۲۳ راهکار امنیتی برای بانکداری الکترونیکی

۲۳ راهکار امنیتی برای بانکداری الکترونیکی فناوری اطلاعات و ارتباطات فرصتی برای حوزه‌های پولی و مالی خلق کرد تا بهره‌وری این حوزه رشد و پیشرفت قابل توجهی در دو دهه اخیر کسب کند . فناوری اطلاعات و ارتباطات فرصتی برای حوزه‌های پولی و مالی خلق کرد تا بهره‌وری این حوزه رشد و پیشرفت قابل توجهی در دو دهه اخیر کسب کند اما این فرصت امروز به یک ضرورت تبدیل شده است به‌گونه‌ای که نمی‌توان هیچ راهکار غیرالکترونیکی ‌ای برای توسعه صنعت بانکداری متصور شد . در کنار این پیشرفت به واسطه تراکنش‌هایی که هر یک ارزش مادی فراوان دارند از یک سو چشمان ناپاک سوء استفاده مترصد یک ضعف ذاتی یا ساختاری و فرآیندی نشسته ‌اند و از دیگر سو مشکلات و نقاط ضعف غیرعاملانه نیز منجر به ضرر و زیان این صنعت می‌شوند .
این بدان معنی است که ارزش ، اعتبار و صحت کارکرد فرآیند های بانکداری در گرو تامین امنیت به ویژه در حوزه الکترونیکی است و هر خدشه‌ای به این امنیت وارد شود گاهی به تمامیت بانکداری ضربه می‌زند ، نظیر افشای اطلاعات دسترسی به کارت‌های بانکی و یا حتی مسائلی که در پرونده فساد ۳۰ هزار میلیارد ریالی به واسطه ضعف ‌های سیستمی و نظارتی دیده می‌شود . ارکان صنعت بانکداری الکترونیکی سامانه‌ های بانکداری اطلاعات و داده‌ های بانکی و مالی ، تجهیزات سخت ‌افزاری و ارتباطی ، پرسنل فناوی اطلاعات ، پرسنل کاربر سامانه ‌ها ، تولیدکنندگان سامانه‌ها و تجهیزات ، شرکت‌های ارائه‌دهنده خدمات پرداخت عموم کاربران سامانه‌های بانکداری هستند . همه این ارکان در معرض دو نوع معضل امنیتی هستند ، سوء استفاده از نقاط ضعف این ارکان و رخدادهای غیرعمدی ناشی از ضعف‌های عملکردی آنها برای مثال اکثر سامانه‌های کربنکینگ (core banking) و تجهیزات اصلی شبکه بانکی منبع خارجی دارند لذا در جایی که رخداد های امنیتی نظیر استاکس‌ نت روی می‌دهد نمی‌توان انتظار داشت هیچ تهدید امنیتی در این حوزه وجود نداشته باشد . از دیگر سو فقدان یک مرکز ریشه جهت تایید صحت امضای الکترونیکی که مورد تاکید ماده ۴۹ قانون برنامه پنجم توسعه نیز هست ، چالشی است که باعث شده بسیاری از فرآیندهای تبادل اطلاعاتی را از زیرساخت امن امضای الکترونیکی محروم کند . اما مهم ‌تر از همه اینها عدم پوشش کامل فرآیندهای بانکی توسط سامانه ‌های بانکداری الکترونیکی است . نمود این مشکل در پرونده فساد بانکی مشهود است . فرآیندهای مرتبط با LCها و استعلامات آنها توسط سامانه‌ های متمرکز پشتیبانی ‌نشده لذا منجر به سوء استفاده ‌هایی می‌شود که یکی از آنها در این پرونده دیده شده است . در کنار اینها باید عدم آشنایی کلیه عوامل انسانی درگیر با فرآیند ها با مقوله امنیت فضای تبادل اطلاعات و حتی در برخی موارد عدم آشنایی کافی با فرآیندهای الکترونیکی را ذکر کرد . سهم هزینه‌ های ایجاد  امنیت فضای تبادل اطلاعات در مقابل هزینه‌ های توسعه فاوای بانک بسیار ناچیز است . که این دو دلیل عمده دارد ؛ یا دانش امن ‌سازی بانکداری الکترونیکی و اهمیت آن نزد پرسنل فنی نهادینه نشده است یا هنوز این مهم به باور مدیران ارشد نظام بانکی نرسیده است . سایر عوامل انسانی نظیر کاربران نیز به واسطه عدم آگاهی باعث رخ‌ دادن بسیاری از مشکلات امنیتی در این حوزه می‌شوند که نمود آن در سوءاستفاده‌ از حساب اشخاص به واسطه عدم رعایت محرمانگی کارت و رمز عبور و عدم اشراف به مقوله پرداخت‌های اینترنتی دیده می‌ شود و در مورد افشای اطلاعات کارت ‌ها عدم نظارت کافی نهاد های نظارتی و بانک ‌ها بر ماهیت و نحوه تبادل داده ‌ها بین شرکت ‌های ارائه خدمات پرداخت و بانک قابل بررسی است . راهکار های ارتقای امنیت در حوزه بانکداری الکترونیکی را می‌توان در قالب ارکان ذکر شده به شرح زیر ارائه کرد .

عوامل انسان :

الف : آموزش مداوم پرسنل فنی توسعه ‌دهنده سامانه ‌ها برای امن‌ سازی سامانه ‌ها و تبادل اطلاعات .

ب : آموزش کاربران درون ‌بانکی سامانه ‌ها جهت رعایت استانداردها و دستورالعمل ‌های فنی .

ج : اطلاع ‌رسانی و آگاه ‌سازی به کاربران و مشتریان خدمات بانکی .

د : آموزش مدیران ارشد بانک ‌ها جهت اهمیت امنیت و شناسایی نقاط ضعف .

سامانه‌های بانکی :

الف : یکپارچه‌ سازی سامانه ‌ها به صورت تولید بومی و غیر وارداتی به نحوی که هیچ فرآیند بانکی بدون پوشش سیستمی آن انجام نشود .

ب : تدوین استاندارد های امنیتی و بازبینی ‌های ممیزی این سامانه جهت رعایت استاندارد های نظیر sms که مورد تاکید ماده ۲۳۱ قانون برنامه پنجم توسعه نیز هست .

ج : رمزنگاری کلیه اطلاعات تبادلی و نیز تبادل اطلاعات منوط به امضای الکترونیکی آنها .

د : ایجاد و توسعه مرکز ریشه و میانی صدور گواهی .

ه : تدوین برنامه عملیاتی آزمون‌های امنیتی درونی و بیرونی از سامانه ‌ها .

شرکت‌های پیمانکار:

االف : انعقاد قرارداد های حقوقی به همراه ضمانت اجراهای سنگین مالی برای پیمانکاران خدمات و محصولات بانکداری الکترونیکی جهت حذف محرمانگی اطلاعات .

ب : تدوین استاندارد های امنیتی برای رعایت آنها نزد پیمانکاران .

ج : بازبینی تبادلات داده‌ ای بین پیمانکاران و سامانه ‌ها و بانک جهت پرهیز از تبادل داده ‌ای که در مسوولیت حقوقی طرفین قرار ندارد یعنی داده‌ها مورد نیاز یا ضروری برای تبادل نیستند .

تجهیزات سخت ‌افزاری و مخابراتی :

الف : تدوین مستندات امنیتی شبکه ‌بندی و توسعه شبکه ‌های ارتباطی و حفظ محرمانگی دسترسی به این تجهیزات و اجرای استقرار و توسعه شبکه ‌ها بر مبنای مستندات ذکرشده .
ب : تکیه بر راهکارهای ارتباطی امن و مطمئن‌ ترجیحا غیر ماهواره‌ای که به نوعی کل مسیر تبادل داده در اختیار کارفرما باشد .

ج : رمز نگاری کلیه ارتباطات بر مبنای الگوریتم ‌های بومی و پیچیده .

د : بررسی‌ های مستمر استادارد ها و نیز ممیزی نقاط ضعف تجهیزات مخابراتی و سخت ‌افزاری .

ه : حذف فوری تجهیزات دارای رخنه ‌های امنیتی و ایجاد راهکارهای شبکه ‌موازی و تجهیز پشتیبان‌ هایی با قابلیت راه ‌اندازی بدون درنگ .

اطلاعات و داده‌ها :

الف : پشتیبان‌گیری مستمر از داده و آزمون راه ‌اندازی مجدد با استفاده از این اطلاعات .

ب : رمز نگاری کلیه اطلاعات .

ج : اجرای آزمون‌ های امنیت دسترسی درونی و بیرونی .

د : حذف مکرر مازاد اطلاعات .