علیاکبر کاظمینیا، مدیرعامل شرکت کاشف در گفتوگو با خبرنگار ایبِنا اظهار کرد: شرکت کاشف بهطورکلی با توجه به وظایفی که دارد در سه حوزه عملیاتی اصلی پیشگیری، ارزیابی و نظارت، رسیدگی و پاسخگویی به تهدیدها و رخدادهای امنیتی فعالیت میکند. هرکدام از این حوزههای عملیاتی اهمیت خاص خودشان را دارند و نمیتوان برای آنها اولویتی تعیین کرد. شرکت کاشف بنا به شرایط زمانی خاص ممکن است به درخواست بانک مرکزی به حوزهای با انرژی بیشتری ورود کند.
پیشگیری از رخدادهای امنیتی
کاظمی نیا در رابطه با اقدامات حوزه پیشگیری شرکت کاشف در دو سال گذشته گفت: اقدامات و مأموریتی که بانک مرکزی در حوزه پیشگیری به شرکت کاشف محول کرده، بیشتر در راستای تهیه گزارشها، هشدارهای امنیتی، تهیه و تنظیم قوانین و مقررات است که در نهایت توسط بانک مرکزی به شکل بخشنامه برای بانکها ارسال میشود.
وی ادامه داد: در حوزه پیشگیری یک تیم رصد و پایش وجود دارد که آسیبپذیریها و نقاط ضعف ابزارهای پرداخت را شناسایی میکند. این تیم ۱۴۰۰ گزارش از نقاط ضعف و آسیبپذیری ابزارهای عمومی شبکه پرداخت و بانکهای کشور را در دو سال گذشته تدوین و برای شبکه بانکی ارسال کرده است.
مدیرعامل شرکت کاشف با تاکید بر اینکه در این گزارش و هشدارها علاوه بر معرفی آسیبپذیریها و نقاط ضعف، روال رفع آنها هم مطرح شده است، گفت: درخصوص شناسایی بدافزارها و کدهای مخرب، ۱۰ گزارش برای آسیبپذیریها و خطر کدهای مخرب و بدافزارها نوشته و روال رفع آنها هم مشخص شده است. برخی برنامکهای جعلی نیز وجود دارند که مشتریان بانکها با آنها مواجه هستند؛ خصوصاً در رابطه با سرقت رمز پویا که اخیراً در چند ماه گذشته بهصورت متعدد شاهد آنها بودیم نیز ۲۰۰ گزارش در بخش رصد کاشف شناسایی و به شبکه بانکی اعلام شده است.
وی افزود: در حوزه پیشگیری بیشتر موارد بهصورت هشدار بوده و علاوه بر این، شرکت کاشف مجموعهای از الزامات، قوانین و مقررات را نیز تهیه کرده که توسط بانک مرکزی به شکل بخشنامه به شبکه بانکی ابلاغ و مجموعاً حدود ۲۱ مورد الزامات و قوانین و مقررات تدوین و نگارش شده است.
راهاندازی آزمایشگاه تخصصی ارزیابی امنیتی
مدیرعامل شرکت کاشف در اشاره به اقدامات شرکت کاشف در حوزه نظارت و ارزیابی گفت: شرکت کاشف از حدود یک سال گذشته ، بنا به دستور بانک مرکزی، آزمایشگاه مرجع تخصصی ارزیابی امنیتی را راهاندازی کرد که در مراحل پایانی اخذ مجوز از مراجع بالادستی است و در این صورت در شرکت کاشف یک آزمایشگاه ارزیابی امنیتی وجود دارد که تأییدیه افتا(سازمان فناوری اطلاعات) و نهادهای بالادستی را گرفته است.
کاظمی نیا با تاکید بر اینکه تعداد محدودی آزمایشگاه معتبر مورد تأیید افتا در کشور وجود دارد، اظهار کرد: کاشف هم در این حوزه وارد شده و ضمن هماهنگی و همکاری با سایر آزمایشگاهها به ارتقا امنیت بانکها کمک میکند. شرکت کاشف برای ارزیابی امنیتی برنامکهای تلفن همراه، ارزیابی امنیتی برنامکهای تحت وب و زیرساختهای شبکه در این آزمایشگاه به امنیت شبکه بانکی کمک خواهد کرد.
وی با اشاره به آمار و ارقام افزود: ازنظر آماری با توجه به زمان کمی که از تأسیس این آزمایشگاه گذشته حدود ۴۴ سامانه بانکی، ۳۸ برنامک تلفن همراه متعلق به بعضی بانکها و PSP ها به دست ما رسیده که آنها را تست و ارزیابی کردهایم وگزارشهایی را که نشان میدهد این برنامهها منطبق با استانداردهای امنیتی هستند یا خیر را برای بانک ها ، شرکتها و بانک مرکزی ارسال کردهایم.
آزمایش کارکرد رمز پویا، سامانه پیچک و مراکز تماس بانکها
مدیرعامل شرکت کاشف با اشاره به انجام آزمونهای کارکردی توسط شرکت کاشف، گفت: حدود دو سال پیش، زمانی که عملیاتی کردن رمز پویا به بانکها تکلیف شد، آزمون کارکرد و عملکرد رمز پویا توسط بانکها و ارسال و دریافت پیامکها به شرکت کاشف واگذار شد. اخیراً هم بر اساس قانون جدید چک، سامانه پیچک راهاندازی شده که یکی از وظایف کاشف ارزیابی کارکرد سامانه پیچک و ارسال گزارش آن به بانک مرکزی بود. ضوابط و استانداردهای امنیتی موجود در رابطه با این سامانهها را با ارزیابی این سامانهها و با اشاره به رعایت شدن یا نشدن این ضوابط امنیتی در گزارش های ارسال شده مطرح میکنیم.
وی در ادامه افزود: همینطور ارزیابی مراکز تماس بانکها به کاشف سپرده شده بود که با بانکها بهصورت ناشناس و هدفمند در ساعات اداری و غیر اداری تماس گرفته میشد تا عملکرد بانکها در حوزه مراکز تماس سنجیده شود که این گزارشها به شکل محرمانه برای بانک مربوطه و بانک مرکزی ارسال میشد تا نقاط ضعف و کاستیها پوشش داده شود.
پیمایش نقاط ضعف امنیتی بانکها
کاظمینیا با تأکید بر تکلیف بانک مرکزی بر پایش و پیمایش نقاط ضعف امنیتی بانکها گفت: در حوزه ارزیابی امنیتی و ممیزی از طرف بانک مرکزی خواسته شده بود تا پیمایشی در نقاط ضعف امنیتی در حوزههای مختلف بانکها صورت گیرد و چون دسترسی مستقیم به داراییهای بانکها نداشتیم، پرسشنامههایی را در اختیار بانکها قرار دادیم و بهصورت خود اظهاری نتایج خوبی به دست آمد که آنها را در اختیار بانک مرکزی و بانکهای مربوطه گذاشتیم.
وی با اشاره به اینکه در سه سال گذشته سه گزارش امنیتی مفصل در خصوص امنیت بانکها داشتهایم اظهار کرد: در حوزه نظارت و ارزیابی در نظام بانکی نقطه ضعف و کمبودهایی در حوزه کنترلهای امنیتی وجود داشت. خیلی از بانکها در حال استقرار و پیادهسازی سیستم مدیریت امنیت اطلاعات یا همان ISMS هستند که در کنار نقاط قوت از نقاط ضعفی هم برخوردار است.
کاظمی نیا ادامه داد: یکی دیگر از تکالیف و مأموریتهای کاشف ایجاد یک چارچوب کنترل امنیتی در حوزه مدیریت امنیت اطلاعات است که از حدود سه سال گذشته با یک کار مطالعاتی و پژوهشی گسترده در شرکت کاشف شروع شد. چارچوب این کنترلهای امنیتی مبتنی بر مدیریت امنیت اطلاعات، استانداردهای بینالمللی و اسناد بالادستی است و در واقع تشکیل شده از انتظارات جمع آوری شده در مرکز ملی فضای مجازی، پدافند غیرعامل و افتای ریاست جمهوری است که در قالب یک چارچوب کنترل امنیتی تدوین شده و در اختیار همه بانکها قرار گرفته است و با جمع خبرگانی که روی این پروژه کار کردهاند به یک جمعبندی نهایی رسیدیم که مورد تأیید افتا هم قرار گرفته و در آینده نزدیک این کنترلهای امنیتی در قالب یک سند به همه بانکها ابلاغ میشود و داشبوردی در اختیار بانک مرکزی قرار میگیرد که با کمک آن میتواند در هرلحظه بلوغ امنیتی هر بانک را ارزیابی کند. بهاینترتیب بانک مرکزی میتواند سامانههای مستقر در بانکها را طبقهبندی کند و از میزان اثربخشی و پیادهسازی کنترلهای امنیتی در بانکها هم مطلع باشد. تمام این اطلاعات به شکل محرمانه در اختیار بانک مرکزی خواهد بود و بانک مرکزی میتواند دستاوردهای این پایش را با شبکه بانکی به اشتراک بگذارد.
اقدامات حوزه رسیدگی و پاسخگویی
مدیرعامل کاشف در رابطه با اقدامات حوزه رسیدگی و پاسخگویی گفت: حوزه سوم و پایانی که بیشتر فعالیت کاشف در این زمینه بوده است، بحث رسیدگی و پاسخگویی به رخدادهاست. یکی از مواردی که در این زمینه داشتیم شناسایی اقدامات غیرمجاز یا استفاده غیرمجاز از ابزارهای پرداخت بوده است. در دو سال گذشته چیزی نزدیک به ۵۰ هزار کارت بانکی که از آنها در کسبوکارهای غیرمجاز بهویژه در حوزه قمار و شرطبندی سوءاستفاده میشد، شناسایی شده و به مراجع ذیصلاح اعلام شد تا پیگیری و اقدامات لازم را انجام دهند. علاوه بر این، حدود ۴۵ هزار درگاه غیر مجاز شناسایی شد که به شکل غیرمجاز از شبکه پرداخت استفاده میکردند که پس از شناسایی به مراجع مربوطه معرفی شدند.
هشدار در مورد نصب نرمافزار از سایتهای غیر معتبر
کاظمینیا با تأکید فراوان بر اینکه مردم نرمافزارهای موردنیاز خود را از سایتهای معتبر دانلود کنند گفت: در حوزه فیشینگ که در اینترنت بانک و سایر بخشها این واژه خیلی به گوشمان خورده، در دو سال گذشته بیش از ۴۰ هزار مورد فیشینگ شناسایی شد که با تعامل خوبی که با دوستان و همکاران در پلیس فتا و دادستانی داشتیم، بعد از شناسایی بهصورت مکانیزه اطلاعات ارسال شده و نسبت به مسدودسازی سایتها اقدام شد.
وی با اشاره به اینکه در رابطه با فیشینگ ضعفهایی در عامه مردم هست، تصریح کرد: بیشترین جرایم کلاهبرداری در اثر نصب برنامکهای تلفنهای همراه از سایتهای غیر معتبر است که به گفته پلیس و نهادهایی که درگیر پرونده قضایی هستند، شاید این بیشترین آسیبپذیری در حوزه امنیت اطلاعات بانکی برای مردم است که با نصب بدافزار در تلفن همراه هوشمند اطلاعات هویتی، حساب بانکی و رمز پویا افشا میشود و از آن سوءاستفاده میشود. پیشنهاد میشود افرادی که برای عملیات بانکی از تلفن همراه استفاده میکنند، نصب نرمافزارهای تلفن همراه خود را تنها از سایتها و مراجع معتبر انجام دهند.
وی تاکید کرد که برای رفع این مشکل برنامههایی در نظر گرفته شده که ۳۰ موشنگرافی و فیلم آموزشی برای مخاطبین عمومی تهیهشده و همچنین در حال تولید فیلمهای آموزشی برای عموم مردم هستیم تا با کمک آنها از طریق رسانههای عمومی و مجازی سناریوها و روشهای پیشگیری از کلاهبرداری را به اطلاع مردم برسانیم. البته در تعامل با برخی از شرکتهایی که عرضه برنامه ها را انجام میدهند، کارهایی در دست انجام است که بتوان با یک امضای الکترونیکی از اصالت و امنیت برنامههایی که در سایتها قرار گرفته و در اختیار مردم قرار میگیرد، اطمینان پیدا کرد که برنامهها جعلی و یا کد مخربی در آنها نباشد.
رمز ایستای خود را در اختیار دیگران قرار ندهید
کاظمی نیا با تاکید فراوان بر اینکه مردم باید از در اختیار گذاشتن رمز ایستای خود به دیگران خودداری کنند، افزود: از مواردی که اخیراً مشاهده شده افشای رمز ایستای کارتهاست که بهراحتی در هنگام خرید در اختیار دیگران قرار داده میشود که این کار باعث میشود کلاهبرداران بهراحتی از ترفندهای خود استفاده کرده و محتویات کارت را خالی کنند.
شناسایی آسیبپذیریهای نظام بانکی و ارائه راهکار رفع آنها
مدیر عامل شرکت کاشف با بیان اینکه یکی از بهترین اتفاقات در رسیدگی و پاسخگویی به اشتراک گذاشته شدن دستاوردهای آن بهصورت بینام است که باقی بانکها، نهادها، سازمانها و شرکتهای پرداخت هم بتوانند از این تجربه بهدستآمده استفاده کنند، اظهار کرد: یکی دیگر از اقدامات مهمی که انجام شده شناسایی آسیبپذیری و نقاط ضعف ابزارهای بانکی است که حدود ۲۰۹ مورد آسیبپذیری و ضعف در خدمات و محصولات بانکی شناسایی کرده و نوع آسیبپذیری و شیوه رفع آن را به شبکه بانکی اعلام کردیم و همچنین ۵۴ مورد آسیبپذیری در شرکتهای پرداخت شناسایی شد و به شکل گزارشهایی که آسیبپذیری و نقطهضعفها و همچنین روال رفع آنها را بیان میکرد، به بانکهای مربوطه و بانک مرکزی ارسال شد.
وی ادامه داد: حدود ۴۰ مورد هم رخداد، تهدید و نفوذ در شبکه بانکی اتفاق افتاده که در این موارد شرکت کاشف در کنار بقیه نهادهای امنیتی حضور پیدا کرده و گزارشهایی برای این رخدادها و راهحل آنها تهیه کرده که بهصورت بینام به اشتراک گذاشته شده است.
سامانه «سرآمد» پلی میان مراجع قضایی و نظام بانکی
مدیرعامل شرکت کاشف با معرفی کارکرد و تشریح عملکرد سامانه سرآمد افزود: شاید اولین خدمت مهمی که شرکت کاشف به شبکه بانکی و بقیه ذینفعان عرضه کرد، سامانهای با نام «سرآمد» با کاربرد رسیدگی به دستورات قضایی بود که شروع آن با یک تفاهمنامه سهجانبه که بانک مرکزی، معاونت فضای مجازی دادستانی و شرکت کاشف منعقد کردند، بود که درواقع تعامل بین دادستانی و شبکه بانکی را تسهیل میکند.
کاظمی نیا گفت: تا پیش از بهرهبرداری از سامانه سرآمد، در صورتی که مرجع قضایی و امنیتی میخواست دستوری برای بانک ارسال کند تا حسابی مسدود شود، این کار بهصورت مکاتبات اداری انجام میشد که حدود دو تا سه هفته طول میکشید اما راهاندازی این سامانه این روند را به چند دقیقه رسانده است. ثبت دستورات قضایی در سامانه سرآمد در کمترین زمان دستور به گیرنده اصلی میرسد و در حال حاضر تمامی بانکهای کشور، شرکتهای پرداخت، نهادهای برون بخشی مثل پلیس فتا، دادستانی و نهادهای مرتبط، به این سامانه دسترسی دارند.
وی همچنین با بیان اینکه شرکت کاشف متولی نگهداری و نظارت امنیتی بر سامانه سرآمد است، تصریح کرد: بر اساس اظهارات دادستان محترم کل کشور و با توجه به اعلام پلیس فتا، جرایم و کلاهبرداری سایبری در سال ۱۴۰۱ به شکل چشمگیری کاهش پیدا کرده که یکی از دلایل این کاهش را وجود سامانه سرآمد اعلام کردند و برای بانک مرکزی دستاورد بسیار خوبی بوده که توانسته یک تعامل برون بخشی بین شبکه بانکی و نهادهای بالادستی ایجاد کند. در دو سال گذشته بالغ بر دو میلیون پرونده قضایی در سامانه سرآمد ثبت شده است. گزارشی که پلیس فتا و دادستانی بهعنوان متولیان ثبت دستورات قضایی دادهاند، نشان از کاهش حدود ۵۰ درصدی جرائم سایبری و کلاهبرداری در سال ۱۴۰۱ دارد.