تهدیدات سایبری به زیرساختهای مالی یک نگرانی با خطر بالا برای قانونگذاران و تنظیمکنندگان بازارها و موسسات مالی است و قانونگذاران و موسسات مالی برای جلوگیری از تهدیداتی که متوجه زیرساختهای فعلی و آینده فضای سایبر است، باید سرمایهگذاری قابل توجهی روی سیستمهای امنیتی انجام دهند.
به گزارش پایداری ملی، مرکز ملی فضای مجازی در مقالهای به آخرین تحقیقات و دیدگاهها در زمینه مدیریت ریسک سایبری میپردازد تا بینش روشنی در مورد فرکانس و شدت خطرات سایبری، میزان تلفات این خطرات و بهترین روشها و چارچوبها برای سازماندهی و اجرای مدیریت این خطرات بدهد. همچنین بهترین روشهای رمزنگاری و تحقیقات درباره حفاظت از حملات سایبری در دوره محاسبات کوانتومی آینده را شرح میدهد.
همچنین نتیجهگیری میشود که دولتها باید با استفاده از بازیگران فعال بازار مالی از یک یا چند چارچوب مدیریت ریسک سایبری برای استانداردسازی جمعآوری و گزارش رویدادهای حملات و خطرات سایبری استفاده کنند. سرانجام، اعضای دولت و صنعت باید برای تأمین مالی و بازسازی سیستمها و زیرساختهای قدیمی صنعت مالی با هم همکاری کنند تا راه حلهای مدیریت ریسک سایبری را فعال کنند.
تهدیدات سایبری به زیرساختهای مالی
تهدیدات سایبری به زیرساختهای مالی یک نگرانی با خطر بالا برای قانونگذاران و تنظیمکنندگان بازارها و موسسات مالی است. در سراسر جهان، سازمانهای دولتی، دانشگاهیان و گروههای تجاری و تحقیقاتی در حال بررسی موسسات مالی هستند تا از خطرات سایبری که با آن روبرو هستند اطلاعات کسب کنند و تأثیر چنین ریسکهایی را مطالعه میکنند.
تأثیر تکنولوژیک یک حمله سایبری از میان سیستم مالی وامهای بین بانکی یا وامها یا پرداختها راه خود را باز خواهد کرد و به سایر بخشها نیز وارد میشود. حمله به عنوان یک ویروس یا با سوءاستفاده از یک نقص فنی، این حمله ممکن است از طریق شبکههای داده و ارتباطات، از طریق ارائهدهندگان خدمات مشترک یا از طریق اشخاصی که از فناوریهای رایج استفاده میکنند، انتشار یابد.
در حالی که سازمانها در کشف نقضهای داخلی بهتر و سریعتر عمل میکنند، از سوی دیگر حملات مختلکننده که اثراتش بلافاصله قابل مشاهده است، مانند حملات محرومسازی از سرویس DoS و باج افزاری نیز افزایش مییابد. میانگین جهانی زمان ساکن (اولین نفوذ تا شناسایی) قبل از هر گونه تشخیص -خارجی یا داخلی- نیز کاهش یافته، از بالاترین مقدار که برابر ۴۱۶ روز در سال ۲۰۱۱ بود به ۱۰۱ روز در سال ۲۰۱۷ و به ۷۸ روز در سال ۲۰۱۸ کاهش یافته است.
در نظرسنجی ۲۰۲۰ در موسسه DTCC’s یا (Depository Trust and Clearing Corporation’s) برای سنجش فشار خطرات سیستمی، خطرات سایبری توسط ۲۲ درصد از پاسخدهندگان به عنوان بالاترین خطر ذکر شد و ۶۳ درصد آن را به عنوان یکی از پنج ریسک برتر عنوان کردند. بسیاری از پاسخدهندگان به نظرسنجی اظهار کردند خطر سایبری تهدیدی "رو به رشد" و "پایدار" است. بررسی سیستم مالی بانک مرکزی کانادا نشان داد که بیشترین نگرانی پاسخدهندگان در مورد نقض احتمالی امنیت سایبری که اطلاعات محرمانه شان را در معرض عموم میگذارد است. آنها همچنین نگران بودند که یک حادثه سایبری که بر یک ارائهدهنده خدمات شخص ثالث تأثیر میگذارد ممکن است فعالیتهای حیاتی افراد را به شدت مختل کند.
استفاده بالقوه از هوش مصنوعی برای مهندسی حملات سایبری
گزارش خطرهای جهانی مجمع جهانی اقتصاد (WEF)، نسخه ۲۰۱۹، کلاهبرداری یا سرقت داده و حملات سایبری را در میان پنج رویداد مهم خطرناک پس از خطرات زیست محیطی ذکر کرده است. کلاهبرداری با استفاده از دادهها و حملات سایبری مختل کننده، توسط انسان ساخته شده و با استفاده از فناوری انجام میشود. در سال ۲۰۱۸، نقض گسترده دادهها، ضعفهای سختافزاری جدید و تحقیقات نشان داده است که استفاده بالقوه از هوش مصنوعی برای مهندسی حملات سایبری در آینده ویرانگر خواهد بود.
این گزارش به شواهد دیگری اشاره میکند که حملات سایبری خطراتی را برای زیرساختهای مهم فناوری به وجود میآورد، زیرا فناوری حتی به ابزاری مهمتر و توانمندتر برای مدیریت ریسک و برنامههای تجاری مدیریت مشتریان تبدیل میشود. اکثریت پاسخدهندگان در نظرسنجی WEF انتظار داشتند که در سال ۲۰۱۹ خطر حملات سایبری منجر به افزایش سرقت پول و دادهها (۸۲ درصد) و اختلال در کارها (۸۰ درصد) شود. این نگرانی کشورها را بر آن داشته است تا نظارت بر مشارکتهای برونمرزی خود را به دلایل امنیت ملی تقویت کنند.
برای مثال، قانون امنیت سایبری چین چالش مهمی را برای سایر کشورها به وجود میآورد زیرا به منظور حمایت از تجهیزات شبکه چینی نسبت به تجهیزات خارجی، حمایت از استفاده از شبکههای ارتباطی چینی، و تبدیل سرورها، روترها و سایر تجهیزات و محصولات تأمینکنندگان چینی به خاستگاه دادههای حساس، سایر کشورها را ملزم به ذخیره اطلاعات حساس در چین میکند. نگرانی ویژه برای مشاغل خارجی این است که اپراتورهایی که به عنوان "زیرساخت اطلاعات مهم" فعالیت میکنند، باید تحت بررسی دقیق امنیتی قرار گیرند تا اطمینان حاصل شود که سیستمهای داده "ایمن و قابل کنترل هستند". شرکتهایی که تخلف میکنند میتوانند منجر به لغو مجوز و پروانه کسبشان شود.
حملات سایبری و کمبود تجربه
با افزایش اتکای سازمانها به فناوریهای دیجیتال آسیبپذیر و ارائهدهندگان خدمات شخص ثالث، نشت اطلاعات و پروندههای نقض امنیت سایبری به یک روتین تبدیل شده است. پروتیویتی، مشاور شرکتهای مالی در زمینه حسابرس داخلی، ریسک، تجارت و فناوری، در گزارش تهدید امنیتی ۲۰۱۸ خود، سازمانهای خدمات مالی را هم از منظر آسیبپذیری داخلی و هم در شبکههای خارجی، دارای بالاترین درصد از آسیبپذیریهای شبکه معرفی میکند. ۱۷۷۱ مورد آسیبپذیری "حیاتی"، ۲۷۹۰ مورد آسیبپذیری "با شدت زیاد" در یک نمونه شامل ۵۰۰ واحد تجاری از طیف وسیعی از صنایع (۲۹ درصد مربوط به خدمات مالی) در دوره میان سالهای ۲۰۰۹-۲۰۱۷ دیده شده است.
کنسرسیوم امنیت سایبری برای خدمات مالی ۲۶ شرکت فناوری، موسسه مالی و اپراتورهای سیستمهای پرداخت اصلی را به عنوان عضو کنسرسیوم معرفی کرده است. این کنسرسیوم برای اجرای گزارش مجمع جهانی اقتصاد در مورد امنیت سایبری تشکیل شد که در آن خواستار ایجاد ضوابط و معیارهای مشترک برای سنجش میزان امنیت سایبری شرکتهای فناوری مالی (فینتک) شد. این امر به موسسات مالی سنتی امکان میدهد تا میزان خطری را که هنگام مشارکت با شرکتهای تازه توسعهیافته فینتک با آن روبهرو میشوند، ارزیابی کنند.
کنسرسیوم گزارش داده است که تخلفات سایبری از سال ۲۰۱۳ تقریباً دو برابر شده و هزینه تخمینزدهشده برای جرایم اینترنتی طی پنج سال آینده هشت تریلیون دلار پیشبینی شده است. مقاله اخیر که توسط یک اقتصاددان فعال در سازمان اوراق بهادار و بازار اروپا تالیف شده، میزان خطرات سایبری را به تفصیل شرح میدهد. در این مقاله اشاره شده که ثبت حملات و خطرات مواجه شده در زمینه سایبر بسیار ناچیز است، زیرا شرکتها نه انگیزهای برای گزارش آنها دارند و نه استاندارد یکسانی برای ثبت آنها وجود دارند. برای مثال، در انگلیس تنها ۴۹ حمله سایبری در سال ۲۰۱۷ به مقامات مالی انگلیس گزارش شده که نشان میدهد تعداد زیادی از حملات موفقیتآمیز سایبری در بخش مالی، گزارش نشده است.
در ایالات متحده، SEC در سال ۲۰۱۱ رهنمودهایی را در مورد افشای خطر سایبری برای شرکتهای بورسی منتشر کرد که در سال ۲۰۱۸ اصلاح شد تا جزئیات بیشتری درباره چگونگی و زمان انتشار اطلاعات شرکتها به سرمایهگذاران ارائه دهد. با این حال، این اقدام تأثیر محدودی در گزارش واقعی حملات سایبری داشته است. برای مثال، در میان حدود ۴۰۰۰ گزارش سالانه شرکتهای ایالات متحده، که در سال ۲۰۱۷ منتشر شده است، فقط ۷ درصد شامل خطرات سایبری که عمدتا در بخشهای مالی و خدمات است، میشد.
موسسات مالی در بیش از ۵۰ کشور قربانی حملات سایبری شدهاند
به طور کلی، موسسات مالی در بیش از ۵۰ کشور قربانی حملات سایبری شدهاند. بیشترین قربانی حملات را بانکها (۹۱ درصد) و پس از آن شرکتهای بیمه (۷ درصد) تشکیل میدهند. در میان بانکها، فعالیتهای بانکی خردهفروشی (۳۹ درصد) و خدمات کارتهای اعتباری (۲۵ درصد) قربانیان اصلی در میان سایر کسبوکارها بودند.
مجموعهای از دادههای عمومی و تجاری در این زمینه وجود دارد اما ناقص است، پوشش متفاوتی دارند و از تعاریف مختلفی برای حملات سایبری استفاده میکنند و به همین دلیل تحلیل میزان خسارت حملات سایبری را دشوار میکند. علاوه بر این، دادههای مربوط به ضررها از منابع مختلف با استفاده از روشهای مختلف (هزینههای واقعی، هزینههای برآورد شده و غیره) جمعآوری میشود که مقایسه آنها را دشوار میکند. در میان مجموعه دادههای غیرعمومی، دو نوع اصلی داده موجود است: دادههای تجاری و دادههای کنسرسیوم.
ارائهدهندگان دادههای تجاری مانند SAS یا IBM اطلاعات مربوط به حوادث خطرات عملیاتی را جمعآوری میکنند - که شامل رویدادهای سایبری بر اساس اطلاعات موجود در دسترس عموم است. ارائهدهندگان خطرات ویژه مانند Advisen ۹۰،۰۰۰ حمله سایبری را که به صورت عمومی گزارش شده است، شامل اطلاعاتی مانند شرکت، تاریخ رویداد، منبع و نوع خسارت و همچنین میزان خسارت را تحت پوشش قرار میدهد.
دادههای توزیعشده از طریق یک نهاد سازمانیافته صنعتی ORX ارائه میشود، که کنسرسیومی متشکل از ۹۹ موسسه مالی است که دادههای مربوط به حملات و مخاطرات عملیاتی را جمعآوری میکنند. اعضای ORX اطلاعات ناشناس از حدود ۶۰۰ هزار حمله خطرناک را پوشش میدهد و فقط برای اعضا در دسترس است. موسهه ORX همچنین یک مجموعه داده بر اساس دادههای موجود عمومی، با نام ORX News ارائه میدهد که حدود ۶۰۰۰ رویداد را شامل میشود، از جمله رویدادهای مربوط به حملات سایبری.
دادههای مربوط به خسارات فقط زیانهای مستقیم را شامل میشود - اگرچه زیانهای غیرمستقیم (شهرت، بهبودی و بازسازی مشاغل و غیره) بیش از ۹۰ درصد از کل خسارات را تشکیل میدهد. دادههای ORX 341 حمله خطرناک سایبری را پوشش میدهد که بر اساس گزارش موسسات مالی طی سالهای ۲۰۰۹-۲۰۱۷ بر فعالیت آنها تأثیر گذاشته است. حدود یک سوم این رویدادها خسارتی معادل ۶.۵ میلیارد دلار را به دلیل از دست رفتن دادهها گزارش دادهاند.
بر اساس این مجموعه داده محدود، اقتصادهای پیشرفته اهداف اصلی حملات سایبری هستند اما بازارهای نوظهور و اقتصادهای در حال توسعه نیز در معرض خطر سایبری قرار دارند. اقتصادهای پیشرفته ۸۰ درصد حملات موفقیتآمیز را تشکیل میدهند، عمدتا در ایالات متحده (۳۹ درصد) و انگلیس (۷ درصد). در میان بازارهای نوظهور، روسیه ۶ درصد، چین ۴ درصد و هند ۳ درصد را تشکیل میدهد.
خسارت مستقیم ناشی از حمله سایبری عموماً به اندازه و سرمایه موسسه مالی مورد نظر ارتباطی ندارد. بیشترین خسارات ثبتشده در میان موسسات کوچکتر متمرکز شده است، احتمالاً به دلیل سرمایهگذاری کمتر در زمینه امنیت فناوری اطلاعات.
بهترین شیوههای رمزنگاری و محافظت از حملات سایبری
تعداد زیادی از تهدیدها و حملات، سیستمهای مالی و زیرساختهای مالی را تهدید میکند. بدافزارهای قرار دادهشده در رایانهها میتوانند با سوءاستفاده در نرمافزارهای سازندگان رایانه، استفاده از وبسایتهای جعلی که برای سرقت رمزهای عبور تنظیم شدهاند، یا با حضور فیزیکی افراد مجاز به دادهها دسترسی پیدا کنند. بسیاری از این آسیبپذیریها توسط خود تولیدکنندگان رایانه و نرمافزار قبل از بهرهبرداری مهاجمین کشف میشوند، در حالی که بسیاری از اشخاص نیز آسیبپذیریها را در مولفههای متداول فناوری جستوجو میکنند و به کاربران اطلاع میدهند. موسسات مالی نیز حسابرسان ناظران فناوری را به کار میگیرند که بهطور مداوم نرمافزارهای توسعهیافته داخلی آنها را برای یافتن آسیبپذیریها اسکن میکند.
با استفاده از فناوری شبکه تلفن همراه 5G در حال حاضر دستگاههای بیشتری به اینترنت متصل میشوند. این امر منجر به افزایش قابل توجهی در حجم اطلاعات جمعآوریشده توسط مشاغل خواهد شد، و باعث افزایش خطرات امنیت سایبری و افزایش اهمیت رمزگذاری برای محافظت از دادهها میشود.
اگر یک جعبه سیاه برای عصر دیجیتال وجود داشته باشد، آن جعبه سیاه عملیات ریاضی است که دادههای دیجیتالی ما را رمزگذاری میکند. رمزگذاری به ما اطمینان میدهد که مکاتبات محرمانه دولتیمان در صورت رهگیری برای مهاجمان قابل درک نیست، عملیات نظامی ما غیرقابل نفوذ است، ارتباطات الکترونیکی ما ایمن است، اطلاعات پروفایل دیجیتال ما خصوصی و ایمن باقی مانده و اطلاعات معاملات مالی در صورت سرقت بیفایده خواهد بود. رمزگذاری دادهها را برای مهاجمین غیرقابل درک میکند. فقط دادههایی که رمزگذاری نشدهاند قابل استفاده هستند. با این حال، با وجود تمام این مزایا، همه دادهها رمزگذاری نمیشوند. رمزگذاری زمان و مقدار زیادی از انرژی کامپیوتر را میگیرد.
رمزنگاری مدرن برای دادهها
رمزنگاری مدرن مبتنی بر این ایده است که کلیدی که برای "رمزگذاری" دادههای خود استفاده میکنید میتواند عمومی باشد در حالی که کلیدی که برای "رمزگشایی" دادههای شما استفاده میشود میتواند بهصورت خصوصی حفظ شود. اولین و همچنان پرکاربردترین این سیستمها با نام RSA شناخته میشود. رمزگذاری با گرفتن یک پیام و اعمال یک عمل ریاضی روی آن برای به دست آوردن یک عدد تصادفی کار میکند. رمزگشایی شماره تصادفی را میگیرد و برای بازگشت به شماره اصلی عملیاتی متفاوت را اعمال میکند. رمزگذاری با کلید عمومی تنها با رمزگشایی با کلید خصوصی قابل انجام است. فرآیند رمزگشایی از این طریق جهت آسان است، اما خنثیسازی آن از طریق کلید عمومی دشوار است.
نگرانیهای بسیاری نسبت به خطرات سایبری ناشی از ظهور رایانش کوانتومی وجود دارد، یک اتفاق که فناوری رایانهای را به کلی تغییر میدهد و تأثیر زیادی بر روشهای فعلی رمزنگاری که زیربنای امنیت سایبری است، دارد. اخیراً گوگل نشان داده که رایانه کوانتومی خود یک مسئله اعداد تصادفی، یعنی پایه ریاضی رمزگذاری را در ۲۰۰ ثانیه حل کرده است که حل آن برای یک ابررایانه با طراحی امروزی ۱۰ هزار سال زمان میبرد.
رایانههای کوانتومی که از دنیای فیزیک کوانتوم متولد شدهاند، دارای ویژگیها و تواناییهایی هستند که هم منطق را نادیده میگیرند و هم تخیل را به بازی میگیرند. رایانههای کوانتومی تهدیدی جدی هستند، زیرا در واقعیت بیشتر رمزنگاریهای امروزی بر مسائل ریاضی غیرقابل حل مبتنی بر ظرفیتهای محاسباتی رایانههای امروزی وابسته هستند. به نظر میرسد که رایانههای کوانتومی در نهایت قادر خواهند بود برخی از مشکلات ریاضیاتی هستند که قبلاً غیرقابل حل بودند از جمله شکستن رمز رمزگذاریها را حل کنند. برخی محققان تخمین میزنند که یک رایانه کوانتومی بزرگ میتواند کدهای رمزگذاری فعلی را در عرض چند دقیقه بشکند.
این مقاله خاطر نشان میکند که پس از ۶۰ سال تحقیق و توسعه، رایانههای کوانتومی کوچک اکنون کار میکنند. پیشبینی شده است که رایانههای کوانتومی پایدار در مقیاس بزرگ، در عرض چند دقیقه قادر به حل مشکلات حلنشدنی هستند که رمزنگاری برای محافظت از اطلاعات در اینترنت و در صنعت برپایه آنها بنا شدهاند. اگر رایانههای کوانتومی بتوانند زمان حل را به چند دقیقه کاهش دهند، تهدید بزرگی برای این اشکال رمزنگاری محسوب میشوند.
استانداردهای پیشنهادی برای تعریف مدیریت ریسک سایبری
نهادهای دولتی، انجمنهای صنفی و اعضای صنعت مالی بر چارچوبهای استاندارد برای مدیریت ریسک برای مقابله با خطرات اینترنتی متمرکز شدهاند. پروفایل امنیت سایبری بخش خدمات مالی چارچوبی را برای شرکتهای مالی فراهم میکند تا بتوانند از ارزیابیهای شخصی خود برای مدیریت ریسک سایبری و همچنین نشان دادن انطباق با مقررات استفاده کنند. خودارزیابی به عنوان مجموعهای از سوالات پیرامون این عناصر اصلی مدیریت ریسک سازماندهی شده است: مدیریت، شناسایی، محافظت، پاسخگویی، بازیابی و مدیریت وابستگی زنجیره تأمین.
عناصر اساسی امنیت سایبری گروه 7 (G-7) برای بخش مالی، بیان میکند که خطرات سایبری در حال پیچیدهتر شدن هستند و با افزایش تعداد و تداوم خطرات مواجه هستیم که همزمان خطرناکتر و متنوعتر میشوند. خطرات سایبری سیستمهای مالی جهانی بهم پیوسته و موسساتی را که از این سیستمها استفاده و پشتیبانی میکنند، مختل کند. برای مقابله با این خطرات، G-7 چارچوبی غیرالزامآور و سطح بالا که عناصر اساسی مدیریت ریسک سایبری را برای نهادهای بخش مالی خصوصی و خصوصی طراحی کرده، پیشنهاد میکند.
هشت عنصر اساسی این چارچوب عبارتند از: استراتژی و چارچوب امنیت سایبری، مدیریت، ارزیابی ریسک و کنترل، نظارت، پاسخ، بازیابی، اشتراک اطلاعات و یادگیری مداوم. این عناصر سازنده برای راهنمایی در طراحی و اجرای استراتژی امنیت سایبری یک شرکت مالی و چارچوب عملیاتی در چارچوب فرهنگ ریسک و مدیریت ریسک به کار میرود.
برای امکان کاهش خطر سایبری، یک استاندارد اساسی فناوری برای داشتن یک هویت دیجیتال ایمن، مورد اعتماد و استاندارد ضروری است. "بازنگری هویت دیجیتال در مجمع جهانی اقتصاد WFE، یک ضرورت استراتژیک" میگوید که جهان بهطور فزایندهای به ذخیرهسازی اطلاعات در شکل دیجیتال و احتمالاً بهصورت رمزگذاری شده، متکی است و به استانداردهایی جهانی برای هویت دیجیتال احتیاج دارد.
همه طرفین باید هویت افراد و نهادهایی را که با آنها در ارتباط هستند بدانند و باید اطمینان داشته باشند که واقعاً همان کسانی هستند که ادعا میکنند - و اینکه هنوز همان افراد یا نهادهایی هستند که ادعا میکردند قبلاً بوده اند، WFE از تلاش مشترک میان موسسات مالی برای توافق بر سر چارچوب هویت استاندارد و هویتهای دیجیتالی استاندارد پشتیبانی میکند.
به همین منظور، هیئت ثبات مالی (FSB) در G-20 چنین چارچوب هویتی و استاندارد هویتی را ارتقا داده است. از سال ۲۰۱۲، FSB مشارکت حاکمیت و همکاری صنعت یا دولت را که منجر به شناسایی منحصر به فرد و بدون ابهام ۱.۵ میلیون شخصیت حقوقی درگیر در زنجیره تأمین صنعت مالی جهانی شده، اجرا کرده است. این هویتها برای استفاده در گواهینامهها و امضاها به منظور به کارگیری در اسناد رمزگذاریشده و معاملات مالی که بهطور آزمایشی تهیه شدهاند، به کار میرود و مهمترین سطح مورد نیاز برای امنیت سایبری را به آنها میافزایند.
خطرات جهانی در حال تشدید است
مجمع جهانی اقتصاد این سوال را مطرح میکند که "آیا جهان چراغ خاموش در حال حرکت به سمت یک بحران است؟ خطرات جهانی در حال تشدید است اما به نظر میرسد اراده جمعی برای مقابله با آنها وجود ندارد.
به ناچار، وقتی موسسات استاندارد و دولتها نقش خود را در رمزگذاری ایمن کوانتومی به جا نمیآورند، برخی از مراکز مالی و موسسات مالی آنها نیز نمیتوانند خود را برای استقرارو بهکارگیری سریع این استانداردها آماده کنند. آنها ممکن است فاقد سرمایهگذاری و تفکر پیش رو باشند که برای ایمن نگه داشتن شبکههایشان ضروری است و بنابراین، رهبری این حوزه را به دیگران واگذار میکنند، و آنها را در معرض خطر بازیگران شرور و خطرناک قرار میدهد. موسسات مالی ما در سطح جهانی به هم پیوسته اند. حمله سایبری به یکی از آنها به طور بالقوه حمله به همه آنهاست.
گرچه افراد زیادی هستند که جزئیات "سیستم" مالی امروزی را از منظر اقتصاددانان یا وکلا، یا از دید سازمانهای نظارتی یا سیاستمداران درک میکنند، اما تعداد کمی از افراد این مسئله را در سطح فناوری به کار رفته درک میکنند، جایی که در آن مقاومسازی و اقدامات امنیتی سایبری انجام میشود. آنچه ضروری است، اطمینان از همان درک سازنده از آسیبپذیریها است. تعداد افرادی که در سلسلهمراتب تنظیم سیاستهای دولتها حضور داشته و بتواند آسیبپذیریها در سیستمهای مالی را درک کند، به روشی که مهاجمین و سازنده آسیبپذیریهای آن حوزه میتواند درک کند، بسیار اندک است.
بازسازی سیستمهای مالی قدیمی برای دوره جدید خطر سایبری
برای این منظور، این مقاله دولتها را تشویق میکند تا یک نقطه هماهنگی جهانی مرکزی ایجاد کنند تا این استعدادهای محدود را برای اطلاع از چگونگی بازسازی سیستمهای مالی قدیمی برای دوره جدید خطر سایبری، در موسسات مالی، نهادهای زیرساخت مالی و بین صنعتی، و تنظیمکنندههای آن، متمرکز کنند. این مرکز تحقیق و نوآوری برای ایجاد ارتباط بین تحول استانداردهای مدیریت ریسک سایبری، فناوریهای جدید، تکنیک رمزنگاری جدید و مقررات جدید فعالیت خواهد کرد.
در ایالات متحده، این مرکز در ادامه فعالیت آژانس پروژههای تحقیقاتی پیشرفته وزارت دفاع ایالات متحده، آژانس دولتی دهه ۱۹۶۰ است که از ایجاد یک بسته مشترک شبکه برای به اشتراکگذاری و یکسانسازی زمان رایانهها موسوم به ARPANET، که پیشدرآمد اینترنت امروزی بود، پشتیبانی میکند. تمرکز اولیه هماهنگ بر جزئیاتی که اغلب نادیده گرفته شده است، میتواند اساسیترین تغییر و دستاوردها را به دست آورد - جزئیاتی در بهکارگیری و اقدامات مدیریت ریسک سایبری و تلاقیش با زیرساختهای فناوری مالی قدیمی.
روش سنتی قانونگذاران و تنظیمکنندهها برای ایجاد انگیزه در صنعت، جلب توافق عناصر حاضر در صنعت مالی در مورد بهترین روش است. با این حال، این روش امروز دیگر بیش از حد عقب مانده به نظر میرسد. بهترین اقدامات امنیتی ما در برابر تهدیدهای سایبری امروزی در مقایسه با اقدامات مورد نیاز برای فاجعه خطر سایبری که ممکن است در آینده رخ دهد، بسیار کم اثر به نظر میرسند. حل این مشکل نیاز به سرمایهگذاری فوری دارد در حالی که بازده آن شاید در یک دهه بعد یا حتی آینده دورتر مشخص شود.
مشکل فعلی برای اقدام جمعی که در فضای رقابتی صنعت مالی نقش اصلی خود را نشان میدهد، باید کنارهم قرار گرفتن و تلاشهای مشترک برای محافظت از سیستم مالی جهانی در برابر حملات سایبری باشد. صنعت مالی باید از رسیدن به بهترین شیوه، که یک مفهوم قدیمی و عقب مانده است، به سمت رسیدن به "اقدامات بعدی" در دوره مالی دیجیتال کوانتومی حرکت کند. دولتهای ما باید اولویتها را تعیین کنند. رهبران صنایع مالی باید منابع و بهترین و درخشانترین افراد خود را در تلاش هماهنگ برای حل مسائل امنیت سایبری در حال حاضر و در آینده یاری دهند.