پروژه بزرگ در حوزه امنیت نظام بانکی
اجرای «چارچوب کنترلهای امنیتی سازمانی و سامانههای اطلاعاتی بانکی»،تحولی بزرگ در حوزه امنیت اطلاعات بانکها و مؤسسات اعتباری است.
به گزارش اکونگار به نقل ازایبِنا؛ خودکارسازی فرآیندهای کسبوکاری از یکسو و افزایش میزان حملات به زیرساختهای حیاتی کشور، بهخصوص بانکها و موسسات اعتباری از سوی دیگر، اهمیت توجه نظام بانکی به حوزه امنیت اطلاعات را بیشازپیش نمایان کرده است. از سوی دیگر، چالشهایی مانند تعدد نهادهای تنظیمگر، تحریم، کمبود نیروهای متخصص در حوزه امنیت اطلاعات، مهاجرت نیروی انسانی، ناکارآمدی سیستم حقوق و دستمزد، وابستگی به پیمانکاران، مشکلات ساختاری، فرهنگسازمانی و نیز عدم تخصیص بودجه و منابع کافی به حوزه امنیت اطلاعات، از مهمترین مواردی است که بانکها و مؤسسات اعتباری همواره با آن مواجه هستند.
ازاینرو بانک مرکزی ایران بهمنظور بهبود وضعیت مدیریت امنیت اطلاعات در نظام بانکی کشور و همچنین با هدف همسویی با اهداف مرکز مدیریت راهبردی افتا (بهعنوان نهاد تنظیمگر در حوزه زیرساختهای حیاتی کشور) اقدام به تعریف پروژهای با عنوان «چارچوب کنترلهای امنیتی سازمانی و سامانههای اطلاعاتی بانکی» کرده است؛ پروژهای که در شرکت کاشف و به دست کارشناسان توانمند این شرکت انجام شده و اینک برای پیادهسازی و اجرا به تمام بانکها و مؤسسههای مالی و اعتباری ابلاغ شده است.
بسیاری از بانکها و مؤسسات اعتباری و همچنین مشاوران حوزه امنیت اطلاعات در کشور، این پروژه را تحولی بزرگ در حوزه امنیت نظام بانکی میدانند؛ اما برخی نگرانیها و ابهامات نیز در این خصوص مطرح است.
وحید دوستمحمدی، مدیر پروژه «چارچوب کنترلهای امنیتی سازمانی و سامانههای اطلاعاتی بانکی» شرکت کاشف برای روشن شدن ابهامات و برطرف کردن نگرانیها، توضیحاتی داده است.
مشروح گفتوگوی ایبِنا با دوستمحمدی را در ادامه میخوانید:
با توجه به اقدام جدید بانک مرکزی در خصوص تعریف پروژه «چارچوب کنترلهای امنیتی سازمانی و سامانههای اطلاعاتی بانکی»، به نظر شما چرا بانک مرکزی چنین پروژهای را در دستور کار قرار داده است؟
در کشور ما هر بانک یا موسسه اعتباری به دلیل تفاوتی که در دیدگاههایشان نسبت به موضوع امنیت وجود دارد، به دنبال پیادهسازی چارچوب امنیتی دلخواه خود است، چارچوبهایی مانند ISO ۲۷۰۰۱، PCI-DSS، SWIFT، طرح امنسازی زیرساختهای حیاتی کشور در برابر حملات سایبری (افتا) و .... بدین ترتیب شاهد هستیم که در نظام بانکی کشورمان اتفاق نظر و وحدت رویّهای در انتخاب و پیادهسازی چارچوبهای امنیتی درکار نبوده است.
«چارچوب کنترلهای امنیتی سازمانی و سامانههای اطلاعاتی بانکی» طراحی و تدوین شده به دست کارشناسان توانمند کاشف، درواقع تجمیعِ چارچوبهای امنیتی شناخته شده و مرسوم جهان با الزامات امنیتی موجود در کشورمان است و بدین طریق، هر یک از بانکهای کشور که این چارچوب را به کار گیرد، در عمل از مجموع توانمندیهای آن چارچوبها به طور یکجا و منسجم برخوردار است. چارچوب کنترلی در بردارنده همه کنترلهای امنیتی مورد نیازی است که در مجموع چارچوبهای یادشده وجود داشتهاند و بدینگونه پیادهسازی و پیروی از کنترلهای تدوین شده در این چارچوب، مصداق روشن «با یک تیر چند نشان زدن» است و بهرمندی از این چارچوب به بانکها و مؤسسات اعتباری این توانمندی را میدهد که برای مثال هم گواهی ISMS دریافت کنند، هم پاسخگوی SWIFT باشند.
آنچه باید به یاد داشته باشیم، این است که «مرکز مدیریت راهبردی ریاست جمهوری» به عنوان متولی زیرساختهای حیاتی کشور، «نقشه راه کلان» با عنوان «طرح امنسازی زیرساختهای حیاتی در قبال حملات سایبری» را ارائه کرد و به دنبال آن، هر یک از سازمانهای مادر-تخصصی، مانند وزارت نفت، بانک مرکزی، وزارت نیرو... ملزم شدند که برابر با نقشه راه کلان یادشده، طرحی سفارشیشده برای صنعت خود، بنویسند و تدوین کنند.
بانک مرکزی نیز که متولی نظام بانکی است طرح امنسازی بومیشدهای را برای نظام بانکی نوشته است و نام «چارچوب کنترلهای امنیتی سازمانی و سامانههای اطلاعاتی بانکی» را بر آن نهاده است و درواقع این همان چیزی است که در شرکت کاشف انجام پذیرفته است و از سوی مرکز مدیریت راهبردی ریاست جمهوری به نظام بانکی ابلاغ شده است.
در این میان، کارشناسان کاشف - فراتر از آنچه طرح امنسازی افتا به آنها پرداخته است- موضوعات و کنترلهای مطروحه و مطلوب دیگری را نیز نظیر آنچه سازمان پدافند غیرعامل، حراست کلّ، قرارگاه ثارالله، مرکز ملی فضای مجازی و ... بدان پرداختهاند و همچنین، دیدگاههای برخی سازمانها که به ISO یا استانداردهای فنیتری نظیر NIST تمایل داشتهاند را در تدوین چارچوب کنترلی یادشده به کار بستهاند تا چارچوبی همهجانبه و یکپارچه ارائه دهند و چنانکه پیشتر هم بیان شد، با یک تیر چند نشان زده شده است. به این معنا که پیاده کنندگان و استفادهکنندگان از این چارچوب، هم از طرح امنسازی برخوردارند و هم از الزامات مربوط به ذینفعان حوزه بانکی و همزمان در همخوانی با استانداردها و بهروشهای مرسوم در جهان قرار دارند. میتوان دید که هر کس با هر سلیقهای اگر بخواهد امنیت را در مجموعه خودش برقرار کند، با استفاده از چارچوب کنترلی ابلاغ شده به هدفش میرسد.
چه میزان منابع برای تنظیم و ابلاغ سند «چارچوب کنترلهای امنیتی» در شرکت کاشف صرف شده است؟
اگر بخواهیم خیلی دقیق بگوییم باید بررسی بشود، اما بهطورکلی یک گروه پنج نفره به مدت بیش از چهار سال یعنی ۲۰ نفر-سال مشغول کار در این پروژه بودند، تا چارچوبی ایچنین تدوین شده است. همچنین در اجرای پروژه مذکور از توانمندی بخش خصوصی نیز بهره گرفته شد.
میدانیم که استانداردها بهطور منظم بهروزرسانی میشوند و احتمالاً این سند نیز نیازمندِ بهروزرسانی خواهد بود؛ سازکار این بهروزرسانی چیست؟ آیا این بهروزرسانی کار را برای بانکها دشوار نخواهد کرد؟
مانند هر استاندارد دیگری، بهروزرسانیهای چارچوب کنترلی ابلاغ شده نیز بر اساس نیاز نظام بانکی و در بازههای زمانی مشخص منتشر میشود. همانطور که درباره استانداردهای دیگر مانند ISO ۲۷۰۰۱ هم دیدیم، نسخه اول آن در سال ۲۰۱۳ منتشر شد و نسخه بعدی در سال ۲۰۲۲ یعنی ۹ سال بعد. (اگرچه از لحظه انتشار نسخه اول، کمیتهای مشغول بررسی و دریافت نظرات از سراسر جهان بود).
درباره چارچوب کنترلی نیز ما همزمان با ابلاغ نسخه کنونی، در گروه ممیّزی و انطباق سنجی شرکت کاشف، پروژه توسعه چارچوب کنترلی را داریم و همکاران من در حال بررسی نسخ جدید مراجع بهکاررفته در چارچوب هستند، اما این به معنای بیارزش شدن نسخ پیشین آن مراجع نیست. درواقع، چون مراجع استفادهشده در تدوین چارچوب بسیار متنوع و گسترده هستند، نشر نسخه جدید از یک مرجع منجر به ناکارآمدی نسخه پیشین نمیشود. اگر میپرسید که آیا انتشار نسخه جدید از چارچوب هزینهای ایجاد میکند؟ باید بگویم که خیر. همه بهروزرسانیها سازگار با کنترلهای قبلی خواهد بود و سازوکاری چیده و اندیشیده شده است که اگر نسخه جدید منتشر شود، بانکها بتوانند بهسادگی با نسخه جدیدتر منطبق شوند. درواقع، چارچوب کنترلی به منظور جلوگیری از چندباره ایجادشده و مانع از موازیکاریها میشود و درنتیجه منجر به صرفهجوییهای زیادی در تخصیص منابع به حوزه امنیت خواهد شد.
فاصله بانکها با استانداردهای موجود با توجه به سطوح تعریفشده برای امنیت؛ چقدر است و شما چه انتظاری از بانکها دارید؟
مشکل و معضلی که پیشتر در رویکرد نهادهای تنظیمگر وجود داشت این بود که نگاهشان به همه سازمانها یکسان بود و بر این باور بودند که همه سازمانها باید الزامات را به یک نسبت رعایت کنند و به شرایط و تفاوتهای بانکها توجه نمیشد؛ برای نمونه یک بانک با بودجه قابلتوجه در حوزه امنیت قطعاً با یک مؤسسه کوچک با بودجه محدود که درباره امنیت با محدودیت نیروی انسانی مواجه است، یکسان نیستند و نباید با یک چشم دیده شوند.
برای پیشگیری از اتخاذ چنین رویکردی در آینده، سازمانها را دستهبندی کردهایم و ترتیبی دادهایم که هر سازمانی با توجه به محدودیتها و منابعش، خود را با الزامات تهیهشده در چارچوب سازگار کند و انتظارات از هر بانک بسته به توانمندی و شرایط آن بانک باشد. البته بدیهی است که انتظارات از بانکی که به طیف گستردهای از مشتریان خدمترسانی میکند و رخدادهای امنیتی در آن درصد زیادی از جامعه را تحت تأثیر قرار میدهد، با بانکی که به طیف محدودی از مشتریان خدمات ارائه میکند، نمیتواند یکسان باشد.
آیا بهراستی اقدامات بانکها و مؤسسات اعتباری در حوزه امنیت تا پیشازاین کافی نبوده است و نیاز به پیادهسازی چارچوب کنترلی است؟
بانک مرکزی با توجه به مأموریت خود و متناسب با وظایفی که دارد همواره در حال بررسی وضعیت بانکها و پیمایش شرایط امنیتی بانکهاست. در حال حاضر سازکار موجود چنین است که بانک مرکزی (و یا سایر نهادهای تنظیمگر) با تهیه و تحلیل پرسشنامههایی در حوزههای امنیتی از وضعیت امنیتی بانکها آگاه میشود. همچنین در مواردی با دیگر ذینفعان و تنظیمگران این حوزه که الزاماتی را ابلاغ کردهاند اقدامات مشترکی انجام میشود؛ برای مثال بهمنظور سنجش میزان موفقیت سازمانها در به اجرا درآوردن کنترلهای ذیل طرح امنسازی و نیل به اهداف طرح یادشده، پیمایشی را مشترکاً به انجام رساندهایم. همچنین گاهی بر اساس شرایط موجود موضوعی برجسته میشود و موردتوجه قرار میگیرد، نظیر سنجش وضعیت تابآوری بانکها و مؤسسات اعتباری.
نکتهای که در خصوص اینگونه پیمایشها قابلتوجه است، آن است که این بررسیها عموماً با خود اظهاری بانکها به انجام میرسند و انتظارات و خواست نهاد تنظیمگر دخالتی در آن ندارد. بررسیهای انجامشده بر نتایج خوداظهاریها نشان داده است که برخی بانکها از وضعیت نسبتاً خوبی برخوردارند.
در این روند چه چیزی متوجه تنظیمگر خواهد بود و چه وظایفی از روی دوش آنها برداشته خواهد شد؟
مدیریت امنیت به زبان ساده یعنی توانایی پیشبینیِ حوادث و تحلیل مخاطرات امنیتی و پیشگیری یا کاستن از سرعت رخ دادنشان و همچنین توانایی بازگرداندن وضعیت به حالت قبل از وقوع رخداد و ارائه خدمات حیاتی با کمترین میزان وقفه. از طرفی (مطابق با دیدگاه عمومی موجود) فعالان حوزه امنیت دو دستهاند؛ سیستمی و فنّینگر. گروه نخست بیشتر پیگیر ایجاد فرایندهای اثربخش هستند و ممکن است از استفاده از ابزار غافل شوند و افراد فنی نگاه فنّاورانه به امنیت دارند و امنیت را بیشتر در استفاده از ابزار میبینند. متخصصین امنیتی بانکها نیز از این دو رویکرد مستثنا نیستند و هر بانکی بهتناسب تخصص و تجربه خود، ممکن است در یکی از این دو بعد پیشرفت بیشتری داشته باشد.
چیزی که برای تنظیمگر اهمیت دارد، این است که امنیت را در همه ابعادش پیش برده و توسعه دهد. در این زمینه اُلگوی شناختهشده PPT به معنای PPT: People Process Technology افراد، فرآیند، فنّاوری میتواند بسیار کارآمد باشد. این اُلگو، امنیت را در سه بُعد مینگرد؛ توسعه منابع انسانی، توسعه فرآیند و بهکارگیری فنّاوری که برآیند این سه در کنار هم را منجر به ارتقاء امنیت میداند.
برخی از بانکها گمان میکنند، چون ابزارهای قویای در اختیار دارند، امنیت خوبی هم دارند. برخی گمان میکنند، چون سیستمهای مدیریت امنیت راهاندازی کردهاند، امن هستند و بسیاری از سازمانها این دو امکان را دارند؛ ولی منابع انسانی متخصص در اختیار ندارند و از این بعد آسیبپذیر هستند.
مهاجرت و جابجایی نیروی انسانی مسئله جدی دیگری است در حوزه امنیت که این پدیده سبب محدودیت در منابع انسانی در حوزه امنیت میشود. تنظیمگر از بانکها و مؤسسات اعتباری انتظار دارد هر سه مورد را همزمان و متناسب با نیازشان پیش ببرند. برای مثال، دیده شده است که یک بانک اقداماتی در سطح بلوغ سه انجام داده است، اما پیش از آن اقدامات، ملزومات بلوغ سطح یک و دو را ندارد. از نظر تنظیمگر او همچنان دارای سطح بلوغ یک یا دو است.
دلیل تعدد استانداردهای امنیتی چیست؟ آیا هر استاندارد مزیت خاصی دارد؟
تعریف امنیت در تمام دنیا چیز مشخصی است؛ تأمین محرمانگی، یکپارچگی و دسترسپذیری اطلاعات. زمانیکه در یک سازمان این سه فاکتور همزمان ایجاد شوند، یعنی سازمان امن است. هر یک از بهروشها و استانداردهای امنیتی در جزییات و روش بهکارگیری کنترلهای امنیتی برای دستیابی به اهداف امنیت (محرمانگی، یکپارچگی و دسترسپذیری) با یکدیگر تفاوت دارند؛ اما درنهایت همه دارند به امنیت میپردازند. هر سازمانی میتواند استانداردی را منبع اصلی خود قرار دهد؛ به عبارتی نمیتوان گفت تبعیت از فلان استاندارد مزیت بیشتری را برای سازمان ایجاد کرده است. از طرفی «چارچوب کنترلی» در تناقض با هیچ بهروش یا استانداردی نیست؛ بلکه چارچوبی است که تمام بهروشها و استانداردهای مرسوم را در یک قالب کامل، در خود جای داده است.
کاشف با بسیاری از بانکها در این زمینه نشست داشته است. مشکلات و دغدغههای بانکها چیست؟
مهمترین دغدغه بانکها در این زمینه کمبود نیروی انسانی متخصص است که بخش عمدهای از این دغدغه ناشی از مهاجرت نیروی کار متخصص است. دغدغه دوم جذب نیروهای انسانی در بانکهاست که بهسختی اتفاق میافتد؛ چراکه میزان دستمزد متخصصان در بانکها کمتر از توقع متخصصان این حوزه است؛ این عوامل باعث میشوند که بانکها دچار مشکل جذب و نگهداشت منابع انسانی شوند. به این دلیل یکی از اولویتهای ما به عنوان ناظر این است که به توانمندسازی نیروی انسانی در بانکها کمک کنیم، بااینحال، قرار نیست تمام کارها را خود بانک و سازمان انجام دهد. برخی توانمندیها نوظهور و جدید هستند و جا افتادن و رواج آنها نیازمند آموزش و زمان است. ازاینرو اگر بانکی به هر دلیلی نتوانست در حوزه منابع انسانی توسعه پیدا کند، باید به فکر برونسپاری امور امنیتی باشد. در این راستا بانکها میتوانند در صورت نیاز از پتانسل موجود در کاشف نیز استفاده نمایند.
راهحل شما در پاسخ به مشکلات و دغدغههای بانکها چه بوده است؟
ما در ایران با تعدد نهادهای نظارتی مواجهیم؛ مانند افتا، پدافند غیرعامل، سازمان حراست کل و بانک مرکزی که دستورالعملهای مجزایی هم دارند و این تعدد مراکز نظارتی بانکها را دچار مشکل و چندباره کاری میکند.
برای آنها این پرسش ایجاد میشود که اگر نهاد تنظیمگر در حوزه دستگاههای زیرساختی، مرکز افتا هست، پس چرا پدافند غیرعامل نیز در حوزههای مختلف امنیت حضور پررنگ دارد و اگر قرار است به این نهاد پاسخگو باشیم، پس چرا باید پاسخگوی بانک مرکزی هم باشیم و حالا چرا «چارچوب کنترلی» هم ابلاغ شده است؟ آیا برای سازمانم، بار ایجاد میکند؟ به عبارتی نبودن پنجره واحد پاسخگویی به نهادهای تنظیمگر یک چالش جدی در نظام بانکی مطرح شده است.
در پاسخ باید بگویم که در چارچوب کنترلی تمامی انتظارات نهادهای تنظیمگر گنجانده شده است و از طریق جلسات مشترک با نهادهای ذیصلاح تلاش شده است تا تمامی ذینفعان را با چارچوب مذکور همسو کنیم. بهعنوانمثال در بزرگترین همایش امنیت بانکی کشور که در اردیبهشت سال ۱۴۰۲ برگزار شد، نمایندگان مرکز ملی فضای مجازی، مرکز افتا، سازمان پدافند غیرعامل، سازمان حراست حضور داشتند و بر اجرای چارچوب توسط بانکها و مؤسسات اعتباری تأکید کردند. درواقع، به دنبال آن هستیم که همه مطالبات و درخواستهای نهادهای نظارتی از مسیر و در قالب چارچوب کنترلی به بانکها و مؤسسات اعتباری برسد.
از طرفی نباید انتظار داشته باشیم که همه مشکلاتمان در مسیر پیادهسازی چارچوب کنترلی طی یک سال اول برطرف شود. در آغاز راه تناقضات و ناهمخوانیهایی وجود خواهد داشت که گریزناپذیر هستند، ولی در تلاش خواهیم بود تا سایر نهادهای تنظیمگر را نیز کاملاً (بهصورت عملی) همسو کنیم. برای رسیدن به نظام جامع مدیریت امنیت باید کمی صبر کرد و ناامید نشد؛ مطمئناً نتیجه این صبر مثبت خواهد بود.
دغدغه دیگر بانکها ابهام در روش اجرای چارچوب کنترلی بود و درباره این موضوع، به این نتیجه رسیدیم که نشستهایی با حضور بانکها داشته باشیم و با مدیریت بانک مرکزی، کارگاههای آموزشیای برگزار کنیم که کاشف در این روند پاسخگو و در دسترس همه بانکها باشد و به ابهامات ایشان پاسخ دهد.
نکته دیگر اینکه اگر بانکها برای امنیت خود اقداماتی انجام دادهاند؛ حالا باید آن پروژههای امنیتی را کنار بگذارند؟ پاسخم این است که خیر؛ زیرا چارچوب کنترلی با پروژههای قبلی آنها در حوزه امنیت سازگار است؛ فقط موضوع یکپارچهسازی مطرح است که به دیگر اقدامات افزوده میشود. در این روند، اطمینان میدهیم که قرار نیست اتلاف منابعی رخ بدهد.
مهمترین تفاوت در روند نظارت بین مقررات پیشین و «چارچوب کنترلی» را چه میدانید؟
یکی از معضلات موجود در روند اجرای نظارت و الزامات قبلی از سوی سایر نهادهای تنظیمگر توجه نداشتن به خودکارسازی فرایندها بوده است؛ یعنی تمامی اقدامات بین تنظیمگر و بانکها به صورت دستی و مکاتبهای رخ میداده و بهصورت برخط قابلپیگیری نبوده است. ما همیشه بین گزارشها و آنچه در لحظه اتفاق میافتد، تأخیر داریم؛ درحالیکه در حوزه امنیت اطلاعات، باید به لحظه بود. ازاینجهت بهروز بودن مهم است و بخشی از این روند چهارساله معطوف به این بود که به خودکارسازی این روند نیز بپردازیم.
به این صورت که توانستیم تمام فرایندهای چارچوب کنترلی را در سامانهای به نام سامانه سرابان جمع آوری کردیم. درواقع این سامانه نبض به لحظه امنیت بانکها و به نفع هر دو طرف یعنی نهاد ناظر و بانکهاست؛ زیرا با استفاده از آن میتوانند وضعیت امنیتی خود را به صورت لحظهای رصد کنند و میتوانند متوجه شوند که چند کنترل و اقدام امنیتی رعایت شده است و چه کسانی مشغول انجام اقدامات هستند، حتی میتوانند بررسی کنند که در کدام حوزه ضعف وجود دارد و بسیاری موارد دیگر.
سرابان کار بانکها را بسیار آسان خواهد کرد و تحولی بزرگ را رقم خواهد زد. در حقیقت سرابان مکاتبات و مراجعات را از بین خواهد برد، هزینهها را کاهش میدهد، منابع انسانی کمتری را درگیر خواهد کرد و منافع و ارزشافزودههای بسیاری را برای بانکها و نهادهای نظارتی خواهد داشت.
در سخنانتان اشاره کردید که بانکها میتوانند اجرای این کار را برونسپاری کنند و مثلاً به کاشف بسپارند، آیا اگر تعداد زیادی از بانکها بخواهند این کار را به کاشف بسپارند، کاشف قابلیت انجام این حجم از کار را خواهد داشت؟
این بستر در شرکت کاشف درحالتوسعه است، درعینحال برونسپاری و مدیریت آن نیز پیشبینی شده است. درواقع این نگاه وجود دارد که در صورت امکان و فراهم آمدن زمینههای آن، تحت نظارت و مدیریت کاشف، از توانمندی بخش خصوصی نیز بتوان استفاده کرد.