افشاي اطلاعات كاربران بانكي در فضاي مبتني بر اطلاعات خام و تحليل شده و حملات هدفمندي همچون استاكس‌نت و وايپر به صنايع داخلي كشور از اهميت لزوم تقويت اسكلت اطلاعاتي كشور حكايت دارد.

 افشاي اطلاعات كاربران بانكي در فضاي مبتني بر اطلاعات خام و تحليل شده و حملات هدفمندي همچون استاكس‌نت و وايپر به صنايع داخلي كشور از اهميت لزوم تقويت اسكلت اطلاعاتي كشور حكايت دارد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)،دغدغه‌هاي بشر با گسترش تكنولوژي اطلاعات بيش‌تر به اين حوزه سوق پيدا كرده و به نوعي با ابعاد اطلاعاتي درآميخته است و بر همين اساس آرامش و فراق خاطر زماني براي بشر امروزي محقق مي‌شود كه پاسخ درستي در ارتباط با اين دغدغه خود داشته باشند. 

البته هيچ اجباري در اين كورس رقابتي براي هيچ جامعه‌اي مسلما وجود نخواهد داشت اما قريب به يقين وقتي اطلاعات بانكي سه ميليون كاربر در ابعاد يك جامعه تهديد شود، ناخود آگاه به دغدغه‌هاي اين حوزه و چالش‌هاي احتمالي كه مي‌تواند وجود داشته باشد، پي خواهند برد.

فن‌آوري اطلاعات تنها يك لفظ است و پياده‌سازي آن بسترها و چارچوب‌ها را بر دانش اطلاعات مستقر مي‌كند كه فونداسيون اين بنا را راهكارهاي حفظ و حراست از حريم خصوصي تشكيل مي‌دهد و درواقع اگر چنين شاكله‌اي وجود نداشته باشد، سازه استوار نبوده و در برابر هر تهديد خارجي امكان فرو پاشي‌اش وجود دارد.

همانطور كه سازه‌هاي فيزيكي براي مردم يك جامعه از اهميت ويژه‌اي برخوردار است و براي ساخت آن از هر منبعي استفاده كرده و اسكلتي قرص و محكم را بر روي زميني باير مي‌ايستانند پس با همين برداشت وقتي اماكن و سازه‌ها معنايي ديگر گرفتند به همين ترتيب بايد به فكر مصالحي مقاوم براي پايداري سازه احداثي بود تا بتوان ضمانتي براي استحكام آن داشت.

امنيت اطلاعات مانند اين اسكلت است كه اگر دانش آن برگرفته از علم مهندسي روز باشد به راحتي در برابر تهديداتي همچون سيل و زلزله مجازي تسليم نخواهد شد و بنا را حفظ مي‌كند؛ اين مطلب اگر چه در دنياي الكترونيك چندان مصداقي ندارد و شايد در پاره‌اي از موارد به دليل اينكه امنيت در اين فضاها به صورت صد درصد تعريف نمي‌شود با پارادكس روبرو شود اما در كل به اين نتيجه رسيده‌اند كه هرچه پي و فونداسيون مجموعه قوي‌تر باشد به امنيت سازه كمك خواهد كرد.

ترس و وحشتي را كه مي‌شود از ديدگان مردم در روزهاي منتشر شدن اخباري مبني بر فاش شدن اطلاعات كارتهاي اعتباري يا بانكي ديد، خود گوياي همه چيز مي‌تواند باشد و نيازي به توضيح دراين باره نيست و شايد بشود به اين نكته اكتفا كرد كه پير و جوان و با سواد و بي‌سواد معتقد بودند وقتي توانايي برقراري امنيت براي كاربران وجود نداشته باشد، ممكن است سرمايه مردم در معرض خطر قرار بگيرد.

در بيان اهميت اين حوزه بايد گفت اگر درباره اموال و دارايي‌هايي از قبيل منزل و مغازه خود نيز به اين اندازه سهل‌انگار بوديم، شايد به نوعي بايد قيد برخي اجناس و لوازم قيمتي خود را مي‌زديم و حال در فضاي اينترنت كه هر فرد، ارگان، سازمان و نهادي مي‌تواند داراي منزلگاهي ويژه باشد بايد قفل و زنجيري درست را براي ايمن كردن اين خانه در نظر گرفت كه يكي از اين راهكارها به استخدام درآوردن عده‌اي است كه توانمندي تحليل موقعيت را داشته باشند و تمامي منافذ را كشف كرده و براي آنها حفاظي را قرار دهند.

البته راهكار پراهميت‌تر اين است كه هر نوع اطلاعات حياتي را در اختيار افراد و كارشناسان قرار ندهيم؛ درواقع نيازي وجود ندارد كه براي ايمن كردن فيزيك يك سازه بخواهيم اطلاعاتي از لوازم موجود در آن را در اختيار كارشناسان قرار دهيم تا آن‌ها را ايمن كنند چراكه وظيفه آن‌ها بايد ايمن‌سازي همه‌جانبه محيطي باشد و اگر به فرض اين اطلاعات در اختيار آن‌ها قرار بگيرد، خودشان مي‌توانند در آينده مخاطره‌ساز باشند و با گذشتن از تمامي مسيرهاي ايمني كه خود اتخاذ كرده‌اند، زمينه‌هاي مخاطره‌سازي را به ارمغان آورند.

رامين نوري كه يك كارشناس امنيت شبكه است به لايه‌هاي غير ايمن شبكه در كشور ما در حوزه بانكي اشاره كرد و گفت: به عنوان مثال شاهد هستيم كه در برخي شعب بانكي و در برخي مؤسسات بانكي تنها براي حفاظت سيستم‌هاي خود و پرسنل‌شان از وجود راه‌هاي دررو (Back Door) از ضد بدافزارهاي الكترونيكي استفاده مي‌شود.

وي معتقد است نرم‌افزارهايي كه به صورت پشتيبان و آنتي‌ويروس در اين مؤسسات به كار مي‌روند به صورت ساختاري، توليد كشورهايي ديگر است كه در به روزرساني‌ها مي‌توانند بنا به سلايق خود برخي روزنه‌ها و تهديدات را بلوكه كرده و سيستم‌هاي كاربري را متوجه به روزرساني‌ها نكنند كه اين مي‌تواند فاجعه به بار آورد.

او خاطر نشان كرد: به دليل اينكه نتوانستم به داخل اين مجموعه‌ها راه پيدا كنم، نمي‌توانم اظهارنظري هم در اين مورد داشته باشم اما آنطور كه از ظاهر قضايا برمي‌آيد به دليل اينكه اطلاعات بانكي از طريق ATM ،POS و سيستم‌هاي اينترنتي مورد تهديد قرار گرفته‌اند مسلما در گذرگاه‌هايي با يكديگر در شبكه تلاقي داشته‌اند كه فرد نفوذگر به راحتي توانسته از دروازه‌هاي اينترنتي خود را به شبكه‌اي وارد كند كه در اصل بين بانك‌ها وجود دارد و از شبكه جهاني جداست؛
 
البته در اينجا بحث ديگري مطرح بوده كه ارائه‌دهندگان خدمات پايانه بانكي خود در اين موضوع شركت داشته‌اند و بر اساس سامانه‌هايي (PSP) كه تدارك ديده بودند، زمينه‌هاي دسترسي غيرمجاز نيز براي آن‌ها وجود داشته است.

نوري درباره اينكه شبكه‌هاي بانكي مستقر در ديگر نقاط جهان به شكلي فعاليت مي‌كنند كه امنيت آن‌ها تا حد قابل قبولي محقق شده است، اظهار كرد: سامانه‌ها در دو بعد آنلاين و آفلاين (شبكه‌هاي اختصاصي) تعريف شده‌اند و حتي هنگام ارتباط با شبكه‌ جهاني اينترنت، اطلاعات رمزنگاري مي‌شوند تا در كانال مديا با مشكل و شنودي روبرو نشوند و علاوه بر آن هر سيستم بانكي، بخشي مجزا با عنوان مديريت امنيت اطلاعات دارد كه اشخاص فعال در آن استخدام رسمي هستند و به دليل برخي دسترسي‌هاي آن‌ها به اطلاعات محرمانه از آن‌ها تعهداتي نيز گرفته مي‌شود.

اين بخش كه شايد در كشور ما نيز در سازمان‌هاي مختلف وجود داشته باشد كه با نفوذهاي اخيري از جمله حمله استاكس نت، دوكو و وايپر نشان داد كه چندان قدرتمند نيست و يا شايد رسالت آن‌ها چندان جدي گرفته نشده بود، چندي است اما مسوولين وزارت ارتباطات و مخصوصا سازمان فن‌آوري اطلاعات را برآن داشت تا با راه چاره خود از بحث فني به گسترش امينت اطلاعات سازماني اقدام كنند.

مديريت امنيت اطلاعات و يا همان طرح ISMS كه اخيرا به صورت جدي در كشور شروع به كار كرد و چهار شركت مشاور در اين زمينه معرفي شدند كه سازمان‌ها توسط آن‌ها، مي‌توانند اقدامات امنيتي را ايجاد كرده و يا توسعه دهند و درنهايت با تأييد تمام موارد امنيتي، گواهي‌نامه دريافت كنند كه اين مي‌تواند نقطه عطفي براي تغييرات شيب نمودار اين حوزه در آينده باشد تا امنيت صرفا به معناي آن نباشد كه ديگر ويروس و دسترسي غيرمجاز به سامانه‌ها وجود نداشته باشد بلكه حداقلي‌هاي امنيت‌ رعايت شود و بار هزينه‌اي اين گونه اقدامات به حداقل برسد.