به گزارش روابط عمومی پژوهشکده پولی و بانکی، نشست تحلیلی امنیت سایبری و ارتقای تاب‌آوری در خدمات بانکی و پرداخت با حضور محسن باباخانی مدیرعامل شرکت مدیریت امن الکترونیکی کاشف، فناوری اطلاعات و امنیت فضای مجازی، سرهنگ میرزایی از پلیس فتا، محمدحسام تدین عضو هیات علمی پژوهشکده امنیت ارتباطات و فناوری اطلاعات، مهرداد آرمان مشاور شرکت داده‌ورزی سداد و سید یاسر آیت معاون ریسک و امنیت شرکت خدمات انفورماتیک در روز نخست یازدهمین همایش سالانه بانکداری نوین و نظام‌های پرداخت با عنوان زیست بوم بانکداری هوشمند برگزار شد.
سید یاسر آیت معاون ریسک و امنیت شرکت خدمات انفورماتیک در ابتدای این نشست تحلیلی با ارائه گزارشی از امنیت سایبری در خدمات بانکی وسیستم‌های پرداخت، از راه‌کارهای موجود برای کاهش ریسک که باید در یک بستر یکپارچه رقم بخورد، گفت. او ابتدا معماری کلان اکوسیستم بانکی را تشریح کرد و به این نکته اشاره کرد که مسئله امنیت در اکوسیستمی که فعالیت‌ها در آن در هم تنیده شده مشکلاتی دارد. وی آسیب‌شناسی اکوسیستم بانکی از منظر امنیت را در قالب های شکل‌گیری پایگاه داده بانکی، استفاده از تکنولوژی و بسترارتباطی آسیب‌پذیر، عدم حفاظت از API بانکی و عدم تطابق قوانین و الزامات با شرایط(عدم وجود سند یکپارچه حاکمیت داده در کشور) مورد بررسی قرارداد. همچنین از چالش‌هایی که در بانکداری ایران در رابطه با امنیت سایبری وجود دارد، توضیحاتی ارائه کرد که در خلل آن به خلاء‌هایی که باعث بالا رفتن ریسک سایبری مانند کارت‌های مگنتی و فرسوده شدن سیستم‌های بانکی اشاره شد. نقش مهم APIها موردی بود که لزوم بازنگری در آن برای بهبود امنیت سایبری در ایران حیاتی است، مورد اشاره قرار گرفت.
آیت با بررسی ۳۴ مورد رخ داد امنیتی از سال ۱۴۰۰ تا ۱۴۰۳ مشخصه‌های این رخدادها را بیان کرد. او با بیان این که روزانه ۵ درصد IPهای کاربران ایرانی آلوده هستند، این پدیده را تهدیدی برای امنیت سایبری دانست. نبود فضای ابری در ایران باعث شده که عملیات پاک‌سازی بعد از یک رخ‌داد امنیتی را به تنگنا برده است. وجود نهاد، الزامات قانونی، بودجه و زیرساخت مواردی است که برای بالا بردن امنیت سایبری در کشور لازم است که توسط آیت بیان شد و مدل‌هایی جهت حکمرانی امنیت ارائه کرد.وی بیان کرد که با وجود نهادسازی خوب در این حوزه در مقایسه با سایر کشورها تقسیم وظایف و هماهنگی بین نهادها به خوبی در کشور انجام نشده است.
پس از پایان ارائه، محسن باباخانی مدیرعامل شرکت مدیریت امن الکترونیکی کاشف گفت: موضوعاتی از قبیل ارتقای آگاهی و آموزش، ارتقای سطح توانمندی نیروهای انسانی، تدوین قوانین و استاندارد اجرای بیمه سایبری مواردی است که باید در بحث امنیت سایبری به آن پرداخته شود. وی بحث بیمه سایبری را به عنوان یکی دیگر از موضوعات پر اهمیت در این حوزه معرفی کرد و به آن پرداخت.
در ادامه مهرداد آرمان مشاور شرکت داده‌ورزی سداد بیان کرد: فقط مسئله امنیت مطرح نیست و بحث کلی‌تری وجود دارد. مهمترین مطلب بحث فرهنگ‌سازی هستیم. استفاده از نرم افزارها و سیستم عامل قفل شکسته یکی از چالشهایی است که به ان توجه نشده است و لازم است که در این حوزه اموزش به کارمندان داده شود. اینکه گفته می‌شود ترافیک‌ها را چک می‌کنیم اما من شما را به مثال‌های آقای آیت ارجاع می‌دهم و می‌توان گفت که نمی‌شود تمام ترافیک را چک کرد. فایروال که یکی از شرکت‌های بزرگ امنیتی دنیا بود ذره‌ذره مورد حمله قرار گرفت و الان یک شرکت محلی به حساب می‌آید.  
در ادامه محمدحسام تدین عضو هیات علمی و معاون پژوهشکده امنیت ارتباطات و فناوری اطلاعات درباره موانع بیمه سایبری بیان کرد: یکی از دلیل نبود بیمه سایبری به بحث نیروی انسانی خبره برای بحث ارزیابی امنیتی و جرم یابی سایبری برمی‌گردد. وی به کمبود شدید نیروی متخصص امنیت اشاره کرد که ۵۲ عنوان شغل در حوزه امنیت سایبری در استانداردهای جهانی داریم. دلیل این تعدد، فوق تخصصی بودن امنیت سایبری است که افرادی باید روی تمام حوزه های ICT تخصص امنیت کسب کنند. پس ۳۲ حوزه تخصصی و حدود ۱۰۰۰ عنوان توانایی، دانش و مهارت امنیتی برای این 52 عنوان شغل استخراج شده است.
وی در ادامه به مساله مهم بیمه سایبری و بانکداری اشاره کرد که ما در ایران شخص ثالث‌هایی که با سیستم بانکداری کار می‌کنند را مورد ارزیابی جدی امنیتی قرار نمی دهیم و بیمه سایبری برای جبران خسارت های ناشی از ریسک تعامل با آنها یا از دست دادن داده ها را نداریم. بعضی وقت ها سیستم بانکی باید به شخص ثالث خسارت دهد و بعضی وقت ها باید خسارت بگیرد و در این وسط بیمه سایبری به خوبی می تواند مشکل را حل کند. با بیمه سایبری می‌توان بخشی از ریسک نظام بانکی را به سیستم بیمه منتقل کرد و این امر به بانک ها کمک می کند تا روی موضوعات پر ریسک تر دیگر سرمایه گذاری کنند و کسب منفعت نمایند. البته این بحث بیمه سایبری بحث نوینی است که هنوز در ایران انجام نشده چرا که مباحث قانونی، جرائم و جریمه ها به درستی تعیین نشده است.
تدین گفت: جریمه های ناشی از نقض حریم خصوصی یا امنیت خودش می‌تواند نقش خود تنظیم گری داشته باشد و شرکت‌ها را به سمت بیمه سایبری ببرد. بیمه‌های سایبری می‌توانند تهدیدات ناشی از تعاملات با مخاطرات شخص ثالث را کاهش دهند. جالبی بحث بیمه سایبری این است که بیمه سایبری به یک شرط وارد بازی می شود که وضعیت امنیتی فعلی شرکت درخواست کننده در حالت نسبی خوبی باشد و شرکت از قبل مورد ارزیابی امنیتی قرار گرفته باشد.
وی خاطرنشان کرد: در واقع تا شرکت بیمه از وجود سطح قابل قبولی از امنیت در شرکت خواهان بیمه، اطمینان نیابد وارد کار نمی شود. پس فعالیت بیمه سایبری و ارزیابی اولیه امنیتی موجب افزایش تاب آوری شرکت ها می شود. همچنین خود شرکت های بیمه برای جلوگیری از پرداخت خسارت بیشتر به شرکت های بیمه گذار، اطلاعات تکمیلی در زمینه آخرین تهدیدات و آسیب پذیری ها را ارائه خواهند کرد تا تهدید سایبری در شرکت ها را کاهش دهند، زیرا این کار موجب کاهش خسارت شده و این هم به نفع شرکت بیمه گذار است و هم به نفع شرکت بیمه گر. البته یکی از دلایل دیگر از عدم وجود بیمه سایبری در ایران این است که شرکت‌های بیمه در ایران به آمار مناسبی دسترسی ندارند که بدانند بیمه سایبری سودآور است یا خیر و لازم است بیمه مرکزی را در این امر یاری کرد. امیدوار هستیم که به زودی شرکت هایی در این زمینه ورود کنند. البته قانون گذار با تشویق و تنبیه (جریمه) خیلی می تواند کمک کننده و تسریع کننده این موضوع باشد.

در ادامه سرهنگ میرزایی اظهار کرد: از نگاه منِ پلیس این نگرانی وجود دارد که مانند رانندگی که بیمه بعضا باعث می‌شود راننده‌ها تند برانند، در بحث امنیت هم چنین اتفاقی تکرار شود. با استناد به آمار ثبت شده در کشور بیش از ۷۰ درصد پرونده‌های سایبری در حوزه مالی است. به همین دلیل فراز و نشیب زیادی در این سال‌ها داشته‌ایم. آقای آیت به بحث رمزهای عبور یکبار مصرف (OTP)اشاره کردند که هزینه‌بر و ناکارآمد بوده است. ایشان وضعیت بسیار نابسامان سال ۹۸ را به یاد دارند که دامنه مجرمان از حوزه کامپیوتر به کارگران یا خانم خانه‌دار رسیده بود. آن زمان ما به سراغ OTP رفتیم. ما با دلیل و منطق اثبات کردیم که بهترین کار همین بوده است. خلاهای فرآیندی در بانک‌ها و عدم آگاهی و آموزش عمومی لازم در استفاده از بانکداری الکترونیک دو عاملی است که بخش قابل توجهی از پرونده‌های فتا را به خود اختصاص داده است.