حلقه مفقوده در هک شبکه بانکی

دکتر وحید نوبهار* حوادث مرتبط با هک و نقض امنیت در شبکه بانکی زنگ خطر جدی برای امنیت اقتصادی و اعتماد عمومی جامعه محسوب شده و نشان می‌دهدکه زیرساخت‌های امنیت سایبری در نظام مالی کشور با چالش‌های مزمن مواجه است. نخست باید پذیرفت که ساختار دفاع سایبری شبکه بانکی اغلب بر محور اقدامات واکنشی متمرکز بوده و همچنان به‌جای استقرار چرخه کامل امنیت پیشگیرانه، پایش آنی و پاسخ فوری، بر سامانه‌های سنتی و راهکارهای مقطعی اتکا دارند. اما مساله قابل‌توجه که اینجا اشاره می‌شود عدم توسعه بیمه سایبری در کشور بوده که حفره بزرگ در زنجیره تاب‌آوری مالی ایجاد کرده است.

بیمه سایبری علاوه بر پوشش مالی برای جبران خسارات، بخش مهمی از نظام مدیریت ریسک ملی به شمار می‌آید. شرکت‌های بیمه گر در تعامل با نهادهای ناظر و متخصصان امنیت اطلاعات، با بررسی وضعیت دفاعی دیجیتال در واقع نقش ناظران غیررسمی و انگیزه‌دهنده به ارتقای استانداردهای امنیتی را ایفا می‌کنند تا از خسارات کلان در آینده جلوگیری کنند. از آنجا که بیمه سایبری در کشور توسعه‌نیافته و حتی در ویترین‌های نمایشی محصولات نوین بیمه‌ای هم قرار نگرفته، لذا هیچ فشار و الزامی برای شبکه بانکی به منظور ارتقای مستمر امنیت موجود نیست و هزینه شکست‌های امنیت سایبری بر دوش مشتریان و اقتصاد ملی می‌افتد. این خلأ موجب می‌شود آسیب‌پذیری به‌جای مدیریت، پنهان شود.

همچنین باید تاکید کرد که بدون بیمه سایبری نمی توان هزینه واقعی حملات را سنجید. هنگامی که پیامدهای مالی افشاء، باج‌افزار یا از کار افتادن سامانه‌های کلیدی به‌درستی محاسبه و انتقال ریسک نمی‌یابد، تصمیم‌گیران ارشد نیز انگیزه کافی برای سرمایه‌گذاری در امنیت ابری، رمزنگاری پیشرفته یا سامانه‌های رفتار کاوی ندارند. این چرخه موجب می‌شود تهدیدهای نوین از حملات مبتنی بر مهندسی اجتماعی تا نفوذ به سامانه‌های API مالی همچنان در سطح پایین از اولویت قرار گیرد.

فقدان شفافیت اطلاع‌رسانی بُعد دیگر ماجراست. در هر حادثه سایبری بانکی، انتشار محدود اطلاعات و تکرار کلماتی همچون بدون خسارت مالی یا در حال بررسی، فضایی از بی‌اعتمادی عمومی ایجاد می‌کند. اطلاع‌رسانی سریع، دقیق و همراه با گزارش قابل اعتماد از منشأ حمله و اقدامات اصلاحی، اصلی‌ترین رکن بازسازی اعتماد مشتری محسوب می‌شود. در آن سو و با عدم این شفافیت، شایعات جای تحلیل را گرفته و آسیب روانی به برند بانکی حتی از خسارت فنی بیشتر است. باید گفت که پیشبرد تحول دیجیتال در نظام بانکی بدون امنیت سایبری، همانند ساخت بزرگراهی بدون نرده ایمنی است. امروز ضرورت دارد بانک مرکزی، نهاد ناظر بازار سرمایه و بیمه مرکزی به‌صورت هماهنگ الگو و قالب جامعی برای حاکمیت امنیت اطلاعات، گزارش‌دهی رخدادهای سایبری و توسعه بازار بیمه سایبری تدوین کنند. ورود واقعی شرکت‌های بیمه گر به این عرصه بجای اقدامات نمایشی نیز مستلزم اصلاح مقررات، تبیین نرخ‌گذاری مبتنی بر سطح ریسک و ایجاد بانک اطلاعاتی مشترک از رخدادهاست. باید تاکید کرد اگرچه هیچ سیستمی از خطر نفوذ در امان نیست، اما تفاوت میان نظام مالی امن و ناامن در چگونگی مدیریت حادثه نهفته است. هنگامی اعتماد اجتماعی و پایداری زیرساخت‌های بانکی احیا خواهد شد که امنیت سایبری از یک دغدغه فنی به یک اولویت ملی تبدیل شده و بیمه سایبری جایگاه خود را در کنار شبکه بانکی و دولت پیدا کند. تا آن زمان حملات سایبری فقط هشدار دوباره‌ای خواهد بود از اینکه فقدان بیمه سایبری در اقتصاد دیجیتال بزرگ‌ترین آسیب‌پذیری است.

* عضو رسمی انجمن بین‌المللی بیمه گران مهندسی