بانک و بیمهپرداخت الکترونیک

۵ باور اشتباه در مورد امنیت سایبری بانک‌ها و موسسات مالی

 

جیمی دیمون (Jamie Dimon)، مدیرعامل جی‌پی‌مورگان چیس (JPMorgan Chase) در سال ۲۰۱۹ در نامه‌ای خطاب به سهامداران چنین نوشت: «تهدیدات امنیت سایبری می‌توانند به عنوان بزرگ‌ترین تهدیدات سیستم مالی در ایالات متحده آمریکا شناخته شوند.»

به گزارش پایگاه خبری آرمان اقتصادی و به نقل از راه پرداخت، تهدید امنیت سایبری بانک‌ها اتفاق جدیدی برای بانکداران نیست. نتایج به دست آمده از مطالعه سالیانه انجام گرفته توسط گروه مشاوران کورنراستون (Cornerstone) با عنوان «در بانکداری چه خبر است؟» نشان می‌دهد که در چند سال گذشته، امنیت سایبری به یکی از نگرانی‌های اصلی بانک‌های سطح C و اتحادیه‌های اعتباری تبدیل شده است.

این بانک‌ها و اتحادیه‌های اعتباری، هزینه‌ زیادی را در راه ارتقای امنیت سایبری هزینه می‌کنند. براساس گزارش کسپرسکای لب (Kaspersky Lab)، شرکت‌های خدمات مالی به طور متوسط ۱۴۳۶ دلار به ازای هر کارمند در بخش امنیت سایبری هزینه می‌کنند. این مبلغ دو برابر مقداری است که دست‌اندرکاران صنعت خرده‌فروشی در این حوزه صرف می‌کنند.

با همه‌ این اوصاف، هنوز هیچ اجماع کلی در مورد امنیت سایبری بانک‌ها وجود ندارد. از همین رو در این مقاله قصد داریم به بررسی ۵ باور (و افسانه) نادرست در مورد امنیت سایبری بانک‌ها بپردازیم.

 

۵ باور اشتباه در مورد امنیت سایبری بانک‌ها

 

باور اشتباه ۱: امنیت سایبری به حوزه‌ فناوری اطلاعات مربوط می‌شود

دنیای کسب‌و‌کار امروزی با یک مشکل رایج و مشترک مواجه است: بسیاری از مدیران اجرایی ارشد بر این باورند که انتصاب یک مدیر اجرایی سطح C می‌تواند بر نظارت و حل یک چالش موثر واقع شود. اثبات این باور کار چندان دشواری نیست. برای مثال خود شما چند شرکت می‌شناسید که در آن‌ها افراد متخصصی در هر یک از حوزه‌ها تجزیه و تحلیل، هوش مصنوعی، برندینگ، مشتری، داده‌ها، دیجیتال‌سازی، تجربه، دانش و غیره مشغول به کار باشند؟

برخی از شرکت‌های آگاه و سطح بالا اقدام به استخدام یک فرد به عنوان متخصص ارشد امنیت اطلاعات (CISO) می‌کنند. اما در مقابل بسیاری از کسب‌و‌کارها بر این باورند که با استخدام تنها یک فرد (که همان مسئول فناوری و اطلاعات سازمان است) می‌توانند تمامی جوانب امنیت سایبری را تحت کنترل خود درآورند. درحالی که این مسئله به هیچ وجه صحت ندارد.

یکی از متخصصان ارشد امنیت اطلاعات بانک‌های بزرگ در این زمینه چنین می‌گوید: «هرچند که مسئولیت حفاظت از امنیت اطلاعات بانکی بر عهده‌ی من است، اما این تیم اجرایی و مدیران اجرایی هستند که باید در جهت مقابله با مشکلات جدید و روزمره‌ امنیت سایبری بانک‌ها تلاش کرده و با اقدامات موثر خود تهدیدها را بی‌اثر کنند.»

نفوذ بر داده‌ها و حملات سایبری نه فقط روی یک بخش از سازمان، بلکه بر کل مجموعه اثرگذار است. درنتیجه تصمیم‌گیری در خصوص چنین حملات و تهدیداتی نباید به تیم فناوری اطلاعات محدود شود. علاوه بر این، حفظ امنیت سایبری بانک‌ها مستلزم برقراری ارتباط با مشتریان سازمان و موسسه، کارمندان، شرکا و همچنین رسانه‌ها است. تیم و مدیران اجرایی باید در جهت تقویت واکنش‌های امنیتی سازمان تلاش کنند.

 

باور اشتباه ۲: جای نگرانی نیست، خطرات امنیت سایبری تنها شامل حال بانک‌های بزرگ می‌شود!

این باور و عقیده یه اشتباه به تمام معناست. براساس یک مطالعه صورت گرفته توسط نیشن‌واید (Nationwide) تقریبا نیمی (۴۷ درصد) از جنایات مرتبط با امنیت سایبری بانک‌ها در بین سال‌های ۲۰۱۲ و ۲۰۱۷ مربوط به بانک‌هایی با دارایی کمتر از ۱ میلیارد دلار می‌شدند. همچنین نتایج این مطالعه نشان می‌دهد که موسسات مالی با درآمد کمتر از ۳۵ میلیون دلار، حدود ۸۱ درصد از جرایم هک‌ها و بدافزارهای مخرب در سال ۲۰۱۶ را به خود اختصاص داده‌اند. این درحالی است که در سال ۲۰۱۵ این میزان حدود ۵۴ درصد بوده است.

یکی از متخصصان ارشد امنیت اطلاعات یک بانک‌ ۷۵۰ میلیون دلاری در این رابطه چنین می‌گوید: «ما در سیستم خود یک اقدام برای هک را کشف و شناسایی کردیم. بررسی‌های صورت گرفته نشان داد که هدف از آن، ایجاد اختلال در سیستم‌های پرداخت‌ فدرال رزرو و همچنین سایر بانک‌های کوچک بود.»

 

باور اشتباه ۳: با عملکرد خوب در زمینه‌ امنیت سایبری می‌توانیم از یک مزیت رقابتی برخوردار شویم

اگر شما نیز چنین اعتقادی دارید باید با کمال احترام به شما بگوییم که نه، شما نمی‌توانید! چنین باوری از جانب بانکداران از دو جهت می‌تواند ترسناک و نگران‌کننده باشد:

۱- حفظ امنیت سایبری بانک‌ها نه یک وجه تمایز، بلکه یک شرط اساسی است. بدون شک یک امنیت سایبری مناسب برای مصرف‌کنندگان بسیار حائز اهمیت و ارزشمند است؛ اما نباید به این مسئله به عنوان یک نقطه قوت رقابتی نگاه کرد. فراهم کردن چنین چیزی در واقع وظیفه یک بانک و موسسه مالی است؛ پس یک عملکرد عالی در مورد حفظ امنیت سایبری باعث جذب مشتریان بیشتر نخواهد شد.

۲- بانک‌ها نمی‌توانند یک عملکرد «عالی» در زمینه‌ی امنیت سایبری داشته باشند. تنها بانک‌های بسیار بزرگ از منابع کافی برای پیشبرد امنیت سایبری خود برخوردار هستند. با این وجود حتی چنین بانک‌هایی نیز گاهی در جلسات خصوصی اقرار می‌کنند که عملکردشان در حوزه‌ی امنیت سایبری به اندازه‌ی کافی خوب نیست. (هرچند که ممکن است از شنیدن چنین چیزی شوکه و حتی ناامید شوید!)

 

باور اشتباه ۴: یک طرح هویت دیجیتالی ملی باعث بهبود فضای امنیت سایبری بانک‌ها خواهد شد

متاسفانه این عقیده نیز نادرست است. برخی از دولت‌ها در سراسر جهان به صورت ابتکاری پروژه‌ شناسایی هویت شهروندان خود را راه‌اندازی کرده‌اند. با وجود این، چشم‌انداز طرح هویت دیجیتالی ایالات متحده آمریکا در مقایسه با کشورهای دیگر، در کوتاه‌مدت ضعیف به نظر می‌رسد.

اوضاع سیاسی امروز باعث شده تا فضا برای حرکت به سمت هویت ملی چندان مساعد نباشد. به عقیده‌ی بسیاری از افراد، این طرح به عنوان ابزاری برای محدود کردن مهاجرت‌ها و همچنین شناسایی مهاجران غیرقانونی مورد استفاده قرار می‌گیرد. علاوه بر این به نظر می‌رسد که راه‌اندازی یک سیستم شناسایی دولتی برای کشورهای مختلف به عنوان یک اولویت برتر محسوب نشود.

از این رو خود بانک‌ها دست به کار شدند تا به عنوان ارائه‌دهنده‌ هویت دیجیتالی وارد این عرصه شوند. در یکی از کنفرانس‌های بانکداری اخیر پنلی به بحث و گفت‌و‌گو در خصوص هویت دیجیتال اختصاص یافت. سخنگوی این پنل از ۶۰ بانکدار حاضر در جمع درخواست کرد در صورتی که به عنوان یک مشتری حاضر به ثبت‌نام برای استفاده از خدمات هویت دیجیتالی بانکی خود آن‌ها هستند، دست خود را بالا بیاورند. در نهایت تنها ۴ بانکدار از میان جمع دست خود را بالا آوردند!

این مسئله ممکن است برای بانک‌هایی که به دنبال ارائه‌ خدمات هویت دیجیتالی هستند خبر خوبی نباشد، اما گفتگوهای مطرح شده در مورد طرح هویت دیجیتالی ارائه شده توسط بانک‌ها، همانند نظرسنجی محدودی که از بانکداران انجام شد، اغلب به نتایجی ناامیدکننده منتج شده‌اند.

 

باور اشتباه ۵: تا زمانی که تست‌های سالیانه را با موفقیت بگذرانیم، مشکلی به وجود نخواهد آمد

چنین چیزی صحت ندارد. در کنفرانس اخیر یکی از حضار سوال جالبی مطرح کرد: «آیا رگولاتورها می‌توانند با تغییرات فناوری هماهنگ و سازگار باشند؟» متاسفانه جواب این سوال «خیر» است. رسانه‌ها و موسسات تحقیقاتی بسیاری نیز این نظر را تایید می‌کنند که در ادامه چند نمونه از آن‌ها را بیان می‌کنیم:

«قانون و اصول اخلاقی نمی‌توانند پا به پای فناوری حرکت کنند.» -مجله MIT Technology

«قانون حفاظت از داده‌ها در خطر عقب ماندن از تغییرات فناوری است.» -گاردین

«قانون نمی‌تواند با فناوری‌های جدید هماهنگ شود.» -انجمن جهانی اقتصاد

قبولی در تست‌ها و امتحانات سالیانه به این معناست که یک موسسه مالی می‌تواند موارد الزامی از دیدگاه یک رگولاتور را به انجام رساند. اما همانطور که اشاره شد گذر موفقیت آمیز از چنین تست‌هایی به معنای تضمین امنیت سایبری موسسه و بانک شما نیست. تنها افراد مخالف با این نظر، خود رگولاتورها هستند!

 

در این مقاله سعی کردیم تا ۵ باور اشتباه در مورد امنیت سایبری را مورد بررسی قرار دهیم. با نگاهی تیزبینانه متوجه خواهید شد که همه‌ این باورهای اشتباه حاوی یک پیام کلیدی و مهم هستند:

دستیابی به موفقیت در امنیت سایبری نیازمند مدیریت و معیارسنجی دقیق است و آموزش به تنهایی در این حوزه کافی نیست.

درست است که آموزش کارمندان و هیئت مدیره در مورد مسائل مرتبط با امنیت سایبری لازم است، اما هنگامی که پای امنیت سایبری به میان می‌آید، این حداقل کاری است که یک بانک و موسسه مالی می‌تواند انجام دهد.

 

 

همچنین بخوانید

دکمه بازگشت به بالا