أمن المعلومات في القطاع المصرفي

المخاطر والتحديات

سياتيكأبريل 4, 2018

1 4٬773 7 دقائق

أمن المعلومات في المصارف

يُشكل موضوع أمن المعلومات المتداولة عبر الإنترنت هاجسًا للكثير من المستخدمين، فمع تطور وسائل الإتصال ووسائل تخزين وتبادل المعلومات تطورت معها الأساليب الخبيثة المستخدمة لسرقة المعلومات والبيانات أو التلاعب بها. فبات وجود قسم أمن المعلومات والمعلوماتية في المؤسسات أمر غاية في الأهمية لحماية بيانات المؤسسة أو المنشأة وبخاصة في القطاع المالي. فأصبح أمن المعلومات في القطاع المصرفي أكثر أهمية من الأمن الفعلى لفرع مصرف، ببساطة لأن ما يمكن سلبه من أوراق نقدية خلال عملية سطو مسلح على فرع لمصرف ما هو بالشيء الكثير مقارنةً بالمبالغ الممكن سرقتها خلال عملية قرصنة إلكترونية. سنسلط الضوء في هذا المقال على المخاطر الأمنية المتزايدة والتهديدات التي تواجه القطاع المالي فهذه المخاطر على أمن المعلومات في المصارف أوجدت آفاق عمل جديدة كثيرة وتحديات أكثر.

من جهة أخرى فإن وسائل وأساليب الحماية تطورت أيضًا، لذا يمكن اليوم تحقيق مستوى عالٍ من أمن المعلومات في قطاع الخدمات المصرفية والمالية من خلال السعي لتحقيق النزاهة والسرية والتوافر والضمان والمساءلة. وكذلك إن تقييم مخاطر أمن المعلومات، والإستراتيجية الأمنية، والتحكم في التنفيذ، ومراقبة العمليات، والتحديث المستمر كلها وسائل دفاع وقائية وتنبؤية مساعدة في تحقيق الأهداف الإستراتيجية نحو مصرفية أمنة.

نتائج البحث في أمن المعلومات في المصارف

قامت شركة SecurityScoreCard الأميركية بدارسة وتحليل الوضع الأمني لحوالي 3000 مؤسسة مالية من أجل قياس وتحديد أداء الأمن السيبراني للقطاع المالي وبالفعل تم العثور على نقاط ضعف داخل أنظمة المعلوماتية في البنوك وشركات الاستثمار والمؤسسات المالية الأخرى. فكانت النتائج كما يلي:

تعرضت 45 بالمئة من المؤسسات المالية لحدث إلكتروني خبيث واحد على الأقل بين شهري مارس وأغسطس 2017 مما يؤكد على أن المؤسسات المالية هي في طليعة المؤسسات المستهدفة من قبل مجرمي الإنترنت.
إن مجموع الخروقات السيبرانية التي تتعرض لها المؤسسات المالية هي أكثر من تلك التي تقع ضحيتها شركات الاتصالات والنقل والغذاء وتصنيع الأدوية مجتمعة.
يواجه القطاع المالي صعوبة في إدارة المخاطر الأمنية الخاصة بالأطراف الثالثة والتي تنشأ من البيانات وكلمات السر المكشوفة التي يتم تسريبها من قبل العملاء وهنا تكمن أهمية برامج التوعية للعملاء.
لوحظ حصول 25 بالمئة فقط من المصارف المؤمنة التي شملتها الدراسة على تقييم “A” في صحة الـDNS.

التهديدات التي يواجهها الأمن السيبراني داخل المؤسسات المالية

أ- تهديدات داخلية

لامبالاة الموظفين

أثبتت الدراسات أن إهمال المستخدم للنظام (موظف المصرف في هذه الحالة) يشكل أكبر تهديد للأمن السيبراني داخل المؤسسات، متجاوزًا الخطر الدائم الذي تمثله البرامج الخبيثة أو هجمات القرصنة المنظمة.

الإحتيال والسرقة

يشكل تحايل بعض الموظفين من داخل المؤسسة أعباء مالية كبيرة. تخسر الشركات بمعدل 5 بالمئة من أرباحها السنوية نتيجة الإحتيال الداخلي بحسب إحصاءات جمعية ممتحني الاحتيال المعتمدين الـ AFCE .

يقدم الرسم أعلاه فكرة عن بعض من أنواع الاحتيال الداخلية التي تواجه حاليًا فرق أمن المعلومات في القطاع المصرفي: كسرقة العملاء، وإساءة الائتمان، وإنتهاك لسياسات أمن المعلومات، وغسيل الأموال، والاحتيال في المشتريات، والاحتيال التجاري، والنفقات والرواتب وسرقة البيانات.

كيفية التعامل مع التهديدات الداخلية لأمن المعلومات في المصارف

السياسات وسير الإجراءات الداخلية

من الحكمة، في البداية، إنشاء وتوثيق سياسات وإجراءات واضحة المعالم، تكون بمثابة نقطة مرجعية مشتركة للفريق بأكمله. وجود هذه الوثائق سيمهد طريقة واضحة لضمان وجود التوحيد والتناسق في الممارسات والعمليات المعتمدة في مرحلة التشغيل.

حملات توعية مستمرة حول أهمية أمن المعلومات في المصارف

لقد أشرنا في مقال سابق على مدى أهمية تحصين الجبهة الداخلية كنقطة أساسية في برنامج أمن المعلومات لأي مؤسسة، إن مسؤولية أمن المعلومات ليس حكرًا على فريق أمن المعلومات وحده بل هي مسؤولية الجميع. فإنطلاقًا من هذا المبدأ، يجب أن تكون حملات التوعية دائمة التحديث وموجهة بشكل دوري لجميع العاملين داخل المنشأة دون إستثناء على مدار العام. من المهم جدًا أن يحسن الموظف التصرف مع الحوادث الأمنية داخل الشبكة.

فحص الخلفية الجنائية والوظيفية

يجب ان يكون فحص الخلفية الجنائية والوظيفية من الخطوات البديهية أثناء مرحلة التوظيف في أي مصرف أو مؤسسة مالية.

تدابير الأمن المادي في مراكز البيانات

مع التزايد المستمر لمنهجيات الهندسة الاجتماعية، تزداد ضرورة حماية مركز البيانات من السرقة الفعلية، والخطأ البشري وليس فقط القرصنة الإلكترونية وخرق البيانات عن بُعد. هناك دائما حاجة إلى إيلاء المزيد من الاهتمام للأمن المادي في مراكز البيانات.

وغني عن القول أن مراكز البيانات ينبغي أيضا أن تكون محمية إلى أقصى حد ممكن من الكوارث الطبيعية، والصدمات الكهربائية، وتسرب المياه، والرطوبة المرتفعة، ودرجات الحرارة المرتفعة، والحرائق … إلخ. وكل هذا ينظوي تحت بند الأمن المادي والضوابط البيئية في مراكز البيانات ضمن برنامج أمن المعلومات في المنشأة.

المصادقة وتفويضات الإستخدام

يرافق وضع ضوابط التصريح بالدخول إلى المعلومات بعض التحديات الصعبة على مستوى الهندسة الداخلية للأمن السيبراني داخل المنشأة المالية. تتمثل التحديات في فهم البنية التنظيمية للمؤسسة المالية أو المصرفية، وتصميم الضوابط، وتنفيذها وصيانتها بشكل دوري.

ب – التهديدات الخارجية

القرصنة

تجعل الخدمات المصرفية عبر الإنترنت الحياة أكثر سهولة، ولكنها أيضًا تجعل مواردك المالية عرضة للهجمات الخبيثة. من المهم اتخاذ خطوات نشطة لحماية منظمتك من خروقات البيانات والقرصنة والطرق الأخرى لاستغلال معلومات الحسابات، مثل التصيّد الاحتيالي، وأحصنة طروادة، والاستخدام اللحظي (سرقة أو اختطاف الجلسات)… إلخ. يظهر الرسم البياني أدناه من شركة كاسبرسكي لاب الروسية زيادة ملحوظة في حجم هجمات التصيد الإحتيالي على القطاع المصرفي بين عامي 2015 و 2017.

هجمات على العملاء

تجد المصارف، والمؤسسات المالية، والمتاجر الإلكترونية، وجميع المنظمات المشاركة في الترويج عبر الإنترنت حاجة متزايدة لضمان أمن معاملاتهم الرقمية. ولكن حماية العميل لجهازه أو جواله هو على نفس القدر من الأهمية لأن أنظمة القرصنة تطبق قانون الغاب وتهاجم الفريسة الأضعف، أي جهاز العميل في حالتنا هذه.

تهديدات ناشئة

نحن نعيش في وقت مثير للغاية حيث تتطور التكنولوجيا بسرعة فائقة، ولكننا نعلم أن الفرص الجديدة للمستهلكين تكون فرصًا جديدة للمتسللين ومجرمي الإنترنت على حد سواء. عند العمل على أمن المعلومات والأمن الإلكتروني في القطاع المصرفي أو أي قطاع آخر، من المهم للغاية الإستفادة من جميع الموارد الحيوية التي تساعدنا على البقاء متقدمين أمام المتسللين بخطوة واحدة على الأقل.

الهجمات ضد المؤسسات المالية

كيفية التعامل مع التهديدات الخارجية لأمن المعلومات في المصارف

الأمن المحيطي في القطاع المصرفي

يشكل الأمن المحيطي خط الدفاع الأول ضد أي إختراق أمني، فهو يشكل حماية فعالة ويعتبر عنصرًا أساسيًا لاستراتيجية الأمن في المصارف ومؤسسات الخدمات المالية. وكثيراً ما يكون الجمع بين التكنولوجيا، الأمن المادي وتدريب الأفراد المعنيين أكثر الطرق فعالية للتكامل الأمني، مما يخلق طبقات دفاع متعددة لحماية محيط المؤسسة.

مصادقة المستخدم والتصريح بالدخول

يعتبر تبسيط التجربة الرقمية للعملاء وتحصين أمن الحساب المصرفي على طرفي نقيض. فمن الصعب للغاية التوفيق بين الإثنين. ولكن بالنسبة للحسابات المصرفية إن الأولوية هي للأمن السيبراني. لتصفح آمن عبر الإنترنت يجب البدء دائمًا بعملية المصادقة للتأكد من أن المستخدم هو المستخدم الصحيح المصرح له وليس مقرصن أو سارق هوية. تتضمن المصادقة عمومًا مصادقة فردية ومتعددة العوامل بالإضافة إلى تدابير “أمن الطبقات” (Layered Security) الإضافية عندما تقتضي الحاجة.

المصادقة المتعددة العوامل (Multi-factor Authentication)

تعتبر أساليب المصادقة التي تعتمد على أكثر من عامل واحد أكثر صلابة نظرًا لصعوبة إختراق مصدرين للمصادقة في الوقت عينه. وبناءً على ذلك، فإن أساليب المصادقة متعددة العوامل المصممة والمطبقة بشكل صحيح أكثر موثوقية ورادعًا أقوى من المصادقة القديمة التي تعتمد على اسم المستخدم وكلمة المرور فقط. فمن المهم أن تتخذ المصارف والمؤسسات المالية الأخرى الخطوات اللازمة لتنفيذ مصادقة متعددة العوامل آمنة.

إدارة التصحيح (Patch Management)

من الضروري وضع عملية إدارة التصحيح لضمان اتخاذ التدابير الوقائية المناسبة ضد التهديدات المحتملة. تنطبق الرقع على أجزاء مختلفة من نظام المعلومات المصرفية والتي تشمل أنظمة التشغيل والخوادم وأجهزة التوجيه وأجهزة الحاسوب وعملاء البريد الإلكتروني والأجهزة المحمولة والجدران النارية والعديد من المكونات الأخرى الموجودة داخل البنية الأساسية للشبكة.

توعية وتثقيف العملاء

مما لا شك فيه أن تدريب وتعليم العملاء هو أحد الإجراءات الاحترازية الضرورية لحماية المعلومات السرية للعملاء. فتزويد العملاء بإرشادات عملية حول كيفية حماية أنفسهم من سرقة الهوية، والاحتيال الإلكتروني، وغيرها من التهديدات التي قد يواجهونها أثناء إستعمال الخدمات المصرفية عبر الإنترنت يساهم بشكل أساسي في التخفيف من تأثير الهجمات على العملاء التي ذكرناها سابقًا.

خدمات جديدة للعملاء

تزويد العملاء بطرق ملائمة لإدارة شؤونهم المصرفية مع الحفاظ في نفس الوقت على إجراءات أمنية مناسبة لحماية أنفسهم وقاعدة عملائهم. بالرغم من صعوبة الموازنة بين الإثنثن كما ذكرنا سابقًا.

العمل مع أطراف ثالثة لتحسين الضوابط

من المؤكد أن العمل مع أخصائيي أمن المعلومات من مصادر خارجية كطرف ثالث هو طريقة ذكية لتحسين سير الأعمال وخفض التكاليف مع تحسين أمن المعلومات في المصارف في نفس الوقت. بالإضافة إلى ذلك، فإن الخدمات التي يقدمها مصدر خارجي ستوفر الوقت والجهد على فرق أمن المعلومات داخل المنشأة المالية فيعطي الفريق فرصة للتركيز على العمليات الشاملة وتقديم أعلى مستويات الخدمة للمنشأة وعملائها. لكن أخذ الحيطة والحذر مسألة واجبة وضرورية لضمان اختيار أفضل الشركاء المحتملين، وذلك لأن هناك دائمًا احتمال لزيادة المخاطر الأمنية عند الاستعانة بمصادر خارجية.

المخاطر التي يواجهها كل مصرف أو مؤسسة مالية

بعد أن حددنا التهديدات التي تشكل خطراً على أمن المعلومات في المصارف والمؤسسات المالية، فإن الخطوة التالية هي تحديد نقاط الضعف الموازية في الأنظمة، والموارد، والعمليات أو السياسات التي يمكن استغلالها في هجمات خبيثة. في ما يلي قائمة بالمخاطر التي تواجهها المصارف أو البنوك بشكل دائم والتي قد يكون لها تأثير سلبي محتمل على نشاطها التجاري.

المخاطر التي يواجهها كل مصرف أو مؤسسة مالية

بعض الإحصاءات حول أمن المعلومات في المصارف

فيما يلي الأنواع الأكثر شيوعًا لنواقل الهجوم التي أبلغت عنها شركات الخدمات المالية:

%42 دخول غير مرخص
%31 كود خبيث
%17 التحقيق المستمر Sustained Probe
%6 أنشطة مشبوهة
%3 إساءة استخدام بيانات الاعتماد

تجدر الإشارة أيضاً أن 60٪ من المهاجمين قد تم تصنيفهم على أنهم من داخل المؤسسة وقادرين على الوصول إلى الشبكة بسهولة، وأن 44.5٪ لديهم نوايا خبيثة واضحة، و 15.5٪ يتسببون في أحداث من خلال إجراء غير مقصود.

تستجيب المصارف والمؤسسات المالية من خلال استراتيجيات جديدة محددة للتخفيف من مخاطرها الرقمية، كما يلي:

في استطلاع رأي قامت به الـ(GSIS) أفاد 51٪ من المشاركين أنهم يستخدمون خدمات أمان مُدارة لحلول مثل المصادقة والمراقبة الحية والتحليلات.
يخطط 54٪ من المؤسسات لإنفاق المزيد من الأموال من أجل تحسين أمن الشبكة والمحمول.
61٪ من المؤسسات تفرض على الموظفين الآن إكمال تدريبات في الأمن السيبراني.

تكمن الخسارة الحقيقية في التأثير السلبي على سمعة المصرف.

توصيات من أجل مصرفية آمنة

بعد عرض التهديدات والتحديات التي تواجه أمن المعلومات في المصارف، يمكننا الإستعانة بما يلي من أجل خدمات مصرفية آمنة:

معايير أو مقاييس أمن المعلومات الدولية: يستعين العاملين في مجال أمن المعلومات بالمعايير والمراجع العالمية بشكل يومي، فهي تعتبر مرجع دقيق ومهم. فمن خلال تطبيق برنامج شامل لأمن المعلومات في المصرف بشكل يتكامل مع إطار إدارة المخاطر في المصرف، ومتوافق مع المتطلبات التنظيمية ومبني على أحدث المعايير مثل ISO/IEC 27001:2013 يمكن تجميع معلومات المخاطر والتهديدات من جميع أنحاء المؤسسة، وتحويلها إلى رؤى تحتاج إليها المؤسسات لتأمين أصولها، وحماية علامتها التجارية.

يوضح الرسم أدناه مزايا تنفيذ معيار ISO/IEC 27001:2013:

مزايا تنفيذ معيار ISO/IEC 27001:2013

الاستخبارات الأمنية: من خلال التعاون مع بعضها البعض، يمكن لمقدمي الخدمات المالية على مستوى العالم تطوير مجموعة من المؤشرات المشتركة التي تساعد على وضع إرشادات تقنية متناسقة ومفصلة، وكذلك تطوير منهاج للتدابير الأمنية الواقعية مناسب وسهل التطبيق.

يوضح الرسم أدناه المزايا الرئيسية للتعاون الدولي من مشغلي القطاع المالي:

مزايا الرئيسية للتعاون الدولي من مشغلي القطاع المالي

كلمة أخيرة

إن الاستثمار في أفضل المنتوجات التكنولوجية وحسب ليس كافيًا، يجب استكماله بالتعليم والتوعية على مستوى المنشأة ككل حول الأنظمة والمعايير وقيمة البيانات وسير عمليات إدارة البيانات الحساسة بأمان.

من خلال التدريب الصحيح يتمكن مقدمي الخدمات المالية والمصرفية صياغة نهج موحد لإدارة البيانات الحساسة والالتزام بالمعايير العالمية من أجل مكافحة الجريمة السيبرانية المالية وتعزيز الأمن في المؤسسات المصرفية والمالية العربية.

عرضنا لكم في هذا المقال بعض الأفكار عن أمن المعلومات في المصارف والمؤسسات المالية، إذا كنت تعمل في مجال أمن المعلومات في المصارف أو في مجال الخدمات المصرفية نود أن تشاركنا تعليقك.

تابعونا على Linkedin

English

الوسوم