آيا همه بانک‌ها به امنيت سايبري توجه دارند (بخش اول)

ريسک امنيت مجازي قطعاً مرکز توجه نيروهاي اجرايي بانک و اعضاي هيئت مديره است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، آیا هفته‌اي از سال ۲۰۱۴ بدون گزارش‌هايي درباره تهاجم مجازي عمده‌اي يا رخنه اطلاعاتي سپري شده است؟ در جولاي، شرکت «جِي پي مورگان چِيس اند کو (جي پي مورگان و شرکا)» بيش از ۸۰ ميليون حساب مشتريان را که به دست هکرها در آنها رخنه شده بود کشف کرد و حمله به خرده‌فروش‌هايي همچون شرکت انبار و مقصد خانه (Home Depot and Target) براي صنعت خدمات مالي صدها ميليون دلار هزينه در بر داشته است. امسال هيچ تعهدي نداده است که نسبت به سال پيش وضع بهتري داشته باشد.

آيا مديران بانکي تهديد را جدي مي‌گيرند؟ مديران بانکي (همايش) بررسي شيوه‌هاي (مديريت) ريسک، حمايت شده توسط شرکت فناوري پرداخت‌ها و بانکداري FIS (شرکت خدمات اطلاعاتي اعتماد پذيري) بر اين مساله که بانکدارها چگونه در حال مديريت ريسک هستند، شامل نقش هيئت مديره در نظارت و ايجاد فرهنگي براي تقويت و حمايت مديريت ريسک در تمام سازمان تمرکز کردند. پاسخ‌دهندگان شامل ۱۴۹ مديرعامل، کارمندهاي ارشد (مديريت) ريسک، اعضاي هيئت مديره و نيروهاي اجرايي ارشد از بانک‌هاي ايالات متحده با سرمايه بيش از حدود ۵۰۰ ميليون دلار سهم موسسه‌هاي کوچک‌تر را که موضوع بسياري قوانيني که رويه بانک را در برابر ريسک تنظيم مي‌کنند نيستند، فراهم مي‌کنند.

ريسک امنيت مجازي قطعاً مرکز توجه نيروهاي اجرايي بانک و اعضاي هيئت مديره است. هشتاد و دو درصد امنيت مجازي را به‌عنوان رده‌اي از ريسک که بيشتر از همه آنها را نگران مي‌کند، يعني بسيار پيشي گرفته از مسائل بيشتر موافقت نامه‌هاي سنتي (۵۲ درصد)، اعتبار (۳۷ درصد) و ريسک عملياتي (۳۵ درصد). نگراني درباره ريسک امنيت مجازي به شکل مشخصي پس از بررسي سال ۲۰۱۴ افزايش يافته است، زماني که ۵۱ درصد گفتند امنيت مجازي بيشتر از همه نگران‌شان مي‌کند.

تنظيم‌کنندگان نيز در حال توجه کردن به اين مسئله هستند. در يادداشتي در دسامبر ۲۰۱۴، اداره ناظر نيويورک خدمات مالي، بنجامين لاسکي، فرايند بررسي مشروحي را براي بانک‌هايي که در آن ايالت پروانه گرفته‌اند منتشر کرد که توسعه‌دهنده تمرکز آن اداره بر امنيت مجازي بود. دستورالعمل به‌روز شده شامل نگاهي به ساختارهاي مديريت جامع اين موسسه‌ها به‌طوري‌که به امنيت مجازي ارتباط دارد بود. درنتيجه ارزيابي بانک‌هاي محلي انجام شده در تابستان گذشته، شوراي فدرال بازرسي مؤسسات مالي (FFIEC) در نوامبر

۲۰۱۴ اين شورا «نيازي به مشارکت توسط هيئت مديران و مديران ارشد» را ابراز داشت که شامل فهم کاملي از ريسک امنيت مجازي بانک و بررسي روزمره مسائل امنيت مجازي در جلسات هيئت مديره مي‌شود.

آمادگي در برابر حملات
به هر حال، شيوه‌هاي هيئت مديره بسياري موسسه‌هاي مالي براي تهديدهاي کنوني اتخاذ نشده‌اند. امنيت مجازي ممکن است اولويت داشته باشد، اما ۸۲ درصد پاسخ‌دهندگان مي‌گويند مديران‌شان مسئله را در هر جلسه هيئت مديره به بحث نمي‌گذارند. تنها نيمي از آنها باور دارند که آماده‌سازي براي حمله مجازي جزو يکي از چالش‌هاي مديريت ريسک اصلي بانک‌شان قرار مي‌گيرد. درون کميته‌اي که موظف است بر ريسک تمرکز کند، خواه آن کميته ريسک مجزايي باشد، چنان‌که توسط ۴۷ درصد پاسخ‌دهندگان اعلام شده است يا کميته حسابرسي و ريسکي ترکيبي (۲۷ درصد) يا کميته حسابرسي (۱۴ درصد)، کمتر از نيمي از پاسخ‌دهندگان از طرح امنيت مجازي بانک انتقاد کردند.

ساي هودا، معاون ارشد و مدير کل راهکارهاي موافقت، ريسک و مديريت سرمايه‌گذاري FIS، مي‌گويد: «فکر مي‌کنم اين تحرک جبراني سريعي را که اين صنعت به انجام آن نياز دارد بازنمايي مي‌کند.»

هزينه رخنه بيش از هزينه سرمايه‌گذاري در امنيت
شواهد اين فقدان تمرکز بر امنيت مجازي توسط بودجه امنيت مجازي در بسياري بانک‌ها بازنمايي مي‌شود. ۶۰ درصد پاسخ‌دهندگان بيان مي‌دارند که کمتر از ۱ درصد درآمدهاي بانک‌شان در سال مالي ۲۰۱۴ به امنيت مجازي اختصاص يافته بود، در عين حال تنها بيش از نيمي از اين بانک‌ها براي افزايشي کمتر از ۱۰ درصد برنامه‌ريزي مي‌کنند. هودا مي‌گويد: «متاسفانه امروزه هيئت مديره درباره‌اش در هر جلسه صحبت نمي‌کند، آنها طرح را بازبيني نمي‌کنند و بنابراين طبيعتاً بودجه مذکور آن را باز مي‌نماياند.»

وي اشاره مي‌کند که بانک‌ها اغلب بودجه امنيت مجازي را پس از رخ دادن رخنه‌اي در داده‌ها افزايش مي‌دهند، خيلي دير مي‌فهمند که هزينه رخنه در داده‌ها بسيار بيشتر از هزينه سرمايه‌گذاري در امنيت مجازي است.

با توجه به مطالعه موسسه «پنمون» با همکاري «آي بي ام»، رخنه در داده‌ها براي يک سازمان مي‌تواند به‌طور متوسط ۵.۸ ميليون دلار هزينه در بر داشته باشد. اين مطالعه به علاوه روشن ساخت که اين اتفاق ممکن است اجتناب‌ناپذير باشد، شرکت‌ها مي‌توانند اين هزينه را با تقويت اقدامات امنيتي کاهش دهند. استخدام کارمند ارشد امنيت اطلاعات (CISO) و داشتن نقشه واکنشي به حادثه در موقعيت دو عاملي هستند که مي‌توانند تأثير عميقي بر امنيت بانکي بگذارند.

لزوم استخدام Ciso
بيش از يک‌سوم شرکت‌کنندگان در بررسي آشکار ساختند که بانک‌شان کارمند ارشد امنيت اطلاعات تمام وقتي ندارد، به شکل مشخص موسسه‌هايي با کمتر از ۵ ميليارد

دلار سرمايه تخميني. براي بانک‌هايي بدون چنين نيرويي، پاسخ‌دهندگان مي‌گويند که اين کار اغلب بر دوش کارمند ارشد اطلاعات (CIO) مي‌افتد. به هر حال، CISO با CIO بسيار متفاوت است و داراي مجموعه مهارت‌هاي تخصصي‌تري است.

هودا مي‌گويد:«کار CISO به‌عنوان خط دوم دفاع کمک کردن به پيشگيري از فاجعه مجازي است.»
به‌خاطر اين تمرکز بر ريسک و فناوري، CISO بايد به کارمند ارشد ريسک (CRO) گزارش دهد. بسياري تنظيم‌کنندگان (با اين مسئله) موافق‌اند. لاسکي نوشت که اداره او «تمامي مؤسسات را براي ديدن امنيت مجازي به‌عنوان وجهي اساسي از راهبرد مديريت ريسک‌شان، به جاي صرفاً همچون زيرمجموعه‌اي از فناوري اطلاعات، تشويق مي‌کند.»

کارن کيسي، کارمند ارشد ريسک در بانک ۲.۲ ميليارد دلاري «اَمبوي»، تابع شرکت «امبوي بنکورپ» مستقر در «اولد بريج نيوجرسي»، توسط تنظيم‌کنندگان بانک مطلع شد که CISO به جاي مشترکا به CRO و CIO گزارش دادن، همان‌طور که بانک در اصل برنامه‌ريزي کرده بود، بايد به او گزارش دهد. او مي‌گويد: «کارمند امنيت اطلاعات بايد کاملاً از سيستم IT مستقل باشد.»

مايک مک کوردي، کسي که وظيفه مضاعف کارمند ارشد ريسک و مشاور اصلي را در شرکت بانکي بروکلين، شرکت هلدينگ چند بانک که در بوستون ماساچوست با سرمايه تخميني ۵.۸ ميليارد دلار مستقر است، بر عهده دارد، مي‌گويد: «کارمند ارشد امنيت اطلاعات در اين زمان و دور نقشي اساسي است. او تخصصي يگانه و ارزشمند را ارائه مي‌دهد.» CISO هم فناوري درون بانک و هم دستورالعمل‌ها و فرايندهاي کل سازمان را درک مي‌کند. براي شرکت بروکلين، اين نقش نه‌تنها شامل نظارت و آزمايش، بلکه شامل ايجاد و پياده‌سازي برنامه‌اي آموزشي براي تمامي کارمندان بخش امنيت اطلاعات نيز مي‌شود.
محيط فناورانه سريعاً در حال تغيير کنوني به بانک‌ها اين اطمينان را مي‌دهد که مسئله اين نيست که آيا حمله‌اي مجازي يا رخنه اطلاعاتي رخ خواهد داد يا نه، بلکه مساله اين است که کي اين اتفاق رخ خواهد داد. علاوه بر مديريت روزانه برنامه امنيت اطلاعات، CISO در «والا والا»، وابسته به شرکت «بنر مستقر در واشنگتن، با سرمايه تخميني ۴.۷ ميليارد دلار، تيم مقابله با حوادث را رهبري مي‌کند. ۷۶ درصد پاسخ‌دهندگان به بررسي آشکار ساختند که بانک‌شان مديراني براي حوادث مجازي و نقشه‌اي براي پاسخ‌گويي به آن دارد.

طرح مقابله با حوادث مجازي مي‌تواند به تقليد از طرح بازيابي بانک از فاجعه و طرح پيوستگي کاري، اما با تمرکزي بر ريسک‌هاي مجازي به‌عنوان الگو به‌کار رود. محيط‌هاي آسيب‌پذير بايد شناسايي شوند و اين طرح بايد شامل اين باشد که درصورت وقوع رخنه بانک چگونه پاسخ خواهد داد و نقشه بايد به‌طور منظم به‌روز شده و آزمايش شود.
مرجع: ماهنامه دیده‌بان فناوری- شماره ششم