الزام بازنگری در امنیت سایبری بانکها
سعید میرشاهی - بانکهای مرکزی از غفلت نهادهای خُرد وابسته (پسرعموهای خردهفروش/ retail cousins) از حفاظتهای امنیتی سایبری که مانع سقوط مالی میشود، عصبی میشوند.
سایت تکمانیتور در گزارشی تحلیلی به بررسی ضرورتها و الزامات بازنگری اساسی در امنیت سایبری به ویژه در بانکهای بزرگ پرداخت و نوشت: حمله سایبری با یک سردرگمیآغاز میشود. معاملهگرانی که عادت دارند درباره قیمتها و نرخهای بهره فریاد بزنند، در مقابل، شروع به جنجال میکنند که تراکنشها همیشه وجود دارد. در این شرایط، ایمیلهایی که درخواست کمک میکنند، بیپاسخ میمانند؛ یک دلیلش این است که سیستم از کار افتاده و دلیل دیگر آن، به اصطلاحِ «Bob در IT» برمیگردد؛ مفهومیکه بیشتر به یک بدافزار پاککننده و پرسروصدا در پایگاه داده نهادها و سازمانهای مختلف مربوط میشود. طی چند ساعت، مجموعهای از دادهها درباره قراردادهای وام، مدلهای پوشش ریسک، مانده حساب جاری و سایر بستههای مخفیانه درباره اطلاعات مالی از بین میروند و هیات مدیره، امیدوارانه دعا میکند فقط بخشی از سوابق، در هرجایی، وجود داشته باشد؛ حتی روی کاغذ!
- کابوسِ متخصصانِ امنیتِ آیتیِ بانکها
این کابوس بیداری متخصصان امنیت فناوری اطلاعات در حوزه مالی است: این ایده که یک بانک مرکزی را میتوان با یک حمله سایبری برنامهریزیشده به مرز سقوط رساند.
آشکارسازی پیامدهای چنین فاجعهای، عمدتا مربوط به نویسندگان فیلمنامه و تلویزیون است (سری دوم تا چهارمMr Robot )، با این حال، بانکهای مرکزی، اخیرا وارد عمل شدهاند.
پاییز گذشته، بانک انگلستان (BoE) با بیان اینکه حملات سایبری، بزرگترین تهدید برای یکپارچگی بخش مالی بریتانیاست، بر اهمیت بازیهای جنگی (wargames) امنیت سایبری تاکید کرد. در این زمینه، تمرینهای مشابه در همهجا از استرالیا تا بحرین انجام شده است. این بازیهای جنگی غیرمعمول نیستند، زیرا بانکهای مرکزی، مرتبا برادران کوچک (retail brethren) خود را به خاطر نادیده گرفتن جنبههایی از موقعیت امنیت سایبری خود سرزنش میکنند.
فضای تهدید در سالهای اخیر به سرعت تغییر کرده است. تهاجم روسیه به اوکراین بر تلاشهای این کشور برای هک کردن نه تنها کیِف، بلکه همه متحدانش تمرکز کرده، در حالی که سایر کشورها مانند کرهشمالی و ایران نیز کاملا قادر به انجام حملات سایبری پیچیده برای پیشبرد اهداف ملیشان هستند. این کشورها، معمولا با آنهایی که اغلب به عنوان کارتلهای جرایم سایبری توصیف میشوند، همپیمان هستند مانند باند لازاروس، دارکساید، ریویل و تریکباتهای دنیا، که به دنبال اهداف خود هستند.
بانکها در این زمینه به طور فزایندهای، وسوسهانگیز هستند. طی سالها، موسسات مالی، عملکرد خوب را اینگونه تعریف کردهاند که مطمئن شوند از سیستمهای داده خود به خوبی محافظت میکنند. در همین حال، بانکها این واقعیت را نادیده گرفتهاند که بسیاری از سیستمهایی که به اشخاص ثالث برونسپاری میکنند، به طور فزاینده در برابر خرابکاری آسیبپذیرند.
باک راجرز استاد امنیت سایبری دانشگاه گلاسترشر میگوید: «گمان میکنم بانکهای مرکزی سطح جهان از سوی دولتها، تحت فشار هستند که میگویند ساختار مالی ما اکنون زیرساخت حیاتی است و باید مانند گاز و برق به آن نزدیک شویم. اکنون نگرانی این است که این موارد در چه نقطهای متبلور میشوند تا روی شرکتهای مسئولیت محدود در آمریکا و انگلستان (US PLC، UK PLC) یا اروپا تاثیر بگذارند؟»
- فقدان استراتژی سایبری مالی در 50 درصد بانکها
البته هر بانک مرکزی، این نگرانی را ندارد. پژوهش اخیر صندوق بینالمللی پول نشان داد که بیش از نیمی از 51 حوزه مالی مورد بررسی، «استراتژی سایبری ملی برای بخش مالی ندارند»،
در حالی که 64 درصد آنها آزمایش امنیت سایبری یا حتی رهنمودها درباره اقداماتی که بانکها باید انجام دهند، اجباری نمیکنند.
تام کلرمن، معاون ارشد استراتژی سایبری در Contrast Security معتقد است کشورهایی که بازیهای جنگی را سازماندهی میکنند، اغلب روی نوع اشتباهی از تهدید تمرکز دارند.
کلرمن میگوید: «آنها واقعا بر حملات انکار سرویس متمرکز شدهاند. من فکر نمیکنم این، بدترین سناریو باشد.»
بانکها به طور سنتی امنیت سایبری را فقط شامل محافظت از سیستمهای خود میدانند. اما حملات اخیر نشان میدهد دیگر اینطور نیست. امنیت سایبری حوزه خدمات مالی به عنوان بخش آسیبپذیر در برابر حملات سایبری، امری متناقض به نظر میرسد.
در حال حاضر، بیشتر امور بانکی به صورت آنلاین انجام میشود، بنابراین اطمینان از ایمن ماندن خطوط ارتباطی بین شرکت و مشتریان، شرط لازم برای انجام تجارت است.
راجرز معتقد است این نگرش به حفظ این بخش در خط مقدم عملکرد امنیت سایبری کمک کرده است، «زیرا آنها خوشحالند که برای بهبود مسیر و اصلاح مشکل، به درستی، پول خرج میکنند.»
- حملات سایبری، بزرگترین تهدید بانکها
نظرسنجی اخیر توسط BoE نشان داد که 74 درصد مدیران بانکی معتقدند حملات سایبری، بزرگترین تهدید برای مشاغل آنها است. با این حال، چیزی که راجرز را نگران میکند این است که بسیاری از همین مدیران، به طور کامل، توصیههایی را که در آنها بهترین روش برای جلوگیری از حملات سایبری ارایه میشود، درک نمیکنند. بنابراین سوال مهم این است که «آیا آنها مدیریت ریسک را در کنار حملات سایبری درک میکنند و اقدامات کاهشی و فرایندهای مشخص برای مدیریت ریسک دارند؟»
عواقب عدم درک این مهم، احتمالا منجر به انحراف در فرایند تصمیمگیری درباره مشکلات سایبری داخل بانک خواهد شد. راجرز میگوید: «اگر مراقب نباشید، تصمیمات امنیتی توسط افراد غیرامنیتی گرفته میشود. برای مثال، یک CFO ممکن است تصمیم بگیرد بخشی از عملیات حوزه منابع انسانی را به ارایهدهنده نرمافزار شخص ثالث برونسپاری کند. اگر یک CSO مجرب و ارشد نباشید، این تصمیم ممکن است از شما عبور کند و ناگهان، با یک ریسک زنجیره تامین مواجه شوید.»
راجرز اضافه میکند که این، یک تهدید پنهانی است و افراد در داخل و خارج صنعت، واقعا از آن استقبال نمیکنند. در حالی که بانکها برای تقویت امنیت سایبری و در نتیجه، اعتماد مشتریان خرد به عملیات بانکی هزینههای میلیون دلاری بسیاری کردهاند، بخش زیادی از آن، برونسپاری خدمات کلیدی به اشخاص ثالث را شامل میشود.
کلرمن میگوید: «آنها از فینتکها،APIها، برنامههای کاربردی مدرن و استراتژیهای مولتیابری استقبال میکنند. در نتیجه، سطح حمله آنها بزرگتر شده است.»
- رشد 257 درصدی هکها در 2022
مثلا حمله به یک ارایهدهنده خدمات مدیریتشده (MSP) مانند سولار ویندز، میتواند عملیات چندین موسسه مالی را یکشبه فلج کند. یکی از این نقضها در Ion Cleared Derivatives، که نرمافزار مورد استفاده پردازش میلیونها معامله آتی را روزانه تامین میکند، به فلج شدن بخشهایی از آن بازار برای چند روز منجر شد.
همین امر میتواند با هک کردنAPIهایی که بافت همبند بین سیستمهای بانکی متعدد را تشکیل میدهند و امکان دسترسی چندجهت را برای آنها فراهم میکند، به دست آورد.
کلرمن ضمن ابراز تاسف اعلام کرد که این هکها در سال 2022 نسبت به سال قبلتر، 257 درصد افزایش یافته است. او ادامه میدهد که راههای موذیانهتری برای هکرها نیز وجود دارد تا اراده خود را روی بانکها اعمال کنند.
کلرمن میگوید: «بیشتر توطئههای جرایم سایبری، امروزه فقط شامل انتقال الکترونیک وجوه، کلاهبرداری یا باجافزار نیستند. آنها واقعا روی هدف قرار دادن اطلاعات بازار غیرعمومی و ربودن تحول دیجیتال موسسه برای استفاده از آن به منظور حمله به هدف انتخابی خود تمرکز میکنند.»
این حملات که در آن زیرساختهای آنلاین، کاملا به طور قانونی توسط مجرمان سایبری با بدافزار مسموم میشوند، اکنون بسیاری از بانکها را که عمیقا درگیر بهروزرسانیهای دیجیتالی طی چندین دهه شدهاند، نیز شامل میشود. این نوع حملات سایبری بدونشک پیچیده هستند اما فراتر از تواناییهای برخی کشورها که بخش مالی غرب را به عنوان هدف آسیبپذیر میبینند، نیستند.
کلرمن میگوید: «آنها میتوانند با اجتماعات جرایم سایبری خود از حملاتی استفاده کنند که بخش مالی را به سمت خود سوق دهند.»
او میافزاید که گروههای روسی تاکنون بیش از دهها حمله سایبری مخرب علیه موسسات مالی بزرگ غربی انجام دادهاند. این حملات تنها به این دلیل خنثی شدهاند که سرویسهای اطلاعاتی بریتانیا و ایالات متحده، اطلاعات مهمی را در زمان مناسب اشتراکگذاری کردهاند.
کلرمن میگوید: «این، تنها دلیلی است که ما آن را ندیدهایم اما آنها 14 بار تلاش کردند.»
- لزوم اصلاح ذهنیت مدیران بانکی
به طور خلاصه، مدیران بانکی باید تصویر ذهنی خود را درباره اینکه هکرهای بالقوه در تمام طول شب، نوشیدنیهای انرژیزا میخورند، کنار بگذارند. تهدیدی که آنها با آن روبرو هستند، بسیار پیچیدهتر از آن است.
راجرز میگوید: «ما با متخصصان دارای بخش منابع انسانی، دارای هدف، با پولی که باید به دست بیاورند و خانوادهای که باید حمایت کنند، مخالفیم اما باید با آن سازگار شویم.» وقتی این گروهها، MSP دیگری را هدف قرار میدهند، بدتر این است که شاید از آن برای سکوی پرش به سمت بخشهای سودآورتر بانک استفاده کنند. هدف این کار، نگهداشتن کل یک یا سه موسسه برای باج دادن و افشای اطلاعات حساس به بازار گستردهتر است.
راجرز توضیح میدهد که تا آنجایی که پیامدها پیش میرود، بدترین سناریو ممکن است کاهش اعتماد عمومی به خود بخش مالی باشد. در حالی که ممکن است عواقب اولیه به راحتی با استقرار تیمهای امنیتی فناوری اطلاعات و کمکهای مالی بزرگ برطرف شود اما عواقب سیاسی آن میتواند گسترده و طولانیمدت باشد. این چشمانداز، اخیرا با فروپاشی بانک سیلیکونولی نشان داده شد. راجرز توضیح میدهد: «شما یک بانک فناوری در ایالات متحده دارید [در حال فروپاشی] و ناگهان نخستوزیر بریتانیا وارد عمل میشود و به نحوه عملکرد HSBC (گروه بانکداری بریتانیایی) نگاه میکند. این یکی، آن را میخرد.»
راجرز میگوید: در هرگونه تست استرس، انعطافپذیری امنیت سایبری بانک باید لحاظ شود که سطح حمله، اساسا تغییر کرده و اینکه اتکا به ارایهدهندگان نرمافزار شخص ثالث «از بین نخواهد رفت.»
وی میافزاید: «مطمئن هستم که شرکتهای بزرگ، هزاران و هزاران شخص ثالث مهم خواهند داشت.» او ادامه میدهد که تستهای استرس آتی، باید بانک مرکزی را در تعیین کمیت و افزایش آگاهی در مورد این ریسک و اینکه آیا آنها یک پلن B و C دارند، شامل شود. این امر، باید شامل تحقق زنجیره تامین بیشتر از همیشه باشد.
راجرز میگوید: «اکثر بانکهای بزرگ، هرکجا که باشند، در حوزه تامینکنندگان مهم خود، واقعا خوب هستند. نگرانی من کسانی هستند که پایینتر از آستانه تحمل قرار دارند. موسسات مالی باید صادقانه درباره تاثیرات نامطلوبی که حتی ممکن است خدمات کوچکتر آنها توسط هکرها تحتتاثیر قرار گیرد، صحبت کنند.»
- اقدامات قانونی در برابر حملات سایبری
راجرز که خود یک رییس سابق بانک مرکزی بوده میگوید: «اگر اتفاقی برای آنها بیفتد، آیا شما را به لرزه در میآورد؟» برخی اقدامات قانونی، قبلا در این زمینه انجام شده است.
برای مثال، پارلمان اروپا اخیرا قانون مقاومت عملیاتی دیجیتال را تصویب کرده که این قانون، بانکها را مسوول امنیت سایبری فروشندگان امنیت شخص ثالث خود میکند.
راجرز استدلال میکند که پیوستن به همه استانداردهای مختلف و تست استرس برای امنیت سایبری نیز میتواند کمککننده باشد و درخواست مشابهی از هیئت ثبات مالی G20 را تکرار میکند.
توافق بینالمللی در مورد مشترکات بین این قوانین حداقل برای بانکهای چندملیتی، میتواند تفاوت زیادی در نحوه قرارگیری آنها در هنگام وقوع تخلف در یک کشور ایجاد کند اما بر عملیات آنها در یک نقطه کاملا متفاوت از جهان تاثیر میگذارد.
کلرمن تاکید میکند بانکها همچنین باید به طور اساسی درباره چگونگی طراحی استراتژیهای امنیت سایبری اساسی خود تجدیدنظر کنند. دیگر اینطور نیست که موسسات فقط باید به فکر دفاع از فضای خود باشند، یا همیشه میتوانند در زمینه جلوگیری از نفوذ هکرها به سیستم موفق شوند.
کلرمن میگوید: «آنها واقعا باید پارادایم امنیتی را برای دفاع از درون، معکوس و بر سرکوب نفوذ، تمرکز کنند. این امر، لزوما افزایش سرمایهگذاری در حفاظت از زمان اجرا برای برنامهها، تقسیمبندی خرد شبکهها و زیرساختها، خدمات پاسخ تشخیص گسترده و موارد بالاتر را شامل میشود.»
راجرز معتقد است تبادل اطلاعات نیز باید بهبود یابد. انجمنهایی وجود دارند که بانکها میتوانند در آنها، تمام روز درباره عوامل تهدید و ناقلان حمله صحبت کنند اما اینها باید توسط این صنعت، به روش سیستماتیکتر مهار شوند. همچنین بانکها باید از آنها به درستی استفاده کنند. در مجموع، رییس بانک مرکزی سابق امیدوار است موسسات مالی غربی، اقدامات خود را انجام دهند.
راجرز بهویژه از دیدگاههای رگولاتورهای بریتانیا دلگرم است. او استدلال میکند که وقتی صحبت از امنیت سایبری شهر به میان میآید، آنها «بسیار متمرکز و دقیق» بودهاند.
او توضیح میدهد که اگر صنعت، این موضوع را به درستی انجام دهد، میتواند الگوی مثبت برای مدیران شرکتهای مرتبط با زیرساختهای حیاتی باشد تا چشمانداز تهدید خود را مجددا ارزیابی کنند. با این حال، بانکها باید درباره اینکه تهدیدات از کجا ناشی میشود، صحبت کنند.
و در نهایت راجرز میگوید: «درخواست من این است: بیایید بیشتر، صحبت و تبادل اطلاعات کنیم، زیرا اگر میخواهیم به عنوان یک حرفه مورد توجه قرار گیریم، باید مانند یک حرفهای عمل کنیم.» (منبع:عصرارتباط)