بلوبانک در مسیر تحول؛ ارتقای امنیت با تکیه بر هوش مصنوعی

امنیت هوشمند؛ بلوبانک و استراتژی جدید در دوران AI

تهران – مراسم اختتامیه رویداد باگ‌بانتی بلوبانک با عنوان “Deep Dive” (شیرجه عمیق)، با حضور مدیران ارشد این نئوبانک، کارشناسان امنیت و جمعی از هکرهای کلاه سفید برگزار شد. هدف اصلی این رویداد، کشف و شناسایی نقاط ضعف امنیتی در سرویس‌های بلوبانک بود تا گامی بلند در راستای ارتقای امنیت و زمینه‌ساز اعتماد بیشتر کاربران به این نئوبانک باشد.

در این مراسم، ضمن معرفی گزارش‌های امنیتی کشف‌شده، از تیم‌های برتر نیز تقدیر به عمل آمد. پریماه محمدپور، مشاور ارشد معماری و توسعه راهکارهای نوین بانکی، اعلام کرد که ۶۰ نفر برای شرکت در رویداد Deep Dive ثبت‌نام کرده بودند که در نهایت ۵۱ نفر در قالب ۲۲ تیم یک تا پنج نفره، فعالانه در این رویداد مشارکت کردند. ماحصل تلاش این شرکت‌کنندگان، ثبت ۷۸ گزارش از آسیب‌پذیری‌های احتمالی بود.

محمدپور توضیح داد که “تمام سرویس‌های بلو، از جمله اپلیکیشن اندروید و OpenAPI، در این رویداد مورد بررسی دقیق قرار گرفتند. باگ‌ها و آسیب‌پذیری‌ها در چهار سطح حیاتی (vital)، بحرانی (critical)، بالا (high) و متوسط (medium) دسته‌بندی شدند و شناسایی آسیب در هر یک از این سطوح، پاداش خاص خود را داشت.”

نکته قابل توجه این بود که هکرهای کلاه سفید، در مجموع ۱۲ گزارش مربوط به باگ‌های سطح پایین (low) ارائه دادند که طبق توافقات قبلی، مشمول پاداش نمی‌شدند. ۸ مورد از گزارش‌ها نیز در سطح متوسط (medium) قرار داشتند، اما خوشبختانه هیچ مورد آسیب‌پذیری در سطوح حیاتی، بحرانی و بالا توسط هکرها گزارش نشد.

در پایان، سه تیم برتر این رویداد معرفی شده و جوایز نقدی خود را دریافت کردند: تیم اول ۱۱۵ میلیون تومان، تیم دوم ۸۵ میلیون تومان و تیم سوم ۴۷ میلیون تومان پاداش گرفتند.

مدیران بلوبانک: «Deep Dive» جشن اعتمادسازی و امنیت بود

رضا حیدری، مدیرعامل بلوبانک، هدف اصلی از برگزاری این رویداد باگ‌بانتی را “اطمینان یافتن از توانایی کافی خط دفاعی بلوبانک برای محافظت از امنیت” عنوان کرد. او افزود:

“این رویداد عملاً جشنی بود که من نامش را جشن اعتمادسازی و امنیت می‌گذارم. با کمک هکرها تلاش کردیم این پیام را به کاربران بلو برسانیم که این فضا امن است و می‌توانند زندگی مالی‌شان را نزد ما به امانت بگذارند.”

حیدری در پایان از تمامی هکرهای مشارکت‌کننده به دلیل همراهی با بلوبانک در مسیر ایجاد امنیت و افزایش اعتماد به این نئوبانک قدردانی کرد.

نایب رئیس هیئت‌مدیره بلوبانک: نیاز به سکویی توانمند، هوشمند و امن

جمال غضنفری، نایب رئیس هیئت‌مدیره بلوبانک، نیز در این مراسم، رویداد Deep Dive را آغاز مسیر بلوبانک در زمینه ارتقای امنیت دانست و تأکید کرد که بلو همواره پذیرای هر پیشنهادی برای بهبود امنیت است. وی اظهار داشت:

“بلوبانک سامان باید سکویی توانمند، هوشمند و امن باشد؛ به دور از خطر و آسیب، اما در عین حال مؤثر و منعطف. یعنی ضمن ارائه خدمت، هم می‌خواهیم بسیار تأثیرگذار و منعطف باشیم و هم خطرات و تهدیدهایمان اندک باشد.”

غضنفری امنیت را مقوله‌ای نسبی دانست و تصریح کرد که هیچ کسب‌وکاری نمی‌تواند تضمین دهد که در مقابل همه مخاطرات امن است. با این حال، وی تأکید کرد:

“نباید دیوار دفاعی‌مان را به حال خود رها کنیم، چون نقاط ضعفش آشکار می‌شود و امنیت از بین می‌رود. برگزاری رویدادهایی از این دست برای ارزیابی و محک زدن امنیت‌مان را ضروری می‌دانیم. رویدادهای دیگری را هم برگزار خواهیم کرد تا در جوانب دیگر نیز وضعیت امنیت بلوبانک را بسنجیم.”

نایب رئیس هیئت‌مدیره بلوبانک با اشاره به سرعت بالای تغییرات تکنولوژی و سنگینی بار این کسب‌وکار که گاهی مانع از انطباق بلوبانک با این تغییرات می‌شود، از هکرها درخواست کرد که “تعامل همیشگی” با بلوبانک داشته باشند تا ارتقای امنیت به طور مستمر میسر شود. او از آن‌ها خواست که تمهیدات دفاعی بلوبانک را دائماً آزمایش کرده و نتایج را ارائه دهند تا خدمات این نئوبانک امن‌تر شوند.

پانل تخصصی: تأثیر باگ‌بانتی بر ارتقای امنیت سازمان‌ها

در ادامه مراسم اختتامیه، یک پنل تخصصی با موضوع “ارتقای معماری امنیتی در سازمان‌ها با اجرای برنامه‌های باگ‌بانتی” برگزار شد. متخصصان حوزه امنیت در این پنل به بحث درباره چالش‌ها، الگوهای پیاده‌سازی و تجارب معماری امنیت در زیرساخت‌های پیچیده پرداختند.

امیرحسین قاسمی، مدیرکل امنیت گروه اسنپ، معتقد است:

“اجرای برنامه‌های باگ‌بانتی نیاز به جسارت و بلوغ بالای یک کسب‌وکار دارد. ما در اسنپ از سال‌ها پیش با کمک هکرهای کلاه سفید برنامه‌های باگ‌بانتی را اجرا کرده‌ایم.”

قاسمی توضیح داد که استانداردهای امنیتی برای همه سازمان‌ها، اعم از سنتی و استارتاپی، یکسان است. وی تأکید کرد که استارتاپ‌ها با وجود سرعت رشد بالا، باید این پویایی را داشته باشند که در هر بخشی سطح قابل قبولی از استانداردهای امنیتی را ارائه کنند. او در ادامه درباره به‌کارگیری ابزارهای هوش مصنوعی در حوزه امنیت گفت:

“موج هوش مصنوعی اکنون به راه افتاده و استفاده از آن اجتناب‌ناپذیر است. تیم‌های امنیت با استفاده از این ابزارها می‌توانند سرعت و عمق کارشان را بیشتر کنند. ما هم در اسنپ از این ابزارها استفاده می‌کنیم یا کمک می‌گیریم. هر تکنولوژی جدید هم استفاده‌های خاص خود و خطرات خاص خود را دارد و باید هوشمندانه از آن‌ها استفاده شود تا خطرات‌شان کاهش پیدا کند.”

مدیرکل امنیت گروه اسنپ در مورد زمان مناسب برای برگزاری باگ‌بانتی توسط یک سازمان نیز توضیح داد: “یک سیر بلوغ در کسب‌وکارها باید وجود داشته باشد تا به اجرای رویداد باگ‌بانتی برسند. ابتدا باید تیم امنیت داخلی را تشکیل دهند، سپس Red Team ایجاد کرده و موارد مختلفی را آزمایش کنند. پس از طی این مراحل، باید باگ‌بانتی را به صورت خصوصی (private) برگزار کنند تا توسعه‌دهندگان آسیب‌ها را شناسایی کنند. بعد از این مرحله، اعتماد به نفس سازمان بالا رفته و می‌تواند رویداد باگ‌بانتی را به صورت عمومی‌تر برگزار کند.”

رگولاتوری و نگاهی نو به امنیت

وحید خدابخشی، مدیر ریسک و امنیت شاپرک، نیز در این پنل بر لزوم رعایت استانداردهای امنیتی توسط استارتاپ‌ها تأکید کرد. او همچنین درباره تغییر نگاه رگولاتور به موضوع امنیت گفت:

“حاکمیت و رگولاتور به این جمع‌بندی رسیده که تعاریف سخت و سنتی در حوزه امنیت را کنار بگذارد و از آن امنیت سنتی به سمت افزایش تاب‌آوری و ضمانت تداوم کسب‌وکار برود. نقطه هم‌گرایی تکنولوژی و امنیت همین است که امنیت جای مناسب خود را پیدا کند و پیشران توسعه باشد، چون هر کجا که رگولاتوری در برابر توسعه ایستاده، امنیت از بین رفته است.”

خدابخشی درباره به‌کارگیری ابزارهای هوش مصنوعی در حوزه امنیت نیز هشدار داد و گفت: “ولع زیاد استفاده از هوش مصنوعی همه را دربرگرفته و تا چند سال آینده اتکا به فضای هوش مصنوعی بیشتر هم می‌شود و پازل هوش مصنوعی به تدریج تکمیل خواهد شد، چون فرصت‌های بسیاری به ما می‌دهد. اما استفاده از هوش مصنوعی به معنی اتکای بیش از حد به این ابزار گاهی منصفانه بودن فرآیندهای بانکی، مثل اعتبارسنجی برای اعطای تسهیلات، را زیر سوال می‌برد، چون دیتای ورودی ماشین‌ها ممکن است تمیز نباشد و سوگیری‌هایی داشته باشد.”

مدیر ریسک و امنیت شاپرک در توضیح اهمیت برگزاری برنامه‌های باگ‌بانتی توسط سازمان‌ها و کسب‌وکارها نیز گفت:

“وقتی سازمان‌ها با برگزاری باگ‌بانتی خود را در معرض محک عمومی قرار می‌دهند، به افزایش امنیت مجموعه کمک می‌کنند. البته این رویدادها کم‌کم از شناسایی صرف آسیب‌ها به سمت رویدادهایی می‌رود که کمک می‌کند یک حمله واقعی شبیه‌سازی شود و دفاع صورت بگیرد تا رویدادها حالت واقعی‌تری پیدا کنند.”

استارتاپ‌ها: نیاز به تعاریف منعطف و جدید امنیت

سعیده زینالی، مدیر معماری امن داتین، جسارت بلوبانک در برگزاری رویداد باگ‌بانتی را ارزشمند دانست و درباره ایجاد امنیت در مجموعه‌های استارتاپی گفت:

“ذات و ماهیت استارتاپ‌ها ایجاب می‌کند که امنیت را به شکل منعطف و با تعاریف جدید آن داشته باشند و از روش‌های چابک استفاده کنند تا امنیت متناسب با این نوع کسب‌وکارها برقرار شود. مثال آن همین رویداد Deep Dive بلو است که کمک می‌کند یک کسب‌وکار سطح اعتماد و امنیتش را محک بزند و بالا ببرد.”

زینالی نگاه به حوزه امنیت در ایران را هنوز سنتی می‌داند: “نگاهی که به دنبال ایده‌های جدید نیست و به ایده‌های سنتی بسنده می‌کند. اما واقعیت این است که امنیت شما را ناچار می‌کند که به سمت ایده‌های جدیدتر بروید.” او معتقد است که به دلیل وجود مخاطرات در حوزه امنیت، تلفیقی از هوش مصنوعی و نیروی انسانی مورد نیاز است. بنابراین، به اعتقاد او، امور روتین امنیت را می‌توان به هوش مصنوعی سپرد، اما حضور نیروی انسانی در حوزه امنیت ضروری است. مدیر معماری امن داتین در ادامه درباره به‌کارگیری هوش مصنوعی در این حوزه گفت:

“از AI برای شناسایی مخاطرات می‌توانیم استفاده کنیم. با توجه به اینکه اتوماسیون قلب AI است، کمک می‌کند که سریع‌تر از روش‌های سنتی بتوانیم آسیب‌ها را شناسایی کنیم. یک سیستم هوشمند و توانمند می‌تواند حمله‌ها و خرابکاری‌های داخلی را پیگیری کند و تشخیص بدهد تا آسیب شناسایی شود.”

بلوبانک: نگاهی هدفمند به هوش مصنوعی و گذر از امنیت سنتی

اسماعیل ملااحمدی، مدیر ارشد امنیت اطلاعات بلوبانک، درباره علت برگزاری رویداد باگ‌بانتی توسط این نئوبانک توضیح داد:

“در مسیر بلوغ یک سازمان به جایی می‌رسیم که نیاز داریم از زوایای دید مختلف به امنیت خود نگاه کنیم. به یک بلوغ می‌رسیم که در همه حوزه‌های یک سازمان وجود دارد که به دنبال مشکلات خود باشد و آن‌ها را شناسایی کنیم.”

او در ادامه اضافه کرد: “در حال حاضر، نحوه برخورد و مواجهه با آسیب‌پذیری‌ها به شکل تکذیب است؛ یعنی تکذیب می‌کنند که آسیب‌پذیری وجود داشته. اما اگر رویدادهایی مثل باگ‌بانتی بیشتر برگزار شود، کم‌کم فرهنگ مواجهه صحیح با این مسائل هم تغییر می‌کند.”

مدیر ارشد امنیت اطلاعات بلوبانک اعتقاد دارد که در استارتاپ‌های حوزه مالی، مفهوم امنیت از معنای کلاسیک آن گذر کرده و کمک‌کننده کسب‌وکار است، نه ترمز و سد راه آن.

او در مورد به‌کارگیری هوش مصنوعی در حوزه امنیت نیز قائل به هدف‌گرا بودن است، نه صرفاً روی موج سوار شدن: “استفاده از هر تکنولوژی جدید آدابی دارد و باید مراقب باشیم که در این مسیر گرفتار سطحی‌نگری نشویم. باید نتیجه‌گرا باشیم و ببینیم از استفاده از هوش مصنوعی دنبال چه هدفی هستیم، نه اینکه صرفاً سوار بر موج جامعه فقط بگوییم که از هوش مصنوعی استفاده می‌کنیم.” با همین ملاحظه است که ملااحمدی در مورد رویکرد بلوبانک در این زمینه می‌گوید: “ما با ملاحظاتی سراغ استفاده از هوش مصنوعی می‌رویم؛ دیتا را به طور کامل در اختیار هوش مصنوعی قرار نمی‌دهیم، چون بحث افشا و نشر اطلاعات، بحث مهمی است که کسب‌وکارها را تهدید می‌کند.”