Search
Menu

تهدید سه‌گانه در کمین صنعت مالی: هوش مصنوعی، میراث گذشته و انقلاب کوانتومی

تحلیل استراتژیک از مدیران امنیت سایبری

مباحث اخیر در نشست‌های تخصصی مدیران ارشد، زنگ خطری جدی را برای رهبران صنعت بانکداری و مالی به صدا درآورد. در میزگردی با حضور مدیران ارشد امنیت اطلاعات (CISO) نهادهایی چون سازمان خدمات مالی دبی، بانک ملی بحرین، Rochester and Go Bank و سایر شرکت‌های پیشرو فناوری، سه چالش اصلی به‌عنوان حیاتی‌ترین خطرات پیش روی مؤسسات مالی شناسایی شد: تسلط کلاهبرداری‌های هوش مصنوعی، ضرورت مدرن‌سازی زیرساخت‌های قدیمی، و آمادگی در برابر ریسک کوانتومی.

ما در تیم CERT امن پردازان کویر، خلاصه‌ای تحلیلی از استراتژی‌های مطرح شده برای مقابله با این تهدیدات سه‌گانه را به جامعه امنیت سایبری و مالی ارائه می‌دهیم.

۱. هوش مصنوعی؛ سلاح دوسویه کلاهبرداری‌های پیشرفته

آمارها نشان می‌دهد که سوءاستفاده‌های مبتنی بر هوش مصنوعی (AI) به یک ریسک اصلی و چندوجهی برای بخش مالی تبدیل شده است، به‌طوری‌که هم قابلیت‌های دفاعی را تقویت می‌کند و هم سطح حملات متخلفان را به‌طور چشمگیری ارتقا می‌دهد.

ارتقاء ماهیت حملات:

  • تولید هویت‌های مصنوعی و فیشینگ هدفمند: مهم‌ترین خطر هوش مصنوعی، افزایش قابلیت مهاجمان در تولید دیپ‌فیک‌ها (Deepfakes) و هویت‌های مصنوعی (Synthetic Identities) است. علاوه بر این، حملات فیشینگ با استفاده از هوش مصنوعی بسیار پیچیده‌تر، آگاه به زمینه (Context-Aware) و سریع‌تر شده‌اند.
  • سوءاستفاده از اعتماد عمومی: از منظر نظارتی، کلاهبرداری‌های پیش‌پرداخت (Advanced Fee Scams) که در آن مهاجمان خود را به‌عنوان کارکنان نهادهای رسمی جا می‌زنند، به‌شدت افزایش یافته است.
  • ریسک‌های درونی مدل‌ها: خود مدل‌های هوش مصنوعی نیز ریسک‌هایی مانند سوگیری (Bias)، توهم (Hallucination) و تولید اطلاعات نادرست را به همراه دارند که باید مدیریت شوند.

استراتژی‌های دفاعی هوشمند:

  • تمرکز بر احراز هویت قوی: مؤسسات مالی باید به طور فزاینده‌ای از سیستم‌های احراز هویت ضعیف مانند OTP پیامکی فاصله بگیرند و بر سرمایه‌گذاری در احراز هویت قوی‌تر، مبتنی بر اپلیکیشن، و احراز هویت با شناسه و ویدیو متمرکز شوند.
  • افزودن هوش مصنوعی هوشمندتر به دفاع: دفاع نباید صرفاً بر عهده فناوری باشد؛ بهترین استراتژی، استفاده از هوش مصنوعی هوشمندتر برای تشخیص ناهنجاری‌ها و تحلیل رفتار است.
  • تقویت عامل انسانی: فناوری می‌تواند کلاهبرداری‌های تولید شده توسط هوش مصنوعی را شناسایی کند، اما انسان‌ها باید آن حملات را متوقف کنند. بنابراین، آگاهی‌رسانی و آموزش مستمر به کارکنان برای شناسایی فیشینگ‌های پیچیده، یک اولویت حیاتی است. همچنین، کنترل‌های سیستم باید به‌گونه‌ای طراحی شوند که حتی در صورت فاش شدن اطلاعات توسط مشتری، تاب‌آوری حفظ شود.

۲. مدیریت زیرساخت‌های قدیمی؛ گذار لایه‌ای به آینده

سیستم‌های قدیمی (Legacy) همچنان ستون فقرات عملیات بانکداری هستند. چالش اصلی این است که نمی‌توان این سیستم‌ها را یک شبه کنار گذاشت، اما حفظ آن‌ها بدون به‌روزرسانی مداوم، یک ریسک امنیتی عظیم است.

راهکارهای مدرن‌سازی لایه‌ای:

  • محصور کردن و ریزبخش‌بندی: استراتژی مؤثر برای محافظت از سیستم‌های پرداخت و هسته بانکی، مدرن‌سازی لایه‌ای (Layered Modernization) است. این امر با محصور کردن سیستم‌های قدیمی توسط دروازه‌های API، پیاده‌سازی راه‌حل‌های قوی مدیریت هویت و دسترسی (IM)، و حفظ ریزبخش‌بندی (Micro Segmentation) حاصل می‌شود. هدف، کاهش ریسک سیستم قدیمی در حین ساختن یک معماری آماده برای آینده است.
  • استفاده از وصله‌سازی مجازی: در کوتاه‌مدت، تا زمان ارتقای کامل، سازمان‌ها می‌توانند از فناوری‌هایی مانند وصله‌سازی مجازی (Virtual Patching) استفاده کنند. این تکنیک مانند یک لایه یا “پرده” امنیتی عمل می‌کند که نقاط ضعف سیستم را در برابر اسکن‌های خارجی پنهان می‌کند.
  • فرآیند تدریجی جایگزینی: حذف و از رده خارج کردن سیستم‌های قدیمی باید به‌صورت تدریجی و با همکاری تنگاتنگ تیم‌های عملیاتی و کسب‌وکار انجام شود تا از اختلال جلوگیری شود.

چگونه مدیر مالی را متقاعد کنیم؟

متقاعدسازی مدیریت و هیئت مدیره نیازمند زبان مشترک است: زبان کسب‌وکار. برای تخصیص بودجه به رسیدگی به سیستم‌های قدیمی، لازم است:

  • ریسک را کمی‌سازی کنید: ریسک را با اصطلاحات فنی مطرح نکنید، بلکه آن را بر حسب تأثیر تجاری و مقدار دلاری کمی‌سازی کنید (مثلاً: محاسبه درآمد از دست رفته روزانه در صورت از کار افتادن سیستم‌های حیاتی یا دستگاه‌های خودپرداز).
  • تمرکز بر مجوز عملیاتی: نشان دهید که عدم رسیدگی به زیرساخت قدیمی، چگونه بر مجوز عملیاتی تأثیر می‌گذارد، شما را از ادامه کسب‌وکار باز می‌دارد و آسیب شهرت غیرقابل جبرانی وارد می‌کند.

۳. آمادگی برای عصر کوانتوم؛ جمع‌آوری کن و بعداً رمزگشایی کن

محاسبات کوانتومی واقعیتی است که تهدیدی وجودی برای رمزنگاری فعلی ایجاد می‌کند. ریسک فوری برای بخش مالی، مفهوم “اکنون جمع‌آوری کن و بعداً رمزگشایی کن” (Harvest Now and Decrypt Later) است؛ مهاجمان امروز داده‌های رمزنگاری شده حساس را سرقت می‌کنند تا در آینده با کامپیوترهای کوانتومی آن‌ها را رمزگشایی کنند.

نقشه‌های راه دفاعی:

  • اولویت‌بندی محافظت از نشت داده: از آنجا که داده‌ها در معرض سرقت هستند، تمرکز اصلی باید بر محافظت در برابر نشت داده (Data Leakage) و همچنین پیاده‌سازی مکانیزم‌هایی مانند پشتیبان‌گیری تغییرناپذیر (Immutable Backup) در برابر باج‌افزار باشد.
  • انتقال تدریجی به رمزنگاری پسا کوانتومی (PQC): آمادگی برای عصر کوانتوم ایجاب می‌کند که مهاجرت به رمزنگاری پسا کوانتومی (PQC) از همین امروز آغاز شود. این فناوری در حال حاضر برای داده‌های در حال انتقال (in transit) در پروتکل‌هایی مانند TLS 1.3 در دسترس است و باید با جدیت پیگیری شود. ارائه‌دهندگان پایگاه داده نیز به زودی PQC را برای داده‌های در حالت سکون (data at rest) منتشر خواهند کرد.
  • چابکی رمزنگاری (Crypto Agility): سازمان‌ها باید یک موجودی کامل و قابل اعتماد از تمام کلیدها و الگوریتم‌های رمزنگاری خود داشته باشند. این قابلیت مشاهده، توانایی آن‌ها را برای آزمایش و تعویض سریع الگوریتم‌های رمزنگاری در صورت شکست رمزنگاری فعلی (چابکی رمزنگاری) افزایش می‌دهد.
  • همکاری نظارتی: نهادهای رگولاتوری نیز در حال همکاری با یکدیگر در سطح جهانی هستند تا اصول و راهنمایی‌های لازم را برای کمک به شرکت‌ها در مدیریت ریسک کوانتومی ارائه دهند.

جمع‌بندی و نتیجه‌گیری: فراتر از خط پایه

مباحث تخصصی تأکید می‌کند که در نبرد امنیت سایبری، مقررات فقط حداقل خط پایه هستند و سازمان‌ها نباید منفعلانه منتظر وضع قوانین جدید بمانند. امنیت در عصر تحول (AI، Legacy و Quantum) یک وظیفه فعال است.

استراتژی ما در تیم CERT امن پردازان کویر، بر این باور است که تضمین امنیت آینده بانکداری نیازمند یک رویکرد جامع، مبتنی بر ریسک و چابک است:

  • اقدام فوری: ارتقاء زیرساخت‌های قدیمی و آغاز پایلوت‌های PQC بدون تأخیر.
  • کمی‌سازی ریسک: تبدیل دغدغه‌های امنیتی به زبان مالی برای جلب حمایت مدیریت.
  • قدرت‌بخشی به انسان: سرمایه‌گذاری در آگاهی‌رسانی به‌عنوان قوی‌ترین خط دفاعی در برابر حملات پیچیده هوش مصنوعی.

همانطور که در این نشست‌ها تأکید شد: اگر سیستمی کار می‌کند، کسی خواهد آمد و آن را لمس کرده و خراب خواهد کرد. وظیفه ما این است که خانه خود را قبل از اینکه دیگری آن را تخریب کند، قوی‌تر سازیم.

آینده امنیت، همین امروز در حال ساخت است.

 

 

Start typing to see posts you are looking for.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.