به گزارش پایگاه خبری تفاهم آنلاین ، نشست «واکاوی ساختار‌های حکمرانی و سنجش تاب‌آوری در سطح شبکه پرداخت و بانک‌ها» در روز شنبه ۲۲ آذر ۱۴۰۴ با حضور مدیران ارشد بانکی، صاحبنظران اقتصادی و کارشناسان ارشد پولی و بانکی در پژوهشکده پولی و بانکی برگزار شد.

علیرضا ماهیار، مدیرعامل شرکت ملی انفورماتیک در این نشست اظهار کرد: در حوزه تاب‌آوری باید سطوح مختلف را بشناسیم و تعریف کنیم. در اولین لایه که زیرساخت است، بحث تاب‌آوری باید با یک روش مشخص مدیریت شود.

ماهیار بیان کرد: گاهی اوقات این اقدامات با سخت‌افزار‌ها و تکنولوژی انجام می‌شود، اما روش‌های بهتری نیز وجود دارد. در اولین لایه سخت‌افزار و تکنولوژی وجود دارد، اما تنها نباید به این لایه توجه داشته باشیم. در لایه شبکه و لایه نرم‌افزار‌ها نیز باید به تاب‌آوری و الزامات آن توجه داشته باشیم. در این حوزه‌ها نیز چالش‌هایی وجود دارد که باید به آن توجه کنیم.مدیرعامل شرکت ملی انفورماتیک عنوان کرد: در لایه سکو‌ها و ارائه خدمات نیز دغدغه‌های بزرگی وجود دارد و گاهی اوقات عدم رفع این مشکلات حاکمیت داده را دچار ریسک و تهدید می‌کند. باید این لایه‌ها را شناسایی کنیم و تمام لایه‌ها را مداوم مورد پایش قرار دهیم.

وی افزود: مشکل بزرگ این است که در حال حاضر بخشی عمل می‌کنیم و تمام نهاد‌ها در این حوزه مثل بانک‌ها، بانک مرکزی، مرکز فتا و سایر نهاد‌ها جداگانه کار می‌کنند. این اقدام با اینکه درست است، اما منجر به چالش‌های جدی شده است که باید آن را مدیریت کنیم.ماهیار اظهار داشت: ما در مقابله و شناسایی ریسک‌های تهدید سایبری و ارائه راهکار‌های موثر سه بخش را باید در نظر بگیریم. اولین بخش تشخیص حمله و واکنش به آن است. دومین بخش بهبود و محافظت برای پیشگیری از حملات آینده است و بخش سوم تحلیل برای پیش‌بینی تهدید‌های آینده است. این موضوع نشان می‌دهد باید رویکرد خود را از حالت سنتی و دستی به یک حوزه هوشمند تبدیل کنیم و باید در این حوزه از ابزار‌های هوشمند بهره ببریم.

مدیرعامل شرکت ملی انفورماتیک تصریح کرد: بسیاری از بانک‌های مرکزی دنیا به سمت استفاده از ابزار‌های هوشمند رفته‌اند. هوش‌مصنوعی در حال حاضر جایگاه مهمی در حوزه امنیت شبکه بانکی دنیا دارد. هدف از این کار این است که دیگر نیازی به تعداد زیادی نیروی انسانی برای حفظ امنیت نداشته باشیم.وی افزود: وقتی رمز دوم موقت را در شبکه بانکی و سیستم پرداخت ایجاد کردیم، جرائم سایبری در حوزه بانکی بسیار کاهش پیدا کرد، اما در مدت گذشته شاهد بودیم که دوباره جرائم این حوزه زیاد شده و هکر‌ها و مجرمان روش‌های جدیدی برای این کار ایجاد کرده‌اند.ماهیار در پایان تاکید کرد: باید به صورت هوشمند تهدید‌های این حوزه را رصد کرده و روش‌های جدید برای مقابله با تهدید‌های این حوزه ایجاد کنیم. با استفاده از هوش مصنوعی، هم می‌توانیم از روش سنتی و دستی خارج شویم و هم می‌توانیم با نیروی انسانی کمتری امنیت شبکه را فراهم کنیم.

لزوم استفاده از مدل مناسب برای سنجش تاب‌آوری شبکه پرداخت

کورش پرویزیان، رئیس پژوهشکده پولی و بانکی در ادامه این نشست، اظهار کرد: در سال ۱۴۰۴ با چند مسئله بسیار مهم رو‌به‌رو بودیم که مهمترین آن اتفاقات جنگ ۱۲ روزه و وقایع آن و تبعات پس از آن بود. موضوع ناترازی‌های ملی نیز موضوع دیگری بود که با آن مواجه بودیم. یکی از موضوعات نیز حملات سایبری بود که به شبکه بانکی انجام شد و نشان داد که باید توجه بیشتری به این مسئله داشته باشیم.

پرویزیان بیان کرد: تاب‌آوری بانک‌ها و نظام پرداخت علاوه بر نیاز به زیرساخت‌های فنی و امنیتی قوی و مدرن به یکپارچگی داده‌های این حوزه‌ها نیز نیازمند است و نیاز دارد که فرآیند‌ها از حالت پس‌نگر به برآیند‌های پیش‌نگر و آینده‌نگر تبدیل شوند.رئیس پژوهشکده پولی و بانکی عنوان کرد: استاندارد‌های مختلفی در نظام‌های تنظیم‌گری بین‌المللی در حوزه تاب‌آوری شبکه بانکی به وجود آمده است. بانک مرکزی اروپا، بانک مرکزی هند و اداره پولی سنگاپور سیستم‌های مناسبی را در این حوزه طراحی کرده‌اند که از مدل‌های گذشته‌نگر به سمت الگو‌های پیش‌نگر و پیش‌برنده حرکت کرده‌اند. باید با الگو گرفتن از این مدل‌ها، مدل مناسبی را برای سنجش تاب‌آوری در سطح شبکه پرداخت و بانک‌ها و تقویت آن ایجاد کنیم.

مسئله تاب‌آوری بعد از جنگ ۱۲ روزه مورد توجه قرار گرفت

در ادامه این نشست علی حکیم‌جوادی، رئیس سازمان نظام صنفی رایانه‌ای کشور نیز در این نشست اظهار کرد: انتخاب کلیدواژه حکمرانی برای نشست امسال بسیار مناسب است. مسئله تاب‌آوری بعد از جنگ ۱۲ روزه بسیار مورد توجه قرار گرفت و بانک‌هایی که حتی فکر نمی‌کردند مورد تهاجم باشند با مشکل مواجه شدند و حتی برخی کسب‌و‌کار‌های حوزه رمزارز نیز مورد تهاجم قرار گرفتند.حکیم‌جوادی عنوان کرد: این مشکلات به این دلیل شکل گرفته که تاکنون به مسئله حکمرانی توجه آنچنانی نداشته‌ایم. نگاه امروز به حکمرانی فقط این نیست که شبکه حاکمیت باید این کار را انجام دهد بلکه حکمرانی از همکاری نزدیک بخش خصوصی و دولت اتفاق می‌افتد.رئیس سازمان نظام صنفی رایانه‌ای کشور عنوان کرد: در حوزه امنیت شبکه پرداخت و شبکه بانکی معمولا اهداف اقتصادی وجود دارد، اما در ایران مسئله حملات برای ضربه‌زدن به شبکه، از بین بردن داده یا انتشار آن برای ایجاد ناامنی نیز وجود دارد.

وی افزود: رقابت عجیبی بین بانک‌ها در ارائه محصول وجود دارد و این فارغ از این است که روند آزمایش محصول به صورت کامل و دقیق انجام شده باشد که این مسئله موجب می‌شود، امنیت شبکه با تهدیدات بیشتری مواجه شود.حکیم‌جوادی اظهار داشت: از نظر دستورالعمل‌های حوزه امنیت، یکی از کشور‌هایی هستیم که دستورالعمل‌های بسیار زیادی در این حوزه داریم و بانک‌ها نیز تلاش می‌کنند آن را اجرا کنند، اما متاسفانه عملکرد خوبی در این حوزه نداشته‌ایم. این عملکرد به این دلیل اتفاق می‌افتد که هر روز با فناوری‌های جدیدی مواجه هستیم. در وزارت اقتصاد سندباکسی برای سنجش محصولات بانکی وجود دارد، اما بسیاری از خدمات شبکه بانکی بدون گذشتن از این سندباکس‌ها معرفی می‌شوند که موجب شکل‌گیری تهدید می‌شود.

رئیس سازمان نظام صنفی رایانه‌ای کشور در پایان تاکید کرد: مسئله تهدیدات هوشمند امروز وجود دارد و می‌خواهیم بتوانیم برای تولیدکنندگان یک فرآیند تعیین کنیم که تولیدکننده پاسخگوی محصول خودش باشد تا چرخه جرائم سایبری و تهدیدات امنیتی کاهش پیدا کند.

با کاهش وابستگی به محصولات خارجی، تاب‌آوری افزایش می‌یابد

در ادامه این نشست مسعود رجایی، رئیس هیئت مدیره سندیکای افتا نیز گفت: حوزه کار ما امنیت است و سندیکای افتا تشکلی از شرکت‌های خصوصی است که در بحث امنیت شرکت‌های افتا فعالیت می‌کنند. بخشی از بحث تاب‌آوری شبکه بانکی به مقوله امنیت برمی‌گردد که نیازمند الزاماتی است.

رجایی بیان کرد: این حملاتی که در جنگ ۱۲ روزه اتفاق افتاده، شرایطی ایجاد کرده که تهدید‌ها بیشتر مورد توجه باشد. در هر تهدید فرصت‌هایی وجود دارد و این تهدید‌ها باور همگانی ایجاد کرده که تهدید‌های ناشناخته زیاد داریم و نباید تنها بگوییم که ما همه اقدامات را انجام داده‌ایم و دیگر نمی‌توان کاری انجام داد، بلکه امنیت نسبی است و به صورت دائم باید تکنولوژی‌ها و حملات جدید پایش شود. حملاتی که ایجاد شد این باور را بسیار عمیق‌تر کرد که به افزایش امنیت شبکه بانکی کمک می‌کند.

وی افزود: در تاب‌آوری الزاماتی از دید امنیتی وجود دارد. اگر بتوانیم وابستگی خود را به محصولات خارجی کم کنیم، تاب‌آوری افزایش می‌یابد و این اولین الزام در این حوزه است.رئیس هیئت مدیره سندیکای افتا عنوان کرد: مانور‌های عملیاتی برای اطمینان از پیاده‌سازی‌ها و تنظیمات نیز یکی دیگر از الزامات است. فراهم‌سازی نرم‌افزار‌های نهفته نیز بسیار مهم است. در حال حاضر نرم افزار‌های نهفته در بایاس‌ها را نداریم و برای سرمایه‌گذاری در آن باید انگیزه ایجاد کنیم. داشتن آزمایشگاه برای تشخیص حملات جدید نیز یکی از مسائل بسیار مهمی است که باید به آن توجه داشته باشیم.

وی خاطر نشان کرد: نمی‌توانیم تمام دانش‌ها و تکنولوژی‌های مورد نیاز در این حوزه را از کشور‌های خارجی وارد کنیم و باید این بخش را در داخل تهیه کنیم و روش‌های جایگزینی نیز برای آن در نظر داشته باشیم.رجایی اظهار داشت: در بحث حکمرانی دولت باید بخش رگولاتوری و نظارت را بیشتر مورد توجه قرار دهد و از کار‌های اجرایی و فعالیت‌هایی که بخش خصوصی توان انجام آن را دارد، خارج شود.رئیس هیئت مدیره سندیکای افتا تصریح کرد: خلع‌هایی در بحث تاب‌آوری نظام بانکی و شبکه پرداخت وجود دارد که بخش خصوصی نتوانسته به دلیل عدم صرفه و عدم توان وارد آن شود. این بخش را باید دولت و حاکمیت انجام دهد و یا برای آن مشوق‌هایی برای ورود بخش خصوصی ایجاد کند.

وی افزود: ستاد توسعه فناوری افتا با ریاست معاون اول رئیس جمهور ۱۵ مورد از خلع‌ها را شناسایی کرده و این خلع‌ها را بین بخش‌های مختلف توزیع کرده است.رجایی گفت: مسئله بعدی قطب‌بندی و تقسیم‌بندی نیازمندی‌ها، فناوری و دانش بین بخش‌های مختلف است تا تمام نیاز‌ها فراهم شود.

رئیس هیئت مدیره سندیکای افتا خاطر نشان کرد: تحلیل‌های رفتاری کاربران شبکه بانکی یکی از موضوعات بسیار مهمی است که می‌توان در کاهش تهدیدات سایبری شبکه پرداخت انجام داد. هوش مصنوعی می‌تواند کمک کند که خطا در تحلیل ابرداد‌ها کاهش پیدا کند و به ما کمک می‌کند که از ابرداده‌ها نیز بتوانیم برای تقویت امنیت سایبری استفاده کنیم.وی افزود: اگر بتوانیم سرور‌هایی در خارج از کشور داشته باشیم و ترافیک‌ها از خارج از کشور وارد شود، می‌توانیم برخی حملات را پیش‌بینی کرده و با این کار تهدید‌ها را در نطفه خفه کنیم.رجایی در پایان تاکید کرد: در حوزه تاب‌آوری یک نکته مهم وجود دارد. پرداخت‌های کارتی در کشور ما تقریبا ۱۰۰ درصد است و افراد کمی از پول نقدی استفاده می‌کنند. این مسئله خود می‌تواند تهدیدی باشد و این الزام را ایجاد می‌کند که راه‌های جایگزینی در این حوزه ایجاد کنیم.