به گزارش کارگروه بینالملل سایبربان؛ رگولاتور مالی سنگاپور (MAS) برای محافظت از محرمانه بودن دادهها و اعمال نظارت قوی بر مشارکت با ارائه دهندگان خدمات شخص ثالث، یک بار دیگر دستورالعمل مدیریت ریسک فناوری خود را اصلاح کرد.
تغییرات جدیدی در دستورالعملهای مدیریت ریسک فناوری رگولاتور مالی سنگاپور شامل راهنماییهای جدید در زمینه کنترلهای امنیتی و آزمایشهای استرس برای سیستمهای مالی و همچنین راهنمایی در مورد تعیین فروشندگان شخص ثالث و مدیران ارشد فناوری اطلاعات است.
سازمان مالی سنگاپور هفته گذشته در بیانیهای اعلام کرد که اصلاحات جدید در دستورالعملهای توصیه شده قبلی به منظور کمک به مشاغل و مؤسسات مالی در این جزیره و همگامسازی با فناوریهای همیشه در حال پیشرفت و همچنین تغییر در تهدیدات امنیت سایبری فعلی انجام شدند.
نفوذهای سایبری در مقیاس جهانی در حال افزایش هستند و پیامدهای گستردهتری برای سازمانها، افراد و زیرساختهای دولتی ایجاد میکنند. به عنوان مثال، هک سولارویندز (SolarWinds) در ایالات متحده، ارائه دهنده برجسته نرمافزار مدیریت فناوری اطلاعات، صدها هزار شرکت و نهاد دولتی در سراسر جهان را در معرض خطر قرار داد.
ابزارهای مدیریت فناوری اطلاعات SolarWinds از اجزای رایج محصولات بسیاری از فروشندگان بزرگ از جمله مایکروسافت، «FireEye» و سیستمهای سیسکو (Cisco Systems) هستند. تان یئو سِنگ (Tan Yeow Seng)، مسئول امنیت سایبری اداره مالی سنگاپور، به روزنامه استریت تایمز (Straits Times ) گفت که مؤسسات مالی با اتخاذ فنآوریهای جدید، به طور گسترده به تأمین کنندگان خدمات شخص ثالث وابسته میشوند.
با دیجیتالسازی سراسری در روند صعودی، شرکتهای دارایی به طور فزایندهای به سیستمهای ابر شخص ثالث متکی هستند و رابطهای برنامهنویسی برنامههای کاربردی خارجی (API) را ادغام میکنند و همچنین آسیبپذیریهای سایبری بیشتر میشوند، زیرا شرکتها بیشتر و بیشتر به اکوسیستم پچ حاوی بسیاری از فروشندگان و خدمات پشتیبانی عادت میکنند.
در بیانیه اداره مالی سنگاپور آمده است :
«افزایش حملات اخیر سایبری به زنجیرههای تأمین، كه چندین ارائه دهنده خدمات فناوری اطلاعات را از طریق بهرهبرداری از نرمافزار مدیریت شبکه هدف قرار داد، نشانه روشنی از وخیمتر شدن تهدیدات سایبری است.»
از این رو چارچوب قانونی اصلاح شده، لزوم استفاده از کنترلهای امنیتی و اجرای راهبردهای قویتر برای کاهش خطر را نشان میدهد که باید در حالت ایدهآل به یک مؤلفه ثابت چرخه عمر استقرار فناوری سازمان تبدیل شود.
در این دستورالعملها، نیاز به ارزیابی و مدیریت مواجهه شرکت با خطرات فناوری قبل از توافق قراردادی یا مشارکت با یک ارائه دهنده خارجی مشخص شده است، زیرا این امر نه تنها بر محرمانه بودن دادهها، بلکه بر خطر روی دادهها و سیستمهای فناوری اطلاعات در ارائه دهنده خدمات شخص ثالث نیز تأثیر میگذارد.
براساس شاخص هوشمند سایبری دلویت (Deloitte)، سنگاپور بالاترین سطح آمادگی را در زمینه امنیت سایبری در جنوب شرقی آسیا و به طور کلی منطقه آسیا و اقیانوسیه دارد و سرعت آن برای بهروزرسانی دستورالعملهای سایبری خود در راستای محافظت از خدمات مالی، این نکته را بار دیگر تأکید میکند.
اخیراً پس از اینکه زیرساختهای مهم دولتی و شرکتهای خصوصی استرالیا هدف حملات سایبری دولتی قرار گرفتند، این کشور یک چارچوب ملی امنیت سایبری 65 میلیون دلاری برای محافظت از مشاغل کوچک و متوسط خود ارائه داد.
به گفته کارشناسان، بانک مرکزی نیوزیلند، آخرین مجموعه از مؤسسات مالی سطح بالا، مورد حمله عوامل مخرب قرار گرفت و همین هفته نیز گروهی از فعالان هکر، موسوم به «هکرهای ناشناس مالزی»، تهدید به حمله به وبسایتهای دولت مالزی و دیگر داراییهای آنلاین کردند و مدعی شدند که دولت برای جلوگیری از بسیاری از نقض دادهها و فروش اطلاعات شخصی شهروندان مالزیایی در سالهای اخیر اقدامات کمی انجام داده است.
