امنیت سرورهای شبکه بانکی به بلوغ رسیده است

ایجاد یک شبکه و سرویس امن برای سازمان‌های ارایه‌دهنده خدمات مالی اهمیت فراوانی دارد، به‌خصوص این موضوع در شبکه‌های بانکی با توجه به ارایه سرویس‌های بانکداری اینترنتی پررنگ‌تر می‌شود. با همین رویکرد، در نمایشگاه الکامپ فرصت حضور شرکت‌های ارائه‌دهنده خدمات پرداخت الکترونیک را مغتنم شمردیم و به سراغ شرکت زیرساخت امن خدمات تراکنشی رفتیم تا با رسول قربانی، معاونت امنیت اطلاعات و ارتباطات این شرکت در خصوص امنیت شبکه و سرویس‌ها گفت‌وگویی داشته باشیم که بخشی از آن در ادامه از نظرتان می‌گذرد.

* زیرساخت‌های بانکی در چه شرایطی است و شرکت زیرساخت چه خدماتی را در راستای امنیت هرچه بیشتر تراکنش‌ها ارایه کرده است؟

نوآوری در زیرساخت‌های بانکی با توجه به توسعه‌ای که از اوایل دهه ۸۰ در حوزه زیرساخت و ارتباطات شبکه‌ای رخ داد، سبب تغییر مدل ارایه خدمات بانکی از حالت توزیع‌شده به‌‌صورت متمرکز شد. از این رو، پس از متمرکز شدن سرویس‌های بانکی در مراکز داده و توسعه سرویس‌های بانکداری اینترنتی کم‌کم بحث امنیت اطلاعات و ارتباطات نیز مطرح و پررنگ‌تر شد.

با توجه به این‌که سرویس‌های بانکی در بستر اینترنت فعال شدند و از آن‌جا که نقل‌وانتقال مالی در این سرویس‌ها انجام می‌شود، سرویس‌های بانکی به‌عنوان یکی از اهداف هکرها انتخاب شدند. زیرا به‌طور مستقیم با تراکنش‌های مالی‌وپولی در ارتباط هستند. از همان زمان ما کار بر روی امن‌سازی زیرساخت‌ها و مراکز داده، امن‌سازی سرورها و اپلیکیشن‌های روی این سرورها را در رده‌های مختلف امنیت اعم‌ از سیاست‌گذاری امنیت، مدیریت امنیت و عملیات امنیت را آغاز کردیم و به انجام رساندیم. مصداق بارز این سیر رشد و بلوغ نسبی، خدمات اینترنتی پیشرو بانک ملت است.

اما نهادینه شدن امنیت در سازمان‌ها کاری بس دشوار و زمان‌بر است. امنیت درحقیقت باید به فرهنگ سازمانی تبدیل شود و صرف امن‌سازی زیرساخت‌ها و سرویس‌ها محقق نخواهد شد. بلکه باید به تمام افراد گروه از کارگزار تا مشتری نیز سرایت کند. از این رو، اگر هر بخش از این زنجیره امنیت دچار ضعف شود، ممکن است سرویس‌ها و اطلاعات بانکی و یا حتی مشتریان بانکی مورد سوءاستفاده بدخواهان و هکرها قرار گیرند. ازاین‌رو، باید آگاهی‌سازی امنیتی در همه سطوح بانک و مشتریان اتفاق بیفتد. هرچند تجهیزات و سرویس‌های امنیتی بانک‌ها پیشرفت عالی داشته‌اند، اما آگاهی‌رسانی در این زمینه جای کار فراوان دارد.

* آیا در بحث امن‌سازی بستر خدمات تراکنشی مستقل عمل می‌کنید یا نیاز به کمک از خارجی در این بخش وجود دارد؟

اگر بخواهیم امنیت را دسته‌بندی کنیم، در سه سطح تقسیم می‌شود؛ نخست این‌که در بحث سیاست‌گذاری و مدیریت خودمان تمام این موارد را انجام دادیم. دوم این‌که در زمینه مدیریت امنیت اطلاعات باز هم با نیروی انسانی بومی و البته استفاده از برخی استاندارهای جهانی امنیت مانند ISO 27000 این بخش را انجام می‌دهیم و سوم این‌که در بحث به‌کارگیری تجهیزات و سامانه‌های امنیتی ما هم از تجهیزات و سامانه‌های خارجی و هم تجهیزات و سامانه‌های بومی استفاده می‌کنیم. هرچند که تجهیزات و سامانه‌های بومی در این خصوص پیشرفت مناسبی داشته‌اند و در چند سال اخیر بلوغ بیشتری یافته‌اند.

* در نمایشگاه الکامپ امسال با چه رویکردی حضور پیدا کرده‌اید؟

در بحث امنیت، امسال شرکت ما بسیار پررنگ ظاهر شده است. با توجه به تکنولوژی‌های جدید امنیتی که در دنیا در حال پیاده‌سازی است، شرکت زیرساخت امن جزو چند شرکت اول ایران است که این تکنولوژی‌ها و سرویس‌های امنیتی را ارائه داده است. ازجمله خدمات ما، راه‌اندازی مراکز SOC است که مجوز آن را از مرکز مدیریت راهبردی افتای ریاست‌جمهوری اخذ کرده‌ایم. همچنین مجوز پیاده‌سازی تیم پاسخ به رخدادهای امنیتی و مجوز نما را نیز از سازمان فناوری اطلاعات و افتا دریافت کرده‌ایم. درواقع، تجربه خوبی از پیاده‌سازی امنیت توسط تیم ما در بانک حاصل شده است که توانایی انتقال آن را به هر سازمان، شرکت و بانکی داریم.

* به نظر شما نظام بانکی کشور تا چه حد پذیرایی این میزان از تحولات است؟

بانک‌ها جزو سازمان‌های پیشرو در زمینه امنیت هستند. این مورد از آن‌جا نشأت می‌گیرد که فرآیندهای مالی بانک‌ها یکی از اهداف هکرها است و بانک‌ها مجبور بوده‌اند در این زمینه تیم‌سازی کنند و از شرکت‌های مختلف در این زمینه کمک بگیرند. ازاین‌رو امنیت مناسبی در سرویس‌های خود برقرار کرده‌اند. شرکت زیرساخت امن خدمات تراکنشی به عنوان تیم پیاده‌سازی و عملیات امنیت در بانک‌ها می‌تواند این خدمات را در عرصه امنیت به سایر سازمان‌ها نیز انتقال دهند.

امنیت، پکیچ یا تکنولوژی نیست که آن را تهیه کنیم و در سازمان‌ها قرار دهیم و بگویم این سازمان امن شد. بلکه بنا بر آن‌چه گفته شد، تنها بخشی از امنیت مربوط به تجهیزات است و باید به سایر موارد دیگر آن مانند فرایند و نیروی انسانی نیز پرداخته شود. اگر بهترین تجهیزات خارجی را برای امنیت سازمان تهیه کنید، اما آن را به افراد غیرمتخصص و غیرکاردان بسپارید، هیچ کاربردی نخواهد داشت.

بنابراین، باید در این زمینه افراد متخصص و نیروی انسانی توانا نیز تربیت شود. متاسفانه در چند سال اخیر افراد متخصص فراوانی در این زمینه از کشور خارج شدند و در بیشتر شرکت‌های مطرح دنیا مشغول به کار شدند، این مورد متاسفانه به‌عنوان ضعف تلقی می‌شود و ما در پی تعامل با افراد متخصص، نخبگان و صاحبان ایده برای جبران این خسرانیم.