فصل جدید در توسعه قوانین امنیتی در بانکداری/ راه های نوین حفاظت از داده ها
سال 2018 از منظر امنیتی سال خوبی نبود
سال 2018 از منظر امنیتی سال خوبی نبود. برآوردها نشان میدهد، میزان ضرر و زیان ناشی از حمله سایبری در سال 2018 به 1.6 تریلیون دلار رسید و پیشبینی میشود تا سال 2021 به شکل نجومی تا 6 تریلیون دلار افزایش یابد. از طرفی، سال 2018 برهه مهمی در تنظیم مقررات جهت حفظ حریم شخصی دادهها بود ـ بخشنامه ابزارهای مالی در بازارها (MiFID) و مقررات عمومی حفاظت از داده (GDPR: The General Data Protection Regulation) هر دو در همین سال اجرا شدند ـ اکنون انتظار داریم بانکها در سراسر جهان هر چه بیشتر با قوانین جدید انطباق یابند.
به گزارش پایگاه خبری بانکداری الکترونیک ، مقررات عمومی حفاظت از داده مهمترین پیشرفت در زمینة محافظت از حریم خصوصی دادهها در دو دهة اخیر بود و چشمانداز جهانی را نیز تغییر خواهد داد. این امر بانکها را وادار میکند سیستم کنترل امنیت را متحول و متناسب با میزان شکنندگی یا ارزش اطلاعات، نظارتهای مناسبی اتخاذ کنند. افشاگریهایی، مانند حمله بلندمدت به هتل زنجیرهای ماریوت که باعث شد اطلاعات شخصیِ بیش از 500 میلیون مهمان به خطر بیفتد، نشان از اهمیت نظارتهای امنیتی در سال 2019 دارد.
بانکها علاوه بر حریم خصوصی اطلاعات، باید بر محافظت از خود در برابر بدافزارها نیز تمرکز کنند. سال 2017 شاهد افزایش حملات گسترده باجافزارها در مقیاس جهانی بودیم؛ اما در سال 2018 و 2019 این روند کاهش یافت؛ به ویژه بانکهای بزرگ در حال ارزیابی توانایی ابزارهای دفاعی امنیتی خود در برابر حملات مبتنی بر هوش مصنوعی هستند و همچنین میزان کنترل اپلیکیشن ها را نیز تقویت میکنند. ما همچنین انتظار داریم بانکها از راهحلهای امنیتیِ پردازش ابری استفادة بیشتری کنند و به تیمهای امنیتی امکان دهند تا فناوریهای امنیتی را متناسب با تقاضا تغییر دهند. فروشندگان فناوری علاوه بر حمایت از بهترین شیوههای امنیتی، چرخة توسعة محصول خود را نیز تضمین میکنند.
اما با وجود تقاضای رو به رشد، از مهارتهای امنیتیِ کمی برخوردار هستیم. تحقیقات انجمن حسابرسی و کنترل سامانههای اطلاعاتی (ISACA) نشان میدهد که از هر چهار تشکیلات اقتصادی، یکی با وضعیت امنیتی بحرانی روبهروست.
به علاوه شاهد افزایش برگزاری دورههایی در سازمانها هستیم که امنیت سایبری را به کارمندان خود با عمق بیشتری آموزش میدهند. سرمایهگذاریهای جدیدی برای محافظت از بانکها در برابر «حملات صفر روز» (حمله به نقاط ضعیف ناشناختة امنیتی نرمافزارها) انجام میشود؛ بنابراین بانکها برای مقابله با اینگونه خطرات و سایر تهدیدات مداوم و برای استفاده از ترکیب فناوریهای مربوط به تواناییِ شناساییِ تهدید، پیشگیری از نشت دادهها، تجزیه و تحلیل رفتار کاربر، مدیریت دسترسی و امنیت ابری، میزان قابل توجهی را هزینه میکنند.
همانطور که استفان ناپو، مدیر امنیت اطلاعات بانکداری بینالمللی شرکت خدمات مالی Société Générale، میگوید:
«بیست سال طول میکشد تا اعتبار و شهرت لازم ایجاد شود و تنها در چند دقیقه تمام آنها با یک اتفاق سایبری از بین میرود.»
بانکها، مؤسسات مالی و شرکتهای پرداخت فینتک به عنوان بخشی از اقدامات بانکداری دیجیتال ، روشهای مختلفی از تراکنشها را به مشتری خود ارائه میدهند. آنها برای تأمین نیازهای مختلف مشتریان در تراکنشها، سیستم عاملهای مختلفی را برای پشتیبانی از اپلیکیشن ها در سکوی رایانش اندروید و آیاواس توسعه میدهند؛ اما با این حال، همچنان روی شبکه حملات نقض داده و کلاهبرداری در تراکنشها گزارش میشود؛ بنابراین بانکها در تلاش هستند تا از امنیت تراکنشها و دادههای مالی مشتری در شبکه اطمینان حاصل کنند.
چالشهای پیش روی امنیت تراکنشهای بانکها، مؤسسات مالی و فینتکها
در ادامه به طور مختصر چالشهای کلیدی در امنیت تراکنشهای بانکها، مؤسسات مالی و فینتکها را تحلیل خواهیم کرد.
کلاهبرداری در پرداخت آنلاین، بانکها روشهای مختلفی را برای تراکنش از طریق کانالها یا سکوهای رایانش مختلف ارائه میدهند؛ به عنوان بخشی از طرحهای بانکداری دیجیتال ، مشتریان مجاز هستند با کارت اصلی خود، بدون افشای جزئیات کامل، کارتهایی مجازی ایجاد کنند و تراکنشهای خود را از طریق شبکه انجام دهند. هکر های سایبری، جزئیات کارتهای مجازی را هدف قرار میدهند و با هک کردن اطلاعات مربوط به کارت، تراکنشهایی را مطابق با نیاز خود انجام میدهند. تشخیص اینکه چه کسی تراکنش را انجام داده، برای بازرگانان و بانکها کار دش واری است.
سه گوشسازی، اخیراً پورتالهای آنلاین جعلی ایجاد شده است تا به اطلاعات کارت یا حساب بانکی مشتریان دسترسی پیدا و اطلاعات مهم مشتریان را ذخیره کند. اطلاعات مشتری از طریق تسهیلات مثلثی در اختیار پورتال آنلاین جعلی، مشتریان و درگاه پرداخت ساختگی (dummy payment gateway) قرار میگیرد. به محض اینکه مشتری سفارش خود را در پورتال قرار میدهد و اطلاعات کارت یا جزییات کارت بانکی را ارائه میدهد، هکر ها تمام اطلاعات را ذخیره میکنند. هکر ها میتوانند با این اطلاعات هر نوع پرداختی را انجام دهند یا کالاهای با ارزش را خریداری کنند و صاحب حساب نیز هیچگونه اطلاعی نداشته باشد که دادههای او در اکوسیستم خارجی فاش شده است.
جزئیات امنیت تراکنشهای مالی
امنیت تراکنشهای مالی بیشتر مربوط به کنترل امنیتی بانکها یا مؤسسات مالی است تا نظارت کاملی بر تراکنشهای مشتریان از طریق شبکه در هر زمان و هر سکوی رایانشی (اینترنتی، موبایلی یا تجارت الکترونیکی) داشته باشند. امنیت تراکنشهای مالی (SOFT) نقشی كلیدی در شناسایی فعالیت مشتریان و اشخاص ثالث، به عنوان بخشی از سیستم پردازش تراکنشها، ایفا میكند.
مشتریان باید نسبت به ریسک احتمالی تراکنش تکراری، وبسایت جعلی یا عدم موفقیت تراکنشها در شبکه میان مؤسسة مالی خود و جمعکنندة پرداختها (payment aggregators) آگاه باشد. دلایل مختلفی میتواند برای عدم موفقیت تراکنش، مانند خرابی شبکه، تأخیر از سوی شبکة بانکی و غیره، وجود دارد. به همین دلیل، بانکها ترجیح میدهند جزئیات زیر را به عنوان بخشی از همة تراکنشهای مشتریان ضبط و نظارت کنند.
– مبدأ تراکنش
– سکوی رایانش تراکنش
– مکانیسم تأیید اعتبار تراکنش
– نشانی پروتکل اینترنت (IP) و
– تاریخ و زمان تراکنش
در حقیقت، جزئیات فوق، اطلاعات مهمی را دربارة ماهیت تراکنش برای تجزیه و تحلیل و تحقیقات برای شناسایی فعالیتهای شبکه فراهم میکند.
برنامه تعدیل امنیت تراکنشهای مالی
بانکها موظف هستند با تراکنشهای تقلبی مقابله کنند. وقتی اطلاعات به راحتی در دسترس هکر ها باشد، ممکن است تخلف هر زمانی شکل بگیرد؛ بنابراین، باید درگاههای پرداخت، مخابرات اطلاعات شخصی مشتری، تغییر شمارة تلفن یا آدرس ایمیل مشتری برای دریافت رمز یکبار مصرف و غیره به طور مداوم تحت کنترل باشند.
بانکها و مؤسسات مالی برای غلبه بر چالشهای امنیت در تراکنشهای مالی، اقداماتی را در نظر دارند.
بررسی حسابرسی سیستم در سیستمها و فرآیندهای مختلف و در فواصل زمانی منظم، از جمله بانکداری متمرکز ، درگاههای پرداخت داخلی، اپلیکیشن کارت اعتباری کانالهای پرداخت سوئیفت، برنامههای تلفن همراه و کانالهای بانکی اینترنتی و شبکههایی که تراکنشها در آن آغاز و پردازش میشود، باید تحت نظارت باشند.
فعالسازی مکانیسم تأیید اعتبار مشتری بر اساس موقعیت مکانی جغرافیایی و دستگاهی که از آن طریق تراکنش انجام میشود. تأیید اعتبار مشتری با ترکیب سیستم مشتری و دستگاه اینگونه صورت میگیرد که رمزهای یک بار مصرف به تلفن همراه یا ایمیل ارسال میشوند یا برای گذر از مراحل تراکنش باید به پرسشهای محرمانه پاسخ داده شود. این سیستم است که بر اساس منشأ، نحوه و سکوی یارانش تراکنش منطق تأیید اعتبار مشتری را تعیین میکند، به طوری که حتی مشتری نیز از الگوریتم سیستم مطلع نخواهد شد تا شخصیت اصلی، مراحل تراکنش را تکمیل کند. این روند به بانک و مؤسسات مالی کمک میکند تا کلاهبرداریهای مالی را در شبکه کاهش دهند.
واقعیت مجازی نقشی کلیدی در بانکداری ایفا خواهد کرد. فعالسازی راهحل تشخیص چهره کمک خواهد کرد تا مشتری واقعی شناسایی شود. بانکها به عنوان بخشی از اقدامات مربوط به بانکداری دیجیتال به مشتریان خرد پیشنهاد میکنند تا با تلفنهای هوشمند یا پورتال تجارت الکترونیکی یا اپلیکیشن های تلفن همراه و لپتاپ تراکنشهای خود را انجام دهند که مجهز به دوربین باشد.
اجرای راهحل هوش مصنوعی یا یادگیری ماشین به بانکها کمک میکند تا مدلهای اطلاعاتی مختلفی را برای تحلیل تراکنشها و کانال مورد استفادة مشتریان ایجاد کنند. بر اساس برنامهنویسیهای پویا برای پیشبینی الگوریتمها، سیستمها میتوانند از طریق تلفن گویا تماسهایی خودکار با مشتریان برقرار یا لینک تأیید ایمیل برای اعتبارسنجی مشتری و عملیات پردازش تراکنش ارسال کنند. این روند به کاهش کلاهبرداری در تراکنشها در شبکه کمک خواهد کرد.
بانکها، مؤسسات مالی یا فین تکهایی که در پایا ن هر روز به حسابرسی میپردازند ترجیح میدهند بر همۀ تراکنشهای مالی، امنیت حاکم باشد. مالکیت تراکنش باید دقیق باشد و شفافیت، میزان مدیریت و نظارت را تقویت میکند. این روند به بانک اجازه میدهد تا بر تواناییهای اصلی تجارت متمرکز شود و برای مشتری ایجاد رضایت کند؛ اما پیروی از قوانین نظارت بر کلاهبرداریهای مالی تنها به دلیل مقررات عمومی حفاظت از داده نیست و عاملی مهم در بانکداری محسوب میشود.
دستورالعمل خدمات پرداخت و مقررات عمومی حفاظت از داده
در همین راستا، دستورالعمل مربوط به خدمات پرداخت (PSD2) و مقررات عمومی حفاظت از داده (GDPR) هر دو در سال 2018 به عنوان مجموعهای جامع از قوانین متمرکز بر دادههای مصرفکننده معرفی شدند. با وجود شباهتهایی که آییننامهها دارند؛ اما از دیدگاههای مختلفی تدوین شدهاند.
قانون PSD2 قصد دارد تا از طریق دسترسی به دادههای شخصی وارد دادههای مالی مصرفکنندگان ـ یا کاربران خدمات پرداخت (PSUs) ـ شود و به اشخاص ثالث امکان ورود به بازار پرداخت، ارائة اطلاعات جدید حساب و خدمات آغازِ پرداخت را بدهد. این خدمات توسط ارائهدهندگان خدمات اطلاعات حساب (AISPs) و ارائهدهندگان خدمات شروع پرداخت (PISPs) فراهم میشوند.
در مقابل، مقررات GDPR قصد دارد تا با محافظت از دادههای شخصی، این امکان را برای مصرفکنندگان فراهم کند که به راحتی بتوانند استفاده از اطلاعات خود را ردیابی کنند؛ البته این طرح اعتراضاتی را به همراه داشت.
در حالی که PSD2 بازار بانکی ایجاد میکند و رقابت و نوآوری را در محصولات و خدمات مختلف ترغیب میکند؛ اما هرگونه دسترسی به محصولات و خدمات مربوط به دادههای شخصی باید مطابق با مقررات GDPR باشد. عدم رعایت این موضوع جریمههای سنگینی به همراه دارد و به اعتبار مؤسسه خسارت چشمگیری وارد میکند. تاکنون اکثر بانکهای سنتی، محافظت از دادههای مصرفکننده را در اولویت بالاتری نسبت به برنامههای اصلی نوآوری میدانستند؛ اما اکنون که بازیگران جدیدِ بیشتری وارد بازار آزاد شدند، آنها تنها میتوانند میان انطباق صرف با قوانین یا استفاده از فرصتهای PSD2 برای ایجاد مزیت رقابتی یکی را انتخاب کنند.
رضایت مشتری، رکن اصلی
بهرغم اهداف متفاوت GDPR و PSD2، اجرای هر دو به رضایت مصرفکننده بستگی دارند.
در مقررات GDPR تصریح شده است که مؤسسات مالی نمیتوانند دادههای مصرفکننده را بدون رضایت او پردازش کنند و رضایت او نیز باید تحت شرایط خاص گرفته شود. در مقابل با وجود اینکه PSD2 نیز اعلام میکند که «رضایت صریح» برای ارائة خدمات به مصرفکنندگان ضروری است؛ اما این مفهوم تعریف نشده است و نمیتوان نتیجهگیری کرد که مشابه شرایط GDPR است. این عدم شفافیت در مورد رضایت مصرفکننده عوامل خدمات پرداخت را با مشکل روبهرو کرده است؛ زیرا آنها سعی دارند از هر دو دستورالعمل تبعیت کنند. جدول زیر تفاوتهای کلیدی را به طور خلاصه نشان میدهد.
نکات کلیدی در اجرای قوانین
مؤسسات مالی نباید اجازه دهند قانون GDPR مانع نوآوری پیشنهادی مقررات PSD2 شود. آنها باید طوری عمل کنند كه خدمات و محصولات جدید با هر دو قانون، سازگار باشند. نکات کلیدی عملکرد آینده میتواند شامل موارد زیر باشد:
• مراقب تصمیمات خودکار باشید. قانون GDPR ضبط و تجزیه و تحلیل ویژگیهای روانشناختی و رفتاری فرد را ممنوع میداند. بانکها به طور فزایندهای از اتوماسیون برای ارائة خدمات با ارزش افزوده مانند امتیازدهی به اعتبار و ارزیابی هزینه از سیستم اتوماسیون استفاده میکنند؛ اما تصمیمات مهمتر، از جمله امتناع از وام دادن، تنها با پردازش خودکار دادههای شخصی امکانپذیر است؛ مثلاً میتوان رضایت صریح مصرفکننده را گرفت یا قراردادی با او بست تا وی تعهد قانونی دهد. علاوه بر این، تحت قانون GDPR مؤسسات مالی باید در صورت درخواست مصرفکننده قادر باشند هرگونه حرکت مربوط به اتوماسیون را توجیه کنند.
• ارزیابی تأثیر حفاظت از دادهها را انجام دهید. ماهیت ارائهدهندگان خدمات اطلاعات حساب و ارائهدهندگان خدمات شروع پرداخت، طوری است که نیاز دارد تا حجم بالایی از دادههای شخصی، پردازش شوند و ارزیابیِ تأثیر حفاظت از دادهها ضروری است؛ البته ارزیابیها باید قبل از پردازش دادههای مالی صورت گیرد و برای درک ریسک پردازش دادهها و تعریف اقدامات کاهشدهنده به کار گرفته شوند.
• حفاظت از دادهها را در سرویسهای جدید طراحی کنید. ارائهدهندگان خدمات اطلاعات حساب و ارائهدهندگان خدمات شروع پرداخت باید در طراحی و اصول پیش فرض به حفاظت از دادهها پایبند باشند. این اصول ارائهدهندگان خدمات را ملزم میکند تا پیش از ارائه دربارة تأثیر سرویسهای خود در حفاظت از دادهها فکر کنند. باید اقدامات مناسبی برای انطباق با GDPR و به حداقل رساندن میزان پردازش دادهها انجام شود.
• آماده باشید تا در صورت نیاز، اطلاعات استفاده از دادهها را در اختیار مصرفکنندگان قرار دهید. مالکان دادهها حق دارند، بدانند که آیا اطلاعات آنها در حال پردازش است یا خیر و اگر اینطور باشد، میتوانند یک نسخه را دریافت کنند. هنگام طراحی خدمات، ارائهدهندگان باید این حقوق را در نظر بگیرند تا در صورت درخواست، اطلاعات مناسب را ارائه دهند؛ اگر درخواست کاربرانِ خدمات پرداخت بیاساس یا بیش از حد باشد، ارائهدهندگان خدمات اطلاعات حساب و ارائهدهندگان خدمات شروع پرداخت، میتوانند هزینة معقولی را دریافت کنند.
• این شرط را تأیید کنید که در صورت درخواست، میتوانید همة دادههای مصرفکننده را پاک کنید. مصرفکنندگان حق دارند از ارائهدهندة خدمات بخواهند همة اطلاعات شخصی را به موقع پاک کنند. لغو رضایت برای ارائهدهندگان خدمات اطلاعات حساب و ارائهدهندگان خدمات شروع پرداخت، اهمیت ویژهای دارد. هنگام طراحی خدمات، ارائهدهندگان باید این حقوق را در نظر بگیرند تا در صورت درخواست بتوانند دادههای شخصی را حذف کنند.
قوانین امنیتی، پلی به سوی فرصتهای نو
قانون PSD2 در نظر دارد فرصتهای بیسابقهای را در بخش پرداخت در اختیار بانکها قرار دهد. قانون GDPR نیز حریم شخصی را هنگام توسعة محصولات یا ایجاد تغییرات، مورد توجه قرار میدهد؛ اما بانکها میتوانند با برنامهریزی قوی و تخصص کافی، جلوتر حرکت کنند. هنگامی كه این دو طرح به طور هماهنگ اجرا شوند، بانکها میتوانند به شکلی بهتر از مصرفكنندگان محافظت کنند و در خدمت آنها باشند. آنها همچنین میتوانند فراتر از سازگاری صرف با قوانین عمل و از فرصتهای جدید برای رشد استفاده كنند.
منبع: ماهنامه بانکداری آینده