ایجاد یک شبکه و سرویس امن برای سازمانهای ارایهدهنده خدمات مالی اهمیت فراوانی دارد، بهخصوص این موضوع در شبکههای بانکی با توجه به ارایه سرویسهای بانکداری اینترنتی پررنگتر میشود. با همین رویکرد، در نمایشگاه الکامپ فرصت حضور شرکتهای ارائهدهنده خدمات پرداخت الکترونیک را مغتنم شمردیم و به سراغ شرکت زیرساخت امن خدمات تراکنشی رفتیم تا با رسول قربانی، معاونت امنیت اطلاعات و ارتباطات این شرکت در خصوص امنیت شبکه و سرویسها گفتوگویی داشته باشیم که بخشی از آن در ادامه از نظرتان میگذرد.
* زیرساختهای بانکی در چه شرایطی است و شرکت زیرساخت چه خدماتی را در راستای امنیت هرچه بیشتر تراکنشها ارایه کرده است؟
نوآوری در زیرساختهای بانکی با توجه به توسعهای که از اوایل دهه ۸۰ در حوزه زیرساخت و ارتباطات شبکهای رخ داد، سبب تغییر مدل ارایه خدمات بانکی از حالت توزیعشده بهصورت متمرکز شد. از این رو، پس از متمرکز شدن سرویسهای بانکی در مراکز داده و توسعه سرویسهای بانکداری اینترنتی کمکم بحث امنیت اطلاعات و ارتباطات نیز مطرح و پررنگتر شد.
با توجه به اینکه سرویسهای بانکی در بستر اینترنت فعال شدند و از آنجا که نقلوانتقال مالی در این سرویسها انجام میشود، سرویسهای بانکی بهعنوان یکی از اهداف هکرها انتخاب شدند. زیرا بهطور مستقیم با تراکنشهای مالیوپولی در ارتباط هستند. از همان زمان ما کار بر روی امنسازی زیرساختها و مراکز داده، امنسازی سرورها و اپلیکیشنهای روی این سرورها را در ردههای مختلف امنیت اعم از سیاستگذاری امنیت، مدیریت امنیت و عملیات امنیت را آغاز کردیم و به انجام رساندیم. مصداق بارز این سیر رشد و بلوغ نسبی، خدمات اینترنتی پیشرو بانک ملت است.
اما نهادینه شدن امنیت در سازمانها کاری بس دشوار و زمانبر است. امنیت درحقیقت باید به فرهنگ سازمانی تبدیل شود و صرف امنسازی زیرساختها و سرویسها محقق نخواهد شد. بلکه باید به تمام افراد گروه از کارگزار تا مشتری نیز سرایت کند. از این رو، اگر هر بخش از این زنجیره امنیت دچار ضعف شود، ممکن است سرویسها و اطلاعات بانکی و یا حتی مشتریان بانکی مورد سوءاستفاده بدخواهان و هکرها قرار گیرند. ازاینرو، باید آگاهیسازی امنیتی در همه سطوح بانک و مشتریان اتفاق بیفتد. هرچند تجهیزات و سرویسهای امنیتی بانکها پیشرفت عالی داشتهاند، اما آگاهیرسانی در این زمینه جای کار فراوان دارد.
* آیا در بحث امنسازی بستر خدمات تراکنشی مستقل عمل میکنید یا نیاز به کمک از خارجی در این بخش وجود دارد؟
اگر بخواهیم امنیت را دستهبندی کنیم، در سه سطح تقسیم میشود؛ نخست اینکه در بحث سیاستگذاری و مدیریت خودمان تمام این موارد را انجام دادیم. دوم اینکه در زمینه مدیریت امنیت اطلاعات باز هم با نیروی انسانی بومی و البته استفاده از برخی استاندارهای جهانی امنیت مانند ISO 27000 این بخش را انجام میدهیم و سوم اینکه در بحث بهکارگیری تجهیزات و سامانههای امنیتی ما هم از تجهیزات و سامانههای خارجی و هم تجهیزات و سامانههای بومی استفاده میکنیم. هرچند که تجهیزات و سامانههای بومی در این خصوص پیشرفت مناسبی داشتهاند و در چند سال اخیر بلوغ بیشتری یافتهاند.
* در نمایشگاه الکامپ امسال با چه رویکردی حضور پیدا کردهاید؟
در بحث امنیت، امسال شرکت ما بسیار پررنگ ظاهر شده است. با توجه به تکنولوژیهای جدید امنیتی که در دنیا در حال پیادهسازی است، شرکت زیرساخت امن جزو چند شرکت اول ایران است که این تکنولوژیها و سرویسهای امنیتی را ارائه داده است. ازجمله خدمات ما، راهاندازی مراکز SOC است که مجوز آن را از مرکز مدیریت راهبردی افتای ریاستجمهوری اخذ کردهایم. همچنین مجوز پیادهسازی تیم پاسخ به رخدادهای امنیتی و مجوز نما را نیز از سازمان فناوری اطلاعات و افتا دریافت کردهایم. درواقع، تجربه خوبی از پیادهسازی امنیت توسط تیم ما در بانک حاصل شده است که توانایی انتقال آن را به هر سازمان، شرکت و بانکی داریم.
* به نظر شما نظام بانکی کشور تا چه حد پذیرایی این میزان از تحولات است؟
بانکها جزو سازمانهای پیشرو در زمینه امنیت هستند. این مورد از آنجا نشأت میگیرد که فرآیندهای مالی بانکها یکی از اهداف هکرها است و بانکها مجبور بودهاند در این زمینه تیمسازی کنند و از شرکتهای مختلف در این زمینه کمک بگیرند. ازاینرو امنیت مناسبی در سرویسهای خود برقرار کردهاند. شرکت زیرساخت امن خدمات تراکنشی به عنوان تیم پیادهسازی و عملیات امنیت در بانکها میتواند این خدمات را در عرصه امنیت به سایر سازمانها نیز انتقال دهند.
امنیت، پکیچ یا تکنولوژی نیست که آن را تهیه کنیم و در سازمانها قرار دهیم و بگویم این سازمان امن شد. بلکه بنا بر آنچه گفته شد، تنها بخشی از امنیت مربوط به تجهیزات است و باید به سایر موارد دیگر آن مانند فرایند و نیروی انسانی نیز پرداخته شود. اگر بهترین تجهیزات خارجی را برای امنیت سازمان تهیه کنید، اما آن را به افراد غیرمتخصص و غیرکاردان بسپارید، هیچ کاربردی نخواهد داشت.
بنابراین، باید در این زمینه افراد متخصص و نیروی انسانی توانا نیز تربیت شود. متاسفانه در چند سال اخیر افراد متخصص فراوانی در این زمینه از کشور خارج شدند و در بیشتر شرکتهای مطرح دنیا مشغول به کار شدند، این مورد متاسفانه بهعنوان ضعف تلقی میشود و ما در پی تعامل با افراد متخصص، نخبگان و صاحبان ایده برای جبران این خسرانیم.