عندما تصبح إحدى شركات التكنولوجيا المالية هدفًا لهجوم إلكتروني، فهناك أكثر من مجرد موارد مالية على المحك. سيؤدي الهجوم الناجح إلى إتلاف علاقات الشركة مع عملائها بشكل لا رجعة فيه، وتقويض الثقة، وكسر الامتثال لمعايير الأمان. لذلك، يعد الحفاظ على معايير عالية للأمن السيبراني أمرًا بالغ الأهمية لأي مشارك في سوق التكنولوجيا المالية.
في هذه المقالة، سنلقي نظرة على تهديدات الأمن السيبراني الرئيسية التي تهدد شركات التكنولوجيا المالية، وأهم اللوائح والسياسات التي يجب الالتزام بها، وننظر في بعض الممارسات لتطبيق البرامج المصرفية المخصصة لتعزيز مستويات أمان الشركة.
أولاً، دعونا نلقي نظرة على اللوائح والسياسات القانونية التي تحدد شكل سياق الأمن السيبراني الحديث للتكنولوجيا المالية.
سياسات ولوائح Fintech
في حين أن هناك ممارسات شائعة في تشريعات التكنولوجيا المالية العالمية، إلا أن اللوائح الدقيقة التي يجب على الشركة الالتزام بها لا تزال تعتمد بشكل كبير على بلد منشأ الشركة. دعونا نركز على اللوائح الأكثر انتشارًا والتي يُرجح استخدامها للامتثال.
إيداس
تستخدم هذه اللائحة في دول الاتحاد الأوروبي. eIDAS تعني “خدمات التعريف الإلكتروني والثقة”. الهدف الرئيسي من هذه اللائحة هو المساعدة في حل التعقيدات في المجال القانوني التي تنشأ أثناء عبور الحدود الإلكترونية لجميع أنواع المؤسسات المالية والمستخدمين الخاصين.
اللائحة العامة لحماية البيانات
بينما تعتبر اللائحة العامة لحماية البيانات (GDPR) مجموعة أخرى من اللوائح الأوروبية، إلا أنها تُستخدم على نطاق واسع في جميع أنحاء العالم: أي تعاون مالي مع الشركات الأوروبية أو المستخدمين النهائيين يتطلب الامتثال لها. يختصر القانون العام لحماية البيانات (GDPR)، ويغطي المدفوعات الإلكترونية ويوفر مستوى إضافيًا من أمان البيانات والأداء في الخدمات المصرفية.
هناك بعض التداخلات الملحوظة بين اللائحة العامة لحماية البيانات وتوجيه مقدمي خدمات الدفع 2 (أو PSD2)، وقد تنشأ بعض المشكلات التشريعية إذا كان نشاطك يخضع للامتثال لكليهما، كما هو مذكور في بحث أجرته شركة Deloitte.
PSD2
هذه المجموعة من اللوائح عبارة عن تكرار مُجدد للتوجيه الأصلي لمقدمي خدمات الدفع (تم إنشاؤه في عام 2007) ويهدف بشكل رئيسي إلى تعزيز المنافسة في عالم المدفوعات الإلكترونية والتشجيع على إنشاء وسائل دفع إلكترونية جديدة.
FCA
في المملكة المتحدة، يتم تنظيم الأنشطة المالية من قبل FCA أو هيئة السلوك المالي. الهدف الرئيسي لـ FCA هو حماية المستخدم النهائي وتعزيز المستوى العام لسلامة السوق. إذا كنت ترغب في بدء مشروع fintech في المملكة المتحدة، فستحتاج إلى التسجيل لدى FCA أيضًا.
GPG13
ممارسة لوائح وقوانين أكثر صرامة إلى حد ما، ينظم GPG13 أو دليل الممارسات الجيدة أنشطة تلك المؤسسات المالية التي تتعاون مع حكومة المملكة المتحدة. بطبيعة الحال، تترك العلاقات مع شؤون الدولة بصماتها على GPG13، ونتيجة لذلك، فإنها تتضمن لوائح مفصلة للغاية وثقيلة تهدف إلى الأمن السيبراني ومنع التدخلات.
APPI
إذا كنت ترغب في التعاون مع المؤسسات المالية اليابانية (من الخارج أيضًا)، فأنت بحاجة إلى التأكد من أن أنشطتك تتوافق مع قانون حماية المعلومات الشخصية أو APPI. تتناول هذه المجموعة من اللوائح حماية المعلومات الخاصة للمقيمين اليابانيين.
PIPA
نظرًا لعلاقاتها المعقدة مع أقرب جيرانها، فإن كوريا الجنوبية لديها بعض أكثر قوانين التنظيم قسوة في العالم. يمكن أن يتسبب قانون حماية المعلومات الشخصية (PIPA) أو قانون حماية المعلومات الشخصية ليس فقط في مسؤولية إدارية ولكن أيضًا مسؤولية جنائية في حالة انتهاكه.
PCI DSS
أينما توجد شركة fintech، إذا كانت تتعامل مع بطاقات الائتمان، فسيتطلب ذلك الامتثال لمعايير أمان بيانات صناعة بطاقات الدفع أو PCI DSS. على وجه الخصوص، إذا أرادت شركة ما تقديم خدمات للحصول على Visa أو MasterCard، فإن التحقق من صحة PCI DSS إلزامي. تتميز مجموعة اللوائح هذه بالمرونة إلى حد ما، حيث توفر أربعة مستويات من المعايير اعتمادًا على عدد المعاملات التي تجريها الشركة سنويًا.
ISO / IEC 27001
مجموعة من السياسات المستخدمة في التكنولوجيا المالية لضمان حماية البيانات. تساعد ISO / IEC 27001 مؤسسات التكنولوجيا المالية على حماية المعلومات المستخدمة في تقديم خدماتها، والتي تغطي التحكم في الوصول والتشفير والعديد من الجوانب الأخرى.
لم يتم إنشاء كل هذه اللوائح فقط من أجل البيروقراطية: قطاع التكنولوجيا المالية مليء بتهديدات الأمن السيبراني.
أهم التهديدات لقطاع التكنولوجيا المالية
تجذب صناعة التكنولوجيا المالية الكثير من الأموال، أكثر مع مرور كل عام. يجعل هذا القطاع هدفًا طبيعيًا لجميع أنواع المجرمين الإلكترونيين والمجرمين، في محاولة للحصول على بيانات قيمة، أو إجراء معاملات غير مصرح بها، وسرقة الأموال بشكل فعال من المشاركين في التكنولوجيا المالية. وفقًا لتقرير شركة IBM ، فإن مقدمي الخدمات المالية هم من أكثر المنظمات المستهدفة من قبل المجرمين.
نظرًا لكون الأمن السيبراني أمرًا معقدًا للغاية، فإن احتمال حدوث أخطاء مرتفع، مما يخلق المزيد من الفرص للمجرمين. فيما يلي بعض أبرز مشكلات الأمان في مجال التكنولوجيا المالية:
- البرمجيات الخبيثة
- هوية زائفة تصيد احتيالي
- تسرب بيانات التطبيق
- غسيل أموال
- سرقة الهوية
يتزايد عدد المخالفات المحتملة بالتوازي مع زيادة خدمات وحلول التكنولوجيا المالية. للتعامل مع هذا التهديد المستمر في مجال التكنولوجيا المالية، يستخدم المشاركون في الصناعة عددًا كبيرًا من حلول الأمن المالي.
حلول الأمن السيبراني في التكنولوجيا المالية
يجب على أي شركة تقنية مالية تهتم بسمعتها وعلاقاتها مع العملاء أن تستثمر موارد جادة في الحماية الإلكترونية. هناك العديد من الممارسات الفعالة التي تُستخدم غالبًا لبناء حل جيد للأمن السيبراني للتكنولوجيا المالية:
تشفير البيانات
يضمن التشفير مستوى رائعًا من الحماية للمعلومات الرقمية. يتم إجراؤها باستخدام خوارزميات مختلفة، مثل 3DES أو RSA، ويمكن أن توفر مزيدًا من الحماية من خلال إنشاء خزانات رمزية وترميز البيانات.
الوصول المتحكم فيه إلى المعلومات
يجب تنظيم الوصول إلى المعلومات بشكل صارم، مع وجود عدد قليل فقط من المستخدمين المعينين الذين يمكنهم الوصول إلى المعلومات الحساسة في أي وقت. علاوة على ذلك، يجب أن يتضمن الحل وسائل مراقبة جميع التفاعلات مع قواعد بيانات المعلومات.
طرق المصادقة المحسنة
بالطبع، تعد كلمات المرور القوية إلزامية لأي مؤسسة تقنية مالية، لكنها ليست كافية. إذا كنت ترغب في ضمان أعلى مستوى من الأمان، فستحتاج إلى استخدام تقنيات المصادقة المتقدمة، مثل كلمات المرور لمرة واحدة والجلسات القصيرة والمصادقة التكيفية.
DevSecOps
لا يمكن أن تكون شركة fintech آمنة تمامًا من التهديدات الإلكترونية، وبالتالي فإن الحل الأمني الذي يعمل على إصلاح جميع المشكلات المحتملة مرة واحدة وإلى الأبد أمر مستحيل. الأمان هو عملية وعي مستمر، ذات صلة طوال دورة حياة المنتج بأكملها. للحفاظ على هذه العملية، يمكن للشركة استخدام أساليب DevSecOps، مما يؤدي إلى زيادة الأمان بشكل كبير في جميع المراحل.
DaaS
تُعد Desktops-as-a-Service، أو DaaS، أحد الأنواع الرئيسية للخدمات السحابية التي تساعد الشركات حقًا على تعظيم الأمن السيبراني كجزء من جهود التحول الرقمي. يوفر DaaS بشكل آمن تطبيقات وأجهزة سطح مكتب افتراضية لأي أداة أو موقع. يجعل حل DaaS من السهل التحكم في أجهزة سطح المكتب وتأمينها في أي مكان.
بعض الأفكار النهائية حول هذه المسألة
مع النمو المستمر لسوق fintech، من المرجح أن تستمر التقنيات الجديدة وحلول أمان تطبيقات fintech في الظهور بمعدل متزايد. من المؤكد أن تهديدات الأمن السيبراني ستتبع ذلك، مما يخلق عرضًا لا يتضاءل أبدًا من المشاكل للمشاركين في الصناعة. من المهم أن تظل على دراية مستمرة بهذه التهديدات من أجل النجاح في السوق المتنامي.
