیگر پیشنهادهای مطرح در این سند است. برای رسیدن به این هدف باید متدولوژی ارزیابی مخاطرات و نیز سطوح مخاطرات تعیین شود. همچنین آسیب‌پذیری‌ها و تهدید‌ها شناسایی، گزارش تحلیل شکاف و تدوین برنامه کاهش مخاطرات، تهیه و آیین‌نامه سیاست‌ها و روال‌های امنیت اطلاعات بانک‌ها تدوین شود.
كاشف
لو رفتن اطلاعات سه ميليون كارت بانكي در سال گذشته زمينه‌اي شد تا بحث امنيت در شبكه بانكي به‌طور جدي‌تري مورد توجه قرار گيرد. این مرکز موظف به مدیریت رخدادهای امنیتی در فضای سایبری بانکی کشور شد و وظیفه جمع‌آوری و اشتراک‌گذاری اطلاعات و هماهنگی بین بانک‌ها در مواقع بروز رخدادهاي امنيتي و بحران‌های سایبری را بر عهده‌ گرفت.
سیدمحمود احمدی، ‌دبیرکل بانک مرکزی در مورد كاشف گفت: «کاشف، کانونی برای مدیریت و هماهنگی جامع رخدادهای امنیتی، اشتراک‌گذاری اطلاعات و کاهش تهدیدات سایبری بانک‌ها‌، موسسات مالی و اعتباری و بازار غیرمتشکل پولی کشور بوده و در راستای صیانت از ثبات اقتصادی، ‌حاکمیت و اقتدار ملی کشور عمل مي‌كند. این مرکز به‌عنوان نقطه تماس امنیتی واحد و یکپارچه در حوزه پولی و بانکی کشور است. همچنين مدیریت تهدیدات و مخاطرات امنیتی در این حوزه به عهده این مرکز است.
اگرچه حفظ امنيت و رعايت استانداردهاي امنيتي در بانك‌ها نيازمند عزم جدي بدنه بانكي است، اما آموزش و فرهنگ‌سازي گام‌هاي مكملي محسوب مي‌شوند كه در صورت پيموده نشدن چشم‌انداز تامين امنيت و مقاومت، در مقابل حملات سايبري را مخدوش مي‌كند.


مطالب مرتبط
نظرات کاربران

ارسال نظر در مورد این مطلب:
نام شما : *
آدرس ایمیل : *
متن نظر : *
کد امنیتی :
Refresh Code

لطفا عبارت درج شده در تصویر بالا را در کادر زیر بنویسید

*
 


کليه حقوق اين سایت متعلق به ICTNEWS است.
انتشار مطالب با ذکر منبع و لینک به سایت مجاز است.
تماس با ما: 88946450  فرم تماس با ما
این پرتال قدرت گرفته از :
سیستم مدیریت پرتال و خبرگزاری دیاسافت
ارتباط با ما : 1000030200