10 رویکرد امنیتی برتر سال 2013 در حوزه خدمات مالی

طاهره منزوی* کمال الدین یعقوبی رفیع* فهیمه شریف* پیشرفت فناوری‌های اطلاعاتی از یک سو و حساسیت، دقت و سرعت لازم برای انجام عملیات مالی از سوی دیگر سبب وابستگی زیاد صنایع و حوزه‌های مرتبط با خدمات مالی نظیر بانک‌ها و بازار سرمایه به سیستم‌های اطلاعاتی رایانه‌ای شده است. امروزه تمام اطلاعات مربوط به حساب‌ها، مشتریان و معاملات در این سیستم‌ها ذخیره شده و تمام تراکنش‌ها از طریق سیستم‌های یادشده پیگیری می‌شوند. این پیشرفت‌ها اگرچه باعث رشدی شگرف در این حوزه شده‌ اما از سوی دیگر، آسیب‌پذیری را نیز افزایش داده‌ و امکان حملات سایبری و سوء‌استفاده افراد متخلف برای نفوذ به سیستم را فراهم کرده ‌است. اوج چنین حملاتی را می‌توان در سال ۲۰۱۲ دانست که حملات سایبری در سراسر جهان موجب سرقت و سوء‌استفاده از اقلام اطلاعاتی بسیار زیادی شده به گونه‌ای که خسارت ناشی از آن چند برابر خسارات وارده در مدت مشابه سال قبل ارزیابی شد.

نکته جالب توجه آن که در این میان، سهم صنایع مربوط به خدمات مالی بسیار بیشتر از سایر صنایع بوده و با ادامه این روند پیش‌بینی می‌شود که میزان حملات سایبری از تروریسم نیز پیشی گرفته و به مخرب‌ترین پدیده قرن حاضر بدل شود. هدف این حملات سایبری بسیار متفاوت بوده و ممکن است شامل مواردی مانند سرقت اطلاعات مالی، دارایی‌های اطلاعاتی و دانشی یا اطلاعات حساس مربوط به اعضای مشتریان یا شرکای تجاری باشد. در چنین شرایطی و از آنجا که موفقیت هر کسب و کاری در هر صنعتی وابسته به اطلاعات درست و بدون نقص است، برای شرکت‌های فعال در صنعت خدمات مالی نیز موضوع امنیت داده و امنیت سایبری از اهمیت بالایی برخوردار است.

از این رو به منظور مقابله با تهدیدات مخرب روزانه دولت‌ها، ملت‌ها و اشخاص، نظارت همه جانبه بر تهدیدات موجود، شناسایی تهدیدات موجود، اولویت‌بندی و نظارت همه جانبه آنها ضرورت دارد. به همین دلیل در ماه‌های اخیر تلاش‌های زیادی در جهت تدوین رویکردهای مشخص برای بهبود وضعیت امنیت سایبری، به ویژه در حوزه مالی صورت گرفته است. در تحقیق حاضر سعی شده ۱۰ مورد از رویکردهای برتر سال ۲۰۱۳ در حوزه امنیت سایبری در صنایع مرتبط با خدمات مالی مورد تحلیل و بررسی قرار گیرند.

۱. نگهداری و حفاظت از اطلاعات کسب‌و‌کار، تنها یک مساله تکنیکال و نرم‌افزاری نیست.

برای محافظت از اطلاعات کسب و کار، تنها ایجاد یک تکنولوژی جدید کافی نیست. امروزه کسب و کارها باید نه تنها بر استفاده صحیح از فناوری تاکید کنند، بلکه لازم است روی افراد و مدیریت صحیح فرآیندهای جاری بین سازمانی نیز سرمایه‌گذاری کنند. موثر بودن یک تکنولوژی جدید تنها زمانی نمایان می‌شود که این تکنولوژی به طور صحیح توسط کارکنان ماهر مورد استفاده قرار گیرد.

بنابر تحقیقاتی که به تازگی انجام ‌شده، بسیاری از سازمان‌ها بر این باورند که ابزارهای کنترلی آنها در پایش کارکنان سازمان و دیگر افرادی که به اسناد محرمانه دسترسی دارند، ناکارآمد هستند. در بیشتر مواقع، سهل‌انگاری کاربرانی که به اطلاعات دسترسی دارند دلیل اصلی از دست رفتن اطلاعات است. برای مثال، ممکن است کارمندی ایمیلی حاوی یک کد مخرب را باز کند، اطلاعات محرمانه را از طریق ایمیل ارسال کرده یا به یک وب‌سایت مخرب متصل شود. این موارد همگی نمونه‌هایی هستند که نشان دهنده نقش مهم عامل انسانی در از دست رفتن داده و اطلاعات بوده و بیانگر این واقعیت است که پیش از آن‌که فناوری بخواهد تغییر عمده‌ای در وضعیت امنیتی ایجاد کند، باید این عامل تحت کنترل قرار گیرد. همچنین، اتخاذ سیاست‌های مناسب امنیتی برای استفاده از داده‌ها و ایجاد فرآیندها و رویه‌هایی برای انتقال امن داده نیز از جمله مواردی است که باید مورد توجه قرار گیرد.

۲. حملات با هدف ایجاد اختلال در داده‌ها می‌تواند منجر به تخریب داده شود.

در حقیقت نگرانی اصلی در میان متخصصان ریسک و امنیت، پتانسیل موجود در تخریب داده توسط عوامل تهدید‌کننده است. با گذشت زمان، صنعت خدمات مالی با تهدیداتی مواجه خواهد شد که در آن افراد به منظور رسیدن به خواسته‌های خود یا اثبات اثربخشی خود، از فضای سایبری به عنوان سلاح‌های اختلال جمعی استفاده کرده و سبب ایجاد اختلال در فعالیت‌های کسب‌و‌کار و تخریب داده‌ها می‌شوند. از سوی دیگر، بسیاری از افراد یا گروه‌هایی که قصد اختلال در عملیات کسب‌و‌کار به منظور بیان خواسته یا اعتراضی دارند، نیز ممکن است در آینده از تخریب داده‌ها استفاده کرده تا از تاثیرگذاری عملیات مخرب خود مطمئن شوند.

۳. دولت‌ها و عوامل تهدیدکننده رو به پیچیدگی بیشتر هستند.

امروزه، کسب و کارها با عوامل تهدید پیچیده‌تری مانند دولت‌های کوچک‌تر یا عناصر تروریستی (که قابلیت‌هایی مشابه دولت‌ها دارند) مواجه می‌شوند. صنعت خدمات مالی باید از همه تهدیدات به درستی آگاه بوده و چشم‌انداز صحیح و موثری نسبت به آنها داشته باشد. همچنین برحسب شرایط، افراد، تکنولوژی و فرآیندهای مناسب را جهت اطمینان از تداوم کسب و کار و مدیریت صحیح ریسک به‌کار گیرد.

در این راستا وجود یک برنامه تداوم کسب و کار(BCP) برای تمام شرکت‌ها و سازمان‌هایی که با داده‌های حساس و محرمانه سروکار دارند ضرورت دارد. چنین برنامه‌ای با شناسایی و ارزیابی تهدیدات داخلی و خارجی و سرمایه‌های نرم‌افزاری و سخت‌افزاری، سازمان را در جهت فراهم کردن راهکارهای پیشگیری از تهدیدات و بازیابی، هماهنگ می‌کند. این برنامه‌ در واقع نقشه راهی برای تداوم عملیات سازمان در شرایط سخت مانند رخ دادن یک حمله سایبری، حمله فیزیکی به تاسیسات سازمان و غیره را فراهم می‌کند.

به دلیل آنکه حوزه مالی بیش از سایر حوزه‌ها در معرض حملات سایبری است، تهیه برنامه‌های تداوم کسب و کار(BCP) نیز در این حوزه از اولویت بالاتری برخوردار بوده و نیازمند توجه بیشتر است.

۴. تصویب قوانین امنیت سایبری بهبود استانداردهای ریسک‌ سایبری را در پی خواهد داشت. در سال‌های اخیر با توجه به رشد حملات سایبری، نیاز به قانون‌گذاری برای اقدامات امنیتی در حوزه سایبری بیش از پیش احساس می‌شود. برخی قوانین، نگرانی شرکت‌ها را از به ‌اشتراک‌گذاری اطلاعات، جرایم و حوادث سایبری کاهش می‌دهند. به‌رغم اینکه بانک‌ها پیش از این نیز اطلاعات خود را به اشتراک می‌گذاشتند، اما امروزه برای انجام فعالیت‌های خود نیاز بیشتری به قوانین و استانداردهای محافظت از محیط سایبری دارند. دولت باید به نقض قوانین امنیت سایبری در بانک، بورس یا هر نهاد موثر دیگر به عنوان بخشی از زیرساخت‌های حیاتی کشور، توجهی ویژه معطوف دارد.

در این راستا در کشورهای مختلف قوانینی در رابطه با امنیت سایبری تصویب شده و برای اخلال‌گران مجازات‌های شدیدی نیز در نظر گرفته شده است. البته قوانین مربوط به امنیت متنوع بوده و معمولا هر یک از آنها بر روی جنبه خاصی از امنیت تمرکز دارد که به عنوان نمونه می‌توان به قوانین مربوط به محافظت داده ، قوانین مربوط به سوء‌استفاده رایانه‌ای و مقررات مربوط به تحقیق و تفحص در کشور انگلستان اشاره کرد.

همچنین، کمیسیون بورس و اوراق بهادار آمریکا در مواردی که ممکن است کاربران و مشتریان شرکت‌ها دچار مشکل شد و یا خطر از دست رفتن اطلاعات وجود داشته باشد، شرکت‌های تحت حوزه خود را به افشای ریسک‌های امنیت سایبری توصیه کرده است. به‌این ترتیب هر شرکت، با بررسی وضعیت امنیت سایبری خود اطلاعاتی در زمینه امنیت سایبری که می‌تواند برای کاربران و مشتریان مهم باشد را افشا می‌کند. از آنجا که ممکن است افشای بسیاری از حقایق امنیتی ریسک‌های دیگری را برای شرکت‌ها به وجود آورده و راه سوء‌استفاده را هموار سازد، کمیسیون بورس و اوراق بهادار آمریکا الزام و اجباری در افشای ریسک‌های سایبری تعیین نکرده است.

با این وجود انتظار می‌رود شرکت‌ها و موسسات مالی در موارد زیر، اطلاعات مربوط به ریسک‌های امنیت سایبری را افشا کنند:

• در صورتی که موارد یادشده از جمله مهم‌ترین عوامل تاثیرگذار بر ریسک یک سرمایه‌گذاری باشند.

• در مواردی که حملات یادشده پیامدهای مادی بر وضعیت مالی شرکت داشته باشند.

• در مواردی که حملات یادشده روی خدمات، محصولات، شرایط رقابتی و روابط با تامین‌کنندگان و مشتریان تاثیرگذار باشند.

• در مورد برخی وظایف که نیازمند برون‌سپاری بوده به همراه توضیحاتی درباره وظایف یادشده و اینکه شرکت‌ چگونه می‌تواند ریسک‌های یادشده را کاهش دهد.

• در مواردی که حملات یادشده منجر به طرح دعوی قضایی توسط شرکت شده باشد.

• در مواردی که تهدیدات یادشده باعث ایجاد اختلال در افشای دیگر گزارش‌ها شود.

در همین راستا، به تازگی شرکت‌های مختلفی اقدام به افشای اطلاعات مرتبط با امنیت سایبری خود کرده‌اند که برخی از آنها به شرح زیر است:

• شرکت Citigroup در گزارشی که در اول ماه مارس ۲۰۱۳ ارائه داده افشا کرد که این شرکت در معرض ریسک فزاینده حملات سایبری بوده و احتمالا در آینده نیز خواهد بود.

• موسسه Goldman Sachs Group نیز در اول ماه مارس ۲۰۱۳ افشا کرد که این شرکت به صورت مستمر مورد حملات سایبری قراردارد.

• در اوخر ماه فوریه ۲۰۱۳ بانک آمریکا افشا کرد که سیستم‌ها، شبکه‌ها و رایانه‌های مشتریان این بانک در معرض حملات سایبری، ویروس‌های رایانه‌ای، کدهای مخرب، کلاهبرداری اینترنتی یا نفوذ اطلاعاتی بوده‌اند.

• در ۲۸ فوریه ۲۰۱۳ موسسه JPMorgan Chase & Co اظهار کرد که از سوی طرف‌های ثالث مجهز به فناوری‌های پیچیده هدف حملات سایبری قرار گرفته است.

در نهایت اینکه، بسیاری از نهادهای ناظر در حال تهیه و تصویب مقررات سخت‌گیرانه در مورد شرکت‌های تحت نظارت خود به منظور رعایت نیازمندی‌های امنیتی هستند تا از وقوع حملات گسترده احتمالی پیشگیری کنند.

۵. پیش‌بینی و تجزیه و تحلیل آگاهانه تهدیدات، سبب مدیریت موثر ریسک خواهد شد.

یکی از دلایل افزایش روزافزون تهدیدات امنیتی این است که بیشتر شرکت‌ها تا زمان رخ دادن یک حمله سایبری به آن بی‌توجه بوده و زمانی که مورد تهاجم واقع شدند، درصدد ارزیابی میزان خسارت و جبران آنها برمی‌آیند. این در حالی است که تغییر رویه از این رویکرد واکنش‌محور به یک رویکرد مبتنی بر پیش‌بینی و تحلیل به سازمان کمک می‌کند تهدیدات را پیش‌بینی کرده و عملیات دفاعی مناسب قبل از وقوع یک حمله را به کارگیرد. تمرکز بر شناسایی ریسک‌های منحصر به هر کسب و کار و همچنین مبارزه با تهدیدات بالقوه واقعی که بر ریسک‌های مهم‌تر توجه دارد، بسیار موثرتر از تلاش دفاعی در مقابل همه تهدیدات ممکن است. برای این منظور، شرکت‌های خدمات مالی باید به منظور تعیین حمله‌کننده‌ها و چگونگی حمله، اقدام به استخدام افرادی کنند که توانایی پیش‌بینی و تجزیه و تحلیل تهدیدات را دارند. در همین راستا، شرکت‌‌هایی وجود دارند که سرویس‌های هوشمندی در این زمینه ارائه می‌کنند. این سرویس‌ها از تمام اطلاعات متن‌باز قابل دسترسی برای ارائه تحلیل‌های پیش‌بینانه، اولویت‌بندی و پیشگیری از رخ‌دادن حملات استفاده می‌کنند. به عنوان نمونه می‌توان از سرویس‌های تجزیه و تحلیل آگاهانه Cyber۴Sight نام برد که توسط شرکت Booz Allen Hamilton ارائه می‌شود. این شرکت از یک پایگاه دانشی شامل داده‌های بیش از سیصد میلیون نقطه دسترسی برای تحلیل لحظه‌ای تهدیدات و حملات احتمالی بهره می‌برد.

علاوه بر این می‌توان در راستای پیاده‌سازی چارچوب مدیریت ریسک سازمان و مدیریت ریسک‌های فناوری اطلاعات، فرآیندهای تکرارپذیر و مستندسازی شده‌ مربوط به مدیریت ریسک‌های سایبری را اجرا کرد. بسیاری از سازمان‌ها به منظور افزایش آگاهی عمومی و پشتیبانی برای کاهش تهدیدات سایبری، اطلاعات سایبری را با کارمندان دیگر بخش‌های کسب و کار به اشتراک می‌گذارند.

۶. مدیریت ریسک تامین‌کنندگان، برای شرکت‌های دریافت‌کننده خدمات و محصولات آنها حائز اهمیت است.

بیشتر شرکت‌ها بسیاری از فناوری‌ها و خدمات مورد نیاز خود را از تامین‌کنندگان خریداری می‌کنند. بنابراین، آسیب‌پذیر بودن تامین‌کنندگان، آسیب‌پذیری شرکت‌های دریافت‌کننده خدمات و محصولات آنها را به دنبال خواهد داشت. به همین دلیل، بذل توجه بیشتر به الزامات امنیتی تامین‌کنندگان و ارزیابی ریسک‌های مربوط به خدمات و محصولات طرف‌های ثالث ضرورت دارد.

به این منظور موسسات و شرکت‌ها باید بر روی عرضه‌کنندگان و تامین‌کنندگان محصولات نرم‌افزاری و غیرنرم‌افزاری که دارای روابط مهم و کلیدی با سازمان هستند متمرکز شده و بر آنها نظارت کافی داشته باشند. عرضه‌کنندگان و تامین‌کنندگانی، مهم و کلیدی تلقی می‌‌‌شوند که روابط بانکی و مالی جدیدی را با سازمان پایه‌ریزی کرده‌اند؛ روابط با آنها تاثیرات زیادی بر سود یا هزینه سازمان دارد؛ عملیات کلیدی و حساسی مانند ذخیره، دسترسی، انتقال یا انجام تراکنش‌هایی بر روی داده‌های حساس مشتریان را بر عهده داشته یا اینکه تامین‌کننده مورد نظر شرکت را در معرض ریسک‌هایی قرار ‌دهد که ممکن است منجر به از دست رفتن درآمد یا سرمایه زیادی شود.

این نظارت باید از طریق بررسی گزارش سالانه یا ۶ ماهه عملکرد تامین‌کنندگان و عرضه‌کنندگان محصولات توسط هیات مدیره سازمان و ایجاد اطمینان از همراستایی عملکرد تامین‌کنندگان با دغدغه‌های امنیتی سازمان اعمال شود.

۷. ریسک سایبری موضوعی در سطح مدیریت ارشد است.

با گسترش استفاده از فناوری‌های تلفن همراه و رسانه‌های اجتماعی، هر روزه اطلاعات، اسناد و مدارک قانونی، ارتباط با مشتریان و کارمندان و ... بیشتر و بیشتر الکترونیکی می‌شوند. در چنین شرایطی تدوین یک برنامه جامع برای کنترل ریسک‌های سایبری در تمامی سطوح سازمان ضرورت دارد. این امر مستلزم مشارکت هیات مدیره موسسات مالی با ارائه‌دهندگان تکنولوژی، به منظور ایجاد و پذیرش فرهنگ مبتنی بر تحول‌پذیری ریسک‌ها است.

به این منظور، مدیریت ارشد سازمان باید با همکاری مدیریت اجرایی شاخص‌های کلیدی کارآیی را که برای ارزیابی و پایش تهدیدات سایبری کارآمد هستند استخراج کنند. مدیریت اجرایی مسوولیت پیاده‌سازی و نگهداری زیرساخت ریسک (افراد، فرآیندها و فناوری) که برای مدیریت و پایش موثر تهدیدات لازم هستند، عهده‌دار می‌شود. همچنین، واحدهای کسب و کار و پشتیبانی فعالیت‌های مربوط به مدیریت و پایش را انجام داده و به موازات، وظایف کارکنان و مسوولیت آنها در قبال امنیت اطلاعات به صورت شفاف از طریق آموزش و ایجاد انگیزه‌های لازم برای آنها مشخص خواهد شد.

۸. شرکت‌ها باید شبکه‌های بدون مرز را بپذیرند.

امروزه به دلیل صرفه‌جویی‌های اقتصادی تکنولوژی‌هایی از قبیل رایانش ابری، رسانه‌های اجتماعی و موبایل، نمی‌توان آنها را نادیده گرفت. متخصصین ریسک و امنیت باید ضمن پذیرفتن این واقعیت که گستردگی و توسعه شبکه شرکت‌ها فراتر از کنترل آنهاست، بیش از پیش نسبت به استفاده بهینه از این فناوری‌ها اقدام کنند. به عنوان مثال در مورد رایانش ابری که یک نمونه از شبکه‌های بدون مرز محسوب می‌شود، در آغاز نگرانی‌های فراوانی در مورد امنیت این‌گونه شبکه‌ها وجود داشت، اما تحقیقات صورت گرفته توسط مایکروسافت نشان داد که بیش از ۳۵ درصد از شرکت‌های کوچک و متوسط در آمریکا با استفاده از رایانش ابری به سطح بالاتری از امنیت دست یافته‌اند. علاوه بر آن بیش از ۳۲ درصد از شرکت‌های یادشده اذعان داشته‌اند که زمان کمتری را به نگرانی‌های مربوط به حملات سایبری اختصاص داده و همچنین در مقایسه با شرکت‌هایی که از رایانش ابری استفاده نمی‌کنند، ۳۲ درصد کمتر برای مدیریت مسائل مربوط به امنیت زمان صرف کرده‌اند. علاوه بر این، در این شرکت‌ها احتمال کاهش هزینه‌های امنیتی نسبت به دیگر شرکت‌ها تا ۵ برابر تخمین زده شده است. از سوی دیگر، مدیریت و کنترل ریسک نیز به گونه‌ای در حال تکامل است که انتقال ایمن داده‌ها از طریق این شبکه‌ها و همچنین افزایش آگاهی کارکنان در خصوص مسوولیت‌های ایمنی داده به منظور محافظت بهتر در برابر حملات سایبری را مدنظر قرار دهد.

۹. شناسایی و مدیریت دسترسی، در حال تبدیل به یک کلید کنترل در حوزه امنیت است. غالبا عوامل تهدید‌کننده، استراتژی‌های سرقت یا کلاهبرداری‌های اینترنتی و سایر حملات مهندسی اجتماعی را به عنوان یک روش موثر برای نفوذ به هر شبکه به کار می‌گیرند. اگرچه اطمینان از هویت واقعی یک فرد مجاز، یک نکته کلیدی برای همه شرکت‌ها محسوب می‌شود، اما موسسات فعال در حوزه مالی باید به این موضوع توجه بیشتری داشته باشند. بیشتر عوامل تهدید‌کننده برای غیرقابل تشخیص بودن فعالیت مخربشان، از طریق دستیابی به مجوزهای معتبر کارکنان آن مجموعه، به شبکه‌ها و اطلاعات دسترسی می‌یابند. از این‌رو شرکت‌ها باید به منظور حصول اطمینان از اینکه کاربر شناسایی شده، واقعا همان کاربر مجاز است یا خیر و همچنین ردیابی فعالیت غیرمعمول یک کاربر برای دسترسی غیرمجاز، سرمایه‌گذاری‌های هنگفتی کنند.

۱۰. صنعت خدمات مالی بیش از پیش بر ارزیابی اقدامات سایبری سایر رقبا تاکید دارد.

روند سرمایه‌گذاری شرکت‌های فعال در حوزه مالی برای حفظ دارایی‌های اطلاعاتی شتاب فزاینده‌ای یافته است. صنعت خدمات مالی با هدف بهینه کردن مدیریت ریسک سایبری، درصدد پایش و ارزیابی اقدامات و عملکرد همتایان و رقبا در حوزه امنیت سایبری است. این ارزیابی از ابعاد مختلف مانند هزینه، افراد، فرآیندها و تکنولوژی تخصیص داده شده به موضوع امنیت قابل انجام است. به این ترتیب، شرکت‌ها می‌توانند وضعیت امنیتی خود را در مقایسه با دیگر همتایان ارزیابی کرده و تصمیمات آگاهانه‌تری در خصوص مدیریت ریسک سایبری اتخاذ کنند.

منابع در دنیای اقتصاد موجود است

*واحد تحقیق و توسعه مدیریت فناوری اطلاعات سازمان بورس و اوراق بهادار