کندی هسته معاملات عمدی نیست
مهر| حامد سنجری، رییس مرکز نظارت بر امنیت اطلاعات بازار سرمایه (مکنا) گفت: این مرکز از سال ۱۳۹۵ با مصوبه هیاتمدیره سازمان بورس تشکیل شد. وظیفه این مرکز نظارت بر زیرساختهای بازار سرمایه در بخش فناوری اطلاعات بود. تا پیش از این مرکز، بخشی وجود نداشت که بحث سایبری و امنیتی را نظارت کند.
تقریبا از سال ۱۳۹۰ به بعد که سامانههای معاملات بر خط را داشتیم و تا زمان تشکیل این مرکز نزدیک به ۲۰۰ سامانه معاملاتی روی شبکه اینترنتی داشتیم که غفلتهای سایبری - امنیتی زیادی داشت. پس از تاسیس مرکز، سازمان بورس و اوراق بهادار موظف بر انجام الزاماتی شد. بر اساس ابلاغیه صادر شده، همه شرکتها و نهادهای مالی بازار سرمایه به همراه شرکتهای تابعه و حتی تیم فناوری اطلاعات خود سازمان، موظف به اجرای الزامات امنیتی زیرساختها شدند تا بتوانیم سیستم را در مواردی مانند نفوذ، تداخل در سیستمها و درز اطلاعات محافظت کنیم. حامد سنجری درباره روند امنیتی - سایبری طی شده در این سالها اظهار کرد: هر سامانهای که بخواهد در بازار سرمایه روی معاملات کار کند باید تأییدیه مرکز را داشته باشد.
همه شرکتهای بازار سرمایه سالی یک بار در حوزه پایش زیرساختی، نرمافزار، سیستم عامل و شبکه و حتی منابع انسانی و فیزیکی بررسی و ممیزی جامع میشوند. سال گذشته یک کار جدید با کمک واحدهای حقوقی انجام دادیم و ضمانت اجرایی برای الزامات مذکور به مصوبه هیاتمدیره رساندیم. بر این اساس، اگر شرکت یا نهادی به الزامات بیتوجهی باشند، سازمان میتواند بر اساس مواد دستورالعمل افراد را توبیخ کند. وی تأکید کرد: مرکز ما همه سیستمهای معاملاتی را از منظر سایبری مورد ارزیابی قرار میدهد و همه موارد را به صورت آنلاین رصد میکنیم. اگر هک یا حمله یا دیگر اقداماتی صورت گیرد، بلافاصله از ادامه حملات جلوگیری خواهیم کرد. امنیت هیچگاه ۱۰۰ درصدی نیست، اما تاکنون از لحاظ سایبری مشکل قابل توجهی نداشتیم. از سال ۱۳۹۵ تاکنون دوبار هک داشتیم. بار اول مربوط به سایتهای صندوقهای سرمایهگذاری بود که وبسایت پورتال آنها بود و بار دوم هم شرکت بورس تهران در سال ۱۳۹۹ بود که در یک روز جمع شد و باعث قطعی هیچ سرویسی نشد. این نفوذها هم در حد نمایش و اعلام وجود آن هکر بود.
حامد سنجری در پاسخ به پرسشی درباره سرمایهگذاری غیرمستقیم و ضرورت احراز هویت دو عاملی اظهار کرد: قرار بود احراز هویت دو عاملی اجباری باشد؛ اما به این سازوکار اعتراض شد و همچنان این موضوع اجباری نشده اما سامانه نرمافزاری همه کارگزاریها این قابلیت را دارد و بنده بهشدت به همه مردم توصیه میکنم که احراز هویت دو عاملی را فعال کنند. رییس مرکز نظارت بر امنیت اطلاعات بازار سرمایه ادامه داد: به غیر از این موضوع بعضی هستند که به دلایل مختلف، نام کاربری و رمز عبور خود را در اختیار دیگران مثل «سبدگردانهای غیرمجاز» قرار میدهند. زمانی که دارایی فرد از بین میرود، فرد از سبدگردان غیرمجاز شکایت میکند و در شکواییه میگوید که هک شده است.
در این شرایط، ما این موضوع را بررسی میکنیم و متوجه میشویم که هیچ هکی صورت نگرفته است؛ چرا که هک از منظر امنیتی ویژگیهای خاص خودش را دارد و با ورود به سامانه متفاوت است. سنجری با بیان اینکه سبدگردانها یا صندوقهای سرمایهگذاری بهشکل قانونی سودآوری میکنند و قابل اعتماد هستند، گفت: در حوزه رمزارزها هم این چالش را داریم. نمیدانم چرا عدهای تحت تاثیر تبلیغات تلگرامی قرار میگیرند. از طرف دیگر در بحث سایبری، شخصی که دسترسی دارد میتواند از اطلاعات شخصی سوءاستفاده، خرید یا فروشها را آنالیز و پخش کند. اگر الزام دو عاملی بودن ورود اجباری شود، کار سبدگردانان غیرمجاز سخت خواهد شد.