السَّلامُ عَلیَکِ یا فاطِمَةَ الزَّهرا (سلام الله علیها)

رادیو مجازی اتاق ایران - 27 آبان 1403

کارشناسان صندوق بین‌المللی پول بررسی کردند

دولت‌ها یا شرکت‌های خصوصی؛ چه کسی باید با حملات سایبری مقابله کند؟

با وجود شیوع روزافزون حملات سایبری در سال‌های اخیر، هنوز هم سازمان‌های ملی تنظیم مقررات ارتباطی (نهادهای موسوم به رگولاتوری) و حتی خود شرکت‌ها آن‌طور که باید و شاید خطر این حملات را جدی نگرفته‌اند.

محمد اشرفی

خبرنگار
06 آبان 1396
کد خبر : 10760
اشتراک گذاری
اشتراک گذاری با
تلگرام واتس اپ
لینک

مؤسسات مالی سراسر جهان طی سال‌های اخیر حملات سایبری پرتعدادتر و پیچیده‌تری را تجربه کرده‌اند. حملات سایبری پر سر و صدایی مانند نفوذ هکرها به پایگاه‌های اطلاعاتی مرکز اعتبارسنجی اکوئیفاکس (Equifax) که در نتیجه آن اطلاعات اعتباری 143 میلیون آمریکایی به سرقت رفت، یا سرقت سایبری مبلغی معادل 81 میلیون دلار از بانک مرکزی بنگلادش، تنها دو نمونه از دهها حمله سایبری موفقی هستند که سالانه مؤسسات مالی و اعتباری را هدف می‌گیرند.

امروزه حملات سایبری یک تهدید دائمی برای مؤسسات مالی محسوب می‌شوند و کارکرد نظام مالی کنونی جهان که در آن مؤسسات به‌شدت به هم وابسته هستند را دچار چالش جدی کرده‌اند. بانک‌های کوچک و بزرگ روزانه هدف حمله خرابکاران سایبری قرار می‌گیرند و نفوذ هکرها به شبکه هریک از بانک‌ها یا مؤسسات مالی می‌تواند سایر شرکت‌های مالی یا غیرمالی را نیز در معرض خطر قرار دهد. این وضعیت افزایش ریسک سیستماتیک در فعالیت‌های اقتصادی را در پی داشته است؛ بعد تازه‌ای از پیامدهای حملات سایبری که کمتر به آن توجه می‌شود.

اخیراً سه نفر از کارشناسان زبده صندوق بین‌المللی پول در مقاله‌ای پیشنهاد نموده‌اند که نهادهای بین‌المللی مانند بانک تسویه حساب‌های بین‌المللی (Bank for International Settlements)، هیئت ثبات مالی ( Financial Stability Board) و خود صندوق بین‌المللی پول، نقش کلیدی را در حمایت از به اشتراک‌گذاری اطلاعات، طراحی سیاست‌های هماهنگ، کمک به حل‌وفصل مناقشات و پوشش ریسک سیستماتیک خدمات مالی و اعتباری بر عهده بگیرند.

حملات پیچیده

حمله به سامانه‌های انتقال پول و دستگاه‌های خودپرداز، ویروسی کردن شبکه‌های بانکی و بین‌بانکی، آسیب رساندن به فایل‌ها و سخت‌افزارها و کلاه‌برداری‌های سایبری جزو خطرناک‌ترین حملات سایبری به شمار می‌روند.

با وجود شیوع روزافزون حملات سایبری در سال‌های اخیر، هنوز هم سازمان‌های ملی تنظیم مقررات ارتباطی (نهادهای موسوم به رگولاتوری) و نیز خود شرکت‌ها آن‌طور که باید و شاید خطر این حملات را جدی نگرفته‌اند.

از طرفی بسیاری از شرکت‌هایی که هدف حملات سایبری قرار می‌گیرند، از ترس اینکه مبادا خدشه‌ای به اعتبارشان وارد شود و یا کسب‌وکارشان را از دست بدهند، دست به پنهان‌کاری می‌زنند و اوضاع را پیچیده‌تر می‌کنند. در برخی مورد، حملات سایبری پس از چند ماه یا حتی چند سال افشا می‌شوند.

موانع امنیت سایبری

چگونه می‌توان تهدیدات گسترده و پیچیده سایبری را مدیریت کرد؟ تمهیدات امنیتی مانند استفاده از دیوارهای آتشین (فایروال)، رمزگذاری داده‌ها، برنامه‌ریزی استمرار کسب‌وکار و ارائه آموزش‌های لازم به کارکنان اگرچه ضروری و مفید هستند اما می‌توانند بسیار پرهزینه باشند و کارهای روزمره را برای شرکت‌ها دشوار نمایند. بازطراحی محصولات و فرآیندها نیز شاید در کوتاه‌مدت برای اجتناب از خطر حملات سایبری مؤثر واقع شود اما نباید فراموش کرد که شیوه‌های جدید نیز در بلندمدت آسیب‌پذیری‌های خاص خود را در پی خواهند داشت.

شرکت‌ها می‌توانند ریسک حملات سایبری را به اشخاص حقوقی ثالثی مانند شرکت‌های بیمه یا ارائه‌دهندگان خدمات امنیت سایبری منتقل نمایند اما فقدان یا عدم تقارن اطلاعات بین این بنگاه‌های اقتصادی –که اغلب تجربه زیادی در مورد این نوع ریسک اقتصادی ندارند- به‌نوعی از تمایل بخش خصوصی برای سرمایه‌گذاری جهت کاهش ریسک حملات سایبری به مؤسسات مالی کاسته است. از طرفی اغلب شرکت‌ها خطر حملات سایبری را کمتر جدی می‌گیرند و در مقابل، بیش‌ازحد روی توانمندی‌های دفاعی و پوشش بیمه‌ای خود در برابر این حملات حساب می‌کنند. در قیاس با سایر ریسک‌های قابل بیمه، شرکت‌های بیمه کمتر با ریسک حملات سایبری آشنایی دارند و به همین دلیل تنها مبلغ کمی را بابت پوشش این ریسک به حق بیمه دریافتی از شرکت‌ها (جهت سایر انواع ریسک) می‌افزایند.

ریسک سیستماتیک

حتی خود شرکت‌های بیمه و شرکت‌های ارائه‌دهنده خدمات امنیت سایبری نیز ممکن است هدف حملات سایبری قرار گیرند و اگر تنها تعداد کمی از این شرکت‌ها در بازار حضور داشته باشند، روی آوردن تعداد زیادی از مؤسسات مالی به این شرکت‌ها خود می‌تواند منشأ یک ریسک سیستماتیک بزرگ برای نظام مالی باشد.

ریسک سیستماتیک می‌تواند از تمرکز فناوری اطلاعات در یک نظام مالی نیز سرچشمه بگیرد؛ وقتی مؤسسات فعال در یک نظام مالی اغلب از سیستم‌عامل و نرم‌افزارهای مشابهی استفاده می‌کنند و سرورهای مجازی و هاب‌های شبکه آنها مشترک است، ریسک سیستماتیک آن نظام مالی نیز بیشتر خواهد بود. گسترش ارتباطات مالی از طریق سیستم‌های بین‌بانکی و سایر شبکه‌های انتقال وجه باعث شده است که آثار شوک‌های ناشی از حملات سایبری به‌سرعت در کل نظام مالی پخش گردد. افزایش محبوبیت سیاست‌های پوشش بیمه‌ای در برابر حملات سایبری موجب رشد روزافزون بازار این نوع پوشش بیمه‌ای شده است اما افزایش احتمالی حملات سایبری به شرکت‌های بیمه در آینده می‌تواند یک ریسک سیستماتیک جدید باشد.

در چنین شرایطی پرواضح است که بخش دولتی وظیفه دارد کاری کند که زیان‌های ناشی از حملات سایبری منجر به شکل‌گیری یک ریسک سیستماتیک بزرگ در اقتصاد نشود.

وظایف رگولاتوری

دولت باید از طریق اعمال سیاست‌های انگیزشی شرایطی را فراهم کند که شرکت‌های خصوصی به‌محض وقوع حملات سایبری، مراتب را سریع و دقیق گزارش نمایند. ازآنجاکه حملات سایبری ماهیت مجرمانه دارند، ضابطین بانکی (مشخصاً بانک مرکزی) باید قادر باشند که به‌سرعت هماهنگی‌های لازم را با دستگاه‌های قضائی به عمل آورند و اجازه داشته باشند که به‌محض کشف جرائم سایبری، واکنش لازم را در چهارچوب قانون از خود نشان دهند.

حملات سایبری یک تهدید جهانی هستند و هیچ حدومرز جغرافیایی نمی‌شناسند؛ بنابراین نقش نهادهای بین‌المللی در مواجهه با آنها حیاتی است. امروز زمان آن رسیده است که دولت‌ها به فکر یک واکنش هماهنگ به ریسک سیستماتیک ناشی از حملات سایبری باشند. مراجع بین‌المللی مانند هیئت ثبات مالی و نیز مجامع بین‌المللی مانند گروه هفت (G-7) تلاش‌هایی را برای آشنایی هرچه بیشتر اعضای خود با خطر حملات سایبری آغاز کرده‌اند و تقویت هماهنگی بین کشورها در این زمینه را در دستور کار خود قرار داده‌اند.

به نظر می‌رسد نهادهای بین‌المللی و دولت‌ها در مسیر درستی برای رفع برخی از چالش‌های ایجاد شده در زمینهٔ انتقال اطلاعات و نیز هماهنگی‌های بین‌المللی گام برمی‌دارند؛ چالش‌های که خود از ریسک سیستماتیک حملات سایبری نشأت گرفته‌اند.

در همین رابطه