نقدینه - معاون اداره نظام پرداخت بانک مرکزی گفت: در زنجیره مکانیزمهای امنیتی تمام قدرت یک زنجیر، قائل بر ضعیفترین حلقه زنجیره است.
پربیننده ترین خبرها
آخرین خبرها
سه شنبه 27 شهريور 1403
به گزارش پایگاه خبری نقدینه ، محمدرضا مانی یکتا؛ معاون اداره نظام پرداخت بانک مرکزی در همایش Cash با اشاره به اینکه موضوع امنیت اطلاعات و ملاحظات و نکات آن بسیار گسترده است، گفت: اوایل دهه ۸۰ مفهوم امنیت اطلاعات اصلاً به این شکل نبود و بسیار سادهتر بود و اساسا در دورههای تخصصی هم این حوزه تفکیک خاصی نداشت، هرچه جلوتر رفتیم در لایههای مختلف سامانههای اطلاعاتی اهمیت پیدا کرد.
وی افزود: در اواسط دهه ۸۰ موضوع امنیت اطلاعات بسیار داغ و جذابتر شد. من نخستین بار در آنجا بود که متوجه شدم فضای امنیت اطلاعات بسیار گسترده و وسیع است و از پایینترین لایهها و از سطوح نگهداری و حفظ دادهها و زیرساخت و شبکه شروع میشود تا بالاترین سطح که معمولاً در رویدادهای مختلف کمتر مورد توجه قرار گرفته است.
مانی یکتا ادامه داد: در همان دوران یک نقطه عطف دیگری در من ایجاد شد که مربوط به یک نویسنده معروف امریکایی بود، او دو کتاب در اوایل دهه ۹۰ میلادی در آمریکا نوشت، درست در زمانی که به جرم حمله سایبری به زیرساختهای دولتی محکوم شد و در دوران محکومیتش در زندان آن را نوشت، کتابی به نام هنر فریب که اساساً سعی کرد در قالبی جدید مفهوم این حوزه را مطرح کند.
معاون اداره نظام پرداخت بانک مرکزی گفت: وی این موضوع را مطرح کرد که برخی افراد، انرژی بسیار زیادی را میگذارند تا حفره و خلا امنیتی را پیدا کنند و بتوانند به سیستمهای امنیتی رخنه و نفوذ کنند. البته تاکید نویسنده کتاب این بود که خیلی سادهتر میتوان با مدیریت عامل انسانی و بدون نیاز به استفاده از ابزارها و رویکردهای تکنیکال به سیستم نفوذ و رخنه کنیم. کتاب نشان میدهد چقدر ساده میتوان توسط عوامل انسانی با مهندسی اجتماعی اطلاعاتی را به دست آورد که اساساً کسب این اطلاعات برای انجام یک عملیات امنیتی و نفوذ بسیار بسیار پیچیده است.
وی تصریح کرد: این نویسنده امریکایی چندی بعد کتاب دوم خود را با عنوان «هنر نفوذ» نوشت و آنجا سناریوهای امنیتی و نفوذ را خیلی جزئیتر مطرح کرد. دلیل اصلی اینکه من به این موضوع اشاره کردم این بود که اهمیت بالاترین لایه در مدیریت رخدادهای امنیتی چه پیش از رخداد و چه بعد از آن رخداد کمتر از مدیریت زیرساخت در لایههای دادهها و توسعه نیست و باید به این موضوع توجه ویژه شود.
در واقع در زنجیره مکانیزمهای امنیتی تمام قدرت یک زنجیر، قائل بر ضعیفترین حلقه زنجیره است.
اگر شما مدیریت مناسبی در بالاترین سطح ملاحظات امنیتی یعنی در بخش آموزش و آگاه سازی نداشته باشید تمام تلاشهایی که در سطوح میانی و پایین مدیریت حفظ امنیت زیرساختها انجام شده باطل میشود. چون این زنجیر تمام استحکامش تضعیف میشود مثل همان ضعیفترین حلقه که محل نفوذ و رخنه به سیستم امنیتی میشود.
مانی یکتا با اشاره به اینکه اساساً رویکرد این بخش این است که تمام سطحهای انسانی و فایروالهایی که عامل انسانی دارند را پشت سر بگذارد، مطرح کرد: این اتقاق معمولاً با یک سناریو شروع میشود و چهار مرحله دارد و اساساً مبتنی بر شناخت و با سناریو نگاری آغاز میشود، در واقع حمله کننده، مکانیسمهای مختلفی را طراحی و عملیات خود را آغاز میکند. او حتی بعد از آن هم مدیریت میکند تا به راحتی با یک مکانیزم ویژه از این حمله خارج شود.
وی ادامه داد: توجه ویژه به جایگاه مدیریت روابط انسانی در سازمانها بسیار مهم است. استانداردهای متعددی برای این موضوع وجود دارد، اما چون به این قسمت کمتر توجه شده من به عنوان یک تلنگر در این رویداد به شما یادآوری کنم.
معاون اداره نظام پرداخت بانک مرکزی اظهار داشت: باید به این موضوع مهم توجه کرد که چگونه با چه سناریو و مکانیزمی در یک سازمان، افراد ارشد هم میتوانند مورد حملاتی قرار بگیرند که معمولاً شناسایی آن حملات نیز بسیار بسیار پیچیده و مشکل است. این حملات معمولاً قابل شناسایی نیستند و هیچ باگی وجود ندارد تا شما برای شناسایی مورد بررسی قرار دهید و آن را مدیریت کنید.
وی در پایان سخنان خود گفت: این رویداد نخستین رویداد در خصوص در شبکه بانکی است، در واقع یک اتفاق بسیار خوب و شروع بسیار ارزشمندی است که امیدوارم نتایج حاصله باعث شود تا آن ظرفیت و نخبگانی که در این حوزه وجود دارند شناسایی و تربیت شوند. از سوی دیگر تلنگری باشد برای توجه ویژه به جایگاه امنیت اطلاعات در فضای بانکی و پرداخت که یکی از مهمترین موارد مسائل بانکی است.
<###dynamic-0###>