کاهش ۵۰ درصدی جرائم سایبری با اقدامات کاشف / هشدار‌های امنیتی که مردم باید بدانند

علی‌اکبر کاظمی‌نیا، مدیرعامل شرکت کاشف در گفت‌وگو با خبرنگار ایبِنا اظهار کرد: شرکت کاشف به‌طورکلی با توجه به وظایفی که دارد در سه حوزه عملیاتی اصلی پیشگیری، ارزیابی و نظارت، رسیدگی و پاسخگویی به تهدیدها و رخدادهای امنیتی فعالیت می‌کند. هرکدام از این حوزه‌های عملیاتی اهمیت خاص خودشان را دارند و نمی‌توان برای آن‌ها اولویتی تعیین کرد. شرکت کاشف بنا به شرایط زمانی خاص ممکن است به درخواست بانک مرکزی به حوزه‌ای با انرژی بیشتری ورود کند.

پیشگیری از رخدادهای امنیتی

کاظمی نیا در رابطه با اقدامات حوزه پیشگیری شرکت کاشف در دو سال گذشته گفت: اقدامات و مأموریتی که بانک مرکزی در حوزه پیشگیری به شرکت کاشف محول کرده، بیشتر در راستای تهیه گزارش‌ها، هشدارهای امنیتی، تهیه و تنظیم قوانین و مقررات است که در نهایت توسط بانک مرکزی به شکل بخشنامه برای بانک‌ها ارسال می‌شود.

وی ادامه داد: در حوزه پیشگیری یک تیم رصد و پایش وجود دارد که آسیب‌پذیری‌ها و نقاط ضعف ابزارهای پرداخت را شناسایی می‌کند. این تیم ۱۴۰۰ گزارش از نقاط ضعف و آسیب‌پذیری ابزارهای عمومی شبکه پرداخت و بانک‌های کشور را در دو سال گذشته تدوین و برای شبکه بانکی ارسال کرده است.

مدیرعامل شرکت کاشف با تاکید بر اینکه در این گزارش و هشدارها علاوه بر معرفی آسیب‌پذیری‌ها و نقاط ضعف، روال رفع آن‌ها هم مطرح شده است، گفت: درخصوص شناسایی بدافزارها و کدهای مخرب، ۱۰ گزارش برای آسیب‌پذیری‌ها و خطر کدهای مخرب و بدافزارها نوشته و روال رفع آن‌ها هم مشخص شده است. برخی برنامک‌های جعلی نیز وجود دارند که مشتریان بانک‌ها با آن‌ها مواجه هستند؛ خصوصاً در رابطه با سرقت رمز پویا که اخیراً در چند ماه گذشته به‌صورت متعدد شاهد آن‌ها بودیم نیز ۲۰۰ گزارش در بخش رصد کاشف شناسایی و به شبکه بانکی اعلام شده است.

وی افزود: در حوزه پیشگیری بیشتر موارد به‌صورت هشدار بوده و علاوه بر این، شرکت کاشف مجموعه‌ای از الزامات، قوانین و مقررات را نیز تهیه کرده که توسط بانک مرکزی به شکل بخشنامه به شبکه بانکی ابلاغ و مجموعاً حدود ۲۱ مورد الزامات و قوانین و مقررات تدوین و نگارش شده است.

راه‌اندازی آزمایشگاه تخصصی ارزیابی امنیتی

مدیرعامل شرکت کاشف در اشاره به اقدامات شرکت کاشف در حوزه نظارت و ارزیابی گفت: شرکت کاشف از حدود یک سال گذشته ، بنا به دستور بانک مرکزی، آزمایشگاه مرجع تخصصی ارزیابی امنیتی را راه‌اندازی کرد که در مراحل پایانی اخذ مجوز از مراجع بالادستی است و در این صورت در شرکت کاشف یک آزمایشگاه ارزیابی امنیتی وجود دارد که تأییدیه افتا(سازمان فناوری اطلاعات) و نهادهای بالادستی را گرفته است.

کاظمی نیا با تاکید بر اینکه تعداد محدودی آزمایشگاه معتبر مورد تأیید افتا در کشور وجود دارد، اظهار کرد: کاشف هم در این حوزه وارد شده و ضمن هماهنگی و همکاری با سایر آزمایشگاه‌ها به ارتقا امنیت بانک‌ها کمک می‌کند. شرکت کاشف برای ارزیابی امنیتی برنامک‌های تلفن همراه، ارزیابی امنیتی برنامک‌های تحت وب و زیرساخت‌های شبکه در این آزمایشگاه به امنیت شبکه بانکی کمک خواهد کرد.

وی با اشاره به آمار و ارقام افزود: ازنظر آماری با توجه به زمان کمی که از تأسیس این آزمایشگاه گذشته حدود ۴۴ سامانه بانکی، ۳۸ برنامک تلفن همراه متعلق به بعضی بانک‌ها و PSP ها به دست ما رسیده که آن‌ها را تست و ارزیابی کرده‌ایم وگزارش‌هایی را که نشان می‌دهد این برنامه‌ها منطبق با استانداردهای امنیتی هستند یا خیر را برای بانک ها ،  شرکت‌ها و بانک مرکزی ارسال کرده‌ایم.

آزمایش کارکرد رمز پویا، سامانه پیچک و مراکز تماس بانک‌ها

مدیرعامل شرکت کاشف با اشاره به انجام آزمون‌های کارکردی توسط شرکت کاشف، گفت: حدود دو سال پیش، زمانی که عملیاتی کردن رمز پویا به بانک‌ها تکلیف شد، آزمون کارکرد و عملکرد رمز پویا توسط بانک‌ها و ارسال و دریافت پیامک‌ها به شرکت کاشف واگذار شد. اخیراً هم بر اساس قانون جدید چک، سامانه پیچک راه‌اندازی شده که یکی از وظایف کاشف ارزیابی کارکرد سامانه پیچک و ارسال گزارش آن به بانک مرکزی بود. ضوابط و استانداردهای امنیتی‌ موجود در رابطه با این سامانه‌ها را با ارزیابی این سامانه‌ها و با اشاره به رعایت شدن یا نشدن این ضوابط امنیتی در گزارش های ارسال شده مطرح می‌کنیم.

وی در ادامه افزود: همین‌طور ارزیابی مراکز تماس بانک‌ها به کاشف سپرده شده بود که با بانک‌ها به‌صورت ناشناس و هدفمند در ساعات اداری و غیر اداری تماس گرفته می‌شد تا عملکرد بانک‌ها در حوزه مراکز تماس سنجیده شود که این گزارش‌ها به شکل محرمانه برای بانک مربوطه و بانک مرکزی ارسال می‌شد تا نقاط ضعف و کاستی‌ها پوشش داده شود.

پیمایش نقاط ضعف امنیتی بانک‌ها

کاظمی‌نیا با تأکید بر تکلیف بانک مرکزی بر پایش و پیمایش نقاط ضعف امنیتی بانک‌ها گفت: در حوزه ارزیابی امنیتی و ممیزی از طرف بانک مرکزی خواسته شده بود تا پیمایشی در نقاط ضعف امنیتی در حوزه‌های مختلف بانک‌ها صورت گیرد و چون دسترسی مستقیم به دارایی‌های بانک‌ها نداشتیم، پرسشنامه‌هایی را در اختیار بانک‌ها قرار دادیم و به‌صورت خود اظهاری نتایج خوبی به دست آمد که آن‌ها را در اختیار بانک مرکزی و بانک‌های مربوطه گذاشتیم.

وی با اشاره به اینکه در سه سال گذشته سه گزارش امنیتی مفصل در خصوص امنیت بانک‌ها داشته‌ایم اظهار کرد: در حوزه نظارت و ارزیابی در نظام بانکی نقطه ‌ضعف و کمبودهایی در حوزه کنترل‌های امنیتی وجود داشت. خیلی از بانک‌ها در حال استقرار و پیاده‌سازی سیستم مدیریت امنیت اطلاعات یا همان ISMS هستند که در کنار نقاط قوت از نقاط ضعفی هم برخوردار است.

کاظمی نیا ادامه داد: یکی دیگر از تکالیف و مأموریت‌های کاشف ایجاد یک چارچوب کنترل امنیتی در حوزه مدیریت امنیت اطلاعات است که از حدود سه سال گذشته با یک کار مطالعاتی و پژوهشی گسترده در شرکت کاشف شروع شد. چارچوب این کنترل‌های امنیتی مبتنی بر مدیریت امنیت اطلاعات، استانداردهای بین‌المللی و اسناد بالادستی است و در واقع تشکیل شده از انتظارات جمع آوری شده در مرکز ملی فضای مجازی، پدافند غیرعامل و افتای ریاست جمهوری است که در  قالب یک چارچوب کنترل امنیتی تدوین شده و در اختیار همه بانک‌ها قرار گرفته است و با جمع خبرگانی که روی این پروژه کار کرده‌اند به یک جمع‌بندی نهایی رسیدیم که مورد تأیید افتا هم قرار گرفته و در آینده نزدیک این کنترل‌های امنیتی در قالب یک سند به همه بانک‌ها ابلاغ می‌شود و داشبوردی در اختیار بانک مرکزی قرار می‌گیرد که با کمک آن می‌تواند در هرلحظه بلوغ امنیتی هر بانک را ارزیابی کند. به‌این‌ترتیب بانک مرکزی می‌تواند سامانه‌های مستقر در بانک‌ها را طبقه‌بندی کند و از میزان اثربخشی و پیاده‌سازی کنترل‌های امنیتی در بانک‌ها هم مطلع باشد. تمام این اطلاعات به شکل محرمانه در اختیار بانک مرکزی خواهد بود و بانک مرکزی می‌تواند دستاوردهای این پایش را با شبکه بانکی به اشتراک بگذارد.

اقدامات حوزه رسیدگی و پاسخگویی

مدیرعامل کاشف در رابطه با اقدامات حوزه رسیدگی و پاسخگویی گفت: حوزه سوم و پایانی که بیشتر فعالیت کاشف در این زمینه بوده است، بحث رسیدگی و پاسخگویی به رخدادهاست. یکی از مواردی که در این زمینه داشتیم شناسایی اقدامات غیرمجاز یا استفاده غیرمجاز از ابزارهای پرداخت بوده است. در دو سال گذشته چیزی نزدیک به ۵۰ هزار کارت بانکی که از آن‌ها در کسب‌وکارهای غیرمجاز به‌ویژه در حوزه قمار و شرط‌بندی سوءاستفاده می‌شد، شناسایی شده و به مراجع ذی‌صلاح اعلام شد تا پیگیری و اقدامات لازم را انجام دهند. علاوه بر این، حدود ۴۵ هزار درگاه غیر مجاز شناسایی شد که به شکل غیرمجاز از شبکه پرداخت استفاده می‌کردند که پس از شناسایی به مراجع مربوطه معرفی شدند.

هشدار در مورد نصب نرم‌افزار از سایت‌های غیر معتبر

کاظمی‌نیا با تأکید فراوان بر اینکه مردم نرم‌افزارهای موردنیاز خود را از سایت‌های معتبر دانلود کنند گفت: در حوزه فیشینگ که در اینترنت بانک و سایر بخش‌ها این واژه خیلی به گوشمان خورده، در دو سال گذشته بیش از ۴۰ هزار مورد فیشینگ شناسایی شد که با تعامل خوبی که با دوستان و همکاران در پلیس فتا و دادستانی داشتیم، بعد از شناسایی به‌صورت مکانیزه اطلاعات ارسال شده و نسبت به مسدودسازی سایت‌ها اقدام شد.

وی با اشاره به اینکه در رابطه با فیشینگ ضعف‌هایی در عامه مردم هست، تصریح کرد: بیشترین جرایم کلاهبرداری‌ در اثر نصب برنامک‌های تلفن‌های همراه از سایت‌های غیر معتبر است که به گفته پلیس و نهادهایی که درگیر پرونده قضایی هستند، شاید این بیشترین آسیب‌پذیری‌ در حوزه امنیت اطلاعات بانکی برای مردم است که با نصب بدافزار در تلفن همراه هوشمند اطلاعات هویتی، حساب بانکی و رمز پویا افشا می‌شود و از آن سوءاستفاده می‌شود. پیشنهاد می‌شود افرادی که برای عملیات بانکی از تلفن همراه استفاده می‌کنند، نصب نرم‌افزارهای تلفن همراه خود را تنها از سایت‌ها و مراجع معتبر انجام دهند.

وی تاکید کرد که برای رفع این مشکل برنامه‌هایی در نظر گرفته شده که  ۳۰ موشن‌گرافی و فیلم آموزشی برای مخاطبین عمومی تهیه‌شده و همچنین در حال تولید فیلم‌های آموزشی برای عموم  مردم هستیم تا با کمک آنها از طریق رسانه‌های عمومی و مجازی سناریوها و روش‌های پیشگیری از کلاهبرداری‌ را به اطلاع مردم برسانیم. البته در تعامل با برخی از شرکت‌هایی که عرضه برنامه ها را  انجام می‌دهند، کارهایی در دست انجام است که بتوان با یک امضای الکترونیکی از اصالت و امنیت برنامه‌هایی که در سایت‌ها قرار گرفته و در اختیار مردم قرار می‌گیرد، اطمینان پیدا کرد که برنامه‌ها جعلی و یا کد مخربی در آن‌ها نباشد.

رمز ایستای خود را در اختیار دیگران قرار ندهید

کاظمی نیا با تاکید فراوان بر اینکه مردم باید از در اختیار گذاشتن رمز ایستای خود به دیگران خودداری کنند، افزود: از مواردی که اخیراً مشاهده شده افشای رمز ایستای کارت‌هاست که به‌راحتی در هنگام خرید در اختیار دیگران قرار داده می‌شود که این کار باعث می‌شود کلاهبرداران به‌راحتی از ترفندهای خود استفاده کرده و محتویات کارت را خالی کنند.

شناسایی آسیب‌پذیری‌های نظام بانکی و ارائه راهکار رفع آن‌ها

مدیر عامل شرکت کاشف با بیان اینکه یکی از بهترین اتفاقات در رسیدگی و پاسخگویی به اشتراک گذاشته شدن دستاوردهای آن به‌صورت بی‌نام است که باقی بانک‌ها، نهادها، سازمان‌ها و شرکت‌های پرداخت هم بتوانند از این تجربه به‌دست‌آمده استفاده کنند، اظهار کرد:  یکی دیگر از اقدامات مهمی که انجام شده شناسایی آسیب‌پذیری و نقاط ضعف ابزارهای بانکی است که حدود ۲۰۹ مورد آسیب‌پذیری و ضعف در خدمات و محصولات بانکی شناسایی کرده و نوع آسیب‌پذیری و شیوه رفع آن را به شبکه بانکی اعلام کردیم و همچنین ۵۴ مورد آسیب‌پذیری در شرکت‌های پرداخت شناسایی شد و به شکل گزارش‌هایی که آسیب‌پذیری و نقطه‌ضعف‌ها و همچنین روال رفع آن‌ها را بیان می‌کرد، به بانک‌های مربوطه و بانک مرکزی ارسال شد.

وی ادامه داد: حدود ۴۰ مورد هم رخداد، تهدید و نفوذ در شبکه بانکی اتفاق افتاده که در این موارد شرکت کاشف در کنار بقیه نهادهای امنیتی حضور پیدا کرده و گزارش‌هایی برای این رخداد‌ها و راه‌حل‌ آن‌ها تهیه ‌کرده که به‌صورت بی‌نام به اشتراک گذاشته ‌شده است.

سامانه «سرآمد» پلی میان مراجع قضایی و نظام بانکی

مدیرعامل شرکت کاشف با معرفی کارکرد و تشریح عملکرد سامانه سرآمد افزود: شاید اولین خدمت مهمی که شرکت کاشف به شبکه بانکی و بقیه ذی‌نفعان عرضه کرد، سامانه‌ای با نام «سرآمد» با کاربرد رسیدگی به دستورات قضایی بود که شروع آن با یک تفاهم‌نامه سه‌جانبه که بانک مرکزی، معاونت فضای مجازی دادستانی و شرکت کاشف منعقد کردند، بود که درواقع تعامل بین دادستانی و شبکه بانکی را تسهیل می‌کند.

کاظمی نیا گفت: تا پیش از بهره‌برداری از سامانه سرآمد، در صورتی که مرجع قضایی و امنیتی می‌خواست دستوری برای بانک ارسال کند تا حسابی مسدود شود، این کار به‌صورت مکاتبات اداری انجام می‌شد که حدود دو تا سه هفته طول می‌کشید اما راه‌اندازی این سامانه این روند را به چند دقیقه رسانده است. ثبت دستورات قضایی در سامانه سرآمد در کمترین زمان دستور به گیرنده اصلی می‌رسد و در حال حاضر تمامی بانک‌های کشور، شرکت‌های پرداخت، نهادهای برون بخشی مثل پلیس فتا، دادستانی و نهادهای مرتبط، به این سامانه دسترسی دارند.

وی همچنین با بیان اینکه شرکت کاشف متولی نگهداری و نظارت امنیتی بر سامانه سرآمد است، تصریح کرد: بر اساس اظهارات دادستان محترم کل کشور و با توجه به اعلام پلیس فتا، جرایم و کلاهبرداری سایبری در سال ۱۴۰۱ به شکل چشمگیری کاهش پیدا کرده که یکی از دلایل این کاهش را وجود سامانه سرآمد اعلام کردند و برای بانک مرکزی دستاورد بسیار خوبی بوده که توانسته یک تعامل برون بخشی بین شبکه بانکی و نهادهای بالادستی ایجاد کند. در دو سال گذشته بالغ بر دو میلیون پرونده قضایی در سامانه سرآمد ثبت شده است. گزارشی که پلیس فتا و دادستانی به‌عنوان متولیان ثبت دستورات قضایی داده‌اند، نشان از کاهش حدود ۵۰ درصدی جرائم سایبری و کلاهبرداری در سال ۱۴۰۱ دارد.