مزایای متعدد رایانش ابری، مانند قیمت تمام‌شده ی اندک، امکان مقیاس‌پذیری بدون حد و مرز، چابکی فراوان و حمایت این فن‌آوری از نوآوری، ارزش افزوده‌ی غیرقابل‌انکاری برای موسسات مالی فراهم می‌نماید. با بهره‌گیری از رایانش ابری، بانک‌ها قادر خواهند بود محصولات جدید بیشتری را به سرعت به بازار عرضه کنند، تجربه‌ی کاربری مشتریان خود را بهبود ببخشند، به محرک‌های بیرونی سریع‌تر پاسخ بدهند و حتی تحول دیجیتال خود را تسریع نمایند. اما پیش از آن، این موسسات باید نسبت به این موضوع اطمینان حاصل کنند که نرم‌افزارها و داده‌های اطلاعاتی آنها در امنیت خواهد بود. این موضوع، نه تنها برای انطباق با قوانین بالاسری و نظارتی لازم است بلکه برای کاربرانی که قرار است از این خدمات و محصولات استفاده کنند نیز اهمیت ویژه ای دارد.

چهارچوبی برای امنیت سایبری

یک چهارچوب بنا نهاده شده بر اساس اصول بنیادین امنیت مشتمل بر شش گام، امکان حفظ و نگهداری از دارایی‌های آنها در محیط رایانش ابری را در اختیار سازمان‌ها قرار می‌دهد. این گام‌ها به اختصار عبارتند از:

• بکارگیری یک چهارچوب مدیریت ریسک در سراسر سازمان: به عنوان اولین قدم، ادارهی امنیت سازمان مالی موردنظر، باید سیاستی جامع و متقن در این خصوص تدوین نماید.
• تعیین «بهترین تجارب» یا Best Practices: لازم است اجزای مختلف ریسک و کنترل تعیین گردیده و بهترین تجارب و روش‌های پیاده‌سازی اجزای کنترلی به کارگرفته شوند.
• برقراری استانداردهای لازم برای موضوعات فنی و امنیت اطلاعات: لازم است برای تک تک اجزا در فرآیند امنیت (از احراز هویت کاربرگرفته تا کنترل دسترسی و مجوزهای اعطایی به هرکاربر) استاندارد روشنی تدوین شود. تعیین استانداردهای لازم برای ابزارهای امنیتی و اقدامات بانک برای مقابله با حملات سایبری نیز به همان اندازه اهمیت دارد. بسیاری از بانک‌ها توصیه‌های موسسه‌ی ملی استاندارد و فن‌آوری (NIST) – که در آن 255 مورد کنترلی در موضوعات مختلف امنیت سایبری مطرح شده است – را به کار می‌بندند. با این حال، انتخاب مواردی از این لیست که هر بانک آنها را پیاده‌سازی و اجرا می‌نماید بنا به صلاحدید هر بانک متفاوت خواهد بود. بدیهی است که تعداد بیش از حد ابزارهای کنترلی، عملیات روزمره را دچار خدشه نموده و تعداد اندک آنها، ریسک‌هایی که سازمان در معرض آنها قرار می‌گیرد را به صورت چشمگیری افزایش می‌دهد.
• افزایش دانش پرسنل: تحقیق انجام شده از 44000 رخداد امنیتی و نشت داده‌ها در سال 2019 در 86 کشور، نشان می‌دهد که یک سوم از این رخدادها توسط نیروهای خود سازمان ایجاد شده‌اند. برخی از این حوادث، ناشی از غفلت محض نیروهای سازمان بوده است. افزایش سطح دانش در میان نیروهای سازمان، تاثیر بسزایی در پیشگیری از رخدادهای ناشی از رفتار بدون تفکر مانند بارگذاری فایل‌های ضمیمه‌ی یک ایمیل ارسال شده از منابع ناشناس خواهد داشت. بنابراین، چهارچوب تعیین شده باید شامل راهکارهایی برای آموزش نیروها در زمینه‌ی سیاست‌های امنیتی بانک و رفتارهای امن نیز باشد. نیروها باید در زمینه‌ی هوشیاری در خصوص خطرات امنیتی و اقدامات لازم در صورت بروز رخداد آموزش‌های لازم را دریافت نمایند.
• همکاری با دیگر بازیگران صنعت: تمام بانک‌ها در یک منطقه‌ی جغرافیایی از مجموعه قوانین مشترک امنیتی تبعیت می‌نمایند. همچنین، باید به امنیت به چشم یک تلاش جمعی نگریست که در آن، توان جمعی به اندازه‌ی ضعیف‌ترین و سست‌ترین حلقه‌ی ارتباطی خواهد بود. به همین دلیل، به غیر از کنترل‌های لازم، استانداردهای فنی و آموزش نیروها، یک چهارچوب مطلوب باید همکاری در سطح کل صنعت مالی منطقه را نیز شامل شود تا میزان آگاهی و بکارگیری بهترین تجارب، به اشتراک‌گذاری اطلاعات در زمینه‌ی خطرات جدید امنیتی و مواردی مانند آن را بهبود بخشد. یکی از نمونه های موفق چنین طرح های جامع، همکاری موسسه‌ی سیاست‌های بانکی (Bank Policy Institute) با انجمن بانکداران آمریکا (American Bankers Association) در توسعه‌ی مشترک ابزاری برای ارزیابی ریسک سایبری به نام «پروفایل امنیت سایبری صنایع مالی» و با همکاری 150 متخصص مالی از سراسر جهان است.
• ممارست در همکاری‌های برون مرزی: تاثیر رخنه در یک سیستم امنیت سایبری در جهان ارتباطات مالی، قطعا به مرزهای کشور رخداد محدود نخواهد شد. به همین دلیل، لازم است موسسات مالی به همکاری‌های فرا مرزی نیز توجه نمایند. همچنین، حرکت به سمت نهادهای نظارتی که به مرزهای یک کشور محدود نمی‌گردند باعث به اشتراک‌گذاری دانش و بهترین تجارب در سطح فراتر از یک کشور خاص شده، تاثیرات یک رخداد را تا حد قابل قبولی کاهش خواهد داد.

چهارچوب امنیت سایبری، لیستی از اقدامات لازم برای مدیریت ریسک‌های مرتبط با امنیت سایبری در یک محیط رایانش ابری در اختیار ما قرار می‌دهد. چنین لیستی شامل استانداردهای مرجع امنیتی بر اساس بهترین تجارب و استانداردهای رایج صنایع مالی خواهد بود تا بکاربندی کنترل‌های لازم و روش پاسخگویی به رخدادها را برای ما تبیین نماید.

این چهارچوب امنیتی بر شش ستون اصلی بنانهاده شده است:

• شناخت: نیازهای سازمان خود را شناخته و ارزیابی ریسک را تکمیل کنید،
• محافظت: مرزهای امنیتی لازم برای اطمینان از خودکفایی زیرساخت سازمان در صورت بروز حمله را بنا کنید،
• تشخیص: راهکارهای لازم برای نظارت بر نفوذ به شبکه و تشخیص رخدادهای مرتبط با امنیت را به کار ببندید،
• پاسخ: اقدامات متقابل برای مبارزه با خطرات بالقوه و بالفعل در زمینه‌ی امنیت کسب و کار را آغاز کنید،
• بازیابی: فرآیندهای لازم برای بازیابی وضعیت عادی امکانات سیستم در صورت بروز یک حمله را توسعه داده و به کار بگیرید.
• گزارش: یک گزارش برای ایجاد دید جامع از مجموعه رخدادهای حادث شده، هشدارهای اعلان شده و اقدامات انجام شده برای حل بحران تهیه کنید.

هر یک از این ستون‌های اصلی ما را در تعیین اقدامات عملی اولویت‌دار برای حفظ امنیت و در طراحی معماری امنیتی در استفاده از فن‌آوری رایانش ابری یاری می‌نماید. معماری مطرح شده‌ی چهارچوب امنیتی، مدلی را به همراه مراجع بصری در اختیار ما قرار می‌دهد تا بدانیم رایانش ابری خود را چه در زمان توسعه و چه در زمان عملیاتی شدن چگونه پیکربندی نماییم.

سازمان‌ها با هدف نظارت بر مدیریت رخدادها و بکارگیری یک سیستم مرکزی ثبت وقایع، چهارچوب امنیتی را دنبال می‌نمایند. این کار باعث می‌شود ویروس‌کُش‌ها و وصله‌های امنیتی همواره به روز بوده و فرآیند ارزیابی امنیتی سیستم‌ها به صورت مداوم در جریان باشد تا تداوم کسب و کار تضمین شود. کنترل‌های امنیتی در رایانش ابری بر اساس استاندارد ISO 27001 عمل می‌کنند. تعداد رخدادهای امنیتی متوسط در سال در سازمان‌های مالی بین سال‌های 2012 تا 2017 از 40 مورد به 125 مورد افزایش یافته است. یک سیستم امنیتی مطمئن، از بانک محافظت می‌نماید اما تمامی خطرات و رخدادها را حذف نمی‌کند. زمانی که یک بانک با وجود تمامی ملاحظات ذکرشده با یک مشکل امنیتی روبرو می‌شود، باید به‌سرعت مشکل و سیستم‌های درگیر با آن را تشخیص داده، نقاط ضعف سیستم امنیتی را بررسی کرده و مشکل را مرتفع نماید. در چنین مواردی، استفاده از تخصص یک Hacker حرفه ای مورد اطمینان سازمان در یافتن محل نفوذ، حل مشکل و انجام تست نفوذ مجدد پیش از راه‌اندازی مجدد سیستم مغتنم خواهد بود. طبق قوانین بالاسری و نظارتی، گزارش کامل این رخداد و راهکارهای به‌کارگرفته شده برای حل آن، باید در گزارشی متعاقب رخداد به نظر و تایید اعضای هیات مدیره‌ی سازمان برسد.

در خاتمه

در سراسر جهان، بانک‌ها در حال مهاجرت به رایانش ابری هستند. با وجود این که تامین‌کنندگان سرویس‌های رایانش ابری، امنیت زیرساخت خود را تضمین می‌نمایند، مسئولیت تضمین امنیت نرم‌افزارها و داده‌های بانک به عهده ‌ی خود سازمان است. این مهم، در مواردی که نرم‌افزارها به صورت چابک، در بخش‌های مختلف و توسط تیم‌های متنوع تولید می‌گردند به چالشی بزرگ تبدیل می‌شود. برپاسازی یک چهارچوب امنیتی مطمئن، قدمی بسیار مهم در این راستا بوده اما تنها اولین قدم در این مسیر است. این چهارچوب، باید بخشی از یک فرآیند دائمی تکاملی رصد خطرات، تحلیل آنها، یافتن راه‌حل و گزارش آن باشد تا به یک ابزار موثر تبدیل شود.

منبع:

https://www.globalbankingandfinance.com/go-safely-to-the-cloud/