به گزارش ر وز شنبه اگزیم‌نیوز از ایبِنا، خودکارسازی فرآیندهای کسب‌وکاری از یک‌سو و افزایش میزان حملات به زیرساخت‌های حیاتی کشور، به‌خصوص بانک‌ها و موسسات اعتباری از سوی دیگر، اهمیت توجه نظام بانکی به حوزه امنیت اطلاعات را بیش‌ازپیش نمایان کرده است. از سوی دیگر، چالش‌هایی مانند تعدد نهادهای تنظیم‌گر، تحریم، کمبود نیروهای متخصص در حوزه امنیت اطلاعات، مهاجرت نیروی انسانی، ناکارآمدی سیستم حقوق و دستمزد، وابستگی به پیمانکاران، مشکلات ساختاری، فرهنگ‌سازمانی و نیز عدم تخصیص بودجه و منابع کافی به حوزه امنیت اطلاعات، از مهم‌ترین مواردی است که بانک‌ها و مؤسسات اعتباری همواره با آن مواجه هستند.

ازاین‌رو بانک مرکزی ایران به‌منظور بهبود وضعیت مدیریت امنیت اطلاعات در نظام بانکی کشور و همچنین با هدف همسویی با اهداف مرکز مدیریت راهبردی افتا (به‌عنوان نهاد تنظیم‌گر در حوزه زیرساخت‌های حیاتی کشور) اقدام به تعریف پروژه‌ای با عنوان «چارچوب کنترل‌های امنیتی سازمانی و سامانه‌های اطلاعاتی بانکی» کرده است؛ پروژه‌ای که در شرکت کاشف و به دست کارشناسان توانمند این شرکت انجام شده و اینک برای پیاده‌سازی و اجرا به تمام بانک‌ها و مؤسسه‌های مالی و اعتباری ابلاغ شده است.

بسیاری از بانک‌ها و مؤسسات اعتباری و همچنین مشاوران حوزه امنیت اطلاعات در کشور، این پروژه را تحولی بزرگ در حوزه امنیت نظام بانکی می‌دانند؛ اما برخی نگرانی‌ها و ابهامات نیز در این خصوص مطرح است که برای روشن شدن ابهامات و برطرف کردن نگرانی‌ها، با وحید دوست‌محمدی، مدیر پروژه «چارچوب کنترل‌های امنیتی سازمانی و سامانه‌های اطلاعاتی بانکی» شرکت کاشف به گفت‌وگو نشسته‌ایم.

-با توجه به اقدام جدید بانک مرکزی در خصوص تعریف پروژه «چارچوب کنترل‌های امنیتی سازمانی و سامانه‌های اطلاعاتی بانکی»، به نظر شما چرا بانک مرکزی چنین پروژه‌ای را در دستور کار قرار داده است؟

در کشور ما هر بانک یا موسسه اعتباری به دلیل تفاوتی که در دیدگاه‌هایشان نسبت به موضوع امنیت وجود دارد، به دنبال پیاده‌سازی چارچوب امنیتی دلخواه خود است، چارچوب‌هایی مانند ISO ۲۷۰۰۱، PCI-DSS، SWIFT، طرح امن‌سازی زیرساخت‌های حیاتی کشور در برابر حملات سایبری (افتا) و .... بدین ترتیب شاهد هستیم که در نظام بانکی کشورمان اتفاق نظر و وحدت رویّه‌ای در انتخاب و پیاده‌سازی چارچوب‌های امنیتی درکار نبوده است. «چارچوب کنترل‌های امنیتی سازمانی و سامانه‌های اطلاعاتی بانکی» طراحی و تدوین شده به دست کارشناسان توانمند کاشف، درواقع تجمیعِ چارچوب‌های امنیتی شناخته شده و مرسوم جهان با الزامات امنیتی موجود در کشورمان است و بدین طریق، هر یک از بانک‌های کشور که این چارچوب را به کار گیرد، در عمل از مجموع توانمندی‌های آن چارچوب‌ها به طور یکجا و منسجم برخوردار است. چارچوب کنترلی در بردارنده همه کنترل‌های امنیتی مورد نیازی است که در مجموع چارچوب‌های یادشده وجود داشته‌اند و بدینگونه پیاده‌سازی و پیروی از کنترل‌های تدوین شده در این چارچوب، مصداق روشن «با یک تیر چند نشان زدن» است و بهرمندی از این چارچوب به بانک‌ها و مؤسسات اعتباری این توانمندی را می‌دهد که برای مثال هم گواهی ISMS دریافت کنند، هم پاسخگوی SWIFT باشند.

آنچه باید به یاد داشته باشیم، این است که «مرکز مدیریت راهبردی ریاست جمهوری» به عنوان متولی زیرساخت‌های حیاتی کشور، «نقشه راه کلان» با عنوان «طرح امن‌سازی زیرساخت‌های حیاتی در قبال حملات سایبری» را ارائه کرد و به دنبال آن، هر یک از سازمان‌های مادر-تخصصی، مانند وزارت نفت، بانک مرکزی، وزارت نیرو... ملزم شدند که برابر با نقشه راه کلان یادشده، طرحی سفارشی‌شده برای صنعت خود، بنویسند و تدوین کنند. بانک مرکزی نیز که متولی نظام بانکی است طرح امن‌سازی بومی‌شده‌ای را برای نظام بانکی نوشته است و نام «چارچوب کنترل‌های امنیتی سازمانی و سامانه‌های اطلاعاتی بانکی» را بر آن نهاده است و درواقع این همان چیزی است که در شرکت کاشف انجام پذیرفته است و از سوی مرکز مدیریت راهبردی ریاست جمهوری به نظام بانکی ابلاغ شده است. در این میان، کارشناسان کاشف - فراتر از آنچه طرح امن‌سازی افتا به آن‌ها پرداخته است- موضوعات و کنترل‌های مطروحه و مطلوب دیگری را نیز نظیر آنچه سازمان پدافند غیرعامل، حراست کلّ، قرارگاه ثارالله، مرکز ملی فضای مجازی و ... بدان پرداخته‌اند و همچنین، دیدگاه‌های برخی سازمان‌ها که به ISO یا استانداردهای فنی‌تری نظیر NIST تمایل داشته‌اند را در تدوین چارچوب کنترلی یادشده به کار بسته‌اند تا چارچوبی همه‌جانبه و یکپارچه ارائه دهند و چنان‌که پیش‌تر هم بیان شد، با یک تیر چند نشان زده شده است. به این معنا که پیاده کنندگان و استفاده‌کنندگان از این چارچوب، هم از طرح امن‌سازی برخوردارند و هم از الزامات مربوط به ذی‌نفعان حوزه بانکی و هم‌زمان در همخوانی با استانداردها و بهروش‌های مرسوم در جهان قرار دارند. می‌توان دید که هر کس با هر سلیقه‌ای اگر بخواهد امنیت را در مجموعه خودش برقرار کند، با استفاده از چارچوب کنترلی ابلاغ شده به هدفش می‌رسد.

- چه میزان منابع برای تنظیم و ابلاغ سند «چارچوب کنترل‌های امنیتی» در شرکت کاشف صرف شده است؟

اگر بخواهیم خیلی دقیق بگوییم باید بررسی بشود، اما به‌طورکلی یک گروه پنج نفره به مدت بیش از چهار سال یعنی ۲۰ نفر-سال مشغول کار در این پروژه بودند، تا چارچوبی ایچنین تدوین شده است. همچنین در اجرای پروژه مذکور از توانمندی بخش خصوصی نیز بهره گرفته شد.

-می‌دانیم که استانداردها به‌طور منظم به‌روزرسانی می‌شوند و احتمالاً این سند نیز نیازمندِ به‌روزرسانی خواهد بود؛ سازکار این به‌روزرسانی چیست؟ آیا این به‌روزرسانی کار را برای بانک‌ها دشوار نخواهد کرد؟

مانند هر استاندارد دیگری، به‌روزرسانی‌های چارچوب کنترلی ابلاغ شده نیز بر اساس نیاز نظام بانکی و در بازه‌های زمانی مشخص منتشر می‌شود. همان‌طور که درباره استانداردهای دیگر مانند ISO ۲۷۰۰۱ هم دیدیم، نسخه اول آن در سال ۲۰۱۳ منتشر شد و نسخه بعدی در سال ۲۰۲۲ یعنی ۹ سال بعد. (اگرچه از لحظه انتشار نسخه اول، کمیته‌ای مشغول بررسی و دریافت نظرات از سراسر جهان بود). درباره چارچوب کنترلی نیز ما هم‌زمان با ابلاغ نسخه کنونی، در گروه ممیّزی و انطباق سنجی شرکت کاشف، پروژه توسعه چارچوب کنترلی را داریم و همکاران من در حال بررسی نسخ جدید مراجع به‌کاررفته در چارچوب هستند، اما این به معنای بی‌ارزش شدن نسخ پیشین آن مراجع نیست. درواقع، چون مراجع استفاده‌شده در تدوین چارچوب بسیار متنوع و گسترده هستند، نشر نسخه جدید از یک مرجع منجر به ناکارآمدی نسخه پیشین نمی‌شود. اگر می‌پرسید که آیا انتشار نسخه جدید از چارچوب هزینه‌ای ایجاد می‌کند؟ باید بگویم که خیر. همه به‌روزرسانی‌ها سازگار با کنترل‌های قبلی خواهد بود و سازوکاری چیده و اندیشیده شده است که اگر نسخه جدید منتشر شود، بانک‌ها بتوانند به‌سادگی با نسخه جدیدتر منطبق شوند. درواقع، چارچوب کنترلی به منظور جلوگیری از چندباره ایجادشده و مانع از موازی‌کاری‌ها می‌شود و درنتیجه منجر به صرفه‌جویی‌های زیادی در تخصیص منابع به حوزه امنیت خواهد شد.

-فاصله بانک‌ها با استانداردهای موجود با توجه به سطوح تعریف‌شده برای امنیت؛ چقدر است و شما چه انتظاری از بانک‌ها دارید؟

مشکل و معضلی که پیشتر در رویکرد نهادهای تنظیم‌گر وجود داشت این بود که نگاهشان به همه سازمان‌ها یکسان بود و بر این باور بودند که همه سازمان‌ها باید الزامات را به یک نسبت رعایت کنند و به شرایط و تفاوت‌های بانک‌ها توجه نمی‌شد؛ برای نمونه یک بانک با بودجه قابل‌توجه در حوزه امنیت قطعاً با یک مؤسسه کوچک با بودجه محدود که درباره امنیت با محدودیت نیروی انسانی مواجه است، یکسان نیستند و نباید با یک چشم دیده شوند. برای پیشگیری از اتخاذ چنین رویکردی در آینده، سازمان‌ها را دسته‌بندی کرده‌ایم و ترتیبی داده‌ایم که هر سازمانی با توجه به محدودیت‌ها و منابعش، خود را با الزامات تهیه‌شده در چارچوب سازگار کند و انتظارات از هر بانک بسته به توانمندی و شرایط آن بانک است. البته بدیهی است که انتظارات از بانکی که به طیف گسترده‌ای از مشتریان خدمت‌رسانی می‌کند و رخدادهای امنیتی در آن درصد زیادی از جامعه را تحت تأثیر قرار می‌دهد، با بانکی که به طیف محدودی از مشتریان خدمات ارائه می‌کند، نمی‌تواند یکسان باشد.

-آیا به‌راستی اقدامات بانک‌ها و مؤسسات اعتباری در حوزه امنیت تا پیش‌ازاین کافی نبوده است و نیاز به پیاده‌سازی چارچوب کنترلی است؟

بانک مرکزی با توجه به مأموریت خود و متناسب با وظایفی که دارد همواره در حال بررسی وضعیت بانک‌ها و پیمایش شرایط امنیتی بانک‌هاست. در حال حاضر سازکار موجود چنین است که بانک مرکزی (و یا سایر نهادهای تنظیم‌گر) با تهیه و تحلیل پرسشنامه‌هایی در حوزه‌های امنیتی از وضعیت امنیتی بانک‌ها آگاه می‌شود. همچنین در مواردی با دیگر ذینفعان و تنظیم‌گران این حوزه که الزاماتی را ابلاغ کرده‌اند اقدامات مشترکی انجام می‌شود؛ برای مثال به‌منظور سنجش میزان موفقیت سازمان‌ها در به اجرا درآوردن کنترل‌های ذیل طرح امن‌سازی و نیل به اهداف طرح یادشده، پیمایشی را مشترکاً به انجام رسانده‌ایم. همچنین گاهی بر اساس شرایط موجود موضوعی برجسته می‌شود و موردتوجه قرار می‌گیرد، نظیر سنجش وضعیت تاب‌آوری بانک‌ها و مؤسسات اعتباری. نکته‌ای که در خصوص این‌گونه پیمایش‌ها قابل‌توجه است، آن است که این بررسی‌ها عموماً با خود اظهاری بانک‌ها به انجام می‌رسند و انتظارات و خواست نهاد تنظیم‌گر دخالتی در آن ندارد. بررسی‌های انجام‌شده بر نتایج خوداظهاری‌ها نشان داده است که برخی بانک‌ها از وضعیت نسبتاً خوبی برخوردارند.

-در این روند چه چیزی متوجه تنظیم‌گر خواهد بود و چه وظایفی از روی دوش آن‌ها برداشته خواهد شد؟

مدیریت امنیت به زبان ساده یعنی توانایی پیش‌بینیِ حوادث و تحلیل مخاطرات امنیتی و پیشگیری یا کاستن از سرعت رخ دادنشان و همچنین توانایی بازگرداندن وضعیت به حالت قبل از وقوع رخداد و ارائه خدمات حیاتی با کمترین میزان وقفه. از طرفی (مطابق با دیدگاه عمومی موجود) فعالان حوزه امنیت دو دسته‌اند؛ سیستمی و فنّی‌نگر. گروه نخست بیشتر پیگیر ایجاد فرایندهای اثربخش هستند و ممکن است از استفاده از ابزار غافل شوند و افراد فنی نگاه فنّاورانه به امنیت دارند و امنیت را بیشتر در استفاده از ابزار می‌بینند. متخصصین امنیتی بانک‌ها نیز از این دو رویکرد مستثنا نیستند و هر بانکی به‌تناسب تخصص و تجربه خود، ممکن است در یکی از این دو بعد پیشرفت بیشتری داشته باشد.

چیزی که برای تنظیم‌گر اهمیت دارد، این است که امنیت را در همه ابعادش پیش برده و توسعه دهد. در این زمینه اُلگوی شناخته‌شده PPT به معنای PPT: People Process Technology افراد، فرآیند، فنّاوری می‌تواند بسیار کارآمد باشد. این اُلگو، امنیت را در سه بُعد می‌نگرد؛ توسعه منابع انسانی، توسعه فرآیند و به‌کارگیری فنّاوری که برآیند این سه در کنار هم را منجر به ارتقاء امنیت می‌داند.

برخی از بانک‌ها گمان می‌کنند، چون ابزارهای قوی‌ای در اختیار دارند، امنیت خوبی هم دارند. برخی گمان می‌کنند، چون سیستم‌های مدیریت امنیت راه‌اندازی کرده‌اند، امن هستند و بسیاری از سازمان‌ها این دو امکان را دارند؛ ولی منابع انسانی متخصص در اختیار ندارند و از این بعد آسیب‌پذیر هستند.

مهاجرت و جابجایی نیروی انسانی مسئله جدی دیگری است در حوزه امنیت که این پدیده سبب محدودیت در منابع انسانی در حوزه امنیت می‌شود. تنظیم‌گر از بانک‌ها و مؤسسات اعتباری انتظار دارد هر سه مورد را هم‌زمان و متناسب با نیازشان پیش ببرند. برای مثال، دیده شده است که یک بانک اقداماتی در سطح بلوغ سه انجام داده است، اما پیش از آن اقدامات، ملزومات بلوغ سطح یک و دو را ندارد. از نظر تنظیم‌گر او همچنان دارای سطح بلوغ یک یا دو است.

- دلیل تعدد استانداردهای امنیتی چیست؟ آیا هر استاندارد مزیت خاصی دارد؟

تعریف امنیت در تمام دنیا چیز مشخصی است؛ تأمین محرمانگی، یکپارچگی و دسترس‌پذیری اطلاعات. زمانی‌که در یک سازمان این سه فاکتور هم‌زمان ایجاد شوند، یعنی سازمان امن است. هر یک از بهروش‌ها و استانداردهای امنیتی در جزییات و روش به‌کارگیری کنترل‌های امنیتی برای دستیابی به اهداف امنیت (محرمانگی، یکپارچگی و دسترس‌پذیری) با یکدیگر تفاوت دارند؛ اما درنهایت همه دارند به امنیت می‌پردازند. هر سازمانی می‌تواند استانداردی را منبع اصلی خود قرار دهد؛ به عبارتی نمی‌توان گفت تبعیت از فلان استاندارد مزیت بیشتری را برای سازمان ایجاد کرده است. از طرفی «چارچوب کنترلی» در تناقض با هیچ بهروش یا استانداردی نیست؛ بلکه چارچوبی است که تمام بهروش‌ها و استانداردهای مرسوم را در یک قالب کامل، در خود جای داده است.

- کاشف با بسیاری از بانک‌ها در این زمینه نشست داشته است. مشکلات و دغدغه‌های بانک‌ها چیست؟

مهم‌ترین دغدغه بانک‌ها در این زمینه کمبود نیروی انسانی متخصص است که بخش عمده‌ای از این دغدغه ناشی از مهاجرت نیروی کار متخصص است. دغدغه دوم جذب نیروهای انسانی در بانک‌هاست که به‌سختی اتفاق می‌افتد؛ چراکه میزان دستمزد متخصصان در بانک‌ها کمتر از توقع متخصصان این حوزه است؛ این عوامل باعث می‌شوند که بانک‌ها دچار مشکل جذب و نگهداشت منابع انسانی شوند. به این دلیل یکی از اولویت‌های ما به عنوان ناظر این است که به توانمندسازی نیروی انسانی در بانک‌ها کمک کنیم، بااین‌حال، قرار نیست تمام کارها را خود بانک و سازمان انجام دهد. برخی توانمندی‌ها نوظهور و جدید هستند و جا افتادن و رواج آن‌ها نیازمند آموزش و زمان است. ازاین‌رو اگر بانکی به هر دلیلی نتوانست در حوزه منابع انسانی توسعه پیدا کند، باید به فکر برون‌سپاری امور امنیتی باشد. در این راستا بانک‌ها می‌توانند در صورت نیاز از پتانسل موجود در کاشف نیز استفاده نمایند.

-راه‌حل شما در پاسخ به مشکلات و دغدغه‌های بانک‌ها چه بوده است؟

ما در ایران با تعدد نهادهای نظارتی مواجهیم؛ مانند افتا، پدافند غیرعامل، سازمان حراست کل و بانک مرکزی که دستورالعمل‌های مجزایی هم دارند و این تعدد مراکز نظارتی بانک‌ها را دچار مشکل و چندباره کاری می‌کند.

برای آن‌ها این پرسش ایجاد می‌شود که اگر نهاد تنظیم‌گر در حوزه دستگاه‌های زیرساختی، مرکز افتا هست، پس چرا پدافند غیرعامل نیز در حوزه‌های مختلف امنیت حضور پررنگ دارد و اگر قرار است به این نهاد پاسخگو باشیم، پس چرا باید پاسخگوی بانک مرکزی هم باشیم و حالا چرا «چارچوب کنترلی» هم ابلاغ شده است؟ آیا برای سازمانم، بار ایجاد می‌کند؟ به عبارتی نبودن پنجره واحد پاسخگویی به نهادهای تنظیم‌گر یک چالش جدی در نظام بانکی مطرح شده است. در پاسخ باید بگویم که در چارچوب کنترلی تمامی انتظارات نهادهای تنظیم‌گر گنجانده شده است و از طریق جلسات مشترک با نهادهای ذیصلاح تلاش شده است تا تمامی ذینفعان را با چارچوب مذکور همسو کنیم. به‌عنوان‌مثال در بزرگ‌ترین همایش امنیت بانکی کشور که در اردیبهشت سال ۱۴۰۲ برگزار شد، نمایندگان مرکز ملی فضای مجازی، مرکز افتا، سازمان پدافند غیرعامل، سازمان حراست حضور داشتند و بر اجرای چارچوب توسط بانک‌ها و مؤسسات اعتباری تأکید کردند. درواقع، به دنبال آن هستیم که همه مطالبات و درخواست‌های نهادهای نظارتی از مسیر و در قالب چارچوب کنترلی به بانک‌ها و مؤسسات اعتباری برسد. از طرفی نباید انتظار داشته باشیم که همه مشکلاتمان در مسیر پیاده‌سازی چارچوب کنترلی طی یک سال اول برطرف شود. در آغاز راه تناقضات و ناهمخوانی‌هایی وجود خواهد داشت که گریزناپذیر هستند، ولی در تلاش خواهیم بود تا سایر نهادهای تنظیم‌گر را نیز کاملاً (به‌صورت عملی) همسو کنیم. برای رسیدن به نظام جامع مدیریت امنیت باید کمی صبر کرد و ناامید نشد؛ مطمئناً نتیجه این صبر مثبت خواهد بود.

دغدغه دیگر بانک‌ها ابهام در روش اجرای چارچوب کنترلی بود و درباره این موضوع، به این نتیجه رسیدیم که نشست‌هایی با حضور بانک‌ها داشته باشیم و با مدیریت بانک مرکزی، کارگاه‌های آموزشی‌ای برگزار کنیم که کاشف در این روند پاسخگو و در دسترس همه بانک‌ها باشد و به ابهامات ایشان پاسخ دهد.

نکته دیگر اینکه اگر بانک‌ها برای امنیت خود اقداماتی انجام داده‌اند؛ حالا باید آن پروژه‌های امنیتی را کنار بگذارند؟ پاسخم این است که خیر؛ زیرا چارچوب کنترلی با پروژه‌های قبلی آن‌ها در حوزه امنیت سازگار است؛ فقط موضوع یکپارچه‌سازی مطرح است که به دیگر اقدامات افزوده می‌شود. در این روند، اطمینان می‌دهیم که قرار نیست اتلاف منابعی رخ بدهد.

-مهم‌ترین تفاوت در روند نظارت بین مقررات پیشین و «چارچوب کنترلی» را چه می‌دانید؟

یکی از معضلات موجود در روند اجرای نظارت و الزامات قبلی از سوی سایر نهادهای تنظیم‌گر توجه نداشتن به خودکارسازی فرایندها بوده است؛ یعنی تمامی اقدامات بین تنظیم‌گر و بانک‌ها به صورت دستی و مکاتبه‌ای رخ می‌داده و به‌صورت برخط قابل‌پیگیری نبوده است. ما همیشه بین گزارش‌ها و آنچه در لحظه اتفاق می‌افتد، تأخیر داریم؛ درحالی‌که در حوزه امنیت اطلاعات، باید به لحظه بود. ازاین‌جهت به‌روز بودن مهم است و بخشی از این روند چهارساله معطوف به این بود که به خودکارسازی این روند نیز بپردازیم.

به این صورت که توانستیم تمام فرایندهای چارچوب کنترلی را در سامانه‌ای به نام سامانه سرابان گرد آوریم. درواقع این سامانه نبض به لحظه امنیت بانک‌هاست و به نفع هر دو طرف است؛ نهاد ناظر و بانک‌ها؛ زیرا با استفاده از آن می‌توانند وضعیت امنیتی خود را به صورت لحظه‌ای رصد کنند و می‌توانند بفهمند که چند کنترل و اقدام امنیتی رعایت شده است و چه کسانی مشغول انجام اقدامات هستند، حتی می‌توانند بررسی کنند که در کدام حوزه ضعف وجود دارد و بسیاری موارد دیگر.

سرابان کار بانک‌ها را بسیار آسان خواهد کرد و تحولی بزرگ را رقم خواهد زد. در حقیقت سرابان مکاتبات و مراجعات را از بین خواهد برد، هزینه‌ها را کاهش می‌دهد، منابع انسانی کمتری را درگیر خواهد کرد و منافع و ارزش‌افزوده‌های بسیاری را برای بانک‌ها و نهادهای نظارتی خواهد داشت.

-در سخنانتان اشاره کردید که بانک‌ها می‌توانند اجرای این کار را برون‌سپاری کنند و مثلاً به کاشف بسپارند، آیا اگر تعداد زیادی از بانک‌ها بخواهند این کار را به کاشف بسپارند، کاشف قابلیت انجام این حجم از کار را خواهد داشت؟

این بستر در شرکت کاشف درحال‌توسعه است، درعین‌حال برون‌سپاری و مدیریت آن نیز پیش‌بینی شده است. درواقع این نگاه وجود دارد که در صورت امکان و فراهم آمدن زمینه‌های آن، تحت نظارت و مدیریت کاشف، از توانمندی بخش خصوصی نیز بتوان استفاده کرد.