التحقيقات في الحوادث الأمنية داخل البنوك الجزء الثالث
يجب بالطبع مراعاة طبيعة ردود الفعل البشرية. لتقليل كمية المعلومات غير الملائمة / غير الصحيحة ، يجب تدريب الأشخاص بشكل صحيح لتحديد المشكلات الأمنية المحتملة ، بما في ذلك كيف ومتى وماذا يجب الإبلاغ.
مصدر آخر للمعلومات التي تكتسب شعبية هو تلك التي تنتجها أنشطة الاستخبارات الأمنية. يتطلب دمج هذه المعلومات في مرحلة تحديد الهوية لعملية الاستجابة للحوادث قدرًا كبيرًا من الموارد وتصميمًا فعالًا لمعالجة البيانات ، ولكن بمجرد إعدادها بشكل صحيح ، يجب أن توفر اكتشافًا فعالًا وسريعًا لأكثر الحوادث الخفية والمعقدة التي تحدث في غضون المنظمات.
الاستخبارات الأمنية
الاستخبارات الأمنية هي العملية التي يتم من خلالها تحليل المعلومات من مصادر مختلفة وربطها لإنتاج المعلومات ذات الصلة بالأحداث التي يصعب اكتشافها أو فهمها أو تحليلها باستخدام واحد فقط من مصادر المعلومات هذه.
فيما يتعلق بالتحقيقات في الحوادث الأمنية ، توفر الاستخبارات الأمنية مدخلات قيمة لهذه المهام ، وفي الوقت نفسه ، تستخدم نتائج هذه التحقيقات كمدخلات خاصة بها. تجعل هذه العلاقة الدورية الاستخبارات الأمنية شريكًا مهمًا لأنشطة التحقيق الأمني.
استخدمت البنوك المعلومات الأمنية لعدة سنوات بالفعل. تعد أنظمة اكتشاف السلوك الشاذ المنتشرة في العديد من البنوك للكشف عن أشياء مثل الاحتيال على بطاقات الائتمان وإساءة استخدام الحساب أمثلة جيدة. يمكن للمصارف الاستفادة فعليًا من هذه التجربة وتوسيع المفهوم ليشمل أنواعًا أخرى من الأنشطة غير الشائعة أو غير المصرح بها والتي قد تؤثر على أمن المعلومات.
قد يساعد مثال آخر في توضيح كيفية تطبيق الاستخبارات الأمنية لاكتشاف الهجمات المعقدة. لنفترض أن موظفًا داخل إحدى المؤسسات تلقى مكالمة من استطلاع مزعوم حول القوى العاملة ، يسأله عن معلومات حول وظيفته ويقدم قرصًا مضغوطًا مجانيًا به “برنامج مفيد” كجائزة. في حد ذاته ، قد يبدو هذا مجرد استراتيجية تسويق نموذجية لإنشاء قواعد بيانات للعملاء المحتملين. لنفترض أن الموظفين في هذا البنك قد تم تدريبهم على الإبلاغ عن نشاط شاذ مثل هذا من خلال. يمكن لمحقق الحادث الأمني أن يجد نمطًا من خلال ربط المعلومات التي أبلغ عنها بعض الموظفين واتخاذ قرار “بفحص” محتويات القرص المضغوط والمعلومات التي يتم جمعها أثناء المكالمات الهاتفية. ماذا لو احتوى هذا القرص المضغوط على حصان طروادة مصنوع خصيصًا لم يتم اكتشافه بواسطة برنامج مكافحة الفيروسات؟ ماذا لو كان هذا البرنامج يقوم بتسريب المعلومات إلى خارج البنك باستخدام قنوات سرية ضمن حركة المرور الصادرة المشتركة ، وبالتالي تجنب الكشف عن جدران الحماية وأنظمة كشف التسلل أو حجبها أيضًا؟ (على سبيل المثال ، الاتصال بمواقع الويب وتسريب المعلومات من خلال النماذج الموجودة في صفحات الويب هذه).
في هذه الحالة الافتراضية ، قد يتعرف المحقق على الحادث الأمني بسرعة ويبدأ عملية الاستجابة للحادث لتجنب حدوث أضرار إضافية. علاوة على ذلك ، قد يسمح رد الفعل السريع للمحققين بجمع معلومات متقلبة أخرى قبل حذفها ، مما قد يكون مفيدًا للتحقيق (على سبيل المثال ، قد تسمح سجلات معرف المتصل المتعلقة بالمكالمات الهاتفية من سجلات نظام الهاتف لقوات إنفاذ القانون بتحديد موقع بسرعة المجرمون).
مثل هذه الحالات تشكل تهديدات حقيقية للمنظمات. لتوضيح ذلك ، أجرى المعسكر التدريبي مؤخرًا تجربة شملت موظفين من عدة مؤسسات مالية تقع داخل سكوير مايل في لندن. تم تسليم الموظفين أقراص مضغوطة تحتوي على برنامج يقوم بإبلاغ الباحثين عن تنفيذه. خلصت التجربة إلى أن العديد من الموظفين من هذه المؤسسات المالية (بما في ذلك البنوك) حاولوا تنفيذ التطبيق داخل القرص المضغوط باستخدام أجهزة الكمبيوتر الخاصة بهم (على الرغم من التحذير المطبوع على علبة الأقراص المضغوطة حول مخاطر تثبيت برامج طرف ثالث غير مصرح بها).
عملية التحقيق
يجب استخدام الممارسات السليمة للتحقيقات الأمنية أثناء التحقيقات في الحوادث الأمنية (مثل إرشادات NIST و ACPO و ENFSI). بعض هذه المبادئ تشمل:
• الحفاظ على سلامة الأدلة
• توثيق كل ما تبذلونه من الإجراءات
• تدريب المحققين بشكل صحيح
â € ¢ تتبع الأدلة في جميع الأوقات (سلسلة العهدة)
تتضمن عملية التحقيق الأساسية الخطوات الأساسية التالية:
â € ¢ كشف الحادث (يبدأ العملية)
• تعريف النطاق
• جمع المعلومات / الأدلة
• تحليل المعلومات
• تسليم النتائج
داخل البنوك ، عادة لا تكون عملية التحقيق خطية كما تم تحديدها مسبقًا ؛ إنها تصبح بالأحرى عملية لولبية بعد الخطوة الأولى ، مع انتقال المحققين ذهابًا وإيابًا بين نطاق (إعادة) تعريف وتسليم النتائج ، وتحسين العملية في كل دورة.
فيما يتعلق بالقضايا الخاصة بالبنوك (معظمها بسبب المتطلبات التنظيمية) ، هناك بعض المجالات التي يجب على المحققين توخي الحذر بشكل خاص:
المشكلات المتعلقة بالإخطار بالحوادث: مع المؤسسات المعقدة مثل البنوك ، من الأفضل أن يكون لديك قسم يقوم بمركزية جميع المكالمات والمعلومات التي يمكن أن تكون
القضايا المتعلقة بتعريف النطاق: القيود الشديدة على الإجراءات والوقت المسموح به للتحقيقات داخل البنوك هي القاعدة وليست الاستثناء. لذلك يجب أن يكون المحققون محددين قدر الإمكان من حيث النطاق. كلما توفر المزيد من المعلومات ، يمكن تضييق النطاق لزيادة السرعة. ومع ذلك ، يجب أن يظل المحققون حريصين على تجنب إغفال الأدلة ذات الصلة. لذلك فإن نهج الاتساع هو أكثر ملاءمة من نهج العمق أولاً. على سبيل المثال في حالة الاشتباه في وجود احتيال من خلال خدمات الشبكة ، فمن المنطقي تحليل سجلات نشاط الشبكة من عدة أجهزة ذات صلة أولاً ، بدلاً من التركيز على نشاط الشبكة ونشاط التطبيق وسجلات الوصول المحلية والملفات المخزنة لنظام واحد قبل الانتقال للتحقيق في أخرى ذات صلة أنظمة.
المشكلات المتعلقة بإشراك موظفين آخرين: بصرف النظر عن أفراد أمن المعلومات الآخرين المشاركين في عملية الاستجابة للحوادث ، يتطلب تعقيد العمليات التجارية مشاركة موظفين آخرين في مجال تكنولوجيا المعلومات وغير متخصصين ، مثل مسؤولي النظام ومديري وحدات الأعمال والمحامين. إن إشراك هؤلاء الأفراد ، إذا تمت إدارتها بشكل صحيح ، يجب أن يؤدي أيضًا إلى تسريع التحقيق من خلال الاستفادة من معرفة وخبرة الأشخاص في مجالات خبرتهم. بالإضافة إلى ذلك ، يجب أن يكون المحققون على دراية بالحالات التي يجب فيها إشراك موظفين خارجيين كما هو مطلوب بموجب بعض اللوائح (مثل إنفاذ القانون ومراجعي الطرف الثالث).
المشكلات المتعلقة بالتوثيق: بعض المتطلبات التنظيمية محددة جدًا بشأن نوع المعلومات ومستوى التفاصيل المطلوبة لأي وثائق تتعلق بعملية التحقيق. على الرغم من إجراء العديد من التحقيقات داخليًا ولا يُتوقع أن يشمل العديد منها موظفين خارجيين أو حتى الوصول إلى المحكمة ، لا يمكن أبدًا التنبؤ بهذه الحالات. لهذا السبب ، من المنطقي الحفاظ دائمًا على نفس معايير التوثيق عالية الجودة لجميع التحقيقات في الحوادث الأمنية.
المشكلات الفنية: القدرة على فصل أنظمة الأعمال الهامة لتحليلها في بيئة خاضعة للرقابة من غير المحتمل أن تحدث بشكل متكرر أثناء التحقيقات في الحوادث الأمنية في البنوك. ينبغي بعد ذلك إعداد المحققين (بالأدوات المناسبة والتدريب) لإجراء تحقيقات النظام الحية. أيضًا ، في كثير من الأحيان قد يشتمل التحقيق على أنظمة تخزين ضخمة (مثل قواعد البيانات) ، حيث يكون الحصول على صور قرص ممتلئ أمرًا غير عملي (إن لم يكن مستحيلًا). لذلك يجب أن يكون المحققون على دراية بمثل هذه الأنظمة حتى يتمكنوا من الحصول على أجزاء محددة من المعلومات بسرعة (بدءًا من المعلومات الأكثر تقلبًا). أخيرًا ، يجب أن يكون المحققون على دراية بأفضل الأساليب لإجراء التحقيق من خلال النظر في الموقف والموارد المتضمنة في الحادث (على سبيل المثال ، عمليات التدقيق المالي إذا تأثرت المعلومات المالية على مستوى التطبيق ، وتقنيات الطب الشرعي الحاسوبي للعديد من المشكلات الأمنية في نظام التشغيل والملف مستويات النظام ، وتقنيات تحليل البرامج الضارة في حالة وجود برامج ضارة ، وسجلات الدوائر التلفزيونية المغلقة وتحليل سجلات الدخول / الخروج إذا كان الأمر يتعلق بالوصول المادي).
قضايا الإدارة: التواصل مع الإدارة العليا والمحامين أمر ضروري. بمجرد أن يتبين أن الحادث ذو صلة ، يحتاج كلاهما إلى الإخطار نظرًا لأنه لا يمكن اتخاذ العديد من القرارات إلا من قبلهما (على سبيل المثال ، متى يتم الإعلان عن أي حادث أو إخطار العملاء بشأن حادث أو إشراك تطبيق القانون).
الاستنتاجات
للتحقيقات في الحوادث الأمنية داخل البنوك متطلبات خاصة تجعلها مختلفة بشكل كبير عن التحقيقات الأخرى التي يتم إجراؤها في أنواع أخرى من المؤسسات.
على الرغم من التعقيد واستهلاك الموارد ، فإن امتلاك قدرات التحقيق في الحوادث الأمنية يكاد يكون إلزاميًا للبنوك في العديد من البلدان بسبب التغييرات الأخيرة في اللوائح.
هذه التحقيقات هي جزء أساسي من عملية الاستجابة للحوادث في البنوك ؛ إعدادها هو الجانب الأكثر أهمية لضمان الفعالية والكفاءة. تتطلب التحقيقات في الحوادث الأمنية أيضًا معلومات أساسية للبدء ؛ قد لا تأتي هذه المعلومات من مصادر المعلومات التقليدية
أخيرًا ، تعتبر عملية التحقيق في الحادث الأمني عنصرًا قيمًا لوظيفة الاستخبارات الأمنية داخل المنظمات. يلعب هذا التكامل دورًا مهمًا في اكتشاف ومنع أكثر حوادث الأمان الخفية والأكثر تعقيدًا.