گروه بورس، بانک و بیمه بازارنیوز- مهدی دهقانی اسکوئی؛تهدیدها و حوادث سایبری همچون حملات باج افزاری، نگرانی زیادی برای بخش بانکی در چند سال گذشته ایجاد کرده است به گونه ای که ایمنی و سلامت تک تک بانک ها و ثبات سیستم مالی را به خطر انداخته است. از زمان شروع شیوع همه گیری کووید -19، این نگرانی ها بیشتر نیز شده است. دورکاری و افزایش تدارک خدمات مالی با استفاده از کانال های دیجیتالی سطح حمله در بانک ها را بیشتر کرده است. این بدان معناست که خرابکاران به طور قابل ملاحظه ای ماهر و با تجربه شده اند، نقاط دسترسی بیشتری به سیستم های بانکی دارند. حملات هدفمند به ارائه دهندگان خدمات شخص ثالث بانکی، از جمله نرم افزارهای شخص ثالث که بانک ها از آن ها استفاده می کنند و دیگر عوامل داخلی، یک یادآوری آشکار است که اقدامات امنیت سایبری باید شامل این گونه از ارایه دهندگان خدمات مالی نیز باشد. باج افزارها همچنان به عنوان یکی از مهم ترین تهدیدات امنیت سایبری به وجود خود در صنعت بانک داری ادامه می دهند. با نمایان شدن اهمیت روز افزون این بدافزار، امنیت سایبری عنصر کلیدی برنامه کاری کمیته بازل است که سران نظارتی، اوایل سال جاری بر آن تأکید داشته اند.

در 31 مارس 2021، این کمیته دو سند مربوط به ریسک و انعطاف عملیاتی را منتشر کرد: اصول تجدید نظر شده برای مدیریت سالم ریسک عملیاتی (PSMOR) و اصول تاب آوری و انعطاف عملیاتی (POR) . مدیریت سالم ریسک عملیاتی (PSMOR) تا حدی برای بهتر در نظر گرفتن خطرات عملیاتی مرتبط با فناوری اطلاعات و ارتباطات، از جمله آسیب پذیری در برابر تهدیدات سایبری، تجدید نظر شد. علاوه بر این، همانطور که در اصول تاب آوری و انعطاف عملیاتی (POR) بیان شده است، امروزه یک جزء کلیدی از قابلیت انعطاف پذیری عملیاتی بانک (یعنی توانایی بانک در انجام عملیات های مهم در پی یک اختلال) انعطاف پذیری در برابر حوادث سایبری است، از جمله مواردی که ممکن است از ترتیبات برون سپاری (به معنی اینکه شرکتی دیگر بخشی از کار یک شرکت را انجام دهد) ناشی شود. دستیابی به چنین انعطافی مستلزم آن است که بانک ها تهدیدها و شکست های احتمالی پیش روی خود را شناسایی کرده و از آن ها (شرکت های برون سپاری) محافظت کنند. همچنین علاوه بر پاسخ دهی و وفق دادن خود، باید خود را پس از مقابله و تطابق، بازیابی نمایند و از آن ها درس بگیرند تا تأثیر آن ها را در انجام عملیات، به ویژه عملیات های حیاتی، به حداقل برسانند.

این کمیته معتقد است که همه مقامات بانکی باید موسسات تحت نظارت خود را برای پیاده سازی ابزارها، شیوه های موثر و چارچوب هایی برای مدیریت ریسک سایبری که مطابق با استانداردهای صنعت پذیرفته شده، از جمله روش های آزمایش کارآیی آن ها، تشویق کنند. با اجرای چنین رویه هایی، بانک ها قادر خواهند بود به طور موثر خطرات سایبری، به ویژه مخاطرات ارائه دهندگان خدمات شخص ثالث را شناسایی، ارزیابی ، مدیریت کرده و کاهش دهند. این امر باعث ارتقاء بیشتر مقاومت در برابر تهدیدها و حوادث سایبری در جهت پیشرفت مدیریت سالم ریسک عملیاتی (PSMOR) و اصول تاب آوری و انعطاف عملیاتی (POR) می شود. به علاوه، استفاده از چنین رویکردهایی برای مدیریت خطرات سایبری، تلاش های بانک را برای رسیدگی به تهدیدها و حوادث امنیت سایبری در وضع مناسبی قرار می دهد. علاوه بر این، استفاده از چنین رویکردهایی می تواند نظارت سرپرستی را تسهیل کرده و به ترویج بیشتر همسویی ارزیابی های نظارتی در حوزه های قضایی کمک کند.

کمیته بازل به طور کلی از هیچ ابزار، شیوه یا چارچوب موثری حمایت نمی کند، اما از پذیرش بانک هایی که در سطح جهانی از استانداردهای صنعتی پذیرفته شده استفاده می کنند، استقبال می کند. محتوا و قالب این استانداردها مشابه است و اجماع جهانی در مورد اصول اساسی امنیت سایبری را نشان می دهد. ابزارهای در دسترس، شیوه های موثر چارچوب های منطبق با استانداردهای صنعتی شامل چارچوب امنیت سایبری سازمان ملی استاندارد و فناوری (NIST) ، سازمان بین المللی استاندارد (ISO) 2700x و مرکز کنترل امنیت اینترنت می شوند. علاوه بر این، ناظران ممکن است مایل باشند بانک های خود را تشویق به استفاده از منابعی مانند جعبه ابزار پاسخگویی و بازیابی حوادث سایبری (FSB) و واژه نامه سایبری آن کنند. بسیاری از این ابزارها، شیوه ها و چارچوب های موثر به صورت عمومی و رایگان در اختیار بانک ها قرار دارند.

کمیته بازل معتقد است که در شرایط کنونی بانک ها باید به طور مستمر تلاش کنند تا انعطاف پذیری خود را در برابر تهدیدات و حوادث امنیت سایبری افزایش دهند. اتخاذ گسترده ابزارها، چارچوب و روش‌های موفق براساس استانداردهای عمومی صنعت، باید امنیت سایبری بانک را با بهبود عناصر اساسی که شامل مدیریت موثر خطرات سایبری، شیوه های دقیق سلامتی سایبری، روش های مناسب برای شناسایی و محافظت در برابر تهدیدات سایبری و افزایش ظرفیت پاسخ دهی و بازیابی، تقویت کنند. همانطور که در برنامه کاری آن مشخص شده، کمیته همچنان به نظارت و ارزیابی پیشرفت های مدیریت خطرات سایبری بانک و انعطاف پذیری آن برای حفظ محرمانه بودن، یکپارچگی و در دسترس بودن سیستم ها و داده های بانک در مواجهه با تهدیدات سایبری ادامه خواهد داد. این کمیته در صورت لزوم برای تقویت ایمنی و سلامت هر بانک و محدود کردن مفاهیم بالقوه ثبات مالی اقدام خواهد کرد.