ارزیابی شاخص‌های امنیتی فناوری اطلاعات در مورد سامانه‌های بانکی

به گزارش نمایه بانک ، به نقل از روابط‌ عمومی بانک‌ پاسارگاد، صنعت بانکداری به‌عنوان یکی از ساختارهای حیاتی کشور دسته‌بندی شده‌است. به‌همین‌ دلیل پیاده‌سازی سیاست‌های امنیت فضای تولید و تبادل اطلاعات و ارتباطات برای این صنعت بسیار مهم است و باید برای آن برنامه‌ریزی دقیقی صورت بگیرد.

مهندس زهرا میرحسینی عضو هیأت‌عامل بانک پاسارگاد، در دهمین جلسه حراست فناوری اطلاعات بانک‌ها، طی سخنانی ضمن اشاره به اسناد بالادستی در حوزه امنیت فضای تولید و تبادل اطلاعات و ارتباطات، به صنعت بانکداری به‌عنوان یکی از ساختارهای حیاتی کشور اشاره کرد و اظهار داشت: پیاده‌سازی سیاست‌های امنیت فضای تولید و تبادل اطلاعات و ارتباطات برای این صنعت و برنامه‌ریزی دقیق برای آن بسیار مهم است.

میرحسینی با اعلام آنکه طبق آمار ماه فوریه سال 2017، نزدیک به 35 درصد از حملات سایبری در صنعت بانکداری رخ می‌دهد، به برخی از حملات سایبری در بانک‌های دنیا اشاره کرد و بر اهمیت حوزه امنیت فناوری اطلاعات در بانک‌ها تأکید کرد.

معاون مدیرعامل در امور فناوری اطلاعات و ارتباطات بانک‌پاسارگاد با ارایه آماری در خصوص آسیب‌پذیری‌ها در حوزه خدمات موبایل بانک، به ضررهای مالی بانک‌های دنیا بعد از این حملات سایبری اشاره و تصریح کرد: فقدان دسترسی به اطلاعات حساس کسب‌و کار و خدشه‌ای که بعد از این حملات به وجهه‌ بانک‌ می‌خورد، بسیار قابل توجه و در بسیاری از موارد غیرقابل جبران است.

وی خاطرنشان کرد: تعیین شاخص‌هایی برای ارزیابی سامانه‌ها در صنعت بانکداری می‌تواند به امکان ارزیابی و بهبود مستمر سامانه‌ها، تهیه گزارش‌های مدیریتی و کمک به تصمیم‌گیری‌های صحیح چه در سطح کلان و حاکمیتی و چه در سطح هر بانک، رتبه‌بندی سامانه‌های بانکی، امکان ایجاد «به‌روش‌ها» در حوزه تولید و ارزیابی سامانه‌ها و ... منجر

شود. ‌نهادهایی در دنیا هستند که این پژوهش و برنامه‌ریزی را انجام می‌دهند و ما باید با توجه به شرایط و فرهنگ کشور و با بهره‌مندی از ارزیابی‌های انجام‌شده، شاخص‌های ارزیابی را تبیین و آنها را بومی کنیم.

وی ادامه داد: کارشناسان پیش‌بینی می‌کنند در سال 2017 باج‌افزارها کاهش پیدا کنند اما باید در صنعت بانکداری به طور ویژه به این مورد توجه کرد. در آینده مهاجم‌ها هوشمندتر خواهند شد و تهدیدهای خود را به اشتراک خواهند گذاشت. این نکات به ما می‌گوید که برای پیشگیری از این اتفاقات باید چه برنامه‌هایی داشته‌باشیم.

وی خاطرنشان کرد: تاکنون اکثر بانک‌ها برای پیشگیری و مبارزه با این حملات سایبری اقداماتی همچون تست نفوذ، برنامه‌ریزی و یا پیاده‌سازی پروژه‌های سیستم نظام مدیریت امنیت اطلاعات، نظارت بر قراردادهای تأمین‌کنندگان (با توجه به آنکه یکی از روندهای تکنولوژی، سیستم‌های باز بانکداری، استفاده از شخص‌های ثالث و فین‌تک‌ها است)، برگزاری دوره‌های آموزشی امنیت، سامانه‌های ورود و خروج اطلاعات و ... را انجام داده‌اند که باید تکمیل شوند.

وی همچنین اظهار داشت: به اشتراک گذاشتن راهکارها و روش‌های کنترل امنیت بین بانک‌ها، تهیه لیست سیاه تأمین‌کنندگان نامعتبر، تقویت ساختارهای امنیتی در بانک‌ها، جذب نیروهای متخصص و حفظ آنها برای تقویت سیستم‌های امنیت اطلاعات، همسوسازی نهادهای کنترل امنیت اطلاعات در کشور و تعریف اهداف مشترک در این خصوص، تدوین و اصلاح قوانین و دستورالعمل‌های حقوقی، فرهنگ‌سازی و آموزش، نظارت بر فعالیت‌های برون‌سپاری‌شده و انجام استعلام لازم پیش از انعقاد قرارداد، نظارت بر سطح خدمات (SLA)، اخذ NDAهای لازم که بار حقوقی و قانونی هم داشته‌باشند، انجام تست‌های نفوذ دوره‌ای به خصوص برای اپلیکیشن‌های همراه و در آینده‌ای نه چندان دور برای اپلیکیشن‌های مبتنی بر اینترنت اشیاء، رصد پایگاه‌های اطلاعات، آسیب‌های کشف شده و به اشتراک‌گذاری آنها و ... از جمله اقداماتی است که باید به آنها توجه کرد.