به گزارش خبرنگار ایبنا، محمدرضا مانی یکتا؛ معاون اداره نظام پرداخت بانک مرکزی در همایش Cash با اشاره به اینکه موضوع امنیت اطلاعات و ملاحظات و نکات آن بسیار گسترده است، گفت: اوایل دهه ۸۰ مفهوم امنیت اطلاعات اصلاً به این شکل نبود و بسیار سادهتر بود و اساسا در دورههای تخصصی هم این حوزه تفکیک خاصی نداشت، هرچه جلوتر رفتیم در لایههای مختلف سامانههای اطلاعاتی اهمیت پیدا کرد.
وی افزود: در اواسط دهه ۸۰ موضوع امنیت اطلاعات بسیار داغ و جذابتر شد. من نخستین بار در آنجا بود که متوجه شدم فضای امنیت اطلاعات بسیار گسترده و وسیع است و از پایینترین لایهها و از سطوح نگهداری و حفظ دادهها و زیرساخت و شبکه شروع میشود تا بالاترین سطح که معمولاً در رویدادهای مختلف کمتر مورد توجه قرار گرفته است.
مانی یکتا ادامه داد: در همان دوران یک نقطه عطف دیگری در من ایجاد شد که مربوط به یک نویسنده معروف امریکایی بود، او دو کتاب در اوایل دهه ۹۰ میلادی در آمریکا نوشت، درست در زمانی که به جرم حمله سایبری به زیرساختهای دولتی محکوم شد و در دوران محکومیتش در زندان آن را نوشت، کتابی به نام هنر فریب که اساساً سعی کرد در قالبی جدید مفهوم این حوزه را مطرح کند.
معاون اداره نظام پرداخت بانک مرکزی گفت: وی این موضوع را مطرح کرد که برخی افراد، انرژی بسیار زیادی را میگذارند تا حفره و خلا امنیتی را پیدا کنند و بتوانند به سیستمهای امنیتی رخنه و نفوذ کنند. البته تاکید نویسنده کتاب این بود که خیلی سادهتر میتوان با مدیریت عامل انسانی و بدون نیاز به استفاده از ابزارها و رویکردهای تکنیکال به سیستم نفوذ و رخنه کنیم. کتاب نشان میدهد چقدر ساده میتوان توسط عوامل انسانی با مهندسی اجتماعی اطلاعاتی را به دست آورد که اساساً کسب این اطلاعات برای انجام یک عملیات امنیتی و نفوذ بسیار بسیار پیچیده است.
وی تصریح کرد: این نویسنده امریکایی چندی بعد کتاب دوم خود را با عنوان «هنر نفوذ» نوشت و آنجا سناریوهای امنیتی و نفوذ را خیلی جزئیتر مطرح کرد. دلیل اصلی اینکه من به این موضوع اشاره کردم این بود که اهمیت بالاترین لایه در مدیریت رخدادهای امنیتی چه پیش از رخداد و چه بعد از آن رخداد کمتر از مدیریت زیرساخت در لایههای دادهها و توسعه نیست و باید به این موضوع توجه ویژه شود.
وی افزود: در واقع در زنجیره مکانیزمهای امنیتی تمام قدرت یک زنجیر، قائل بر ضعیفترین حلقه زنجیره است.
معاون اداره نظام پرداخت بانک مرکزی تصریح کرد: اگر شما مدیریت مناسبی در بالاترین سطح ملاحظات امنیتی یعنی در بخش آموزش و آگاه سازی نداشته باشید تمام تلاشهایی که در سطوح میانی و پایین مدیریت حفظ امنیت زیرساختها انجام شده باطل میشود. چون این زنجیر تمام استحکامش تضعیف میشود مثل همان ضعیفترین حلقه که محل نفوذ و رخنه به سیستم امنیتی میشود.
مانی یکتا با اشاره به اینکه اساساً رویکرد این بخش این است که تمام سطحهای انسانی و فایروالهایی که عامل انسانی دارند را پشت سر بگذارد، مطرح کرد: این اتقاق معمولاً با یک سناریو شروع میشود و چهار مرحله دارد و اساساً مبتنی بر شناخت و با سناریو نگاری آغاز میشود، در واقع حمله کننده، مکانیسمهای مختلفی را طراحی و عملیات خود را آغاز میکند. او حتی بعد از آن هم مدیریت میکند تا به راحتی با یک مکانیزم ویژه از این حمله خارج شود.
وی ادامه داد: توجه ویژه به جایگاه مدیریت روابط انسانی در سازمانها بسیار مهم است. استانداردهای متعددی برای این موضوع وجود دارد، اما چون به این قسمت کمتر توجه شده من به عنوان یک تلنگر در این رویداد به شما یادآوری کنم.
معاون اداره نظام پرداخت بانک مرکزی اظهار داشت: باید به این موضوع مهم توجه کرد که چگونه با چه سناریو و مکانیزمی در یک سازمان، افراد ارشد هم میتوانند مورد حملاتی قرار بگیرند که معمولاً شناسایی آن حملات نیز بسیار بسیار پیچیده و مشکل است. این حملات معمولاً قابل شناسایی نیستند و هیچ باگی وجود ندارد تا شما برای شناسایی مورد بررسی قرار دهید و آن را مدیریت کنید.
وی در پایان سخنان خود گفت: این رویداد نخستین رویداد در خصوص در شبکه بانکی است، در واقع یک اتفاق بسیار خوب و شروع بسیار ارزشمندی است که امیدوارم نتایج حاصله باعث شود تا آن ظرفیت و نخبگانی که در این حوزه وجود دارند شناسایی و تربیت شوند. از سوی دیگر تلنگری باشد برای توجه ویژه به جایگاه امنیت اطلاعات در فضای بانکی و پرداخت که یکی از مهمترین موارد مسائل بانکی است.
بانکها از مدلهای یادگیری ماشین در برابر حملات خصمانه استفاده کنند
در ادامه همایش وحید خدابخشی؛ مدیر ریسک و امنیت شاپرک به بررسی نقش دوگانه هوش مصنوعی در امنیت سایبری جهانی و سیستمهای مالی ایران پرداخت و گفت: تحول دیجیتال در ایران با سرعت صورت گرفته به همین منظور استفاده روزافزون از هوش مصنوعی در سیستمهای بانکی و پرداخت نیز آغاز شده است. این تحول ضمن افزایش بهرهوری و کارایی، بهطور موازی زمینهساز افزایش آسیبپذیری در برابر حملات سایبری میشود.
وی تاکید کرد: مهاجمان با استفاده از تکنیکهایی همچون یادگیری ماشین میتوانند دادههای آموزشی مدلهای هوش مصنوعی را مسموم کرده و حملات مخفیانهای به سیستمهای مالی وارد کنند که منجر به نادیده گرفتن تراکنشهای تقلبی و مختل کردن کل فرآیندهای نظارتی میشود.
خدابخشی در ادامه با اشاره به تجربیات کنفرانسهای معتبر بینالمللی همچون Blackhat و DEF CON، به تشریح تکنیکهای تهاجمی هوش مصنوعی پرداخت و گفت: چگونگی حملات زنجیره تأمین از طریق دستکاری مدلهای یادگیری ماشین و استفاده از ورودیهای خصمانه میتواند به فروپاشی سیستمهای مالی منجر شود.
وی افزود: این نوع حملات بهویژه برای سیستمهای بانکی ایران که به سرعت در حال دیجیتالی شدن هستند، تهدیدی جدی محسوب میشود.
خدابخشی به روشهای دفاعی مبتنی بر هوش مصنوعی اشاره کرد و گفت: بهرهگیری از روشهای دفاعی مبتنی بر هوش مصنوعی مهم است و پیشنهاد میکنیم که بانکها و مؤسسات مالی ایران باید از مدلهای یادگیری ماشین مقاوم در برابر حملات خصمانه استفاده کرده و سیستمهای نظارتی خود را به گونهای طراحی کنند که توانایی شناسایی رفتارهای مشکوک و غیرعادی را داشته باشند.
خدابخشی اظهار کرد: امنیت سایبری به شدت تحت تأثیر هوش مصنوعی خواهد بود و تنها با اتخاذ رویکردهای پیشرفته و هوشمندانه میتوان از سیستمهای مالی در برابر این تهدیدات محافظت کرد.