التحقيقات في الحوادث الأمنية داخل البنوك الجزء الاول
تحظى طريقة إجراء التحقيقات الأمنية في البنوك بمزيد من الاهتمام في الوقت الحاضر. في الماضي ، كانت الإجراءات والممارسات العامة للاستجابة للحوادث مقبولة. ومع ذلك ، نظرًا للاتجاهات واللوائح الأمنية التي تؤثر على البنوك على وجه التحديد ، تتطلب هذه المؤسسات مناهج مختلفة قليلاً عن برامج التحقيق الأمني الخاصة بها من أجل مراعاة هذه اللوائح الجديدة والاتجاهات الأمنية.
تقدم هذه المقالة لمحة عامة عن عملية التحقيق الأمني ، وكيف تتناسب مع عملية الاستجابة للحوادث ، وعملية التحضير المطلوبة ، والقضايا المحددة في البنوك التي يجب أخذها في الاعتبار ، والعلاقة بين هذه العملية وأنشطة الاستخبارات الأمنية.
التحقيقات في الحوادث الأمنية
التحقيقات في الحوادث الأمنية هي مهام تهدف إلى الإجابة عن الأسئلة (متى وأين وماذا ومن وكيف ولماذا) فيما يتعلق بحدث معين أثر على المعلومات أو البنية التحتية لمنظمة بطريقة غير مرغوب فيها و / أو غير محددة و / أو غير قانونية.
على النقيض من معظم أنواع التقييمات الأمنية ، فإن تحقيقات الحوادث الأمنية تكون ذات طبيعة رد الفعل (أي تم الكشف عن حادثة بالفعل) ، وهذا يضع ضغوطًا إضافية وقيودًا على الوقت / الموارد عند مقارنتها بالمهام الأمنية الأخرى.
ومع ذلك ، فإن التحقيق في حادث أمني ليس مستقلاً تمامًا عن مهام أمن المعلومات الأخرى. يمكن أن توفر المهام الأخرى مدخلات مفيدة قبل / أثناء التحقيق ، أو الشروع فيها كنتيجة للتحقيق أو تلقي نتائج التحقيق كمدخلات.
عملية الاستجابة للحوادث
يتكون النموذج العام للاستجابة للحوادث من ست خطوات:
• التحضير
• تحديد الهوية
• الاحتواء
• الاستئصال
• الانتعاش
• الدروس المستفادة
تقليديا ، من المتوقع أن تبدأ أنشطة التحقيق في الحوادث الأمنية المناسبة في الخطوة الأخيرة. هذا النموذج للاستجابة للحوادث مناسب للعديد من الشركات لأنه يعطي الأولوية لاستئناف الأعمال. ومع ذلك ، مع البنوك ، يجب أن نتوقع أن تكون عملية التحقيق موجودة (جزئيًا على الأقل) في كل خطوة من الخطوات الست.
تواجه البنوك الآن قرارات صعبة أثناء التعامل مع الحوادث الأمنية ، ويرجع ذلك أساسًا إلى المتطلبات التنظيمية. كما هو الحال مع أي منظمة أخرى ، فهم مهتمون بالتأكيد بإيقاف المزيد من الضرر (الاحتواء) وضمان استمرار العمليات (الاسترداد). ومع ذلك ، تتطلب المتطلبات التنظيمية الجديدة من البنوك ليس فقط إصلاح المشكلة ولكن أيضًا للتحقيق في الأسباب ، والقدرة على تحديد التأثير ، وفي بعض الحالات ، إخطار الأطراف الثالثة بنتائج هذه التحقيقات.
لسوء الحظ ، تميل العديد من الأنشطة التي يتم إجراؤها أثناء مراحل الاحتواء والاستئصال والتعافي إلى تدمير الأدلة المحتملة التي يمكن أن تكون مفيدة للتحقيق في الحادث. المثال النموذجي هو التعافي من الاقتحام ؛ توصي أفضل الممارسات بالتنسيق وإعادة التثبيت الكامل لنظام مخترق بدلاً من مجرد محاولة تحديد موقع المشكلة وحلها. إعادة تثبيت نظام التشغيل والبرمجيات (من مصادر موثوقة) هي بالتأكيد طريقة أفضل لضمان عدم وصول الدخيل إلى هذا النظام ، ومع ذلك ، يتم فقدان الكثير من الأدلة المتعلقة بالحادث.
إن إلقاء نظرة على التهديدات الأمنية الحالية للبنوك والمؤسسات المالية يجعلنا ندرك أيضًا أنه يجب تعديل عملية الاستجابة التقليدية للحوادث. على سبيل المثال ، أصبحت الهجمات المستهدفة (مثل البرامج الضارة التي تم إنشاؤها لارتكاب الاحتيال وهجمات الهندسة الاجتماعية وهجمات التصيد الاحتيالي) شائعة بشكل متزايد بالنسبة للبنوك. علاوة على ذلك ، نعلم أن العديد من هذه الهجمات تبدأ أو تستهدف المناطق الداخلية للمنظمات. لذلك ، لا يمكننا توقع أن الضوابط الأمنية التقليدية ستكون قادرة على اكتشاف هذه الهجمات.
قد تكون هناك حاجة إلى أجهزة استشعار غير تقليدية لاكتشاف هذه التهديدات ، ولكن حتى ذلك الحين ، فإن المهمة ليست بهذه السهولة. تخيل حالة افتراضية حيث يكون البنك قادرًا على اكتشاف التعديل غير المصرح به لمعلومات العميل بفضل ردود الفعل من الأفراد المتضررين. ما هو ناقل الهجوم المستخدم؟ ما الخادم الذي يجب عليك تنسيقه / إعادة تثبيته (إن وجد)؟ يوضح هذا المثال كيف يمكن أن يؤدي تعقيد معالجة المعلومات داخل البنوك (العديد من التطبيقات التي تتفاعل مع العديد من قواعد البيانات والتطبيقات الأخرى في وقت واحد) إلى إيقاف نهج الاستجابة التقليدية للحوادث.
في هذه الحالات ، لا يزال تحديد حادث محتمل غير كافٍ للشروع في الاحتواء والاستئصال والتعافي. يجب إجراء تحقيق في الحادث الأمني في هذه المرحلة لتحديد متجهات الهجوم وتأثيره بشكل صحيح قبل أن تتمكن فرق الاستجابة للحوادث الأخرى من القيام بعملها.