یادداشتی از مسئول کمیسیون افتای سازمان نظام صنفی رایانه ای
در پی نشت اخیر اطلاعات بانکی:
تهدید یا فرصت بهبود
بهناز آریا
سازمان نظام صنفی رایانه ای , 29 فروردين 1391 ساعت 14:29
یادداشتی از مسئول کمیسیون افتای سازمان نظام صنفی رایانه ای
این روزها خبر و صحبت روز، حکایت اطلاعات سه میلیون کارت بانکی است که توسط یکی از مدیران نرم افزاری اسبق یکی از شرکت های ارائه خدمات پایانه های بانکی منتشر گردیده و موجبات نگرانی و ابهامات عمومی را فراهم نموده است.
شرکت های فعال در حوزه امنیت (افتا) که سالهاست درگیر مسائل امنیتی در لایه های مختلف می باشند و متخصصین فعال در این زمینه نیز هم اکنون در صف اول تحلیل مشکل پیش آمده قرار گرفته اند.
گویا کسی به خاطر نمی آورد که فعالان حوزه امنیت مدت های زیادیست در این زمینه اطلاع رسانی می نمایند، هشدار می دهند، درخواست می کنند تا چه سازمان ها و مجموعه ها و چه تک تک افراد جامعه به این موضوع اهمیت داده و آن را در رأس امور قرار دهند.
حال این بار با بروز آنچه که میتوان نامش را فرصت بهبود و نه تهدید نهاد، آنهم در حوزه ای حساس که همانا حوزه بانکی است، توجه همگان به موضوع جلب شده و سرانجام زمان آن رسیده که به وضوح و با جدیت در مورد امنیت فناوری اطلاعات صحبت کنیم، فکر کنیم و از همه مهم تر عمل کنیم. شاید واقعاً باید نمونه ای کاملاً ملموس و در سطح عمومی رخ می داد تا اذهان عمومی به سوی این موضوع جلب گردد و جز این راه دیگری وجود نداشت.
لحظه به لحظه شایعات فراوانی از هر طرف موجبات وحشت عمومی را فراهم نموده و عکس العمل های ناصحیح برخی مجموعه های ذیربط و برخی رسانه ها نیز به این موضوع دامن می زند . این در حالیست که با آگاهی رسانی مناسب و به موقع میتوان از حجم زیادی از این نگرانی ها کاست. اگرچه این نگرانی در لایه سازمان های مسئول باید با فوریت های بالا مورد توجه قرار گرفته و اقدامات لازم هر چه سریعتر برای جلوگیری از رخداد های آتی صورت پذیرد.
با گسترش استفاده از فناوری اطلاعات در کلیه صنایع خصوصاً در بخش های مالی و اعتباری، حفظ امنیت و چالش ها و ملاحظات آن نیز از اهمیت ویژه ای برخوردار گردیده است.
امروزه تمامی فعالیت های ما از فعالیت های روزمره تا فرآیندهای تخصصی، از امور فردی تا عملیات سازمانی از فناوری اطلاعات در کلیه ارکان و اجزاء خود استفاده می نمایند و اطلاعات، یکی از مهم ترین و ارزشمندترین دارائیهای جامعه بشری محسوب می گردند اما آنگونه که برای خانه و ماشین خود قفل و زنجیر میگذاریم تا حفاظتشان نماییم، به دلیل غیر ملموس بودن اطلاعات به فکر حفاظت از اطلاعات نیستیم.
اتفاق پیش آمده به عینه به افراد نشان داد که عدم حفاظت صحیح ازاطلاعات خطراتی به دنبال خواهد داشت که نه تنها کمتر از از دست دادن اموال ملموس نیست بلکه به مراتب تبعات جدی تر و گران تر و نگران کننده تری در سطح ملی خواهد داشت.
یکی از بزرگترین و جدی ترین تهدیدات متوجه اطلاعات، انسان ها هستند. قدرت زنجیر به اندازه ضعیفترین حلقه زنجیر است و انسان ها ضعیف ترین حلقه زنجیره های امنیتی را تشکیل می دهند . ایجاد امنیت در این حوزه نیاز به فرهنگ سازی در بلند مدت و اتخاذ روشهایی فراتر از کنترلهای فنی دارد.
در عین حال سیاست های امنیتی اتخاذ شده و اقدامات برنامه ریزی شده و انجام شده توسط صاحبان صنایع و اختصاصاً در این مورد در امور مالی و اعتباری عامل تعیین کننده دیگری است که حلقه دیگری از این زنجیره امنیتی را می سازد.
خوشبختانه در این مورد طیف وسیعی از استانداردها، راهنماها، مراجع فنی، راه حل ها، تجهیزات و متخصصینی وجود دارند که می توانند ما را به سمت امنیت بیشتر هدایت نمایند، اگرچه که در نهایت دستیابی به امنیت صد در صد هرگز امکانپذیر نبوده و همواره باید برای هر رویداد امنیتی آماده بود. در واقعیت نیز مشکلات امنیتی در سراسر دنیا و خصوصاً در بخش های مالی و اعتباری که مورد علاقه ویژه افراد سودجو می باشد، همه روزه در حال رخ دادن است. از بزرگ ترین و معتبرترین بانک های دنیا گرفته تا جزئی ترین مراودات الکترونیکی در سطح عموم.
سوال اینجاست که آیا با هر رخداد امنیتی باید کل فعالیت ها و تلاش های انجام شده را زیر سوال برد؟
آیا هر رخداد امنیتی نشانه عدم وجود امنیت لازم است؟
آیا باید از کنار هر رخداد امنیتی به سادگی گذشت یا باید ریشه آن را بررسی و اصلاح نمود؟
آیا با ایجاد امنیت نسبی در هر مقطعی کار پایان یافته و باید آسوده بود؟
واقعیت اینجاست که بروز هر رخداد امنیتی تنها هشداری است بر وجود آسیب پذیری و تهدیدی بر این آسیب پذیری. نه دلیلی است بر عدم وجود امنیت و نه گواهی است بر عدم وجود تمهیدات لازم.
رخداد اخیر بار دیگر نشان داد که امنیت موجودی است زنده و نیازمند مراقبت دائم. آنچه تاکنون در کشورمان انجام شده خصوصاً پیرو رخدادهای امنیتی که هر از چند گاهی در ابعاد مختلف اتفاق می افتند معمولاً مقطعی، شتابزده و در حقیقت با دیدگاه اصلاح آنی و نه اقدام اصلاحی یا پیشگیرانه بوده است.
سیستم های مدیریت امنیت اطلاعات نیز که هم اکنون در دستور کار بسیاری از سازمان ها قرار گرفته است چرخه ای مداوم را در سازمان ایجاد می نماید.
در طی این فرآیند وضعیت امنیت باید بررسی گردیده، اقدامات لازم برنامه ریزی شده و پس از ارزیابی اثربخشی اقدامات، به طور دائم وضعیت پایش و اندازه گیری می گردد تا امنیت همواره در سطح مطلوبی باقی بماند.
شناسائی دارائی های اطلاعاتی ارزشمند، بررسی تهدیدات و آسیب پذیری ها و انتخاب کنترل های امنیتی مناسب جهت جلوگیری از بروز حادثه به صورت مداوم در هر مجموعه و سازمانی از اهداف استانداردها و راهنماهای بین المللی است.تمامی این فعالیتها در راستای حفظ صحت، تمامیت و محرمانگی اطلاعات انجام می پذیرد.
در چنین سیستمی رخداد امنیتی فرصتی محسوب می گردد برای بهبود. آنچه که مسلم است این است که همه روزه به حجم اطلاعات اضافه گردیده و تهدیدات متوجه این اطلاعات نیز در حال افزایش است.
لذا باید هر چه سریعتر اقداماتی بنیادین ، با برنامه ریزی بلند مدت و تعیین معیارهای سنجش صحیح و پایش مداوم در کلیه سازمان ها و مجموعه هائی که دارای اطلاعات حیاتی و ارزشمند هستند صورت پذیرد .
اگر چه بسیاری از مجموعه ها هم اکنون در رسیدن به این مقصود در حال فعالیت های گسترده ای می باشند اما هنوز راهی که باید طی گردد راهی طولانی و تسریع در آن ضروری است .
بر خلاف گذشته در کنار اصلاحات کوتاه مدت باید اقدامات پیشگیرانه و اقدامات اصلاحی موثر صورت پذیرد که مستلزم همکاری نزدیک سازمان ها ی دولتی و شرکت های خصوصی و همچنین همکاری تک تک افراد جامعه می باشد. این رخداد درسی است ارزشمند برای کلیه سازمان ها نه فقط بانک ها و موسسات مالی واعتباری که بیش از پیش حفظ امنیت را در راس امور خود قرار دهند و با حمایت موثر حاکمیت و توان تخصصی بخش خصوصی در حفظ دارائی های ملی و فردی بکوشند .
آگاهی رسانی صحیح و افزایش سطح آگاهی جامعه در این زمینه و فرهنگ سازی گسترده در حفظ دارائیهای اطلاعاتی نیز از اهم وظایف حاکمیت، سازمانها و نهاد های متولی است .
این رویداد نه اولین رویداد امنیتی است و نه آخرین آن خواهد بود اما با ایجاد آگاهی لازم در کاربران و استفاده کنندگان از فناوری میتوان امیدوار بود که اولاً افراد به درک صحیحتری از شرایط رسیده ، روشهای پیشگیری و به حداقل رساندن آسیب پذیری خصوصاً در لایه های انسانی آن را فرا گرفته و قادر به نشان دادن عکسالعمل مناسب در شرایط بحران باشند.
همچنین نحوه اطلاع رسانی سازمانهای ذیربط، نحوه پاسخ به رویداد های امنیتی ، اقدامات اصلاحی مورد نیاز و آموزش پرسنل متخصص برای مقابله با چنین شرایطی نیز از جمله موارد لازم میباشد.
افشای اطلاعات این سه میلیون کارت اگرچه جابهجایی مالی در بر نداشت اما موجب گردید که تعدادی بسیار بیش از سه میلیون نفر در جامعه و تعداد کثیری سازمان و مجموعه دولتی و خصوصی فرصتی را پیش روی خود ببینند برای آگاهی بیشتر ، برای واقف گردیدن به اهمیت امنیت، برای برنامه ریزی بهتر و سریعتر و برای گرفتن درسی ارزشمند و کسب تجربه ای مشترک و ملی:
که امنیت فرآیندی است مستمر و نیازمند همکاری گسترده بخشهای دولتی و خصوصی و حتی همکاری همه افراد جامعه.
که حفظ امنیت، نیاز به فرهنگ سازی و آگاهی رسانی صحیح و انجام اقدامات موثر و به موقع داشته و هرگز قابل اغماض نیست ...
و این که هر تهدید و هر بحران فرصتی است ارزشمند در جهت بهبود .
با عنایت به رهنمودهای رهبر معظم بر تولید ملی و حمایت از کار و سرمایه ایرانی، سازمان نظام صنفی رایانه ای نیز به عنوان نماینده بخش خصوصی ، آمادگی این بخش را در همراهی حاکمیت در جهت ایمن سازی ساختارهای حیاتی کشور اعلام نموده و این رویداد را فرصتی برای ارتقای امنیت فناوری اطلاعات در کشور عزیزمان میداند.
امید که با همکاری متخصصین متعهد و مجرب و با اتخاذ سیاستهای صحیح و استفاده از روشهای مناسب این بحران را پشت سر گذارده و در آینده با آمادگی و آگاهی بیشتری به مقابله با تهدیدات امنیتی بپردازیم.
کد مطلب: 907