This is beta version of Ravro English website. Some dynamic texts are in Persian. If you need support, contact with support@ravro.ir.
باگ‌بانتی در کسب‌وکارهای فین‌تک

باگ‌بانتی در کسب‌وکارهای فین‌تک

4756

روزانه شاهد آن هستیم که کسب‌وکارهای نوپا و استارتاپ‌های زیادی پا به عرصه‌ی وجود می‌گذارند تا نیازی از جامعه را رفع و دردی را دوا کنند و در کنار آن تجارت نوآورانه‌ی خود را نیز داشته باشند. به جرات می‌توان گفت هر بیزینسی در دنیای پیشرفته امروزی حتما یک پایگاه در این فضای آنلاین دارد و اگر غیر از این باشد جای تعجب دارد. این پایگاه می‌تواند به عنوان تبلیغات مورد استفاده قرار بگیرد، فروشگاهی برای محصولات باشد یا حتی تمام سرمایه‌ی آن کسب‌وکار بر روی این دنیای مجازی قرار داده شده باشد. با هر نگاهی که به سراغ فضای اینترنت برای کسب‌وکارمان برویم، لازم است مراقبت‌هایی صورت بگیرد تا امنیت تا حد ممکن برقرار شود و اتفاق ناگواری برای اعتبار و هم‌چنین «حریم خصوصی داده‌ها؛ این سرمایه‌ی حساس» کسب‌وکار پیش نیاید.

آیا خطری کسب‌وکار آنلاین شما را تهدید می‌کند؟

برخی افراد تصور می‌کنند، با داشتن یک وب‌سایت همه چیز برقرار است؛ نیازی نیست که به آن رسیدگی کنند یا اقدامات لازمی برای درگاه‌های آنلاین خود داشته باشند و همه چیز به‌طور خودبه‌خود در امن‌وامان است و امن و امان هم خواهد ماند.

این طرز فکر که حکایت حال بسیاری از کسب‌وکارهاست، به شدت اشتباه است. می‌پرسید: "چرا؟" چون حتی اگر کسب‌وکاری تنها یک وب‌سایت استاتیک و فقط برای معرفی فعالیت خود داشته باشد، مهم است که امنیت آن وب‌سایت در حد قابل‌قبولی برقرار باشد و از این نظر رها نشده و موردتوجه قرار گرفته باشد. می‌پرسید: "مگر چه اتفاقی ممکن است بیفتد؟ چه خطری ممکن است این صفحه‌ی ایستا یا سایر صفحات را تهدید کند؟ ". در دنیای هک، شاخه‌ای به نام هکتیویسم وجود دارد؛ در این مقوله هکر با انگیزه‌ی شخصی و حتی سیاسی اقدام به هک و دیفیس وب‌سایت‌های مختلف یا عمدتا وب‌سایت‌های با درجه‌ی امنیت کم‌تر می‌کند تا پیامی شخصی و یا سیاسی را بر روی فضای اختصاصی آنلاین شما قرار دهد. در این حالت، اگرآن پیام، پیامی مستهجن، سیاسی یا علیه منافع کشور باشد، امکان دارد تبعاتی قانونی برای آن ‌سایت و حتی مدیران آن به همراه داشته باشد. این یکی از مسائلی است که باید هر وب مستری در جریان آن باشد و وب‌سایت را نیز مانند دفتر فیزیکی خود مهم بداند و با روش های مختلف از آن محافظت کند.

این طرز فکر که با داشتن یک وب‌سایت همه چیز برقرار است؛ نیازی نیست که به آن رسیدگی کنند حکایت حال بسیاری از کسب‌وکارهاست، به شدت اشتباه است.

حالا اگر وب‌سایت کسب‌وکاری درجه‌ی اهمیت بالاتری داشته باشد، (مثلا؛ فروشگاه مجازی محصولات باشد و یا تمام فرآیندهای کسب‌وکار در همان وب‌سایت انجام بگیرد) شرایط خاص‌تر می‌شود. در این شرایط خاص‌تر، داده‌ها و موارد ارزش‌مندتری از آن کسب‌وکار نیاز به مراقبت دارند. به همین دلیل لازم است امنیتش نیز، بسیار جدی‌تر از یک پروژه‌ی آنلاین معمولی در نظر گرفته شود. چون از دست رفتن اطلاعات این ‌سایت‌ها، که ما با عنوان سامانه می‌شناسیم، می‌تواند خسارت‌های جبران‌ناپذیری را متوجه کسب‌وکار کند.

چه خطراتی کسب‌وکارهای فین‌تک را تهدید می‌کنند؟

در بسیاری از کسب‌وکارهای فین‌تک، کیف‌پول جزء بسیار مهمی به‌ شمار می‌رود و از حساسیت بسیاری نیز برخوردار است. این ولت مجازی که معمولا به هر کاربر یا مشتری تعلق می‌گیرد، به علت ماهیت فنی‌، عمدتا چالش‌هایی را متوجه این کسب‌وکارها می‌کند.

قطعا هر کامپوننت مهمی که به یک سامانه اضافه می‌شود، در اوایل استفاده از آن یک سری اختلالات پیش می‌آیند که از چشم توسعه‌دهندگان به دور مانده‌اند. هر کیف پول ممکن است امکانات منحصر‌به‌فردی داشته باشد، اما شباهت‌ها نیز بسیارند و عمده‌ی امکانات یک کیف پول، در اغلب کیف پول‌ها یکسان است. ما در این‌جا به چند خطر که در کمین کیف‌های پول الکترونیکی در کسب‌وکارهای فین‌تک هستند، می‌پردازیم:

رمزنگاری در ولت‌های الکترونیکی

در هم‌ی سامانه‌ها و سیستم‌های کامپیوتری درجه‌ای از رمزنگاری مورد استفاده قرار می‌گیرد تا از اطلاعات حساسی مراقبت شود. کیف پول الکترونیکی نیز از جمله اجزایی از یک سامانه‌ی مبتنی بر خدمات مالی است که اطلاعات حساسی را عموما در خود ذخیره دارد که مربوط به مشتریان است و قطعا امنیت کیف پول در این حالت اهمیت ویژه‌ای پیدا می‌کند.

الگوریتم‌های رمزنگاری متفاوت و متنوعی، از ضعیف تا قوی، وجود دارند و این امکان فراهم است که با توجه به حساسیت هر سامانه، به همان درجه رمزنگاری صورت بگیرد. چون هرچه رمزنگاری قوی‌تر باشد، هزینه‌ی پردازشی بیشتری نیز می‌طلبد و از نظر اقتصادی نیز تفاوت ایجاد می‌کند. حتی پیاده‌سازی ناقص مکانیزم رمزنگاری قوی‌ترین الگوریتم رمزنگاری در سامانه هم می‌تواند بسیار خطرناک باشد. زیرا که سبب شکستن سریع آن و لو رفتن اطلاعات می‌شود

در صورت شکستن رمز در یک کیف پول چه اتفاقی می‌افتد؟

همان‌طور که می‌دانید قطعا کیف پول تنها شامل یک عدد و یک عملیات تراکنش نیست. یک کیف پول می‌تواند شامل اطلاعات حساسی از جمله اطلاعاتی از حساب بانکی مشتری و اطلاعات هویتی او باشد. اطلاعات بانکی و هویتی از خصوصی‌ترین و مهم‌ترین اطلاعات در فضای مجازی به شمار می‌روند و قطعا حریم خصوصی این داده‌ها بسیار مهم است.

تصور کنید که اطلاعاتی از کسب‌وکار شما که در حوزه خدمات مالی و فین‌تک مشغول هستید توسط هکرهای کلاه‌سیاه به سرقت برود، چه اتفاقی می‌افتد؟ در سناریویی ساده به عنوان نمونه؛ مهاجمین می‌توانند با استفاده از اطلاعات یکی از مشتریان به اماکنی مانند پیشخوان دولت یا نمایندگی‌های فروش سیم‌کارت بروند، با اطلاعات به سرقت‌رفته اقدام به سوزاندن سیم‌کارت فرد کنند و سیم‌کارت جدیدی را دریافت نمایند. هر چند راه‌های و تدابیری برای مقابله با این روش در اپراتورها به کار گرفته شده اند، اما باز هم می‌تواند نمونه‌‌ی کوچکی از سوءاستفاده‌هایی باشد که از اطلاعات به‌سرقت‌رفته می‌شود. حالا شما تصور کنید این نشت اطلاعات برای چندین هزار و حتی چندین میلیون نفر اتفاق بیفتد! چندین‌ میلیون نفری که با اعتماد اطلاعات خود را با کسب‌وکارها درمیان گذاشته‌اند...

در بسیاری از کسب‌وکارهای فین‌تک، کیف‌پول جزء بسیار مهمی به‌ شمار می‌رود و از حساسیت بسیاری نیز برخوردار است. این ولت مجازی که معمولا به هر کاربر یا مشتری تعلق می‌گیرد، به علت ماهیت فنی‌، عمدتا چالش‌هایی را متوجه این کسب‌وکارها می‌کند.

حملات مرد میانی چه زمانی خطرساز خواهد بود؟

اهمیت امنیت داده‌های مشتریان و کاربران صرفا منحصر به حصار کشیدن دور آن‌ها در مبدا یا مقصد نیست، قطعا مسیر هم باید امن باشد. حملات مرد میانی بر پایه‌ی شنود و دخالت در ارتباطات بین کلاینت و سرور استوارند. در این حملات مهاجم می‌تواند با شنود ارتباط و کشف اطلاعاتی که کیف پول کاربر با سامانه در میان می‌گذارد، به هدف خود دست یابد. هم‌چنین می‌تواند با ایجاد تغییراتی در بسته‌های ردوبدل‌شده‌ی بین کلاینت و سرور، امکان دسترسی به اطلاعات مشتری و حتی در حالت گسترده‌تر نفوذ به کل زیرساخت کسب‌وکار را برای مهاجم فراهم کند.

حملات بدافزاری به کیف پول الکترونیکی

همیشه به یاد داشته باشید که بدافزار (Malware) متشکل از دو عبارت نرم‌افزار(Software) و بدخواهانه(Malicious) است. بنابراین عجیب نیست که ظاهرش کاملا عادی به نظر برسد اما در باطن، اقدامات مخربی را در سیستم شما انجام ‌دهد. این بدافزار می‌تواند در سطح وسیعی در زیرساخت کسب‌وکار رخنه کند، اطلاعات مهمی را ذخیره کند، منتقل کند و یا حذف کند. مرسوم‌ترین روش برای سرقت اطلاعات کیف پول مشتریان، استفاده از نوعی بدافزار با عنوان کی‌لاگر(Keylogger) است که هر آن‌چه که کاربرتایپ کند را ذخیره و به سرور مهاجم ارسال می‌کند.

در کنار بحث کیف پول، می‌توان هشدار داد که باج‌افزارها نیز به تازگی در صدر خطراتی هستند که می‌توانند خسارات جبران‌ناپذیری به کسب‌وکارها وارد کنند. در سال‌های اخیر خسارات مالی چشمگیری توسط باج‌افزارها متوجه شرکت‌ها و سازمان‌های سراسر جهان شده است. به طوری که برخی از کارشناسان مجموع خسارات حملات گزارش‌شده و گزارش‌نشده در سال ۲۰۱۹ میلادی را حدود ۱۷۰ میلیارد دلار برآورد کرده‌اند! باج‌افزار نوعی بدافزار است که با گروگان‌گرفتن اطلاعات به وسیله‌ی رمزکردن آن‌ها، از قربانیان باج‌خواهی می‌کند. باج‌خواهی همانا و قابل بازگشت‌نبودن اطلاعات همانا!

در مطلب «دورکاری راهکاری برای مقابله با کرونا و فرصتی برای باج افزارها!» درباره‌ی باج‌افزارها و راهکار‌های امن‌سازی پیشنهادی، بیش‌تر نوشته‌ایم.

بدافزارها از نقص‌های موجود در سامانه‌ها برای نفوذ استفاده می‌کنند. به مرور و با پیشرفت فناوری و زبان‌های برنامه‌نویسی، بدافزارها هم هوشمندتر شده‌اند و از استراتژی‌های گوناگونی برای نفوذ به یک سامانه استفاده می‌کنند.

مواردی که در بالا ذکر شدند، تنها تعداد محدودی از روش‌هایی بودند که اطلاعات کسب‌وکارهای حوزه‌ی فین‌تک را تهدید می‌کنند. بهتر است هیچ‌گاه به امنیت سامانه‌ها و کسب‌وکار خود تکیه نکنید و همیشه خطر را در کمین بدانید تا روزی پشیمانی ثمره‌اش نباشد.

اما چاره چیست؟ همان‌طور که پیش‌تر گفتیم، باگ‌ها و آسیب‌پذیری‌های هر سامانه، دروازه‌های ورود هکرهای کلاه‌سیاه و مهاجم‌ها هستند. بدیهی‌ست که شما با کشف و رفع هر آسیب‌پذیری، دریچه‌ی ورودی‌ای را به روی مهاجمان می‌بندید، و سامانه‌ی خود را امن‌تر می‌کنید. اما چه راه‌هایی برای کشف این آسیب‌پذیری‌ها و امن‌تر‌سازی سامانه‌ها وجود دارند؟

ما به شما می‌گوییم که چگونه «یک گام به امنیت واقعی نزدیک‌تر شوید!»

چرا باگ‌بانتی؟

در مطلب «باگ‌بانتی؛ به صرفه‌ترین راه ارتقای امنیت» درباره‌ی این‌که چرا باگ‌بانتی را برای ارتقای امنیت کسب‌وکارها سودمند می‌دانیم، گفته‌ایم. حالا و در این‌جا می‌خواهیم بگوییم که چرا باگ‌بانتی را پاسخی برای نیاز "ارتقای امنیت" کسب‌وکارهای فین‌تک می‌دانیم؟

بگذارید گریزی به تعریف و پایه‌واساس این‌گونه کسب‌وکارها بزنیم: فین‌تک (FinTech) یا فناوری مالی که به معنای کاربرد نوآورانه‌ی فناوری در ارائه‌ی خدمات مالی و کوتاه‌شده‌ی عبارت Financial Technology است و به کمپانی‌هایی اشاره دارد که تلاش می‌کنند با استفاده از تکنولوژی، خدمات مالی را کارآمدتر کنند. شرکت‌های فعال در زمینه‌ی فناوری‌های مالی عموماً استارتاپ‌هایی هستند که تلاش می‌کنند خودشان را در سیستم‌های مالی جا بیندازند و شرکت‌های سنتی را به چالش بکشند.

این کسب‌وکارها بر اساس معماری‌ای که سه اصل دارد بنا شده‌اند:

• کاهش هزینه‌ها (در عین حفظ کیفیت و افزایش سرویس‌های مالی)

• حذف بروکراسی‌ها و شکستن محدودیت‌های زمانی و جغرافیایی

• توانایی هوشمندانه در ارزیابی خطرها و ریسک‌های احتمالی

این اصول، اساس یک کسب‌وکار فین‌تک هستند. به همین دلیل، بهتر نیست روشی برای ارتقای امنیت کسب‌وکارهای این حوزه انتخاب شود که بر پایه‌ی اصول مشخص ذکرشده باشد و با آن‌ها هم‌خوانی داشته باشد؟ به همین منظور، بگذارید پاسخ باگ‌بانتی به هر اصل کسب‌وکار فین‌تک را بررسی کنیم:

باگ بانتی و کاهش هزینه ها در فین تک

باگ‌بانتی تنها راه ارتقای امنیت نیست اما به صرفه‌ترین راه ارتقای امنیت نامیده شده است. این لقب به این دلیل به باگ‌بانتی اطلاق شده است که در این روش، صاحبان کسب‌وکارها فقط هزینه‌ی باگ‌ها و آسیب‌پذیری‌هایی که کشف شده‌اند را می‌پردازند. اما در روش‌های دیگری مانند تست نفوذ با تیم امنیت داخلی، قراردادی از ابتدا با یک گروه هکر کلاه‌سفید بسته می‌شود و در پایان صرف‌نظر از درجه‌ی کیفیت کشف آسیب‌پذیری‌ها و ... هزینه‌ی مقرر شده به تیم تست نفوذ پرداخت می‌شود. در مطلب «باگ‌بانتی یا تیم امنیت داخلی؟ مسئله این‌ است...» به مقایسه‌ی دقیق‌تر این دو روش نوین ارتقای امنیت پرداخته‌ایم. اما به طور کوتاه شاید بد نباشد که بدانید باگ‌بانتی نسل جدید پن‌تست به شمار می‌رود.

باگ‌بانتی و حذف محدودیت زمانی در Fintech

باگ‌بانتی محدودیت نمی‌شناسد؛ در باگ‌بانتی، هر شکارچی یا هکر کلاه‌سفیدی، در هر زمان از شبانه‌روز و از هر کجای دنیا می‌تواند به کشف آسیب‌پذیری‌های پایگاه‌های مجازی کسب‌وکارهای ثبت‌شده در پلتفرم باگ‌بانتی بپردازد و وجود آسیب‌پذیری کشف‌کرده‌ی خود را از طریق ارسال گزارش به پلتفرم باگ‌بانتی اطلاع دهد. و هیچ نیازی نیست که شکارچی حتما در محلی حضور داشته باشد و به کشف آسیب‌پذیری‌های سامانه‌ی یک کسب‌وکار بپردازد.

باگ‌بانتی و توانایی ارزیابی هوشمندانه‌ی خطرها

قطعا بررسی خطراتی که متوجه کسب‌وکار هستند می‌تواند از خسارات احتمالی‌ای که به کسب‌وکار تحمیل می‌شود به میزان قابل توجهی بکاهد. در دنیای امروز سرمایه‌ی بسیاری از کسب‌وکارها را داده‌ها تشکیل می‌دهند. داده‌هایی که بر روی سیستم‌های کامپیوتری قرار دارند و اگر در اینترنت قابلیت دسترسی داشته باشند، بعید نیست که مورد هجوم هکر‌های کلاه‌سیاه قرار بگیرند. پس دوراندیشی هوشمندانه‌ای است که اقدامات لازم برای کاهش احتمال این گونه خطرات و ارتقای امنیت سامانه‌های کسب‌وکار انجام بگیرد.

در هر یک از این اصولی که به آن‌ها اشاره کردیم، باگ‌بانتی می‌تواند به طور موثری ایفای نقش ایفا کند و امنیت کسب‌وکارهای حوزه فین‌تک را ارتقا ببخشد.

سخن آخر

ما در این مطلب سعی کردیم به خطراتی که متوجه کسب‌وکار شماست بپردازیم و این موضوع مهم را که "پایگاه مجازی یک کسب‌وکار، می‌تواند از نقاط حساس یک کسب‌وکار باشد" با شما درمیان بگذاریم. قطعا سرمایه‌ی یک کسب‌وکار باید تحت مراقبت باشد و به همین دلیل نیاز پررنگی به ارتقای امنیت، احساس می‌شود. ارتقای امنیت سامانه‌های کسب‌وکار شما نیز از این قاعده مستثنی نیست و چه‌بسا به دلیل داده‌های ارزش‌مند کسب‌وکارتان، این نیاز حیاتی‌تر نیز باشد. پس شاید بهتر است همین امروز به فکر راهکاری باشید...