حکاک:

بررسی موارد موفق نفوذ به شبکه بانکی یا پرداخت الکترونیک کشور نشان‌می‌دهد پاشنه آشیل، امنیت نیست. غفلت از کدام مقوله، بانک‌ها یا شبکه پرداخت الکترونیک ایران را آسیب‌پذیر کرده‌است؟

شاهین‌نوروزی مدیرعامل شرکت پندارکوشک‌ایمن و کارشناس امنیت‌سایبری پاسخ‌می‌دهد:

 امروزه توجه به مقوله امنیت سایبری همراستا با دنیا در کشور ما هم بسیار زیاد است و تقریبا تمام دستگاه‌های دولتی و غیردولتی، سازمان‌ها و شرکت‌ها از هیچ هزینه و اقدامی برای افزایش امنیت در این حوزه فروگذار نمی‌کنند.

نتیجه این حساسیت هم در ارتقای سطح امنیت سایبری کشور کاملا مشهود است چنانچه با وجود حملات متعدد و متنوعی که به سِروِرهای مراکز مختلف کشور انجام‌می‌شود، تاکنون مورد خاصی از موفقیت این حملات اتفاق نیفتاده یا گزارش نشده‌است.

با این حال اما بنظرمی‌رسد در کنار امنیت، توجه به مقوله "اعتماد" نیز باید از اهمیت فراوانی برخوردار باشد چرا که همه تلاش‌ها برای افزایش امنیت، با هدف اعتماد به ابزارها و سیستم‌ها انجام می‌شود. با وجود این اهمیت اما در کشور ما آن‌گونه که باید و شاید به این مسئله کلیدی توجه نمی‌شود.

در مقوله اعتماد، دغدغه اصلی این نیست که سیستم‌ها و ابزارها چقدر در برابر حملات افراد ناشناس که با قصد خرابکاری، دزدی و سوءاستفاده به مراکز سایبری ما حمله می‌کنند، امنیت و مقاومت دارند بلکه دغدغه اصلی، میزان اعتمادی است که می‌توان به کاربران، اپراتورها و مسئولان همین مراکز و ابزارها  داشت. شاید برای روشن‌تر شدن موضوع بهتر است مثالی بزنم؛ همه ما همواره تلاش می‌کنیم اسرار و اطلاعات شخصی و خصوصی خود را از افراد نامحرم و غریبه پنهان و مصون نگه‌داریم ولی بسیار اتفاق می‌افتد که همین اطلاعات خصوصی را بنا بر اعتمادی که به اطرافیان خود پیدا کرده‌ایم، در اختیار آن‌ها می‌گذاریم، غافل از اینکه ممکن است در احساس اعتماد به همین خودی‌ها اشتباه کرده باشیم و به دست خودمان زمینه و امکان سوءاستفاده را فراهم آورده‌باشیم.

یکی از این موارد که به شدت هم در کشور ما شایع است، اعلام رمز کارت‌های بانکی به فروشندگان هنگام پرداخت الکترونیک است. اگر ما رمز کارت را آگاهانه در اختیار فروشنده قرار دادیم و بعدها مشخص شد او یا فرد دیگری توانسته‌است از این اطلاعات سوءاستفاده کند و به حساب بانکی ما دستبرد بزند، این خود ما بوده‌ایم که با اعتماد بی‌جا و ناصحیح، زمینه آسیب رسیدن به دارایی‌هایمان را فراهم آورده‌ایم.

چنین مشکلی در سطوح بالاتر شبکه بانکی کشور ما هم مشاهده می‌شود؛ بررسی سوءاستفاده‌ها و آسیب‌هایی که طی سال‌های اخیر در شبکه بانکی و پرداخت الکترونیک کشورمان اتفاق افتاده‌ بخوبی گویای این است که نفوذها کمتر از رهگذر ضعف امنیتی رخ داده بلکه ضعف در ساختارها و روش‌های اعتمادآفرینی، امکان آسیب‌رسانی را برای افرادی در داخل بانک‌ها یا مجموعه‌های پیرامونی آن‌ها فراهم آورده‌است. در واقع در این سوءاستفاده‌ها، مشکل از ناحیه هک یا نفوذ فنی به سیستم‌ها اتفاق نیفتاده است بلکه عامل و علت سوءاستفاده، افرادی بوده‌اند که به غلط یا بیش از اندازه به آن‌ها اعتماد شده‌بود و از آنجایی که ابزارها و روش‌های لازم برای مدیریت این اعتماد پیش‌بینی نشده‌بود، امکان نفوذ به شبکه‌ها فراهم آمده‌است.

در دنیا مدت‌هاست که به این موضوع توجه خاصی شده‌ و پایه‌های اساسی آن هم تشکیل شده‌است؛ دولت‌ها، سازمان‌ها و حتی اشخاص حقیقی علاوه بر امنیت، نسبت به اعتماد نیز حساسیت دارند و از روش‌ها و ابزار مختلفی برای تعریف سطح دسترسی افراد به اطلاعات، امکان جلوگیری از دسترسی‌های غیر لازم، شناسایی دسترسی‌های غیرمجاز و... استفاده می‌کنند.

اصلی‌ترین موضوع در مقوله اعتماد، فراهم بودن امکان رسیدگی به دسترسی‌ها و مدیریت آن‌ها است. به همین اعتبار در این حوزه دو پایه فنی و حقوقی در کنار هم به فراهم‌آمدن اعتماد منجر خواهدشد. تجربه نشان داده‌است اگر به جنبه حقوقی در طراحی ابزارها و روش‌های ارائه خدمات الکترونیک توجه کافی شود می‌توان از این خدمات در حوزه‌های بیشتری با اعتماد کافی استفاده کرد. خوشبختانه تجربه‌های موفقی هم از این نوع استفاده در کشورمان داریم که می‌توان با استفاده از آن‌ها به ارتقای سطح خدمات الکترونیک به جامعه کمک کرد.