۱۰ رویکرد امنیتی برتر سال ۲۰۱۳ در حوزه خدمات مالی
طاهره منزوی* کمال الدین یعقوبی رفیع* فهیمه شریف* پیشرفت فناوریهای اطلاعاتی از یک سو و حساسیت، دقت و سرعت لازم برای انجام عملیات مالی از سوی دیگر سبب وابستگی زیاد صنایع و حوزههای مرتبط با خدمات مالی نظیر بانکها و بازار سرمایه به سیستمهای اطلاعاتی رایانهای شده است. امروزه تمام اطلاعات مربوط به حسابها، مشتریان و معاملات در این سیستمها ذخیره شده و تمام تراکنشها از طریق سیستمهای یادشده پیگیری میشوند. این پیشرفتها اگرچه باعث رشدی شگرف در این حوزه شده اما از سوی دیگر، آسیبپذیری را نیز افزایش داده و امکان حملات سایبری و سوءاستفاده افراد متخلف برای نفوذ به سیستم را فراهم کرده است.
طاهره منزوی* کمال الدین یعقوبی رفیع* فهیمه شریف* پیشرفت فناوریهای اطلاعاتی از یک سو و حساسیت، دقت و سرعت لازم برای انجام عملیات مالی از سوی دیگر سبب وابستگی زیاد صنایع و حوزههای مرتبط با خدمات مالی نظیر بانکها و بازار سرمایه به سیستمهای اطلاعاتی رایانهای شده است. امروزه تمام اطلاعات مربوط به حسابها، مشتریان و معاملات در این سیستمها ذخیره شده و تمام تراکنشها از طریق سیستمهای یادشده پیگیری میشوند. این پیشرفتها اگرچه باعث رشدی شگرف در این حوزه شده اما از سوی دیگر، آسیبپذیری را نیز افزایش داده و امکان حملات سایبری و سوءاستفاده افراد متخلف برای نفوذ به سیستم را فراهم کرده است. اوج چنین حملاتی را میتوان در سال ۲۰۱۲ دانست که حملات سایبری در سراسر جهان موجب سرقت و سوءاستفاده از اقلام اطلاعاتی بسیار زیادی شده به گونهای که خسارت ناشی از آن چند برابر خسارات وارده در مدت مشابه سال قبل ارزیابی شد.
نکته جالب توجه آن که در این میان، سهم صنایع مربوط به خدمات مالی بسیار بیشتر از سایر صنایع بوده و با ادامه این روند پیشبینی میشود که میزان حملات سایبری از تروریسم نیز پیشی گرفته و به مخربترین پدیده قرن حاضر بدل شود. هدف این حملات سایبری بسیار متفاوت بوده و ممکن است شامل مواردی مانند سرقت اطلاعات مالی، داراییهای اطلاعاتی و دانشی یا اطلاعات حساس مربوط به اعضای مشتریان یا شرکای تجاری باشد. در چنین شرایطی و از آنجا که موفقیت هر کسب و کاری در هر صنعتی وابسته به اطلاعات درست و بدون نقص است، برای شرکتهای فعال در صنعت خدمات مالی نیز موضوع امنیت داده و امنیت سایبری از اهمیت بالایی برخوردار است.
از این رو به منظور مقابله با تهدیدات مخرب روزانه دولتها، ملتها و اشخاص، نظارت همه جانبه بر تهدیدات موجود، شناسایی تهدیدات موجود، اولویتبندی و نظارت همه جانبه آنها ضرورت دارد. به همین دلیل در ماههای اخیر تلاشهای زیادی در جهت تدوین رویکردهای مشخص برای بهبود وضعیت امنیت سایبری، به ویژه در حوزه مالی صورت گرفته است. در تحقیق حاضر سعی شده ۱۰ مورد از رویکردهای برتر سال ۲۰۱۳ در حوزه امنیت سایبری در صنایع مرتبط با خدمات مالی مورد تحلیل و بررسی قرار گیرند.
۱. نگهداری و حفاظت از اطلاعات کسبوکار، تنها یک مساله تکنیکال و نرمافزاری نیست.
برای محافظت از اطلاعات کسب و کار، تنها ایجاد یک تکنولوژی جدید کافی نیست. امروزه کسب و کارها باید نه تنها بر استفاده صحیح از فناوری تاکید کنند، بلکه لازم است روی افراد و مدیریت صحیح فرآیندهای جاری بین سازمانی نیز سرمایهگذاری کنند. موثر بودن یک تکنولوژی جدید تنها زمانی نمایان میشود که این تکنولوژی به طور صحیح توسط کارکنان ماهر مورد استفاده قرار گیرد.
بنابر تحقیقاتی که به تازگی انجام شده، بسیاری از سازمانها بر این باورند که ابزارهای کنترلی آنها در پایش کارکنان سازمان و دیگر افرادی که به اسناد محرمانه دسترسی دارند، ناکارآمد هستند. در بیشتر مواقع، سهلانگاری کاربرانی که به اطلاعات دسترسی دارند دلیل اصلی از دست رفتن اطلاعات است. برای مثال، ممکن است کارمندی ایمیلی حاوی یک کد مخرب را باز کند، اطلاعات محرمانه را از طریق ایمیل ارسال کرده یا به یک وبسایت مخرب متصل شود. این موارد همگی نمونههایی هستند که نشان دهنده نقش مهم عامل انسانی در از دست رفتن داده و اطلاعات بوده و بیانگر این واقعیت است که پیش از آنکه فناوری بخواهد تغییر عمدهای در وضعیت امنیتی ایجاد کند، باید این عامل تحت کنترل قرار گیرد. همچنین، اتخاذ سیاستهای مناسب امنیتی برای استفاده از دادهها و ایجاد فرآیندها و رویههایی برای انتقال امن داده نیز از جمله مواردی است که باید مورد توجه قرار گیرد.
۲. حملات با هدف ایجاد اختلال در دادهها میتواند منجر به تخریب داده شود.
در حقیقت نگرانی اصلی در میان متخصصان ریسک و امنیت، پتانسیل موجود در تخریب داده توسط عوامل تهدیدکننده است. با گذشت زمان، صنعت خدمات مالی با تهدیداتی مواجه خواهد شد که در آن افراد به منظور رسیدن به خواستههای خود یا اثبات اثربخشی خود، از فضای سایبری به عنوان سلاحهای اختلال جمعی استفاده کرده و سبب ایجاد اختلال در فعالیتهای کسبوکار و تخریب دادهها میشوند. از سوی دیگر، بسیاری از افراد یا گروههایی که قصد اختلال در عملیات کسبوکار به منظور بیان خواسته یا اعتراضی دارند، نیز ممکن است در آینده از تخریب دادهها استفاده کرده تا از تاثیرگذاری عملیات مخرب خود مطمئن شوند.
۳. دولتها و عوامل تهدیدکننده رو به پیچیدگی بیشتر هستند.
امروزه، کسب و کارها با عوامل تهدید پیچیدهتری مانند دولتهای کوچکتر یا عناصر تروریستی (که قابلیتهایی مشابه دولتها دارند) مواجه میشوند. صنعت خدمات مالی باید از همه تهدیدات به درستی آگاه بوده و چشمانداز صحیح و موثری نسبت به آنها داشته باشد. همچنین برحسب شرایط، افراد، تکنولوژی و فرآیندهای مناسب را جهت اطمینان از تداوم کسب و کار و مدیریت صحیح ریسک بهکار گیرد.
در این راستا وجود یک برنامه تداوم کسب و کار(BCP) برای تمام شرکتها و سازمانهایی که با دادههای حساس و محرمانه سروکار دارند ضرورت دارد. چنین برنامهای با شناسایی و ارزیابی تهدیدات داخلی و خارجی و سرمایههای نرمافزاری و سختافزاری، سازمان را در جهت فراهم کردن راهکارهای پیشگیری از تهدیدات و بازیابی، هماهنگ میکند. این برنامه در واقع نقشه راهی برای تداوم عملیات سازمان در شرایط سخت مانند رخ دادن یک حمله سایبری، حمله فیزیکی به تاسیسات سازمان و غیره را فراهم میکند.
به دلیل آنکه حوزه مالی بیش از سایر حوزهها در معرض حملات سایبری است، تهیه برنامههای تداوم کسب و کار(BCP) نیز در این حوزه از اولویت بالاتری برخوردار بوده و نیازمند توجه بیشتر است.
۴. تصویب قوانین امنیت سایبری بهبود استانداردهای ریسک سایبری را در پی خواهد داشت. در سالهای اخیر با توجه به رشد حملات سایبری، نیاز به قانونگذاری برای اقدامات امنیتی در حوزه سایبری بیش از پیش احساس میشود. برخی قوانین، نگرانی شرکتها را از به اشتراکگذاری اطلاعات، جرایم و حوادث سایبری کاهش میدهند. بهرغم اینکه بانکها پیش از این نیز اطلاعات خود را به اشتراک میگذاشتند، اما امروزه برای انجام فعالیتهای خود نیاز بیشتری به قوانین و استانداردهای محافظت از محیط سایبری دارند. دولت باید به نقض قوانین امنیت سایبری در بانک، بورس یا هر نهاد موثر دیگر به عنوان بخشی از زیرساختهای حیاتی کشور، توجهی ویژه معطوف دارد.
در این راستا در کشورهای مختلف قوانینی در رابطه با امنیت سایبری تصویب شده و برای اخلالگران مجازاتهای شدیدی نیز در نظر گرفته شده است. البته قوانین مربوط به امنیت متنوع بوده و معمولا هر یک از آنها بر روی جنبه خاصی از امنیت تمرکز دارد که به عنوان نمونه میتوان به قوانین مربوط به محافظت داده ، قوانین مربوط به سوءاستفاده رایانهای و مقررات مربوط به تحقیق و تفحص در کشور انگلستان اشاره کرد.
همچنین، کمیسیون بورس و اوراق بهادار آمریکا در مواردی که ممکن است کاربران و مشتریان شرکتها دچار مشکل شد و یا خطر از دست رفتن اطلاعات وجود داشته باشد، شرکتهای تحت حوزه خود را به افشای ریسکهای امنیت سایبری توصیه کرده است. بهاین ترتیب هر شرکت، با بررسی وضعیت امنیت سایبری خود اطلاعاتی در زمینه امنیت سایبری که میتواند برای کاربران و مشتریان مهم باشد را افشا میکند. از آنجا که ممکن است افشای بسیاری از حقایق امنیتی ریسکهای دیگری را برای شرکتها به وجود آورده و راه سوءاستفاده را هموار سازد، کمیسیون بورس و اوراق بهادار آمریکا الزام و اجباری در افشای ریسکهای سایبری تعیین نکرده است.
با این وجود انتظار میرود شرکتها و موسسات مالی در موارد زیر، اطلاعات مربوط به ریسکهای امنیت سایبری را افشا کنند:
• در صورتی که موارد یادشده از جمله مهمترین عوامل تاثیرگذار بر ریسک یک سرمایهگذاری باشند.
• در مواردی که حملات یادشده پیامدهای مادی بر وضعیت مالی شرکت داشته باشند.
• در مواردی که حملات یادشده روی خدمات، محصولات، شرایط رقابتی و روابط با تامینکنندگان و مشتریان تاثیرگذار باشند.
• در مورد برخی وظایف که نیازمند برونسپاری بوده به همراه توضیحاتی درباره وظایف یادشده و اینکه شرکت چگونه میتواند ریسکهای یادشده را کاهش دهد.
• در مواردی که حملات یادشده منجر به طرح دعوی قضایی توسط شرکت شده باشد.
• در مواردی که تهدیدات یادشده باعث ایجاد اختلال در افشای دیگر گزارشها شود.
در همین راستا، به تازگی شرکتهای مختلفی اقدام به افشای اطلاعات مرتبط با امنیت سایبری خود کردهاند که برخی از آنها به شرح زیر است:
• شرکت Citigroup در گزارشی که در اول ماه مارس ۲۰۱۳ ارائه داده افشا کرد که این شرکت در معرض ریسک فزاینده حملات سایبری بوده و احتمالا در آینده نیز خواهد بود.
• موسسه Goldman Sachs Group نیز در اول ماه مارس ۲۰۱۳ افشا کرد که این شرکت به صورت مستمر مورد حملات سایبری قراردارد.
• در اوخر ماه فوریه ۲۰۱۳ بانک آمریکا افشا کرد که سیستمها، شبکهها و رایانههای مشتریان این بانک در معرض حملات سایبری، ویروسهای رایانهای، کدهای مخرب، کلاهبرداری اینترنتی یا نفوذ اطلاعاتی بودهاند.
• در ۲۸ فوریه ۲۰۱۳ موسسه JPMorgan Chase & Co اظهار کرد که از سوی طرفهای ثالث مجهز به فناوریهای پیچیده هدف حملات سایبری قرار گرفته است.
در نهایت اینکه، بسیاری از نهادهای ناظر در حال تهیه و تصویب مقررات سختگیرانه در مورد شرکتهای تحت نظارت خود به منظور رعایت نیازمندیهای امنیتی هستند تا از وقوع حملات گسترده احتمالی پیشگیری کنند.
۵. پیشبینی و تجزیه و تحلیل آگاهانه تهدیدات، سبب مدیریت موثر ریسک خواهد شد.
یکی از دلایل افزایش روزافزون تهدیدات امنیتی این است که بیشتر شرکتها تا زمان رخ دادن یک حمله سایبری به آن بیتوجه بوده و زمانی که مورد تهاجم واقع شدند، درصدد ارزیابی میزان خسارت و جبران آنها برمیآیند. این در حالی است که تغییر رویه از این رویکرد واکنشمحور به یک رویکرد مبتنی بر پیشبینی و تحلیل به سازمان کمک میکند تهدیدات را پیشبینی کرده و عملیات دفاعی مناسب قبل از وقوع یک حمله را به کارگیرد. تمرکز بر شناسایی ریسکهای منحصر به هر کسب و کار و همچنین مبارزه با تهدیدات بالقوه واقعی که بر ریسکهای مهمتر توجه دارد، بسیار موثرتر از تلاش دفاعی در مقابل همه تهدیدات ممکن است. برای این منظور، شرکتهای خدمات مالی باید به منظور تعیین حملهکنندهها و چگونگی حمله، اقدام به استخدام افرادی کنند که توانایی پیشبینی و تجزیه و تحلیل تهدیدات را دارند. در همین راستا، شرکتهایی وجود دارند که سرویسهای هوشمندی در این زمینه ارائه میکنند. این سرویسها از تمام اطلاعات متنباز قابل دسترسی برای ارائه تحلیلهای پیشبینانه، اولویتبندی و پیشگیری از رخدادن حملات استفاده میکنند. به عنوان نمونه میتوان از سرویسهای تجزیه و تحلیل آگاهانه Cyber۴Sight نام برد که توسط شرکت Booz Allen Hamilton ارائه میشود. این شرکت از یک پایگاه دانشی شامل دادههای بیش از سیصد میلیون نقطه دسترسی برای تحلیل لحظهای تهدیدات و حملات احتمالی بهره میبرد.
علاوه بر این میتوان در راستای پیادهسازی چارچوب مدیریت ریسک سازمان و مدیریت ریسکهای فناوری اطلاعات، فرآیندهای تکرارپذیر و مستندسازی شده مربوط به مدیریت ریسکهای سایبری را اجرا کرد. بسیاری از سازمانها به منظور افزایش آگاهی عمومی و پشتیبانی برای کاهش تهدیدات سایبری، اطلاعات سایبری را با کارمندان دیگر بخشهای کسب و کار به اشتراک میگذارند.
۶. مدیریت ریسک تامینکنندگان، برای شرکتهای دریافتکننده خدمات و محصولات آنها حائز اهمیت است.
بیشتر شرکتها بسیاری از فناوریها و خدمات مورد نیاز خود را از تامینکنندگان خریداری میکنند. بنابراین، آسیبپذیر بودن تامینکنندگان، آسیبپذیری شرکتهای دریافتکننده خدمات و محصولات آنها را به دنبال خواهد داشت. به همین دلیل، بذل توجه بیشتر به الزامات امنیتی تامینکنندگان و ارزیابی ریسکهای مربوط به خدمات و محصولات طرفهای ثالث ضرورت دارد.
به این منظور موسسات و شرکتها باید بر روی عرضهکنندگان و تامینکنندگان محصولات نرمافزاری و غیرنرمافزاری که دارای روابط مهم و کلیدی با سازمان هستند متمرکز شده و بر آنها نظارت کافی داشته باشند. عرضهکنندگان و تامینکنندگانی، مهم و کلیدی تلقی میشوند که روابط بانکی و مالی جدیدی را با سازمان پایهریزی کردهاند؛ روابط با آنها تاثیرات زیادی بر سود یا هزینه سازمان دارد؛ عملیات کلیدی و حساسی مانند ذخیره، دسترسی، انتقال یا انجام تراکنشهایی بر روی دادههای حساس مشتریان را بر عهده داشته یا اینکه تامینکننده مورد نظر شرکت را در معرض ریسکهایی قرار دهد که ممکن است منجر به از دست رفتن درآمد یا سرمایه زیادی شود.
این نظارت باید از طریق بررسی گزارش سالانه یا ۶ ماهه عملکرد تامینکنندگان و عرضهکنندگان محصولات توسط هیات مدیره سازمان و ایجاد اطمینان از همراستایی عملکرد تامینکنندگان با دغدغههای امنیتی سازمان اعمال شود.
۷. ریسک سایبری موضوعی در سطح مدیریت ارشد است.
با گسترش استفاده از فناوریهای تلفن همراه و رسانههای اجتماعی، هر روزه اطلاعات، اسناد و مدارک قانونی، ارتباط با مشتریان و کارمندان و ... بیشتر و بیشتر الکترونیکی میشوند. در چنین شرایطی تدوین یک برنامه جامع برای کنترل ریسکهای سایبری در تمامی سطوح سازمان ضرورت دارد. این امر مستلزم مشارکت هیات مدیره موسسات مالی با ارائهدهندگان تکنولوژی، به منظور ایجاد و پذیرش فرهنگ مبتنی بر تحولپذیری ریسکها است.
به این منظور، مدیریت ارشد سازمان باید با همکاری مدیریت اجرایی شاخصهای کلیدی کارآیی را که برای ارزیابی و پایش تهدیدات سایبری کارآمد هستند استخراج کنند. مدیریت اجرایی مسوولیت پیادهسازی و نگهداری زیرساخت ریسک (افراد، فرآیندها و فناوری) که برای مدیریت و پایش موثر تهدیدات لازم هستند، عهدهدار میشود. همچنین، واحدهای کسب و کار و پشتیبانی فعالیتهای مربوط به مدیریت و پایش را انجام داده و به موازات، وظایف کارکنان و مسوولیت آنها در قبال امنیت اطلاعات به صورت شفاف از طریق آموزش و ایجاد انگیزههای لازم برای آنها مشخص خواهد شد.
۸. شرکتها باید شبکههای بدون مرز را بپذیرند.
امروزه به دلیل صرفهجوییهای اقتصادی تکنولوژیهایی از قبیل رایانش ابری، رسانههای اجتماعی و موبایل، نمیتوان آنها را نادیده گرفت. متخصصین ریسک و امنیت باید ضمن پذیرفتن این واقعیت که گستردگی و توسعه شبکه شرکتها فراتر از کنترل آنهاست، بیش از پیش نسبت به استفاده بهینه از این فناوریها اقدام کنند. به عنوان مثال در مورد رایانش ابری که یک نمونه از شبکههای بدون مرز محسوب میشود، در آغاز نگرانیهای فراوانی در مورد امنیت اینگونه شبکهها وجود داشت، اما تحقیقات صورت گرفته توسط مایکروسافت نشان داد که بیش از ۳۵ درصد از شرکتهای کوچک و متوسط در آمریکا با استفاده از رایانش ابری به سطح بالاتری از امنیت دست یافتهاند. علاوه بر آن بیش از ۳۲ درصد از شرکتهای یادشده اذعان داشتهاند که زمان کمتری را به نگرانیهای مربوط به حملات سایبری اختصاص داده و همچنین در مقایسه با شرکتهایی که از رایانش ابری استفاده نمیکنند، ۳۲ درصد کمتر برای مدیریت مسائل مربوط به امنیت زمان صرف کردهاند. علاوه بر این، در این شرکتها احتمال کاهش هزینههای امنیتی نسبت به دیگر شرکتها تا ۵ برابر تخمین زده شده است. از سوی دیگر، مدیریت و کنترل ریسک نیز به گونهای در حال تکامل است که انتقال ایمن دادهها از طریق این شبکهها و همچنین افزایش آگاهی کارکنان در خصوص مسوولیتهای ایمنی داده به منظور محافظت بهتر در برابر حملات سایبری را مدنظر قرار دهد.
۹. شناسایی و مدیریت دسترسی، در حال تبدیل به یک کلید کنترل در حوزه امنیت است. غالبا عوامل تهدیدکننده، استراتژیهای سرقت یا کلاهبرداریهای اینترنتی و سایر حملات مهندسی اجتماعی را به عنوان یک روش موثر برای نفوذ به هر شبکه به کار میگیرند. اگرچه اطمینان از هویت واقعی یک فرد مجاز، یک نکته کلیدی برای همه شرکتها محسوب میشود، اما موسسات فعال در حوزه مالی باید به این موضوع توجه بیشتری داشته باشند. بیشتر عوامل تهدیدکننده برای غیرقابل تشخیص بودن فعالیت مخربشان، از طریق دستیابی به مجوزهای معتبر کارکنان آن مجموعه، به شبکهها و اطلاعات دسترسی مییابند. از اینرو شرکتها باید به منظور حصول اطمینان از اینکه کاربر شناسایی شده، واقعا همان کاربر مجاز است یا خیر و همچنین ردیابی فعالیت غیرمعمول یک کاربر برای دسترسی غیرمجاز، سرمایهگذاریهای هنگفتی کنند.
۱۰. صنعت خدمات مالی بیش از پیش بر ارزیابی اقدامات سایبری سایر رقبا تاکید دارد.
روند سرمایهگذاری شرکتهای فعال در حوزه مالی برای حفظ داراییهای اطلاعاتی شتاب فزایندهای یافته است. صنعت خدمات مالی با هدف بهینه کردن مدیریت ریسک سایبری، درصدد پایش و ارزیابی اقدامات و عملکرد همتایان و رقبا در حوزه امنیت سایبری است. این ارزیابی از ابعاد مختلف مانند هزینه، افراد، فرآیندها و تکنولوژی تخصیص داده شده به موضوع امنیت قابل انجام است. به این ترتیب، شرکتها میتوانند وضعیت امنیتی خود را در مقایسه با دیگر همتایان ارزیابی کرده و تصمیمات آگاهانهتری در خصوص مدیریت ریسک سایبری اتخاذ کنند.
منابع در دنیای اقتصاد موجود است
*واحد تحقیق و توسعه مدیریت فناوری اطلاعات سازمان بورس و اوراق بهادار
ارسال نظر