حامد سنجری در گفتوگوی نورورزی خود با بازار سرمایه ایران(سنا)، به اقدامات مرکز نظارت بر امنیت اطلاعات بازار سرمایه سازمان بورس و اوراق بهادار در سال ۱۴۰۲ اشاره کرد و گفت: در سالی که گذشت، بر اساس الزامات ابلاغ شده از سوی سازمان بورس و اوراق بهادار و ابلاغیات مرکز افتای ریاست جمهوری، نزدیک به ۳۰ شرکت فناوری محور بازار سرمایه ممیزی امنیتی شدند که در این راستا مشکلات امنیتی آنها مورد بررسی قرار گرفت و بر این اساس باید مشکلات اعلام شده در سال ۱۴۰۳ برطرف شوند.
وی اظهار داشت: از این تعداد، ۲۲ شرکت جزو شرکتهای OMS (سیستم معاملات برخط برای صندوقهای سرمایهگذاری و باشگاه مشتریان) بازار سرمایه هستند که سفارشات کارگزاریها را به هسته معاملات ارسال میکنند و مسئولیت امنیتی آنها با شرکتهای کارگزاری است.
سنجری با بیان این که با این روش سامانه معاملاتی همه کارگزاریهای بازار سرمایه ممیزی خواهد شد، افزود: در کنار این شرکتها، حوزه فناوری اطلاعات تعداد هشت شرکت مانند سازمان بورس و اوراق بهادار، شرکت بورس تهران، فرابورس، بورس کالا، بورس انرژی، سپردهگذاری مرکزی و نیز شرکتهای تابعه که جزو شرکتهای ارکان بازار سرمایه هستند، ممیزی امنیتی شدند و مشکلات آنها اعلام شده است.
راهاندازی مرکز عملیات امنیتی بازار سرمایه
رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه سازمان بورس و اوراق بهادار به اقدامات انجام شده در حوزه پایش سامانههای بازار سرمایه اشاره کرد و گفت: از چند سال گذشته مرکز «مکنا» اقدام به راهاندازی SOC بازار سرمایه کرد که از این طریق همه سامانهها مورد نظارت قرار میگیرند.
وی ادامه داد: امسال SOC (مرکز عملیات امنیتی) را به صورت سلسله مراتب راهاندازی کردیم و از این طریق همه سامانههای معاملاتی بازار سرمایه را مورد نظارت قرار دادیم که به کمک نظارتهای صورت گرفته، رخدادها مورد تشخیص و بررسی قرار میگیرند.
سنجری خاطرنشان کرد: در سال ۱۴۰۲ سامانه همه شرکتهای ارکان بازار سرمایه و شرکتهای نرم افزاری را با سیستم SOC ارتباط دادیم که از این طریق، همه اتفاقات رخ داده در سامانههای متصل شده به سیستم SOC را مورد نظارت قرار میدهیم و در صورتی که رخدادی به وجود آید قابل حسابرسی امنیتی خواهد بود.
رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه سازمان بورس و اوراق بهادار ادامه داد: اکنون به لحاظ امنیتی با تمامی کارگزاریهای بازار سرمایه از طریق سیستمهای OMS در ارتباط هستیم و اتفاقات را بررسی میکنیم. در صورت رخ دادن اتفافات، دیگر شرکتها را آگاه خواهیم کرد تا مانع از همهگیری اتفاقات شویم.
بهکارگیری سامانهها جلوگیری از حملات احتمالی سایبری
وی با اعلام این که به کارگیری این سامانهها برای تشخیص و جلوگیری از حملات احتمالی سایبری است، گفت: برای مثال، اگر یک حمله سایبری بر روی سامانه شرکت بورس تهران رخ دهد به سرعت اتفاقات به صورت سیستمی ارسال میشود و پس از بررسی، افرادی که در حال تلاش برای نفوذ هستند را به همه ارکان بازار سرمایه اطلاع خواهیم داد تا اقدامات مربوط به جلوگیری از این حملات را به کار بگیریم.
برگزاری مسابقات باگ جایزهدار
وی به برگزاری مسابقات باگ جایزهدار اشاره کرد و ادامه داد: مرحله نخست این مسابقات به پایان رسید و حدود ۱۴۰ نفر در این مسابقات شرکت کردند که از این تعداد حدود ۴۵ نفر موفق به کشف چالش امنیتی و راهیابی در مرحله دوم شدند، پس از موفقیت در مرحله دوم جوایزی را دریافت کردند که از این طریق هم قادر به ارتقای امنیتی سامانههای معاملاتی خواهیم بود.
برنامههای پیشرو برای ارتقای امنیت سامانههای معاملاتی
سنجری به برنامههای پیشرو برای ارتقای امنیت سامانههای معاملاتی تاکید کرد و اظهار داشت: اکنون در صدد راه اندازی سیستم ISMS ( سیستم مدیریت امنیت اطلاعات ) برای بازار سرمایه هستیم که اقدامات اولیه آن انجام شده و در حال تلاش برای دریافت گواهینامه هستیم.
رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه سازمان بورس و اوراق بهادار ادامه داد: این سیستم فرآیندهای حوزه امنیت را در خصوص زیرساختها و مدیریتها اصلاح خواهد کرد که دنیا هم در حال استفاده از این سیستم هستند.
۲ اقدام متفاوت در حوزه سیستمهای معاملاتی شرکتهای کارگزاری
وی به دیگر اقدام انجام شده این مرکز اشاره کرد و گفت: با توجه به این که سیستمهای معاملاتی شرکتهای کارگزاری توسط oms ها اقدامات مربوط به معاملات این شرکت را انجام میدهند؛ بنابراین شرکت های کارگزاری احساس میکنند از حوزه امنیت جدا هستند که در این راستا در سال ۱۴۰۱ و ۱۴۰۲ ۲ اقدام متفاوت را انجام دادیم.
سنجری اعلام کرد: در سال ۱۴۰۱، تعداد ۳۰ کارگزاری اول بازار سرمایه را ممیزی امنیتی کردیم، با توجه به این که دادههای امنیتی مشتریان بازار سرمایه در این شرکتها قرار دارند، برای جلوگیری از انتشار اطلاعات مشتریان سیستمها را امنیتی و مشکلات امنیتی این شرکتها را مشخص و ملزم به اصلاح کردیم.
رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه سازمان بورس و اوراق بهادار اعلام کرد: در سال ۱۴۰۲، حدود ۴۵ کارگزاری دیگر را ممیزی کردیم که اکثر آنها دارای مشکلات امنیتی گسترده بودند.
اهمیت ندادن شرکتهای کارگزاری به حوزههای امنیتی
وی به یکی از چالشهای مهم در این حوزه اشاره کرد و گفت: عدم اهمیت شرکتهای کارگزاری به حوزه امنیتی داخل شرکتها از جمله چالش های موجود در این زمینه است که ممیزیها و بازرسیهای صورت گرفته آنها را مجاب میکند تا مشکلات را برطرف کنند.
سنجری اعلام کرد: در این زمینه یک کارگزاری را بابت اجرایی نکردن امنیت سایبری و هک شدن سامانه کارگزاری به اداره تخلفات فرستادیم که اکنون هم پرونده این شرکت در جریان است.
پیگیری جدی سازمان بورس در حوزه تخلفات
رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه سازمان بورس و اوراق بهادار ادامه داد: در سال ۱۴۰۳ به صورت جدیتر به پیگیری تخلفات میپردازیم که اگر موارد مدنظر را برطرف نکنند پرونده آنها را سریعا به اداره تخلفات ارسال خواهیم کرد.
وی با اعلام این که اکنون در حال تلاش برای ارسال دادههای فناوری محور سفارشات مشتریان کارگزاری ها به سیستم های نظارتی سازمان بورس برای ارتقا نظارت بر معاملات هستیم.
رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه سازمان بورس و اوراق بهادار با بیان این که در حوزه امنیت میتوان ۲ نوع افشا برای اطلاعات محرمانه داشت که نباید بنا بر هر دلیلی افشا شود، افزود: نوع نخست مربوط به افرادی است که اطلاعات در اختیار آنها قرار دارد و نباید به هیچ عنوان اطلاعات را مورد افشا قرار دهند اما فرد به دلیل دسترسی به برخی از دیتاها تخلف کرده و دیتا نشت پیدا میکند، این افشا ناشی از حمله سایبری نیست و نفوذ امنیتی صورت نگرفته است.
راهاندازی سوتزنی سایبری در سال ۱۴۰۳
وی به برنامههای مرکز نظارت بر امنیت اطلاعات بازار سرمایه سازمان بورس و اوراق بهادار در سال ۱۴۰۳ اشاره کرد و افزود: به دنبال راهاندازی سوتزنی سایبری هستیم، در این زمینه هر شخصی که بتواند آسیبپذیری و مشکل امنیتی را در سامانه بازار سرمایه کشف کند، جایزه دریافت خواهد کرد.
سنجری اعلام کرد: پیگیری راهاندازی مرکز داده پشتیبان و رفع سریع قطعیها از دیگر برنامههای این بخش مدیریتی سازمان بورس است که در دستور کار مسوولان قرار گرفته است.