پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
5 باور اشتباه در مورد امنیت سایبری بانکها و موسسات مالی
جیمی دیمون (Jamie Dimon)، مدیرعامل جیپیمورگان چیس (JPMorgan Chase) در سال 2019 در نامهای خطاب به سهامداران چنین نوشت: «تهدیدات امنیت سایبری میتوانند به عنوان بزرگترین تهدیدات سیستم مالی در ایالات متحده آمریکا شناخته شوند.»
تهدید امنیت سایبری بانکها اتفاق جدیدی برای بانکداران نیست. نتایج به دست آمده از مطالعه سالیانه انجام گرفته توسط گروه مشاوران کورنراستون (Cornerstone) با عنوان «در بانکداری چه خبر است؟» نشان میدهد که در چند سال گذشته، امنیت سایبری به یکی از نگرانیهای اصلی بانکهای سطح C و اتحادیههای اعتباری تبدیل شده است.
این بانکها و اتحادیههای اعتباری، هزینه زیادی را در راه ارتقای امنیت سایبری هزینه میکنند. براساس گزارش کسپرسکای لب (Kaspersky Lab)، شرکتهای خدمات مالی به طور متوسط 1436 دلار به ازای هر کارمند در بخش امنیت سایبری هزینه میکنند. این مبلغ دو برابر مقداری است که دستاندرکاران صنعت خردهفروشی در این حوزه صرف میکنند.
با همه این اوصاف، هنوز هیچ اجماع کلی در مورد امنیت سایبری بانکها وجود ندارد. از همین رو در این مقاله قصد داریم به بررسی 5 باور (و افسانه) نادرست در مورد امنیت سایبری بانکها بپردازیم.
5 باور اشتباه در مورد امنیت سایبری بانکها
باور اشتباه 1: امنیت سایبری به حوزه فناوری اطلاعات مربوط میشود
دنیای کسبوکار امروزی با یک مشکل رایج و مشترک مواجه است: بسیاری از مدیران اجرایی ارشد بر این باورند که انتصاب یک مدیر اجرایی سطح C میتواند بر نظارت و حل یک چالش موثر واقع شود. اثبات این باور کار چندان دشواری نیست. برای مثال خود شما چند شرکت میشناسید که در آنها افراد متخصصی در هر یک از حوزهها تجزیه و تحلیل، هوش مصنوعی، برندینگ، مشتری، دادهها، دیجیتالسازی، تجربه، دانش و غیره مشغول به کار باشند؟
برخی از شرکتهای آگاه و سطح بالا اقدام به استخدام یک فرد به عنوان متخصص ارشد امنیت اطلاعات (CISO) میکنند. اما در مقابل بسیاری از کسبوکارها بر این باورند که با استخدام تنها یک فرد (که همان مسئول فناوری و اطلاعات سازمان است) میتوانند تمامی جوانب امنیت سایبری را تحت کنترل خود درآورند. درحالی که این مسئله به هیچ وجه صحت ندارد.
یکی از متخصصان ارشد امنیت اطلاعات بانکهای بزرگ در این زمینه چنین میگوید: «هرچند که مسئولیت حفاظت از امنیت اطلاعات بانکی بر عهدهی من است، اما این تیم اجرایی و مدیران اجرایی هستند که باید در جهت مقابله با مشکلات جدید و روزمره امنیت سایبری بانکها تلاش کرده و با اقدامات موثر خود تهدیدها را بیاثر کنند.»
نفوذ بر دادهها و حملات سایبری نه فقط روی یک بخش از سازمان، بلکه بر کل مجموعه اثرگذار است. درنتیجه تصمیمگیری در خصوص چنین حملات و تهدیداتی نباید به تیم فناوری اطلاعات محدود شود. علاوه بر این، حفظ امنیت سایبری بانکها مستلزم برقراری ارتباط با مشتریان سازمان و موسسه، کارمندان، شرکا و همچنین رسانهها است. تیم و مدیران اجرایی باید در جهت تقویت واکنشهای امنیتی سازمان تلاش کنند.
باور اشتباه 2: جای نگرانی نیست، خطرات امنیت سایبری تنها شامل حال بانکهای بزرگ میشود!
این باور و عقیده یه اشتباه به تمام معناست. براساس یک مطالعه صورت گرفته توسط نیشنواید (Nationwide) تقریبا نیمی (47 درصد) از جنایات مرتبط با امنیت سایبری بانکها در بین سالهای 2012 و 2017 مربوط به بانکهایی با دارایی کمتر از 1 میلیارد دلار میشدند. همچنین نتایج این مطالعه نشان میدهد که موسسات مالی با درآمد کمتر از 35 میلیون دلار، حدود 81 درصد از جرایم هکها و بدافزارهای مخرب در سال 2016 را به خود اختصاص دادهاند. این درحالی است که در سال 2015 این میزان حدود 54 درصد بوده است.
یکی از متخصصان ارشد امنیت اطلاعات یک بانک 750 میلیون دلاری در این رابطه چنین میگوید: «ما در سیستم خود یک اقدام برای هک را کشف و شناسایی کردیم. بررسیهای صورت گرفته نشان داد که هدف از آن، ایجاد اختلال در سیستمهای پرداخت فدرال رزرو و همچنین سایر بانکهای کوچک بود.»
باور اشتباه 3: با عملکرد خوب در زمینه امنیت سایبری میتوانیم از یک مزیت رقابتی برخوردار شویم
اگر شما نیز چنین اعتقادی دارید باید با کمال احترام به شما بگوییم که نه، شما نمیتوانید! چنین باوری از جانب بانکداران از دو جهت میتواند ترسناک و نگرانکننده باشد:
1- حفظ امنیت سایبری بانکها نه یک وجه تمایز، بلکه یک شرط اساسی است. بدون شک یک امنیت سایبری مناسب برای مصرفکنندگان بسیار حائز اهمیت و ارزشمند است؛ اما نباید به این مسئله به عنوان یک نقطه قوت رقابتی نگاه کرد. فراهم کردن چنین چیزی در واقع وظیفه یک بانک و موسسه مالی است؛ پس یک عملکرد عالی در مورد حفظ امنیت سایبری باعث جذب مشتریان بیشتر نخواهد شد.
2- بانکها نمیتوانند یک عملکرد «عالی» در زمینهی امنیت سایبری داشته باشند. تنها بانکهای بسیار بزرگ از منابع کافی برای پیشبرد امنیت سایبری خود برخوردار هستند. با این وجود حتی چنین بانکهایی نیز گاهی در جلسات خصوصی اقرار میکنند که عملکردشان در حوزهی امنیت سایبری به اندازهی کافی خوب نیست. (هرچند که ممکن است از شنیدن چنین چیزی شوکه و حتی ناامید شوید!)
باور اشتباه 4: یک طرح هویت دیجیتالی ملی باعث بهبود فضای امنیت سایبری بانکها خواهد شد
متاسفانه این عقیده نیز نادرست است. برخی از دولتها در سراسر جهان به صورت ابتکاری پروژه شناسایی هویت شهروندان خود را راهاندازی کردهاند. با وجود این، چشمانداز طرح هویت دیجیتالی ایالات متحده آمریکا در مقایسه با کشورهای دیگر، در کوتاهمدت ضعیف به نظر میرسد.
اوضاع سیاسی امروز باعث شده تا فضا برای حرکت به سمت هویت ملی چندان مساعد نباشد. به عقیدهی بسیاری از افراد، این طرح به عنوان ابزاری برای محدود کردن مهاجرتها و همچنین شناسایی مهاجران غیرقانونی مورد استفاده قرار میگیرد. علاوه بر این به نظر میرسد که راهاندازی یک سیستم شناسایی دولتی برای کشورهای مختلف به عنوان یک اولویت برتر محسوب نشود.
از این رو خود بانکها دست به کار شدند تا به عنوان ارائهدهنده هویت دیجیتالی وارد این عرصه شوند. در یکی از کنفرانسهای بانکداری اخیر پنلی به بحث و گفتوگو در خصوص هویت دیجیتال اختصاص یافت. سخنگوی این پنل از 60 بانکدار حاضر در جمع درخواست کرد در صورتی که به عنوان یک مشتری حاضر به ثبتنام برای استفاده از خدمات هویت دیجیتالی بانکی خود آنها هستند، دست خود را بالا بیاورند. در نهایت تنها 4 بانکدار از میان جمع دست خود را بالا آوردند!
این مسئله ممکن است برای بانکهایی که به دنبال ارائه خدمات هویت دیجیتالی هستند خبر خوبی نباشد، اما گفتگوهای مطرح شده در مورد طرح هویت دیجیتالی ارائه شده توسط بانکها، همانند نظرسنجی محدودی که از بانکداران انجام شد، اغلب به نتایجی ناامیدکننده منتج شدهاند.
باور اشتباه 5: تا زمانی که تستهای سالیانه را با موفقیت بگذرانیم، مشکلی به وجود نخواهد آمد
چنین چیزی صحت ندارد. در کنفرانس اخیر یکی از حضار سوال جالبی مطرح کرد: «آیا رگولاتورها میتوانند با تغییرات فناوری هماهنگ و سازگار باشند؟» متاسفانه جواب این سوال «خیر» است. رسانهها و موسسات تحقیقاتی بسیاری نیز این نظر را تایید میکنند که در ادامه چند نمونه از آنها را بیان میکنیم:
«قانون و اصول اخلاقی نمیتوانند پا به پای فناوری حرکت کنند.» -مجله MIT Technology
«قانون حفاظت از دادهها در خطر عقب ماندن از تغییرات فناوری است.» -گاردین
«قانون نمیتواند با فناوریهای جدید هماهنگ شود.» -انجمن جهانی اقتصاد
قبولی در تستها و امتحانات سالیانه به این معناست که یک موسسه مالی میتواند موارد الزامی از دیدگاه یک رگولاتور را به انجام رساند. اما همانطور که اشاره شد گذر موفقیت آمیز از چنین تستهایی به معنای تضمین امنیت سایبری موسسه و بانک شما نیست. تنها افراد مخالف با این نظر، خود رگولاتورها هستند!
در این مقاله سعی کردیم تا 5 باور اشتباه در مورد امنیت سایبری را مورد بررسی قرار دهیم. با نگاهی تیزبینانه متوجه خواهید شد که همه این باورهای اشتباه حاوی یک پیام کلیدی و مهم هستند:
دستیابی به موفقیت در امنیت سایبری نیازمند مدیریت و معیارسنجی دقیق است و آموزش به تنهایی در این حوزه کافی نیست.
درست است که آموزش کارمندان و هیئت مدیره در مورد مسائل مرتبط با امنیت سایبری لازم است، اما هنگامی که پای امنیت سایبری به میان میآید، این حداقل کاری است که یک بانک و موسسه مالی میتواند انجام دهد.
منبع: Forbes