هیئت‌مدیره و مدیرعامل بانک‌ها، پیش از همه باید پاسخگوی ریسک‌های فناوری اطلاعات و امنیت خدمات برون‌سپاری شده باشند

حسین حقیقی، مشاور تحول دیجیتال، در یادداشتی برای راه پرداخت، درباره مدیریت ریسک‌های فناوری اطلاعات در مؤسسات مالی و اعتباری نوشت

نویسنده: راه پرداخت انتشار: 11 تیر سال 1404 ساعت 11:16 0

با توجه‌به حملات سایبری اخیر که زیرساخت‌های فناوری اطلاعات برخی از بانک‌های کشور را هدف قرار داد و منجر به بروز مشکلات جدی در خدمات‌دهی به مشتریان شد، به نظر می‌رسد که باید نگاهی عمیق‌تر و جامع‌تر به مدیریت ریسک‌های فناوری اطلاعات در مؤسسات مالی و اعتباری انداخته شود. این حملات نه‌تنها نشان‌دهنده تهدیدات موجود در زمینه امنیت فناوری اطلاعات است، بلکه لزوم توجه بیشتر به فرایندهای برون‌سپاری خدمات فناوری اطلاعات و نظارت مداوم بر این خدمات را نیز بیش‌ازپیش آشکار کرده است.

یکی از مسائل اساسی که در این زمینه مطرح می‌شود، این است که در فرایند برون‌سپاری خدمات فناوری اطلاعات، به‌ویژه در شرایطی که بانک‌ها زیرساخت‌های بانکداری یکپارچه خود را از شرکت‌های ثالث دریافت می‌کنند، آیا مسئولیت مدیریت ریسک‌های امنیتی و فناوری به این شرکت‌ها واگذار می‌شود یا همچنان بر عهده خود بانک‌ها باقی می‌ماند؟ برای پاسخ به این پرسش، باید به الزامات قانونی، استانداردهای بین‌المللی و تجارب موجود در این زمینه نگاهی دقیق‌تر داشته باشیم.

شواهد موجود نشان می‌دهد که در برخی از قراردادهای برون‌سپاری بین شرکت‌ها و بانک‌ها، علی‌رغم اینکه بسیاری از زیرساخت‌ها و داده‌ها در اختیار شرکت‌های ثالث قرار می‌گیرد، نظارت بانک‌ها بر ریسک‌های امنیتی و فناوری به‌درستی انجام نمی‌شود. در برخی موارد، حتی پس از عقد قرارداد، برخی از شرکت‌ها اجازه نظارت و ارزیابی ریسک‌ها توسط مدیریت حاکمیتی بانک‌ها مثل مدیریت ریسک، حسابرسی و امنیت بانک‌ها را نمی‌دهند. این مسئله می‌تواند تهدیدی جدی برای امنیت اطلاعات بانک‌ها و مشتریان آن‌ها ایجاد کند.

در این راستا، الزامات قانونی و استانداردهای بین‌المللی به‌وضوح مسئولیت بانک‌ها را در این زمینه مشخص کرده‌اند. در بسیاری از استانداردها و دستورالعمل‌ها تأکید شده است که مسئولیت نظارت بر ریسک‌های امنیتی و فناوری اطلاعات، حتی پس از برون‌سپاری، همچنان بر عهده بانک‌ها باقی می‌ماند. بانک‌ها باید فرایندهای نظارت مداوم بر خدمات برون‌سپاری شده را به طور مستمر پیگیری کنند تا اطمینان حاصل کنند که تمامی الزامات امنیتی رعایت می‌شوند.

اصلی‌ترین الزامات و استانداردهای نظارتی داخلی و خارجی که بر فرایند برون‌سپاری باید اعمال شود در ادامه مختصراً مورد مطالعه قرار می‌گیرد:

در تابستان سال ۱۴۰۰، با افزایش نگرانی‌ها درباره امنیت فناوری اطلاعات و حملات سایبری که تهدیداتی جدی برای زیرساخت‌های بانکی به همراه داشت، بخش‌نامه حداقل الزامات ناظر بر ریسک فناوری اطلاعات مؤسسات اعتباری از سوی بانک مرکزی ابلاغ شد. این بخش‌نامه با هدف افزایش نظارت و بهبود وضعیت امنیتی در فرایندهای برون‌سپاری فناوری اطلاعات به بانک‌ها ابلاغ شد و بر ضرورت رعایت اصول امنیتی تأکید کرد.

در بند ۱۷ این بخش‌نامه، بانک‌ها موظف شدند فرایند انتخاب و ارزیابی پیمانکاران فناوری اطلاعات را بر اساس استانداردهای بین‌المللی انجام دهند. یکی از این استانداردها ISO 37500 بود که در آن راهکارهایی برای ارزیابی و انتخاب تأمین‌کنندگان خدمات فناوری اطلاعات آورده شده بود. هدف این بند، اطمینان از این بود که بانک‌ها قبل از عقد قرارداد با پیمانکاران، همه جوانب امنیتی و فنی را به‌دقت بررسی کنند.

در بند ۱۸، تأکید شده بود که بانک‌ها پیش از دریافت هرگونه خدمات از پیمانکاران، باید قراردادهای رسمی و مستند تنظیم کنند. این قراردادها باید شامل جزئیات امنیتی و الزامات حفاظت از داده‌ها می‌شد تا بانک‌ها به طور رسمی و قانونی از حریم خصوصی و امنیت اطلاعات مشتریان خود محافظت کنند.

بند ۲۱ نیز تأکید می‌کرد که بانک‌ها باید در فرایندهای برون‌سپاری خود از استانداردهای ITIL و ISO استفاده کنند و نظارت مداوم بر عملکرد پیمانکاران را حفظ نمایند. این بند هدفش این بود که بانک‌ها فقط به انتخاب تأمین‌کنندگان اکتفا نکرده و به طور مستمر عملکرد آن‌ها را بررسی کنند تا از رعایت استانداردهای امنیتی در طول زمان اطمینان حاصل شود.

این بخش‌نامه گام مهمی در جهت تقویت امنیت فناوری اطلاعات در بانک‌ها بود. در ادامه، به برخی از استانداردهای نوشته‌شده در این بخش‌نامه و سایر استانداردها اشاره می‌شود.

۱. استاندارد ISO/IEC 27001:2022

کنترل ۵.۲۱: این کنترل تأکید دارد که مدیران ارشد فناوری باید مسئول مدیریت ریسک‌های برون‌سپاری باشند و نظارت کامل بر عملکرد تأمین‌کنندگان ICT داشته باشند.

کنترل ۵.۲۲: مدیریت ارشد سازمان مسئول بازبینی و نظارت مستمر بر تغییرات خدمات تأمین‌کنندگان است تا اطمینان حاصل شود که تمامی استانداردهای امنیتی رعایت می‌شوند.

۲. استاندارد NIST SP 800-53

SA-9: تأکید بر داشتن توافق‌نامه‌های سطح خدمات (SLA) و نظارت مستمر بر تأمین‌کنندگان برای اطمینان از رعایت الزامات امنیتی.

CA-7: نظارت مستمر بر خدمات برون‌سپاری شده برای شناسایی آسیب‌پذیری‌ها و اقدام به‌موقع برای اصلاح آن‌ها.

PM-9: توصیه به بانک‌ها برای طراحی استراتژی‌های مدیریت ریسک در برون‌سپاری خدمات و ارزیابی مستمر ریسک‌ها.

۳. استاندارد ISO 37500

بخش ۵.۵.۴: تأکید بر ایجاد یک فرایند نظارت و ارزیابی در طول تمامی مراحل چرخه عمر برون‌سپاری، از انتخاب تأمین‌کننده گرفته تا نظارت مستمر بر عملکرد آن‌ها.

۴. دستورالعمل‌های اتحادیه بانکداری اروپا (EBA)

بانک‌ها و مؤسسات مالی باید عملکرد تأمین‌کنندگان خدمات برون‌سپاری شده را به طور مستمر بر اساس رویکرد مبتنی بر ریسک کنترل و ارزیابی کنند و اطمینان حاصل کنند که وظایف حیاتی مانند امنیت داده‌ها به‌درستی انجام می‌شود.

باتوجه‌به الزامات و استانداردهای مطرح‌شده، مسئولیت نهایی مدیریت ریسک‌ها و نظارت بر امنیت خدمات برون‌سپاری شده همچنان بر عهده بانک‌ها و هیئت‌مدیره آنها باقی می‌ماند. برون‌سپاری فناوری اطلاعات به‌هیچ‌وجه موجب سلب مسئولیت بانک‌ها در قبال ریسک‌های امنیتی نمی‌شود. این مسئله به‌ویژه در شرایطی که خدمات برون‌سپاری شده با دسترسی به اطلاعات حساس و زیرساخت‌های حیاتی مرتبط است، اهمیت ویژه‌ای پیدا می‌کند.

بانک‌ها باید با آماده‌سازی و اجرای فرایندهای نظارت دقیق و پیگیری مستمر عملکرد پیمانکاران، اطمینان حاصل کنند که خدمات برون‌سپاری شده مطابق با الزامات امنیتی و استانداردهای بین‌المللی هستند. علاوه بر این، گزارش‌دهی مستمر از سوی تأمین‌کنندگان، ارزیابی مستمر ریسک‌ها و ارائه اقدامات اصلاحی به‌موقع از دیگر اقداماتی هستند که بانک‌ها باید به‌طورجدی پیگیری کنند.

در نهایت، هیئت‌مدیره و مدیران ارشد بانک‌ها باید به طور فعال در نظارت و مدیریت ریسک‌های فناوری اطلاعات مشارکت کنند تا از بروز مشکلات مشابه حملات سایبری اخیر جلوگیری کنند و اعتماد مشتریان به سیستم بانکی را حفظ نمایند.