سال 2018 از منظر امنیتی سال خوبی نبود

فصل جدید در توسعه قوانین امنیتی در بانکداری/ راه های نوین حفاظت از داده ها

فرزانه اسکندریان

سال 2018 از منظر امنیتی سال خوبی نبود. برآوردها نشان می‌دهد، میزان ضرر و زیان ناشی از حمله سایبری در سال 2018 به 1.6 تریلیون دلار رسید و پیش‌بینی می‌شود تا سال 2021 به شکل نجومی تا 6 تریلیون دلار افزایش یابد. از طرفی، سال 2018 برهه مهمی در تنظیم مقررات جهت حفظ حریم شخصی داده‌ها بود ـ بخشنامه ابزارهای مالی در بازارها (MiFID) و مقررات عمومی حفاظت از داده (GDPR: The General Data Protection Regulation) هر دو در همین سال اجرا شدند ـ اکنون انتظار داریم بانک‌ها در سراسر جهان هر چه بیشتر با قوانین جدید انطباق یابند.

به گزارش پایگاه خبری بانکداری الکترونیک ، مقررات عمومی حفاظت از داده مهم‌ترین پیشرفت در زمینة محافظت از حریم خصوصی داده‌ها در دو دهة اخیر بود و چشم‌انداز جهانی را نیز تغییر خواهد داد. این امر بانک‌ها را وادار می‌کند سیستم کنترل امنیت را متحول و متناسب با میزان شکنندگی یا ارزش اطلاعات، نظارت‌های مناسبی اتخاذ کنند. افشاگری‌هایی، مانند حمله بلندمدت به هتل زنجیره‌ای ماریوت که باعث شد اطلاعات شخصیِ بیش از 500 میلیون مهمان به خطر بیفتد، نشان از اهمیت نظارت‌های امنیتی در سال 2019 دارد.

بانک‌ها علاوه بر حریم خصوصی اطلاعات، باید بر محافظت از خود در برابر بدافزارها نیز تمرکز کنند. سال 2017 شاهد افزایش حملات گسترده باج‌افزارها در مقیاس جهانی بودیم؛ اما در سال 2018 و 2019 این روند کاهش یافت؛ به ویژه بانک‌های بزرگ در حال ارزیابی توانایی ابزارهای دفاعی امنیتی خود در برابر حملات مبتنی بر هوش مصنوعی هستند و همچنین میزان کنترل اپلیکیشن ‌ها را نیز تقویت می‌کنند. ما همچنین انتظار داریم بانک‌ها از راه‌حل‌های امنیتیِ پردازش ابری استفادة بیشتری کنند و به تیم‌های امنیتی امکان دهند تا فناوری‌های امنیتی را متناسب با تقاضا تغییر دهند. فروشندگان فناوری علاوه بر حمایت از بهترین شیوه‌های امنیتی، چرخة توسعة محصول خود را نیز تضمین می‌کنند.

اما با وجود تقاضای رو به رشد، از مهارت‌های امنیتیِ کمی برخوردار هستیم. تحقیقات انجمن حسابرسی و کنترل سامانه‌های اطلاعاتی (ISACA) نشان می‌دهد که از هر چهار تشکیلات اقتصادی، یکی با وضعیت امنیتی بحرانی روبه‌روست.

به علاوه شاهد افزایش برگزاری دوره‌هایی در سازمان‌ها هستیم که امنیت سایبری را به کارمندان خود با عمق بیشتری آموزش می‌دهند. سرمایه‌گذاری‌های جدیدی برای محافظت از بانک‌ها در برابر «حملات صفر روز» (حمله به نقاط ضعیف ناشناختة امنیتی نرم‌افزارها) انجام می‌شود؛ بنابراین بانک‌ها برای مقابله با این‌گونه خطرات و سایر تهدیدات مداوم و برای استفاده از ترکیب فناوری‌های مربوط به تواناییِ شناساییِ تهدید، پیشگیری از نشت داده‌ها، تجزیه و تحلیل رفتار کاربر، مدیریت دسترسی و امنیت ابری، میزان قابل توجهی را هزینه می‌کنند.

همان‌طور که استفان ناپو، مدیر امنیت اطلاعات بانکداری بین‌المللی شرکت خدمات مالی Société Générale، می‌گوید:

«بیست سال طول می‌کشد تا اعتبار و شهرت لازم ایجاد شود و تنها در چند دقیقه تمام آنها با یک اتفاق سایبری از بین می‌رود.»

 

بانک‌ها، مؤسسات مالی و شرکت‌های پرداخت فین‌تک به عنوان بخشی از اقدامات بانکداری دیجیتال ، روش‌های مختلفی از تراکنش‌ها را به مشتری خود ارائه می‌دهند. آنها برای تأمین نیازهای مختلف مشتریان در تراکنش‌ها، سیستم عامل‌های مختلفی را برای پشتیبانی از اپلیکیشن ‌ها در سکوی رایانش اندروید و آی‌اواس توسعه می‌دهند؛ اما با این حال، همچنان روی شبکه حملات نقض داده و کلاهبرداری در تراکنش‌ها گزارش می‌شود؛ بنابراین بانک‌ها در تلاش هستند تا از امنیت تراکنش‌ها و داده‌های مالی مشتری در شبکه اطمینان حاصل کنند.

چالش‌های پیش روی امنیت تراکنش‌های بانک‌ها، مؤسسات مالی و فین‌تک‌ها

در ادامه به طور مختصر چالش‌های کلیدی در امنیت تراکنش‌های بانک‌ها، مؤسسات مالی و فین‌تک‌ها را تحلیل خواهیم کرد.

کلاهبرداری در پرداخت آنلاین، بانک‌ها روش‌های مختلفی را برای تراکنش از طریق کانال‌ها یا سکوهای رایانش مختلف ارائه می‌دهند؛ به عنوان بخشی از طرح‌های بانکداری دیجیتال ، مشتریان مجاز هستند با کارت اصلی خود، بدون افشای جزئیات کامل، کارت‌هایی مجازی ایجاد کنند و تراکنش‌های خود را از طریق شبکه انجام دهند. هکر های سایبری، جزئیات کارت‌های مجازی را هدف قرار می‌دهند و با هک کردن اطلاعات مربوط به کارت، تراکنش‌هایی را مطابق با نیاز خود انجام می‌دهند. تشخیص اینکه چه کسی تراکنش را انجام داده، برای بازرگانان و بانک‌ها کار دش واری است.

سه گوش‌سازی، اخیراً پورتال‌های آنلاین جعلی ایجاد شده است تا به اطلاعات کارت یا حساب بانکی مشتریان دسترسی پیدا و اطلاعات مهم مشتریان را ذخیره کند. اطلاعات مشتری از طریق تسهیلات مثلثی در اختیار پورتال آنلاین جعلی، مشتریان و درگاه پرداخت ساختگی (dummy payment gateway) قرار می‌گیرد. به محض اینکه مشتری سفارش خود را در پورتال قرار می‌دهد و اطلاعات کارت یا جزییات کارت بانکی را ارائه می‌دهد، هکر ها تمام اطلاعات را ذخیره می‌کنند. هکر ها می‌توانند با این اطلاعات هر نوع پرداختی را انجام دهند یا کالاهای با ارزش را خریداری کنند و صاحب حساب نیز هیچ‌گونه اطلاعی نداشته باشد که داده‌های او در اکوسیستم خارجی فاش شده است.

جزئیات امنیت تراکنش‌های مالی

امنیت تراکنش‌های مالی بیشتر مربوط به کنترل امنیتی بانک‌ها یا مؤسسات مالی است تا نظارت کاملی بر تراکنش‌های مشتریان از طریق شبکه در هر زمان و هر سکوی رایانشی (اینترنتی، موبایلی یا تجارت الکترونیکی) داشته باشند. امنیت تراکنش‌های مالی (SOFT) نقشی كلیدی در شناسایی فعالیت مشتریان و اشخاص ثالث، به عنوان بخشی از سیستم پردازش تراکنش‌ها، ایفا می‌كند.

مشتریان باید نسبت به ریسک احتمالی تراکنش تکراری، وب‌سایت جعلی یا عدم موفقیت تراکنش‌ها در شبکه میان مؤسسة مالی خود و جمع‌کنندة پرداخت‌ها (payment aggregators) آگاه باشد. دلایل مختلفی می‌تواند برای عدم موفقیت تراکنش، مانند خرابی شبکه، تأخیر از سوی شبکة بانکی و غیره، وجود دارد. به همین دلیل، بانک‌ها ترجیح می‌دهند جزئیات زیر را به عنوان بخشی از همة تراکنش‌های مشتریان ضبط و نظارت کنند.
-    مبدأ تراکنش
-    سکوی رایانش تراکنش
-    مکانیسم تأیید اعتبار تراکنش
-    نشانی پروتکل اینترنت (IP) و
-    تاریخ و زمان تراکنش
در حقیقت، جزئیات فوق، اطلاعات مهمی را دربارة ماهیت تراکنش برای تجزیه و تحلیل و تحقیقات برای شناسایی فعالیت‌های شبکه فراهم می‌کند.

برنامه تعدیل امنیت تراکنش‌های مالی

بانک‌ها موظف هستند با تراکنش‌های تقلبی مقابله کنند. وقتی اطلاعات به راحتی در دسترس هکر ها باشد، ممکن است تخلف هر زمانی شکل بگیرد؛ بنابراین، باید درگاه‌های پرداخت، مخابرات اطلاعات شخصی مشتری، تغییر شمارة تلفن یا آدرس ایمیل مشتری برای دریافت رمز یکبار مصرف و غیره به طور مداوم تحت کنترل باشند.
بانک‌ها و مؤسسات مالی برای غلبه بر چالش‌های امنیت در تراکنش‌های مالی، اقداماتی را در نظر دارند.

بررسی حسابرسی سیستم در سیستم‌ها و فرآیندهای مختلف و در فواصل زمانی منظم، از جمله بانکداری متمرکز ، درگاه‌های پرداخت داخلی، اپلیکیشن کارت اعتباری کانال‌های پرداخت سوئیفت، برنامه‌های تلفن همراه و کانال‌های بانکی اینترنتی و شبکه‌هایی که تراکنش‌ها در آن آغاز و پردازش می‌شود، باید تحت نظارت باشند.

فعال‌سازی مکانیسم تأیید اعتبار مشتری بر اساس موقعیت مکانی جغرافیایی و دستگاهی که از آن طریق تراکنش انجام می‌شود. تأیید اعتبار مشتری با ترکیب سیستم مشتری و دستگاه این‌گونه صورت می‌گیرد که رمزهای یک بار مصرف به تلفن همراه یا ایمیل ارسال می‌شوند یا برای گذر از مراحل تراکنش باید به پرسش‌های محرمانه پاسخ داده شود. این سیستم است که بر اساس منشأ، نحوه و سکوی یارانش تراکنش منطق تأیید اعتبار مشتری را تعیین می‌کند، به طوری که حتی مشتری نیز از الگوریتم سیستم مطلع نخواهد شد تا شخصیت اصلی، مراحل تراکنش را تکمیل کند. این روند به بانک و مؤسسات مالی کمک می‌کند تا کلاهبرداری‌های مالی را در شبکه کاهش دهند.

واقعیت مجازی نقشی کلیدی در بانکداری ایفا خواهد کرد. فعال‌سازی راه‌حل تشخیص چهره کمک خواهد کرد تا مشتری واقعی شناسایی شود. بانک‌ها به عنوان بخشی از اقدامات مربوط به بانکداری دیجیتال به مشتریان خرد پیشنهاد می‌کنند تا با تلفن‌های هوشمند یا پورتال تجارت الکترونیکی یا اپلیکیشن ‌های تلفن همراه و لپ‌تاپ تراکنش‌های خود را انجام دهند که مجهز به دوربین باشد.

اجرای راه‌حل هوش مصنوعی یا یادگیری ماشین به بانک‌ها کمک می‌کند تا مدل‌های اطلاعاتی مختلفی را برای تحلیل تراکنش‌ها و کانال مورد استفادة مشتریان ایجاد کنند. بر اساس برنامه‌نویسی‌های پویا برای پیش‌بینی الگوریتم‌ها، سیستم‌ها می‌توانند از طریق تلفن گویا تماس‌هایی خودکار با مشتریان برقرار یا لینک تأیید ایمیل برای اعتبارسنجی مشتری و عملیات پردازش تراکنش ارسال کنند. این روند به کاهش کلاهبرداری در تراکنش‌ها در شبکه کمک خواهد کرد.

بانک‌ها، مؤسسات مالی یا فین تک‌هایی که در پایا ن هر روز به حسابرسی می‌پردازند ترجیح می‌دهند بر همۀ تراکنش‌های مالی، امنیت حاکم باشد. مالکیت تراکنش باید دقیق باشد و شفافیت، میزان مدیریت و نظارت را تقویت می‌کند. این روند به بانک اجازه می‌دهد تا بر توانایی‌های اصلی تجارت متمرکز شود و برای مشتری ایجاد رضایت کند؛ اما پیروی از قوانین نظارت بر کلاهبرداری‌های مالی تنها به دلیل مقررات عمومی حفاظت از داده نیست و عاملی مهم در بانکداری محسوب می‌شود.

دستورالعمل خدمات پرداخت و مقررات عمومی حفاظت از داده

در همین راستا، دستورالعمل مربوط به خدمات پرداخت (PSD2) و مقررات عمومی حفاظت از داده (GDPR) هر دو در سال 2018 به عنوان مجموعه‌ای جامع از قوانین متمرکز بر داده‌های مصرف‌کننده معرفی شدند. با وجود شباهت‌هایی که آیین‌نامه‌ها دارند؛ اما از دیدگاه‌های مختلفی تدوین شده‌اند.

قانون PSD2 قصد دارد تا از طریق دسترسی به داده‌های شخصی وارد داده‌های مالی مصرف‌کنندگان ـ یا کاربران خدمات پرداخت (PSUs) ـ شود و به اشخاص ثالث امکان ورود به بازار پرداخت، ارائة اطلاعات جدید حساب و خدمات آغازِ پرداخت را بدهد. این خدمات توسط ارائه‌دهندگان خدمات اطلاعات حساب (AISPs) و ارائه‌دهندگان خدمات شروع پرداخت (PISPs) فراهم می‌شوند.

در مقابل، مقررات GDPR قصد دارد تا با محافظت از داده‌های شخصی، این امکان را برای مصرف‌کنندگان فراهم کند که به راحتی بتوانند استفاده از اطلاعات خود را ردیابی کنند؛ البته این طرح اعتراضاتی را به همراه داشت.

در حالی که PSD2 بازار بانکی ایجاد می‌کند و رقابت و نوآوری را در محصولات و خدمات مختلف ترغیب می‌کند؛ اما هرگونه دسترسی به محصولات و خدمات مربوط به داده‌های شخصی باید مطابق با مقررات GDPR باشد. عدم رعایت این موضوع جریمه‌های سنگینی به همراه دارد و به اعتبار مؤسسه خسارت چشمگیری وارد می‌کند. تاکنون اکثر بانک‌های سنتی، محافظت از داده‌های مصرف‌کننده را در اولویت بالاتری نسبت به برنامه‌های اصلی نوآوری می‌دانستند؛ اما اکنون که بازیگران جدیدِ بیشتری وارد بازار آزاد شدند، آنها تنها می‌توانند میان انطباق صرف با قوانین یا استفاده از فرصت‌های PSD2 برای ایجاد مزیت رقابتی یکی را انتخاب کنند.

رضایت مشتری، رکن اصلی

به‌رغم اهداف متفاوت GDPR و PSD2، اجرای هر دو به رضایت مصرف‌کننده بستگی دارند.
در مقررات GDPR تصریح شده است که مؤسسات مالی نمی‌توانند داده‌های مصرف‌کننده را بدون رضایت او پردازش کنند و رضایت او نیز باید تحت شرایط خاص گرفته شود. در مقابل با وجود اینکه PSD2 نیز اعلام می‌کند که «رضایت صریح» برای ارائة خدمات به مصرف‌کنندگان ضروری است؛ اما این مفهوم تعریف نشده است و نمی‌توان نتیجه‌گیری کرد که مشابه شرایط GDPR است. این عدم شفافیت در مورد رضایت مصرف‌کننده عوامل خدمات پرداخت را با مشکل روبه‌رو کرده است؛ زیرا آنها سعی دارند از هر دو دستورالعمل تبعیت کنند. جدول زیر تفاوت‌های کلیدی را به طور خلاصه نشان می‌دهد.

نکات کلیدی در اجرای قوانین

مؤسسات مالی نباید اجازه دهند قانون GDPR مانع نوآوری پیشنهادی مقررات PSD2 شود. آنها باید طوری عمل کنند كه خدمات و محصولات جدید با هر دو قانون، سازگار باشند. نکات کلیدی عملکرد آینده می‌تواند شامل موارد زیر باشد:

•    مراقب تصمیمات خودکار باشید. قانون GDPR ضبط و تجزیه و تحلیل ویژگی‌های روان‌شناختی و رفتاری فرد را ممنوع می‌داند. بانک‌ها به طور فزاینده‌ای از اتوماسیون برای ارائة خدمات با ارزش افزوده مانند امتیازدهی به اعتبار و ارزیابی هزینه از سیستم اتوماسیون استفاده می‌کنند؛ اما تصمیمات مهم‌تر، از جمله امتناع از وام دادن، تنها با پردازش خودکار داده‌های شخصی امکان‌پذیر است؛ مثلاً می‌توان رضایت صریح مصرف‌کننده را گرفت یا قراردادی با او بست تا وی تعهد قانونی دهد. علاوه بر این، تحت قانون GDPR مؤسسات مالی باید در صورت درخواست مصرف‌کننده قادر باشند هرگونه حرکت مربوط به اتوماسیون را توجیه کنند.

•    ارزیابی تأثیر حفاظت از داده‌ها را انجام دهید. ماهیت ارائه‌دهندگان خدمات اطلاعات حساب و ارائه‌دهندگان خدمات شروع پرداخت، طوری است که نیاز دارد تا حجم بالایی از داده‌های شخصی، پردازش شوند و ارزیابیِ تأثیر حفاظت از داده‌ها ضروری است؛ البته ارزیابی‌ها باید قبل از پردازش داده‌های مالی صورت گیرد و برای درک ریسک پردازش داده‌ها و تعریف اقدامات کاهش‌دهنده به کار گرفته شوند.

•    حفاظت از داده‌ها را در سرویس‌های جدید طراحی کنید. ارائه‌دهندگان خدمات اطلاعات حساب و ارائه‌دهندگان خدمات شروع پرداخت باید در طراحی و اصول پیش فرض به حفاظت از داده‌ها پایبند باشند. این اصول ارائه‌دهندگان خدمات را ملزم می‌کند تا پیش از ارائه دربارة تأثیر سرویس‌های خود در حفاظت از داده‌ها فکر کنند. باید اقدامات مناسبی برای انطباق با GDPR و به حداقل رساندن میزان پردازش داده‌ها انجام شود.

•    آماده باشید تا در صورت نیاز، اطلاعات استفاده از داده‌ها را در اختیار مصرف‌کنندگان قرار دهید. مالکان داده‌ها حق دارند، بدانند که آیا اطلاعات آنها در حال پردازش است یا خیر و اگر این‌طور باشد، می‌توانند یک نسخه را دریافت کنند. هنگام طراحی خدمات، ارائه‌دهندگان باید این حقوق را در نظر بگیرند تا در صورت درخواست، اطلاعات مناسب را ارائه دهند؛ اگر درخواست کاربرانِ خدمات پرداخت بی‌اساس یا بیش از حد باشد، ارائه‌دهندگان خدمات اطلاعات حساب و ارائه‌دهندگان خدمات شروع پرداخت، می‌توانند هزینة معقولی را دریافت کنند.

•    این شرط را تأیید کنید که در صورت درخواست، می‌توانید همة داده‌های مصرف‌کننده را پاک کنید. مصرف‌کنندگان حق دارند از ارائه‌دهندة خدمات بخواهند همة اطلاعات شخصی را به موقع پاک کنند. لغو رضایت برای ارائه‌دهندگان خدمات اطلاعات حساب و ارائه‌دهندگان خدمات شروع پرداخت، اهمیت ویژه‌ای دارد. هنگام طراحی خدمات، ارائه‌دهندگان باید این حقوق را در نظر بگیرند تا در صورت درخواست بتوانند داده‌های شخصی را حذف کنند.

قوانین امنیتی، پلی به سوی فرصت‌های نو

قانون PSD2 در نظر دارد فرصت‌های بی‌سابقه‌ای را در بخش پرداخت در اختیار بانک‌ها قرار دهد. قانون GDPR نیز حریم شخصی را هنگام توسعة محصولات یا ایجاد تغییرات، مورد توجه قرار می‌دهد؛ اما بانک‌ها می‌توانند با برنامه‌ریزی قوی و تخصص کافی، جلوتر حرکت کنند. هنگامی كه این دو طرح به طور هماهنگ اجرا شوند، بانک‌ها می‌توانند به شکلی بهتر از مصرف‌كنندگان محافظت کنند و در خدمت آنها باشند. آنها همچنین می‌توانند فراتر از سازگاری صرف با قوانین عمل و از فرصت‌های جدید برای رشد استفاده كنند.

 

منبع: ماهنامه بانکداری آینده

 


خبر پیشنهادی
عملکرد بانکداری الکترونیک /بخش دوم

تعداد و ارزش تراکنش های خوپرداز بانکی طی 10 سال گذشته

عملکرد بانکداری الکترونیک طی 10 سال گذشته/بخش اول

کاهش 18 درصدی تعداد و رشد منفی 20 درصدی ارزش تراکنش خودپردازها


این مطلب را به اشتراک بگذارید
خبر پیشنهادی