س: با توجه به تخصص شما در زمينه امنيت شبكه، بيشتر منظور ما ارزيابی امنيت موجود در اين خدمات است...

ج: متاسفانه ضعف‌های امنيتی اين سيستم‌ها كم نيست، ولی خيلی كم به آنها توجه شده است. در باره ضعف‌های امنيتی اين نوع سيستم‌ها، انتظار می‌رفت که طراحان و مجريان سرويس‌ها از تجربيات و روشهای امنيتی بکار گرفته شده در سيستم‌های بانکی کشورهای پيشرفته که حداقل 10 سال جلوتر از ما اين سرويس‌ها را پياده‌سازی کرده و در محيط پر خطر از نظر ميزان نفوذ و حمله‌ها، تجربه عملی کسب کرده‌اند، استفاده می‌کردند. اما متاسفانه در مواردی به علت عدم آگاهی و دانش کافی مجری سيستم و نيز عدم رقابتی بودن اجرای چنين پروژه هايی نکات امنيتی و حفاظتی ناديده گرفته شده اند.

س: با توجه به اهميت امنيت در سيستم‌های بانكی به دليل تاثيرات مستقيم مالی بر مردم و دولت، منشاء بيشتر اين ضعف‌های امنيتی از نگاه شما چيست؟

ج: در کل فرهنگ استفاده از مشاوره‌های امنيتی و تست‌های امنيتی (Penetration Test) در جامعه IT کشور و متوليان اجرای پروژه‌های IT ضعيف است. از طرفی در اين مورد خاص انحصاری نمودن اجرای پروژه‌های بانکی به يک مجموعه يا شرکت خاص باعث شده که مجال ارائه مشاوره و پيشنهادات در مورد امنيت سيستم از گروههای فعال و متخصص در اين زمينه گرفته شود. به عنوان مثال مواردی وجود داشته است که گزارش يک ضعف امنيتی داده شده و برای ارائه راهکار اعلام آمادگی شده است اما عموما با موضعگيری مجموعه مقابل يا پيمانکاران آنان مواجه شده‌ايم و عملا از پيگيری موضوع دلسرد شده‌ايم. متاسفانه اين ديد در بسياری از شرکت‌های متخصص اجرای طرح‌های نرم‌افزاری يا سيستم‌های رايانه‌ای وجود دارد که کد يا سيستم طراحی شده توسط آنان هيچ ايراد يا ضعف امنيتی ندارد در صورتی که متخصصان آنان شايد در زمينه برنامه‌نويسی ، توليد نرم‌افزار يا پياده‌سازی شبکه‌های رايانه‌ای خبره باشند اما نمی‌توان ادعا کرد که در زمينه‌های امنيتی نيز که خارج از تخصص شرکت است، احاطه کامل دارند. به قول معروف همه چيز را همگان دانند.
 در صورت ادامه چنين روندی، متاسفانه می‌توان پيش‌بينی کرد که در آينده‌ای نزديک در سيستم‌های رايانه‌ای عمومی ديگر شاهد بروز چنين وضعی باشيم.

س: با توجه به خبر منتشره در يكی از سايت‌ها در باره خسارت مالی زياد يك بانك به دليل نقائص امنيتی، از آنجا كه جزئيات زيادی از آن منتشر نشده، شما در اين زمينه چيزی شنيده‌ايد؟ و نقص مورد نظر از ديد شما چه بوده است؟

ج: در مورد نام بانک و شرکت مجری سيستم آن به علت تبعات احتمالی آن نمی‌توانم اظهار نظر کنم. سيستم‌های بانکی فعلی يک سری ضعف‌های امنيتی مشترک و کلی در بستر ارتباطی خود دارند که البته در اين مورد خاص بعيد می‌دانم که از اين ضعف برای نفوذ استفاده شده باشد. بيشتر احتمال روی نفوذ به شبکه شرکت مجری طرح که وظيفه مونيتورينگ سيستم را داشته از طريق يک اتصال اينترنتی محافت نشده مانند Gateway خريد Online بانک يا خطوط Dial-up است.

س: آيا از وجود برنامه و ساختار فنی مناسب برای بررسی امنيتی سرويس‌های مختلف در بانك‌ها اطلاعی داريد؟

ج: مسلما مجری اين طرح‌ها که تابحال يک شرکت خاص بوده است، در اين زمينه ادعا دارد که البته قابل توجه و بررسی است. اما چيزی که واضح است اين است که امور امنيتی چنين طرح‌های حساسی بايد به شرکت‌ها و مجموعه‌های متخصص در زمينه امنيت رايانه‌ای سپرده شود.

س: آيا برنامه و نگاه كلان در مديران و نيز تمهيدات لازم در سيستم بانكی برای توجه به موضوع امنيت در شبكه‌های بانكی وجود دارد؟

ج: خوشبختانه از چند ماه پيش طبق خبری که در مطبوعات اعلام شد، بانک‌ها در اجرای چنين پروژه‌هايی ملزم به استفاده از خدمات يک مجموعه خاص نيستند. به اين ترتيب در صورت اثبات ضعف يا عدم توانايی يک مجموعه، امکان استفاده از توانايی‌ها و استعدادهای داخلی برای اصلاح يا اجرای اين سيستم‌هايی وجود دارد.، که طبيعتا اين می‌تواند گامی در بهبود امنيت اين سيستم‌ها باشد.

نظرات شما عزیزان:

نام :

آدرس ایمیل:

وب سایت/بلاگ :

متن پیام:

نظر خصوصی

 کد را وارد نمایید:

 

 

 

عکس شما

آپلود عکس دلخواه: