امنیت اطلاعات در بانکداری الکترونیکی

حرکت اخیر سازمان‌ها، به ویژه سازمان‌های پولی - مالی به سمت جامعه اطلاعاتی و نقش موثر و تحول آفرین IT در این زمینه باعث شده است بانک‌ها به عنوان نهاد مالی و اعتباری مهم در هر نظام اقتصـــادی برای بقای خود در عصر اطلاعات، استانـداردسازی امنیت اطلاعات را برای اجرای موثر و مناسب جدی بگیرند.
بدیهی است رابطه میان سودآوری یک موسسه مالی و ریسک حاکم برآن، یک رابطه تعیین کننده است. لذا؛ سود یک بنگـــــــــاه اقتصادی که ازتعامل مستمر با مشتریانش به دست می‌آید، موضوعی است که امروزه برای تمامی واحدهای اقتصادی تعیین کننده است، زیرا مشتریانی به سمت یک موسسه مالی واعتباری روی می‌آورند که علاوه براطمینان بیش‌تر از اطلاعات و عملیات بانکی، سودآوری خود را نیز تضمین شده بدانند. ازسوی دیگر افزایش کیفیت و کمیت خدمات بانکی، راهکاری برای جذب مشتریان بیش‌تر است.
بانکداری الکترونیکی نیز از جمله خدمات جدیدی است که درسال‌های اخیر بانک‌ها و موسسات پولی و مالی به آن روی آورده اند.
بانکــــداری الکترونیکی به عنوان درگاهی درفضای وب می‌تواند از طریق تبادل اطلاعات، تمام عملیات مالی و اعتباری مشتریان را با موسسات پولی ومالی انجام دهد. بانکداری الکترونیکی دراستـــانداردسازی و دستیابی به سطح مشخصی از امنیت همواره مورد تاکید مشتـــــریان و ذی‌نفعان موسسه پولی و مالی است.
اطلاعات گنجینه‌ای که تاچندی قبل در بایگانی‌های بانک‌ها نگهداری می‌شد، ازچندسال قبل وباتوسعه شبکه‌های محلی درون بانکی، به شبکه داخلی بانک‌ها راه یافت. درآن زمان اطلاعات محدودکاربران شبکه و اعمال کنترل‌های مدیریتی، محافظت‌های فیزیکی و محدود کردن تعداد افرادی که به سرویس‌ها و به ویژه سرویس‌های حساس دسترسی داشتند، موجب می شد تا مشکل خاصی بروز نکند.
اما اینک با اتصال شبکه‌های بانکی به شبکه‌های جهانی، همان گنجینه حساس در معرض دید و استفاده طیف وسیعی از مخاطبان در سراسر جهان قرار گرفته است. به علاوه این که بانک یک موسسه مالی باتراکنش‌های مالی فراوان است که این تراکنش‌ها با حجم بانک وافزایش خدمات جدیدبانکی که از ملزومات بقا در حوزه رقابتی بانک‌هااست، افزایش می یابد.
در این شرایط تامین امنیت همان گنجینه گرانمایه یعنی اطلاعات، بدون شک یکی ازضروریات هر بانکی است. حاصل تجربه و اقدامات انجام شده درطول دهه‌های گذشته درجهان، رویکردی است تحت عنوان سیستم مدیریت امنیت اطلاعات.
با ارایه اولین استاندارد مدیریت امنیت اطلاعات درسال ۱۹۹۵، نگرش سیستماتیک به مقوله امنیت اطلاعات شکل گرفت.
براساس این نگرش تامین امنیت اطلاعات دریک مجموعه بانکی، به یکباره ممکن نیست ولازم است این امربه‌صورت مداوم ودریک چرخه ایمن سازی شامل مراحل طراحی، پیاده سازی، ارزیابی واصلاح انجام گیرد. بنابراین لازم است هربانک براساس یک متدولوژی مشخص، ضمن تهیه طرح‌ها و برنامه امنیتی مورد نیاز، تشکیلات لازم جهت ایجاد و تداوم امنیت اطلاعات خود را نیز ایجاد کند.
بایک نگاه تاریخی، رویکرد مکانیزاسیون و نفوذ رایانه‌های شخصی در بانک‌های ایرانی به دهه ۱۳۶۰شمسی بر می‌گردد، شاید تا آن زمان‌ها تردیدها و مقاومت‌ها در به کارگیری رایانه‌های شخصی و فرآیندهای مکانیزه به دلیل تبعات ناشی از ریسک مالیاتی و سوء استفاده‌های ناشی ازمحیط سایبرنبوده بلکه عامل مقاومت درعدم آشنایی باپدیده فناوری اطلاعات وعادت کردن به فرآیندهای سنتی واجرایی شدن تمامی فرایندهابه روش سنتی بوده است. اخیرا با گسترش بانکداری الکترونیکی و ریسک پذیری بالای آن، حجم بالایی ازمطالعات امنیتی یک سازمان را در برمی‌گیرد.
ریسک عملیاتی بانکداری الکترونیکی و ضرر و زیان‌های ناشی از آن با گسترش و توسعه بانکداری الکترونیکی اینترانتی وافزایش کانال‌های دیجیتالی بدون حضورومراجعه مشتریان به شعبه نیز از اواخر دهه ۱۳۷۰شمسی آغازشده است.
گسترش خدمات ومحصولات بین بانکی ازطریق شبکه شتاب وراه اندازی سیستم تسویه ناخالص آنی (RTGS) بین بانک‌ها از سوی بانک مرکزی و ارایه خدمات برداشت وانتقال وجوه از طریق دستگاه‌های PINPAD، EFTوPOSبرغم تمامی مزیت‌هاورضایت مشتریان هنوزسابقه زیادی دربانکداری ایران ندارد و هنوز بسیاری ازمسایل مربوط به ریسک وسیستم‌های نظارتی مکانیزه ومشکلات ناشی ازآن برای بعضی ازبانک‌هاوموسسات مالی ومشتریان آشکارنشده است.
تبعات سوء ناشی از نبود مدیریت ریسک مبتنی برفناوری برای ردگیری تراکنش‌ها، مانیتــــــورکردن کانال‌های توزیع دیجیتال می‌تواند به افزایش هزینه‌های سرباربانک‌هاوموسسات پولی ومالی منجرویاحتی ممکن است ارایه خدمات مبتنی برفناوری راباشکست مواجه کند.
وجودیک مشکل امنیتی می تواند یک بانک یاموسسه پولی ومالی رابه روش‌های متفاوتی تحت تاثیرقراردهد. آشنایی باعواقب خطرناک یک مشکل یاحفره امنیتی دریک موسسه پولی ومالی وشناسایی مهم‌ترین تهدیدات امنیتی که می‌تواند حیات یک موسسه پولی و مالی را با مشکل روبه‌رو کند، ازجمله مواردضروری به منظورطراحی و پیاده سازی یک مدل امنیتی دریک موسسه پولی و مالی است.
وجودحفره‌های امنیتی دریک موسسه پولی ومالی، می تواندپیامدهای منفی زیادی به‌دنبال داشته باشد که عبارتنداز:
▪ افزایش هزینه وکاهش درآمد
▪ خدشه به اعتباروشهرت یک موسسه پولی ومالی
▪ ازدست دادن داده واطلاعات مهم
▪ اختلال درفرایندهای جاری یک موسسه پولی ومالی
▪ سلب اعتمادمشتریان وسرمایه گذاران
▪ پیامدهای قانونی به دلیل عدم ایجادیک سیستم ایمن وتاثیرجانبی منفی برفعالیت سایرموسسات پولی ومالی
▪ که هرکدام ازمواردبالا، ریسک‌های مربوط به خودرابه‌همراه خواهدداشت.
▪ رویکردهای متفاوت مدیریت خطرات امنیتی
اکثر سازمان‌ها به منظور مدیریت خطرات امنیتی از دو رویکرد مختلف استفاده می‌کنند.
۱) رویکردانفعالی:
فرآیندی است که براساس آن صرفا"پس ازبروزیک حادثه امنیتی به آن پاسخ داده می شود. پس ازبروزیک مشکل امنیتی، کارشناسان فن آوری اطلاعات صرفا" می‌توانند از پیشرفت مشکل جلوگیری کرده و پس از ایزوله کردن آن، مشکل سیستم‌های آلوده رابرطرف کند. متاسفانه برای بسیاری ازبانک‌هاوموسسات پولی ومالی همچنان رویکردهای انفعالی یک نگرش موثربه منظور برخورد با تهدیدات امنیتی است (پس از بروز مشکل در مورد حل مشکل تصمیم‌گیری میشودوبرای پیشگیری ازآن از رویکردخاصی پیروی نمی شود).
۲) رویکردپیشگیرانه:
فرآیندی است که باعث کاهش خطرآسیب پذیری دریک موسسه پولی ومالی می شود. مدیریت پیشگیری ازخطرات امنیتی مزایای زیادی نسبت به یک رویکردانفعالی دارد. باپیاده سازی کنترل‌هایی که کاهش آسیب‌پذیری سیستم وسوء استفاده ازآنها توسط نرم‌افزارهای مخرب رابه‌دنبال خواهدداشت، امکان سوء‌استفاده مهاجمان ازفرصت‌های ایجادشده کاهش یافته وپیشگیری لازمه انجام خواهدشد. موسسات پولی و مالی می‌بایست فرایند پاسخ به حوادث امنیتی را بهبود بخشیده و به‌طور همزمان ایجاد رویکردهای پیشگیرانه بلندمدت را در دستور کارخود قرار دهند. زیرا که بانکداری الکترونیکی درگاهی مجزا و نفوذپذیرتر از سایرکانال‌ها درصنعت بانکداری است.
● امنیت دربانکداری الکترونیکی
روش‌های حفاظت امنیتی پیشنهادی بانک‌ها و مورد انتظار مشتریان عبارتند از:
▪ وضوح آدرس وب سایت تاییدشده موسسه پولی ومالی درنشریات بانک.
▪ تایید وب سایت ازطریق گواهینامه‌های دیجیتالی.
▪ حفاظت PIN و رمزعبور.
▪ استفاده ازصفحه کلیدهایی بامحرک موس یالمسی برای اطلاعات حساس.
▪ محافظت در برابر ویروس‌ها.
▪ پیاده سازی دیواره آتش.
▪ رمزگذاری حداقل ۱۲۸بیتی.
▪ قراردادن محدودیت برای مشتریانی که دروب سایت شناسایی نشده‌اند و محدودیت دردسترسی به کدها.
موارد زیر برای افزایش اعتمادکاربران تجارت الکترونیکی و بانک الکترونیکی درجهت انجام فعالیت‌های اقتصادی وتجاری، مطرح می شود:
- محافظت: فرایندی که طی آن مشخص می شودکه مشتریان متقاعد می‌شوند تا اطلاعات‌شان به قدرکافی توسط گردآورندگان اطلاعات جمع آوری شود.
- تایید: به معنی اطمینان دادن به مشتری ازاین جهت است که تراکنش‌هایی که ازطریق وب سایت انجام می‌دهد با سایت واقعی و اصلی بانک موردنظرش انجام شده است.
- تصدیق: منظورازتصدیق این است که یک گروه سوم به عنوان ناظرحضورداشته باشدتاگواهی کندکه تراکنش‌ها بین چه افرادی صورت گرفته است وبه عبارتی فعالیت دراینترنت ازاین طریق گارانتی شود.
- رد انکــــــــار: مکانیسمی برای اطمینان ازاین است که کامپیوتر client(مشتری ) باسروربانک ارتباط برقرار کرده است وبالعکس. بنابراین افرادشرکت کننده در این ارتباطات قادر به انکار فعالیت خود نخواهندبود.
▪ محیط بانکداری اینترنتی
سه محیط اصلی درفضای اینترنتی وجوددارند:
۱) بانک،
۲) اینترنت
۳) کاربرکامپیوتر(مشتری تجاری خانگی یابانکی )
● نتیجه گیری:
بانک‌ها، موسسات پولی ومالی وموسسات تجاری باپیاده سازی یک استراتژی امنیتی ازمزایای زیربهره مندخواهندشد:
- افزایش مشتریان بانکی وبانکداری الکترونیکی باافزایش اطمینان مشتریان به موسسه پولی ومالی.
- سودآوری بیش‌تر موسسات پولی ومالی باجذب سرمایه‌های مشتریان افزوده شده.
- کاهش احتمال غیرفعال شدن سیستم‌هاوبرنامه‌ها.
- استفاده موثرازمنابع انسانی وغیرانسانی دریک موسسه پولی ومالی (افزایش بهره وری )
- کاهش هزینه ازدست دادن داده توسط ویروس‌های مخرب و یاحفره‌های امنیتی (حفاظت ازداده‌های ارزشمند).
- افزایش حفاظت ازمالکیت معنوی.
- دارابودن یک استراتژی برای مدیریت مخاطرات درمواقع لازم.
یک مشکل امنیتی که باعث ازبین رفتن اطلاعات مشتریان می شود، می تواندپیامدهای قانونی برای یک موسسه پولی ومالی به‌دنبال داشته باشد.