لزوم افزایش آموزش در حوزه حفظ امنیت زیرساخت‌ها

به گزارش پایگاه خبری نقدینه ،  محمدرضا مانی یکتا؛ معاون اداره نظام پرداخت بانک مرکزی در همایش Cash با اشاره به اینکه موضوع امنیت اطلاعات و ملاحظات و نکات آن بسیار گسترده است، گفت: اوایل دهه ۸۰ مفهوم امنیت اطلاعات اصلاً به این شکل نبود و بسیار ساده‌تر بود و اساسا در دوره‌های تخصصی هم این حوزه تفکیک خاصی نداشت، هرچه جلوتر رفتیم در لایه‌های مختلف سامانه‌های اطلاعاتی اهمیت پیدا کرد.

وی افزود: در اواسط دهه ۸۰ موضوع امنیت اطلاعات بسیار داغ و جذاب‌تر شد. من نخستین بار در آنجا بود که متوجه شدم فضای امنیت اطلاعات بسیار گسترده و وسیع است و از پایین‌ترین لایه‌ها و از سطوح نگهداری و حفظ داده‌ها و زیرساخت و شبکه شروع می‌شود تا بالاترین سطح که معمولاً در رویداد‌های مختلف کمتر مورد توجه قرار گرفته است.

مانی یکتا ادامه داد: در همان دوران یک نقطه عطف دیگری در من ایجاد شد که مربوط به یک نویسنده معروف امریکایی بود، او دو کتاب در اوایل دهه ۹۰ میلادی در آمریکا نوشت، درست در زمانی که به جرم حمله سایبری به زیرساخت‌های دولتی محکوم شد و در دوران محکومیتش در زندان آن را نوشت، کتابی به نام هنر فریب که اساساً سعی کرد در قالبی جدید مفهوم این حوزه را مطرح کند.

معاون اداره نظام پرداخت بانک مرکزی گفت: وی این موضوع را مطرح کرد که برخی افراد، انرژی بسیار زیادی را می‌گذارند تا حفره و خلا امنیتی را پیدا کنند و بتوانند به سیستم‌های امنیتی رخنه و نفوذ کنند. البته تاکید نویسنده کتاب این بود که خیلی ساده‌تر می‌توان با مدیریت عامل انسانی و بدون نیاز به استفاده از ابزار‌ها و رویکرد‌های تکنیکال به سیستم نفوذ و رخنه کنیم. کتاب نشان می‌دهد چقدر ساده می‌توان توسط عوامل انسانی با مهندسی اجتماعی اطلاعاتی را به دست آورد که اساساً کسب این اطلاعات برای انجام یک عملیات امنیتی و نفوذ بسیار بسیار پیچیده است.

وی تصریح کرد: این نویسنده امریکایی چندی بعد کتاب دوم خود را با عنوان «هنر نفوذ» نوشت و آنجا سناریو‌های امنیتی و نفوذ را خیلی جزئی‌تر مطرح کرد. دلیل اصلی اینکه من به این موضوع اشاره کردم این بود که اهمیت بالاترین لایه در مدیریت رخداد‌های امنیتی چه پیش از رخداد و چه بعد از آن رخداد کمتر از مدیریت زیرساخت در لایه‌های داده‌ها و توسعه نیست و باید به این موضوع توجه ویژه شود.

در واقع در زنجیره مکانیزم‌های امنیتی تمام قدرت یک زنجیر، قائل بر ضعیف‌ترین حلقه زنجیره است.
اگر شما مدیریت مناسبی در بالاترین سطح ملاحظات امنیتی یعنی در بخش آموزش و آگاه سازی نداشته باشید تمام تلاش‌هایی که در سطوح میانی و پایین مدیریت حفظ امنیت زیرساخت‌ها انجام شده باطل می‌شود. چون این زنجیر تمام استحکامش تضعیف می‌شود مثل همان ضعیف‌ترین حلقه که محل نفوذ و رخنه به سیستم امنیتی می‌شود.

مانی یکتا با اشاره به اینکه اساساً رویکرد این بخش این است که تمام سطح‌های انسانی و فایروال‌هایی که عامل انسانی دارند را پشت سر بگذارد، مطرح کرد: این اتقاق معمولاً با یک سناریو شروع می‌شود و چهار مرحله دارد و اساساً مبتنی بر شناخت و با سناریو نگاری آغاز می‌شود، در واقع حمله کننده، مکانیسم‌های مختلفی را طراحی و عملیات خود را آغاز می‌کند. او حتی بعد از آن هم مدیریت می‌کند تا به راحتی با یک مکانیزم ویژه از این حمله خارج شود.

وی ادامه داد: توجه ویژه به جایگاه مدیریت روابط انسانی در سازمان‌ها بسیار مهم است. استاندارد‌های متعددی برای این موضوع وجود دارد، اما چون به این قسمت کمتر توجه شده من به عنوان یک تلنگر در این رویداد به شما یادآوری کنم.

معاون اداره نظام پرداخت بانک مرکزی اظهار داشت: باید به این موضوع مهم توجه کرد که چگونه با چه سناریو و مکانیزمی در یک سازمان، افراد ارشد هم می‌توانند مورد حملاتی قرار بگیرند که معمولاً شناسایی آن حملات نیز بسیار بسیار پیچیده و مشکل است. این حملات معمولاً قابل شناسایی نیستند و هیچ باگی وجود ندارد تا شما برای شناسایی مورد بررسی قرار دهید و آن را مدیریت کنید.

وی در پایان سخنان خود گفت: این رویداد نخستین رویداد در خصوص در شبکه بانکی است، در واقع یک اتفاق بسیار خوب و شروع بسیار ارزشمندی است که امیدوارم نتایج حاصله باعث شود تا آن ظرفیت و نخبگانی که در این حوزه وجود دارند شناسایی و تربیت شوند. از سوی دیگر تلنگری باشد برای توجه ویژه به جایگاه امنیت اطلاعات در فضای بانکی و پرداخت که یکی از مهم‌ترین موارد مسائل بانکی است.