صنعت خدمات مالی از مهمترین اهداف حملات سایبری در جهان است. این صنعت در سال ۲۰۲۳ تقریبا 20 درصد از کل حملات سایبری را متحمل شد. این امر منطقی است، زیرا موفقیت در این حملات میتواند مزایای مالی قابلتوجهی داشته باشد. با وجود پیشرفتهای امنیتی، این حملات همچنان موفقیتآمیز هستند. حدود 84 درصد از خدمات مالی که هدف حمله قرار گرفتهاند، حداقل یک نقض امنیتی را تجربه کردهاند. نشت دادهها تنها بر سازمان مورد حمله تأثیر نمیگذارد، بلکه اعتماد به کل بخش مالی را کاهش میدهد. به همین دلیل، الزامات احراز هویت خدمات مالی رو به افزایش است.
صندوق بینالمللی پول هشدار داده که ضعف امنیتی در خدمات مالی تهدیدی برای این صنعت و اقتصاد جهانی است. این تهدیدات میتوانند از کاهش اعتماد عمومی به خدمات مالی گرفته تا بیثباتی گسترده اقتصادی را شامل شوند. بدین دلیل، مقررات امنیت سایبری در جهان طی سالهای اخیر تقویت شدهاند تا وضعیت امنیتی این صنعت را بهبود بخشند. در ادامه، به بررسی مهمترین الزامات احراز هویت اخیر برای خدمات مالی خواهیم پرداخت.
نیویورک – مقررات امنیت سایبری NYDFS بخش ۵۰۰
یکی از مهمترین قوانین امنیت سایبری در امریکا، لایحه امنیت سایبری وزارت خدمات مالی نیویورک (NYDFS) است. این لایحه بهطور رسمی با عنوان ۲۳ NYCRR بخش ۵۰۰ شناخته میشود و در سال ۲۰۱۷ اجرایی شده است. این قانون تمام شرکتهای حوزه بانکداری، بیمه و خدمات مالی (در سراسر ایالات متحده) را تحت تأثیر قرار میدهد. بر اساس این قانون، شرکتها باید سیاستهایی در زمینههای مدیریت دادهها، کنترلهای دسترسی و حریم خصوصی مشتریان را اجرا کنند.
همچنین، این قانون روشهای امنیتی قویتر مانند احراز هویت چندعاملی(MFA) را برای محافظت از اطلاعات، الزامی کرده است. اصلاحات جدیدی در نوامبر ۲۰۲۳ به این قانون اضافه شده است. یکی از موارد، اجبار شرکتها به احراز هویت چندعاملی برای دسترسی از راهدور و حسابهای دارای سطح دسترسی بالا است. همچنین سازمانها باید دسترسی به اطلاعات حساس برای تمام کاربران را مورد بررسی قرار دهند. این کار شامل اسکنهای خودکار سیستمهای اطلاعاتی برای شناسایی آسیبپذیریها خواهد بود.
همچنین، در اصلاحات جدید به سازمانها در خصوص امنیت دسترسی و احراز هویت نیز توصیههایی شده است. سازمانها در این خصوص به هویتهای تایید شده بهصورت رمزنگاری و جلوگیری از حملات فیشینگ، توصیه شدهاند. از این رو باید از احراز هویت چند عاملی بدون رمزعبور (passwordless)، بر اساس استاندارد FIDO استفاده کنند. این فناوریها میتوانند به شرکتها در بهبود انطباق با مقررات سختگیرانه و در حال تحول مانند NYDFS کمک کنند.
ایالات متحده – قانون گرام-لیچ-بلی (GLBA)
قانون گرام-لیچ-بلی (GLBA) دارای قاعدهای خاص در مورد حریم خصوصی اطلاعات مالی مصرفکنندگان است. این قانون به طور مستقیم بر امنیت سایبری خدمات مالی تأثیر میگذارد. اشاره این قانون به اطلاعات شخصی غیرعمومی (NPI) است که یک شرکت هنگام ارائه خدمات مالی جمعآوری میکند. جریمههای عدم انطباق با این قانون میتواند تا ۱۰۰,۰۰۰ دلار برای هر تخلف و حتی پنج سال زندان باشد. از این رو رعایت تمامی موارد آن میبایست در دستور کار تمامی سازمانها در این حوزه قرار گیرد.
بریتانیا – قانون حفاظت از دادهها (Data Protection Act)
پس از خروج بریتانیا از اتحادیه اروپا، DPA بهعنوان قانون حفاظت از دادهها در سال ۲۰۱۸ در بریتانیا تصویب شد. این قانون تقریباً مشابه GDPR اتحادیه اروپا است که البته فقط برای شهروندان بریتانیایی اصلاح شده است. الزامات بسیار مشابهی در مورد امنیت دادهها، رضایت و گزارشدهی و جریمهها برای عدم انطباق در این قانون وجود دارد. سایر موارد این قانون نیز، تشابه فراوانی با GDPR دارند. به نظر میرسد به خاطر کامل بودن GDPR موارد بسیاری بدون تغییر، از آن اقتباس گردد.
جهانی – استاندارد امنیت دادههای صنعت کارت پرداخت (PCI DSS)
استانداردPCI DSS شامل پردازشکنندگان پرداخت از شرکتهای اصلی کارتهای اعتباری است. برای دستیابی به انطباق، برنامههای امنیت سایبری خدمات مالی باید چندین تعهد را برآورده کنند. از جمله میتوان به محافظت از دادههای دارنده کارت، رمزگذاری دادهها و احراز هویت و مدیریت دسترسی اشاره کرد. نقضهای PCI DSS میتواند منجر به جریمهها و محدودیتهایی در استفاده از کارتهای اعتباری اصلی شود. نسخه جدید PCI DSS 4.0 الزامات احراز هویت قویتری را بهویژه برای رمزعبور و احراز هویت چندعاملی وضع کرده است.
رمزهای عبور اکنون مشخصات سختگیرانهتری دارند (برای مثال، باید هر ۹۰ روز یکبار بازنشانی شوند). الزامات MFA نیز از دسترسی مدیران به محیط دادههای دارنده کارت فراتر رفته و به تمام اجزای سیستم رسیده است. از جمله ابر، سیستمهای میزبانیشده، برنامههای محلی، دستگاههای امنیتی شبکه، ایستگاههای کاری، سرورها و نقاط انتهایی گسترش یافته است. برای انطباق با نسخه جدید، روشهای خودکار و تأیید هویت امن برای بازنشانی اعتبارنامهها و عوامل احراز هویت توصیه شود. این استاندارد نیاز به تأیید هویت کاربر قبل از تغییر احراز هویت دارد تا از حملات فرآیند بازنشانی جلوگیری کند.
سنگاپور – دستورالعملهای بهداشت سایبری از سوی اداره پولی سنگاپور (MAS)
اداره پولی سنگاپور (MAS) بر مؤسسات مالی در بخشهای بانکداری، بازارهای سرمایه، بیمه و پرداختهای الکترونیک نظارت میکند. MAS مجموعهای از دستورالعملهای بهداشت سایبری را برای سازمانها در دستههای یاد شده صادر کرده است. این دستورالعملها شامل مجموعهای از الزامات قانونی است که مؤسسات مالی باید برای کاهش تهدیدات سایبری رعایت کنند. این دستورالعملها که شامل شش حوزه کلیدی در فضای امنیت سایبری میشوند، موارد زیر را در بر میگیرند:
- ایمنسازی دسترسی به حسابهای مدیریتی
- وصله کردن منظم آسیبپذیریها
- تدوین منظم استانداردها و راهنماهای امنیتی و تست آنها
- سیستمهای دفاع در برابر حریم خصوصی
- محافظت در برابر بدافزارها
- احراز هویت چندعاملی برای هر سیستمی که برای دسترسی به اطلاعات حساس استفاده میشود
ایالات متحده – قانون ساربنز-آکسلی (SOX)
قانون ساربنز-آکسلی در ابتدا برای ثبت افشاگریهای نیازمند ارائه توسط شرکتها به سرمایهگذاران و تعیین مجازاتهای نقض قوانین ایجاد شد. این قانون به مدیران در صورت نقض تا ۱ میلیون دلار جریمه و ۱۰ سال زندان تحمیل خواهد نمود. از آن زمان، این قانون برای در نظر گرفتن مسائل امنیت سایبری به روزرسانی شده است. اکنون، تمام شرکتها موظف به اعلام انطباق با بهروشهای امنیتی در زمینههایی مانند احراز هویت و امنیت دادهها هستند. برای اطمینان از اثبات هویت ایمن کارکنان، احراز هویت قوی بیومتریک و تجهیز به KYE باید در سازمانها اجرا شود.
اتحادیه اروپا – دستورالعمل خدمات پرداخت ۲ یا همان PSD2
الزام PSD2 برای تسهیل ادغام و اشتراک دادهها توسط شرکتهای خدمات مالی و ایمنتر کردن سیستمهای پرداخت معرفی شد. علاوه بر این، این قانون استانداردهای فنی خاصی را برای احراز هویت قوی مشتری (SCA) تعیین کرده است. این اقدامات شامل تمام شرکتهایی است که به مصرفکنندگان در اتحادیه اروپا خدمات ارائه میدهند. همچنین هر پرداختی که در اتحادیه اروپا آغاز، در آن عبور یا به پایان میرسد را نیز در برمیگیرد. این امر الزامات روشنی را برای امنیت سایبری خدمات مالی وضع میکند، حتی برای شرکتهای خارج از اتحادیه اروپا.
نسخه بهروزشدهای از این چارچوب، یعنی PSD3، در حال بررسی است. PSD3 تغییرات مهمی برای بانکها و ارائهدهندگان خدمات پرداخت غیربانکی (PSP) و همچنین مصرفکنندگان به ارمغان خواهد آورد. این تغییرات شامل قوانین جدید احراز هویت قوی مشتری (SCA) است. قوانینی که دسترسی به دادهها، حفاظت از پرداختها و احراز هویت کاربران را امنتر خواهد کرد. انتظار میرود نسخه نهایی آن در پایان سال ۲۰۲۴ منتشر و در سال ۲۰۲۶ اجرایی شود.
ایالات متحده – استانداردهای FFIEC
کمیته ارزیابی مؤسسات مالی فدرال (FFIEC) نهاد تعیینکننده استانداردها برای تمام مؤسسات این حوزه است. بهروشهای امنیت سایبری FFIEC شامل راهنماییهایی در خصوص احراز هویت مؤثر و مدیریت ریسک دسترسی است. استانداردهای احراز هویت FFIEC بهشدت بر احراز هویت چندعاملی بهعنوان کنترلی حیاتی برای جلوگیری از نقض دادهها تأکید دارند. این استانداردها کاملا مشابه با الزامات احراز هویت مشتری قوی (SCA) در PSD2هستند. این اسناد به استانداردهای NIST مانندSP 1800-17 و SP 800-63B اشاره دارند که راهنماییهای پیادهسازی MFA بدون رمزعبور FIDO هستند.
اتحادیه اروپا – دستورالعمل NIS2
NIS2 یا دستورالعمل امنیت شبکه و اطلاعات ۲ یک مقررات بهروز شده از اتحادیه اروپا است. این دستورالعمل برای تقویت امنیت سایبری در صنایع مختلف طراحی شده است. NIS2 با گسترش دامنه و وضع قوانین سختتر در مورد شیوههای امنیتی و گزارشدهی حوادث، مجازاتهای سنگینتری وضع نموده است. بر اساس NIS2، بخشهای انرژی، مالی، حمل و نقل و بهداشت، باید پروتکلهای امنیت سایبری قوی را پیادهسازی کنند. این پروتکلها شامل مدیریت ریسک، احراز هویت و دسترسی قوی و استانداردهای دقیق گزارشدهی حوادث میشود. این دستورالعمل همچنین استفاده از احراز هویت چندعاملی و احراز هویت پیوسته را اجباری نموده است.
ایالات متحده – چارچوب امنیت سایبری NIST نسخه ۲.۰
چارچوب امنیت سایبری NIST (CSF) راهنمای کسبوکارها برای مدیریت ریسکهای امنیت سایبری است. نسخه جدید آن، CSF 2.0، بر تکامل فناوری برای مهاجرت به فضای ابری وSaaS متمرکز است. این کار با افزودن مفهوم حاکمیت برای تصمیمگیری بهتر در مورد امنیت سایبری انجام شده است. این چارچوب بهویژه برای سازمانهای مالی وابسته بهSaaS و راهحلهای ابری اهمیت زیادی دارد. اینگونه سازمانها، غالبا دارای حجم زیادی از دادههای حساس هستند که باید از نشت داده و حملات سایبری محافظت شوند. در این چارچوب، برای تأیید هویت پیوسته کاربران، احراز هویت تطبیقی توصیه شده تا امنیت در طول نشست تضمین شود.
کالیفرنیا – قانون حریم خصوصی مصرفکنندگان کالیفرنیا (CCPA)
قانون CCPA مخفف California Consumer Privacy Act است. این قانون با هدف حفاظت از حقوق حریم خصوصی و حمایت از مصرفکنندگان در کالیفرنیا معرفی شده است. در واقع در ایالت کالیفرنیا، تلاش شده است تا از حقوق افراد و مصرفکنندگان در برای تهدیدات سایبری حفاظت شود. این قانون بر هر شرکتی با شرایط زیر که با مصرفکنندگان کالیفرنیایی تعامل داشته باشد تأثیر گذار خواهد بود. جریمهها میتوانند تا ۲,۵۰۰ دلار برای تخلفات غیرعمدی و ۷,۵۰۰ دلار برای تخلفات عمدی افزایش یابد. در صورت نشت دادهها این جریمهها به ازای هر رکورد دزدیدهشده ضرب خواهند شد.
- درآمد ناخالص بیش از ۲۵ میلیون دلار
- خرید، فروش یا دریافت دادههای شخصی ۵۰,۰۰۰ مصرفکننده
- کسب بیش از نصف درآمد خود از فروش اطلاعات شخصی مصرفکنندگان
اتحادیه اروپا – قانون حفاظت از دادهها (GDPR)
تمام شرکتهایی که دادههای شهروندان اتحادیه اروپا را پردازش میکنند تحت تأثیرGDPR قرار دارند. این قانون نحوه استفاده و محافظت از دادهها و نحوه دریافت رضایت برای جمعآوری آنها را تعیین میکند. علاوه بر استفاده از دادهها، گزارشدهی بهموقع نقضها نیز در صورتی تاثیرگذاری بر شهروندان اروپا، الزامی است. برای امنیت سایبری خدمات مالی، رعایت GDPR ضروری است. عدم رعایت آن میتواند منجر به جریمههای ۲۰ میلیون یورویی یا ۴٪ از درآمد جهانی شرکتها شود. بزرگترین جریمه این قانون تاکنون برای آمازون با مبلغ ۸۸۸ میلیون دلار اعمال شده است.
طرح امنسازی زیرساختهای حیاتی افتا
طرح امنسازی از سوی مرکز راهبردی افتای ریاست جمهوری به سازمانهای دارای زیرساخت حیاتی ابلاغ شده است. این طرح فرآیندی متشکل از هفت گام را برای انجام امور مرتبط با امنسازی زیرساختهای حیاتی پیشنهاد میدهد. این فرآیند با تشکیل کمیته اجرای طرح آغاز و با ایجاد پروفایل و تعیین سطح بلوغ امنیتی موجود ادامه مییابد. سپس، تعیین سطح بلوغ مطلوب، تدوین برنامه عملیاتی، تایید آن توسط افتا، پیادهسازی آن و نهایتا ممیزی آن قرار دارد.
نکته مهم در این طرح، وجود یک دامنه کامل برای احراز هویت و مدیریت دسترسی است. در این دامنه، دستهای از فعالیتهای کنترل دسترسی وجود دارد که شامل الزامات این حوزه است. یکی از موارد مهم در این دسته، اشاره به احراز هویت چندعاملی برای دسترسیهای ویژه است. در واقع مرکز افتا، برای دسترسیهای ویژه، شیوههای معمول و سنتی را قابل قبول نمیداند. لذا برای اطمینان از رعایت الزامات احراز هویت خدمات مالی، باید از شیوههای جدید، همچون ورود بدون رمزعبور استفاده شود.
الزامات مرکز داده سازمان پدافند غیرعامل
سازمان پدافند غیرعامل، برای مراکز داده در سطح کشور، الزامات خاصی را تدوین و بروزرسانی مینماید. این الزام بر ساخت مراکز داده جدید و یا امنسازی موارد کنونی اعمال میگردد. از نکات مهم این الزام، اشاره به احراز هویت چندعاملی برای دسترسی به تجهیزات مهم شبکه در مرکز داده است. در نتیجه دسترسی به مواردی همچون روترها، سرورهای مانیتورینگ و بسیاری دیگر از تجهیزات، نیازمند شیوههای احراز هویت چندعاملی است. رعایت الزامات احراز هویت خدمات مالی پدافند نیز به دلیل قرار گرفتن در دسته زیرساختهای حیاتی، اجباری میباشد.
دستیابی به الزامات احراز هویت خدمات مالی با راهکار نشانه
وقتی کسبوکارها در رعایت الزامات احراز هویت خدمات مالی کوتاهی میکنند، با جریمههای مالی و افزایش نظارت مواجه میشوند. نکته مهمتر آن است، که عدم رعایت این موارد، خطر وقوع حوادث امنیت سایبری را بالاتر میبرد. علاوه بر اختلالات عملیاتی و کاهش درآمد، حوادث سایبری ممکن است ماهها یا حتی سالها تبعات به همراه داشته باشند. از این رو رعایت این الزامات، میتواند کمک بزرگی در دستیابی به ثبات برای سازمانها باشد.
خدمات مالی همواره در معرض خطر بالای حملات سایبری هستند. برای مقابله با این تهدیدات، الزاماتی معرفی شدهاند تا اطمینان حاصل کنند که بهروشها در این صنعت بکار گرفته میشوند. یکی از نکات مشترک در بسیاری از این الزامات، استفاده از شیوههای احراز هویت قوی است. راهکار نشانه با ارائه احراز هویت بدون رمزعبور، پاسخی برای ایمنسازی سازمانهای مالی در این حوزه است. این محصول که در شرکت رهسا (رهآورد سامانههای امن) تولید شده، تجربه کاربری را نیز بسیار بهبود میبخشد. برای کسب اطلاعات بیشتر در این خصوص، با همکاران ما در تیم نشانه در تماس باشید.
اطلاعات بیشتر در خصوص احراز هویت چند عاملی و شیوههای نوین آن را در مقاله احراز هویت چند عاملی MFA: مزایا، معایب، آینده مطالعه کنید.