امسال سوت‌زنی سایبری در بورس فعال می‌شود_دلچسب

به گزارش

خبرگزاری موج

، حامد سنجری او گفت: در سالی که گذشت، بر پایه الزامات ابلاغ شده از سوی سازمان بورس و اوراق بهادار و ابلاغیات مرکز افتای ریاست جمهوری، نزدیک به ۳۰ شرکت فناوری محور بازار اندوخته ممیزی امنیتی شدند که در این راستا مشکلات امنیتی آنها مورد بازدید قرار گرفت و بر این مبنا باید مشکلات اظهار شده در سال ۱۴۰۳ رفع شوند.

وی اظهار داشت: از این تعداد، ۲۲ شرکت جزو شرکت‌های OMS (سیستم معامله های برخط برای صندوق‌های اندوخته‌گذاری و باشگاه مشتریان) بازار اندوخته می باشند که سفارشات کارگزاری‌ها را به هسته معامله های ارسال می‌کنند و مسئولیت امنیتی آنها با شرکت‌های کارگزاری است.

سنجری با گفتن این که با این روش‌ سامانه معاملاتی همه کارگزاری‌های بازار اندوخته ممیزی خواهد شد، افزود: در کنار این شرکت‌ها، حوزه فناوری اطلاعات تعداد هشت شرکت همانند سازمان بورس و اوراق بهادار، شرکت بورس تهران، فرابورس، بورس کالا، بورس انرژی، سپرده‌گذاری مرکزی و نیز شرکت‌های تابعه که جزو شرکت‌های ارکان بازار اندوخته می باشند، ممیزی امنیتی شدند و مشکلات آنها اظهار شده است.

رئیس مرکز نظارت بر امنیت اطلاعات بازار اندوخته سازمان بورس و اوراق بهادار به عمل های انجام شده در حوزه پایش سامانه‌های بازار اندوخته اشاره کرد و او گفت: از چند سال قبل مرکز «مکنا» عمل به راه‌اندازی SOC بازار اندوخته کرد که از این طریق همه سامانه‌ها مورد نظارت قرار می‌گیرند.

او همین طور گفت: امسال SOC (مرکز عملیات امنیتی) را به طور سلسله مراتب راه‌اندازی کردیم و از این طریق همه سامانه‌های معاملاتی بازار اندوخته را مورد نظارت قرار دادیم که به پشتیبانی نظارت‌های صورت گرفته، رخدادها مورد تشخیص و بازدید قرار می‌گیرند.

سنجری خاطرنشان کرد: در سال ۱۴۰۲ سامانه همه شرکت‌های ارکان بازار اندوخته و شرکت‌های نرم افزاری را با سیستم SOC ربط دادیم که از این طریق، همه اتفاقات رخ داده در سامانه‌های متصل شده به سیستم SOC را مورد نظارت قرار می‌دهیم و در صورتی که رخدادی به وجود آید قابل حسابرسی امنیتی خواهد می بود.

‌رئیس مرکز نظارت بر امنیت اطلاعات بازار اندوخته سازمان بورس و اوراق بهادار در ادامه گفت: اکنون به لحاظ امنیتی با همه کارگزاری‌های بازار اندوخته از طریق سیستم‌های OMS در ربط هستیم و اتفاقات را بازدید می‌کنیم. در صورت رخ دادن اتفافات، دیگر شرکت‌ها را آگاه می کنیم تا مانع از همه‌گیری اتفاقات شویم. ‌

وی با اظهار این که به کارگیری این سامانه‌ها برای تشخیص و جلوگیری از حملات احتمالی سایبری است، او گفت: برای مثال، اگر یک دعوا سایبری بر روی سامانه شرکت بورس تهران رخ دهد به شدت اتفاقات به طور سیستمی ارسال می‌شود و بعد از بازدید، افرادی که در حال تلاش برای نفوذ می باشند را به همه ارکان بازار اندوخته خبر خواهیم داد تا عمل های مربوط به جلوگیری از این حملات را به کار بگیریم.

وی به برگزاری مسابقات باگ جایزه‌دار اشاره کرد و در ادامه گفت: مرحله نخست این مسابقات به آخر رسید و نزدیک به ۱۴۰ نفر در این مسابقات شرکت کردند که از این تعداد نزدیک به ۴۵ نفر موفق به کشف چالش امنیتی و راه‌یابی در مرحله دوم شدند، بعد از پیروزی در مرحله دوم جوایزی را دریافت کردند که از این طریق هم قادر به ترقی امنیتی سامانه‌های معاملاتی خواهیم می بود.

سنجری به برنامه‌های اینده برای ترقی امنیت سامانه‌های معاملاتی اصرار کرد و اظهار داشت: اکنون در صدد راه اندازی سیستم ISMS (سیستم مدیریت امنیت اطلاعات) برای بازار اندوخته هستیم که عمل های اولیه آن انجام شده و در حال تلاش برای دریافت گواهینامه هستیم. ‌

رئیس مرکز نظارت بر امنیت اطلاعات بازار اندوخته سازمان بورس و اوراق بهادار در ادامه گفت: این سیستم فرآیندهای حوزه امنیت را در خصوص زیرساخت‌ها و مدیریت‌ها اصلاح خواهد کرد که دنیا هم در حال منفعت گیری از این سیستم می باشند. ‌

وی به دیگر عمل انجام شده این مرکز اشاره کرد و او گفت: با دقت به این که سیستم‌های معاملاتی شرکت‌های کارگزاری توسط OMS ها عمل های مربوط به معامله های این شرکت را انجام خواهند داد؛ به این علت شرکت های کارگزاری حس می‌کنند از حوزه امنیت جدا می باشند که در این راستا در سال ۱۴۰۱ و ۱۴۰۲ ۲ عمل متفاوت را انجام دادیم.

سنجری خبرداد: در سال ۱۴۰۱، تعداد ۳۰ کارگزاری اول بازار اندوخته را ممیزی امنیتی کردیم، با دقت به این که داده‌های امنیتی مشتریان بازار اندوخته در این شرکت‌ها قرار دارند، برای جلوگیری از انتشار کردن اطلاعات مشتریان سیستم‌ها را امنیتی و مشکلات امنیتی این شرکت‌ها را اشکار و ملزم به اصلاح کردیم. ‌

رئیس مرکز نظارت بر امنیت اطلاعات بازار اندوخته سازمان بورس و اوراق بهادار خبرداد: در سال ۱۴۰۲، نزدیک به ۴۵ کارگزاری دیگر را ممیزی کردیم که اکثر آنها دارای مشکلات امنیتی گسترده بودند.

وی به یکی از چالش‌های مهم در این حوزه اشاره کرد و او گفت: عدم اهمیت شرکت‌های کارگزاری به حوزه امنیتی داخل شرکت‌ها از جمله چالش های حاضر در این عرصه است که ممیزی‌ها و بازرسی‌های صورت گرفته آنها را مجاب می‌کند تا مشکلات را رفع کنند.

سنجری خبرداد: در این عرصه یک کارگزاری را بابت اجرایی نکردن امنیت سایبری و هک شدن سامانه کارگزاری به اداره تخلفات فرستادیم که اکنون هم پرونده این شرکت در جریان است.

رئیس مرکز نظارت بر امنیت اطلاعات بازار اندوخته سازمان بورس و اوراق بهادار در ادامه گفت: در سال ۱۴۰۳ به طور جدی‌تر به پیگیری تخلفات می‌پردازیم که اگر موارد مورد نظر را رفع نکنند پرونده آنها را سریعا به اداره تخلفات ارسال می کنیم.

وی با اظهار این که اکنون در حال تلاش برای ارسال داده‌های فناوری محور سفارشات مشتریان کارگزاری ها به سیستم های نظارتی سازمان بورس برای ارتقا نظارت بر معامله های هستیم.

رئیس مرکز نظارت بر امنیت اطلاعات بازار اندوخته سازمان بورس و اوراق بهادار با گفتن این که در حوزه امنیت می‌توان ۲ نوع افشا برای اطلاعات محرمانه داشت که نباید بنا بر هر دلیلی افشا شود، افزود: نوع نخست مربوط به افرادی است که اطلاعات در اختیار آنها قرار دارد و نباید به هیچ گفتن اطلاعات را مورد افشا قرار دهند اما فرد به علت دسترسی به برخی از دیتاها تخلف کرده و دیتا نشت اشکار می‌کند، این افشا ناشی از دعوا سایبری نیست و نفوذ امنیتی صورت نگرفته است.

وی به برنامه‌های مرکز نظارت بر امنیت اطلاعات بازار اندوخته سازمان بورس و اوراق بهادار در سال ۱۴۰۳ اشاره کرد و افزود: به جستوجو راه‌اندازی سوت‌زنی سایبری هستیم، در این عرصه هر شخصی که بتواند صدمه‌پذیری و مشکل امنیتی را در سامانه بازار اندوخته کشف کند، جایزه دریافت خواهد کرد.

سنجری خبرداد: پیگیری راه‌اندازی مرکز داده پشتیبان و از بین بردن سریع قطعی‌ها از دیگر برنامه‌های این قسمت مدیریتی سازمان بورس است که در دستور کار مسوولان قرار گرفته است.