دولتها یا شرکتهای خصوصی؛ چه کسی باید با حملات سایبری مقابله کند؟
مؤسسات مالی سراسر جهان طی سالهای اخیر حملات سایبری پرتعدادتر و پیچیدهتری را تجربه کردهاند. حملات سایبری پر سر و صدایی مانند نفوذ هکرها به پایگاههای اطلاعاتی مرکز اعتبارسنجی اکوئیفاکس (Equifax) که در نتیجه آن اطلاعات اعتباری 143 میلیون آمریکایی به سرقت رفت، یا سرقت سایبری مبلغی معادل 81 میلیون دلار از بانک مرکزی بنگلادش، تنها دو نمونه از دهها حمله سایبری موفقی هستند که سالانه مؤسسات مالی و اعتباری را هدف میگیرند.
امروزه حملات سایبری یک تهدید دائمی برای مؤسسات مالی محسوب میشوند و کارکرد نظام مالی کنونی جهان که در آن مؤسسات بهشدت به هم وابسته هستند را دچار چالش جدی کردهاند. بانکهای کوچک و بزرگ روزانه هدف حمله خرابکاران سایبری قرار میگیرند و نفوذ هکرها به شبکه هریک از بانکها یا مؤسسات مالی میتواند سایر شرکتهای مالی یا غیرمالی را نیز در معرض خطر قرار دهد. این وضعیت افزایش ریسک سیستماتیک در فعالیتهای اقتصادی را در پی داشته است؛ بعد تازهای از پیامدهای حملات سایبری که کمتر به آن توجه میشود.
اخیراً سه نفر از کارشناسان زبده صندوق بینالمللی پول در مقالهای پیشنهاد نمودهاند که نهادهای بینالمللی مانند بانک تسویه حسابهای بینالمللی (Bank for International Settlements)، هیئت ثبات مالی ( Financial Stability Board) و خود صندوق بینالمللی پول، نقش کلیدی را در حمایت از به اشتراکگذاری اطلاعات، طراحی سیاستهای هماهنگ، کمک به حلوفصل مناقشات و پوشش ریسک سیستماتیک خدمات مالی و اعتباری بر عهده بگیرند.
حملات پیچیده
حمله به سامانههای انتقال پول و دستگاههای خودپرداز، ویروسی کردن شبکههای بانکی و بینبانکی، آسیب رساندن به فایلها و سختافزارها و کلاهبرداریهای سایبری جزو خطرناکترین حملات سایبری به شمار میروند.
با وجود شیوع روزافزون حملات سایبری در سالهای اخیر، هنوز هم سازمانهای ملی تنظیم مقررات ارتباطی (نهادهای موسوم به رگولاتوری) و نیز خود شرکتها آنطور که باید و شاید خطر این حملات را جدی نگرفتهاند.
از طرفی بسیاری از شرکتهایی که هدف حملات سایبری قرار میگیرند، از ترس اینکه مبادا خدشهای به اعتبارشان وارد شود و یا کسبوکارشان را از دست بدهند، دست به پنهانکاری میزنند و اوضاع را پیچیدهتر میکنند. در برخی مورد، حملات سایبری پس از چند ماه یا حتی چند سال افشا میشوند.
موانع امنیت سایبری
چگونه میتوان تهدیدات گسترده و پیچیده سایبری را مدیریت کرد؟ تمهیدات امنیتی مانند استفاده از دیوارهای آتشین (فایروال)، رمزگذاری دادهها، برنامهریزی استمرار کسبوکار و ارائه آموزشهای لازم به کارکنان اگرچه ضروری و مفید هستند اما میتوانند بسیار پرهزینه باشند و کارهای روزمره را برای شرکتها دشوار نمایند. بازطراحی محصولات و فرآیندها نیز شاید در کوتاهمدت برای اجتناب از خطر حملات سایبری مؤثر واقع شود اما نباید فراموش کرد که شیوههای جدید نیز در بلندمدت آسیبپذیریهای خاص خود را در پی خواهند داشت.
شرکتها میتوانند ریسک حملات سایبری را به اشخاص حقوقی ثالثی مانند شرکتهای بیمه یا ارائهدهندگان خدمات امنیت سایبری منتقل نمایند اما فقدان یا عدم تقارن اطلاعات بین این بنگاههای اقتصادی –که اغلب تجربه زیادی در مورد این نوع ریسک اقتصادی ندارند- بهنوعی از تمایل بخش خصوصی برای سرمایهگذاری جهت کاهش ریسک حملات سایبری به مؤسسات مالی کاسته است. از طرفی اغلب شرکتها خطر حملات سایبری را کمتر جدی میگیرند و در مقابل، بیشازحد روی توانمندیهای دفاعی و پوشش بیمهای خود در برابر این حملات حساب میکنند. در قیاس با سایر ریسکهای قابل بیمه، شرکتهای بیمه کمتر با ریسک حملات سایبری آشنایی دارند و به همین دلیل تنها مبلغ کمی را بابت پوشش این ریسک به حق بیمه دریافتی از شرکتها (جهت سایر انواع ریسک) میافزایند.
ریسک سیستماتیک
حتی خود شرکتهای بیمه و شرکتهای ارائهدهنده خدمات امنیت سایبری نیز ممکن است هدف حملات سایبری قرار گیرند و اگر تنها تعداد کمی از این شرکتها در بازار حضور داشته باشند، روی آوردن تعداد زیادی از مؤسسات مالی به این شرکتها خود میتواند منشأ یک ریسک سیستماتیک بزرگ برای نظام مالی باشد.
ریسک سیستماتیک میتواند از تمرکز فناوری اطلاعات در یک نظام مالی نیز سرچشمه بگیرد؛ وقتی مؤسسات فعال در یک نظام مالی اغلب از سیستمعامل و نرمافزارهای مشابهی استفاده میکنند و سرورهای مجازی و هابهای شبکه آنها مشترک است، ریسک سیستماتیک آن نظام مالی نیز بیشتر خواهد بود. گسترش ارتباطات مالی از طریق سیستمهای بینبانکی و سایر شبکههای انتقال وجه باعث شده است که آثار شوکهای ناشی از حملات سایبری بهسرعت در کل نظام مالی پخش گردد. افزایش محبوبیت سیاستهای پوشش بیمهای در برابر حملات سایبری موجب رشد روزافزون بازار این نوع پوشش بیمهای شده است اما افزایش احتمالی حملات سایبری به شرکتهای بیمه در آینده میتواند یک ریسک سیستماتیک جدید باشد.
در چنین شرایطی پرواضح است که بخش دولتی وظیفه دارد کاری کند که زیانهای ناشی از حملات سایبری منجر به شکلگیری یک ریسک سیستماتیک بزرگ در اقتصاد نشود.
وظایف رگولاتوری
دولت باید از طریق اعمال سیاستهای انگیزشی شرایطی را فراهم کند که شرکتهای خصوصی بهمحض وقوع حملات سایبری، مراتب را سریع و دقیق گزارش نمایند. ازآنجاکه حملات سایبری ماهیت مجرمانه دارند، ضابطین بانکی (مشخصاً بانک مرکزی) باید قادر باشند که بهسرعت هماهنگیهای لازم را با دستگاههای قضائی به عمل آورند و اجازه داشته باشند که بهمحض کشف جرائم سایبری، واکنش لازم را در چهارچوب قانون از خود نشان دهند.
حملات سایبری یک تهدید جهانی هستند و هیچ حدومرز جغرافیایی نمیشناسند؛ بنابراین نقش نهادهای بینالمللی در مواجهه با آنها حیاتی است. امروز زمان آن رسیده است که دولتها به فکر یک واکنش هماهنگ به ریسک سیستماتیک ناشی از حملات سایبری باشند. مراجع بینالمللی مانند هیئت ثبات مالی و نیز مجامع بینالمللی مانند گروه هفت (G-7) تلاشهایی را برای آشنایی هرچه بیشتر اعضای خود با خطر حملات سایبری آغاز کردهاند و تقویت هماهنگی بین کشورها در این زمینه را در دستور کار خود قرار دادهاند.
به نظر میرسد نهادهای بینالمللی و دولتها در مسیر درستی برای رفع برخی از چالشهای ایجاد شده در زمینهٔ انتقال اطلاعات و نیز هماهنگیهای بینالمللی گام برمیدارند؛ چالشهای که خود از ریسک سیستماتیک حملات سایبری نشأت گرفتهاند.