امنیت بانکداری الکترونیکی

به گزارش خبرگزاری برنا در آذربایجان شرقی، شبکه ارتباط اینترنتی ناامن است و تبادل اطلاعات از طریق اینترنت بدون در نظر گرفتن موارد ایمنی خطرناک است و افراد غیرمجاز ممکن است به اطلاعات حساس در حین انتقال و یا بر روی سرویس دهنده های اینترنتی دسترسی پیدا کرده، آنها را تغییر و یا حذف کنند. از آنجاییکه، بانکداری الکترونیکی در بستر شبکه و اینترنت انجام می شود لذا باید مکانیسمی جهت ضمانت انجام هر تراکنش بانکی که در آن داده های حساس مالی نیز رد و بدل می شود وجود داشته باشد.

اینترنت به عنوان یک شبکه عمومی، با مباحث جدیدی پیرامون محرمانگی و امنیت اطلاعات مواجه است. از این رو، بانکداری اینترنتی و آنلاین می‌تواند مخاطره‌های فراوانی برای موسسات و بنگاه‌های اقتصادی به همراه داشته باشد و ‌این مخاطره‌ها با گزینش و انتخاب یک برنامه جامع مدیریت ریسک،  قابل کنترل و مدیریت خواهد بود. 

در حال حاضر حجم وسیعی از اطلاعات مالی، اعتبارى و شخصى بر روی شبکههاى مبتنى بر اینترنت در سرتاسر جهان ذخیره شده و می شود. از سوى دیگر از آنجایى که مسیر گردش اطلاعات و منابع روى شبکه بسیارند، لذا مشخص نمىباشد که اطلاعات مذکور کجا مىروند و چه اشخاصى از آنها بهرهبردارى مىنمایند. بدین ترتیب، حفظ امنیت اطلاعات از مباحث مهم تجارت و بانکداری الکترونیک بهشمار مىآید. هرچند امنیت مطلق وجود ندارد اما لااقل براى برخوردارى از یک وضعیت غیرشکننده مىباید هزینههایى را صرف نمود.

از جمله زیرساخت های مورد نیاز پیشبرد بانکداری الکترونیکی و روشهای نوین بانکداری به موارد ذیل می توان اشاره کرد:

• زیرساخت های امنیتی

• زیرساخت های فناوری و مخابراتی

• زیرساخت های اقتصادی، فرهنگی و آموزشی

• زیرساخت های حقوقی و قانونی

امنیت یکی از زیرساخت های مهم در محیط تجارت الکترونیکی و بانکداری الکترونیکی است. تجربیات زیادی نشان می دهد که بیشتر افراد باتجربه سرمایه گذاری های خود را در محیط ایمن و مورد اعتماد حتی با سود کم به محیطی غیر ایمن با سود زیاد ترجیح می دهند.

ریسک ها وتهدیدات مربوط به  بانکداری الکترونیکی

• دسترسی افراد غیرمجاز به به اطلاعات صاحبان حساب ها 

• مشاهده صاحبان حساب به اطلاعاتی بیش از آنچه که مجاز هستند.

• صاحبان حساب یا دیگران توانایی انجام تراکنشها و اعمال غیر مجاز را داشته باشند.

• صاحب حساب تراکنشی را انجام دهد اما بعدا منکر آن شود، ویا بانکها انکار کنند که چنین تراکنشی انجام شده است .

• حملات ناشی از ویروسها، کرمها و سایر کدهای مخرب.

• رکوردهای اطلاعاتی در جریان تبادل اطلاعات یا از روی سرویس دهنده بانکهای اطلاعاتی ، به سادگی میتواند توسط افراد غیرمجاز دزدیده شوند، تغییر یابند و یا هر گونه پردازش غیر مجازی روی آنها صورت گیرد.

• کلمه و رمز عبور در جریان تبادل اطلاعات یا از روی سرویس دهنده به سادگی میتوا ند توسط افراد غیر مجاز (با تدارک دیدن حملات مختلف) دزدیده و جهت انجام حملات تکرار، تراکنشهای غیر مجاز مالی و دیگر فعالیتهای غیر مجاز استفاده شوند.

• حمله DOS  به هر یک از سرور ها ی فوق: ارسال درخواستهای بیش از حد به سرویس دهنده های مورد نظر، در کار آنها اختلال ایجاد کرده و باعث می شود که نتوانند به درخواستهای مجاز پاسخ دهند.

راهکارهای امنیتی برای توسعه بهتر بانکداری الکترونیکی 

امنیت بانکداری الکترونیکی را می توان از چند جنبه مورد بررسی قرار داد :

* امنیت فیزیکی

* امنیت کارمندان و کاربران سیستم

* امنیت نرم افزار سیستم یکپارچه بانکداری الکترونیکی

برای پیاده سازی یک سیستم کاملا اجرایی و قابل اعتماد می توان راهکارهای امنیتی زیر را به کار بست:

• تهیه کردن و آماده کردن نیازمندیهای امنیتی سیستم.

• مشخص کردن مسئولیتها و انتظارات رفتاری همه افرادی که دسترسی به سیستم دارند.

• بررسی امنیت کاربران سیستم:

بزرگترین صدمه و آسیب و شکست یک سیستم به واسطه فعالیتهای افراد در سیستم می باشد حال می تواند صدمه افراد عمدی و یا غیرعمدی باشد همچنین اغلب اوقات سیستم ها دچار مشکل می شوند اما همه وضعیت ها باید برای سطح نفوذپذیر بازبینی شود تا بتواند با برنامه ریزی سطح نفوذ پذیر را تجزیه و تحلیل کرد. دستیابی کاربران به فایلهای داده را باید محصور کرد تا فقط با داشتن اختیارات به پردازش قابلیتها یا دستگاههای جانبی یا اعمالی نظیر خواندن، نوشتن، اجرا کردن و حذف کردن پرداخت.

• نظارت بر حفاظت فیزیکی و محیطی:

کنترلهای ایمنی فیزیکی و محیطی، وسایلی برای حفاظت آسان از منابع بدنه سیستم می باشد و به سهولت می توان از پشتیبانی عملکرد آنان بهره گرفت. یک طرح امنیتی محیطی و فیزیکی باید کنترلهای زیر را انجام دهد:

 - کنترلهای دسترسی: 

کنترلهای فیزیکی ورود و خروج کارکنان (و اغلب اوقات تجهیزات و رسانه) در یک محیط همانند اداره، اتاق مرکز داده و یا اتاق سرور شبکه را محدود می کند.

کنترلهای فیزیکی فقط شامل یک فضا نمی باشد بلکه شامل سخت افزار سیستم، مکانهایی که برای سیم کشی و ارتباط عناصر سیستم به کارمی روند، سرویس های پشتیبانی، وسایل مورد نیاز برای گرفتن فایل پشتیبان و هر عنصری که برای عملیات سیستم مورد نیاز باشد. بازبینی و کنترلهای دسترسی فیزیکی در هر محیط چه در ساعات اداری و چه در ساعاتی که مکان خالی می باشد بسیار موثر است.

 از عوامل دیگر برای حفاظت می توان مجهز کردن مکان در برابر حریق، زلزله و موبایل و ... نام برد.

- قطع دسترسی داده:

  به نوع پردازش داده بستگی دارد و اگر داده ها دچار مشکل شوند ضرر مهمی متوجه سیستم می شود.

 سازمان ها باید آگاه باشند که 3 مسیر برای قطع دسترسی داده وجود دارد: 

مشاهده مستقیم، قطع در ارسال داده، قطع از نظر نیروی برق.

• بررسی تولیدات وکنترلهای ورودی وخروجی:

روش کار مراقبت از کارکنان و کاربران غیر مجاز و ایجاد محدودیت درخواندن، کپی کردن، تغییر و یا حتی چاپ می باشد.

فقط کاربران مجاز بتوانند اطلاعات ورودی و خروجی و وسایل را دریافت کرده یا آزاد کنند.

بازرسی مداوم برای دریافت ورودی ها و خروجی های نفوذپذیر و حساس.

روش کار کنترلها این است که جابجایی وسایل یا ارسال و چاپ خروجی ها را کنترل کنند.

• ایجاد تدابیر احتمالی:

اگر پشتیبانی تکنولوژی اطلاعات به صورت متناوب باشد شیوه ها و روشهایی برای ادامه وظایف و کارکردهای اضطراری پیشنهاد می کند. این شیوه ها ( تدابیر احتمالی، تدابیر توقف داد و ستد و کسب وکار و پیوستگی تدابیر عملیاتی) باید با گرفتن نسخه پشتیبان، تدابیر بهبود دهنده، با هر سیستم پشتیبانی جامع شامل شبکه ها هماهنگ شود.

تدابیر امنیتی باید مطمئن سازند که سیستم های واسطه شناخته شده اند و تدابیر احتمالی برای هر گونه حادثه هماهنگ شده باشد. به چند گونه راه حل در این زمینه اشاره می کنیم:

- تست تدابیر و طرح های بهبود بخشی مواقع حادثه برای هر پشتیبان سیستم های IT  و شبکه ها 

- به صورت کتبی و نوشتاری بودن شیوه های عملیاتی اضطراری و رسمی و قانونی بودن این شیوه ها

 - همه کارکنان به صورت رشته ای و به دنبال یکدیگر دارای وظایف و مسئولیتهای وابسته در این امر غیرمنتظره و تدابیر احتمالی قرار داشته باشند.

• مستند سازی:

مستند سازی یک کنترل امنیتی است که توضیح می دهد که نرم افزار/سخت افزار چگونه به کار برده می شوند و امنیت از نظر روشهای ویژه و خاص عملیاتی و موثر در سیستم را بر عهده دارد.

مستند سازی برای یک سیستم شامل تشریحات و توصیفات سخت افزار و نرم افزار، سیاستها، استانداردها، روشها و موافقت و تصدیق مربوط به امنیت سیستم اطلاعات خودکار در کاربرد و پشتیبانی سیستم می باشد.

مستند سازی باید با سیستم پشتیبانی جامع هماهنگ شود و یا مدیر شبکه برای اطمینان بیشتر باید درخواستها را به صورت کتبی و دستی درآورد تا پیوستگی عملیات را بهبود ببخشد.

• ایجاد چندین محل برای قرار گرفتن نرم افزار بانکداری الکترونیکی یکپارچه به منظور افزایش قابلیت اعتماد کل سیستم تا در صورت بروز مشکل برای مرکز، مراکز پشتیبان دیگر فعال شده و ادامه فعالیت سیستم بانکداری الکترونیکی میسر شود.

• ایجاد سایت های پشتیبان و سرورهای مجزا در صورت قطعی شبکه و عدم دسترسی به پایگاه مرکزی برای شعب و استفاده از سیستم های منبع تغذیه بدون وقفه و ایجاد افزونگی های مناسب در خطوط ارتباطی برای مواقع قطعی جریان برق و یا شبکه.

• طراحی نرم افزار سیستم بانک الکترونیکی برای یک بانک خاص و عدم استفاده از سیستم بانک های کشورهای خارجی مانند FNS و ... که امکان استفاده خرابکارانه از این نرم افزار توسط ارائه دهندگان این محصولات و هکرها وجود خواهد داشت.

• استفاده از سیستم عامل ها و نرم افزارهای متن باز.

• نگهداری اطلاعات پایگاه داده بانک ها به صورت گسترده و سلسله مراتبی برای جلوگیری از ریسک اتکا به محل های محدود نگهداری پایگاه داده اطلاعات بانک و پیشگیری از حذف کلیه اطلاعات بانک ها.

• ایجاد حساب نزد مشتری و استفاده از کارت های هوشمند برای نگهداری کلیه اطلاعات حساب ها و تراکنش های انجام شده بر روی حساب و ذخیره اطلاعات تراکنش ها بر روی کارت مشتری باعث صحت در اطلاعات ذخیره شده و اعتماد سازی بین بانک و مشتری می شود.

• نگهداری اطلاعات تراکنش ها و اطلاعات انتقال دهنده و گیرنده برای مدتی طولانی (حداقل 5 سال) و گزارش معاملات مشکوک و گزارش برداشت از یک حجم خاص.

• ایجاد تدابیر مناسب به منظور احراز هویت و تایید مشتریان بانک های الکترونیکی.

• ایجاد تدابیر مناسب به منظور کنترل صدور مجوزبرای دسترسی به پایگاه های داده ها.

• ایجاد تدابیر مناسب به منظور حفاظت از یکپارچگی داده ها در معاملات و تراکنش ها در بانکداری الکترونیکی.

• ایجاد تدابیر و استراتژی های  مناسب به منظور حفظ محرمانه بودن اطلاعات کلیدی بانکداری الکترونیکی و عدم استفاده از اطلاعات کلیدی بانک ها توسط مراجع غیرمجاز و سو استفاده و افشای غیر مجاز اطلاعات.

• استفاده از ابزارهای مناسب تامین امنیت: رمزنگاری کلید عمومی، رمزنگاری کلید خصوصی، زیر ساخت کلید عمومی، امضای دیجیتال و توابع در هم ساز.

• استفاده از رمزنگاری برای تامین امینت رمزها.

• بررسی و استفاده از سیستم ها و دستگاههای رمزنگاری تست شده با توجه به دو فاکتور مهم امنیت و کارآیی مانند سیستم های رمزنگاری IFP، RSA، Rabin-Hellman، DLP، ELGamal و الگوریتم امضای دیجیتال متعلق به کشور امریکا (DSA).

• ترکیب دو الگوریتم رمزنگاری کلید عمومی و کلید خصوصی برای تبادل اطلاعات تا علاوه بر تامین امنیت , سرعت بیشتر نیز حاصل گردد. از رمزنگاری کلید عمومی برای توزیع کلید و از رمزنگاری کلید خصوصی برای تبادل اطلاعات استفاده شود.

• موارد زیر برای توسعه زیرساخت های امنیتی سایت های بانکداری الکترونیکی باید مورد توجه قرار گیرد:

حریم خصوصی، محرمانگی، صحت اطلاعات، در دسترس بودن، احراز هویت و تصدیق اصالت، کنترل دسترسی، حسابرسی، انکارناپذیری، نظارت و گزارش گیری.

• استفاده از توابع درهم ساز، کارت هوشمند، امضای دیجیتالی، گواهی های دیجیتال از تکنیک های مورد استفاده در ایجاد صحت داده می باشند که از الگوریتم های رمزنگاری نامتقارن و الگوریتم های درهم ساز استفاده می کنند.

• سازگار بودن عمل احراز هویت و تصدیق اصالت با استراتژی کلی بانک در مورد بانکداری اینترنتی و سرویس های مشتریان در تجارت الکترونیکی و استفاده از چندین فاکتور پیاده سازی جهت تصدیق اصالت و احراز هویت مانند Pin code و روشهای بیومتریک به صورت همزمان و استفاده از معماری لایه به لایه امنیت و سایر کنترل ها جهت کاهش ریسک.

• استفاده از پروتکلهای SSL و TLS برای حفظ امنیت تراکنش ها و برقراری ارتباطی امن. 

• تشخیص تمام تراکنش ها و سطوح دسترسی مرتبط با برنامه و سرویس های تحت وب مشتری.

• بررسی و قضاوت در مورد کارایی تکنیک های موجود، کاهش ریسک و تغییر فاکتورهای ریسک برای هر نوع تراکنش و سطوح دسترسی.

ارائه خدمات پشتیبانی 24 ساعته و 7 روز هفته باعث می شود خطاهایی از قبیل کوتاهی و ناتوانی در انجام تراکنش با مشتری یا وجود نقص در نرم افزارها و برنامه های بانکداری الکترونیکی، نقص در سخت افزار سرورها و پایگاه داده کاهش یابد. در نتیجه، به شهرت و اعتبار بانک ها لطمه وارد نمی شود و اعتماد مشتریان از دست نمی رود.

• ایجاد امکانات بازرسی و حسابرسی برای تشخیص تهاجمات، شستشوی پولی، به خطر افتادن رمز عبور، سایر فعالیتهای غیر مجاز و موسسات مالی باید بر روی لایه های چندگانه کنترل برای جلوگیری از کلاهبرداری و حفاظت از اطلاعات مشتریان تکیه کنند.

• ایجاد تیمی به عنوان مدیریت ریسک ها تا ریسک ها  مطابق با نیازها و مسائل جدید بازنگری و سازگار شوند. مدیریت ریسک یک پروسه همیشگی است که ریسک های بالقوه را شناسایی، اندازه گیری، نظارت و مدیریت می کند. در مورد ارائه الکترونیکی و سیستم

های پرداخت، پروسه مدیریت ریسک باید شامل همه زمینه های مهم ریسک ــ عملیاتی، حقوقی و اعتباری– باشد.

نتایج عملکرد مدیریت ریسک باید به صورت زیر جمع آوری شود:

_ تحلیل امکان سنجی و طرح ریزی استراتژیک 

_ نظارت مدیریتی و کنترلهای داخلی 

_ روال ها و سیاستهای عملیاتی 

_ امنیت سیستم و عملیات های سیستم 

_ بازنگری مداوم توسعه های تکنولوژیکی و افزایش توانمندیها

منبع :

* چالش‌های سامانه‌های یکپارچه بانکی در ایران از نگاه معماری

* توصیه های نظارتی در امور بانکی، ناشر بانک ملی ایران - اداره کل روابط عمومی، تاریخ انتشار : تابستان 1391 چاپ دوم

* www.civilica.com

یادداشت: لیدا رسول اهری (کارشناس سایبری اداره کل پدافند غیرعامل استانداری آذربایجان شرقی)/ علی ابراهیمی (کارشناس سایبری اداره کل پدافند غیرعامل استانداری آذربایجان شرقی)