هوش مصنوعی و سایر فناوریهای پیشرفته به اجزای حیاتی خدمات مالی مدرن تبدیل شدهاند و بانکها را قادر میسازند تا به صورت رقابتی خدمات کارآمدتر و شخصیسازی شدهتری ارائه کنند.
به گزارش سرویس بین الملل پایگاه خبری عدل البرز به نقل از bankingjournal ، همانطور که تعاملات دیجیتال همچنان در حال رشد می باشد، اهمیت امنیت سایبری هم افزایش می یابد. هر گونه تغییری که در عملیات تجاری اعمال می شود، در معرض خطرات و آسیب پذیری های جدید قرار می گیرد، به همین خاطر بانک ها سرمایه گذاری زیادی بر روی راهکارهای مدیریت ریسک سایبری انجام می دهند.
اما بسیاری از بانکها در دفاع از امنیت سایبری شان، شکافهای قابل توجه و اغلب دیده نشدهای دارند: کارمندانشان.
حتی با وجود قویترین راهحلهای امنیت سایبری، یک اشتباه ساده میتواند به طور ناگهانی باعث زیان مالی قابلتوجه، آسیب به شهرت و اختلال در تداوم تجارت شود. با توجه به چالش های منحصر به فرد، الزامات نظارتی دقیق و دارایی های ارزشمند محافظت شده، بانک ها تلاش قاطعانه ای بر روی مدیریت ریسک سایبری با استفاده از سرمایه گذاری در بهترین محصولات امنیتی و پشتیبانی نظارت انجام می دهند. بسیاری از بانکها هم مهمترین توصیهها را برای اجرای یک طرح پیشگیرانه جهت شناسایی، پیشگیری و کاهش حملات سایبری دنبال میکنند. بانک ها برای مبارزه با جرایم سایبری آماده هستند. اما، وقتی یکی از مدیران سطح بالا به طور خاص مورد هدف قرار می گیرد و به اشتباه بر روی یک ایمیل فیشینگ کلیک می کند. نقض داده اتفاق می افتد و دارایی ها در معرض خطر قرار می گیرند و اطلاعات حساس مشتری افشا می شود.
بر اساس یک مطالعه انجام شده، ۸۸ درصد از حوادث نقض داده ها ناشی از اشتباهات کارکنان می باشد. تحقیقات مشابه توسط شرکت IBM Security این عدد را ۹۵ درصد اعلام کرده است.
شما خانه خود را ایمن کرده اید، قوی ترین قفل ها را خریداری کرده اید، آخرین سیستم امنیتی خانه را نصب کرده اید … و سپس پنجره ای را باز می گذارید. تقویت آگاهی و آموزش ریسک سایبری کارکنان برای تکامل برنامه شما به اندازه محصولات موجود در مجموعه ابزار سایبری شما حیاتی می باشد. برای جلوگیری از اشتباهات قابل اجتناب و پرهزینه، باید بدانید که چرا این اشتباهات در وهله اول اتفاق میافتند تا کارکنان شما در مواجهه با جرایم سایبری «هوشمند» بمانند.
رفتار مشکل ساز
برخی از مخرب ترین حملات سایبری به دلیل عدم آگاهی ساده نسبت به خطرات سایبری رخ می دهد. آیا کارمندان شما ایمیلهای تلفن خود را باز میکنند و بدون اینکه به دنبال نشانههایی از فیشینگ باشند، بر روی آن کلیک میکنند؟ آیا آنها لپتاپهای خود را باز و بدون مراقبت رها میکنند تا در کافیشاپ محلی منتظر سفارشهای خود باشند؟ آیا آنها از رمزهای عبور یکسان در چندین حساب استفاده می کنند؟ اما مهمترین سوال این است که: آیا آنها می دانند که این اقدامات آنها را آسیب پذیرتر می کند؟
چالش دیگری که با آگاهی نسبت به امنیت سایبری مرتبط است، حواس پرتی آشکار می باشد. کارمندان دائماً مشغول هستند، پیامها را در حین حرکت باز میکنند و چندین کار را همزمان انجام میدهند. می دانیم که خطراتی وجود دارد. اما آیا به این خطرات توجه می کنیم؟
تصور کنید: شما عجله دارید تا کارتان را زودتر تعطیل کنید و به موقع به بازی فوتبال فرزندتان برسید. در همین لحظه ایمیلی در صندوق ورودی شما ظاهر می شود. این ایمیل از طرف مدیر عامل شما با موضوع: “در مورد این ارقام توضیح دهید.”می باشد. قلب شما عملا می ایستد. چه ارقامی؟
شما بلافاصله ایمیل را باز می کنید. قبل از باز کردن پیوست هم، ایمیل را خیلی بدقت مطالعه نکردید. در نتیجه شما گرفتار کلاهبرداری می شوید: کلاهبرداری مدیر عامل. اگر یک دقیقه وقت می گذاشتید، متوجه می شدید که در ایمیل نام مدیر عامل شما نوشته شده، اما آدرس از سوی یک نهاد خارجی می باشد. اگر با دقت مطالعه کرده بودید، متوجه می شدید که پیام به انگلیسی دارای اشتباهاتی ست و پایان آن عجیب به نظر میرسد. بله شما فریب خورده اید!
آیا همه کارکنان آموزش دیده اند تا اهمیت کار در حالت هوشیاری مداوم را درک کنند؟ یا آنقدر حواسشان پرت شده که به سادگی این مسئله را فراموش می کنند؟ بهترین شیوه ها برای آگاهی از امنیت سایبری شامل آموزش و آموزش مداوم می باشد. برای هوشیار نگه داشتن کارکنان خود در مورد ریسک سایبری، این استراتژی های موثر را امتحان کنید:
آموزش امنیت سایبری در هنگام ورود کارکنان جدید را اجرا کنید.
آموزش مداوم برای شناسایی پیوندهای مشکوک، ایمیل ها یا سایر تهدیدات احتمالی ارائه دهید.
آموزش پروتکل مناسب برای ایجاد رمزهای عبور قوی، مدیریت اطلاعات حساس و استفاده مسئولانه از فناوری.
همه کارمندان را آموزش دهید. وقتی می گوییم همه کارمندان یعنی از کارآموزان تا مدیران سطح بالا را آموزش دهید.
شبیه سازی های منظم را برای کارمندان فراهم کنید تا تمرین کنند و یاد بگیرند که چگونه پیوندهای مضر یا ارتباطات مشکوک را شناسایی کنند. تمرینهای فیشینگ شبیهسازی شده میتواند به کارمندان شما کمک کند تا در نحوه تمایز بین یک تهدید احتمالی و ارتباط واقعی مهارت پیدا کنند.
ایجاد انگیزه، یادآوری و توانمندسازی. اجرای کمپین های آگاهی سایبری با شعارهای به یاد ماندنی که می تواند در داخل مورد استفاده قرار گیرد. از یادآورهای جذابی مانند: «قبل از کلیک کردن فکر کنید» یا «یک کلیک تمام چیزی ست که مورد نیاز می باشد» استفاده کنید.
یکی از مشتریان DefenseStorm با استفاده از دو قرعهکشی ماهیانه، کارمندان را ترغیب به مکث و تأمل درباره امور امنیت سایبری میکند. کارمندان در قرعهکشی اول شرکت میکنند اگر با موفقیت یک ایمیل فیشینگ را شناسایی کرده باشند وارد قرعهکشی دوم میشوند.
استفاده از ابزارها و پاداشهای انگیزشی فرصتهایی برای تقویت مثبت ایجاد میکند، به طوری که کارمندان به یاد می گیرند که همواره هوشیار باشند.
پرسنل امنیت سایبری خود را فراموش نکنید
حتی باهوش ترین کارمندان از نظر فناوری می توانند اشتباه کنند و در دفاع سایبری شما آسیب پذیری ایجاد کنند. خستگی شغلی، شکاف در استعدادها، کاهش مهارت ها و رضایت در میان تیم های امنیت سایبری داخلی دلیل آسیب پذیری های قابل توجهی در دفاع سایبری شما می باشد که بانک شما را در معرض خطر بیشتری قرار می دهد. پرسنل امنیت سایبری داخلی شما چگونه مدیریت می کنند؟ آیا تیم اجرایی شما فعالانه از یکی از ضروری ترین بخش های شما پشتیبانی می کند؟
بانکها گزارشهایی از خستگی شدید ارائه میدهند، زیرا تعداد رویدادهای سایبری میتواند به سطح غیرقابل کنترلی برسد. نیاز به بازبینی دائمی جریان پیوسته رویدادهای سایبری نمیتواند توسط فرآیندهای دستی قدیمی و تیمهای کاری کمنیرو مدیریت شود. وقتی کارمندان با بار زیادی روبرو میشوند، اشتباهات رخ میدهند. در نظر گرفتن این استراتژیها میتواند خستگی را کاهش دهد:
اطمینان حاصل کنید که تیم امنیت سایبری داخلی شما از پشتیبانی فعال تیم اجرایی برخوردار می باشد.
از فناوری هوش مصنوعی برای تشخیص و پیشگیری از تهدید استفاده کنید.
با یک ارائه دهنده مدیریت ریسک سایبری برای مدیریت مشترک فرایند نظارتی خود همکاری کنید.
استفاده از فرآیندهای دستی را متوقف کنید و از اتوماسیون برای جمعآوری دادهها و ایجاد گزارشها برای برآورده کردن الزامات نظارتی استفاده کنید.
نگرانی دیگر این است که وظایف مرکز عملیات امنیت داخلی برای افراد تکراری می شود. بی حوصلگی باعث افزایش احساس رضایت می شود که به نوبه خود باعث ایجاد خطاها و نادیده گرفتن ها می شود. راه حل این مشکلات شامل چرخه سواری کارکنان از طریق نقش های مختلف و ارائه فرصت های یادگیری با فناوری جدید برای تحلیلگران می باشد. پیشنهاد ایجاد مشارکت بین تحلیلگران پایه و پاسخ دهندگان حادثه هم موثر می باشد و در نهایت مهارت ها را ارتقا می دهد.
تیم خود را با تقویت مهارتها و بهبود توانمندیهای تیم داخلی تحت عنوان “نقشهبرداری رشد” (Maturity Mapping) ترغیب به هوشیاری و انگیزهبخشی کنید. در این راهبرد، مدلهای نقشهبرداری رشد توسط “شورای امتحانات موسسات مالی فدرال” (FFIEC) تعریف شدهاند و شامل پنج حوزه عمده می باشد: مدیریت و نظارت بر خطرهای سایبری، همکاری و به اشتراک گذاری اطلاعات تهدید، کنترلهای سایبری، مدیریت وابستگیهای خارجی و مدیریت و تقویت امنیت در برابر حوادث سایبری. هر حوزه به پنج سطح رشد تقسیم شده است: پایه، در حال تکامل، متوسط، پیشرفته و نوآوری. با اجرای تمرینات شبیهسازی و ارزیابیهای متعدد، شما میتوانید نقاط قوت و ضعف مؤسسه خود در مقابل تهدیدات سایبری را شناسایی کنید. شناخت نحوه پاسخدهی، انطباق و توانایی بازیابی تیم داخلی، به شما امکان تعیین اهداف، معیارها و انتظارات در عملکرد را میدهد.
هوشیار و آگاه باشید
به روز ماندن و آگاه بودن برای آماده شدن در برابر تهدیدات نوظهور بخش مهمی از استراتژی مدیریت ریسک سایبری بانک شما محسوب می شود. همیشه اخبار و هشدارهای مهم را با کارمندان به اشتراک بگذارید و توزیع کنید.
با پیچیدگی روزافزون تهدیدات سایبری، امنیت سایبری اولویت اصلی بانکها می باشد، اما سرمایهگذاری در فناوری و پشتیبانی نظارتی به تنهایی برای حفظ سطح مؤثری از آمادگی ریسک سایبری کافی نمی باشد. برای اینکه بانکداران خود را در مورد امنیت سایبری هوشیار نگه دارید، فرهنگ آگاهی از خطرات سایبری هوشیار را پرورش دهید، تیم های امنیت سایبری خود را آموزش دهید و برنامه های آموزشی جامع را اجرا کنید.
در نهایت، توانمندسازی و تجهیز کارکنان به دانش و ابزار برای شناسایی و توقف تهدیدات سایبری، کلید حفظ یک راهکار مدیریت ریسک سایبری قوی و انعطافپذیر می باشد، بنابراین بانک شما میتواند از عوامل تهدید پیشی بگیرد.
پایان پیام/
بیشتر بخوانید: مبارزه با جرایم سایبری در بانک ها
