مقدمه
امروزه به كارگيري الگوي رايانش ابري كه به روزترين و پيشرفتهترين فناوري در زمينه زيرساختهاي فناوري اطلاعات به شمار ميرود، با برخورداري از قابليتهاي پوياي خويش، معمولترين روش براي اشتراك گذاري و مدیریت منابع فناوری اطلاعات است كه در كشورهاي توسعه يافته جهان، زيرساختهاي آن به شدت در حال توسعه و خدمات مبتني بر ابر نيز با سرعت، رو به گسترش است.
رايانش ابري، يك تكنولوژي جديد و به عبارتي بهتر، يك نگرش صحيح در پروژههاي سرمايه گذاري فناوري اطلاعات است كه علاوه بر كاهش شديد هزينهها، عملكرد بهتر و قابليتهاي فراواني را به ارمغان آورده است. اين فناوري، راهي براي تغيير مدلهاي كسب و كار نبوده، بلكه همچون پديده اينترنت، انقلابي در زيرساختهاي فناوری اطلاعات قلمداد ميشود كه معماري نويني را در توسعه، استقرار، اجرا و ارايه خدمات به همراه داشته است.
هم اكنون، شركتهاي بزرگي همچون مايكروسافت، گوگل و آمازون، علاوه بر ارايه نرم افزارهاي مبتني بر ابر، اعلام كردهاند كه اهداف آتي آنها، انتقال برنامههاي كاربردي به محيطهاي ابري خواهد بود. برنامههايي كه بر روي ابرها مستقر شده و به راحتي، همچون ابر، بر روي سرورهاي پيشرفته شناور هستند. پايگاههاي داده ابري، تحول بزرگي را در تمركز دادهها و اطلاعات ايجاد نمودهاند.
با گسترش روز افزون خدمات مبتنی بر ابر، بانکها و مؤسسات مالی نیز به دلیل ماهیت ساختاری خویش، تمایل دو چندانی به بهره گیری از مزایای این فناوری پیدا کردهاند. به فراخور این گرایش، ایجاد یک محیط امن بانکداری در بسترهای ابری که مورد تأیید کارشناسان بانکی و همچنین متخصصان امنیت فناوری اطلاعات باشد، بیش از پیش نمایان است. توجه به بانکداری ابری، به خصوص در چشم انداز فراگير ديجيتالي خدمات بانکداری الکترونیک براي بهبود ايمني، كيفيت خدمات و كاهش هزينههای بانکداری، ضروري است. بنابراین نگاه جدی به این مقوله، ضمن ایجاد تعامل مناسب میان بانکها باعث می شود تا نظام بانکی کشور به پتانسیلهای لازم جهت تحول در ارایه خدمات نوین بانکداری با کیفیت بالا و هزینههای مقرون به صرفه نایل شود.
در این مقاله، پس از تعریف مفاهیم مهم و اساسی رایانش ابری؛ مسایل مرتبط با امنیت سیستمها و تجهیزات بانکی، حفظ حریم خصوصی مشتریان و دست اندرکاران امور بانکداری، دسترسی و مدیریت امن حسابهای بانکی، بر اساس استانداردهای ملی ایزو 27001 و 27002 بررسی گردیده و یک مدل جامع امنیتی برای نظام بانکداری که مبتنی بر رایانش ابری است، معرفی میگردد. یك مدل جامع امن براي سيستم بانکداری ابري كه ضمن رعايت تمامي نكات امنيتي، تكنيكهاي مورد استفاده آن نيز براي پيادهسازي بهتر، به راحتي توسط كارشناسان، قابل فهم و درك باشد.
شایان ذکر است که اين مدل جامع امنیتی از بانکداری مبتني بر رایانش ابري، بيانگر رعايت موارد امنيتي و مصونيت از چالشهاي حفظ حريم خصوصي مشتریان است که ضمن لحاظ نمودن مواردی همچون حفظ اصالت دادهها، محرمانگي، يكپارچگي، حصول اطمينان از عدم انكار، ادغام و تركيب حسابهای بانکی با يكديگر در بانکهاي مختلف، تأييد و تصديق اطلاعات، اعمال گواهينامههاي امنيتي در ارتباطات، به كارگيري روشهاي احراز هويت، امضای ديجيتالي، نهان نگاري و رمزنگاري، ميتواند به عنوان الگويي در ارايه خدمات بانکداری ابری به مردم در نظر گرفته شود. مدلي كه علاوه بر تمركز روي «مشتری محوري»، درصدد است تا حفاظتي جامع و پيشگيرانه را از مخاطرات امنيتي، سرلوحه فعاليتهاي خويش قرار دهد.
آيا رايانش ابري مي تواند در بانکداری هم استفاده شود؟
از مهمترين موانع پيش روي نظام بانکداری کشور به شيوههاي سنتي، ميتوان به هزينه زياد و قابليتهاي ضعيف استفاده از آن اشاره نمود كه ضمن تحميل هزينههاي گزاف به بانکها، امكان بهره مندي از آن بسيار پايين بوده و در عمل، در بسياري از موارد، عليرغم تلاشهاي بسيار، شکایات بسیار زیادی را از سوی مشتریان به همراه داشته است.
در رايانش ابري، بانکها ميتوانند ضمن كاهش شديد هزينهها، از طريق ادغام سيستمها و تجهيزات سخت افزاري و به اشتراك گذاري آنها بر اساس نياز كاربران، يك محيط پويا را در ارايه خدمات بانکداری ايجاد نمایند كه علاوه بر مالكيت سيستم، هزينههاي تعمير و نگهداري آن، تهيه نسخههاي پشتيبان از اطلاعات و استخدام كارشناسان فني، به ارايه دهندگان خدمات ابري واگذار ميشود.
همزمان با رشد و گسترش اين فناوري، استانداردهاي مخصوص به آن نيز در حوزه بانکداری، در حال تدوين و اجرا است كه هدف آنها بيشتر بر روي چگونگي نگهداري سوابق تراکنشهای مالی، نحوه نظارت بر مشتریان و کاربران، مديريت حسابهای بانکی و نحوه همكاري مؤسسات مالی براي ارايه خدمات بانکیِ كارآمد و مؤثر و همچنين تحليل و بررسي قاعده مند دادههاي نظام بانکداری الكترونيك، متمركز شده است.
پيش بيني ميشود كه با حركت و انتقال نرم افزارهاي بانکی به الگوهاي مبتني بر رايانش ابري و مديريت آنها از طريق ابرها، انقلابي در راه انجام خدمات بانکداری به وقوع بپيوندد كه نتايج آن، امكان دسترسي به این خدمات را براي همگان و در همه جا فراهم ساخته و علاوه بر كاهش شديد هزينهها، گامهاي اساسي براي بهره مندي از نظام الگومند بانکداری كه جهت رفاه حال مشتریان، با فناوري ادغام، همگام و همسو شده است، برداشته شود.
مدلهاي بانکداری ابري
بانکداری ابري را ميتوان بر اساس مدلهاي سرويس ابري و الگوهاي استقرار ابرها، به موارد مختلفي تقسيم بندي نمود.
بر اساس مدلهاي سرويس ابري، ارايه دهندگان خدمات بانکداری ابري به سه دسته تقسيم ميشوند:
- 1. برنامههاي كاربردي در ابر (نرم افزار به عنوان يك سرويس - SaaS): در اين مدل، برنامههاي بانکی از طريق يك رابط كاربري سبك مانند مرورگر وب، بر روي زيرساختهاي ابري، اجرا ميشوند.
در اين نوع مدل از خدمات ابري، امنيت و حفاظت از حريم خصوصي، به عنوان بخشي جدايي ناپذير از SaaS ، به دريافت كنندگان خدمات ارايه ميشود.
- 2. سيستم عامل در ابر (پلت فرم به عنوان يك سرويس - PaaS ): اين مدل، توانايي استقرار يا به دست آوردن برنامههاي نوشته شده با استفاده از زبانهاي برنامه نويسي و ابزارهاي پشتيباني آن را توسط ارايه دهنده خدمات ابري، به دريافت كنندگان ارايه ميدهد.
در اين نوع مدل، برنامههاي كاربردي مورد استفاده، قابل پيكربندي و كنترل بوده و تلاش ميشود تا با مكانيزمهاي امنيتي اساسي در ارايه خدمات ابري مانند رمزگذاري اطلاعات، تأييد هويت و مجوزهاي لازم و همچنين در سطح برنامههاي كاربردي، با تعيين ميزان دسترسي و كنترل آن، سازوكارهاي حفاظتي لازم براي تأمين امنيت و حفظ حريم خصوصي به عمل آيد.
- 3. زيرساخت در ابر (زيرساخت به عنوان يك سرويس - IaaS ): در اين مدل، ارايه پردازش، ذخيره سازي، كنترل محدود امور شبكهاي (مانند فايروالها)، بعضي از منابع محاسباتي، اجرا و كنترل نرم افزارهاي دلخواه شامل سيستم عامل و برنامههاي كاربردي، توسط دريافت كنندگان خدمات ابري، قابل تنظيم است.
در اين نوع مدل از خدمات ابري، توسعه دهندگان نرم افزارهاي بانکی، مسئول كامل حفاظت از امنيت و حفظ حريم خصوصي دریافت کنندگان خدمات، به شمار ميروند.
در مدلهاي استقرار رايانش ابري براي برنامههاي بانکداری ابري نيز ميتوان به موارد زير اشاره نمود:
- * ابر خصوصي: زيرساخت ابري است كه تنها براي يك بانک اجرا شده و متعلق به آن ميباشد.
در این نوع مدل، لحاظ نمودن نكات امنيتي و حفاظت از حريم خصوصي مشتریان، برعهده ارايه دهنده خدمات ابري است.
- * ارتباطات ابري: زيرساخت ابري به اشتراك گذاشته شده توسط چندين بانک كه نگرانيهاي مالی و امنيتي مشتركي مانند مأموريتها، سياستها، نيازمنديهاي امنيتي و ساير ملاحظات را دارند.
- * ابر عمومي: زيرساخت ابري كه در دسترس عموم مردم يا يك گروه بزرگ از بانکها بوده و متعلق به يك ارايه دهنده خدمات ابري است.
در اين نوع مدل از استقرار ابري، توسعه دهندگان نرم افزار و ارايه كنندگان خدمات بانکداری، مسئول كامل حفاظت از امنيت و حفظ حريم خصوصي مشتریان هستند.
به طور خلاصه، بايد اذعان داشت كه امنيت و حفظ حريم خصوصي، چيزي بسيار فراتر از اجراي دسترسيهاي كاربري و رمزهاي عبور بوده و به كارگيري و اعمال الزامات امنيتي، يك ضرورت بزرگ براي بانکها است كه از اطلاعات حساس و حياتي برخوردار هستند.
با اجراي دقيق يك مدل مبتني بر ابر، ميتوان بالاترين سطوح امنيت فيزيكي، شبكهاي، برنامههاي كاربردي، دادهها و سيستمهاي داخلي را تضمين نمود كه استراتژيهايي همچون تهيه نسخههاي پشتيبان از اطلاعات، روشها و سياستهاي امن داخلي، شيوههاي استاندارد تنظيمات امنيتي و صدور گواهينامهها نيز در بطن آن گنجانده شده است. در این مدل، موارد مهمي همچون رمزنگاري اطلاعات و احراز هويت كاربران و مشتریان نيز به طور مرتب در حال اجرا است.
مسايل امنيتي و حريم خصوصي در بانکداری ابری
در چند سال گذشته، تحقيقات فراواني بر روي مسايل امنيتي و حفظ حريم خصوصي در سيستمهاي اطلاعاتی بانکها انجام شده است. انجمنهای ملی و بينالمللي مختلفی نيز براي بررسي مسايل مرتبط با حفاظت از دادهها و امنيت در محيطهاي مالی تشكيل شدهاند كه به طور عمده، بر روي امنيت در سيستمهای بانکی و ارايه راه حلهاي امنيتي مشترك براي برقراري ارتباط دادهها، متمركز شدهاند. این انجمنها، طیف گستردهای از مسایل امنیتی در خدمات بانکداری را مورد بررسی قرار داده و دستورالعملهای عملی نیز برای ایجاد و ارایه خدمات بانکداری امن منتشر کردهاند.
از آنجا كه امنيت و حفظ حريم خصوصي و همچنين حفاظت از اطلاعات مشتریان، در دسترسی امن به دادههای مالی در ابر از بالاترين درجه اهميت برخوردار است، ميتوان سه اصل مهم را براي اطمينان از حفظ حريم خصوصي، صحت محتوا و قابليت اعتماد، در نظر گرفت. اول اينكه، تمامي تراکنشها و ارتباطات مالی بايد از طريق رمزنگاري توسط مالكان آنها، كنترل، محافظت، ذخيره سازي، انتقال و مورد دسترسي امن قرار گيرند. دوم اينكه، در ايجاد و نگهداري اطلاعات بايد اصالت محتوا و جامعيت دادهها با توجه به امكان سفارشي ساختن حفظ حريم خصوصي مشتریان در فرآيندهاي ادغام حسابهای بانکی در نظر گرفته شود. و سوم، دسترسي و به اشتراك گذاری اطلاعات مالی بايد از طريق امضاي ديجيتال و فرآيندهاي صدور گواهينامه، جهت جلوگيري از تغييرات غيرمجاز در محتواي اطلاعات حساس مالی، صورت گيرد.
امنيت بانکداری ابري و الزامات حفظ حريم خصوصي
اگرچه بعضي از نيازهاي امنيتي و حفظ حريم خصوصي در برنامههاي بانکداری ابري به مدل سرويس يا استقرار ابري مورد استفاده، بستگي دارد وليكن به طور خلاصه، مهمترين اين موارد در زیر بیان می شود:
- * ممكن است يك مشتری، حسابهای بانکی متعددي در بانکهاي مختلف داشته باشد كه اطلاعات آنها، براي او حساس بوده و جزء حريم خصوصي وي قلمداد ميشود و مشتری با توجه به نگرانيهايي كه دارد، نخواهد اطلاعات اين حسابها فاش شده يا در دسترس افراد غيرمجاز قرار بگيرد. بنابراين، دسترسي به اطلاعات حسابها بايد از طريق يك روال كنترل شده و بر اساس مجوزهاي لازم صورت گيرد.
- * ممكن است يك بانک، مشتریانی در بانکهای مختلف داشته باشد كه لازم است از طريق مكانيزمهاي احراز هويت، دسترسي آن به مدارك مشتریان امكانپذير شود. صحت اطلاعات نيز، پس از پايان بررسي حساب مشتری، بايد به تأييد بانک برسد.
- * ذخيره سازي امن اطلاعات و تضمين يكپارچگي دادهها توسط بانکها.
- * در مواردي كه اطلاعات مالی در بانکهاي مختلف به اشتراك گذاشته ميشود بايد مالكيت این اطلاعات به صورت دقيق و شفاف مشخص بوده و مالك آن، تمامي الزامات امنيتي را در این خصوص به عمل آورد. مالك اطلاعات موظف است تمهيدات لازم را براي محافظت از اطلاعات در برابر دسترسيهاي غيرمجاز و يا سوء استفاده از اطلاعات مشتری از طريق روشهاي فيزيكي مانند توكنهاي احراز هويت كاربران سيستم بانکی و همچنين رمزنگاري اطلاعات به عمل آورد.
- * براي ورود كاربران به سيستمهای بانکی بايد از روشهاي صحت و تصديق هويت كاربران استفاده شود.
- * استفاده از گواهينامههاي SSL و پروتكلهاي رمزنگاري اطلاعات براي تأمين امنيت دادههاي در حال انتقال در طول شبكههاي عمومي نظير اينترنت، توسط بانکها باید اجرا شود.
- * با استفاده از روشهايي همچون امضاي ديجيتال، نهان نگاري و رمزگذاري اطلاعات، بايد از عدم انكار اطلاعات توسط افراد دخيل در امر خدمات بانکداری جلوگيري نموده و تمامي افراد، ملزم به انجام تعهدات خويش گردند.
- * در سيستم خدمات بانکداری، اطلاعات بايد از يكپارچگي و جامعيت به معناي حفظ دقت، صحت و قوام دادهها برخوردار بوده و از دستكاري غيرمجاز، مصون بمانند. همچنين محرمانگي اين اطلاعات نيز طبق استاندارد ایزو 27001 به معناي اينكه «اطمينان حاصل شود كه اطلاعات تنها در دسترس كساني است كه مجاز به دسترسي به آنها هستند» تضمين شود كه اين امر نيز، به كمك روشهاي رمزنگاري امكان پذير است.
- * اطلاعات مالی بر اساس اصل دسترس پذيري امنيت، بايد در زماني كه به آنها نياز است، در دسترس افراد مجاز قرار گيرد.
- * سيستمهاي رایانهای كه اطلاعات مالی در آنها ذخيره و پردازش ميشود بايد از كنترلهاي امنيتي لازم برخوردار باشند و در برابر كمترين مخاطرات، همچون نوسانات و قطع برق، خللي در ارايه خدمات بانکی براي مشتریان ايجاد نگردد.
- ارتقای سيستمها و تجهيزات و همچنين خرابيهاي ناشي از فرسودگي سخت افزار، نتواند اختلالاتي را در ارايه خدمات به مشتریان ايجاد كند.
- * سيستمهاي خدمات بانکداری، در فواصل زماني معين جهت اطمينان از صحت عملكرد و رعايت نكات امنيتي لحاظ شده، توسط كارشناسان مربوطه، مورد مميزي قرار گيرند.
- * تهيه نسخههاي پشتيبان از اطلاعات، بر اساس قواعد مشخص، توسط بانکها صورت پذيرد.
- * تمامي تعريفهاي جديد در سيستم بانکی از قبيل اضافه نمودن مشتریان يا كاربران سيستم، بايد بر اساس يك روش اصولي و قاعده مند و طبق ضوابط مشخصي كه از قبل توسط بانک وضع گرديده است، صورت گیرد.
- * هر مشتری در سيستم بانکی بايد داراي شناسه کاربری (ID ) منحصر به فرد بوده كه رديابي فعاليتها و اقدامات انجام شده توسط ارايه دهندگان خدمات بانکداری، از طريق آن شناسه صورت پذيرد. براي تعريف اين PID بهتر است از كدهاي يكتا همچون كد ملي به جاي كدهاي انتخابي كه ممكن است با ديگر بانکها همخواني و/يا ناهمخواني داشته باشد و يا به كار بردن نام و نام خانوادگي كه در آن، افراد مشابهتهاي زيادي با يكديگر دارند، استفاده شود.
- * در مواردي كه كاربران سيستم بانکی و دست اندركاران امر خدمات بانکداری، دچار اشتباه يا خطايي در روند ورود اطلاعات در سيستم بانکی و يا حذف ناخواسته اطلاعات از حساب مشتری ميشوند، بايد بانک با ديد باز با اين موارد برخورد نموده و ضمن دادن شهامت لازم، آنان را براي اعلام موارد اشتباه تشويق نمايد، چرا كه حساب مشتری بايد در تمام شرايط، حاوي اطلاعات صحيح و درستي از اطلاعات مشتری باشد. با آموزش اصولي كاربران، بايد از تكرار موارد اين چنيني جلوگيري نمود.
- * طرحهاي رمزنگاري مورد استفاده توسط سيستم، در حين كارآمدي، بايد آسان به استفاده بوده و به راحتي نيز در تمام فرآيندهاي سيستمي جديد، قابل توسعه و گسترش باشد. بهتر است از طرحهايي كه به شدت وابسته به كليد خصوصي افراد هستند، جلوگيري شده و از الگوريتمهاي رمزنگاري مناسب استفاده شود.
- * كنترلهاي امنيتي لازم براي هنگامي كه يكي از كاربران سيستم بانکی، تغيير شغل يافته و يا از سازمان اخراج ميگردد، اعمال گردد تا از افشا يا تغييرات ناخواسته و نامجاز در سيستم جلوگيري شود.
- * امضاي ديجيتال يك ابزار بسيار مفيد براي ارايه صحت، صداقت و عدم انكار است. بايد از هويت امضا كننده جهت استراق سمع و موارد ديگر، حفاظتهاي لازم توسط بانکها به عمل آيد.
- * لازم است كه اطلاعات مالی در فرمتهاي خاصي تهيه شوند كه قابل استفاده در تمام سيستمهاي بانکی بوده و مشكلي به نام عدم انطباق اطلاعات در فرآيندهاي بانکداری، هرگز به وقوع نپیوندد.
- * دسترسي به اطلاعات رمزنگاري شده در سیستمهای بانکی، از طريق مكانيزمهاي رمزگشايي مبتني بر هويت و اخذ مجوز بر اساس كليدهاي خصوصي صورت گيرد.
- * سرورها باید در مکانهای ایمن نگهداری شوند که کنترل دسترسی به آنها به صورت امن صورت میپذیرد.
- * رمزنگاری دادهها در حین ذخیره سازی و انتقال اطلاعات همواره در جریان باشد و هیچ فردی، قادر به دخالت در این امر نباشد.
- * دسترسیها، بر اساس مجموعهای از کنترلهای مبتنی بر نقش و یا سیاستهای مبتنی بر ویژگی، شکل گرفته و اعمال شوند.
- * سیاستهای امنیتی لحاظ شده در بانکداری ابری، توسط پارامترهای قابل سنجش، در فواصل زمانی مشخص ارزیابی گردند.
- * نگهداری طولانی مدت تمام تراکنشها، عملکردها و اطلاعات مالی مشتریان.
- * تمامی ارتباطات و فرآیندهای میان بانکها باید به صورت امنی که از طریق الگوریتمهای رمزنگاری، پروتكلها و گواهينامههاي امنيتي همچون SSL ، TLS و IPSec حاصل میشود، صورت بگیرد تا اطمینان حاصل شود که اطلاعات در حال انتقال، از شنود و دستکاری غیرمجاز در شبکههای عمومی، محفوظ هستند.
نتیجه گیری
در اين مقاله، رويكردي روشمند براي بررسي الزامات امنیتی و حفظ حريم خصوصي در بانکداری ابري اتخاذ گردید. تحليلهاي مختصري از مخاطرات امنيتي كه ميتواند بانکداری ابری را تحت تأثير خويش قرار دهد، ارايه شد و راههاي حفاظت از آنها به نحوی که در عين استفاده از فناوريهاي نوينی همچون رايانش ابري، خدمات بانکداری نيز به نحو مطلوبي انجام شود، ذکر گردید.