مقدمه
امروزه به كارگيري الگوي رايانش ابري كه به روزترين و پيشرفته‌ترين فناوري در زمينه زيرساخت‌هاي فناوري اطلاعات به شمار مي‌رود، با برخورداري از قابليت‌هاي پوياي خويش، معمول‌ترين روش براي اشتراك گذاري و مدیریت منابع فناوری اطلاعات است كه در كشورهاي توسعه يافته جهان، زيرساخت‌هاي آن به شدت در حال توسعه و خدمات مبتني بر ابر نيز با سرعت، رو به گسترش است.
رايانش ابري، يك تكنولوژي جديد و به عبارتي بهتر، يك نگرش صحيح در پروژه‌هاي سرمايه گذاري فناوري اطلاعات است كه علاوه بر كاهش شديد هزينه‌ها، عملكرد بهتر و قابليت‌هاي فراواني را به ارمغان آورده است. اين فناوري، راهي براي تغيير مدل‌هاي كسب و كار نبوده، بلكه همچون پديده اينترنت، انقلابي در زيرساخت‌هاي فناوری اطلاعات قلمداد مي‌شود كه معماري نويني را در توسعه، استقرار، اجرا و ارايه خدمات به همراه داشته است.
هم اكنون، شركت‌هاي بزرگي همچون مايكروسافت، گوگل و آمازون، علاوه بر ارايه نرم افزارهاي مبتني بر ابر، اعلام كرده‌اند كه اهداف آتي آنها، انتقال برنامه‌هاي كاربردي به محيط‌هاي ابري خواهد بود. برنامه‌هايي كه بر روي ابرها مستقر شده و به راحتي، همچون ابر، بر روي سرورهاي پيشرفته شناور هستند. پايگاه‌هاي داده ابري، تحول بزرگي را در تمركز داده‌ها و اطلاعات ايجاد نموده‌اند.
با گسترش روز افزون خدمات مبتنی بر ابر، بانک‌ها و مؤسسات مالی نیز به دلیل ماهیت ساختاری خویش، تمایل دو چندانی به بهره گیری از مزایای این فناوری پیدا کرده‌اند. به فراخور این گرایش، ایجاد یک محیط امن بانکداری در بسترهای ابری که مورد تأیید کارشناسان بانکی و همچنین متخصصان امنیت فناوری اطلاعات باشد، بیش از پیش نمایان است. توجه به بانکداری ابری، به خصوص در چشم انداز فراگير ديجيتالي خدمات بانکداری الکترونیک براي بهبود ايمني، كيفيت خدمات و كاهش هزينه‌های بانکداری، ضروري است. بنابراین نگاه جدی به این مقوله، ضمن ایجاد تعامل مناسب میان بانک‌ها باعث می شود تا نظام بانکی کشور به پتانسیل‌های لازم جهت تحول در ارایه خدمات نوین بانکداری با کیفیت بالا و هزینه‌های مقرون به صرفه نایل شود.
در این مقاله، پس از تعریف مفاهیم مهم و اساسی رایانش ابری؛ مسایل مرتبط با امنیت سیستم‌ها و تجهیزات بانکی، حفظ حریم خصوصی مشتریان و دست اندرکاران امور بانکداری، دسترسی و مدیریت امن حساب‌های بانکی، بر اساس استانداردهای ملی ایزو 27001 و 27002 بررسی گردیده و یک مدل جامع امنیتی برای نظام بانکداری که مبتنی بر رایانش ابری است، معرفی میگردد. یك مدل جامع امن براي سيستم بانکداری ابري كه ضمن رعايت تمامي نكات امنيتي، تكنيك‌هاي مورد استفاده آن نيز براي پياده‌سازي بهتر، به راحتي توسط كارشناسان، قابل فهم و درك باشد.
شایان ذکر است که اين مدل جامع امنیتی از بانکداری مبتني بر رایانش ابري، بيانگر رعايت موارد امنيتي و مصونيت از چالش‌هاي حفظ حريم خصوصي مشتریان است که ضمن لحاظ نمودن مواردی همچون حفظ اصالت داده‌ها، محرمانگي، يكپارچگي، حصول اطمينان از عدم انكار، ادغام و تركيب حساب‌های بانکی با يكديگر در بانک‌هاي مختلف، تأييد و تصديق اطلاعات، اعمال گواهينامه‌هاي امنيتي در ارتباطات، به كارگيري روش‌هاي احراز هويت، امضای ديجيتالي، نهان نگاري و رمزنگاري، مي‌تواند به عنوان الگويي در ارايه خدمات بانکداری ابری به مردم در نظر گرفته شود. مدلي كه علاوه بر تمركز روي «مشتری محوري»، درصدد است تا حفاظتي جامع و پيشگيرانه را از مخاطرات امنيتي، سرلوحه فعاليت‌هاي خويش قرار دهد.

آيا رايانش ابري مي تواند در بانکداری هم استفاده شود؟
از مهمترين موانع پيش روي نظام بانکداری کشور به شيوه‌هاي سنتي، مي‌توان به هزينه زياد و قابليت‌هاي ضعيف استفاده از آن اشاره نمود كه ضمن تحميل هزينه‌هاي گزاف به بانک‌ها، امكان بهره مندي از آن بسيار پايين بوده و در عمل، در بسياري از موارد، عليرغم تلاش‌هاي بسيار، شکایات بسیار زیادی را از سوی مشتریان به همراه داشته است.
در رايانش ابري، بانک‌ها مي‌توانند ضمن كاهش شديد هزينه‌ها، از طريق ادغام سيستم‌ها و تجهيزات سخت افزاري و به اشتراك گذاري آنها بر اساس نياز كاربران، يك محيط پويا را در ارايه خدمات بانکداری ايجاد نمایند كه علاوه بر مالكيت سيستم، هزينه‌هاي تعمير و نگهداري آن، تهيه نسخه‌هاي پشتيبان از اطلاعات و استخدام كارشناسان فني، به ارايه دهندگان خدمات ابري واگذار مي‌شود.
همزمان با رشد و گسترش اين فناوري، استانداردهاي مخصوص به آن نيز در حوزه بانکداری، در حال تدوين و اجرا است كه هدف آنها بيشتر بر روي چگونگي نگهداري سوابق تراکنش‌های مالی، نحوه نظارت بر مشتریان و کاربران، مديريت حساب‌های بانکی و نحوه همكاري مؤسسات مالی براي ارايه خدمات بانکیِ كارآمد و مؤثر و همچنين تحليل و بررسي قاعده مند داده‌هاي نظام بانکداری الكترونيك، متمركز شده است.
پيش بيني مي‌شود كه با حركت و انتقال نرم افزارهاي بانکی به الگوهاي مبتني بر رايانش ابري و مديريت آنها از طريق ابرها، انقلابي در راه انجام خدمات بانکداری به وقوع بپيوندد كه نتايج آن، امكان دسترسي به این خدمات را براي همگان و در همه جا فراهم ساخته و علاوه بر كاهش شديد هزينه‌ها، گام‌هاي اساسي براي بهره مندي از نظام الگومند بانکداری كه جهت رفاه حال مشتریان، با فناوري ادغام، همگام و همسو شده است، برداشته شود.

مدلهاي بانکداری ابري
بانکداری ابري را مي‌توان بر اساس مدل‌هاي سرويس ابري و الگوهاي استقرار ابرها، به موارد مختلفي تقسيم بندي نمود.
بر اساس مدل‌هاي سرويس ابري، ارايه دهندگان خدمات بانکداری ابري به سه دسته تقسيم مي‌شوند:

  • 1. برنامه‌هاي كاربردي در ابر (نرم افزار به عنوان يك سرويس - SaaS): در اين مدل، برنامه‌هاي بانکی از طريق يك رابط كاربري سبك مانند مرورگر وب، بر روي زيرساخت‌هاي ابري، اجرا مي‌شوند.

در اين نوع مدل از خدمات ابري، امنيت و حفاظت از حريم خصوصي، به عنوان بخشي جدايي ناپذير از SaaS ، به دريافت كنندگان خدمات ارايه مي‌شود.

  • 2. سيستم عامل در ابر (پلت فرم به عنوان يك سرويس - PaaS ): اين مدل، توانايي استقرار يا به دست آوردن برنامه‌هاي نوشته شده با استفاده از زبان‌هاي برنامه نويسي و ابزارهاي پشتيباني آن را توسط ارايه دهنده خدمات ابري، به دريافت كنندگان ارايه مي‌دهد.

در اين نوع مدل، برنامه‌هاي كاربردي مورد استفاده، قابل پيكربندي و كنترل بوده و تلاش مي‌شود تا با مكانيزم‌هاي امنيتي اساسي در ارايه خدمات ابري مانند رمزگذاري اطلاعات، تأييد هويت و مجوزهاي لازم و همچنين در سطح برنامه‌هاي كاربردي، با تعيين ميزان دسترسي و كنترل آن، سازوكارهاي حفاظتي لازم براي تأمين امنيت و حفظ حريم خصوصي به عمل آيد.

  • 3. زيرساخت در ابر (زيرساخت به عنوان يك سرويس - IaaS ): در اين مدل، ارايه پردازش، ذخيره سازي، كنترل محدود امور شبكه‌اي (مانند فايروال‌ها)، بعضي از منابع محاسباتي، اجرا و كنترل نرم افزارهاي دلخواه شامل سيستم عامل و برنامه‌هاي كاربردي، توسط دريافت كنندگان خدمات ابري، قابل تنظيم است.

در اين نوع مدل از خدمات ابري، توسعه دهندگان نرم افزارهاي بانکی، مسئول كامل حفاظت از امنيت و حفظ حريم خصوصي دریافت کنندگان خدمات، به شمار مي‌روند.
در مدل‌هاي استقرار رايانش ابري براي برنامه‌هاي بانکداری ابري نيز مي‌توان به موارد زير اشاره نمود:

  • * ابر خصوصي: زيرساخت ابري است كه تنها براي يك بانک اجرا شده و متعلق به آن مي‌باشد.

 در این نوع مدل، لحاظ نمودن نكات امنيتي و حفاظت از حريم خصوصي مشتریان، برعهده ارايه دهنده خدمات ابري است.

  • * ارتباطات ابري: زيرساخت ابري به اشتراك گذاشته شده توسط چندين بانک كه نگراني‌هاي مالی و امنيتي مشتركي مانند مأموريت‌ها، سياست‌ها، نيازمندي‌هاي امنيتي و ساير ملاحظات را دارند.
  • * ابر عمومي: زيرساخت ابري كه در دسترس عموم مردم يا يك گروه بزرگ از بانک‌ها بوده و متعلق به يك ارايه دهنده خدمات ابري است.

در اين نوع مدل از استقرار ابري، توسعه دهندگان نرم افزار و ارايه كنندگان خدمات بانکداری، مسئول كامل حفاظت از امنيت و حفظ حريم خصوصي مشتریان هستند.
به طور خلاصه، بايد اذعان داشت كه امنيت و حفظ حريم خصوصي، چيزي بسيار فراتر از اجراي دسترسي‌هاي كاربري و رمزهاي عبور بوده و به كارگيري و اعمال الزامات امنيتي، يك ضرورت بزرگ براي بانک‌ها است كه از اطلاعات حساس و حياتي برخوردار هستند.
با اجراي دقيق يك مدل مبتني بر ابر، مي‌توان بالاترين سطوح امنيت فيزيكي، شبكه‌اي، برنامه‌هاي كاربردي، داده‌ها و سيستم‌هاي داخلي را تضمين نمود كه استراتژي‌هايي همچون تهيه نسخه‌هاي پشتيبان از اطلاعات، روش‌ها و سياست‌هاي امن داخلي، شيوه‌هاي استاندارد تنظيمات امنيتي و صدور گواهينامه‌ها نيز در بطن آن گنجانده شده است. در این مدل، موارد مهمي همچون رمزنگاري اطلاعات و احراز هويت كاربران و مشتریان نيز به طور مرتب در حال اجرا است.

مسايل امنيتي و حريم خصوصي در بانکداری ابری
در چند سال گذشته، تحقيقات فراواني بر روي مسايل امنيتي و حفظ حريم خصوصي در سيستم‌هاي اطلاعاتی بانک‌ها انجام شده است. انجمن‌های ملی و  بين‌المللي مختلفی نيز براي بررسي مسايل مرتبط با حفاظت از داده‌ها و امنيت در محيط‌هاي مالی تشكيل شده‌اند كه به طور عمده، بر روي امنيت در سيستم‌های بانکی و ارايه راه حل‌هاي امنيتي مشترك براي برقراري ارتباط داده‌ها، متمركز شده‌اند. این انجمن‌ها، طیف گسترده‌ای از مسایل امنیتی در خدمات بانکداری را مورد بررسی قرار داده و دستورالعمل‌های عملی نیز برای ایجاد و ارایه خدمات بانکداری امن منتشر کرده‌اند.
از آنجا كه امنيت و حفظ حريم خصوصي و همچنين حفاظت از اطلاعات مشتریان، در دسترسی امن به داده‌های مالی در ابر از بالاترين درجه اهميت برخوردار است، مي‌توان سه اصل مهم را براي اطمينان از حفظ حريم خصوصي، صحت محتوا و قابليت اعتماد، در نظر گرفت. اول اينكه، تمامي تراکنش‌ها و ارتباطات مالی بايد از طريق رمزنگاري توسط مالكان آنها، كنترل، محافظت، ذخيره سازي، انتقال و مورد دسترسي امن قرار گيرند. دوم اينكه، در ايجاد و نگهداري اطلاعات بايد اصالت محتوا و جامعيت داده‌ها با توجه به امكان سفارشي ساختن حفظ حريم خصوصي مشتریان در فرآيندهاي ادغام حساب‌های بانکی در نظر گرفته شود. و سوم، دسترسي و به اشتراك گذاری اطلاعات مالی بايد از طريق امضاي ديجيتال و فرآيندهاي صدور گواهينامه، جهت جلوگيري از تغييرات غيرمجاز در محتواي اطلاعات حساس مالی، صورت گيرد.

امنيت بانکداری ابري و الزامات حفظ حريم خصوصي
اگرچه بعضي از نيازهاي امنيتي و حفظ حريم خصوصي در برنامه‌هاي بانکداری ابري به مدل سرويس يا استقرار ابري مورد استفاده، بستگي دارد وليكن به طور خلاصه، مهمترين اين موارد در زیر بیان می شود:

  • * ممكن است يك مشتری، حساب‌های بانکی متعددي در بانک‌هاي مختلف داشته باشد كه اطلاعات آنها، براي او حساس بوده و جزء حريم خصوصي وي قلمداد مي‌شود و مشتری با توجه به نگراني‌هايي كه دارد، نخواهد اطلاعات اين حساب‌ها فاش شده يا در دسترس افراد غيرمجاز قرار بگيرد. بنابراين، دسترسي به اطلاعات حساب‌ها بايد از طريق يك روال كنترل شده و بر اساس مجوزهاي لازم صورت گيرد.
  • * ممكن است يك بانک، مشتریانی در بانک‌های مختلف داشته باشد كه لازم است از طريق مكانيزم‌هاي احراز هويت، دسترسي آن به مدارك مشتریان امكان‌پذير شود. صحت اطلاعات نيز، پس از پايان بررسي حساب مشتری، بايد به تأييد بانک برسد.
  • * ذخيره سازي امن اطلاعات و تضمين يكپارچگي داده‌ها توسط بانک‌ها.
  • * در مواردي كه اطلاعات مالی در بانک‌هاي مختلف به اشتراك گذاشته مي‌شود بايد مالكيت این اطلاعات به صورت دقيق و شفاف مشخص بوده و مالك آن، تمامي الزامات امنيتي را در این خصوص به عمل آورد. مالك اطلاعات موظف است تمهيدات لازم را براي محافظت از اطلاعات در برابر دسترسي‌هاي غيرمجاز و يا سوء استفاده از اطلاعات مشتری از طريق روش‌هاي فيزيكي مانند توكن‌هاي احراز هويت كاربران سيستم بانکی و همچنين رمزنگاري اطلاعات به عمل آورد.
  • * براي ورود كاربران به سيستم‌های بانکی بايد از روش‌هاي صحت و تصديق هويت كاربران استفاده شود.
  • * استفاده از گواهينامه‌هاي SSL و پروتكل‌هاي رمزنگاري اطلاعات براي تأمين امنيت داده‌هاي در حال انتقال در طول شبكه‌هاي عمومي نظير اينترنت، توسط بانک‌ها باید اجرا شود.
  • * با استفاده از روش‌هايي همچون امضاي ديجيتال، نهان نگاري و رمزگذاري اطلاعات، بايد از عدم انكار اطلاعات توسط افراد دخيل در امر خدمات بانکداری جلوگيري نموده و تمامي افراد، ملزم به انجام تعهدات خويش گردند.
  • * در سيستم خدمات بانکداری، اطلاعات بايد از يكپارچگي و جامعيت به معناي حفظ دقت، صحت و قوام داده‌ها برخوردار بوده و از دستكاري غيرمجاز، مصون بمانند. همچنين محرمانگي اين اطلاعات نيز طبق استاندارد ایزو 27001 به معناي اينكه «اطمينان حاصل شود كه اطلاعات تنها در دسترس كساني است كه مجاز به دسترسي به آنها هستند» تضمين شود كه اين امر نيز، به كمك روش‌هاي رمزنگاري امكان پذير است.
  • * اطلاعات مالی بر اساس اصل دسترس پذيري امنيت، بايد در زماني كه به آنها نياز است، در دسترس افراد مجاز قرار گيرد.
  • * سيستم‌هاي رایانه‌ای كه اطلاعات مالی در آنها ذخيره و پردازش مي‌شود بايد از كنترل‌هاي امنيتي لازم برخوردار باشند و در برابر كمترين مخاطرات، همچون نوسانات و قطع برق، خللي در ارايه خدمات بانکی براي مشتریان ايجاد نگردد.
  • ارتقای سيستم‌ها و تجهيزات و همچنين خرابي‌هاي ناشي از فرسودگي سخت افزار، نتواند اختلالاتي را در ارايه خدمات به مشتریان ايجاد كند.
  • * سيستم‌هاي خدمات بانکداری، در فواصل زماني معين جهت اطمينان از صحت عملكرد و رعايت نكات امنيتي لحاظ شده، توسط كارشناسان مربوطه، مورد مميزي قرار گيرند.
  • * تهيه نسخه‌هاي پشتيبان از اطلاعات، بر اساس قواعد مشخص، توسط بانک‌ها صورت پذيرد.
  • * تمامي تعريف‌هاي جديد در سيستم بانکی از قبيل اضافه نمودن مشتریان يا كاربران سيستم، بايد بر اساس يك روش اصولي و قاعده مند و طبق ضوابط مشخصي كه از قبل توسط بانک وضع گرديده است، صورت گیرد.
  • * هر مشتری در سيستم بانکی بايد داراي شناسه کاربری (ID ) منحصر به فرد بوده كه رديابي فعاليت‌ها و اقدامات انجام شده توسط ارايه دهندگان خدمات بانکداری، از طريق آن شناسه صورت پذيرد. براي تعريف اين PID بهتر است از كدهاي يكتا همچون كد ملي به جاي كدهاي انتخابي كه ممكن است با ديگر بانک‌ها همخواني و/يا ناهمخواني داشته باشد و يا به كار بردن نام و نام خانوادگي كه در آن، افراد مشابهت‌هاي زيادي با يكديگر دارند، استفاده شود.
  • * در مواردي كه كاربران سيستم بانکی و دست اندركاران امر خدمات بانکداری، دچار اشتباه يا خطايي در روند ورود اطلاعات در سيستم بانکی و يا حذف ناخواسته اطلاعات از حساب مشتری مي‌شوند، بايد بانک با ديد باز با اين موارد برخورد نموده و ضمن دادن شهامت لازم، آنان را براي اعلام موارد اشتباه تشويق نمايد، چرا كه حساب مشتری بايد در تمام شرايط، حاوي اطلاعات صحيح و درستي از اطلاعات مشتری باشد. با آموزش اصولي كاربران، بايد از تكرار موارد اين چنيني جلوگيري نمود.
  • * طرح‌هاي رمزنگاري مورد استفاده توسط سيستم، در حين كارآمدي، بايد آسان به استفاده بوده و به راحتي نيز در تمام فرآيندهاي سيستمي جديد، قابل توسعه و گسترش باشد. بهتر است از طرح‌هايي كه به شدت وابسته به كليد خصوصي افراد هستند، جلوگيري شده و از الگوريتم‌هاي رمزنگاري مناسب استفاده شود.
  • * كنترل‌هاي امنيتي لازم براي هنگامي كه يكي از كاربران سيستم بانکی، تغيير شغل يافته و يا از سازمان اخراج مي‌گردد، اعمال گردد تا از افشا يا تغييرات ناخواسته و نامجاز در سيستم جلوگيري شود.
  • * امضاي ديجيتال يك ابزار بسيار مفيد براي ارايه صحت، صداقت و عدم انكار است. بايد از هويت امضا كننده جهت استراق سمع و موارد ديگر، حفاظت‌هاي لازم توسط بانک‌ها به عمل آيد.
  • * لازم است كه اطلاعات مالی در فرمت‌هاي خاصي تهيه شوند كه قابل استفاده در تمام سيستم‌هاي بانکی بوده و مشكلي به نام عدم انطباق اطلاعات در فرآيندهاي بانکداری، هرگز به وقوع نپیوندد.
  • * دسترسي به اطلاعات رمزنگاري شده در سیستم‌های بانکی، از طريق مكانيزم‌هاي رمزگشايي مبتني بر هويت و اخذ مجوز بر اساس كليدهاي خصوصي صورت گيرد.
  • * سرورها باید در مکان‌های ایمن نگهداری شوند که کنترل دسترسی به آنها به صورت امن صورت می‌پذیرد.
  • * رمزنگاری داده‌ها در حین ذخیره سازی و انتقال اطلاعات همواره در جریان باشد و هیچ فردی، قادر به دخالت در این امر نباشد.
  • * دسترسی‌ها، بر اساس مجموعه‌ای از کنترل‌های مبتنی بر نقش و یا سیاست‌های مبتنی بر ویژگی، شکل گرفته و اعمال شوند.
  • * سیاست‌های امنیتی لحاظ شده در بانکداری ابری، توسط پارامترهای قابل سنجش، در فواصل زمانی مشخص ارزیابی گردند.
  • * نگهداری طولانی مدت تمام تراکنش‌ها، عملکردها و اطلاعات مالی مشتریان.
  • * تمامی ارتباطات و فرآیندهای میان بانک‌ها باید به صورت امنی که از طریق الگوریتم‌های رمزنگاری، پروتكل‌ها و گواهينامه‌هاي امنيتي همچون SSL ، TLS و IPSec حاصل می‌شود، صورت بگیرد تا اطمینان حاصل شود که اطلاعات در حال انتقال، از شنود و دستکاری غیرمجاز در شبکه‌های عمومی، محفوظ هستند.

نتیجه گیری
در اين مقاله، رويكردي روشمند براي بررسي الزامات امنیتی و حفظ حريم خصوصي در بانکداری ابري اتخاذ گردید. تحليل‌هاي مختصري از مخاطرات امنيتي كه مي‌تواند بانکداری ابری را تحت تأثير خويش قرار دهد، ارايه شد و راه‌هاي حفاظت از آنها به نحوی که در عين استفاده از فناوري‌هاي نوينی همچون رايانش ابري، خدمات بانکداری نيز به نحو مطلوبي انجام شود، ذکر گردید.