آگاهی ­بخشی امنیت سایبری کارکنان شعب بانک ها

 دستورالعمل امنیتی برای مدیران شعبه­ ها

در سال های اخیر آگاهی ­بخشی امنیت سایبری در دستور کار مدیران و سازمان ها قرار گرفته است. امروزه با گسترش قریب الوقوع فناوری اطلاعات و بهره­ گیری از ابزارهای آن در توسعه سازمانی بانک ها، امنیت آن نیز به فراخور از اهمیت فراوانی برخوردار شده است.

همزمان با این رشد فناورانه و ارتقای کیفیت خدمات بانکی، تهدیدهای سایبر – فیزیک نیز مدام بر شدت و وسعت­شان افزوده می­ شود به نحوی که گویا انگار نمی ­توان پایانی را برای آنها متصور شد.

در این میان، مهم ترین مسأله امنیتی که مطرح است و گزارش­ های متعدد شرکت ­های مختلف امنیتی هم بر آن صحه گذاشته ­اند، موضوع «امنیت کارمندان» است. باید توجه داشت نیمی از تهدیدهایی که بانک­ ها با آن مواجه هستند، تهدیدهای درون سازمانی و مرتبط با کارکنان است. از این رو، ارایه راهکارهایی به منظور کاهش مخاطرات نیروی انسانی مسأله­ ای جدی در حوزه امنیت سایبری به شمار می رود.

این مقاله برای مدیران شعب، دستورالعملی را ارایه می‌دهد تا بتوانند راه‌حل‌های مناسبی را به منظور کاهش مخاطره ­ها از طریق آموزش آگاهی­ بخشی کارکنان شعبه خود به کار گیرند.

کارکنان بانکی و امنیت سایبری

تمرکز اصلی تهدیدهای امنیت اطلاعات در حوزه منابع انسانی، بر روی کارمندانی است که با نارضایتی و بی‌توجهی خود می‌توانند خسارت­ های شدیدی را به بار آورده و اطلاعات حیاتی به منظور استمرار کسب و کار بانک را به مخاطره جدی بیندازند.

راهکارهای غیرفنی زمانی مؤثر خواهند بود که کاربران در خصوص وظایفی که نسبت به امنیت اطلاعات دارند، آموزش اثربخش دیده و نیاز به یکپارچه‌سازی این مفاهیم را با کارهای روزمره‌شان درک کنند.

حمله مهندسی اجتماعی که سعی در فریب کارکنان شعب به منظور دستیابی به اطلاعات محرمانه بانکی و اطلاعات حساب مشتریان دارد، همچنان به عنوان تهدیدی جدی برای بانک ­ها به شمار می­ رود که نیازمند بالابردن سطح آگاهی تمامی کارکنان است.

طرح‌های آگاهی بخشی و آموزش کارکنان شعب باید در راستای اهداف امنیت اطلاعات بانک و هم ­راستا با خط­ مشی­ های امنیتی آن بوده و حوزه‌های مختلفی از منابع انسانی، فناوری اطلاعات، امنیت و رویدادهای پیش‌بینی نشده را در بر گیرد.

در واقع، شکاف ­های مربوط به دانش، مهارت و توانایی­ های امنیتی کارکنان باید به کمک آموزش پوشش داده شوند. افزایش آگاهی کارمندان شعب در خصوص مخاطره­ های ناشی از حوادث امنیتی، ایجاد خطا یا اشتباه در سامانه ­ها و تجهیزات پردازش اطلاعات بانک و همچنین قوانین و اصول کلی حفاظت از اطلاعات، از دیگر مواردی است که می­ بایست مورد توجه جدی قرار گیرد.

لازم به ذکر است که در این اصول کلی حفاظتی، تمامی حوزه­ های مرتبط از جمله سندها، تجهیزات رایانه­ ای، ساختمان، دسترسی به سیستم­ ها و نرم افزارها، تلفن، فکس، رفتار در جلسه­ ها و بیرون از محیط سازمانی و غیره بایستی مد نظر قرار گیرند.

دستورالعمل‌های آگاهی­­ بخشی امنیت سایبری

1- کلمه های عبور امن

کارکنان شعب باید از کلمه های عبور پیچیده ­ای که حداقل 8 کاراکتر بوده و شامل اعداد، حروف بزرگ و کوچک و نشانه­ ها است برای حساب کاربری رایانه، سامانه­ ها و نرم افزارهای بانکی­ شان استفاده کنند.

استفاده از رمزهای با طول کم و ساده می­ تواند امکان حدس زدن آنها توسط نرم افزارهای کرک کننده کلمه عبور و همچنین مشاهده و به خاطرسپاری آنها توسط سایر کارکنان را در پی داشته باشد. همچنین کارمندان می بایست هر تلاش غیرمجاز برای دسترسی به سیستم رایانه ­ای و نرم افزارهای بانکی خود را به مدیر شعبه و حراست بانک گزارش کنند.

2- قفل کردن صفحه نمایش رایانه

کارکنان شعب در هنگام ترک میزکار خود باید اقدام به قفل کردن صفحه نمایش رایانه ­شان کنند. باز بودن صفحه نمایش رایانه در زمانی که کارمند پشت سیستمش نیست، امکان سوءاستفاده و انجام فعالیتی را با نام کاربری کارمند مربوطه توسط دیگران فراهم می­ کند.

بنابراین کارمندان به محض ترک میزکار خود لازم است با استفاده از کلیدهای ترکیبی Ctrl+L اقدام به قفل کردن صفحه نمایش رایانه­ شان کنند. همچنین بهتر است کارکنان هنگامی که به مدت طولانی در پشت سیستم ­شان نیستند، از برنامه­ ها و سامانه­ های بانکی که وارد آنها شده ­اند نیز خارج شوند.

3- نگهداری نکردن اسناد مهم بر روی رسانه­ های ذخیره­ سازی قابل حمل

کارکنان شعب نباید اسناد و مطالب طبقه ­بندی شده بانک و اطلاعات حساب مشتریان را بر روی رسانه­‌های ذخیره‌­سازی قابل حمل خود نگهداری کنند. همچنین لازم است از رسانه ­های ذخیره­ سازی قابل حمل بانک برای انتقال فایل­ ها استفاده کنند.

چنانچه این رسانه­ ها به دلیل اندازه کوچک­شان، گم شده و ناخواسته در اختیار افراد غیرمجاز قرار بگیرند می ­توانند مخاطره­ هایی جدی را برای بانک و مشتریان آن به دنبال داشته باشند. توصیه می­ شود پس از انتقال فایل­ ها نیز سریعاً اقدام به پاک کردن آنها از روی این رسانه­ های ذخیره ­ساز کرد.

4- چیدمان اسناد بانکی

کارمندان شعب باید اسناد بانکی و نسخه­ های چاپ شده اطلاعات حساب مشتریان را به نحوی قرار دهند که امکان دسترسی مراجعه کنندگان و مشتریان به آنها وجود نداشته باشد.

دسترسی مشتریان به اسناد چاپی ممکن است بانک را با مواردی همچون سرقت سندها، دسترسی غیرمجاز، افشای اطلاعات و جابه­ جایی مدارک مواجه کند. توصیه می­ شود تمامی اسناد، در زونکن­ های مرتبط قرار گرفته و پس از اتمام کار، سریعاً از روی میزکاری برداشته شده و در کمدها و قفسه­ های قفل­دار قرار داده شوند.

5- عدم امکان مشاهده محتوای اسناد

چیدمان میز کارکنان شعب باید به گونه­ ای باشد که سندها و اسناد مهم بانکی به نحوی بر روی آن قرار گیرند که امکان مشاهده و خواندن آنها توسط مراجعه کنندگان و مشتریان وجود نداشته باشد. کارمندان شعب نیز لازم است اسناد بانکی را به نحوی بر روی میزکاری و کشوهای اطراف خود قرار دهند که امکان مشاهده و خواندن آنها توسط مراجعه کنندگان و مشتریان وجود نداشته باشد.

رعایت نکردن این موضوع می­ تواند موجب افشای ناخواسته اطلاعات بانکی شود. همچنین کارمندان می­ بایست هرگونه سندی که حاوی مطالب طبقه­ بندی شده و محرمانه است را پس از پایان ساعت کاری، از روی میزشان برداشته و در کشوهای قفل­ دار از آنها نگهداری کنند.

6- ندادن اطلاعات غیرضروری به همکاران و مراجعه کنندگان

کارکنان شعب باید از دادن اطلاعات غیرضروری و غیرمجاز به همکاران خود و مراجعه کنندگان (مثلاً در خصوص اطلاعات حساب بانکی سایر مشتریان بانک) خودداری کنند. اصل مهم امنیتی که در این خصوص وجود دارد این است که اطلاعات حداقلی و برحسب نیاز بایستی داده شود و از ارایه اطلاعاتی که نیازی به دادن آنها نیست، به شدت خودداری شود.

7- نبردن اسناد محرمانه بانکی به منزل

کارکنان شعب باید از انتقال اسناد محرمانه و طبقه­ بندی شده بانک و کار بر روی آنها در منزل و خارج از محیط کار منع شوند. لازم است دستورالعمل یا سندی وجود داشته باشد که این موضوع به کارمندان اعلام شود. مهم ترین تهدیدی که چنین رفتاری می ­تواند داشته باشد آن است که امکان سرقت اسناد مهم بانکی وجود داشته و همچنین احتمال دسترسی افراد غیرمجاز به این اسناد بالا است.

8- گزارش موارد مشکوک امنیتی

کارکنان شعب بایستی هرگونه مورد مشکوکی را که در اطراف ساختمان بانک مشاهده می­ کنند، فوراً به مدیر شعبه و حراست گزارش دهند. این موارد مشکوک می ­تواند منجر به تهدیدهایی همچون سرقت­ های مسلحانه بانکی، خفت­ گیری مشتریان، خرابکاری، بمب­ گذاری و فعالیت­ های تروریستی شود. ایستادن­ های طولانی و مشکوک، تجمع­ های غیرعادی و سایر موارد اینچنینی، از دیگر مواردی هستند که کاربران باید آنها را گزارش کنند.

9- پاسخ ندادن به تماس ­های نامشکوک

کارکنان شعب بایستی تماس ­های تلفنی ناشناس و مشکوکی که درخواست اطلاعات بانکی و حساب سایر مشتریان را دارند، سریعاً به مدیران شعبه و حراست بانک گزارش دهند.

چنین تماس ­هایی که اغلب در پی کسب اطلاعات مشتریان بانک هستند، در قالب حملات فیشینگ تلفنی ( ویشینگ ) انجام می ­شوند و نفوذگر به دنبال دسترسی غیرمجاز به اطلاعات، از طریق ایجاد رعب و وحشت در کارمند یا فریب وی توسط تکنیک­ های پیشرفته مهندسی اجتماعی است.

بنابراین لازم است کارکنان، آموزش ­های مناسب را برای مقابله با حملات مبتنی بر کاربر (همچون مهندسی اجتماعی) دیده و بدانند که چگونه از خودشان در برابر افشای ناخواسته اطلاعات بانک و مشتریان آن جلوگیری کنند.

10- رازداری و عدم افشای اطلاعات

کارکنان شعب بایستی توافق ­نامه عدم افشای اطلاعات (NDA) را به عنوان پیوستی از قرارداد کاری­ شان امضا کنند. در این توافق­ نامه که منعکس کننده نیازها و الزام ­های امنیتی است، رازداری و بازگو نکردن اطلاعات محرمانه بانک و مشتریان آن مورد توجه است.

چنین توافق ­نامه ­هایی معمولاً به روشنی، بیان کننده تعهد و پایبندی کارکنان به رعایت الزام ­های امنیتی بانک و مسئولیت ­های آنها در خصوص امنیت اطلاعات هستند. لازم است کارمندان شعب در خصوص موارد گفته شده در این توافق­نامه، به خوبی تفهیم شوند تا ناخواسته برداشت متفاوتی از مفاد آن نداشته و دقیقاً همان رفتاری را داشته باشند که مورد انتظار تدوین کنندگان توافق­نامه است.

11- گزارش نقص­ ها و نقض­ های سایبری

کارکنان شعب باید هر گونه مورد مشکوک مشاهده شده در سیستم­ های رایانه­ ای و سامانه­ ها/ نرم افزارهای بانکی و همچنین نقص ­ها یا نقض­ های امنیتی را به مدیر شعبه خود و حراست بانک گزارش دهند. در بیشتر وقت­ ها، موارد مشکوک این چنینی بیانگر دسترسی غیرمجاز به سیستم ­ها و نفوذ بدافزار به شبکه بانکی است.

بنابراین گزارش سریع رخدادهای سایبری می­ تواند علاوه بر افشای غیرمجاز اطلاعات بانکی، از آلودگی سایر سیستم­ ها و شبکه نیز جلوگیری کند. همچنین کارمندان شعب بایستی در رابطه با مخاطره ­های ناشی از حوادث امنیتی، ایجاد خطا یا اشتباه در سامانه‌های بانکی و تجهیزات پردازش اطلاعات، آموزش­ های آگاهی­ بخش را ببینند.

12- کنترل هویت مشتریان

کارکنان شعب لازم است تنها پس از کنترل دقیق هویت هر مشتری، اقدام به ارایه خدمات بانکی به مشتری مورد نظر کنند. باید توجه داشت که حتی دادن اطلاعات به ظاهر خیلی معمولی همچون اطلاعات مربوط به حساب بانکی فرد نیز می­ تواند منجر به حمله موفق مهندسی اجتماعی و درز ناخواسته اطلاعات شود. خیلی وقت­ ها، اطلاعات معمولی همچون پازلی هستند که وقتی در کنار هم قرار می­ گیرند دارای ارزش زیادی می­ شوند.

13- متصل نکردن رسانه­ های ذخیره ­سازی سیار شخصی

کارکنان شعب نباید رسانه ­های ذخیره­ سازی قابل حمل غیرمجاز را به رایانه­ ها و تجهیزات پردازش اطلاعات بانک متصل کنند. چنین رسانه ­هایی که به سیستم ­های رایانه­ ای مختلف متصل می­ شوند، امکان آلودگی بسیار بالایی را به بدافزارها دارند. تبادل و انتقال اطلاعات بایستی از طریق رسانه­ های ذخیره ­سازی قابل حملی که بانک مجوز استفاده از آنها را داده است، انجام شود.

رسانه­ های سیار نیز پس از اتصال به سیستم باید ابتدا با نرم افزار ضدویروس اسکن شوند تا از وجود نداشتن هرگونه آلودگی بر روی آنها اطمینان ایجاد شود. بررسی نصب و به روز بودن نرم افزار ضدویروس رایانه­ ها از دیگر نکاتی است که باید توسط کارمندان شعب مورد توجه قرار گیرد.

14- ندادن اطلاعات در خصوص نرم افزارهای بانکی

کارکنان شعب باید از دادن اطلاعات مربوط به سامانه­ ها و نرم افزارهای بانکی و همچنین تجهیزات پردازش اطلاعات بانک به مشتریان و مراجعه کنندگان­ شان خودداری کنند.

نفوذگرها معمولاً سعی می­ کنند به روش­ های مختلف، اطلاعاتی را در خصوص نرم افزارها، شبکه بانکی و تجهیزات آن به دست آورند تا از این طریق بتوانند اهداف مجرمانه خود را محقق سازند. البته بعضی از این نرم افزارها نیز آسیب پذیری­ های شناخته شده­ ای دارند که هکرها را در دستیابی به اهداف­شان یاری می­ رسانند.

15- عدم امکان مشاهده صفحه نمایش رایانه

کارکنان شعب بایستی صفحه نمایش رایانه­ شان را به نحوی قرار دهند که امکان مشاهده آنها توسط مشتریان و مراجعه کنندگان وجود نداشته باشد. همچنین ممکن است صفحه نمایش سیستم ­ها، از پشت پنجره بیرونی بانک و طبقه­ های بالایی ساختمان نیز مشاهده شوند که لازم است چیدمان میزها و اتاق ­ها طوری باشد که نتوان آنها را دید. نفوذگران حرفه ­ای معمولاً وارد اماکن شده و سعی می­ کنند از طریق مشاهده، به اطلاعات مورد نیاز خود برای حمله دست یابند.

16- استفاده از ایمیل­ های بانکی برای تبادل اطلاعات

کارکنان شعب باید برای برقراری ارتباطات بیرونی (با شعب سرپرستی و سایر موارد کاری)، تنها از ایمیل­ های رسمی بانک استفاده کنند. استفاده از ایمیل­ های غیربانکی و متداول (همچون جی ­میل و یاهو) می ­تواند موجب دسترسی غیرمجاز به اطلاعات شود.

همچنین کارمندان بایستی هر فایلی که قصد انتقال و تبادل آن را دارند، ابتدا رمزگذاری کرده و سپس اقدام به ارسال آن کنند. قاعدتاً در چنین مواقعی نیز به رمز فایل در داخل محتوای ایمیل اشاره ­ای نمی­ شود.

17- چیدمان تجهیزات

رایانه­ های کارکنان شعب بایستی به نحوی قرار گیرند که امکان دستکاری یا اتصال تجهیزات سخت افزاری (مثل کی­ لاگر) و رسانه ­های ذخیره ­سازی قابل حمل (مثل حافظه ­های فلش) به پشت آنها توسط مشتریان و مراجعه کنندگان وجود نداشته باشد.

نفوذگران ممکن است خود را به عنوان مشتری جا زده و در صورت امکان دسترسی فیزیکی به تجهیزات، اقدام به خرابکاری و اتصال رسانه­ های ذخیره ­ساز آلوده یا کُشنده ­های USB که توانایی سوزاندن تجهیزات را دارند، به سیستم­ ها کنند.

18- به اشتراک نگذاشتن اطلاعات حساب کاربری و فایل­ ها

کارکنان شعب باید از به اشتراک­ گذاری اطلاعات حساب­ های کاربری خود، شامل نام کاربری و رمز عبور سیستم و نرم افزارهای بانکی با سایرین و همکاران خود، حتی مدیر شعبه نیز خودداری کنند.

همچنین کارمندان لازم است از نوشتن و چسباندن اطلاعات ورود به سیستم ­های بانکی، بر روی نمایشگر و صفحه کلید نیز خودداری کنند تا ناخواسته، از طریق حساب کاربری آنها شبکه بانکی دچار مخاطره نشده و از دسترسی و افشای غیرمجاز اطلاعات هم جلوگیری شود. علاوه بر این، کارکنان نباید اسناد و فایل­ های طبقه ­بندی شده و مهم بانک را در درون شبکه، با افراد غیرمجاز به اشتراک بگذارند.

19- سایر ملاحظه­ های امنیتی

بعضی دیگر از ملاحظه­ های امنیتی که کارکنان شعب باید آنها را رعایت کنند، عبارتند از:

• استفاده پسندیده و قابل قبول از تجهیزات و سامانه­ های بانکی در اختیار خود
• صحبت نکردن راجع به بانک و مشتریان آن، در حضور مشتری
• تهیه نسخه­ های پشتیبان از فایل­ ها و اسناد مهم بانکی و همچنین نگهداری آنها در مکانی امن
• پیروی از خط‌ مشی‌ها و رویه‌های امنیتی بانک
• آشنایی با قوانین و اصول کلی حفاظت از اطلاعات (از جمله سندها، تجهیزات رایانه‌ای، ساختمان، دسترسی به سیستم‌ها و نرم افزارها، تلفن، فکس، رفتار در جلسه ­ها و بیرون از محیط سازمانی و غیره)
• پیروی از دستورالعمل­ های انضباطی بانک
• آگاهی از وظایف و مسئولیت­ های امنیتی خویش در مراحل مختلف استخدام (حین استخدام، تغییر شغل و پس از پایان کار)
• نیاوردن بستگان، دوستان و سایر همکاران شعب دیگر، به همراه خویش در بخش­ های داخلی بانک
• نیاوردن هرگونه مواد خطرناک، منفجره و قابل اشتعال به داخل بانک و همچنین تجهیزات و مواد گرمازا و تولید کننده حرارت
• انجام رفتار و واکنش مناسب در هنگام شنیدن صدای هشدار سامانه­ های امنیتی
• نگهداری مُهرهای بانکی در کشوهای قفل­ دار و عدم نگهداری کلید بر روی آن، پس از پایان ساعت کاری
• نحوه کار با کپسول­ های اطفای حریق
• رفتار مناسب در هنگام مواقع بحرانی (همچون گروگان­ گیری، سرقت­ های بانکی و غیره)
• گزارش هرگونه ورود غیرمجاز و حضور افراد ناشناس در بخش ­های داخلی بانک به مدیر شعبه و حراست
• گزارش وجود اشیای مشکوک بدون صاحب در ساختمان بانک و اطراف آن
• امحای امن مستندات کاغذی و دیجیتالی (مثل CDها و DVDها)، مطابق با دستورالعمل­ های بانک
• جابه­ جا نکردن کابل­ های شبکه سیستم­ها و همچنین دستکاری رایانه­ ها و تجهیزات پردازش اطلاعات
• نصب نکردن نرم افزارهای غیرمجاز بر روی رایانه­ های خود
• عدم انتقال اطلاعات و اطلاعات حساب مشتریان بانک از طریق شبکه­ های اجتماعی و پیام­ رسان­ ها (بومی یا خارجی)
• بازنکردن ایمیل­ های مشکوک و دریافتی از سوی افراد ناشناس.