دراسة للاتحاد المصري للتأمين حول مخاطر الهجمات الاليكترونية علي المؤسسات المالية
الجورنال الاقتصادى
على الرغم من أن كل الأعمال التجارية تقريباً هي ضحية محتملة للجرائم الإلكترونية، إلا أن منفذي الجرائم الإلكترونية عادةً ما يختارون ضحاياهم بناءً على معيارين: تحقيق أقصى قدر من الإيرادات و إحداث أقصى قدر من التأثير. و تعتبر المؤسسات المالية، كالبنوك وشركات الخدمات المالية أهدافاً رئيسية لمنفذي الجرائم الإلكترونية لكونها تستوفي هذين المعيارين، حيث تحتفظ المؤسسات المالية ببيانات بالغة الأهمية والقيمة بصورة إلكترونية ، من بطاقات الائتمان ومعلومات الإيداع إلى العقارات والبيانات الشخصية وغيرها، كما تتعامل تلك المؤسسات بشكل روتيني مع تريليونات الدولارات. و في نفس الوقت ، تعمل جهود التحول الرقمي المستمرة والنظام الإيكولوجي المعقد لسلسلة التوريد على زيادة فرصة منفذي الجرائم الإلكترونية للحصول على تلك البيانات واستغلالها.
لذا تحتاج المؤسسات المالية أولاً و قبل كل شئ إلى فهم أهم عوامل التهديد، مما يسمح لها بإعطاء الأولوية لمبادرات الأمن الالكتروني وإنشاء خطة أمن إلكتروني ناجحة. وتعد برامج الفدية والتصيد الاحتيالي وتطبيقات الويب والهجمات التي تستغل الثغرات الأمنية وهجمات رفض الخدمة[1] (Denial of Services) هي التهديدات الأكثر انتشاراً والتي تواجه المؤسسات المالية في عام 2022.
ويحتاج مسئولو تكنولوجيا المعلومات إلى اعتماد نهج التحقق من الرقابة الأمنية التي تمكّن الشركات من تقييم مستوى الأمن الالكتروني للمؤسسة والتحقق من أن الضوابط الأمنية تعمل بنجاح على الحد من الهجمات الإلكترونية.
وتعد المؤسسات المالية الأكثر استهدافاً من قبل منفذي الجرائم الإلكترونية على مستوى العالم منذ عام 2015 وحتى الآن.
و يُظهر البحث الذي أجرته شركة IBM X-Force أيضاً أن 70٪ من الهجمات على المؤسسات المالية استهدفت البنوك بينما استهدفت 16٪ منها شركات التأمين و 14% مؤسسات مالية أخرى في عام 2021 [شكل 1].
و تعاني المؤسسات المالية من القلق بشأن التهديدات الإلكترونية. فوفقاً لاستطلاع أجراه مؤتمر مراقبي البنوك الحكومية (CSBS) في سبتمبر 2021 ، تم تصنيف مخاطر الأمن الإلكتروني ” من قبل أكثر من 80٪ من المصرفيين باعتبارها أعلى المخاطر الداخلية ، أي أكثر من ضعف أي فئة أخرى من المخاطر التشغيلية ..
بالطبع ، هناك العديد من الأسباب لهذا الإدراك لخطر الهجمات الالكترونية . فعلى سبيل المثال ، تشكل تهديدات الأمن الالكتروني مخاطر تشغيلية ومخاطر تتعلق بالسمعة. فقد يؤدي هذا الهجوم إلى الإضرار بقدرة المؤسسة المالية على القيام بالأعمال التجارية أو تعطيلها تماماً (المخاطر التشغيلية). علاوة على ذلك ، قد يفقد العملاء الثقة وينقلون أعمالهم إلى مكان آخر بسبب الهجوم الإلكتروني (مخاطر السمعة).
و تزيد أضرار الجرائم الإلكترونية بالنسبة للخدمات المالية بنسبة 40٪ في المتوسط مقارنة بالقطاعات الأخرى .
و نعرض فيما يلي:
- التحديات التي تواجه الأمن الالكتروني للمؤسسات المالية
- بعض التهديدات الالكترونية الناشئة للمؤسسات المالية في عام 2022 مع بيانات من حوادث سابقة.
- و أخيراً ، التأمين كأحد اهم أساليب مواجهة الهجمات الالكترونية للمؤسسات المالية
التحديات التي تواجه الأمن الالكتروني للمؤسسات المالية
يعد فهم التحديات التي تؤدي إلى زيادة المخاطر الإلكترونية التي تواجه الصناعة المالية أمراً بالغ الأهمية للمواجهة الاستباقية للتهديدات الالكترونية. و ترتبط هذه التحديات مع بعضها البعض ويتعين معالجتها بنهج شامل.
- التحول الرقمي المستمر والابتكار: تتبنى المؤسسات المالية التقنيات الناشئة مثل الحوسبة السحابية Cloud Computing والذكاء الاصطناعي والخدمات الرقمية. تستخدم غالبية المؤسسات المالية بشكل متزايد البرامج المستندة إلى السحابة الالكترونية Cloud-based software لزيادة معالجة المعلومات والكشف عن الاحتيال ورفع مستوى التحليلات المالية. وفي الوقت نفسه ، عجّلت جائحة كوفيد -19 من التحول الرقمي للبنية التحتية للمؤسسات المالية و أدت إلى ظهور البنوك الافتراضية والخدمات المالية الافتراضية. نتيجة للتحول الرقمي ، تقوم المؤسسات الآن بتشغيل المزيد من التطبيقات والأجهزة الالكترونية وتطور البنية التحتية التكنولوجية الجديدة مما يزيد بدوره من مخاطر الهجمات الالكترونية علي المؤسسات المالية وعملائها.
- التشريعات واللوائح المتشددة:
أصبحت المؤسسات المالية أكثر اعتماداً على التكنولوجيا والبيانات لتقديم المنتجات والخدمات للعملاء، مما يزيد بدوره من تشدد القواعد الرقابية لحماية مصالح العملاء وحماية النشاط التشغيلي للمؤسسات المالية. و قد استجابت الجهات الرقابية الحكومية والدولية لتزايد التهديدات الإلكترونية للخدمات المالية من خلال وضع قواعد جديدة تحكم مؤسسات الخدمات المالية التي تندرج تحت مظلتها.
ويزيد أيضا تعقيد وشدة القواعد الرقابية والتنظيمية مع تغيير معايير حماية البيانات ومعايير الخصوصية بصورة مستمرة بالإضافة الى متطلبات الأمن الالكتروني. على سبيل المثال ، تم تنفيذ أكثر من 30 لائحة للأمن الاكترونية في الولايات المتحدة وحدها منذ نشر إطار عمل الأمن الالكتروني للمعهد الوطني للعلوم والتكنولوجيا (NIST) في 2014. وبالرغم من أهمية اللوائح الرقابية والتنظيمية ، إلا أن تطبيقها والالتزام بها قد يكون مكلفاً ويستغرق وقتاً طويلاً.
علاوة على ذلك ، تؤدي البيئة الرقابية المتشددة إلى تطبيقات أكثر صرامة وزيادة الغرامات. على سبيل المثال ، تم تغريم شركة Capital One [2] مبلغ 80 مليون دولار من قبل حكومة الولايات المتحدة في أغسطس 2020 لفشلها في تحديد وإدارة المخاطر الإلكترونية ، مما أدى إلى اختراق هائل للبيانات في عام 2019. و في أواخر ديسمبر 2021 ، أعلنت Capital One عن تسوية بقيمة 190 مليون دولار لدعوى قضائية جماعية لاختراق ضخم للشبكة السحابية للبنك على Amazon Web Services في عام 2019 مما أدى إلى سرقة بيانات شخصية لأكثر من 100 مليون عميل.
- النظام الإيكولوجي المعقد لسلسلة القيمة:
تعتمد معظم المؤسسات المالية في تنفيذ عملياتها الرقمية على مقدمي خدمات من جهات خارجية والذين يمثلون حلقة ضعيفة في سلسلة الأمن الالكتروني لتلك المؤسسات.
ويستهدف منفذو الجرائم الالكترونية الجهات التي تقوم ببيع البرامج الالكترونية للعملاء وتقوم بإضافة الفيروسات لتلك البرامج ليتمكنوا من اختراق شبكات عملاء مقدمي البرامج الالكترونية عند قيام العملاء بتحميل البرامج او تحديثها .
فعلى سبيل المثال :كان اختراق شركة SolarWinds ( و هي شركة عالمية رائدة في مجال برامج إدارة الشبكات والأنظمة ) أحد أهم الهجمات على سلسلة التوريد التي حدثت في الآونة الأخيرة حيث تمكن المهاجمون من الوصول إلى شبكة الشركة وأصابوا برمجيات الإدارة الخاصة بها ببرامج ضارة لاستهداف آلاف الشركاتبما في ذلك البنوك والوكالات الحكومية. و يعد اختراق هذه الشركة بمثابة مؤشر قوي على الضعف المحتمل لقطاع الخدمات المالية في مواجهة الهجمات الإلكترونية والاضطرابات التي تنشأ عن تلك الهجمات نتيجة لاعتماد المؤسسات المالية على طرف ثالث في سلسلة القيمة.
- المزج بين العمل عن بعد مع العمل في المكتب:
من التغييرات الأخيرة التي طرأت على طرق العمل بسبب كوفيد 19 المزج بين العمل عن بعد و العمل بالمكتب ، والذي أدى إلى زيادة المخاطر المؤسسية. فمع دخول الوباء عامه الثالث، أصبح العمل عن بُعد و استخدام تقنيات البرامج المستندة إلى السحابة Cloud أمراً معتاداً في كل مكان عمل تقريباً، مما اضطر الشركات إلى سرعة تبني تقنيات جديدة ساعدت على التواصل عن بُعد. و أدت لبيئات العمل المختلطة إلى زيادة تعقيد أنظمة تكنولوجيا المعلومات وتوسيع نطاق الهجوم (الثغرات) وظهور تهديدات إلكترونية جديدة.
بعض التهديدات الالكترونية الناشئة للمؤسسات المالية في عام 2022 مع بيانات من حوادث سابقة.
أثرت عمليات اختراق البيانات العديدة على البنوك ونشاط التمويل على مر السنين. ويعد فهم العقلية الأمنية الهجومية لمنفذي الهجمات الالكترونية أمراً أساسياً لبناء دفاع قوي في مواجهة تلك الهجمات. و قد أدت هذه الاختراقات إلى مساعدة الشركات في تعزيز قدراتها الدفاعية والتعلم من الإخفاقات السابقة ،فمن خلال تحليل حوادث الأمن الالكتروني السابقة، تمكن متخصصو الأمن الالكتروني من تحديد أهم عوامل التهديد و استعانوا بها في بناء خطة استباقية فعالة لتحقيق الأمن الالكتروني.
و نستعرض فيما يلي أهم هذه التهديدات:-
- برامج الفدية Ransomware
برنامج الفدية هو نوع من البرامج الضارة التي تمنع أو تحد من وصول المستخدمين إلى نظامهم أو بياناتهم وتهدد بنشر أو بيع البيانات المسروقة حتى يدفع الضحية رسوم فدية للمهاجم.
و قد شهدت الصناعة المصرفية زيادة بنسبة 1.3٪ في عدد هجمات برامج الفدية في عام 2021 . فوفقاً ً لـ Trellix ، كان نصيب القطاع المصرفي / المالي 22٪ من إجمالي هجمات برامج الفدية في الربع الثالث من عام 2021 .
في البداية ، منعت برامج الفدية المنظمات من الوصول إلى بياناتها عن طريق تشفير الملفات في الأنظمة والاحتفاظ بمفتاح فك التشفير مقابل الحصول على فدية.. ومع ذلك ، فقد تغلبت معظم المؤسسات المالية على هجمات التشفير عن طريق تحسين إجراءات النسخ الاحتياطي للبيانات.
ثم طورت عصابات برامج الفدية مستوي التهديد عن طريق التهديد بتسريب و نشر البيانات الهامة المشفرة إذا لم يتم دفع الفدية. و هي مشكلة لا يمكن حلها من خلال استعادة النسخة الاحتياطية. فوفقاً لتقرير Coveware 2021 ، تتضمن أكثر من 80٪ من هجمات برامج الفدية اختراق البيانات بالإضافة إلى تشفير الملفات.
بالإضافة إلى التشفير وتسريب البيانات، يستخدم منفذي الجرائم الإلكترونية طرق ابتزاز أخرى، مثل التهديد ببيع البيانات الحساسة والهامة للمنافسين. و نتيجة لأساليب الابتزاز الجديدة، يكون لهجمات برامج الفدية تأثير هائل على الشركات المالية، بما في ذلك تعطل الأعمال وفقدان الإيرادات وفقدان السمعة وفقدان البيانات والافصاح العام عن معلومات الحساسة.
على سبيل المثال، قدمت عصابتان من برامج الفدية، DarkSide و Ragnar Locker في نفس الشهر أدلة على نجاح اختراقهم لأنظمة ثلاثة بنوك صغيرة في الولايات المتحدة وسرقة البيانات والمطالبة بدفع فدية وزعموا أنهم سيكشفون عن بيانات مصرفية إضافية إذا لم يتم دفع الفدية.
- التصيد الاحتيالي Phishing
يظل التصيد الاحتيالي وسيلة هجوم شائعة تستخدم للوصول المبدئي إلى شبكات المؤسسات. و قد استخدم المهاجمون تقنية التصيد الاحتيالي في 46٪ من الهجمات ضد قطاع الخدمات المالية في عام 2021.
و اليوم، يعتبر التصيد الاحتيالي عملاً شاملاً يمكّن منفذي الجرائم الإلكترونية من استخدامه على هيئة خدمة تقدم للعملاء مثل تطوير صفحة تسجيل دخول مخادعة واستضافة مواقع الويب وإنشاء بريد للتصيد الاحتيالي و إرسال رسائل بالبريد الإلكتروني. يتم الاستفادة من مواقع الويب المخادعة وصفحات تسجيل الدخول التي تبدو مطابقة للموقع الرسمي للبنك من قبل المهاجمين في التصيد الاحتيالي وتقنيات الهندسة الاجتماعية الأخرى. ويتم توجيه المستخدمين إلى موقع الويب المخادع ، حيث يُطلب منهم إدخال اسم المستخدم وكلمة المرور الخاصة بهم. و بعد أن يقوم المستخدمون بإدخال بيانات اعتمادهم ، يتم توجيههم إلى موقع الويب الأصلي للبنك. و قد اكتشف الباحثون ارتفاعاً بنسبة 300 بالمائة في هجمات التصيد التي استهدفت بنك Chase بين مايو وأغسطس 2021 . حيث تم تصميم مجموعات للتصيد الاحتيالي لتبدو وتتصرف تماماً كبوابة الكترونية للبنك .
التأمين كأحد اهم أساليب الحد من الخسائر الناجمة عن الهجمات الالكترونية على المؤسسات المالية
لا يمكن إنكار أن الجرائم الإلكترونية آخذة في الازدياد، حيث أصبحت الانتهاكات الأمنية و سرقة الأموال أمراً متكرر الحدوث يومياً، كما ازدادت أساليب الهجمات تعقيداً ،واستهدفت الكثير منها البنوك، حيث استخدم مجرمو الإنترنت البرمجيات الخبيثة ضدها لاستهداف خدمات معالجة الأموال وأجهزة الصراف الآلي. و بينما تعد البنوك هدفاً شائعاً للمتسللين، تحرص أيضاً على تطبيق إجراءات أمنية أكثر تقدماً وتشدداً حيث تخصص البنوك موارد كبيرة لحماية الأصول عالية القيمة، بما في ذلك بيانات الملكية وبيانات العملاء وأموال البنوك والعملاء والأوراق المالية.. وعلى الرغم من أن التأمين فعّال في الحد من الأثر المالي للأحداث الإلكترونية إلا أنه لا يمكنه منعها .
تم تصميم التأمين ضد الهجمات الإلكترونية لتوفير تغطية للطرف الأول (المؤمن له) و الطرف الثالث (الغير) وقد تشمل التغطية الخسائر الناجمة عن انتهاكات أمن الشبكة وتكاليف استعادة البيانات والأنظمة والنفقات القانونية وتعويض الغير فيما يتعلق بانتهاكات البيانات أو توقف الأعمال.
المنتجات التأمينية
في السنوات الأخيرة، نما سوق التأمين ضد الهجمات الالكترونية جنباً إلى جنب مع التطور التكنولوجي و تزايد الهجمات الإلكترونية وحجم أضرارها التي تسببت في خسائر جسيمة للمؤسسات المالية و أدت بدورها إلى خسارة العملاء ، وتعطيل الأعمال والغرامات وفقدان الملكية الفكرية.
يركز سوق التأمين ضد الهجمات الالكترونية على المؤسسات المالية على حماية الأعمال من ستة أنواع رئيسية من الحوادث الإلكترونية: –
- انتهاك سرية البيانات: الوصول غير المصرح به إلى المعلومات (المالية والطبية والبيومترية والتجارية) و الذي يؤدي إلى تكبد تكاليف إدارة الخطر وتكاليف الإخطارات وتكاليف استعادة البيانات والبرامج والأجهزة بالإضافة الي التكاليف القانونية والدفاع وتعويض المتضررين والغرامات والجزاءات (الرقابية و / أو تعاقدية)
- مسؤولية أمن الشبكة: عند يتم استغلال شبكة الشركة (المؤمن عليها) في هجوم إلكتروني على طرف ثالث مما يؤدي إلى تكاليف قانونية ودفاعية وتعويضات للأطراف المتضررة .
- مسؤولية الاتصالات ووسائل الإعلام: قد تؤدي أنشطة الإعلام الالكتروني (المتعمدة أو العرضية) للشركة إلى التشهير أو القذف أو أي ضرر آخر بطرف ثالث مما يؤدي إلى تكاليف قانونية ودفاع وتعويض للأطراف المتضررة.
- التعطل التكنولوجي : عندما تتعطل عمليات الشركة نتيجة عطل تقني في الشركة نفسها أو أحد مزودي الخدمة ، مما يؤدي إلى خسائر تعطل الأعمال (أو خسائر طارئة في انقطاع الأعمال) والبرامج والأجهزة وتكبد تكاليف الإصلاح.
- الابتزاز الإلكتروني: عندما يتم اختراق إمكانية الوصول إلى بيانات الشركة (أو شبكتها) كجزء من محاولة ابتزاز (برمجيات الفدية) ، مما ينتج عنه تكبد الخسائر المالية (دفع الفدية) و / أو انقطاع الأعمال والبيانات وتكاليف اصلاح البرامج والأجهزة .
- الاحتيال والسرقة الإلكترونية: حيث تتم سرقة أموال الشركة أو أصولها أو مصادرتها عن طريق الاحتيال من خلال الهندسة الاجتماعية[3] ، مما يؤدي إلى خسائر مالية.
في الولايات المتحدة، تكتتب شركات التأمين في وثائق التأمين من الهجمات الالكترونية المنفردة أكثر من الوثائق المجمعة. أما في أوروبا، فقد شكلت أقساط التأمين ضد الهجمات الالكترونية المنفردة 83٪ من أقساط التأمين الإلكتروني التي تم الإبلاغ عنها إلى EIOPA في عام 2018 (مع الإبلاغ عن باقي الأقساط كملاحق لوثائق أساسية).
رأي الاتحاد
يعد الاتحاد المصري للتأمين من أول الكيانات التأمينية التي حرصت على إلقاء الضوء على الاتجاهات الحديثة الخاصة بالتحول الرقمى والتطور التكنولوجى ومايصاحبها من أخطار والتى من ضمنها الهجمات الإلكترونية وذلك من خلال قيام الاتحاد بما يلى:
- تنظيم ندوة فى عام 2017 من خلال اللجنة العامة لتأمينات الحوادث المتنوعة بالاتحاد وبالتعاون مع شركة AIG حول الأخطار الرقمية والهجمات الإلكترونية. وخلال هذه الندوة تم إلقاء الضوء على المحاور التالية:
- مفهوم الأخطار الإلكترونية وأنواعها
- الآلية التى تتم بها الهجمات الإلكترونية
- حجم الخسائر والتلفيات التى تنتج عن مثل هذه الهجمات
- الإعتبارات التى يجب مراعاتها أثناء إكتتاب وتسعير تلك الأخطار
- الإستراتيجية المناسبة لإدارة تلك المخاطر.
- قام الاتحاد بتخصيص أكثر من عدد من نشرته الأسبوعية لموضوع الأخطار والهجمات الإلكترونية، ومن خلال تلك النشرات تم إلقاء الضوء على تعريف تأمين الأخطار الالكترونية وأهم التغطيات التأمينية الخاصة به وحجم الخسائر الإقتصادية الناتجه عن الجرائم الالكترونية على مستوى العالم.
- تم إفراد عدد من الجلسات فى أكثر من مؤتمر من المؤتمرات التى ينظمها الاتحاد لتتناول موضوع التأمين الإلكترونى والأخطار المتعلقة به، وبالإضافة إلى ذلك، تم إلقاء الضوء على أفضل الممارسات التأمينية الخاصة بهذا النوع من التأمين محلياً وإقليمياً وعالمياً، وكذلك عرض التصور الخاص بمعيدى التأمين لمثل هذا النوع من الأخطار.
[1] هجوم رفض الخدمة (DoS) هو هجوم يهدف إلى إغلاق جهاز أو شبكة ، مما يجعل الوصول إليها غير ممكن للمستخدمين المقصودين. و تحقق هجمات DoS هذا عن طريق إغراق الهدف بحركة المرور ، أو إرسال معلومات تؤدي إلى انهيار الجهاز أو الشبكة المقصودة.
[2] Capital One Financial Corporation هي شركة قابضة مصرفية أمريكية متخصصة في بطاقات الائتمان ، وقروض السيارات ، والخدمات المصرفية ، وحسابات التوفير ،.
[3] الهندسة الاجتماعية هو المصطلح المستخدم لمجموعة واسعة من الأنشطة الخبيثة التي يتم تحقيقها من خلال التفاعلات البشرية. حيث يستخدم التلاعب النفسي لخداع المستخدمين لارتكاب أخطاء أمنية أو الكشف عن معلومات حساسة.