/Rectangle%20239.png?width=13&height=13&name=Rectangle%20239.png){kind=small}
جمعية سويفت (جمعية الاتصالات المالية العالمية بين البنوك على مستوى العالم) هي جمعية تعاونية عالمية مملوكة لأعضائها ومراقبة من قبل أعضائها وتوفر خدمات التراسل المالي الآمنة للمؤسسات المالية في جميع أنحاء العالم. وهي تسهل التواصل السريع والدقيق والآمن للمعاملات، بما في ذلك المدفوعات والأوراق المالية وعمليات الخزينة.
يهدف برنامج أمن العملاء (CSP)، الذي أطلقته سويفت استجابةً لموجة من الهجمات الإلكترونية المعقّدة قبل عام 2016، إلى تحسين وضع الأمن الإلكتروني للمستخدمين في جميع أنحاء العالم. وقد سلّطت هذه التهديدات السيبرانية المعقّدة والمتنوّعة الضوء على الحاجة الماسة إلى نهج موحّد للأمن في القطاع المالي.
وقد طرح ”إطار الضوابط الأمنية للعملاء“ (CSCF) لوضع تدابير أمنية إلزامية وموصى بها لجميع مستخدمي سويفت. وتمثّل هذه المبادرة التزام ”سويفت“ بتعزيز أمن ومرونة النظام المالي العالمي في مواجهة التهديدات السيبرانية وضمان سلامة وموثوقية المعاملات المالية الدولية.
نظرة فاحصة على إطار العمل الأمني الموحد
يصف مرفق التحكم في أمن المعلومات الضوابط الأمنية الإلزامية والموصى بها لمستخدمي سويفت، استناداً إلى أطر عمل موحدة مثل NIST وISO 27000 وPCI-DSS. وتضع الضوابط الإلزامية خط أساس أمني، بينما الضوابط الموصى بها، استناداً إلى أفضل الممارسات، موصى بها لتوفير حماية إضافية.
يعكس تصميم إطار عمل الأمن السيبراني الموحد نهجًا استباقيًا للأمن السيبراني، كما هو موضح في الصورة أدناه. تعتمد التدابير الأمنية على ثلاثة أهداف رئيسية لإطار العمل:
الهدف 1: تأمين بيئتك :
- المبدأ 1: تقييد الوصول إلى الإنترنت وحماية الأنظمة الحساسة في البيئة العامة لتكنولوجيا المعلومات.
- المبدأ 2: الحد من سطح الهجوم ونقاط الضعف.
- المبدأ 3: تأمين البيئة بشكل مادي.
المبدأ 2: معرفة وتقييد الوصول:
- المبدأ 4: منع خطر تعرض معلومات الهوية للخطر.
- المبدأ 5: إدارة الهويات وفصل الامتيازات.
الهدف 3: الكشف والتفاعل:
- المبدأ 6: الكشف عن النشاط الشاذ في الأنظمة أو سجلات المعاملات.
- المبدأ 7: التخطيط للاستجابة للحوادث ومشاركة المعلومات.
ويحدّد إطار عمل سويفت للأمن السيبراني خمسة أنواع رئيسية من البنى التي تحدّد الضوابط الأمنية المطبّقة بناءً على مكوّنات سويفت والبنية التحتية التي تستخدمها المؤسسة. وتساعد هذه الأنواع من البنى، والتي يتم تحديدها من خلال ملكية ونشر مكوّنات البنية التحتية الخاصة ب سويفت، المؤسسات على تحديد نطاق تدابير الأمن السيبراني المطلوبة بموجب نظام سويفت للأمن السيبراني. أنواع البنى الموصوفة هي:
البنية A1: للمستخدمين الذين يملكون واجهة المراسلة والاتصال. في هذا التكوين، تنتمي تراخيص واجهة المراسلة وواجهة الاتصال إلى المستخدم وتوجد في بيئته.البنية A2: للمستخدمين الذين لديهم واجهة المراسلة وليس واجهة الاتصال. في هذه الحالة، تنتمي واجهة المراسلة إلى المستخدم، بينما تنتمي واجهة الاتصال إلى موفر الخدمة.
البنية A3 (موصل سويفت): تتضمن استخدام موصل سويفت في بيئة المستخدم لتسهيل الاتصال من تطبيق إلى تطبيق مع واجهة مزود الخدمة، أو مع خدمات سويفت، دون واجهة من جانب المستخدم.
بنية A4 (موصل العميل): للمستخدمين الذين لا يملكون بصمة سويفت ولكنهم يستخدمون خادماً يقوم بتشغيل تطبيق برمجي في بيئتهم لتسهيل الاتصال الخارجي مع واجهة في مزود خدمة أو مباشرة مع خدمات سويفت.
البنية B (بدون بصمة مستخدم محلي): للمستخدمين الذين لا يستخدمون أي مكونات بنية تحتية خاصة بسويفت في بيئتهم. ويشمل ذلك المستخدمين الذين يصلون إلى خدمات مراسلة سويفت عبر تطبيق واجهة مستخدم رسومية (GUI) لدى مزوّد الخدمة، أو الذين تتواصل تطبيقاتهم المكتبية الخلفية مباشرة مع مزوّد الخدمة باستخدام واجهات برمجة التطبيقات أو عملاء البرامج الوسيطة أو عملاء نقل الملفات الآمنة، دون الاتصال بخدمات سويفت أو نقل المعاملات التجارية إليها بشكل مستقل.
التنفيذ والامتثال
يتعيّن على مستخدمي سويفت التصديق على الامتثال لضوابط شبكة سويفت من خلال تطبيق التصديق الأمني (KYC-SA). وتؤكد هذه العملية على المسؤولية المشتركة بين سويفت ومستخدميها في الحفاظ على شبكة آمنة. وعلى الرغم من الصعوبات، إلا أن المجتمع المالي نجح في تطبيق هذه الضوابط، حيث ساعد الحوار المستمر والتغذية الراجعة على تنقيح وتحسين ”اعرف عميلك“.
يقدّم الجدول التالي ملخصاً شاملاً لجميع الضوابط الأمنية الإلزامية والموصى بها (32 في المجموع)، مرتبة وفقاً للمبدأ التوجيهي الذي تلتزم به ومرتبطة بنموذج البنية المحدد الذي تنطبق عليه:
|
فحوصات السلامة الإلزامية والموصى بها |
نوع الهندسة المعمارية |
||||
|
A1 |
A2 |
A3 |
A4 |
B |
|
| 1. تقييد الوصول إلى الإنترنت وحماية الأنظمة الهامة من بيئة تكنولوجيا المعلومات العامة | |||||
|
1.1 حماية بيئة نظام سويفت |
X |
X |
X |
|
|
|
1.2 التحكم في حسابات نظام التشغيل المميزة |
X |
X |
X |
X |
X |
|
1.3 حماية المنصة الافتراضية |
X |
X |
X |
X |
|
|
1.4 تقييد الوصول إلى الإنترنت |
X |
X |
X |
X |
X |
|
1.5 حماية بيئة العميل |
|
|
|
X |
|
|
2. الحد من سطح الهجوم ونقاط الضعف |
|||||
|
2.1 أمن تدفقات البيانات الداخلية |
X |
X |
X |
|
|
|
2.2 تحديثات الأمان |
X |
X |
X |
X |
X |
|
2.3 تعزيز الأنظمة |
X |
X |
X |
X |
X |
|
2.4A أ أمن تدفق بيانات المكاتب الخلفية |
X |
X |
X |
X |
X |
|
2.5A حماية نقل البيانات الخارجية |
X |
X |
X |
X |
|
|
2.6 سرية وسلامة جلسات المشغلين |
X |
X |
X |
X |
X |
|
2.7 تحليل الثغرات الأمنية |
X |
X |
X |
X |
X |
|
2.8A الاستعانة بمصادر خارجية للأنشطة الحرجة |
X |
X |
X |
X |
X |
|
2.9 مراقبة المعاملات |
X |
X |
X |
X |
X |
|
2.10 تعزيز التطبيقات |
X |
X |
X |
|
|
|
2.11A أ ضوابط نشاط RMA |
X |
X |
X |
X |
X |
|
3. الأمن المادي للبيئة |
|||||
|
3.1 الأمن المادي |
X |
X |
X |
X |
X |
|
4. منع خطر تعرض بيانات الهوية للاختراق |
|||||
|
4.1 سياسة كلمات المرور |
X |
X |
X |
X |
X |
|
4.2 المصادقة متعددة العوامل |
X |
X |
X |
X |
X |
|
5. إدارة الهويات وفصل الامتيازات |
|||||
|
5.1 التحكم في الوصول المنطقي |
X |
X |
X |
X |
X |
|
5.2 إدارة المفاتيح |
X |
X |
X |
X |
X |
|
5.3A عملية اختيار الموظفين |
X |
X |
X |
X |
X |
|
5.4 التخزين المادي والمنطقي لكلمات المرور |
X |
X |
X |
X |
X |
|
6. الكشف عن النشاط الشاذ في الأنظمة أو سجلات المعاملات |
|||||
|
6.1 الحماية من البرمجيات الخبيثة |
X |
X |
X |
X |
X |
|
6.2 سلامة البرمجيات |
X |
X |
X |
X |
|
|
6.3 سلامة قاعدة البيانات |
X |
X |
|
X |
|
|
6.4 التسجيل والمراقبة |
X |
X |
X |
X |
X |
|
6.5A الكشف عن التطفل |
X |
X |
X |
X |
|
|
7. التخطيط للاستجابة للحوادث وتبادل المعلومات |
|||||
|
7.1 تخطيط الاستجابة للحوادث السيبرانية |
X |
X |
X |
X |
X |
|
7.2 التدريب والتوعية الأمنية |
X |
X |
X |
X |
X |
|
7.3A اختبار الاختراق |
X |
X |
X |
X |
X |
|
7.4A أ تقييم مخاطر السيناريو |
X |
X |
X |
X |
X |
تأثير نظام حماية العملاء على القطاع المالي
عزز نظام حماية العملاء إلى حد كبير أمن المؤسسات الفردية والنظام المالي الأوسع نطاقًا. فقد تم تقليل مخاطر المعاملات الاحتيالية وتعزيز ثقافة الشفافية.
وعلى الرغم من هذه التحسينات، لا يزال هناك عدد قليل من الحوادث الأمنية داخل نظام سويفت:
- فقد أفاد بنك Tien Phong (TPBank) الذي يتخذ من هانوي مقراً له بأنه قد أحبط محاولة سرقة حوالي 1.1 مليون دولار من خلال رسائل احتيالية على نظام سويفت. لمزيد من التفاصيل، انظر هنا: بنك تيان فونغ الفيتنامي ضحية لهجوم قائم على نظام سويفت...
- مهاجمون استخدموا برمجيات خبيثة لسرقة 81 مليون دولار من بنك بنغلاديش: وفقًا لشركة BAE Systems، قام المهاجمون بتثبيت برمجيات خبيثة لاختراق اتصالات سويفت وتحويل 81 مليون دولار بشكل غير قانوني. يتوفر المزيد من المعلومات هنا: مهاجمو بنك بنغلاديش اخترقوا برنامج سويفت.
4. إطار التكيف المستمر: سيحتاج مقدم خدمات الاتصالات إلى وضع إطار عمل للتكيف المستمر، يتضمن تحديثات منتظمة لمعاييره وممارساته الأمنية، استناداً إلى التقنيات الناشئة والتهديدات السيبرانية. وسيتطلب ذلك تعاوناً وثيقاً مع خبراء الأمن السيبراني والمؤسسات المالية ومزودي التكنولوجيا.
ومن خلال دمج هذه الاستراتيجيات، يمكن أن يعزز نظام حماية أمن الفضاء الإلكتروني مرونته ويواصل حماية النظام المالي العالمي بفعالية.
مستقبل خدمات دعم المحتوى والأمن السيبراني في القطاع المالي
يرتبط مستقبل مقدمي خدمات الاتصالات والأمن السيبراني ارتباطًا وثيقًا بالتطور السريع للتكنولوجيا والمشهد المتغير للتهديدات السيبرانية. وللتصدي لهذه التهديدات المتطورة، من المرجح أن تتضمن الاستراتيجية المستقبلية لمقدمي خدمات الاتصالات والأمن السيبراني عدة تعديلات رئيسية:
- تقنيات التشفير المحسنة: في ضوء التهديدات التي تشكلها الحوسبة الكمية، سيكون اعتماد أساليب التشفير المقاومة للكم أمراً بالغ الأهمية. صُممت هذه الأساليب لتكون آمنة ضد هجمات الحوسبة الكلاسيكية والكمية على حد سواء.
- الذكاء الاصطناعي (AI) والتعلم الآلي (ML) للدفاع: باستخدام الذكاء الاصطناعي لأغراض دفاعية، يمكن أن يحسّن نظام الحوسبة الكمية أنظمة الكشف عن الشذوذ لتحديد النشاط غير العادي والاستجابة له بسرعة ودقة أكبر. يمكن أن يكون هذا فعالاً بشكل خاص في اكتشاف تهديدات الهندسة الاجتماعية المتطورة والتهديدات الداخلية.
- تعزيز أمن سلسلة التوريد: سيتعين على مقدمي الخدمات المالية تنفيذ متطلبات أمنية أكثر صرامة وإجراء عمليات تدقيق منتظمة للموردين الخارجيين. سيكون من الضروري تشجيع الشفافية والتعاون عبر القطاع المالي لتحديد نقاط الضعف المحتملة والتخفيف من حدتها بسرعة.
- إطار التكيّف المستمر: سيحتاج مقدم خدمات الحوسبة السحابية إلى إنشاء إطار عمل للتكيف المستمر، والذي يتضمن تحديثات منتظمة لمعاييره وممارساته الأمنية، استنادًا إلى التقنيات الناشئة والتهديدات السيبرانية. وسيتطلب ذلك تعاوناً وثيقاً مع خبراء الأمن السيبراني والمؤسسات المالية ومزودي التكنولوجيا.
ومن خلال دمج هذه الاستراتيجيات، يمكن أن يعزز نظام حماية أمن الفضاء الإلكتروني مرونته ويواصل حماية النظام المالي العالمي بفعالية.
الخلاصة
لقد لعبت لجنة الأمن السيبراني دوراً حاسماً في تعزيز دفاعات القطاع المالي ضد التهديدات السيبرانية. ويؤكد على أهمية التعاون والامتثال للضوابط الأمنية في الحفاظ على سلامة النظام المالي العالمي. وفي المستقبل، سيستمر نظام حماية أمن المعلومات في التطور ومواجهة التحديات الجديدة وضمان أمن النظام المالي.
ونشجّع المؤسسات المالية على مراجعة وتحديث ممارساتها في مجال الأمن السيبراني بانتظام وفقاً لأحدث إصدار من نظام سويفت للأمن السيبراني. إن الانخراط مع مجتمع سويفت من أجل التعلّم والتحسين المشترك هو أمر ضروري لاستباق التهديدات المحتملة وحماية النظام المالي العالمي.
لمعرفة المزيد عن الأمن السيبراني في النظام المالي، اقرأ هذا المقال: البنك المفتوح: المخاطر والفوائد للبنك الرقمي المخصص.
