تزايد التهديدات السيبرانية يعني أن الشركات المالية بحاجة ماسة إلى ضمانات أفضل (دراسة)
يواصل المهاجمون السيبرانيون استهداف القطاع المالي. ماذا سيحدث عندما يسقط هجوم بنكًا أو نظامًا أساسيًا آخر مهمًا ، مما يؤدي إلى منع المستخدمين من دخول حساباتهم؟
يمكن للترابط المالي والتكنولوجي الضيق داخل القطاع المالي أن يسهل الانتشار السريع للهجمات عبر النظام بأكمله ، مما قد يتسبب في اضطراب واسع النطاق وفقدان الثقة. يمثل الأمن السيبراني تهديدًا واضحًا للاستقرار المالي.
من بين الأسواق الناشئة والاقتصادات النامية ، لم يقم معظم المشرفين الماليين بإدخال لوائح الأمن السيبراني أو بناء الموارد لفرضها ، وفقًا لمسح أجراه صندوق النقد الدولي مؤخرًا في 51 دولة.
وجدنا أيضا:
56 في المائة من البنوك المركزية أو السلطات الإشرافية ليس لديها استراتيجية إلكترونية وطنية للقطاع المالي.
يفتقر 42 في المائة إلى تنظيم مخصص للأمن السيبراني أو إدارة مخاطر التكنولوجيا ، ويفتقر 68 في المائة إلى وحدة مخاطر متخصصة كجزء من قسم الإشراف.
64 في المائة لا يفرضون الاختبار وممارسة تدابير الأمن السيبراني أو يقدمون مزيدًا من الإرشادات.
54 بالمائة يفتقرون إلى نظام مخصص للإبلاغ عن الحوادث الإلكترونية.
48 في المائة ليس لديهم لوائح بشأن الجرائم الإلكترونية.
وفي الوقت نفسه ، حدد تقييم بنك التسويات الدولية لـ 29 سلطة قضائية أوجه القصور في الإشراف على البنى التحتية للأسواق المالية.
ومع ذلك ، هناك دفاعات ضد هذه المخاطر ، بما في ذلك الإعداد والإجراءات التنظيمية المنسقة ، كما ناقشنا في ورشة العمل العالمية الأخيرة حول الأمن السيبراني في واشنطن. لن يكون الأمر سهلاً ، وهناك حاجة ماسة إلى ردود شاملة وجماعية.
انتشار التهديدات
مثلما توفر التطورات التكنولوجية السريعة للمهاجمين أدوات أرخص وأسهل في الاستخدام ، كذلك تمنح التغييرات المؤسسات المالية قدرة أكبر على إحباطها.
ومع ذلك ، فمن المتوقع حدوث نقاط ضعف أكبر في عالم يتزايد فيه الطابع الرقمي. تتكاثر الأهداف كلما تم توصيل المزيد من الأنظمة والأجهزة. يمكن لشركات التكنولوجيا المالية التي تعتمد بشكل كبير على التقنيات الرقمية الجديدة أن تجعل الصناعة المالية أكثر كفاءة وشمولية ، ولكنها أيضًا أكثر عرضة للمخاطر السيبرانية.
كما أدى تصاعد التوترات الجيوسياسية إلى تكثيف الهجمات الإلكترونية. غالبًا ما يكون الجناة ودوافعهم غامضة ، ولا تقتصر المخاطر على مناطق الصراع. يُظهر التاريخ أن انتشار البرامج الضارة التخريبية يمكن أن يتسبب في أضرار عالمية. على سبيل المثال ، انتشر هجوم البرامج الضارة NotPetya الذي أغرق لأول مرة أنظمة تكنولوجيا المعلومات للمنظمات الأوكرانية في عام 2017 بسرعة إلى عدة بلدان أخرى وتسبب في أضرار تقدر بأكثر من 10 مليارات دولار.
أخيرًا ، الاعتماد على موفري الخدمات المشتركين يعني أن الهجمات لديها احتمالية أكبر لحدوث آثار منهجية. يمكن أن يؤثر تركيز المخاطر على الخدمات شائعة الاستخدام ، بما في ذلك الحوسبة السحابية وخدمات الأمن المدارة ومشغلي الشبكات ، على قطاعات بأكملها. يمكن أن تكون الخسائر عالية وتصبح حرجة بشكل كبير.
في حين أن الشركات المالية والهيئات التنظيمية أصبحت أكثر وعياً واستعداداً للهجمات ، فإن الثغرات في إطار العمل التحوطي لا تزال كبيرة.
تحييد التهديد
يجب على المؤسسات المالية والهيئات التنظيمية الاستعداد لمواجهة التهديدات السيبرانية المتزايدة والانتهاكات المحتملة الناجحة من خلال إعطاء الأولوية لخمسة أشياء:
يجب على البنوك المركزية والهيئات التنظيمية والشركات المالية تطوير استراتيجية للأمن السيبراني. المخاطر السيبرانية هي قضية متعددة الأبعاد تتطلب الأمن السليم داخل السلطات ؛ رقابة قوية من خلال التنظيم والإشراف ؛ العمل الجماعي داخل السوق ؛ والجهود المبذولة لبناء القدرات والخبرة.
يحتاج المنظمون والشركات المالية إلى تحويل تركيزهم من التخطيط الكلاسيكي لاستمرارية الأعمال والتعافي من الكوارث إلى تقديم الخدمات الهامة حتى عندما تعطل الهجمات العمليات العادية. تتطلب المرونة دعم كبار قادة الشركات والمنظمين الماليين وأعضاء مجالس إداراتهم. تحتاج الشركات إلى الاستعداد للحوادث الخطيرة ولكن المعقولة التي يمكن أن يكون لها تأثير منهجي. يجب أن يطلب المشرفون من الصناعة النظر في مثل هذه السيناريوهات المعاكسة واختبار خطط الطوارئ الخاصة بهم بشكل فردي وجماعي.
يحتاج المشرفون الماليون إلى التأكد من أن التنظيم والإشراف السيبراني يمكن أن يعزز المرونة بشكل فعال. لا يوجد نهج واحد يناسب الجميع ، ولكن هناك العديد من العناصر المشتركة. يوازن النهج الإشرافي الفعال بين الأنشطة في الموقع وخارجه ، والتي يؤديها مزيج من خبراء الأمن والمشرفين العامين ، الذين يفرضون التنظيم بطريقة تناسبية.
يجب على الشركات المالية تعزيز “النظافة” السيبرانية ، وأنظمة الأمن عن طريق التصميم ، واستراتيجيات الاستجابة والتعافي. في حين أن العديد من هجمات اليوم معقدة بشكل متزايد وتعتمد على الهندسة الاجتماعية للحصول على الضحية لتقديم معلومات حساسة ، فإن معظم الهجمات الناجحة هي نتيجة الهفوات الروتينية – مثل الفشل في نشر الحماية
التحديثات أو إجراء تكوينات الأمان الصحيحة. في هذا السياق ، تُحدث الممارسات المعتادة لضمان المعالجة الآمنة للبيانات الهامة وتأمين الشبكات كل الفرق.
يجب على المجتمع الدولي تنسيق الإبلاغ عن الحوادث الإلكترونية والمشاركة الفعالة للمعلومات لضمان قدرة السلطات في جميع أنحاء العالم على إدارة الحوادث بفعالية. يعد نموذج الإبلاغ عن الحوادث والمعجم المشترك الذي يتم تطويره من قبل مجلس الاستقرار المالي خطوات مهمة إلى الأمام.
مخاطر عبر الولايات القضائية
تعتمد قوة الدفاعات الإلكترونية على الحلقة الأضعف. مع تزايد الترابط في جميع أنحاء العالم ، يتطلب الحد من المخاطر جهدًا دوليًا. من جانبه ، يواصل صندوق النقد الدولي مساعدة المشرفين الماليين من خلال مبادرات تنمية القدرات التي تهدف إلى تصميم وتنفيذ المعايير الدولية وأفضل الممارسات كأولوية ملحة.