المرونة السيبرانية وفق بازل – بقلم الدكتورة سهى معاد

Download

المرونة السيبرانية وفق بازل – بقلم الدكتورة سهى معاد

الدراسات والابحاث والتقارير
العدد 494 كانون الثاني/يناير 2022

المرونة السيبرانية وفق بازل

في العام 2021 ، دعت لجنة بازل للرقابة المصرفية البنوك إلى تحسين قدرتها على الصمود أمام التهديدات السيبرانية، ورفع مستوى المرونة السيبرانية. في ما يلي عرض لماهية المرونة السيبرانية يشمل تعريفاً لمفهوم المرونة السيبرانية، والإستراتيجية لتحقيقها، ومراحل التنفيذ، والتقنيات، والفوائد، والنظام البيئي للمرونة السيبرانية، مع توضيح الفرق بين المرونة السيبرانية والأمن السيبراني. وبعد هذا العرض الشامل لماهية المرونة السيبرانية، نسلّط الضوء على الإرشادات التي وضعتها لجنة بازل للرقابة المصرفية، حول المرونة السيبرانية، بناءً على دراسة ممارسات المرونة السيبرانية في مجموعة من البنوك في دول مختلفة. ونختتم بالتوصية بخارطة الطريق في المسيرة نحو زيادة المرونة السيبرانية في المصارف في الدول العربية على ضوء إرشادات بازل.

ماهية المرونة السيبرانية

تعريف

المرونة السيبرانية هي قدرة المؤسسة على الإستعداد والتعامل مع التهديدات السيبرانية والتعافي منها. علماً أن المؤسسة التي تمتاز بالمرونة السيبرانية تستطيع أن تتكيّف مع الأزمات والتهديدات والمحن والتحديات السيبرانية المعروفة وغير المعروفة. كما وتساعد المرونة السيبرانية المؤسسات على مواجهة الأزمات والوباء والتقلبات المالية.

إن المرونة المؤسسة هي قدرة المؤسسة على معالجة المخاطر الإستراتيجية والمالية والتشغيلية والمعلوماتية (السيبرانية)، لضمان نمو الأعمال والربحية والتحول الرقمي المستدام.

لقد تسبّبت جائحة كورونا في إحداث تغيير جذري في تفاعل المؤسسات مع بعضها البعض على جميع الأصعدة، وكان لها تأثير كبير على القوى العاملة في المؤسسة، وسلاسل التوريد، والسيولة، والإستجابة للمخاطر.

تلعب المرونة السيبرانية دوراً مهماً في دفع عجلة التحول الرقمي مما يساعد على إستمرارية المؤسسة.  إن التحول الرقمي الشامل يتطلب درجة عالية من المرونة السيبرانية وتكامل الأمن السيبراني بإستمرار لحماية الأعمال، وإكتشاف المخاطر، وتطوير القدرة على التعامل مع التهديدات السيبرانية.

إستراتيجية المرونة السيبرانية

تستند إستراتيجية المرونة السيبرانية الجيدة على ثلاث ركائز هي: الحماية والكشف وضمان الخصوصية.

الركيزة الأولى لإستراتيجية المرونة السيبرانية – الحماية: وذلك يشمل حماية الأنظمة والتطبيقات والبيانات، مما يضمن أن المستخدمين المصرّح لهم فقط يُمكنهم الوصول إلى الأنظمة، ويُساعد في تتبع المستخدمين بمجرد دخولهم إلى الأنظمة والوصول إلى خدماتها.

الركيزة الثانية لإستراتيجية المرونة السيبرانية – الكشف: وذلك يشمل إكتشاف نقاط الضعف في التطبيقات، وإيجاد أي نقاط ضعف يمكن إستغلالها في المؤسسة.

الركيزة الثالثة لإستراتيجية المرونة السيبرانية – ضمان الخصوصية: وذلك يشمل خصوصية البيانات، بما في ذلك المعلومات حول العملاء والموظفين والملكية الفكرية.

مراحل المرونة السيبرانية

يُمكن تحقيق المرونة السيبرانية على سبع مراحل:

  • المرحلة الأولى – وضع الإستراتيجية: تشمل هذه المرحلة الإدارة السيبرانية والهيكلية والقدرة على الإستشعار لتوقع ومعالجة الأعمال السلبية أو الأحداث السيبرانية.
  • المرحلة الثانية – الصمود: تشمل وضع إطار دفاع إلكتروني متكيّف يُحافظ على المهام، ويُساعد في التصدي للتهديدات التي تتعرض لها المؤسسة.
  • المرحلة الثالثة – الدفاع: تشمل الدفاع ضد الأحداث السيبرانية التخريبية والتحوّط بمناعة رقمية قوية ذاتية الشفاء ودفاع إلكتروني نشط.
  • المرحلة الرابعة – الفحص: تشمل مراقبة الشبكات الالكترونية والإنترنت في الوقت الفعلي للكشف عن التهديدات السيبرانية في الوقت الفعلي.
  • المرحلة الخامسة – الملاحظة: تشمل الإعتماد على الأتمتة والتعلم الآلي لمواجهة التهديدات السيبرانية المستقبلية.
  • المرحلة السادسة – الإسترداد: تشمل القدرة على إستعادة المنصات الرقمية بسرعة، والتكييف، وإستعادة الأنظمة ذات المهام الحرجة، لتجنب إنقطاع الأعمال في حال حصول أي إعتداءات سيبرانية.
  • المرحلة السابعة – التكيُّف: وتشمل التقييم الذاتي المستمر وقياس الأداء السيبراني والتحسين المستمر لدعم الأعمال التجارية.

تقنيات المرونة السيبرانية

تشمل تقنيات المرونة السيبرانية ما يلي:

  • الذكاء الإصطناعي والتعلم الآلي: يُعدّ الذكاء الإصطناعي والتعلم الآلي (AI / ML) من التقنيات الفعَّالة لتحقيق المرونة السيبرانية. وتساعد تقنيات الذكاء الإصطناعي والتعلم الآلي في تحليل السلوكيات، والمخاطر، وأتمتة الإستجابة للمخاطر، وزيادة قدرة المؤسسة بشكل كبير على التكيُّف بذكاء لمعالجة نقاط الضعف والتصدي للهجمات.
  • البيانات الضخمة: إن ضمان أمن البيانات هو من أهم الأمور لتحقيق الأمن السيبراني والمرونة السيبرانية. وذلك يشمل البيانات والتنسيقات المهيكلة وغير المهيكلة. وتساعد تقنية البيانات الضخمة على تحليل البيانات للتأكد من الإلتزام بخصوصية البيانات والتشريعات الأخرى المتعلقة بالبيانات.
  • تقنيات إدارة الهوية الرقمية: تساعد تقنيات إدارة الهوية الرقمية على تحديد إمكانية وصول الموظفين والعملاء الى الأجهزة والخدمات والأنظمة والبيانات. وتشمل تقنيات الهوية الرقمية، تطوير هويات رقمية موثوقة تتضمن الوصول السليم الى الأنظمة والخدمات الالكترونية.
  • تقنيات الأمن السيبراني: تشمل تقنيات الأمن السيبراني التطبيقات الرقمية التي تساعد على تحسين إنتاجية الموارد والامن السيبراني. وتُعد أنظمة التنسيق الأمني ​​والأتمتة والإستجابة (SOAR) وأنظمة إدارة الأحداث والمعلومات الأمنية (SIEM) جانبين مهمين لضمان الأمن السيبراني.

فوائد المرونة السيبرانية

يشهد الأمن السيبراني أحداث وتطورات متزايدة بإستمرار، بما في ذلك تزايد المتسللين، وتضخم حجم الكوارث السيبرانية. وعليه فإن نهج الأمن السيبراني الذي يتّسم بالمرونة والقدرة على التكيُّف هو أفضل وسيلة لإستمرارية الأعمال.

وتشمل مزايا المرونة السيبرانية ما يلي:

– تقليل الحوادث: تزيد المرونة السيبرانية من قدرة المؤسسة على تحديد أولويات المخاطر والاستجابة لها.

– تقليل الغرامات والعقوبات: إن المرونة السيبرانية تُساعد في تحديد وحماية البيانات وفي الرقابة والإمتثال للأنظمة والتشريعات الحكومية، مما يساعد في تقليل الغرامات والعقوبات ويُقلل من مخاطر الدعاوى القضائية.

– تقليل مخاطر خروقات الأمن السيبراني: يُمكن أن تساعد المرونة السيبرانية القوية في تقليل مخاطر إختراق الأمن السيبراني، إذ إن هذه الإختراقات قد تؤدي الى إيقاف العمليات التجارية الحيوية وإلحاق الضرر بسمعة المؤسسة.

– تحسين السمعة: يتخوف عملاء المصارف راهناً من العبث ببياناتهم إزاء الهجمات السيبرانية، مما يُزعزع ثقة العملاء بالمصارف. تساعد المرونة السيبرانية على تحسين سمعة المصارف وترفع ثقة العملاء بخدمات المصارف والحفاظ على خصوصية بيانات العملاء.

النظام البيئي للمرونة السيبرانية

يرتكز النظام البيئي للمرونة السيبرانية على بنية منهجية تتألف من عناصر متعددة تشمل:

– الموظفين

– الإدارة العليا

– الأنظمة التقنية

– البرامج

– المنهج المعتمد

– العمليات

– الثقافة الإدارية

– الإستراتيجية

– هيكل التنظيم

– الرؤية المستقبلية

الفرق بين المرونة السيبرانية  والأمن السيبراني

هناك إختلافات مهمة بين المرونة السيبرانية والأمن السيبراني. الأمن السيبراني هو قدرة المؤسسة على الحماية وتجنب التهديد السيبراني المتزايد والجرائم السيبرانبة. أما المرونة السيبرانية فهي قدرة المؤسسة على تخفيف الضرر الذي يلحق بالأنظمة والعمليات والسمعة والقدرة على الإستمرار في العمل في حال تعرّض الأنظمة أو البيانات للخطر السيبراني. وتشمل المرونة السيبرانية التحسب للتهديدات السيبرانية العدائية من قبل المتسللين والجهات الخبيثة، والتهديدات غير العدائية مثل الخطأ البشري البسيط.

كما وهناك إرتباط وثيق بين مفهوم الأمن السيبراني والمرونة السيبرانية، فكلاهما شكل من أشكال الحماية ضد التهديدات السيبرانية، إلاّ أن المرونة السيبرانية تأخذ في الإعتبار بأن خط الدفاع الأول قد لا يعمل، وعليه تساعد المؤسسة على الإستمرار في العمل في حالة فشل تدابير الأمن السيبراني. وعليه فإن المرونة السيبرانية هي أفضل من الأمن السيبراني، لأنها تتكيَّف مع مستوى الخطر وتعطي القدرة على تقليل أي ضرر ناجم عن الهجومات السيبرانية. إن المرونة السيبرانية هي مهمة جداً وخصوصاً بالنسبة إلى المؤسسات التي تتعرّض بإستمرار للهجمات السيبرانية، فهي تضمن عدم إيقاف العمل، رغم الهجومات السيبرانية وتُحد من العواقب الوخيمة الناجمة عن هذه الهجمات.

الأمن السيبراني لا يكفي

يرى المنتدى الإقتصادي العالمي، أن الأمن السيبراني لم يعد كافياً لحماية المؤسسات من الهجومات السيبرانية المستمرة. وهناك حاجة ملحة الى المرونة السيبرانية.

ويدعو المنتدى الإقتصادي العالمي إلى إقامة شراكات بين القطاعين العام والخاص لإجراء التغييرات الجذرية اللازمة لحماية البنى التحتية السحابية الهجينة، وتطوير أطر عمل قابلة للتطوير وتحقيق المرونة السيبرانية.

دعوة «بازل» الى رفع المرونة السيبرانية

في سبتمبر (أيلول) 2021، أصدرت لجنة «بازل» للرقابة المصرفية، نشرة إخبارية تدعو فيها البنوك إلى تحسين قدراتها على الصمود أمام التهديدات السيبرانية. وتذكّر لجنة «بازل» الشركات والمؤسسات بأن ترتيبات العمل عن بُعد وزيادة توفير الخدمات المالية بإستخدام القنوات الرقمية قد أدى إلى توسيع نطاق الهجمات السيبرانية على البنوك.

وفي العام 2018، نشرت لجنة بازل للرقابة المصرفية تقرير «المرونة السيبرانية: الممارسات المختلفة»، الذي يصف ويقارن نطاق ممارسات المرونة السيبرانية في العديد من البنوك القائمة في ولايات قضائية مختلفة.

كما وأصدر بنك التسويات الدولية، ومجلس إدارة المنظمة الدولية لهيئات الأوراق المالية، ولجنة المدفوعات والبنية التحتية للسوق، إرشادات حول المرونة السيبرانية للبنى التحتية للأسواق المالية.

كما وأصدرت لجنة «بازل» وثائق تتناول مواضيع المخاطر التشغيلية والمرونة التشغيلية، وتضع المبادئ للإدارة السليمة لمخاطر التشغيل (PSMOR) ومبادئ المرونة التشغيلية (POR).

وترى لجنة «بازل» أنه على جميع السلطات المصرفية الرقابية تشجيع المصارف على تبني الأدوات والممارسات والأطر الفعَّالة لتحقيق المرونة السيبرانية، وإختبار فعاليتها وإعتماد معايير موحدة على نطاق واسع للمرونة السيبرانية، مما يساعد البنوك بشكل أفضل على تحديد وتقييم وإدارة وتخفيف تعرضها للمخاطر السيبرانية، بما في ذلك المخاطر الناشئة عن مزودي الخدمات من الأطراف الثالثة.

إرشادات «بازل» لتحقيق المرونة السيبرانية

تقترح لجنة «بازل» للرقابة المصرفية مجموعة من الإرشادات تُساعد البنوك في تعزيز قدراتها على الصمود في وجه الهجمات السيبرانية. وتتضمن هذه الارشادات البنود التالية:

– التنظيم والإشراف: يجب على البنوك مواجهة المخاطر السيبرانية، سواء على صعيد إدارة المخاطر أو أطر عمل أمن المعلومات، أو على صعيد إستراتيجيات الأمن السيبراني الخاصة بها. وتشمل الإستراتيجيات المتطلبات المتعلقة بالحوكمة، والرقابة، والملكية، والمخاطر، والمساءلة، وأمن المعلومات، والتقييم الدوري، ومراقبة ضوابط الأمن السيبراني، والإستجابة للحوادث، وإستمرارية الأعمال، والتخطيط للإنتعاش من الحوادث. وعلى البنوك الإلتزام بالمعايير الدولية للمرونة السيبرانية.

– الإستجابة للحوادث السيبرانية والتعافي منها: يجب على البنوك أن تضع إطاراً للإستجابة للحوادث والتعافي منها، مما يضمن إستمرارية الأعمال والتعافي من الكوارث. ولمساعدة المؤسسات المالية على تعزيز ممارساتها في هذا المجال، أصدر مجلس الإستقرار المالي FSB في العام 2020 تقريراً بعنوان الممارسات الفعَّالة للإستجابة لحوادث الإنترنت والتعافي منها بالتركيز على سبعة بنود هي:

– الحوكمة

– التخطيط والإعداد

– التحليل

– التخفيف

– التعافي

– التنسيق والاتصال

– التحسين

– التعامل مع الطرف الثالث: يجب على البنوك مراعاة إستمرارية الأعمال وسرية المعلومات ونزاهتها عند التعامل مع أطراف ثالثة. ويجب أن تتوافق كيفية التعامل مع الأطراف الثالثة مع إحتياجات وسياسات البنك، بما في ذلك سرية المعلومات وسلامتها، ومتطلبات حماية البيانات العامة، ومتطلبات الأمان المحددة لحماية معلومات البنك والعملاء. وتشمل متطلبات حماية البيانات موقع البيانات، وفصل البيانات، وقيود إستخدام البيانات، وأمن البيانات، ومعالجة البيانات في حالة إنتهاء العمل مع الطرف الثالث.

– ترتيبات تبادل المعلومات: يُحدد تقرير لجنة «بازل» للرقابة المصرفية خمسة أنواع من الترتيبات لمشاركة المعلومات:

– المشاركة بين البنوك

– مشاركة البنوك مع الجهات الرقابية

– المشاركة بين المنظمين

– مشاركة الجهات الرقابية مع البنوك

– المشاركة مع الأجهزة الأمنية

– مقاييس المرونة السيبرانية: لا تزال مقاييس المرونة السيبرانية وجودتها قيد التطوير. وتركز المقاييس السائدة حالياً على إستخدام المعلومات، والإستطلاعات، والرقابة. إلاّ أن هناك حاجة ملحة إلى تطوير المزيد من مقاييس المرونة السيبرانية.

خارطة طريق لتحسين المرونة السيبرانية  في المصارف العربية

على البنوك والحكومات في جميع أنحاء العالم، القيام بدور حاسم لبناء ثقافة المرونة السيبرانية وتدريب وتعليم الكوادر البشرية عليها. إن التهديدات السيبرانية باتت حقيقة مؤلمة لا يًمكن التغاضي عنها، لأنها قد تكون مدمرة على السواء مثل مخاطر الإرهاب والأحداث والكوارث. ويتوجب على المصارف العربية وضع إطار عمل لتعزيز مرونتها ضد الهجمات السيبرانية.

إن وسائل الأمن السيبراني لم تعد كافية، بما في ذلك الطرق التقليدية لحماية البيانات خلف جدار الحماية. وعليه يتوجب إبتكار وسائل تقنية جديدة لضمان المرونة السيبرانية وتتبع المعلومات وحمايتها أثناء إنتقالها عبر الشبكات. هناك حاجة ملحة للتحول من المرونة التقليدية إلى المرونة السيبرانية.

وعليه يتوجب وضع إستراتيجية قوية لتحقيق المرونة السيبرانية لإكتشاف المخاطر الناشئة، والتصدّي للهجمات السيبرانية. كما ويتوجب وضع إطار عمل لتنفيذ إستراتيجية المرونة السيبرانية وتسهيل بناء النظام البيئي السيبراني الآمن، ليشمل كلاً من البنية التحتية الأساسية والأنظمة والعمليات. ويتضمن ذلك إطار عمل لإدارة المخاطر السيبرانية، وبرامج وآليات مشاركة المعلومات.

بقلم: الدكتورة سهى معاد