74 درصدِ مدیران بانکی: حملات سایبری، بزرگ‌ترین تهدید بانک‌هاست

الزام بازنگری در امنیت سایبری بانک‌ها

  • توسط نویسنده
  • ۱۱ ماه پیش
  • ۱

سعید میرشاهی

بانک‌های مرکزی از غفلت نهادهای خُرد وابسته (پسرعموهای خرده‌فروش/ retail cousins) از حفاظت‌های امنیتی سایبری که مانع سقوط مالی می‌شود، عصبی می‌شوند.

سایت تک‌مانیتور در گزارشی تحلیلی به بررسی ضرورت‌ها و الزامات بازنگری اساسی در امنیت سایبری به ویژه در بانک‌های بزرگ پرداخت و نوشت: حمله سایبری با یک سردرگمی‌آغاز می‌شود. معامله‌گرانی که عادت دارند درباره قیمت‌ها و نرخ‌های بهره فریاد بزنند، در مقابل، شروع به جنجال می‌کنند که تراکنش‌ها همیشه وجود دارد. در این شرایط، ایمیل‌هایی که درخواست کمک می‌کنند، بی‌پاسخ می‌مانند؛ یک دلیلش این است که سیستم از کار افتاده و دلیل دیگر آن، به اصطلاحِ «Bob در IT» برمی‌گردد؛ مفهومی‌که بیشتر به یک بدافزار پاک‌کننده‌ و پرسروصدا در پایگاه‌ داده نهادها و سازمان‌های مختلف مربوط می‌شود. طی چند ساعت، مجموعه‌ای از داده‌ها درباره قراردادهای وام، مدل‌های پوشش ریسک، مانده حساب جاری و سایر بسته‌های مخفیانه‌ درباره اطلاعات مالی از بین می‌روند و هیات مدیره، امیدوارانه دعا می‌کند فقط بخشی از سوابق، در هرجایی، وجود داشته باشد؛ حتی روی کاغذ!

  • کابوسِ متخصصانِ امنیتِ آی‌تیِ بانک‌ها

این کابوس بیداری متخصصان امنیت فناوری اطلاعات در حوزه مالی است: این ایده که یک بانک مرکزی را می‌توان با یک حمله سایبری برنامه‌ریزی‌شده به مرز سقوط رساند.

آشکارسازی پیامدهای چنین فاجعه‌ای، عمدتا مربوط به نویسندگان فیلمنامه و تلویزیون است (سری دوم تا چهارمMr Robot )، با این حال، بانک‌های مرکزی، اخیرا وارد عمل شده‌اند.

پاییز گذشته، بانک انگلستان (BoE) با بیان اینکه حملات سایبری، بزرگ‌ترین تهدید برای یکپارچگی بخش مالی بریتانیاست، بر اهمیت بازی‌های جنگی (wargames) امنیت سایبری تاکید کرد. در این زمینه، تمرین‌های مشابه در همه‌جا از استرالیا تا بحرین انجام شده است. این بازی‌های جنگی غیرمعمول نیستند، زیرا بانک‌های مرکزی، مرتبا برادران کوچک (retail brethren) خود را به خاطر نادیده گرفتن جنبه‌هایی از موقعیت امنیت سایبری خود سرزنش می‌کنند.

فضای تهدید در سال‌های اخیر به سرعت تغییر کرده است. تهاجم روسیه به اوکراین بر تلاش‌های این کشور برای هک کردن نه تنها کیِف، بلکه همه متحدانش تمرکز کرده، در حالی که سایر کشورها مانند کره‌شمالی و ایران نیز کاملا قادر به انجام حملات سایبری پیچیده برای پیشبرد اهداف ملی‌شان هستند. این کشورها، معمولا با آنهایی که اغلب به عنوان کارتل‌های جرایم سایبری توصیف می‌شوند، هم‌پیمان هستند مانند باند لازاروس، دارک‌ساید، ریویل و تریک‌بات‌های دنیا، که به‌ دنبال اهداف خود هستند.

بانک‌ها در این زمینه به طور فزاینده‌ای، وسوسه‌انگیز هستند. طی سال‌ها، موسسات مالی، عملکرد خوب را این‌گونه تعریف کرده‌اند که مطمئن شوند از سیستم‌های داده خود به خوبی محافظت می‌کنند. در همین حال، بانک‌ها این واقعیت را نادیده گرفته‌اند که بسیاری از سیستم‌هایی که به اشخاص ثالث برون‌سپاری می‌کنند، به طور فزاینده در برابر خرابکاری آسیب‌پذیرند.

باک راجرز استاد امنیت سایبری دانشگاه گلاسترشر می‌گوید: «گمان می‌کنم بانک‌های مرکزی سطح جهان از سوی دولت‌ها، تحت فشار هستند که می‌گویند ساختار مالی ما اکنون زیرساخت حیاتی است و باید مانند گاز و برق به آن نزدیک شویم. اکنون نگرانی این است که این موارد در چه نقطه‌ای متبلور می‌شوند تا روی شرکت‌های مسئولیت محدود در آمریکا و انگلستان (US PLC، UK PLC) یا اروپا تاثیر بگذارند؟»

  • فقدان استراتژی سایبری مالی در 50 درصد بانک‌ها

البته هر بانک مرکزی، این نگرانی را ندارد. پژوهش اخیر صندوق بین‌المللی پول نشان داد که بیش از نیمی ‌از 51 حوزه مالی مورد بررسی، «استراتژی سایبری ملی برای بخش مالی ندارند»،

در حالی که 64 درصد آنها آزمایش امنیت سایبری یا حتی رهنمودها درباره اقداماتی که بانک‌ها باید انجام دهند، اجباری نمی‌کنند.

تام کلرمن، معاون ارشد استراتژی سایبری در Contrast Security معتقد است کشورهایی که بازی‌های جنگی را سازماندهی می‌کنند، اغلب روی نوع اشتباهی از تهدید تمرکز دارند.

کلرمن می‌گوید: «آنها واقعا بر حملات انکار سرویس متمرکز شده‌اند. من فکر نمی‌کنم این، بدترین سناریو باشد.»

بانک‌ها به طور سنتی امنیت سایبری را فقط شامل محافظت از سیستم‌های خود می‌دانند. اما حملات اخیر نشان می‌دهد دیگر این‌طور نیست. امنیت سایبری حوزه خدمات مالی به عنوان بخش آسیب‌پذیر در برابر حملات سایبری، امری متناقض به نظر می‌رسد.

در حال حاضر، بیشتر امور بانکی به صورت آنلاین انجام می‌شود، بنابراین اطمینان از ایمن ماندن خطوط ارتباطی بین شرکت و مشتریان، شرط لازم برای انجام تجارت است.

راجرز معتقد است این نگرش به حفظ این بخش در خط مقدم عملکرد امنیت سایبری کمک کرده است، «زیرا آنها خوشحالند که برای بهبود مسیر و اصلاح مشکل، به درستی، پول خرج می‌کنند.»

  • حملات سایبری، بزرگ‌ترین تهدید بانک‌ها

نظرسنجی اخیر توسط BoE نشان داد که 74 درصد مدیران بانکی معتقدند حملات سایبری، بزرگ‌ترین تهدید برای مشاغل آنها است. با این حال، چیزی که راجرز را نگران می‌کند این است که بسیاری از همین مدیران، به طور کامل، توصیه‌هایی را که در آنها بهترین روش برای جلوگیری از حملات سایبری ارایه می‌شود، درک نمی‌کنند. بنابراین سوال مهم این است که «آیا آنها مدیریت ریسک را در کنار حملات سایبری درک می‌کنند و اقدامات کاهشی و فرایندهای مشخص برای مدیریت ریسک دارند؟»

عواقب عدم درک این مهم، احتمالا منجر به انحراف در فرایند تصمیم‌گیری درباره مشکلات سایبری داخل بانک خواهد شد. راجرز می‌گوید: «اگر مراقب نباشید، تصمیمات امنیتی توسط افراد غیرامنیتی گرفته می‌شود. برای مثال، یک CFO ممکن است تصمیم بگیرد بخشی از عملیات حوزه منابع انسانی را به ارایه‌دهنده نرم‌افزار شخص ثالث برون‌سپاری کند. اگر یک CSO مجرب و ارشد نباشید، این تصمیم ممکن است از شما عبور کند و ناگهان، با یک ریسک زنجیره تامین مواجه شوید.»

راجرز اضافه می‌کند که این، یک تهدید پنهانی است و افراد در داخل و خارج صنعت، واقعا از آن استقبال نمی‌کنند. در حالی که بانک‌ها برای تقویت امنیت سایبری و در نتیجه، اعتماد مشتریان خرد به عملیات بانکی هزینه‌های میلیون دلاری بسیاری کرده‌اند، بخش زیادی از آن، برون‌سپاری خدمات کلیدی به اشخاص ثالث را شامل می‌شود.

کلرمن می‌گوید: «آنها از فین‌تک‌ها،API‌ها، برنامه‌های کاربردی مدرن و استراتژی‌های مولتی‌ابری استقبال می‌کنند. در نتیجه، سطح حمله آنها بزرگ‌تر شده است.»

  • رشد 257 درصدی هک‌ها در 2022

مثلا حمله به یک ارایه‌دهنده خدمات مدیریت‌شده (MSP) مانند سولار ویندز، می‌تواند عملیات چندین موسسه مالی را یک‌شبه فلج کند. یکی از این نقض‌ها در Ion Cleared Derivatives، که نرم‌افزار مورد استفاده پردازش میلیون‌ها معامله آتی را روزانه تامین می‌کند، به فلج شدن بخش‌هایی از آن بازار برای چند روز منجر شد.

همین امر می‌تواند با هک کردنAPIهایی که بافت همبند بین سیستم‌های بانکی متعدد را تشکیل می‌دهند و امکان دسترسی چندجهت را برای آنها فراهم می‌کند، به دست آورد.

کلرمن ضمن ابراز تاسف اعلام کرد که این هک‌ها در سال 2022 نسبت به سال قبل‌تر، 257 درصد افزایش یافته است. او ادامه می‌دهد که راه‌های موذیانه‌تری برای هکرها نیز وجود دارد تا اراده خود را روی بانک‌ها اعمال کنند.

کلرمن می‌گوید: «بیشتر توطئه‌های جرایم سایبری، امروزه فقط شامل انتقال الکترونیک وجوه، کلاهبرداری یا باج‌افزار نیستند. آنها واقعا روی هدف قرار دادن اطلاعات بازار غیرعمومی‌ و ربودن تحول دیجیتال موسسه برای استفاده از آن به منظور حمله به هدف انتخابی خود تمرکز می‌کنند.»

این حملات که در آن زیرساخت‌های آنلاین، کاملا به طور قانونی توسط مجرمان سایبری با بدافزار مسموم می‌شوند، اکنون بسیاری از بانک‌ها را که عمیقا درگیر به‌روزرسانی‌های دیجیتالی طی چندین دهه شده‌اند، نیز شامل می‌شود. این نوع حملات سایبری بدون‌شک پیچیده هستند اما فراتر از توانایی‌های برخی کشورها که بخش مالی غرب را به عنوان هدف آسیب‌پذیر می‌بینند، نیستند.

کلرمن می‌گوید: «آنها می‌توانند با اجتماعات جرایم سایبری خود از حملاتی استفاده کنند که بخش مالی را به سمت خود سوق دهند.»

او می‌افزاید که گروه‌های روسی تاکنون بیش از ده‌ها حمله سایبری مخرب علیه موسسات مالی بزرگ غربی انجام داده‌اند. این حملات تنها به این دلیل خنثی شده‌اند که سرویس‌های اطلاعاتی بریتانیا و ایالات متحده، اطلاعات مهمی ‌را در زمان مناسب اشتراک‌گذاری کرده‌اند.

کلرمن می‌گوید: «این، تنها دلیلی است که ما آن را ندیده‌ایم اما آنها 14 بار تلاش کردند.»

  • لزوم اصلاح ذهنیت مدیران بانکی

به طور خلاصه، مدیران بانکی باید تصویر ذهنی خود را درباره اینکه هکرهای بالقوه در تمام طول شب، نوشیدنی‌های انرژی‌زا می‌خورند، کنار بگذارند. تهدیدی که آنها با آن روبرو هستند، بسیار پیچیده‌تر از آن است.

راجرز می‌گوید: «ما با متخصصان دارای بخش منابع انسانی، دارای هدف، با پولی که باید به دست بیاورند و خانواده‌ای که باید حمایت کنند، مخالفیم اما باید با آن سازگار شویم.» وقتی این گروه‌ها، MSP دیگری را هدف قرار می‌دهند، بدتر این است که شاید از آن برای سکوی پرش به سمت بخش‌های سودآورتر بانک استفاده کنند. هدف این کار، نگه‌داشتن کل یک یا سه موسسه برای باج دادن و افشای اطلاعات حساس به بازار گسترده‌تر است.

راجرز توضیح می‌دهد که تا آنجایی که پیامدها پیش می‌رود، بدترین سناریو ممکن است کاهش  اعتماد عمومی ‌به خود بخش مالی باشد. در حالی که ممکن است عواقب اولیه به راحتی با استقرار تیم‌های امنیتی فناوری اطلاعات و کمک‌های مالی بزرگ برطرف شود اما عواقب سیاسی آن می‌تواند گسترده و طولانی‌مدت باشد. این چشم‌انداز، اخیرا با فروپاشی بانک سیلیکون‌ولی نشان داده شد. راجرز توضیح می‌دهد: «شما یک بانک فناوری در ایالات متحده دارید [در حال فروپاشی] و ناگهان نخست‌وزیر بریتانیا وارد عمل می‌شود و به نحوه عملکرد HSBC (گروه بانکداری بریتانیایی) نگاه می‌کند. این یکی، آن را می‌خرد.»

راجرز می‌گوید: در هرگونه تست استرس، انعطاف‌پذیری امنیت سایبری بانک باید لحاظ شود که سطح حمله، اساسا تغییر کرده و اینکه اتکا به ارایه‌دهندگان نرم‌افزار شخص ثالث «از بین نخواهد رفت.»

وی می‌افزاید: «مطمئن هستم که شرکت‌های بزرگ، هزاران و هزاران شخص ثالث مهم خواهند داشت.» او ادامه می‌دهد که تست‌های استرس آتی، باید بانک مرکزی را در تعیین کمیت و افزایش آگاهی در مورد این ریسک و اینکه آیا آنها یک پلن B و C  دارند، شامل شود. این امر، باید شامل تحقق زنجیره تامین بیشتر از همیشه باشد.

راجرز می‌گوید: «اکثر بانک‌های بزرگ، هرکجا که باشند، در حوزه تامین‌کنندگان مهم خود، واقعا خوب هستند. نگرانی من کسانی هستند که پایین‌تر از آستانه تحمل قرار دارند. موسسات مالی باید صادقانه درباره تاثیرات نامطلوبی که حتی ممکن است خدمات کوچک‌تر آنها توسط هکرها تحت‌تاثیر قرار گیرد، صحبت کنند.»

  • اقدامات قانونی در برابر حملات سایبری

راجرز که خود یک رییس سابق بانک مرکزی بوده می‌گوید: «اگر اتفاقی برای آنها بیفتد، آیا شما را به لرزه در می‌آورد؟» برخی اقدامات قانونی، قبلا در این زمینه انجام شده است.

برای مثال، پارلمان اروپا اخیرا قانون مقاومت عملیاتی دیجیتال را تصویب کرده که این قانون، بانک‌ها را مسوول امنیت سایبری فروشندگان امنیت شخص ثالث خود می‌کند.

راجرز استدلال می‌کند که پیوستن به همه استانداردهای مختلف و تست استرس برای امنیت سایبری نیز می‌تواند کمک‌کننده باشد و درخواست مشابهی از هیئت ثبات مالی G20 را تکرار می‌کند.

توافق بین‌المللی در مورد مشترکات بین این قوانین حداقل برای بانک‌های چندملیتی، می‌تواند تفاوت زیادی در نحوه قرارگیری آنها در هنگام وقوع تخلف در یک کشور ایجاد کند اما بر عملیات آنها در یک نقطه کاملا متفاوت از جهان تاثیر می‌گذارد.

کلرمن تاکید می‌کند بانک‌ها همچنین باید به طور اساسی درباره چگونگی طراحی استراتژی‌های امنیت سایبری اساسی خود تجدیدنظر کنند. دیگر این‌طور نیست که موسسات فقط باید به فکر دفاع از فضای خود باشند، یا همیشه می‌توانند در زمینه جلوگیری از نفوذ هکرها به سیستم موفق شوند.

کلرمن می‌گوید: «آنها واقعا باید پارادایم امنیتی را برای دفاع از درون، معکوس و بر سرکوب نفوذ، تمرکز کنند. این امر، لزوما افزایش سرمایه‌گذاری در حفاظت از زمان اجرا برای برنامه‌ها، تقسیم‌بندی خرد شبکه‌ها و زیرساخت‌ها، خدمات پاسخ تشخیص گسترده و موارد بالاتر را شامل می‌شود.»

راجرز معتقد است تبادل اطلاعات نیز باید بهبود یابد. انجمن‌هایی وجود دارند که بانک‌ها می‌توانند در آنها، تمام روز درباره عوامل تهدید و ناقلان حمله صحبت کنند اما اینها باید توسط این صنعت، به روش سیستماتیک‌تر مهار شوند. همچنین بانک‌ها باید از آنها به درستی استفاده کنند. در مجموع، رییس بانک مرکزی سابق امیدوار است موسسات مالی غربی، اقدامات خود را انجام دهند.

راجرز به‌ویژه از دیدگاه‌های رگولاتورهای بریتانیا دلگرم است. او استدلال می‌کند که وقتی صحبت از امنیت سایبری شهر به میان می‌آید، آنها «بسیار متمرکز و دقیق» بوده‌اند.

او توضیح می‌دهد که اگر صنعت، این موضوع را به درستی انجام دهد، می‌تواند الگوی مثبت برای مدیران شرکت‌های مرتبط با زیرساخت‌های حیاتی باشد تا چشم‌انداز تهدید خود را مجددا ارزیابی کنند. با این حال، بانک‌ها باید درباره اینکه تهدیدات از کجا ناشی می‌شود، صحبت کنند.

و در نهایت راجرز می‌گوید: «درخواست من این است: بیایید بیشتر، صحبت و تبادل اطلاعات کنیم، زیرا اگر می‌خواهیم به عنوان یک حرفه مورد توجه قرار گیریم، باید مانند یک حرفه‌ای عمل کنیم.»

  • facebook
  • googleplus
  • twitter
  • linkedin
  • linkedin

1 نظر در حال حاضر

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *