10رویکرد امنیتی برتر سال 2013 در حوزه خدمات مالی
منبع: روزنامه دنیای اقتصاد
طاهره منزوی*
کمال الدین یعقوبی رفیع*
فهیمه شریف*
پیشرفت فناوریهای اطلاعاتی از یک سو و حساسیت، دقت و سرعت لازم برای انجام عملیات مالی از سوی دیگر سبب وابستگی زیاد صنایع و حوزههای مرتبط با خدمات مالی نظیر بانکها و بازار سرمایه به سیستمهای اطلاعاتی رایانهای شده است. امروزه تمام اطلاعات مربوط به حسابها، مشتریان و معاملات در این سیستمها ذخیره شده و تمام تراکنشها از طریق سیستمهای يادشده پیگیری میشوند.
این پیشرفتها اگرچه باعث رشدی شگرف در این حوزه شده اما از سوی دیگر، آسیبپذیری را نیز افزایش داده و امکان حملات سایبری و سوءاستفاده افراد متخلف برای نفوذ به سیستم را فراهم كرده است. اوج چنین حملاتی را میتوان در سال 2012 دانست که حملات سایبری در سراسر جهان موجب سرقت و سوءاستفاده از اقلام اطلاعاتی بسیار زیادی شده به گونهای که خسارت ناشی از آن چند برابر خسارات وارده در مدت مشابه سال قبل ارزیابی شد.
نکته جالب توجه آن که در این میان، سهم صنایع مربوط به خدمات مالی بسیار بیشتر از سایر صنایع بوده و با ادامه این روند پیشبینی میشود که میزان حملات سایبری از تروریسم نیز پیشی گرفته و به مخربترین پدیده قرن حاضر بدل شود. هدف این حملات سایبری بسیار متفاوت بوده و ممکن است شامل مواردی مانند سرقت اطلاعات مالی، داراییهای اطلاعاتی و دانشی یا اطلاعات حساس مربوط به اعضاي مشتریان یا شرکای تجاری باشد. در چنین شرایطی و از آنجا که موفقیت هر کسب و کاری در هر صنعتی وابسته به اطلاعات درست و بدون نقص است، برای شرکتهای فعال در صنعت خدمات مالی نیز موضوع امنیت داده و امنیت سایبری از اهمیت بالایی برخوردار است.
از این رو به منظور مقابله با تهدیدات مخرب روزانه دولتها، ملتها و اشخاص، نظارت همه جانبه بر تهدیدات موجود، شناسایی تهدیدات موجود، اولویتبندی و نظارت همه جانبه آنها ضرورت دارد. به همین دلیل در ماههای اخیر تلاشهای زیادی در جهت تدوین رویکردهای مشخص برای بهبود وضعیت امنیت سایبری، به ویژه در حوزه مالی صورت گرفته است. در تحقیق حاضر سعی شده 10 مورد از رویکردهای برتر سال 2013 در حوزه امنیت سایبری در صنایع مرتبط با خدمات مالی مورد تحلیل و بررسی قرار گیرند.
1. نگهداری و حفاظت از اطلاعات کسبوکار، تنها یک مساله تکنیکال و نرمافزاری نیست.
برای محافظت از اطلاعات کسب و کار، تنها ایجاد یک تکنولوژی جدید کافی نیست. امروزه کسب و کارها باید نه تنها بر استفاده صحیح از فناوری تاکید کنند، بلکه لازم است روی افراد و مدیریت صحیح فرآیندهای جاری بین سازمانی نیز سرمایهگذاری كنند. موثر بودن یک تکنولوژی جدید تنها زمانی نمایان میشود که این تکنولوژی به طور صحیح توسط کارکنان ماهر مورد استفاده قرار گیرد.
بنابر تحقیقاتی که به تازگي انجام شده، بسیاری از سازمانها بر این باورند که ابزارهای کنترلی آنها در پایش کارکنان سازمان و دیگر افرادی که به اسناد محرمانه دسترسی دارند، ناکارآمد هستند. در بیشتر مواقع، سهلانگاری کاربرانی که به اطلاعات دسترسی دارند دلیل اصلی از دست رفتن اطلاعات است. برای مثال، ممکن است کارمندی ایمیلی حاوی یک کد مخرب را باز کند، اطلاعات محرمانه را از طریق ایمیل ارسال کرده یا به یک وبسایت مخرب متصل شود. این موارد همگی نمونههایی هستند که نشان دهنده نقش مهم عامل انسانی در از دست رفتن داده و اطلاعات بوده و بیانگر این واقعیت است که پیش از آنکه فناوری بخواهد تغییر عمدهای در وضعیت امنیتی ایجاد کند، باید این عامل تحت کنترل قرار گیرد. همچنین، اتخاذ سیاستهای مناسب امنیتی برای استفاده از دادهها و ایجاد فرآیندها و رویههایی برای انتقال امن داده نیز از جمله مواردی است که باید مورد توجه قرار گیرد.
2. حملات با هدف ایجاد اختلال در دادهها میتواند منجر به تخریب داده شود.
در حقیقت نگرانی اصلی در میان متخصصان ریسک و امنیت، پتانسیل موجود در تخریب داده توسط عوامل تهدیدکننده است. با گذشت زمان، صنعت خدمات مالی با تهدیداتی مواجه خواهد شد که در آن افراد به منظور رسیدن به خواستههای خود یا اثبات اثربخشی خود، از فضای سایبری به عنوان سلاحهای اختلال جمعی استفاده كرده و سبب ایجاد اختلال در فعالیتهای کسبوکار و تخریب دادهها میشوند. از سوی دیگر، بسیاری از افراد یا گروههایی که قصد اختلال در عملیات کسبوکار به منظور بیان خواسته یا اعتراضی دارند، نیز ممکن است در آینده از تخریب دادهها استفاده كرده تا از تاثیرگذاری عملیات مخرب خود مطمئن شوند.
3. دولتها و عوامل تهدیدکننده رو به پیچیدگی بیشتر هستند.
امروزه، کسب و کارها با عوامل تهدید پیچیدهتری مانند دولتهای کوچکتر یا عناصر تروریستی (که قابلیتهایی مشابه دولتها دارند) مواجه میشوند. صنعت خدمات مالی بايد از همه تهدیدات به درستی آگاه بوده و چشمانداز صحیح و موثری نسبت به آنها داشته باشد. همچنین برحسب شرایط، افراد، تکنولوژی و فرآیندهای مناسب را جهت اطمینان از تداوم کسب و کار و مدیریت صحیح ریسک بهکار گیرد.
در این راستا وجود یک برنامه تداوم کسب و کار(BCP) برای تمام شرکتها و سازمانهایی که با دادههای حساس و محرمانه سروکار دارند ضرورت دارد. چنین برنامهای با شناسایی و ارزیابی تهدیدات داخلی و خارجی و سرمایههای نرمافزاری و سختافزاری، سازمان را در جهت فراهم كردن راهکارهای پیشگیری از تهدیدات و بازیابی، هماهنگ ميكند. این برنامه در واقع نقشه راهی برای تداوم عملیات سازمان در شرایط سخت مانند رخ دادن یک حمله سایبری، حمله فیزیکی به تاسیسات سازمان و غیره را فراهم میکند.
به دلیل آنکه حوزه مالی بیش از سایر حوزهها در معرض حملات سایبری است، تهیه برنامههای تداوم کسب و کار(BCP) نیز در این حوزه از اولویت بالاتری برخوردار بوده و نیازمند توجه بیشتر است.
4. تصویب قوانین امنیت سایبری بهبود استانداردهای ریسک سایبری را در پی خواهد داشت. در سالهای اخیر با توجه به رشد حملات سایبری، نیاز به قانونگذاری برای اقدامات امنیتی در حوزه سایبری بیش از پیش احساس میشود. برخی قوانین، نگرانی شرکتها را از به اشتراکگذاری اطلاعات، جرایم و حوادث سایبری کاهش میدهند. بهرغم اینکه بانکها پیش از این نیز اطلاعات خود را به اشتراک میگذاشتند، اما امروزه براي انجام فعالیتهای خود نیاز بیشتری به قوانین و استانداردهای محافظت از محیط سایبری دارند. دولت بايد به نقض قوانین امنیت سایبری در بانک، بورس یا هر نهاد موثر دیگر به عنوان بخشی از زیرساختهای حیاتی کشور، توجهی ویژه معطوف دارد.
در این راستا در کشورهای مختلف قوانینی در رابطه با امنیت سایبری تصویب شده و برای اخلالگران مجازاتهای شدیدی نیز در نظر گرفته شده است. البته قوانین مربوط به امنیت متنوع بوده و معمولا هر یک از آنها بر روی جنبه خاصی از امنیت تمرکز دارد که به عنوان نمونه میتوان به قوانین مربوط به محافظت داده ، قوانین مربوط به سوءاستفاده رایانهای و مقررات مربوط به تحقیق و تفحص در کشور انگلستان اشاره كرد.
همچنین، کمیسیون بورس و اوراق بهادار آمریکا در مواردی که ممکن است کاربران و مشتریان شرکتها دچار مشکل شد و یا خطر از دست رفتن اطلاعات وجود داشته باشد، شرکتهای تحت حوزه خود را به افشای ریسکهای امنیت سایبری توصیه كرده است. بهاین ترتیب هر شرکت، با بررسی وضعیت امنیت سایبری خود اطلاعاتی در زمینه امنیت سایبری که میتواند برای کاربران و مشتریان مهم باشد را افشا میکند. از آنجا که ممکن است افشای بسیاری از حقایق امنیتی ریسکهای دیگری را برای شرکتها به وجود آورده و راه سوءاستفاده را هموار سازد، کمیسیون بورس و اوراق بهادار آمریکا الزام و اجباری در افشای ریسکهای سایبری تعیین نکرده است.
با این وجود انتظار میرود شرکتها و موسسات مالی در موارد زیر، اطلاعات مربوط به ریسکهای امنیت سایبری را افشا كنند:
• در صورتی که موارد يادشده از جمله مهمترین عوامل تاثیرگذار بر ریسک یک سرمایهگذاری باشند.
• در مواردی که حملات يادشده پیامدهای مادی بر وضعیت مالی شرکت داشته باشند.
• در مواردی که حملات يادشده روی خدمات، محصولات، شرایط رقابتی و روابط با تامینکنندگان و مشتریان تاثیرگذار باشند.
• در مورد برخی وظایف که نیازمند برونسپاری بوده به همراه توضیحاتی درباره وظایف يادشده و اینکه شرکت چگونه میتواند ریسکهای یادشده را کاهش دهد.
• در مواردی که حملات يادشده منجر به طرح دعوی قضایی توسط شرکت شده باشد.
• در مواردی که تهدیدات يادشده باعث ایجاد اختلال در افشای دیگر گزارشها شود.
در همین راستا، به تازگي شرکتهای مختلفی اقدام به افشای اطلاعات مرتبط با امنیت سایبری خود كردهاند که برخی از آنها به شرح زیر است:
• شرکت Citigroupدر گزارشی که در اول ماه مارس 2013 ارائه داده افشا كرد که این شرکت در معرض ریسک فزاینده حملات سایبری بوده و احتمالا در آینده نیز خواهد بود.
• موسسه Goldman Sachs Groupنیز در اول ماه مارس 2013 افشا کرد که این شرکت به صورت مستمر مورد حملات سایبری قراردارد.
• در اوخر ماه فوریه 2013 بانک آمریکا افشا کرد که سیستمها، شبکهها و رایانههای مشتریان این بانک در معرض حملات سایبری، ویروسهای رایانهای، کدهای مخرب، کلاهبرداری اینترنتی یا نفوذ اطلاعاتی بودهاند.
• در 28 فوریه 2013 موسسه JPMorgan Chase & Coاظهار کرد که از سوی طرفهای ثالث مجهز به فناوریهای پیچیده هدف حملات سایبری قرار گرفته است.
در نهايت اینکه، بسیاری از نهادهای ناظر در حال تهیه و تصویب مقررات سختگیرانه در مورد شرکتهای تحت نظارت خود به منظور رعایت نیازمندیهای امنیتی هستند تا از وقوع حملات گسترده احتمالی پیشگیری كنند.
5. پیشبینی و تجزیه و تحلیل آگاهانه تهدیدات، سبب مدیریت موثر ریسک خواهد شد.
یکی از دلایل افزایش روزافزون تهدیدات امنیتی این است که بيشتر شرکتها تا زمان رخ دادن یک حمله سایبری به آن بیتوجه بوده و زمانی که مورد تهاجم واقع شدند، درصدد ارزیابی میزان خسارت و جبران آنها برمیآیند. این در حالی است که تغییر رویه از این رویکرد واکنشمحور به یک رویکرد مبتنی بر پیشبینی و تحلیل به سازمان کمک میکند تهدیدات را پیشبینی كرده و عملیات دفاعی مناسب قبل از وقوع یک حمله را به کارگیرد. تمرکز بر شناسایی ریسکهای منحصر به هر کسب و کار و همچنین مبارزه با تهدیدات بالقوه واقعی که بر ریسکهای مهمتر توجه دارد، بسیار موثرتر از تلاش دفاعی در مقابل همه تهدیدات ممکن است. برای این منظور، شرکتهای خدمات مالی بايد به منظور تعیین حملهکنندهها و چگونگی حمله، اقدام به استخدام افرادی كنند که توانایی پیشبینی و تجزیه و تحلیل تهدیدات را دارند. در همین راستا، شرکتهایی وجود دارند که سرویسهای هوشمندی در این زمینه ارائه میکنند. این سرویسها از تمام اطلاعات متنباز قابل دسترسی برای ارائه تحلیلهای پیشبینانه، اولویتبندی و پیشگیری از رخدادن حملات استفاده میکنند. به عنوان نمونه میتوان از سرویسهای تجزیه و تحلیل آگاهانه Cyber4Sightنام برد که توسط شرکت Booz Allen Hamiltonارائه میشود. این شرکت از یک پایگاه دانشی شامل دادههای بیش از سیصد میلیون نقطه دسترسی برای تحلیل لحظهای تهدیدات و حملات احتمالی بهره میبرد.
علاوه بر این میتوان در راستای پیادهسازی چارچوب مدیریت ریسک سازمان و مدیریت ریسکهای فناوری اطلاعات، فرآیندهای تکرارپذیر و مستندسازی شده مربوط به مدیریت ریسکهای سایبری را اجرا كرد. بسیاری از سازمانها به منظور افزایش آگاهی عمومی و پشتیبانی برای کاهش تهدیدات سایبری، اطلاعات سایبری را با کارمندان دیگر بخشهای کسب و کار به اشتراک میگذارند.
6. مدیریت ریسک تامینکنندگان، برای شرکتهای دریافتکننده خدمات و محصولات آنها حائز اهمیت است.
بيشتر شرکتها بسیاری از فناوریها و خدمات مورد نیاز خود را از تامینکنندگان خریداری ميكنند. بنابراین، آسیبپذیر بودن تامینکنندگان، آسیبپذیری شرکتهای دریافتکننده خدمات و محصولات آنها را به دنبال خواهد داشت. به همین دلیل، بذل توجه بیشتر به الزامات امنیتی تامینکنندگان و ارزیابی ریسکهای مربوط به خدمات و محصولات طرفهای ثالث ضرورت دارد.
به اين منظور موسسات و شرکتها باید بر روی عرضهکنندگان و تامینکنندگان محصولات نرمافزاری و غیرنرمافزاری که دارای روابط مهم و کلیدی با سازمان هستند متمرکز شده و بر آنها نظارت کافی داشته باشند. عرضهکنندگان و تامینکنندگانی، مهم و کلیدی تلقی میشوند که روابط بانکی و مالی جدیدی را با سازمان پایهریزی کردهاند؛ روابط با آنها تاثیرات زیادی بر سود یا هزینه سازمان دارد؛ عملیات کلیدی و حساسی مانند ذخیره، دسترسی، انتقال یا انجام تراکنشهایی بر روی دادههای حساس مشتریان را بر عهده داشته یا اینکه تامینکننده مورد نظر شرکت را در معرض ریسکهایی قرار دهد که ممکن است منجر به از دست رفتن درآمد یا سرمایه زیادی شود.
این نظارت باید از طریق بررسی گزارش سالانه یا 6 ماهه عملکرد تامینکنندگان و عرضهکنندگان محصولات توسط هیات مدیره سازمان و ایجاد اطمینان از همراستایی عملکرد تامینکنندگان با دغدغههای امنیتی سازمان اعمال شود.
7. ریسک سایبری موضوعی در سطح مدیریت ارشد است.
با گسترش استفاده از فناوریهای تلفن همراه و رسانههای اجتماعی، هر روزه اطلاعات، اسناد و مدارک قانونی، ارتباط با مشتریان و کارمندان و ... بیشتر و بیشتر الکترونیکی میشوند. در چنین شرایطی تدوین یک برنامه جامع برای کنترل ریسکهای سایبری در تمامی سطوح سازمان ضرورت دارد. این امر مستلزم مشارکت هیات مدیره موسسات مالی با ارائهدهندگان تکنولوژی، به منظور ایجاد و پذیرش فرهنگ مبتنی بر تحولپذیری ریسکها است.
به این منظور، مدیریت ارشد سازمان بايد با همکاری مدیریت اجرایی شاخصهای کلیدی کارآیی را که برای ارزیابی و پایش تهدیدات سایبری کارآمد هستند استخراج كنند. مدیریت اجرایی مسوولیت پیادهسازی و نگهداری زیرساخت ریسک (افراد، فرآیندها و فناوری) که برای مدیریت و پایش موثر تهدیدات لازم هستند، عهدهدار میشود. همچنین، واحدهای کسب و کار و پشتیبانی فعالیتهای مربوط به مدیریت و پایش را انجام داده و به موازات، وظایف کارکنان و مسوولیت آنها در قبال امنیت اطلاعات به صورت شفاف از طریق آموزش و ایجاد انگیزههای لازم برای آنها مشخص خواهد شد.
8. شرکتها بايد شبکههای بدون مرز را بپذیرند.
امروزه به دلیل صرفهجوییهای اقتصادی تکنولوژیهایی از قبیل رایانش ابری، رسانههای اجتماعی و موبایل، نمیتوان آنها را نادیده گرفت. متخصصین ریسک و امنیت باید ضمن پذیرفتن این واقعیت که گستردگی و توسعه شبکه شرکتها فراتر از کنترل آنهاست، بیش از پیش نسبت به استفاده بهینه از این فناوریها اقدام كنند. به عنوان مثال در مورد رایانش ابری که یک نمونه از شبکههای بدون مرز محسوب میشود، در آغاز نگرانیهای فراوانی در مورد امنیت اینگونه شبکهها وجود داشت، اما تحقیقات صورت گرفته توسط مایکروسافت نشان داد که بیش از 35 درصد از شرکتهای کوچک و متوسط در آمریکا با استفاده از رایانش ابری به سطح بالاتری از امنیت دست یافتهاند. علاوه بر آن بیش از 32 درصد از شرکتهای يادشده اذعان داشتهاند که زمان کمتری را به نگرانیهای مربوط به حملات سایبری اختصاص داده و همچنین در مقایسه با شرکتهایی که از رایانش ابری استفاده نمیکنند، 32 درصد کمتر برای مدیریت مسائل مربوط به امنیت زمان صرف كردهاند. علاوه بر این، در این شرکتها احتمال کاهش هزینههای امنیتی نسبت به دیگر شرکتها تا 5 برابر تخمین زده شده است. از سوی دیگر، مدیریت و کنترل ریسک نیز به گونهای در حال تکامل است که انتقال ایمن دادهها از طریق این شبکهها و همچنین افزایش آگاهی کارکنان در خصوص مسوولیتهای ایمنی داده به منظور محافظت بهتر در برابر حملات سایبری را مدنظر قرار دهد.
9. شناسایی و مدیریت دسترسی، در حال تبدیل به یک کلید کنترل در حوزه امنیت است. غالبا عوامل تهدیدکننده، استراتژیهای سرقت یا کلاهبرداریهای اینترنتی و سایر حملات مهندسی اجتماعی را به عنوان یک روش موثر براي نفوذ به هر شبکه به کار میگیرند. اگرچه اطمینان از هویت واقعی یک فرد مجاز، یک نکته کلیدی برای همه شرکتها محسوب میشود، اما موسسات فعال در حوزه مالی باید به این موضوع توجه بیشتری داشته باشند. بيشتر عوامل تهدیدکننده برای غیرقابل تشخیص بودن فعالیت مخربشان، از طریق دستیابی به مجوزهای معتبر کارکنان آن مجموعه، به شبکهها و اطلاعات دسترسی مییابند. از اینرو شرکتها بايد به منظور حصول اطمینان از اینکه کاربر شناسایی شده، واقعا همان کاربر مجاز است یا خیر و همچنین ردیابی فعالیت غیرمعمول یک کاربر براي دسترسی غیرمجاز، سرمایهگذاریهای هنگفتی كنند.
10. صنعت خدمات مالی بیش از پیش بر ارزیابی اقدامات سایبری سایر رقبا تاکید دارد.
روند سرمایهگذاری شرکتهای فعال در حوزه مالی برای حفظ داراییهای اطلاعاتی شتاب فزایندهای یافته است. صنعت خدمات مالی با هدف بهینه کردن مدیریت ریسک سایبری، درصدد پایش و ارزیابی اقدامات و عملکرد همتایان و رقبا در حوزه امنیت سایبری است. این ارزیابی از ابعاد مختلف مانند هزینه، افراد، فرآیندها و تکنولوژی تخصیص داده شده به موضوع امنیت قابل انجام است. به این ترتیب، شرکتها میتوانند وضعیت امنیتی خود را در مقایسه با دیگر همتایان ارزیابی كرده و تصمیمات آگاهانهتری در خصوص مدیریت ریسک سایبری اتخاذ كنند.
منابع در دنياي اقتصاد موجود است
*واحد تحقیق و توسعه مدیریت فناوری اطلاعات سازمان بورس و اوراق بهادار