الزامات نظارت بر ریسک فناوری در بانک‌ها

نیما نبوی*- وظیفه اصلی بانک‌ها جمع‌آوری وجوه پس‌اندازی مردم در قالب انواع سپرده‌های بانکی و به‌کارگیری این وجوه در تامین مالی سرمایه‌گذاری به شکل اعطای تسهیلات است که در بانک‌ها به عنوان ابزار اصلی توسعه سرمایه‌داری به‌کار می‌روند چون عمده منابع بانک‌ها را سپرده‌های مردم تشکیل می‌دهند و این وجوه درواقع امانی هستند. دولت‌ها برای حفاظت از سپرده‌های مردم الزامات و مقررات خاصی را برای نظارت بر بانک‌ها جهت جلوگیری از ورشکستگی و زیان‌دهی آنها به‌کار می‌برند که همه بانک‌های جهان برای سلامت مالی مکلفند این مقررات را رعایت کنند. باوجود این الزامات برخی تقلبات یا ورشکستگی‌های معروف در شبکه بانکی جهان رخ داده که بعضا منجر به بحران‌های بین‌المللی هم شده‌اند. جدول(1) برخی ورشکستگی‌های بانکی سال‌های 2000 به بعد را نمایش داده است.
این رویدادها نمونه‌هایی از چالش‌های اخلاقی در صنعت بانکداری هستند که تاثیرات گسترده‌ای بر اقتصاد و اعتماد عمومی داشته و به‌عنوان درس‌های مهمی در سیستم‌های مالی و بانکی شناخته شده است که نقش مقررات و نظارت مؤثر در جلوگیری از تقلب و سقوط مالی را برجسته کردند. در همین رابطه به منظور مقابله با ریسک‌های فناوری و تقلبات تاکنون سرمایه‌گذاری جهانی در فناوری‌های هوش‌مصنوعی در تمامی صنایع، ازجمله بانکداری، در سال 2023 به 154‌میلیارد دلار رسید و پیش‌بینی می‌شود تا سال 2027 به 300‌میلیارد دلار افزایش یابد که در این میان بانک JPMorgan Chase طی سال‌های اخیر حدود 14‌میلیارد دلار در فناوری‌های دیجیتال، شامل هوش مصنوعی، سرمایه‌گذاری کرده و همچنین سافت‌بانک قصد دارد با سرمایه‌گذاری ۱۰۰‌میلیارد دلاری، زیرساخت‌های هوش مصنوعی در ایالات متحده را توسعه دهد و ۱۰۰‌هزار شغل جدید ایجاد کند. در این میان در صنعت بانکداری جهانی، نرم‌افزارهای نظارتی متعددی برای اطمینان از امنیت، انطباق با مقررات و مدیریت ریسک مورد استفاده قرار می‌گیرند. برخی از معروف‌ترین این نرم‌افزارها عبارتند از:ProGuard که ابزاری برای امن‌سازی در برابر آسیب‌پذیری‌هایی در حوزه‌های پرداخت و کیف‌پول‌ها بیشترین استفاده را دارد و یا DexGuard نرم‌افزار که ابزار تخصصی امنیتی برای اپلیکیشن‌های اندرویدی که سطح امنیت بالاتری را برای کاربران فراهم می‌کند. علاوه‌بر این نرم‌افزارهای CRM بانکی به بانک‌ها کمک می‌کنند تا ارتباطات قوی با مشتریان سودده ایجاد کرده و خدمات مناسب را به‌موقع ارائه دهند. همچنین با پیگیری اطلاعات پویای مشتری، امکان شناسایی نیازهای آنها را فراهم می‌کنند. سایر نرم‌افزارهای مبتنی‌بر هوش مصنوعی شامل Feedzai است که این نرم‌افزار با استفاده از هوش‌مصنوعی و یادگیری ماشین، به بانک‌ها در شناسایی و پیشگیری از تقلب و فعالیت‌های مشکوک کمک می‌کند. این نرم‌افزار قادر است الگوهای پیچیده تقلب را شبیه‌سازی کرده و به‌صورت بلادرنگ هشدار دهد و یا نرم‌افزار Darktrace که یک سیستم امنیتی با استفاده از هوش مصنوعی، تهدیدات سایبری را در شبکه‌های بانکی شناسایی و پاسخ می‌دهد. این نرم‌افزار قادر است رفتارهای غیرمعمول را شبیه‌سازی کرده و به‌صورت خودکار واکنش نشان دهد یا پلاتفرم KAI که یک پلتفرم هوش مصنوعی برای بانک‌ها در ارائه خدمات مشتریان هوشمند و شخصی‌سازی‌شده است و قادر است با مشتریان به‌صورت طبیعی تعامل کرده و نیازهای آنها را شبیه‌سازی کند. از دیگر نرم‌افزارهای کاربردی CureMetrix است که با استفاده از هوش مصنوعی، به بانک‌ها در تحلیل داده‌های پزشکی و ارائه خدمات بهداشتی به مشتریان کمک می‌کند. همچنین قادر است الگوهای پیچیده پزشکی را شبیه‌سازی کرده و به‌صورت بلادرنگ هشدار دهد. نرم‌افزار Zest AI نیز یک پلتفرم هوش مصنوعی است که به بانک‌ها در اعتبارسنجی و تصمیم‌گیری‌های اعتباری و نیز از طریق تحلیل داده‌های پیچیده، ریسک‌های اعتباری را شبیه‌سازی کرده و به‌صورت دقیق پیش‌بینی می‌کند. همگی این نرم‌افزارها با استفاده از هوش مصنوعی به بانک‌ها در بهبود سیستم‌های نظارتی، افزایش امنیت و ارائه خدمات بهتر به مشتریان کمک می‌کنند. در همین رابطه کشورهایی مانند: سوئیس، سنگاپور، آلمان، کانادا و بریتانیا به‌دلیل سیستم‌های نظارتی قوی، قوانین سختگیرانه، و شفافیت بالا در نظارت بانکی برتر هستند. این کشورها با استفاده از فناوری‌های نوین و پیشرفته در گزارش‌دهی بانک‌ها، اعمال قوانین سختگیرانه برای مدیریت ریسک و حفظ سرمایه بانکی، اجرای دقیق مقررات بازل سه در رابطه با کفایت سرمایه و مقررات ضدپول‌شویی با نظارت آنلاین مستمر کوشش کرده‌اند اعتبار و اطمینان نظام بانکی را محافظت کنند.
آینده امنیت سایبری در بانکداری تحت‌تاثیر تکامل فناوری‌های پیشرفته و چارچوب‌های نظارتی سخت‌گیرانه‌تر شکل خواهد گرفت. با پیچیده‌تر شدن حملات سایبری، بانک‌ها به نوآوری‌هایی نظیر سیستم‌های امنیتی مبتنی‌بر هوش مصنوعی، بلاک‌چین و محاسبات کوانتومی برای تقویت دفاع خود روی خواهند آورد. هوش مصنوعی و یادگیری ماشین نقش ‌محوری در تجزیه و تحلیل الگوها و شناسایی تهدیدها در زمان واقعی ایفا خواهند کرد.
اطلاعات مشتریان، بسترها و امکانات زیرساختی و نرم‌افزارهای کاربردی به‌عنوان سرمایه، ذخایر و دارایی‌های موسسه اعتباری(در حوزه فناوری اطلاعات) به‌شمار می‌روند. بر همین اساس توجه به مقوله ریسک عملیاتی و مهم‌ترین منبع ایجادکننده آن، یعنی ریسک فناوری اطلاعات امری ضروری و اجتناب‌ناپذیر است. در همین راستا مدیریت کل نظارت بر بانک‌ها و موسسات اعتباری بانک مرکزی نیز با هدف افزایش ضریب امنیت اطلاعات و کاهش ریسک‌های فناوری اطلاعات موسسات اعتباری، حرکت به سمت استقرار استانداردهای روز دنیا در حوزه فناوری اطلاعات شبکه بانکی کشور، کاهش سوء‌استفاده‌های احتمالی و جلوگیری از هدررفت منابع موجود در شبکه بانکی کشور و ایجاد یکپارچگی میان سیاست‌های ابلاغی در نظارت بر ریسک فناوری اطلاعات موسسات اعتباری اقدام به تدوین و ابلاغ مجموعه قوانین ناظر بر حوزه فناوری اطلاعات شبکه بانکی در قالب سند یادشده کرده است. تدوین این سند برمبنای آخرین استانداردهای معتبر بین‌المللی به ‌روش‌ها و به کمک جمعی از خبرگان، پژوهشگران و مدیران باتجربه و صاحب‌نظر در صنعت مهندسی کامپیوتر و فناوری اطلاعات و مدیریت ریسک و حسابرسی بانکی صورت گرفته است. علاوه‌براین کارگروهی به نام «کارگروه حسابرسی و فناوری اطلاعات» در بانک مرکزی با هدف بررسی راهکارهای اجرای الزامات امنیت سایبری تشکیل شده است. این الزامات در 12فصل که فصل اول شامل: (تعاریف)، فصل دوم(معماری و ساختار سازمانی)- فصل سوم(خط‌مشی‌ها/‏ سیاست‌ها و برنامه‌ها)- فصل چهارم(برون‌سپاری)- فصل پنجم(امنیت)- فصل ششم(مدیریت شناسایی و تایید مشتریان)- فصل هفتم (طراحی نگهداری و مدیریت سامانه جامع بانکداری متمرکز)- فصل هشتم(طراحی نگهداری و مدیریت سامانه‌های بانکداری الکترونیکی)- فصل نهم(مدیریت ریسک)- فصل دهم(-شبکه و ارتباطات)- فصل یازدهم (مرکز داده‌ها) و فصل دوازدهم (سایر موارد) است، تدوین شده‌اند.
بررسی‌های متعددی که در جهان بانکداری در چند سال اخیر صورت گرفته حکایت از آن دارد که امنیت سایبری همراه با جرایم مالی و تقلب، بزرگ‌ترین ریسک‌هایی هستند که بانک‌ها و موسسات مالی با ظهور اقتصاد دیجیتالی و فناوری‌های نوین همچون هوش مصنوعی با آنها مواجه خواهند بود. براساس نتایج حاصل از یک نظرسنجی که اخیرا از مدیران ارشد ریسک بانک‌ها توسط «انجمن مدیریت ریسک» آمریکا صورت گرفته و در آن از مدیران بانک‌ها درباره پنج ریسک برتر پیش‌روی بانک‌ها پرسش شده بود، 63‌درصد از پاسخ‌دهندگان به ریسک سایبری اشاره کردند. سایر ریسک‌های مهم شامل تقلب و جرایم مالی(44درصد)، فناوری(38درصد)، ریسک اعتباری کلی و ریسک اشخاص ثالث(هر دو 32درصد)، مسائل مرتبط با مدل‌های عملیاتی مانند جذب استعداد(28درصد) و ریسک سپرده و تمرکز(24درصد) بودند.
این نظرسنجی همچنین نشان داد که سرعت شکست بانک «سیلیکون ولی» همچنان تاثیر زیادی بر مدیران ارشد ریسک دارد. تقریبا تمامی پاسخ‌دهندگان(93درصد) اذعان داشتند که صنعت بانکداری باید با افزایش سرعت ریسک مقابله کند. با این حال، اکثریت قابل‌توجهی(89درصد) نیز اعلام کردند که مسیر روشنی برای این کار دارند و 40‌درصد از پاسخ‌دهندگان در برنامه‌های شاخص هشدار اولیه سرمایه‌گذاری کرده‌اند. درهمین رابطه مجله Harvard Business Review گزارش داده که بین سال‌های 2018 تا 2022، اف‌بی‌آی 26/‏3‌میلیون شکایت مربوط به حملات سایبری دریافت کرده که 944/‏800 جرم سایبری در ایالات‌متحده گزارش شد و انتظار می‌رود این ارقام افزایش یابد. تهدید سایبری دیگری نیز در حال ظهور است: «پیشرفت‌های هوش مصنوعی، فضای سایبری را به‌طور فزاینده‌ای خطرناک می‌کند». گفته می‌شود ارزش مالی رخنه‌های اطلاعاتی شبکه بانکی جهان در معرض خطر رو به افزایش بوده که در سال 2023 شرکت‌های مالی به‌طور متوسط در هر رخنه اطلاعاتی 9/‏5‌میلیون دلار زیان دیده‌اند. تحقیقات منتشر شده توسط موسسات ارائه‌دهنده خدمات امنیت شبکه بانکی نشان داده که هفت تهدید اصلی در حال رشد امنیت سایبری و راهکارهایی برای حفظ امنیت داده‌ها عبارتند از: ریسک‌های ناشی از اشخاص ثالث- فیشینگ مبتنی‌بر هوش مصنوعی-باج‌افزار‌ها- تغییرات در بیمه سایبری- چالش‌های نیروی انسانی- WormGPT و هک به‌عنوان یک خدمت (HaaS) و محاسبات کوانتومی زیرا ظهور رایانه‌های کوانتومی که قدرت پردازشی بسیار بالاتری نسبت به ابررایانه‌های امروزی دارند، تهدیدی وجودی برای امنیت سایبری ایجاد می‌کند. این فناوری می‌تواند روزی رمزنگاری کل اینترنت را بی‌اثر کند. رفع این چالش‌ها به رویکردی چندجانبه مبتنی‌بر هوش صنوعی شامل تحقیقات مداوم، آموزش مناسب و یکپارچه‌سازی دقیق برای استقرار امنیت سایبری قوی نیاز دارد. درواقع ادغام هوش مصنوعی در امنیت سایبری پیشرفت قابل‌توجهی در رویکردهای حفاظتی دیجیتال ایجاد می‌کند، در حالی که هوش مصنوعی مزایای زیادی مانند تشخیص تهدید پیشگیرانه، پاسخ خودکار و دقت بهبود‌یافته ارائه می‌دهد. چالش‌هایی نیز مطرح می‌کند که باید موردتوجه قرار گیرند. به همین علت با درک و بهره‌گیری از راه‌حل‌های هوش مصنوعی، بانک‌ها و موسسات مالی- اعتباری می‌توانند استراتژی امنیت سایبری قدرتمندی ایجاد کنند که هم در برابر تهدیدات فعلی دفاع کند و هم با چالش‌های آینده تطبیق یابد. شاید بر همین اساس بوده که بانک مرکزی در بخشنامه شماره 319049/2 مورخ ۲۷ اسفندماه سال گذشته یادآور شده که امروزه کنترل‌های داخلی از آن حیث که یکی از الزامات تحقق اهداف در هر سازمانی محسوب می‌شود، از اهمیت بسیاری برخوردار است. طبیعی است این مهم در موسسات اعتباری بنا به ماهیت خاص فعالیت و اقتضائات آن دارای نقش و جایگاه بسیار مهم و اثرگذارتری است. بنا به همین ضرورت، «رهنمود‌هایی برای نظام مؤثر کنترل داخلی در موسسات اعتباری» توسط بانک مرکزی تدوین و طی بخشنامه شماره مب‏‏/‏۱۱۷۲ مورخ ۳۱‏‏/‏۳‏‏/‏۱۳۸۶ جهت اجرا و استقرار نظام کنترل‌های داخلی به شبکه بانکی کشور ابلاغ شد. با عنایت به گذشت سالیان متمادی از ابلاغ رهنمود مذکور و تغییر شرایط و مقتضیات و اسناد بین‌المللی بالادستی، تدوین ضوابطی روزآمدتر درخصوص نظام مؤثر کنترل داخلی ایجاب می‌کرد. بر همین اساس، برمبنای مهم‌ترین استاندارد بین‌المللی در زمینه نظام کنترل‌های داخلی منتشره در سال ۲۰۱۳ توسط «کارگروه سازمان‌های پشتیبان مالی کمیسیون تردوی» موسوم به COSO تحت‌عنوان «چارچوب کنترل‌های داخلی یکپارچه» و همچنین سند «چارچوب سیستم کنترل داخلی برای بانک‌ها» از انتشارات کمیته بال در سال ۱۹۹۸ و نیز با نظر داشتن مقررات کنترل‌های داخلی حاکم بر بانک‌ها در برخی از کشور‌های منتخب، «دستورالعمل حداقل الزامات ناظر بر استقرار نظام کنترل‌های داخلی در موسسات اعتباری» مشتمل بر (۸) فصل، (۶۱) ماده و (۴) تبصره تدوین و در جلسه مورخ ۲۹‏‏/‏۱۱‏‏/‏۱۴۰۲ کمیسیون مقررات و نظارت موسسات اعتباری بانک مرکزی مورد تایید قرار گرفت و به بانک‌ها و موسسات اعتباری ابلاغ گردیده است.
پیش از پرداختن به اهم احکام دستورالعمل موصوف، ذکر ملاحظات زیر ضروری است:
الف) دستورالعمل مذکور، حداقل الزامات مربوط به طراحی و اجرای نظام کنترل‌های داخلی ایمن و محتاطانه بوده و یک راهنمای جامع متحدالشکل درخصوص کنترل‌های داخلی را برای تمامی موسسات اعتباری ارائه نمی‌دهد چراکه طراحی و اجرای نظام کنترل‌های داخلی به عوامل مختلفی ازجمله نوع و اندازه و ساختار و میزان ریسک‌پذیری موسسه اعتباری بستگی دارد.
ب) چنانچه اهداف، اجزا و سطوح نظام کنترل داخلی به‌خوبی برنامه‌ریزی، ترسیم و پیاده‌سازی شوند، می‌توان شاهد استقرار یک نظام کنترل داخلی مؤثر در موسسه اعتباری بود و چنانچه بازخورد مناسبی از این نظام براساس گزارش‌های کارایی و اثربخشی هر یک از اهداف، اجزا و سطوح تهیه و نسبت به رفع نواقص و ارتقای لایه‌ها و سازوکار‌های کنترلی اقدام گردد، می‌توان گفت که نظام کنترل داخلی مطلوبی در موسسه اعتباری شکل گرفته است. بنابراین استقرار نظام کنترل داخلی یک فرآیند مستمر و پویا است که همواره باید کارایی و اثربخشی آن مورد بررسی قرار گیرد و راهکار‌های مناسب جهت ارتقای آن ارائه شود.
پ) با اجرای صحیح نظام کنترل داخلی، موسسه اعتباری از سیاست‌های جامع و کاملی که با ماهیت و پیچیدگی فعالیت‌های موسسه اعتباری سازگار بوده و به‌وسیله هیات‌مدیره مصوب شده است، برای مدیریت محتاطانه ریسک‌های عمده در حوزه فعالیت‌های تجاری و عملیاتی برخوردار خواهد بود.
ت) پیاده‌سازی نظام کنترل‌های داخلی مستلزم باور، آگاهی و درک جامعی از مفاهیم حاکمیت شرکتی و خودارزیابی و خودکنترلی بوده که به‌صورت مستمر به ارزیابی فعالیت‌ها و آثار مالی و غیرمالی آن فعالیت‌ها بر محیط داخلی و بیرونی بپردازد.
با ذکر ملاحظات فوق، خاطرنشان می‌سازد و انتظار می‌رود از رهگذر اجرای دقیق و کامل آن در موسسات اعتباری، نظام کنترل داخلی یکپارچه‌ای پیاده‌سازی گردد، متضمن نکات و موارد پراهمیتی ازجمله احکام ذیل است:
1- تعریف نظام کنترل داخلی دایر بر اینکه فرآیندی است که توسط هیات‌مدیره، هیات‌عامل و دیگر کارکنان موسسه اعتباری برای کسب اطمینان معقول از دستیابی به اهداف مربوط به عملیات، گزارشگری و رعایت قوانین و مقررات، طراحی و مستقر شده است و شامل سه بخش اهداف، اجزا و سطوح می‌باشد.
2- اهداف نظام کنترل داخلی شامل؛ الف) اهداف عملیاتی که بیانگر اثربخشی و کارایی فعالیت‌های موسسه اعتباری در استفاده از منابع و نیز حفاظت از دارایی‌ها در برابر سوءاستفاده و تقلب می‌باشد.
ب) اهداف گزارشگری که به ارائه اطلاعات مفید و سودمند به منظور اتخاذ تصمیم‌های صحیح و پیشگیری از گمراهی ذی‌نفعان از طریق تهیه گزارش‌های مالی و غیرمالی به‌موقع، قابل اتکا، مربوط و شفاف به صورت درون‌سازمانی و برون‌سازمانی معطوف است. ج) اهداف رعایت قوانین و مقررات که به منظور حصول اطمینان از رعایت تمامی قوانین، مقررات، استاندارد‌های لازم‌الاجرا برای موسسه اعتباری در داخل و خارج از کشور که موسسه اعتباری در آنها دارای بانک مستقل فرعی، شعبه و یا دفتر نمایندگی است ترسیم می‌گردد.
3- تبیین اجزای نظام کنترل داخلی در موسسه اعتباری شامل پنج جزء اصلی؛ محیط کنترلی، ارزیابی ریسک، فعالیت‌های کنترلی، اطلاعات و ارتباطات و فعالیت‌های نظارتی
4- تبیین سطوح نظام کنترل داخلی برای موسسه اعتباری شامل؛ موسسه اعتباری، ادارات مرکزی، سرپرستی مناطق، شعب و وظایف و کارکرد‌هاست.
قطع ‌نظر از مراتب فوق، در طراحی و اجرای صحیح نظام جامع کنترل‌های داخلی، انجام اقدامات ذیل توسط موسسه اعتباری ضروری و مورد انتظار است:
1- ماهیت متفاوت کسب‌وکار هر موسسه اعتباری و لزوم طراحی کنترل‌های داخلی متناسب با آن.
2- بهره‌گیری از تجارب کارشناسان خبره و اجرای گام‌به‌گام هر فصل از دستورالعمل حاضر متناسب با ساختار و روابط و متعاقبا ارزیابی کارایی و اثربخشی اجرای هر یک از فصول دستورالعمل
3- شناسایی نقاط قوت و ضعف نظام کنترل داخلی موسسه اعتباری و اقدامات لازم جهت رفع نقاط ضعف، باتوجه به اهمیت آثار مالی و غیرمالی آنها بر محیط داخلی و بیرونی و با بهره‌گیری از تجزیه و تحلیل هزینه فایده
4- تشریح و تفکیک وظایف واحد‌های حسابرسی داخلی، مدیریت ریسک، تطبیق(رعایت قوانین و مقررات) و مبارزه با پول‌شویی توسط موسسه اعتباری
5- برگزاری دوره‌های آموزشی برای کارکنان در زمینه‌های دانش، ابزار‌ها و فعالیت‌های کنترلی در نظام کنترل‌های داخلی
6- گزارش‌دهی مناسب به هیات‌مدیره برای انجام دقیق نظارت بر چارچوب مدیریت ریسک موسسه اعتباری. به این منظور اختیارات و مسوولیت‌های هر وظیفه کنترلی باید به نحو صحیحی مستند شود. مسوول هر وظیفه کنترلی به‌صورت دوره‌ای مستندات را بازنگری کرده و پیشنهاد تغییرات لازم برای آن را به هیات‌مدیره یا مدیریت ارشد برای صدور مجوز آن ارائه نمای.
7- تعیین شفاف و صریح نقش‌ها، مسوولیت‌ها و نحوه پاسخگویی در قبال اجرای سیاست‌ه.
8- تدوین رویه‌ها و فرآیند‌های مناسب به منظور اجرای سیاست‌ها در هر موسسه اعتباری. این موارد باید به تفصیل و به‌صورت دفترچه راهنمای رویه‌ها و فرآیند‌های انجام کار مستند شود و به‌صورت دوره‌ای مورد بازنگری قرار گیرد تا انعکاس‌دهنده سیاست‌های جاری موسسه اعتباری باشد. همچنین باید شیوه‌های مناسبی به منظور نظارت بر رعایت و پیروی از سیاست‌ها و رویه‌های تدوین شده وجود داشته باشد. انحراف از این سیاست‌ها و رویه‌ها به صورت مستقل بررسی شده و از آنها گزارش تهیه و به واحد‌های مربوطه ارسال شود
بدون شک اجرای دستورالعمل‌ها و مقررات الزامات نظارت بر ریسک فناوری در بانک‌ها و موسسات مالی و اعتباری به‌دلیل افزایش وابستگی به فناوری اطلاعات و دیجیتال‌سازی خدمات مالی اهمیت ویژه‌ای دارد. این الزامات می‌توانند در قالب چارچوب‌های زیر تعریف شوند:
1- مدیریت ریسک فناوری اطلاعات
(IT Risk Management): شامل مراحل شناسایی، ارزیابی و پایش ریسک‌های مرتبط با فناوری اطلاعات. ایجاد و پیاده‌سازی سیاست‌های امنیتی و فناوری اطلاعات و به‌کارگیری سیستم‌های مدیریت ریسک برای کاهش و کنترل تهدیدات
2- امنیت اطلاعات و حفاظت داده‌ها: شامل اجرای استانداردهای امنیت اطلاعات مانند ISO/‏IEC 27001. ، استفاده از رمزنگاری برای حفاظت از داده‌های مشتریان و اطمینان از یکپارچگی، محرمانگی و دسترسی‌پذیری داده‌ها
3- حاکمیت فناوری اطلاعات
(IT Governance): شامل تدوین ساختارهای حاکمیتی برای مدیریت فناوری در سطح سازمان. نظارت بر استفاده بهینه از منابع فناوری اطلاعات و تضمین تطابق سیستم‌های فناوری با مقررات و الزامات قانونی
4- پیروی از قوانین و مقررات (Compliance): شامل انطباق با مقررات داخلی و بین‌المللی مرتبط با امنیت و مدیریت فناوری و رعایت اصول حریم خصوصی مانند(GDPR) و قوانین ضدپول‌شویی.
5- پیوستگی کسب‌وکار و بازیابی بلایا
(BCP & DRP): شامل طراحی برنامه‌های پایداری کسب‌وکار برای حفظ عملیات در زمان وقوع حوادث و راه‌اندازی سیستم‌های پشتیبان‌گیری و بازیابی اطلاعا.
6- مدیریت ریسک سایبری: شامل شناسایی تهدیدات سایبری و انجام آزمون‌های نفوذ Penetration Tests» » استقرار سیستم‌های تشخیص نفوذ (IDS) و پیشگیری از نفوذ (IPS)و ارائه آموزش‌های امنیتی به کارکنان و مشتریان.
7- مدیریت ریسک عملیات که دربرگیرنده نظارت بر عملکرد زیرساخت‌های فناوری مانند شبکه‌ها، سرورها و دیتابیس‌ها و تحلیل نقاط ضعف و خطرات عملیاتی مرتبط با فناوری
8- مدیریت تامین‌کنندگان فناوری
(Vendor Management) : شامل ارزیابی امنیتی و عملیاتی تامین‌کنندگان خدمات فناوری و مدیریت قراردادها و اطمینان از تعهدات آنها در زمینه امنیت اطلاعات
9- آموزش و آگاهی‌بخشی: شامل آموزش کارکنان در زمینه ریسک‌های فناوری اطلاعات و امنیت سایبری و ارتقای آگاهی مشتریان از تهدیدات و شیوه‌های محافظت از خو.
10- گزارش‌دهی و پایش مستمر از طریق نظارت و گزارش‌دهی منظم به هیات‌مدیره و مراجع نظارتی و استفاده از ابزارهای هوشمند برای تحلیل داده‌ها و پایش تهدیدات.
برای اجرای درست این موارد بانک‌ها و موسسات مالی باید با بهره‌گیری از ابزارها و تکنولوژی‌های به‌روز، چارچوب‌های مناسبی را برای مدیریت ریسک فناوری اطلاعات طراحی و اجرا کنند تا از آسیب‌پذیری‌ها در برابر تهدیدات فناوری جلوگیری کنند.
چه اشخاصی صلاحیت فنی دارند در تدوین و طراحی الزامات ناظر بر ریسک فناوری در بانک‌ها مشارکت نمایند؟
تجربیات کشورهای موفق و بانک‌های پیش‌رو نشان داده که در تدوین الزامات ناظر بر ریسک فناوری در بانک‌ها، افراد یا اشخاصی که صلاحیت فنی دارند می‌توانند پیشنهادات تخصصی ارائه دهند. این افراد معمولا شامل گروه‌های مختلفی از متخصصان هستند که دارای تجربه و دانش کافی در زمینه‌های مختلف فناوری اطلاعات، امنیت سایبری، ریسک فناوری و مدیریت ریسک در بانک‌ها هستند. این افراد می‌توانند شامل موارد زیر باشند:
متخصصان فناوری اطلاعات (IT) : این افراد معمولا دارای تجربه گسترده‌ای در زمینه طراحی، پیاده‌سازی، و نگهداری سیستم‌های فناوری اطلاعات هستند. آنها می‌توانند الزامات فنی لازم برای نظارت بر ریسک‌های فناوری اطلاعات و اطلاعات دیجیتال در بانک‌ها را شناسایی کرده و پیشنهاد دهند.
متخصصان امنیت سایبری (Cybersecurity Experts) : افراد با تخصص در امنیت شبکه‌ها و سیستم‌های اطلاعاتی می‌توانند ناظر بر الزامات امنیتی بانک‌ها باشند. این افراد با شناسایی تهدیدات سایبری و تکنیک‌های پیشگیرانه می‌توانند در بهبود زیرساخت‌های امنیتی و حفاظت از داده‌های حساس در برابر حملات سایبری نقش مهمی ایفا کنند.
مدیران ریسک (Risk Managers) : مدیران ریسک در بانک‌ها معمولا مسوول شناسایی، ارزیابی و مدیریت ریسک‌ها هستند. آنها به‌خصوص در زمینه‌های ریسک فناوری اطلاعات و ریسک سایبری، می‌توانند پروتکل‌های امنیتی و فرآیندهای کنترل ریسک را برای مقابله با تهدیدات پیشنهاد دهند.
مشاوران فنی و نظارتی (Technical and Regulatory Consultants) : این گروه معمولا ترکیبی از متخصصان فناوری و مشاوران حقوقی هستند که در زمینه مقررات و الزامات نظارتی فعال هستند. آنها می‌توانند الزامات مربوط به فناوری و ریسک‌های آن را در چارچوب قوانین و مقررات ملی و بین‌المللی برای بانک‌ها تدوین کنند.
پژوهشگران و اساتید دانشگاهی: افرادی که در حوزه‌های فناوری اطلاعات، امنیت سایبری و ریسک فناوری تحقیقات می‌کنند، می‌توانند پیشنهادات مبتنی‌بر تحقیقات علمی و تجربیات جهانی در زمینه مدیریت ریسک فناوری در بانک‌ها ارائه دهند.
توسعه‌دهندگان نرم‌افزار (Software Developers): این افراد می‌توانند در شناسایی و توسعه ابزارهای فناوری اطلاعات برای شبیه‌سازی، تحلیل و مدیریت ریسک‌های فناوری در بانک‌ها نقش داشته باشند. تخصص آنها در ساخت سیستم‌های نرم‌افزاری که به شناسایی، تحلیل و نظارت بر ریسک‌ها کمک می‌کند، می‌تواند برای بهبود الزامات فنی ناظر بر ریسک فناوری در بانک‌ها مهم باشد. در مجموع، ترکیب دانش فنی در زمینه فناوری اطلاعات، امنیت سایبری، مدیریت ریسک و الزامات نظارتی، برای تدوین الزامات ناظر بر ریسک فناوری در بانک‌ها بسیار حیاتی است. باید تاکید کرد مشارکت اشخاص در ارائه پیشنهادات با حضور برخی از آنان در اجرا تفاوت داشته و عملا ممکن است اجرای دقیق و درست الزامات را غیرممکن سازد. باتوجه به اینکه به موجب قانون پولی و بانکی کشور بانک مرکزی مقام ناظر حوزه پول و بانک به‌شمار می‌رود و از آنجا که طراحی الزامات ناظر بر مدیریت ریسک‌های فناوری اطلاعات (IT) بانک‌ها نیازمند مشارکت نهادهای مختلفی است که تخصص و اختیارات مرتبط در حوزه مالی و فناوری اطلاعات دارند. این نهادها شامل موارد زیر می‌شوند:
1- بانک مرکزی- بانک مرکزی به‌عنوان نهاد ناظر اصلی بر سیستم بانکی، وظیفه تدوین مقررات و الزامات ریسک فناوری اطلاعات را بر عهده دارد. این نهاد نقش کلیدی در ارزیابی ریسک‌ها و اطمینان از انطباق بانک‌ها با استانداردهای امنیت سایبری دارد.
2- نهادهای تنظیم مقررات مالی- سازمان‌هایی مانند کمیسیون بورس و اوراق بهادار (SEC) یا سازمان نظارت بر بانک‌ها و بیمه (در ایران: سازمان بورس یا بیمه مرکزی) نیز در حوزه‌هایی مانند شفافیت مالی و جلوگیری از کلاهبرداری و ریسک‌های سایبری نقش‌آفرین هستند.
3- نهادهای تنظیم مقررات فناوری اطلاعات- سازمان‌های ملی مرتبط با فناوری اطلاعات، نظیر سازمان فناوری اطلاعات یا نهادهای مشابه در کشورهای مختلف می‌توانند استانداردهای مرتبط با امنیت داده‌ها و مدیریت ریسک سایبری را تدوین کنند.
4- انجمن‌های حرفه‌ای حسابداری و حسابرسی- نهادهایی مانند جامعه حسابداران رسمی یا انجمن حسابداران خبره ایران می‌توانند در تدوین استانداردهای حسابرسی فناوری اطلاعات و ارزیابی ریسک‌های مربوطه همکاری کنند.
5- نهادهای بین‌المللی-کمیته بال (Basel Committee): این کمیته، چارچوب‌های بین‌المللی برای مدیریت ریسک بانک‌ها ازجمله ریسک‌های فناوری اطلاعات را ارائه می‌دهد.
6- سازمان بین‌المللی استاندارد (ISO): استانداردهایی نظیر ISO 27001 (امنیت اطلاعات) و ISO 31000 (مدیریت ریسک) برای کمک به طراحی الزامات قابل استفاده است.
7- شرکت‌های مشاوره و ارزیابی ریسک فناوری اطلاعات- در جهان موسسات تخصصی خاص نظیرDeloitte ، PwC، KPMG، یا EY می‌توانند به عنوان مشاور در شناسایی، ارزیابی و مدیریت ریسک‌های فناوری اطلاعات مشارکت کنند.
8- آژانس‌های امنیت سایبری- نهادهای دولتی یا خصوصی که مسوول امنیت سایبری هستند(مانند مرکز ماهر در ایران یا NIST در ایالات متحده( می‌توانند راهنمای‌هایی برای شناسایی و کاهش ریسک‌های فناوری اطلاعات ارائه دهند.
9- دانشگاه‌ها و مراکز پژوهشی- دانشگاه‌ها و موسسات پژوهشی در حوزه مالی و فناوری اطلاعات می‌توانند از طریق تحقیقات علمی و انتشار راهنماهای کاربردی به تدوین الزامات کمک کنند.
10- بانک‌ها و موسسات مالی پیشرو- بانک‌ها و موسسات مالی بزرگ که در زمینه فناوری اطلاعات تجربه دارند، می‌توانند تجربیات خود را در تدوین الزامات به اشتراک بگذارند.
11- نهادهای قانون‌گذار و مجلس- قانون‌گذاران می‌توانند چارچوب‌های قانونی لازم برای حمایت از مدیریت ریسک‌های فناوری اطلاعات را تصویب کنند.
باید تاکید کرد این مشارکت‌ها باید در قالب همکاری میان‌‌رشته‌ای و جامع انجام شود تا الزامات تدوین شده تمامی جنبه‌های ریسک فناوری اطلاعات را پوشش دهد. انتظار می‌رود دولت‌ها و نهادهای بین‌المللی با اجرای دستورالعمل‌های سختگیرانه‌تر برای مقابله با تهدیدهای جهانی روبه‌رشد، بانک‌ها را مجبور به پیشتازی در زمینه انطباق و استراتژی‌های حفاظت از داده کنند. این ترکیب فناوری‌های پیشرفته و مقررات سخت‌گیرانه‌تر آینده امنیت سایبری در صنعت بانکداری را تعریف خواهد کرد. با تکامل تهدیدات سایبری، حفاظت از داده‌های حساس مالی و حفظ یکپارچگی عملیاتی سیستم‌های بانکی در اولویت اصلی باقی خواهد ماند. برای پیشی گرفتن از مجرمان سایبری، بانک‌ها باید راه‌حل‌های پیشرفته‌ای را اتخاذ کنند، بهترین شیوه‌ها را به‌طور جدی اجرا کنند و خود را برای چالش‌های آینده در یک چشم‌انداز دیجیتال در حال تغییر سریع آماده کنند. همگام بودن با آخرین روندهای امنیت سایبری برای بانک‌ها ضروری است تا بتوانند در برابر تهدیدهای نوظهور واکنشی فعال و مقاوم داشته باشند. توسعه روزافزون فناوری اطلاعات و زیرساخت‌های ارتباطی، نقش تعیین‌کننده‌ای در کسب‌وکار بانکی داشته و تغییرات فراوانی را در خدمات بانکداری در سال‌های اخیر موجب شده است. براساس آخرین اطلاعات موجود در سایت سازمان بورس آمریکا به‌ تاریخ 19 دسامبر2024 تعداد10305 شرکت بورسی به ارزش بازار 4/‏161 تریلیون وجود دارند که تعداد681 شرکت آن بانک‌ها و موسسات اعتباری به ارزش 9900‌میلیارد دلار به شرح جدول دو هستند.
نمایه 10بانک برتر جهان از منظر حجم دارایی- ارزش بازار سهام و درآمد (میلیاردلار) به تاریخ 19 دسامبر2024
جمع‌بندی
باتوجه به موارد فوق و ریسک‌ها و خطرات ناشی از حملات سایبری و تقلب در اشکال نوین که مبتنی‌بر استفاده از فناوری‌های نوین هستند از آنجا که اگر قرار باشد پس از رفع تحریم‌ها و گذر از معضلات عملیات شبکه بانکی کشور نیز بین‌المللی و در نتیجه در معرض طوفان حملات هکرها و نرم‌افزارهای هوشمند قرار گیرند از هم‌اکنون بانک مرکزی به‌عنوان مقام ناظر بانکی باید علاوه‌بر صدور بخشنامه‌ها و دستورالعمل‌های مفید کاربردی در این ‌خصوص، موسسات اعتباری را ملزم کند در یک بازه دو ساله مقدورات و زیرساخت‌های بانکی خود را چنان فراهم سازند تا در آینده پیش‌رو دچار کمترین آسیب‌های سایبری شوند زیرا وجوه بانک در واقع وجوه مردم است که اگر مورد هجوم هکرها « سارقان هوشند» قرارگیرد علاوه‌بر مشکلات خاص سیاسی موجبات بی‌اعتباری شبکه بانکی و پیامدهای خروج پول از بانک را به همراه خواهد داشت.
* مدرس دوره‌های حسابرسی فناوری اطلاعات، مدیریت ریسک، تداوم کسب‌وکار و مدیریت امنیت اطلاعات موسسه علوم آموزش بانکداری ایران و عضو انجمن حسابرسی فناوری اطلاعات(کارگروه بانکداری)