11 - 09 - 2024
عدم شفافیت بانکها در برابر حملات سایبری
سعید امینیان*
در ماه گذشته، حملهای سایبری از نوع «حمله زنجیره تامین»
(Supply chain attack) به حدود ۲۰ بانک کشور نگرانیهای گستردهای درخصوص امنیت زیرساختهای بانکی و حفاظت از اطلاعات کاربران ایجاد کرد. هکرها با نفوذ به یکی از شرکتهای تامینکننده نرمافزارهای بانکی موفق شدند به اطلاعات حساس سیستمهای بانکی دست یابند و در نهایت باج ۸میلیون دلاری را دریافت کنند تا اطلاعات به سرقت رفته را منتشر نکنند. نکته قابل تأمل، عدم شفافیت و اطلاعرسانی از سوی بانکها و شرکتهای مرتبط طی این مدت بود که بیاعتمادی کاربران را افزایش داد.حملات سایبری بهویژه از نوع «حمله زنجیره تامین»، بهعنوان یکی از پیچیدهترین تهدیدات در حوزه فناوری اطلاعات شناخته میشوند. در این نوع حملات، هکرها به جای حمله مستقیم به بانکها از آسیبپذیریهای شرکتهای تامینکننده خدمات بانکی بهره میبرند. این مساله نشاندهنده وابستگی بالا به شرکتهای طرف سوم است که عدم نظارت کافی بر عملکرد آنها میتواند به تهدیدهای بزرگی برای سیستمهای بانکی منجر شود. اتفاق اخیر ثابت کرد که حتی بزرگترین و معتبرترین نهادهای مالی کشور نیز در برابر حملات سایبری آسیبپذیر هستند. با توجه به افزایش تهدیدات سایبری، بانکها باید سرمایهگذاری بیشتری در زیرساختهای امنیتی و بهروز نگهداشتن استانداردهای امنیتی خود انجام دهند. نظارت بر تامینکنندگان خدمات فناوری نیز باید بهطور جدیتر انجام گیرد تا امکان وقوع چنین حملاتی به حداقل برسد.یکی از مهمترین مسائلی که در این حمله برجسته شد، نبود شفافیت و عدم اطلاعرسانی از سوی بانکها و شرکتهای تامینکننده بود. اطلاعرسانی سریع و شفاف در چنین حوادثی میتواند از انتشار شایعات جلوگیری و اعتماد عمومی را حفظ کند. کاربران حق دارند بدانند که اطلاعات شخصی و مالی آنها در معرض خطر قرار گرفته یا به سرقت رفته است تا بتوانند اقدامات لازم برای محافظت از خود را انجام دهند. متاسفانه، پنهانکاری و تاخیر در اطلاعرسانی تنها به کاهش اعتماد عمومی منجر میشود و میتواند در آینده عواقب شدیدتری مانند حملات بعدی یا سوءاستفاده از دادههای مالی بههمراه داشته باشد. تجربه کشورهای پیشرفته نشان داده است که اطلاعرسانی سریع و دقیق در مواجهه با رخنههای امنیتی به حفظ اعتماد عمومی و کاهش خسارات کمک میکند.حفاظت از اطلاعات کاربران باید اولویت اصلی هر نهاد مالی و دولتی باشد. هر کاربری که اطلاعاتش در سیستمهای بانکی ذخیره میشود، حق دارد در صورت نقض امنیتی از وضعیت آن مطلع شود. در بسیاری از کشورها، قوانین جامعی مانند GDPR (مقررات حفاظت از دادههای عمومی اروپا) وجود دارد که شرکتها را ملزم به اطلاعرسانی سریع به کاربران و مقامات قانونی در صورت بروز هرگونه رخنه امنیتی میکند. این قوانین جریمههای سنگینی برای عدم اطلاعرسانی به موقع در نظر گرفتهاند و این امر باعث شده تا شرکتها به شفافیت و پاسخگویی بیشتری در قبال کاربران دست یابند. در ایران با وجود برخی مقررات اولیه، هنوز خلأهای قانونی زیادی در زمینه حفاظت از دادههای کاربران و مسوولیتپذیری نهادها وجود دارد. دولت باید با تقویت قوانین مرتبط با امنیت سایبری و نظارت بر شرکتهای تامینکننده خدمات بانکی، حقوق کاربران را تضمین کند و بانکها را ملزم به رعایت استانداردهای بینالمللی امنیت کند.حملات سایبری به زیرساختهای حیاتی مانند بانکها، تهدیدی جدی برای اقتصاد و امنیت ملی محسوب میشوند. دولت نقش کلیدی در نظارت و پیشگیری از چنین حملاتی دارد. تدوین قوانین شفاف و الزامآور در حوزه امنیت سایبری، نظارت مستمر بر عملکرد بانکها و شرکتهای فناوری و همچنین ارزیابی مداوم آسیبپذیریها میتواند تا حد زیادی از وقوع چنین حوادثی جلوگیری کند. علاوه بر این، دولت باید سامانههای نظارتی مستقلی را برای رصد حملات سایبری به نهادهای حساس ایجاد و در عین حال بانکها را ملزم به ارائه گزارشهای امنیتی به کاربران و مقامات ذیربط کند. چنین اقداماتی میتواند زمینهساز پیشگیری از وقوع حملات بزرگتر و کاهش خسارات ناشی از آنها باشد.حمله اخیر به بانکها، زنگ خطری برای نظام بانکی کشور بود و نشان داد که امنیت زیرساختهای بانکی نیاز به بازنگری و ارتقای جدی دارد. شفافیت در اطلاعرسانی و حفاظت از حقوق کاربران باید در صدر اولویتهای بانکها و شرکتهای فناوری قرار گیرد. در این میان، دولت نیز با وضع قوانین شفاف و سختگیرانه و نظارت دقیقتر میتواند نقش مهمی در جلوگیری از وقوع بحرانهای مشابه ایفا کند. قوانین بینالمللی مانند GDPR میتوانند بهعنوان الگوهایی موثر در این مسیر مورد استفاده قرار گیرند تا اعتماد عمومی به سیستم بانکی کشور حفظ و از بروز خسارات جبرانناپذیر جلوگیری شود.
* کارشناس فناوری اطلاعات و ارتباطات
لطفاً براي ارسال دیدگاه، ابتدا وارد حساب كاربري خود بشويد