تتضمن التدابير مزيجًا من الحلول التقليدية والناشئة القائمة على مبدأ أقل قدر من الامتيازات
في سيناريو تتزايد فيه تعقيدات سرقة بيانات الاعتماد والاحتيال بشكل كبير، أصبحت حماية البيانات والهويات الرقمية قضية بالغة الأهمية للقطاع المالي. وبحسب تقرير صادر عن صندوق النقد الدولي، تعرضت البنوك وشركات التأمين ومديرو الأصول لأكثر من 20 ألف هجوم إلكتروني في العقود الأخيرة، مما أسفر عن خسائر بلغت نحو 12 مليار دولار أميركي.
إن ممارسات التصيد الاحتيالي والهندسة الاجتماعية والمخاطرة ببيانات الاعتماد المتطورة بشكل متزايد تضع ضغوطًا على المؤسسات للاستثمار بشكل مستمر في طبقات إضافية من الأمان. أظهرت دراسة حديثة أجراها الاتحاد البرازيلي للبنوك (Febraban) أن أهم تقنيات الأمن والهوية الرقمية الناشئة ذات الصلة بالقطاع المالي، مثل القياسات الحيوية والحوسبة المحافظة على الخصوصية والأمن السيبراني ما بعد الكم.
وفي هذا السياق، يتجه تركيز المؤسسات أيضاً إلى مسألة الكفاءة. يقول أرماندو فيراز، المتخصص في قطاع المدفوعات في شركة كريبتوس، وهي شركة برازيلية متعددة الجنسيات تعمل في مجال التشفير والأمن السيبراني: "تتطلب أدوات الأمان القوية قدرًا كبيرًا من المعالجة، لذا فمن الضروري التفكير في حلول تسمح بعمليات آمنة دون المساس بسهولة الاستخدام".
وسلط فيراز الضوء على التطورات في قطاع القياسات الحيوية، والتي تطورت من التحقق البسيط من بصمات الأصابع إلى حل التعرف على الوجه والقزحية وحتى السلوك. ويقول: "نظرًا لأن البيانات البيومترية عبارة عن سجلات فريدة، فإن التكنولوجيا تلغي الحاجة إلى كلمات المرور وتحسن تجربة المستخدم، مما يعزز الأمان والعملية".
وعلى الرغم من أن الاستثمار في التقنيات الناشئة ضروري لزيادة دفاعات المحيط والتحكم في الوصول، فإن العديد من المنظمات لا تزال تهمل الاستخدام المحدود للبيانات التي تديرها داخليًا، كما يشير الخبير. ويوضح أن الأمن الذي يركز فقط على الحواجز الخارجية ليس كافيا، وخاصة في حالة المؤهلات الإدارية. من الضروري الحد من سعة استهلاك البيانات لكل اعتماد، واعتماد رؤية مُركّزة على البيانات، مع مراعاة حماية محيط البيانات. بهذه الطريقة، حتى في حال تعرُّض الوصول للخطر، سيكون احتمال الضرر أقل، نظرًا لتضييق نطاق البيانات.
ويشير الخبير أيضًا إلى أن مساحة التعرض الكبيرة تشكل خطرًا كبيرًا على أمن بيانات الاعتماد. ينتهي الأمر بالعديد من الشركات الخارجية بالوصول إلى المعلومات، ولا يزال مستوى الأمان لدى المستخدمين منخفضًا، مما يجعلهم عرضة للاحتيال. لذلك، يجب تقييد بيانات الاعتماد وفقًا للاحتياجات الفعلية للمستخدم المسؤول. تُعدّ بيانات الاعتماد ذات الصلاحيات غير المحدودة أحد أهم عوامل الهجوم، بما في ذلك برامج الفدية.
استنادًا إلى مبدأ الحد الأدنى من الامتيازات، يمكن تنفيذ إخفاء هوية البيانات باستخدام برنامج قادر على تصنيف وحماية بيانات الاعتماد ومستويات الوصول لكل مستخدم. يتم تجميع البيانات في وحدة أمان الأجهزة (HSM)، ويتم تصنيفها وتشفيرها وحمايتها في جميع الطبقات. وبحسب فيراز، فإن هذا النهج لا يضمن فقط بقاء البيانات الحساسة غير متاحة للمستخدمين غير المصرح لهم، بل يضمن أيضًا إدارة التشفير المستخدم لحمايتها بشكل آمن، مما يقلل من خطر التعرض للخطر.
ويجب أيضًا أن تسترشد تدابير حماية البيانات الداخلية بالامتثال للمتطلبات التنظيمية، مثل معايير PSD2 وPCI DSS، والتي تحدد استخدام آليات المصادقة والتشفير المتقدمة؛ وISO/IEC 27701، الذي يوفر إرشادات لإدارة معلومات الخصوصية، بما يتماشى مع قانون حماية البيانات العام (LGPD).
وسوف يصبح الأمن السيبراني في مرحلة ما بعد الكم ضروريًا أيضًا لحماية البيانات مع اكتساب أجهزة الكمبيوتر الكمومية قوة دفع وتجعل أساليب التشفير التقليدية عرضة للخطر. حصلنا مؤخرًا على شهادة NIST CAVP، التي تُثبت قدرتنا على مقاومة هجمات أجهزة الكمبيوتر ما بعد الكم لوحدات أمن الأجهزة kNET، وفقًا للمعهد الوطني للمعايير والتكنولوجيا. هذا يعني أننا اعتمدنا نهجًا هجينًا يجمع بين التشفير التقليدي وما بعد الكم لضمان حماية مستمرة وطويلة الأمد، كما أضاف فيراز.
التقنيات الناشئة الأخرى، مثل PPC، التي تقوم بمعالجة البيانات وتحليلها مع الحفاظ على خصوصية المعلومات؛ وسوف يكون للتشفير المتجانس، الذي يسمح بإجراء عمليات على البيانات المشفرة دون الحاجة إلى فك تشفيرها أولاً، أهمية مماثلة في مواجهة تحديات الأمن السيبراني الجديدة للبنوك وشركات الدفع.
يجب على القطاع المالي اعتماد وتعزيز نهج استباقي للأمن السيبراني، يجمع بين الأدوات الجديدة والتقليدية، مع التركيز بشكل رئيسي على موظفيه وعملياته. ويخلص إلى أن الأمن الفعال والدائم يعتمد على تغيير العقلية، ويجب أن ينطلق من داخل المؤسسات.
تابع Kryptus على Google News المصدر: RTM السوق المالية أكثر تعرضًا لـ اقرأ المزيد
الصورة: RTM | المصدر: RTM جهاز ينشئ بيئة غير قابلة للوصول ومقاومة للتلاعب اقرأ المزيد