سیستم‌های بانکی و معاملات مالی ایران و جهان

سیستم‌های معاملات مالی و بانکی از دوره رنساس تا عصر دیجیتال و هوش مصنوعی

نیما نبوی؛ مدرس دوره‌‌های حسابرسی فن‌آوری اطلاعات‌، مدیریت ریسک‌، تداوم کسب وکار و مدیریت امنیت اطلاعات موسسه علوم آموزش بانکداری ایران و عضو انجمن حسابرسی فن‌آوری اطلاعات ( کارگروه بانکداری)، کارشناسی ارشد کسب و کار شاخه استراتژی – کارشناسی کامپیوتر سخت‌افزار- سرممیز سیستم‌های مدیریت امنیت اطلاعات و تداوم کسب‌و‌کار

ریشه کلمه بانک از واژه ایتالیایی« banca  » یا واژه لاتین«  banque  » گرفته  شده است که به معنای نیمکت یا میز است. این واژه به سیستم معاملات مالی در ایتالیا در دوره رنسانس برمی‌گردد، زمانی که صرافان و تجار روی نیمکت‌های چوبی در بازارها می‌نشستند و معاملات مالی، تبدیل ارزها و وام‌دهی را انجام می‌دادند.پیشینه عملیات بانکداری در قرون وسطی و دوره رنسانس در ایتالیا شکل گرفت که  صرافان و تجار در میدان‌های عمومی روی نیمکت‌ها (banca) فعالیت می‌کردند. اگر صراف ورشکست می‌شد یا توانایی پرداخت بدهی‌هایش را نداشت، نیمکت او را می‌شکستند که به اصطلاح «banca rotta  »یا «شکست نیمکت“» گفته می شد که همین واژه   منشأ واژه ورشکستگی یا « bankruptcy  » در انگلیسی است.
واژه «بانک »  مستقیماً از زبان‌های اروپایی وارد فارسی شده و معادل دقیقی در زبان‌های قدیمی‌تر ایرانی ندارد، زیرا مفهوم بانک به‌عنوان یک نهاد مالی مدرن در تاریخ متأخر وارد ایران شد.اولین بانک در جهان به نام بانکو دی سان جورجو« Banco di San Giorgio  » در سال ۱۴۰۷ میلادی در شهر جنوا، ایتالیا تأسیس شد. این بانک به‌عنوان یکی از قدیمی‌ترین مؤسسات مالی سازمان‌یافته در تاریخ شناخته می‌شود و نقش مهمی در تجارت و تأمین مالی مناطق مختلف ایفا کرد.اگرچه موسسات مالی غیررسمی پیش از آن نیز وجود داشتند، اما بانک دی سان جورجو اولین بانک رسمی بود که به صورت سازمان‌یافته فعالیت می‌کرد. بعدها بانک ها بعنوان ابزار اصلی توسعه سرمایه داری به کاررفتند بطوری که بسیاری بازارهای سرمایه جهان بانک محور هستند.  وظیفه اصلی بانکها جمع آوری وجوه پس اندازی مردم در قالب انواع سپرده های بانکی و بکارگیری این وجوه در تامین مالی سرمایه گذاری بشکل اعطای تسهیلات می باشد . جون عمده منابع بانکها را سپرده های مردم تشکیل میدهند و این وجوه در واقع امانی هستد دولت ها برای حفاظت از سپرده های مردم الزامات ومقررات خاصی را برای نظارت بر بانکها برای جلوگیری از ورشکستگی و زیان دهی آنها بکار می برند که همه بانکهای جهان برای سلامت مالی مکلفند این مقررات را رعایت کنند . علیرغم این الزامات برخی تقلبات یا ورشکستگی های معروف در شبکه بانکی جهان رخ داده که بعضا منجربه بحران های بین المللی هم شده اند.

نمایه زیر برخی ورشکستگی‌های بانکی سال‌های ۲۰۰۰ به بعد را نمایش داده است:

این رویدادها نمونه‌هایی از چالش‌های اخلاقی در صنعت بانکداری هستند که تاثیرات گسترده‌ای بر اقتصاد و اعتماد عمومی داشته و به‌عنوان درس‌های مهمی در سیستم‌های مالی و بانکی شناخته شده که  نقش مقررات و نظارت مؤثر در جلوگیری از تقلب و سقوط مالی را برجسته کردند. در همین رابطه  به منظور مقابله با ریسک های فن آوری وتقلبات تا کنون سرمایه‌گذاری جهانی در فناوری‌های هوش مصنوعی در تمامی صنایع، از جمله بانکداری، در سال ۲۰۲۳ به ۱۵۴ میلیارد دلار رسید و پیش‌بینی می‌شود تا سال ۲۰۲۷ به ۳۰۰ میلیارد دلار افزایش یابد که در این میان بانک  JPMorgan Chase طی سال‌های اخیر حدود ۱۴ میلیارد دلار در فناوری‌های دیجیتال، شامل هوش مصنوعی، سرمایه‌گذاری کرده و همجنین سافت‌بانک قصد دارد با سرمایه‌گذاری ۱۰۰ میلیارد دلاری، زیرساخت‌های هوش مصنوعی در ایالات متحده را توسعه دهد و ۱۰۰ هزار شغل جدید ایجاد کند.  در این میان در صنعت بانکداری جهانی، نرم‌افزارهای نظارتی متعددی برای اطمینان از امنیت، انطباق با مقررات و مدیریت ریسک مورد استفاده قرار می‌گیرند. برخی از معروف‌ترین این نرم‌افزارها عبارت‌اند ازProGuard که  ابزاری برای امن‌سازی در برابر آسیب‌پذیری‌های در حوزه‌های پرداخت و کیف پول‌ها بیشترین استفاده را دارد. و یا . DexGuardنرم افزار که  ابزار تخصصی امنیتی برای اپلیکیشن‌های اندرویدی که سطح امنیت بالاتری را برای کاربران فراهم می‌کند.  علاوه بر این نرم‌افزارهای CRM بانکی که انها  به بانک‌ها کمک می‌کنند تا ارتباطات قوی با مشتریان سودده ایجاد کرده و خدمات مناسب را به موقع ارائه دهند. همچنین، با پیگیری اطلاعات پویای مشتری، امکان شناسایی نیازهای آن‌ها را فراهم می‌کنند.  سایر نرم افزارهای مبتنی برهوش مصنوعی شامل Feedzai که این نرم‌افزار با استفاده از هوش مصنوعی و یادگیری ماشین، به بانک‌ها در شناسایی و پیشگیری از تقلب و فعالیت‌های مشکوک کمک می‌کند.این نرم افزار  قادر است الگوهای پیچیده تقلب را شبیه‌سازی کرده و به‌صورت بلادرنگ هشدار دهد.ویا نرم افزارDarktrace   که یک  سیستم امنیتی با استفاده از هوش مصنوعی، تهدیدات سایبری را در شبکه‌های بانکی شناسایی و پاسخ می‌دهد.این نرم افزارقادر است رفتارهای غیرمعمول را شبیه‌سازی کرده و به‌صورت خودکار واکنش نشان دهد ویا پلاتفرم  KAI  که یک  پلتفرم هوش مصنوعی برای  بانک‌ها در ارائه خدمات مشتریان هوشمند و شخصی‌سازی‌شده است که قادر است با مشتریان به‌صورت طبیعی تعامل کرده و نیازهای آن‌ها را شبیه‌سازی کند . از دیگر نرم افزارهای کاربردی CureMetrix   است که  با استفاده از هوش مصنوعی، به بانک‌ها در تحلیل داده‌های پزشکی و ارائه خدمات بهداشتی به مشتریان کمک کند .همچنین قادر است الگوهای پیچیده پزشکی را شبیه‌سازی کرده و به‌صورت بلادرنگ هشدار دهد. نرم افزار Zest AI  نیز یک پلاتفرم  هوش مصنوعی است که به بانک‌ها در اعتبارسنجی و تصمیم‌گیری‌های اعتباری است که ازطریق تحلیل داده‌های پیچیده، ریسک‌های اعتباری را شبیه‌سازی کرده و به‌صورت دقیق پیش‌بینی کند.همگی این نرم‌افزارها با استفاده از هوش مصنوعی، به بانک‌ها در بهبود سیستم‌های نظارتی، افزایش امنیت و ارائه خدمات بهتر به مشتریان کمک می کنند. درهمین رابطه کشورهایی مانند سوئیس، سنگاپور، آلمان، کانادا، و بریتانیا به دلیل سیستم‌های نظارتی قوی، قوانین سختگیرانه، و شفافیت بالا در نظارت بانکی برتر هستند. این کشورها با استفاده از فن آوری های نوین و پیشرفته درگزارش دهی بانکها، اعمال قوانین سختگیرانه برای مدیریت ریسک و حفظ سرمایه بانکی، اجرای دقیق مقررات بازل سه دررابطه با کفایت سرمایه ومقررات ضد پولشوئی با  نظارت آنلاین مستمر کوشش کرده اند اعتبارو اظمینان نظام بانکی را محافظت نمایند. 

آینده امنیت سایبری در بانکداری تحت تأثیر تکامل فناوری‌های پیشرفته و چارچوب‌های نظارتی سخت‌گیرانه‌تر شکل خواهد گرفت. با پیچیده‌تر شدن حملات سایبری، بانک‌ها به نوآوری‌هایی نظیر سیستم‌های امنیتی مبتنی بر هوش مصنوعی، بلاک‌چین و محاسبات کوانتومی برای تقویت دفاع خود روی خواهند آورد. هوش مصنوعی و یادگیری ماشین نقش محوری در تجزیه و تحلیل الگوها و شناسایی تهدیدها در زمان واقعی ایفا خواهند کرد.

در عین حال، ماهیت غیرمتمرکز بلاک‌چین راه‌های جدیدی برای تأمین امنیت تراکنش‌ها و جلوگیری از تقلب ارائه می‌دهد. با اینکه محاسبات کوانتومی هنوز در مراحل اولیه است، اما می‌تواند تأثیر چشمگیری بر رمزگذاری و امنیت بگذارد؛ به گونه‌ای که هم حفاظت را ارتقاء دهد و هم آسیب‌پذیری‌های جدیدی معرفی کند. علاوه بر پیشرفت‌های فناوری، فشارهای نظارتی بر بانک‌ها برای حفظ سطوح بالای امنیت سایبری افزایش خواهد یافت.البته و بدون شک کاربرد نرم افزارها و پلاتفرم های قدرتمند مبتنی برهوش مصنوعی همچون ProGuard-DexGuard-CRM-FeedZai-DarkTrace-KAI-CureMatrix -Zest AI در سلامت عملیات این بانکها برای اجرای استانداردهای امنیتی و نظارتی وجلوگیری از وقوع تخلفات همچون قفل‌های ایمنی کلادی موثربوده اند.

انتظار می‌رود دولت‌ها و نهادهای بین‌المللی با اجرای دستورالعمل‌های سختگیرانه‌تر برای مقابله با تهدیدهای جهانی روبه‌رشد، بانک‌ها را مجبور به پیشتازی در زمینه انطباق و استراتژی‌های حفاظت از داده کنند. این ترکیب فناوری‌های پیشرفته و مقررات سخت‌گیرانه‌تر آینده امنیت سایبری در صنعت بانکداری را تعریف خواهد کرد. با تکامل تهدیدات سایبری، حفاظت از داده‌های حساس مالی و حفظ یکپارچگی عملیاتی سیستم‌های بانکی در اولویت اصلی باقی خواهد ماند. برای پیشی گرفتن از مجرمان سایبری، بانک‌ها باید راه‌حل‌های پیشرفته‌ای را اتخاذ کنند، بهترین شیوه‌ها را به طور جدی اجرا کنند و خود را برای چالش‌های آینده در یک چشم‌انداز دیجیتال در حال تغییر سریع آماده نمایند. همگام بودن با آخرین روندهای امنیت سایبری برای بانک‌ها ضروری است تا بتوانند در برابر تهدیدهای نوظهور واکنشی فعال و مقاوم داشته باشند. توسعه روزافزون فناوری اطلاعات و زیرساخت‌های ارتباطی، نقش تعیین‌کننده‌ای در کسب و کار بانکی داشته و تغییرات فراوانی را در خدمات بانکداری طی سال‌های اخیر موجب شده است .براساس اخرین اطلاعات موجوددر سایت سازمان بورس امریکا بتاریخ ۱۹ دسامبر۲۰۲۴ تعداد۱۰۳۰۵ شرکت بورسی به ارزش بازار ۱۶۱.۴ تریلیون وجوددارند که تعداد۶۸۱ شرکت آن بانکها و موسسات اعتباری بشرح جدول زیرهستند:

نمایه ده بانک برتر جهان از منظر حجم دارائی- ارزش بازارسهام و درامد بتاریخ ۱۹ دسامبر۲۰۲۴

اطلاعات مشتریان، بسترها و امکانات زیرساختی و نرم‌افزارهای کاربردی به‌عنوان سرمایه، ذخایر و دارایی‌های مؤسسه اعتباری (در حوزه فناوری اطلاعات) به‌شمار می‌روند. بر همین اساس توجه به مقوله ریسک عملیاتی و مهمترین منبع ایجادکننده آن، یعنی ریسک فناوری اطلاعات امری ضروری و اجتناب‌ناپذیر است.

در همین راستا مدیریت‌کل نظارت بر بانک‌ها و مؤسسات اعتباری بانک مرکزی نیز  با هدف افزایش ضریب امنیت اطلاعات و کاهش ریسک‌های فناوری اطلاعات مؤسسات اعتباری، حرکت به سمت استقرار استانداردهای روز دنیا در حوزه فناوری اطلاعات شبکه بانکی کشور، کاهش سوء استفاده‌های احتمالی و جلوگیری از هدررفت منابع موجود در شبکه بانکی کشور و ایجاد یکپارچگی میان سیاست‌های ابلاغی در نظارت بر ریسک فناوری اطلاعات مؤسسات اعتباری اقدام به تدوین و ابلاغ مجموعه قوانین ناظر بر حوزه فناوری اطلاعات شبکه بانکی در قالب سند یاد شده نموده است. تدوین این سند بر مبنای آخرین استانداردهای معتبر بین‌المللی، به‌روش‌ها و به کمک جمعی از خبرگان، پژوهشگران و مدیران با تجربه و صاحب‌نظر در صنعت مهندسی کامپیوتر و فناوری اطلاعات و مدیریت ریسک و حسابرسی بانکی صورت گرفته است. مضافا کارگروهی بنام« کارگروه حسابرسی وفن آوری اطلاعات» دربانک مرکزی با هدف بررسی راهکارهای اجرای الزامات امنیت سایبری تشکیل شده است. این  الزامات در در دوازده فصل که فصل اول شامل تعاریف ، فصل دوم ( معماری و ساختار سازمانی )-فصل سوم ( خط مشی‌ها / سیاست‌ها و برنامه‌ها)-فصل چهارم( برون سپاری )-فصل پنجم ( امنیت ) -فصل ششم ( مدیریت شناسایی و تأیید مشتریان )-فصل هفتم ( طراحی نگهداری و مدیریت سامانه جامع بانکداری متمرکز)-فصل هشتم(- طراحی نگهداری و مدیریت سامانه‌های بانکداری الکترونیکی )-فصل نهم ( مدیریت ریسک) -فصل دهم(- شبکه و ارتباطات) -فصل یازدهم ( مرکز داده ها)   و فصل دوازدهم ( سایر موارد ) تدوین شده اند.

 بررسی های متعددی که درجهان بانکداری درچندساله اخیر صورت گرفته حکایت ازآن داردکه امنیت سایبری همراه با جرایم مالی و تقلب، بزرگ‌ترین ریسک‌هایی هستند که بانک‌ها و مؤسسات مالی با ظهور اقتصاد دیجیتالی و فن‌آوری‌های نوین همچون هوش مصنوعی با آن‌ها مواجه خواهند بود. براساس نتایج حاصل از یک نظرسنجی که اخیرا از مدیران ارشد ریسک بانک‌ها توسط «انجمن مدیریت ریسک» امریکا صورت گرفته و در آن از مدیران بانک‌ها درباره پنج ریسک برتر پیش‌روی بانک‌ها پرسش شده بود ۶۳ درصد از پاسخ‌دهندگان به ریسک سایبری اشاره کردند. سایر ریسک‌های مهم شامل تقلب و جرایم مالی (۴۴%)، فناوری (۳۸%)، ریسک اعتباری کلی و ریسک اشخاص ثالث (هر دو ۳۲%)، مسائل مرتبط با مدل‌های عملیاتی مانند جذب استعداد (۲۸%) و ریسک سپرده و تمرکز (۲۴%) بودند.

این نظرسنجی همچنین نشان داد که سرعت شکست بانک «سیلیکون ولی» همچنان تأثیر زیادی بر مدیران ارشد ریسک دارد. تقریباً تمامی پاسخ‌دهندگان (۹۳%) اذعان داشتند که صنعت بانکداری باید با افزایش سرعت ریسک مقابله کند. با این حال، اکثریت قابل توجهی (۸۹%) نیز اعلام کردند که مسیر روشنی برای این کار دارند و ۴۰ درصد از پاسخ‌دهندگان در برنامه‌های شاخص هشدار اولیه سرمایه‌گذاری کرده‌اند. درهمین رابطه مجله Harvard Business Review گزارش داده که بین سال‌های ۲۰۱۸ تا ۲۰۲۲، اف‌بی‌آی ۳.۲۶  میلیون شکایت مربوط به حملات سایبری دریافت کرده که ۸۰۰.۹۴۴  جرم سایبری در ایالات متحده گزارش شد و انتظار می‌رود این ارقام افزایش یابد. تهدید سایبری دیگری نیز در حال ظهور است: «پیشرفت‌های هوش مصنوعی، فضای سایبری را به‌طور فزاینده‌ای خطرناک می‌کند» .گفته می‌شود ارزش مالی رخنه‌های اطلاعاتی شبکه بانکی جهان در معرض خطر رو به افزایش بوده که درسال ۲۰۲۳ شرکت‌های مالی به‌طور متوسط در هر رخنه اطلاعاتی ۵.۹ میلیون دلار زیان دیده‌اند. تحقیقات منتشرشده توسط موسسات ارائه دهنده خدمات امنیت شبکه بانکی نشان داده که هفت تهدید اصلی در حال رشد امنیت سایبری و راهکارهایی برای حفظ امنیت داده‌ها بشرح زیر وجود دارد.

۱-ریسک‌های ناشی از اشخاص ثالث

در صدر لیست کابوس‌های سایبری، ریسک‌های ناشی از شرکت‌های فین‌تک و سایر فروشندگان قرار دارند.

آقای پل بندا، معاون ارشد ریسک، تقلب و امنیت سایبری در انجمن بانک‌داران آمریکا می‌گوید« مشکل ریسک اشخاص ثالث این است که بانک‌ها نمی‌دانند چه چیزی را نمی‌دانند.»

او اصرار بر آزمایش نفوذ (Penetration Testing) را به‌عنوان راهی مؤثر برای مقابله با این ریسک توصیه می‌کند. این آزمایش معمولاً شامل حمله شبیه‌سازی‌شده توسط یک کارشناس امنیت سایبری برای شناسایی آسیب‌پذیری‌هاست. همچنین بت سامنر، معاون موفقیت مشتری در شرکت امنیت شبکه Finosec، بر اهمیت توجه به نتایج آزمایش نفوذ تأکید می‌کند و هشدار می‌دهد که بانک‌ها باید اطلاعاتی از آزمایش‌های شرکت‌های طرف قرارداد فروشندگان خود نیز جمع‌آوری کنند.

۲-فیشینگ مبتنی بر هوش مصنوعی

حملات فیشینگ که در سال ۲۰۲۲ معادل ۴۱ درصد جرایم سایبری را به خود اختصاص داده بودند، با رونمایی از ChatGPT در اواخر ۲۰۲۲ بیشترشده اند. بنا به گفته بندا، فیشینگ محبوب‌تر شده است زیرا مجرمان متوجه شده‌اند که متقاعد کردن افراد برای ارائه کلیدهای دسترسی، آسان‌تر از شکستن قفل‌هاست. علاوه براین فیشینگ‌های هوش مصنوعی می‌توانند بسیار پیشرفته باشند؛ مانند استفاده از تاکتیک‌های Deep Fake که اکنون به‌سادگی قابل ‌اجرا هستند.

۳-باج‌افزار

در نوامبر ۲۰۲۳، حمله خبرساز به شعبه آمریکایی بانک ICBC چین (بزرگ‌ترین وام‌دهنده جهان از نظر دارایی) نگرانی‌ها در مورد باج‌افزارها را در میان مدیران مالی افزایش داد. دیوید شیپلی، مدیرعامل شرکت مشاوره امنیت سایبری Beauceron Security، هشدار می‌دهد که مؤسسات مالی باید به‌ویژه مراقب حملات به زنجیره تأمین باشند که می‌تواند اطلاعات مشتریان را به خطر بی‌اندازد.

۴- تغییرات در بیمه سایبری

بیمه سایبری که زمانی ابزاری برای انتقال هزینه‌های نقض اطلاعات به شرکت‌های بیمه بود، اکنون شرایط سخت‌تری پیدا کرده است.بسیاری از بیمه‌گران معافیت‌های پیچیده‌ای در سیاست‌های خود گنجانده‌اند و برخی پوشش زیان ناشی از کلاهبرداری را کاهش داده‌اند.

۵-چالش‌های نیروی انسانی

سامنر می‌گوید: «تقریباً هیچ‌کس نمی‌خواهد مسئول امنیت باشد.» او کمبود متخصصان واجد شرایط در حوزه فناوری اطلاعات و امنیت اطلاعات را یکی از مشکلات اصلی بانک‌ها می‌داند.

۶- WormGPT و هک به‌عنوان یک خدمت(HaaS)

نسخه‌های مخرب هوش مصنوعی مانند WormGPT  ابزارهایی هستند که بدون محدودیت در اختیار مجرمان سایبری قرار می‌گیرند و به آن‌ها کمک می‌کنند تا حملات مؤثرتری انجام دهند.

امروزه دیگرتصویر قدیمی از هکرهای کلاه‌سیاه که در زیرزمین‌ها کار می‌کنند را کهنه شده زیرا هک به‌عنوان یک خدمت (HaaS) اکنون به یک صنعت حرفه‌ای تبدیل شده است.

۷-محاسبات کوانتومی

ظهور رایانه‌های کوانتومی، که قدرت پردازشی بسیار بالاتری نسبت به ابررایانه‌های امروزی دارند، تهدیدی وجودی برای امنیت سایبری ایجاد می‌کند. این فناوری می‌تواند روزی رمزنگاری کل اینترنت را بی‌اثر کند.

به همین علت بانک‌ها باید در چند ساله اخیر شروع به یادگیری در مورد الگوریتم‌های مقاوم در برابر کوانتوم کرده تا سیستم‌هایی که در معرض این خطر هستند را شناسایی و ریسک های آنرا خنثی نمایند.

ایجاد چارچوبی برای اشتهای ریسک فناوری و ریسک سایبری

در مواجهه با ریسک فناوری و ریسک سایبری، مؤسسات مالی به طور فزاینده‌ای به سمت رویکردی مبتنی بر ریسک حرکت می‌کنند تا اولویت‌های خود را برای کنترل‌ها مشخص کنند. این کنترل‌ها باید بر اساس قابلیت‌های امنیتی فعلی آن‌ها، احتمال تهدیدات و تأثیر هرگونه نقض سایبری بالقوه باشد. با این حال، پرسش همچنان باقی است: آیا سازمان‌ها واقعاً می‌توانند تصمیمات استراتژیک و عینی درباره اینکه کدام کنترل‌ها را باید اجرا کنند یا نکنند بگیرند، با توجه به میزان اشتهای آن‌ها برای ریسک فناوری و ریسک سایبری؟

مدیریت مبتنی بر ریسک، ریسک را در برابر اشتهای ریسک سازمان می‌سنجد تا مشخص کند که کجا به کنترل‌های فناوری و سایبری بیشتری نیاز است. هدف این است که ریسک‌های فناوری و سایبری باقی‌مانده را به نقطه‌ای برساند که کسب‌وکار بتواند آن را تحمل کند.

برای موفقیت در این امر، باید بیانیه‌های روشن و قابل اندازه‌گیری درباره اشتهای ریسک فناوری و ریسک سایبری، با تعاریف شفاف و قابل فهم برای کسب‌وکار وجود داشته باشد و مسئولیت آن مشخص باشد. علاوه بر این، نهادهای نظارتی اکنون فشار بیشتری بر سازمان‌ها وارد می‌کنند تا اشتهای ریسک خود را بهتر تبیین کنند. بیانیه‌ای شفاف درباره اشتهای ریسک، سنگ بنای مدیریت موفق مبتنی بر ریسک است. نهادهای نظارتی مهم – برای مثال، دفتر کنترل‌کننده ارز (OCC) – اخیراً یافته‌هایی را به بانک‌های بزرگ آمریکایی درباره نحوه تعریف و ساختاردهی اشتهای ریسک فناوری و ریسک سایبری ارائه کرده‌اند. پیش‌بینی می‌شود این روند در اروپا نیز دیده شود، زیرا اداره بانکداری اروپا (EBA) دستورالعمل‌هایی برای مدیریت ریسک سایبری تعیین کرده و همچنان آن را یک نگرانی در حال ظهور می‌داند. با این حال، اگرچه نهادهای نظارتی ویژگی‌های یک چارچوب بهینه برای اشتهای ریسک سایبری را توصیف کرده‌اند، اما هنوز تصویر یکپارچه‌ای از اینکه اشتهای ریسک دقیقاً چه باید باشد یا چگونه باید در سراسر یک سازمان پیاده‌سازی شود، وجود ندارد.

درک بهتر چارچوب اشتهای ریسک

بسیاری از سازمان‌ها متوجه می‌شوند که از قبل اجزای یک چارچوب بهینه اشتهای ریسک را دارند (مانند آستانه‌های شاخص‌های کلیدی ریسک) یا بیانیه‌های کلی و گسترده‌ای در سطح کل سازمان دارند که اشتهای کلی برای ریسک را به صورت زیاد، متوسط یا کم نشان می‌دهد. با این حال، این سازمان‌ها در سنجش اشتهای ریسک در برابر رویدادهای واقعی کسب‌وکار و توافق بر سر آستانه‌های مبتنی بر اشتهای ریسک برای معیارها با چالش مواجه هستند.

به عنوان مثال، سازمان‌ها به راحتی می‌توانند ادعا کنند که اشتهای کمی برای ریسک سایبری دارند. اما بحث زمانی آغاز می‌شود که از خود می‌پرسند چنین اشتهای کمی از نظر اجرای کنترل‌ها چه معنایی دارد و خطوط دفاع اول و دوم می‌پرسند آیا ریسک باقیمانده در محدوده این اشتهای کلی قرار دارد یا خیر. برای مدیریت مؤثر ریسک فناوری و سایبری، سازمان‌ها باید یک چارچوب اشتهای ریسک عینی تدوین کنند که از تصمیمات تجاری درباره ریسک پشتیبانی کند و از معیارها و گزارش‌های عینی برای ایجاد هم‌راستایی با اشتهای ریسک استفاده کند.

چارچوب اشتهای ریسک فناوری و سایبری

چارچوب‌های اشتهای ریسک که بر اساس طبقه‌بندی‌های ریسک فناوری و سایبری ساختار یافته‌اند، باید از این طبقه‌بندی‌ها به اهداف کنترلی و آستانه‌های معیارها سرازیر شوند.

طبقه‌بندی‌های ریسک فناوری و سایبری باید تمام ریسک‌های فناوری و سایبری موجود و نوظهور را پوشش دهند. به طور معمول، سازمان‌ها طبقه‌بندی‌های خود را بر اساس احتمال تحقق اثرات مختلف ریسک فناوری یا سایبری ساختار می‌دهند. به عنوان مثال، این طبقه‌بندی ممکن است بر اساس از دست رفتن دسترسی به سیستم‌ها، به خطر افتادن محرمانگی، نقض یکپارچگی داده‌ها، ریسک‌های مدیریت پروژه یا ترکیبی از این موارد ساختار یابد.

هنگامی که ریسک‌های کلیدی درک شدند، سازمان‌ها باید اشتهای خود را برای آن‌ها مشخص کنند. چنین بیانیه‌ای در سطح سازمانی نه تنها باید مبتنی بر کسب‌وکار و کمی باشد، بلکه باید با طبقه‌بندی‌های ریسک فناوری و سایبری مطابقت داشته باشد. علاوه بر این، این بیانیه‌های کمی باید بر اساس اهمیت برای کسب‌وکار طبقه‌بندی شوند. به عنوان مثال، بیانیه‌های اشتهای ریسک سازمانی برای عدم دسترسی به سیستم‌ها ممکن است شامل “حداکثر X دقیقه از کار افتادگی غیرمترقبه برای سیستم‌های مرتبط با خدمات کسب‌وکار حیاتی” و “حداکثر Y دقیقه از کار افتادگی غیرمترقبه برای سیستم‌های مرتبط با خدمات غیرحیاتی” باشد.

چرا ایجاد چارچوب اشتهای ریسک اهمیت دارد؟

مدیریت مبتنی بر ریسک تنها زمانی موفق خواهد شد که در برابر اشتهای ریسکِ مبتنی بر کسب‌وکار سنجیده شود. پیاده‌سازی یک بیانیه ساختاریافته و جامع درباره اشتهای ریسک که در سراسر کسب‌وکار، عملکرد فناوری و خط دوم هم‌راستا شده باشد، مزایای متعددی دارد:

1. پشتیبانی از ارتباط شفاف با هیئت مدیره درباره سطح ریسک فناوری و سایبری برای ایجاد بحث‌های تجاری درباره سرمایه‌گذاری‌ها و اولویت‌ها.
2. ایجاد بستری عینی برای گفتگو بین خطوط دفاع اول و دوم درباره سطح ریسک باقیمانده.
3. ارائه شواهد عینی به نهادهای نظارتی مبنی بر اینکه سازمان ریسک فناوری و سایبری را به طور مؤثری در برابر اشتهای ریسک مدیریت می‌کند.

طراحی و اجرای چارچوب اشتهای ریسک

برای طراحی و اجرای چارچوب اشتهای ریسک، سه ملاحظه کلیدی وجود دارد: شناخت وضعیت موجود یا درک آنچه در حال حاضر وجود دارد، هم‌راستایی با کسب‌وکار و استفاده از خودکار سازی در صورت امکان.

توسعه و اجرای چارچوب اشتهای ریسک فناوری و سایبری چالش پیچیده‌ای است که به داده‌های دقیق، نظارت گسترده و هماهنگی بین بخش‌های مختلف نیاز دارد. با وجود کار دشوار اولیه، سازمان‌ها از درک نقاط قوت خود در فناوری و سایبر، سودهای قابل توجهی کسب خواهند کرد.

هوش مصنوعی در امنیت سایبری به استفاده از فناوری‌های هوش مصنوعی مانند یادگیری ماشینی، یادگیری عمیق و تحلیل داده‌ها برای محافظت از سیستم‌ها و شبکه‌های دیجیتال در برابر تهدیدهای سایبری اشاره دارد. در ادامه نگاهی دقیق‌تر به عملکرد هوش مصنوعی در این حوزه داریم:

الگوریتم‌های یادگیری ماشینی:  این الگوریتم‌ها در قلب هوش مصنوعی در امنیت سایبری قرار دارند. آن‌ها حجم عظیمی از داده‌ها را تحلیل می‌کنند تا الگوها و ناهنجاری‌هایی را شناسایی کنند که ممکن است نشان‌دهنده یک تهدید امنیتی باشند. هرچه این الگوریتم‌ها داده‌های بیشتری پردازش کنند، دقت و کارایی آن‌ها در شناسایی نفوذهای احتمالی افزایش می‌یابد.

تحلیل داده‌ها:  هوش مصنوعی از تحلیل پیشرفته داده‌ها برای بررسی و تفسیر حجم زیادی از داده‌ها از منابع مختلف استفاده می‌کند. این امر به شناسایی آسیب‌پذیری‌های احتمالی و فعالیت‌های غیرعادی که ممکن است نشان‌دهنده تهدیدهای سایبری باشند کمک می‌کند.

تشخیص الگو: سیستم‌های هوش مصنوعی از تشخیص الگو برای نظارت بر ترافیک شبکه و رفتار کاربران استفاده می‌کنند. با شناسایی انحرافات از الگوهای عادی، هوش مصنوعی می‌تواند حوادث امنیتی بالقوه را پیش از آنکه به تهدیدات جدی تبدیل شوند، شناسایی کند.

تأثیر هوش مصنوعی بر امنیت سایبری چیست؟

تأثیر هوش مصنوعی بر امنیت سایبری تحول‌آفرین بوده و مزایای قابل‌توجهی مانند تشخیص و پاسخ به تهدیدات را ارائه می‌دهد. با تحلیل حجم عظیمی از داده‌ها در زمان واقعی، سیستم‌های هوش مصنوعی می‌توانند تهدیدات بالقوه را شناسایی کرده و خطرات را کارآمدتر از روش‌های سنتی کاهش دهند. این امر به بانک‌ها اجازه می‌دهد تا از تهدیدهای سایبری پیشی بگیرند و دفاعی پیشگیرانه داشته باشند و زمان پاسخگویی را کاهش دهند. سرعت و دقت راه‌حل‌های امنیت سایبری مبتنی بر هوش مصنوعی در دنیای امروز، که حجم و پیچیدگی حملات سایبری همچنان در حال افزایش است، بسیار حیاتی است. بااین‌حال، ادغام هوش مصنوعی در سیستم‌ها و پلاتفرم های امنیتی چالش‌هایی نیز به همراه دارد. درحالی‌که هوش مصنوعی می‌تواند فرآیندهای امنیتی را تسهیل کند، آسیب‌پذیری‌های جدیدی نیز ایجاد می‌کند. برای مثال، مهاجمان می‌توانند سیستم‌های هوش مصنوعی را از طریق حملات تزریق دستکاری کنند، جایی که هکرها با ورودی‌های مضر پاسخ‌های هوش مصنوعی را تغییر می‌دهند.

این آسیب‌پذیری‌ها بر اهمیت درک محدودیت‌های هوش مصنوعی و حفظ پروتکل‌های امنیتی قوی تأکید دارند. سازمان‌ها باید هوشیار باقی بمانند و اطمینان حاصل کنند که راه‌حل‌های مبتنی بر هوش مصنوعی به‌طور منظم به‌روزرسانی و نظارت می‌شوند تا از قابل بهره‌برداری شدن آن‌ها جلوگیری شود.

کاربردهای قابل‌توجه و مزایای هوش مصنوعی در امنیت سایبری

هوش مصنوعی تأثیر قابل‌توجهی در بخش‌های مختلف امنیت سایبری دارد و راه‌حل‌ها و مزایای نوآورانه‌ای در حوزه‌های مختلف ارائه می‌دهد. در ادامه نگاهی به برخی از کاربردهای قابل‌توجه داریم:

تشخیص و پیش‌بینی تهدید –هوش مصنوعی در شناسایی تهدیدات بالقوه با تحلیل الگوهای داده و شناسایی ناهنجاری‌ها عملکرد بالایی دارد. تحلیل‌های پیش‌بینی‌شده مبتنی بر هوش مصنوعی می‌توانند تهدیدهای در حال ظهور را پیش‌بینی کرده و هشدارهای زودهنگامی ارائه دهند که به سازمان‌ها اجازه می‌دهد پیش از وقوع حمله اقدامات پیشگیرانه انجام دهند.

پاسخ خودکار به حوادث –خودکارسازی مبتنی بر هوش مصنوعی فرآیند پاسخ به حوادث را با شناسایی و جداسازی سریع تهدیدات تسهیل می‌کند. این امر زمان پاسخگویی به حوادث امنیتی را کاهش داده و از آسیب‌های احتمالی و توقف عملیات جلوگیری می‌کند. سیستم‌های پاسخگویی خودکار سریع‌تر از تیم‌های انسانی عمل کرده و وظایف روتین را انجام می‌دهند تا متخصصان امنیت بر مسائل پیچیده‌تر تمرکز کنند.

امنیت ابری«کلادی»-هوش مصنوعی با نظارت بر محیط‌های ابری برای فعالیت‌های مشکوک و اطمینان از انطباق با سیاست‌های امنیتی، امنیت ابری را بهبود می‌بخشد. این فناوری به بانکها و سازمان ها  کمک می‌کند تا مسائل داخلی و خارجی را کاهش دهند.

تشخیص تقلب-در بخش‌هایی مانند امور مالی، هوش مصنوعی در شناسایی معاملات تقلبی بسیار مؤثر است. سیستم‌های هوش مصنوعی با تحلیل الگوها و رفتارهایی که از هنجارها منحرف می‌شوند، می‌توانند فعالیت‌های تقلبی را شناسایی و از آن‌ها جلوگیری کنند. پدیده جدید تلفیق الگوریتم ژنتیک داروین وهوش مصنوعی  سنگرسازی آهنین در مقابل ریسک‌های تقلب ایجادکرده وبا مدل سازی شناسائی ژن تقلب در تراکنش‌ها و معاملات از انجام بسیاری تقلبات جلوگیری می‌کند.

تحلیل رفتاری-هوش مصنوعی تحلیل‌های رفتاری را با نظارت و تحلیل اقدامات کاربران ارتقا می‌دهد. این سیستم می‌تواند انحرافات از الگوهای معمول را شناسایی کند، که ممکن است نشان‌دهنده نقض‌های امنیتی یا تهدیدهای داخلی باشد.

ابزارهای امنیتی مبتنی بر هوش مصنوعی

ابزارهای امنیتی مبتنی بر هوش مصنوعی نحوه مواجهه بانک‌ها و سازمان‌ها با امنیت سایبری را متحول کرده‌اند. این ابزارها با استفاده از الگوریتم‌های پیشرفته در برابر تهدیدات مختلف مانند بدافزار و حملات فیشینگ محافظت می‌کنند.

چالش‌های هوش مصنوعی در امنیت سایبری

علی‌رغم پیشرفت‌های قابل‌توجه، استفاده از هوش مصنوعی در امنیت سایبری چالش‌هایی نیز به همراه دارد که باید به‌طور مؤثر برطرف شوند. برخی از این چالش‌ها شامل موارد زیر هستند:

• چالش‌های فنی و عملیاتی: از جمله مثبت کاذب/منفی کاذب، پیچیدگی مدل‌های هوش مصنوعی و نیاز به منابع زیاد.
• مسائل امنیت و حریم خصوصی: مانند حملات مبتنی بر هوش مصنوعی و امنیت خود سیستم‌های هوش مصنوعی.
• مسائل اخلاقی و سوگیری: وجود سوگیری در داده‌های آموزشی و مشکلات انطباق با استانداردهای قانونی.
• شکاف مهارتی: کمبود متخصصان دارای دانش توسعه و مدیریت سیستم‌های امنیت سایبری مبتنی بر هوش مصنوعی.

رفع این چالش‌ها به رویکردی چندجانبه مبتنی بر هوش صنوعی شامل تحقیقات مداوم، آموزش مناسب و یکپارچه‌سازی دقیق برای استقرار امنیت سایبری قوی نیاز دارد. درواقع ادغام هوش مصنوعی در امنیت سایبری پیشرفت قابل‌توجهی در رویکردهای حفاظتی دیجیتال ایجاد می‌کند. درحالی‌که هوش مصنوعی مزایای زیادی مانند تشخیص تهدید پیشگیرانه، پاسخ خودکار و دقت بهبود‌یافته ارائه می‌دهد، چالش‌هایی نیز مطرح می‌کند که باید مورد توجه قرار گیرند. بهمین علت با درک و بهره‌گیری از راه‌حل‌های هوش مصنوعی، بانکها وموسسات مالی- اعتباری می‌توانند استراتژی امنیت سایبری قدرتمندی ایجاد کنند که هم در برابر تهدیدات فعلی دفاع کند و هم با چالش‌های آینده تطبیق یابد.

شاید بر همین اساس بوده که بانک مرکزی در بخشنامه شماره ۰۲.۳۱۸۹۴۹ مورخ ۲۷ اسفند ماه  سال گذشته یادآورشده که امروزه کنترل‌های داخلی از آن حیث که یکی از الزامات تحقق اهداف در هر سازمانی محسوب می‌شود، از اهمیت بسیاری برخوردار است. طبیعی است این مهم در مؤسسات اعتباری بنا به ماهیت خاص فعالیت و اقتضائات آن، دارای نقش و جایگاه بسیار مهم و اثرگذارتری است. بنا به همین ضرورت، «رهنمود‌هایی برای نظام مؤثر کنترل داخلی در مؤسسات اعتباری» توسط بانک مرکزی تدوین و طی بخشنامه شماره مب‏‏/۱۱۷۲ مورخ ۳۱‏‏/۳‏‏/۱۳۸۶ جهت اجرا و استقرار نظام کنترل‌های داخلی به شبکه بانکی کشور ابلاغ شد. با عنایت به گذشت سالیان متمادی از ابلاغ رهنمود مذکور و تغییر شرایط و مقتضیات و اسناد بین‌المللی بالادستی، تدوین ضوابطی روزآمدتر درخصوص نظام مؤثر کنترل داخلی ایجاب می‌کرد.

بر همین اساس، بر مبنای مهم‌ترین استاندارد بین‌المللی در زمینه نظام کنترل‌های داخلی منتشره در سال ۲۰۱۳ توسط «کارگروه سازمان‌های پشتیبان مالی کمیسیون تردوی» موسوم به COSO تحت عنوان «چارچوب کنترل‌های داخلی یکپارچه» و همچنین سند «چارچوب سیستم کنترل داخلی برای بانک‌ها» از انتشارات کمیته بال در سال ۱۹۹۸ و نیز با نظرداشت مقررات کنترل‌های داخلی حاکم بر بانک‌ها در برخی از کشور‌های منتخب، «دستورالعمل حداقل الزامات ناظر بر استقرار نظام کنترل‌های داخلی در مؤسسات اعتباری»  مشتمل بر (۸) فصل، (۶۱) ماده و (۴) تبصره تدوین و در جلسه مورخ ۲۹‏‏/۱۱‏‏/۱۴۰۲ کمیسیون مقررات و نظارت مؤسسات اعتباری بانک مرکزی مورد تأیید قرار گرفت و به بانمها و موسسات اعتباری ابلاغ گردیده است .

پیش از پرداختن به اهم احکام دستورالعمل موصوف، ذکر ملاحظات زیر ضروری است:

الف) دستورالعمل مذکور، حداقل الزامات مربوط به طراحی و اجرای نظام کنترل‌های داخلی ایمن و محتاطانه بوده و یک راهنمای جامع متحدالشکل درخصوص کنترل‌های داخلی را برای تمامی مؤسسات اعتباری ارائه نمی‌دهد. چرا که طراحی و اجرای نظام کنترل‌های داخلی به عوامل مختلفی از جمله نوع و اندازه و ساختار و میزان ریسک‌پذیری مؤسسه اعتباری بستگی دارد.

ب) چنانچه اهداف، اجزا و سطوح نظام کنترل داخلی به خوبی برنامه‌ریزی، ترسیم و پیاده‌سازی شوند، می‌توان شاهد استقرار یک نظام کنترل داخلی مؤثر در مؤسسه اعتباری بود و چنانچه بازخورد مناسبی از این نظام بر اساس گزارش‌های کارایی و اثربخشی هر یک از اهداف، اجزا و سطوح تهیه و نسبت به رفع نواقص و ارتقاء لایه‌ها و سازوکار‌های کنترلی اقدام گردد، می‌توان گفت که نظام کنترل داخلی مطلوبی در مؤسسه اعتباری شکل گرفته است. بنابراین استقرار نظام کنترل داخلی یک فرآیند مستمر و پویا است که همواره باید کارایی و اثربخشی آن مورد بررسی قرار گیرد و راهکار‌های مناسب جهت ارتقاء آن ارایه شود.

پ) با اجرای صحیح نظام کنترل داخلی، مؤسسه اعتباری از سیاست‌های جامع و کاملی که با ماهیت و پیچیدگی فعالیت‌های مؤسسه اعتباری سازگار بوده و به‌وسیله هیأت مدیره مصوب شده است، برای مدیریت محتاطانه ریسک‌های عمده در حوزه فعالیت‌های تجاری و عملیاتی برخوردار خواهد بود.

ت) پیاده‌سازی نظام کنترل‌های داخلی مستلزم باور، آگاهی و درک جامعی از مفاهیم حاکمیت شرکتی و خودارزیابی و خودکنترلی بوده که به صورت مستمر به ارزیابی فعالیت‌ها و آثار مالی و غیرمالی آن فعالیت‌ها بر محیط داخلی و بیرونی بپردازد.

با ذکر ملاحظات فوق، خاطرنشان می‌سازد و انتظار می‌رود از رهگذر اجرای دقیق و کامل آن در مؤسسات اعتباری، نظام کنترل داخلی یکپارچه‌ای پیاده‌سازی گردد، متضمن نکات و موارد پراهمیتی از جمله احکام ذیل است:

1. تعریف نظام کنترل داخلی دایر بر این که فرآیندی است که توسط هیأت مدیره، هیأت عامل و دیگر کارکنان مؤسسه اعتباری برای کسب اطمینان معقول از دستیابی به اهداف مربوط به عملیات، گزارشگری و رعایت قوانین و مقررات، طراحی و مستقر شده است و شامل سه بخش اهداف، اجزا و سطوح می‌باشد.
2. اهداف نظام کنترل داخلی شامل؛ الف) اهداف عملیاتی که بیانگر اثربخشی و کارآیی فعالیت‌های مؤسسه اعتباری در استفاده از منابع و نیز حفاظت از دارایی‌ها در برابر سوءاستفاده و تقلب می‌باشد. ب) اهداف گزارشگری که به ارایه اطلاعات مفید و سودمند به منظور اتخاذ تصمیم‌های صحیح و پیشگیری از گمراهی ذی‌نفعان از طریق تهیه گزارش‌های مالی و غیرمالی به‌موقع، قابل اتکاء، مربوط و شفاف به صورت درون‌سازمانی و برون‌سازمانی معطوف است. ج) اهداف رعایت قوانین و مقررات که به منظور حصول اطمینان از رعایت تمامی قوانین، مقررات، استاندارد‌های لازم‌الاجرا برای مؤسسه اعتباری در داخل و خارج از کشور که مؤسسه اعتباری در آن‌ها دارای بانک مستقل فرعی، شعبه و یا دفتر نمایندگی است، ترسیم می‌گردد.
3. تبیین اجزای نظام کنترل داخلی در مؤسسه اعتباری شامل پنج جزء اصلی؛ محیط کنترلی، ارزیابی ریسک، فعالیت‌های کنترلی، اطلاعات و ارتباطات و فعالیت‌های نظارتی.
4. تبیین سطوح نظام کنترل داخلی برای مؤسسه اعتباری شامل؛ مؤسسه اعتباری، ادارات مرکزی، سرپرستی مناطق، شعب و وظایف و کارکرد‌ها است.

قطع ‌نظر از مراتب فوق، در طراحی و اجرای صحیح نظام جامع کنترل‌های داخلی، انجام اقدامات ذیل توسط مؤسسه اعتباری ضروری و مورد انتظار است:

1. ماهیت متفاوت کسب و کار هر مؤسسه اعتباری و لزوم طراحی کنترل‌های داخلی متناسب با آن.
2. بهره‌گیری از تجارب کارشناسان خبره و اجرای گام به گام هر فصل از دستورالعمل حاضر متناسب با ساختار و روابط و متعاقباً ارزیابی کارایی و اثربخشی اجرای هر یک از فصول دستورالعمل؛
3. شناسایی نقاط قوت و ضعف نظام کنترل داخلی مؤسسه اعتباری و اقدامات لازم جهت رفع نقاط ضعف، با توجه به اهمیت آثار مالی و غیرمالی آن‌ها بر محیط داخلی و بیرونی و با بهره‌گیری از تجزیه و تحلیل هزینه فایده؛
4. تشریح و تفکیک وظایف واحد‌های حسابرسی داخلی، مدیریت ریسک، تطبیق (رعایت قوانین و مقررات) و مبارزه با پولشویی توسط مؤسسه اعتباری؛
5. برگزاری دوره‌های آموزشی برای کارکنان در زمینه‌های دانش، ابزار‌ها و فعالیت‌های کنترلی در نظام کنترل‌های داخلی
6. گزارش‌دهی مناسب به هیأت مدیره برای انجام دقیق نظارت بر چارچوب مدیریت ریسک مؤسسه اعتباری. بدین‌منظور اختیارات و مسئولیت‌های هر وظیفه کنترلی باید به نحو صحیحی مستند شود. مسئول هر وظیفه کنترلی به صورت دوره‌ای مستندات را بازنگری کرده و پیشنهاد تغییرات لازم برای آن را به هیأت مدیره یا مدیریت ارشد برای صدور مجوز آن ارائه نماید.
7. تعیین شفاف و صریح نقش‌ها، مسئولیت‌ها و نحوه پاسخگویی در قبال اجرای سیاست‌ها.
8. تدوین رویه‌ها و فرآیند‌های مناسب به منظور اجرای سیاست‌ها در هر مؤسسه اعتباری. این موارد باید به تفصیل و به صورت دفترچه راهنمای رویه‌ها و فرآیند‌های انجام کار مستند شود و به صورت دوره‌ای مورد بازنگری قرار گیرد تا انعکاس دهنده سیاست‌های جاری مؤسسه اعتباری باشد. همچنین باید شیوه‌های مناسبی به منظور نظارت بر رعایت و پیروی از سیاست‌ها و رویه‌های تدوین شده وجود داشته باشد. انحراف از این سیاست‌ها و رویه‌ها به صورت مستقل بررسی شده و از آن‌ها گزارش تهیه و به واحد‌های مربوطه ارسال شود.

بدون شک اجرای دستورالعمل‌ها ومقررات الزامات نظارت بر ریسک فناوری در بانک‌ها و مؤسسات مالی و اعتباری به‌دلیل افزایش وابستگی به فناوری اطلاعات و دیجیتال‌سازی خدمات مالی اهمیت ویژه‌ای دارد. این الزامات می‌توانند در قالب چارچوب‌های زیر تعریف شوند:

1. مدیریت ریسک فناوری اطلاعات (IT Risk Management): شامل مراحل شناسایی، ارزیابی و پایش ریسک‌های مرتبط با فناوری اطلاعات. ایجاد و پیاده‌سازی سیاست‌های امنیتی و فناوری اطلاعات و به‌کارگیری سیستم‌های مدیریت ریسک برای کاهش و کنترل تهدیدات.
2. امنیت اطلاعات و حفاظت داده‌ها شامل اجرای استانداردهای امنیت اطلاعات مانند ISO/IEC 27001. ، استفاده از رمزنگاری برای حفاظت از داده‌های مشتریان و اطمینان از یکپارچگی، محرمانگی و دسترسی‌پذیری داده‌ها.
3. حاکمیت فناوری اطلاعات (IT Governance): شامل تدوین ساختارهای حاکمیتی برای مدیریت فناوری در سطح سازمان. نظارت بر استفاده بهینه از منابع فناوری اطلاعات وتضمین تطابق سیستم‌های فناوری با مقررات و الزامات قانونی.
4. پیروی از قوانین و مقررات (Compliance): شامل  انطباق با مقررات داخلی و بین‌المللی مرتبط با امنیت و مدیریت فناوری و رعایت اصول حریم خصوصی (مانند GDPR) و قوانین ضدپولشویی.
5. پیوستگی کسب‌وکار و بازیابی بلایا (BCP & DRP):شامل طراحی برنامه‌های پایداری کسب‌وکار برای حفظ عملیات در زمان وقوع حوادث و راه‌اندازی سیستم‌های پشتیبان‌گیری و بازیابی اطلاعات.
6. مدیریت ریسک سایبری شامل شناسایی تهدیدات سایبری و انجام آزمون‌های نفوذ« Penetration Tests » ، استقرار سیستم‌های تشخیص نفوذ (IDS) و پیشگیری از نفوذ (IPS).و ارائه آموزش‌های امنیتی به کارکنان و مشتریان.
7. مدیریت ریسک عملیات که در برگیرنده نظارت بر عملکرد زیرساخت‌های فناوری مانند شبکه‌ها، سرورها و دیتابیس‌ها و تحلیل نقاط ضعف و خطرات عملیاتی مرتبط با فناوری.
8. مدیریت تأمین‌کنندگان فناوری (Vendor Management): شامل ارزیابی امنیتی و عملیاتی تأمین‌کنندگان خدمات فناوری و مدیریت قراردادها و اطمینان از تعهدات آنها در زمینه امنیت اطلاعات.
9. آموزش و آگاهی‌بخشی شامل آموزش کارکنان در زمینه ریسک‌های فناوری اطلاعات و امنیت سایبری و ارتقاء آگاهی مشتریان از تهدیدات و شیوه‌های محافظت از خود.
10. گزارش‌دهی و پایش مستمراز طریق نظارت و گزارش‌دهی منظم به هیئت مدیره و مراجع نظارتی و استفاده از ابزارهای هوشمند برای تحلیل داده‌ها و پایش تهدیدات.

برای اجرای درست این موارد بانک‌ها و مؤسسات مالی باید با بهره‌گیری از ابزارها و تکنولوژی‌های به‌روز، چارچوب‌های مناسبی را برای مدیریت ریسک فناوری اطلاعات طراحی و اجرا کنند تا از آسیب‌پذیری‌ها در برابر تهدیدات فناوری جلوگیری کنند.

چه اشخاصی صلاحیت فنی دارند درتدوین و طراحی الزامات ناظرربرریسک فن آوری در بانک‌ها مشارکت نمایند؟  

تجربیات کشورهای موفق و بانکهای پیشرو نشان داده که درتدوین الزامات ناظر بر ریسک فناوری در بانک‌ها، افراد یا اشخاصی که صلاحیت فنی دارند می‌توانند پیشنهادات تخصصی ارائه دهند. این افراد معمولاً شامل گروه‌های مختلفی از متخصصان هستند که دارای تجربه و دانش کافی در زمینه‌های مختلف فناوری اطلاعات، امنیت سایبری، ریسک فناوری و مدیریت ریسک در بانک‌ها هستند. این افراد می‌توانند شامل موارد زیر باشند:

1. متخصصان فناوری اطلاعات (IT): این افراد معمولاً دارای تجربه گسترده‌ای در زمینه طراحی، پیاده‌سازی، و نگهداری سیستم‌های فناوری اطلاعات هستند. آن‌ها می‌توانند الزامات فنی لازم برای نظارت بر ریسک‌های فناوری اطلاعات و اطلاعات دیجیتال در بانک‌ها را شناسایی کرده و پیشنهاد دهند.
2. متخصصان امنیت سایبری (Cybersecurity Experts): افراد با تخصص در امنیت شبکه‌ها و سیستم‌های اطلاعاتی می‌توانند ناظر بر الزامات امنیتی بانک‌ها باشند. این افراد با شناسایی تهدیدات سایبری و تکنیک‌های پیشگیرانه، می‌توانند در بهبود زیرساخت‌های امنیتی و حفاظت از داده‌های حساس در برابر حملات سایبری نقش مهمی ایفا کنند.
3. مدیران ریسک (Risk Managers): مدیران ریسک در بانک‌ها معمولاً مسئول شناسایی، ارزیابی و مدیریت ریسک‌ها هستند. آنها به خصوص در زمینه‌های ریسک فناوری اطلاعات و ریسک سایبری، می‌توانند پروتکل‌های امنیتی و فرایندهای کنترل ریسک را برای مقابله با تهدیدات پیشنهاد دهند.
4. مشاوران فنی و نظارتی (Technical and Regulatory Consultants): این گروه معمولاً ترکیبی از متخصصان فناوری و مشاوران حقوقی هستند که در زمینه مقررات و الزامات نظارتی فعال هستند. آنها می‌توانند الزامات مربوط به فناوری و ریسک‌های آن را در چارچوب قوانین و مقررات ملی و بین‌المللی برای بانک‌ها تدوین کنند.
5. پژوهشگران و اساتید دانشگاهی: افرادی که در حوزه‌های فناوری اطلاعات، امنیت سایبری و ریسک فناوری تحقیقات می‌کنند، می‌توانند پیشنهادات مبتنی بر تحقیقات علمی و تجربیات جهانی در زمینه مدیریت ریسک فناوری در بانک‌ها ارائه دهند.
6. توسعه‌دهندگان نرم‌افزار (Software Developers): این افراد می‌توانند در شناسایی و توسعه ابزارهای فناوری اطلاعات برای شبیه‌سازی، تحلیل و مدیریت ریسک‌های فناوری در بانک‌ها نقش داشته باشند. تخصص آنها در ساخت سیستم‌های نرم‌افزاری که به شناسایی، تحلیل و نظارت بر ریسک‌ها کمک می‌کند، می‌تواند برای بهبود الزامات فنی ناظر بر ریسک فناوری در بانک‌ها مهم باشد.

در مجموع، ترکیب دانش فنی در زمینه فناوری اطلاعات، امنیت سایبری، مدیریت ریسک و الزامات نظارتی، برای تدوین الزامات ناظر بر ریسک فناوری در بانک‌ها بسیار حیاتی است. باید تاکید نمود مشارکت اشخاص در ارائه پیشنهادات با حضور برخی از آنان در اجرا تفاوت داشته و عملا ممکن است اجرای دقیق و درست الزامات را غیرممکن سازد. با توجه به این که بموجب قانون پولی و بانکی کشور بانک مرکزی مقام ناظر حوزه پول و بانک بشمار می‌رود و از آنجا که طراحی الزامات ناظر بر مدیریت ریسک‌های فناوری اطلاعات (IT) بانک‌ها نیازمند مشارکت نهادهای مختلفی است که تخصص و اختیارات مرتبط در حوزه مالی و فناوری اطلاعات دارند. این نهادها شامل موارد زیر می‌شوند:

1. بانک مرکزی – بانک مرکزی به عنوان نهاد ناظر اصلی بر سیستم بانکی، وظیفه تدوین مقررات و الزامات ریسک فناوری اطلاعات را بر عهده دارد. این نهاد نقش کلیدی در ارزیابی ریسک‌ها و اطمینان از انطباق بانک‌ها با استانداردهای امنیت سایبری دارد.
2. نهادهای تنظیم مقررات مالی – سازمان‌هایی مانند کمیسیون بورس و اوراق بهادار (SEC) یا سازمان نظارت بر بانک‌ها و بیمه (در ایران: سازمان بورس یا بیمه مرکزی) نیز در حوزه‌هایی مانند شفافیت مالی و جلوگیری از کلاهبرداری و ریسک‌های سایبری نقش‌آفرین هستند.
3. نهادهای تنظیم مقررات فناوری اطلاعات – سازمان‌های ملی مرتبط با فناوری اطلاعات، نظیر سازمان فناوری اطلاعات یا نهادهای مشابه در کشورهای مختلف، می‌توانند استانداردهای مرتبط با امنیت داده‌ها و مدیریت ریسک سایبری را تدوین کنند.
4. انجمن‌های حرفه‌ای حسابداری و حسابرسی: نهادهایی مانند جامعه حسابداران رسمی یا انجمن حسابداران خبره ایران می توانند  در تدوین استانداردهای حسابرسی فناوری اطلاعات و ارزیابی ریسک‌های مربوطه همکاری کنند.
5. نهادهای بین‌المللی -کمیته بال (Basel Committee): این کمیته، چارچوب‌های بین‌المللی برای مدیریت ریسک بانک‌ها از جمله ریسک‌های فناوری اطلاعات را ارائه می‌دهد.
6. سازمان بین‌المللی استاندارد (ISO): استانداردهایی نظیر ISO 27001 (امنیت اطلاعات) و ISO 31000 (مدیریت ریسک) برای کمک به طراحی الزامات قابل استفاده است.
7. شرکت‌های مشاوره و ارزیابی ریسک فناوری اطلاعات -در جهان موسسات  تخصصی خاص نظیر  PwC، Deloitte، یا EY می‌توانند به عنوان مشاور در شناسایی، ارزیابی، و مدیریت ریسک‌های فناوری اطلاعات مشارکت کنند.
8. آژانس‌های امنیت سایبری – نهادهای دولتی یا خصوصی که مسئول امنیت سایبری هستند(مانند مرکز ماهر در ایران یا NIST در ایالات متحده) می‌توانند راهنمایی‌هایی برای شناسایی و کاهش ریسک‌های فناوری اطلاعات ارائه دهند.
9. دانشگاه‌ها و مراکز پژوهشی – دانشگاه‌ها و مؤسسات پژوهشی در حوزه مالی و فناوری اطلاعات می‌توانند از طریق تحقیقات علمی و انتشار راهنماهای کاربردی به تدوین الزامات کمک کنند.
10. بانک‌ها و مؤسسات مالی پیشرو – بانک‌ها و مؤسسات مالی بزرگ که در زمینه فناوری اطلاعات تجربه دارند، می‌توانند تجربیات خود را در تدوین الزامات به اشتراک بگذارند.
11. نهادهای قانون‌گذار و مجلس – قانون‌گذاران می‌توانند چارچوب‌های قانونی لازم برای حمایت از مدیریت ریسک‌های فناوری اطلاعات را تصویب کنند.

باید تاکید نمود این مشارکت‌ها باید در قالب همکاری میان ‌رشته‌ای و جامع انجام شود تا الزامات تدوین شده تمامی جنبه‌های ریسک فناوری اطلاعات را پوشش دهد.

هدف ازبرقراری الزامات ریسک فن‌آوری در موسسات اعتباری و بانک‌ها چیست؟

هدف از برقراری الزامات مدیریت ریسک فناوری اطلاعات در مؤسسات اعتباری و بانک‌ها، تضمین امنیت، پایداری و کارایی سیستم‌های فناوری اطلاعات آنها است. این الزامات برای مدیریت خطرات ناشی از فناوری اطلاعات تدوین شده‌اند و شامل موارد زیر می‌باشند:

1. حفاظت از داده‌ها و اطلاعات مشتریان: با گسترش استفاده از فناوری‌های دیجیتال، حفظ محرمانگی، یکپارچگی، و دسترسی به اطلاعات مشتریان از اولویت‌های اصلی بانک‌ها است. این الزامات از افشای اطلاعات حساس و وقوع حملات سایبری جلوگیری می‌کنند.
2. افزایش اطمینان در عملیات بانکی: مدیریت ریسک فناوری، ثبات و پایداری سامانه‌های بانکداری الکترونیک را تضمین می‌کند و از قطع خدمات یا نقص در تراکنش‌ها جلوگیری می‌نماید.
3. مدیریت ریسک‌های سایبری: بانک‌ها همواره هدف حملات سایبری هستند. الزامات ریسک فناوری به شناسایی، ارزیابی، و کاهش اثرات این حملات کمک می‌کنند.
4. رعایت قوانین و مقررات: الزامات ریسک فناوری به بانک‌ها کمک می‌کند تا مطابق با استانداردهای ملی و بین‌المللی مانند ISO/IEC 27001 یا مقرراتی که بانک مرکزی تعریف کرده است، عمل کنند.
5. پشتیبانی از نوآوری و تحول دیجیتال: مدیریت ریسک فناوری به بانک‌ها اجازه می‌دهد با کمترین اختلال، از فناوری‌های نوین مانند هوش مصنوعی، بلاک‌چین و اینترنت اشیا استفاده کنند.
6. مدیریت ریسک عملیاتی: این الزامات به شناسایی و کاهش ریسک‌های مرتبط با نقص در نرم‌افزارها، سخت‌افزارها یا خطای انسانی کمک می‌کند.
7. افزایش اعتماد عمومی: با مدیریت صحیح ریسک فناوری، بانک‌ها می‌توانند اعتماد مشتریان، سهامداران، و مقامات نظارتی را جلب کنند.

به طور کلی، هدف اصلی این الزامات، حفظ ثبات مالی، کاهش خطرات فناوری و ارائه خدمات ایمن به مشتریان است.

ریسک‌های فناوری اطلاعات که بانک‌ها را تهدید می‌کنند، شامل موارد متعددی هستند که به دلیل پیشرفت‌های سریع در حوزه فناوری و افزایش پیچیدگی سیستم‌های بانکی، شدت بیشتری پیدا کرده‌اند. این ریسک‌ها عبارتند از

1. ریسک سایبری مانند حملات هکری که در قالب  باج‌افزار، فیشینگ، DDoS عمل می‌کنند و سرقت اطلاعات مشتریان یا داده‌های حساس بانکی.
2. ریسک عملیاتی مثل نقص یا خرابی در سیستم‌های فناوری اطلاعات و خطای انسانی در مدیریت فناوری.
3. ریسک امنیت داده‌ها که می‌تواند افشای اطلاعات شخصی و مالی و از دست دادن داده‌ها یا نقض محرمانگی اطلاعات باشد.
4. ریسک‌های مربوط به زنجیره تأمین همجون آسیب‌پذیری در خدمات ارائه شده توسط تأمین‌کنندگان خارجی فناوری (مانند شرکت‌های نرم‌افزاری یا سرویس‌های ابری).
5. ریسک نوآوری و تغییرات فناوری نظیر شکست پروژه‌های بزرگ فناوری اطلاعات و ناسازگاری سیستم‌های قدیمی با فناوری‌های نوین.
6. ریسک قانونی و انطباق شامل عدم رعایت قوانین مربوط به حفاظت از داده‌ها (مانند GDPR در اروپا و ناتوانی در پیاده‌سازی استانداردهای بین‌المللی امنیت فناوری اطلاعات.)

حجم خسارات ریسک‌های فناوری اطلاعات در ده سال گذشته؟

اطلاعات مربوط به خسارات ریسک‌های فناوری اطلاعات در بانک‌ها به طور دقیق و به تفکیک سال در دسترس عموم نیست، اما برخی تخمین‌ها در سطح جهانی توسط سازمان‌هایی مانند Accenture، IBM و World Economic Forum  ارائه شده‌اند. داده‌های زیر بر اساس تخمین‌ها و گزارش‌های کلی از صنایع بانکی و مالی است:

علل افزایش خسارات در ده سال گذشته ناشی از افزایش دیجیتالی شدن بانکداری، گسترش بانکداری برخط و موبایل و توسعه حملات پیچیده‌تر مهاجمان با استفاده از فناوری‌هایی مانند هوش مصنوعی برای حملات دقیق‌تر است.

افزایش وابستگی به تأمین‌کنندگان خارجی مانند سیستم‌های ابری و نرم‌افزارهای خارجی نقاط ضعف جدیدی ایجاد کرده‌اند و همچنین کمبود نیروی متخصص امنیت سایبری بوده زیرا بانک‌ها به اندازه کافی کارشناسان امنیت فناوری اطلاعات ندارند. برای کاهش خسارات یاد شده بانک‌ها ناچار هستند اقدامات عاجلی همچون سرمایه‌گذاری در سیستم‌های پیشرفته امنیت سایبری، ارتقای دانش کارکنان درباره تهدیدات فناوری اطلاعات، پیاده‌سازی استانداردهای بین‌المللی مانند ISO/IEC 27001. و ارزیابی مداوم ریسک و تست نفوذ به سیستم‌های بانکی را بعمل آورند. یک بررسی مستقل که توسط نگارنده در مورد  خسارات مالی ناشی از ریسک‌های سایبری به بانک‌های جهان در پنج سال اخیر برای کشورهایی مانند آمریکا، انگلستان، آلمان، فرانسه، ژاپن، کانادا، استرالیا و سوئیس صورت گفته اطلاعات زیر قابل ذکر است:

1. آمریکا: این کشور بیشترین میزان خسارات مالی را از ریسک‌های سایبری در بخش بانکی تجربه کرده است. متوسط هزینه هر نفوذ اطلاعاتی در سال ۲۰۲۳ به ۹.۴۸ میلیون دلار رسید.
2. انگلستان، آلمان و فرانسه: بانک‌های اروپایی به‌ویژه به دلیل نیاز به رعایت مقررات GDPR با افزایش هزینه‌ها مواجه بوده‌اند. متوسط خسارات بین ۵ تا ۸ میلیون دلار در هر حادثه برآورد شده است.
3. ژاپن و کانادا: خسارات سایبری در این کشورها نیز رو به افزایش است و به طور متوسط بین ۴ تا ۶ میلیون دلار در هر رخداد تخمین زده شده است.
4. استرالیا و سوئیس: این کشورها با وجود کوچکتر بودن بازار، همچنان با حملاتی مواجه هستند که بین ۳ تا ۵ میلیون دلار خسارت به ازای هر حمله به بار آورده است.

خلاصه متوسط خسارات مالی به ازای هرحمله سایبری در پنج سال اخیر درجدول زیر به میلیون دلار نمایش داده شده است. لازم به ذکراست که اولا مقادیر جدول تقریبی هستند و بر اساس میانگین خسارات اعلام‌شده توسط مؤسسات بین‌المللی برآورد شده‌اند. ثانیا آمریکا به دلیل تعداد زیاد بانک‌ها و ارزش بالای اطلاعات بیشترین آسیب را از حملات سایبری متحمل شده است، ثالثا بانک‌های اروپائی «انگلستان، آلمان، و فرانسه»  به دلیل مقررات GDPR، توانسته‌اند خسارات را نسبتاً کاهش دهند و در ژاپن، کانادا، و استرالیا که از نظر فناوری پیشرفته هستند، اما همچنان هدف حملات سایبری قرار می‌گیرند. نکته مهم نیز آنکه سوئیس با توجه به سیستم بانکی قوی و امنیت بالا، کمترین میزان خسارات را تجربه کرده است.  

برای بررسی خسارات کل ناشی از حملات سایبری به تفکیک در بخش بانکی، باید به عوامل و انواع حملات مختلفی توجه کرد. بر اساس گزارشات منتشر شده در صنعت بانکداری بیشترین خسارات وارد شده در حوزه‌های زیر صورت پذیرفته است :

1. خسارات مالی مستقیم:
   • حملات سایبری مانند کلاه‌برداری از طریق شبکه پرداخت SWIFT یا سرقت اطلاعات مشتریان باعث خسارت‌های سنگین مالی می‌شوند. برای مثال، در حمله به بانک مرکزی بنگلادش در سال ۲۰۱۶، ۸۱ میلیون دلار دزدیده شد قبل از اینکه انتقال‌های بعدی متوقف شوند. این موارد می‌توانند منجر به سرقت مستقیم سرمایه یا اختلال در تراکنش‌های مالی شوند.
2. خسارات ناشی از سرقت اطلاعات:
   • بانک‌ها اطلاعات ارزشمند مشتریان (مثل اطلاعات هویتی و حساب‌های بانکی) را ذخیره می‌کنند که می‌تواند مورد هدف هکرها قرار گیرد. سرقت این داده‌ها منجر به جرایمی نظیر سرقت هویت و کلاهبرداری‌های مرتبط می‌شود که برای بانک‌ها هزینه‌های قانونی و جبران خسارت به همراه دارد.
3. خسارات غیرمستقیم و شهرتی:
   • حملات سایبری می‌توانند اعتبار بانک را خدشه‌دار کنند و اعتماد مشتریان را کاهش دهند. برای مثال، نشت اطلاعات در بانک«کپیتال وان » در سال ۲۰۱۹ خسارت مستقیم محدودی داشت اما تاثیر قابل‌توجهی بر اعتبار بانک گذاشت.
4. هزینه‌های افزایش امنیت و بهبود سیستم‌ها:
   • حملات مکرر بانک‌ها را مجبور می‌کند که برای پیشگیری از تهدیدات آینده در سیستم‌های امنیتی خود سرمایه‌گذاری کنند. هزینه این ارتقا می‌تواند برای برخی بانک‌ها سنگین باشد، به‌ویژه در صورت استفاده از سیستم‌های قدیمی.
5. خسارات قانونی و بیمه‌ای:
   • بانک‌ها ممکن است به دلیل عدم پیش‌بینی یا مقابله با حملات سایبری مورد شکایت قرار گیرند. هزینه‌های قانونی و جرایم احتمالی نیز باید در خسارات کل محاسبه شود.

بانک‌ها به دلیل زیرساخت‌های حیاتی اقتصادی، هدف جذابی برای حملات سایبری هستند و بهبود در مدیریت ریسک‌های سایبری و زیرساخت‌های فناوری اطلاعات، کلید کاهش این خسارات است. مجموع خسارات سایبری وارده به شبکه بانکی کشورهای امریکا- انگلستان -آلمان-فرانسه-ژاپن-کانادا-استرالیاو سوئیس در پنج سال اخیر به صورت تقریبی در جدول زیر نمایش داه شده است:

از سال ۲۰۲۱ تا ۲۰۲۴، سهم موسسات مالی در سراسر جهان که مورد حملات باج‌افزاری قرار گرفته‌اند بترتیب ۳۴-۵۵-۶۴-۶۵ درصد و به طور قابل توجهی افزایش یافته بطوری که در سال ۲۰۲۴، حدود ۶۵ درصد از سازمان‌های مالی در سطح جهانی گزارش دادند که با یک حمله باج‌افزاری مواجه شده‌اند، در مقایسه با ۶۴ درصد در سال ۲۰۲۳ و ۳۴ درصد در سال ۲۰۲۱.

جمع بندی :

با توجه به موارد فوق و ریسک‌ها و حطرات ناشی ار حملات سایبری و تقلب در اشکال نوین که مبتنی بر استفاده از فن‌آوری‌های نوین هستند از آنجا که اگر قرار باشد پس از رفع تحریم‌ها و گذر از معضلات عملیات شبکه بانکی کشور نیز بین المللی و در نتیجه در معرض توفان حملات هکرها و نرم افزارهای هوشمند قرار خواهد گرفت از هم اکنون بانک مرکزی به عنوان مقام ناظر بانکی باید علاوه بر صدور بخشنامه‌ها و دستورالعمل‌های مفید کاربردی در این باره، بلکه موسسات اعتباری را ملزم نماید در یک بازه دو ساله مقدورات و زیرساخت‌های بانکی خود را چنان فراهم سازند تا در آینده پیش رو دچار کمترین آسیب های سایبری شوند زیرا وجوه بانک درواقع وجوه مردم است که اگر مورد هجوم هکرها « سارقان هوشند» قرارگیرد علاوه بر مشکلات خاص سیاسی موجبات بی‌اعتباری شبکه بانکی و پیامدهای خروج پول از بانک را به همراه خواهد داشت.

• درباره نویسنده:
• ‌‌تازه‌ترین‌ها:

نیما نبوی

نیما نبوی؛ مدرس دوره‌‌های حسابرسی فن‌آوری اطلاعات‌، مدیریت ریسک‌، تداوم کسب وکار و مدیریت امنیت اطلاعات موسسه علوم آموزش بانکداری ایران و عضو انجمن حسابرسی فن‌آوری اطلاعات ( کارگروه بانکداری)، کارشناسی ارشد کسب و کار شاخه استراتژی – کارشناسی کامپیوتر سخت‌افزار- سرممیز سیستم‌های مدیریت امنیت اطلاعات و تداوم کسب‌و‌کار.

• سیستم‌های بانکی و معاملات مالی ایران و جهان