مع توقع أن يبدأ المرخصون للبنوك الرقمية في سنغافورة عملياتهم هذا العام ، فإن سلسلة من عمليات الاحتيال عبر الإنترنت التي تمسح ضحايا مدخرات حياتهم بمثابة مكالمة إيقاظ أخرى وتوضح أن اللوائح في بعض الأحيان هي الطريقة الوحيدة لإخراج المؤسسات من الرضا عن الذات.
عندما يتعلق الأمر بالأمن السيبراني ، غالبًا ما تروج الحكومات والشركات لأهمية "المسؤولية المشتركة" ، مع حث المستهلكين أيضًا على ممارسة النظافة الإلكترونية الجيدة للمساعدة في درء الهجمات وحماية أصولهم الخاصة. ومع ذلك ، كشفت سلسلة من عمليات الاحتيال عبر الإنترنت مؤخرًا في سنغافورة أن اللوم سيُلقى على الأفراد عندما يكون ذلك ممكنًا ، ويوضح أن اللوائح هي الطريقة الوحيدة في بعض الأحيان لإخراج المنظمات من حالة الرضا عن الذات.
الناس والعملية والتكنولوجيا. كم مرة تم التبشير بهذا الثالوث باعتباره الأساسيات الثلاثة لأي اعتماد رقمي ناجح ونهج شامل لضمان وضع أمني جيد؟ ومع ذلك ، أي من الثلاثة له وزن أكبر؟ هل تلعب التكنولوجيا الدور الأكبر في الأمن السيبراني؟ أم أن العمليات هي أهم عنصر في هذه المعادلة؟
عندما يتعلق الأمر باللوم ، يبدو أن عبئًا كبيرًا يقع على عاتق المستهلكين لحماية بياناتهم الشخصية وتحمل العواقب في حالة وقوعهم في عمليات الاحتيال عبر الإنترنت.
أدت سلسلة من عمليات الاحتيال عبر الإنترنت التي شملت ما لا يقل عن 469 عميلًا لبنك OCBC إلى خسائر تجاوزت 8.5 مليون دولار سنغافوري (6.32 مليون دولار أمريكي) ، مع احتيال 2.7 مليون دولار سنغافوري خلال عطلة نهاية الأسبوع الأخيرة لعيد الميلاد التي استمرت ثلاثة أيام فقط. وبحسب ما ورد فقد العديد من الضحايا مدخراتهم ، بما في ذلك رجل يبلغ من العمر 43 عامًا تم مسح حسابه من 500000 دولار سنغافوري ، ومهندس برمجيات يبلغ من العمر 38 عامًا خسر 250 ألف دولار سنغافوري ، ومدير مالي يبلغ من العمر 33 عامًا كان لديه . إفراغ الحساب من 68 ألف دولار سنغافوري .
في هذه الحالات ، التي ظهرت لأول مرة في 1 ديسمبر من العام الماضي ، تلاعب المحتالون بتفاصيل معرف مرسل الرسائل القصيرة لطرد الرسائل التي يبدو أنها من OCBC . دفعت رسائل SMS هذه الضحايا إلى حل المشكلات المتعلقة بحساباتهم ، وإعادة توجيههم إلى مواقع التصيد الاحتيالي وإرشادهم إلى إدخال تفاصيل تسجيل الدخول المصرفي ، بما في ذلك اسم المستخدم ورقم التعريف الشخصي وكلمة المرور لمرة واحدة (OTP).
نظرًا لاستنساخ معرف المرسل الشرعي لـ OCBC بنجاح وانتحال ، ظهرت هذه الرسائل في نفس سلسلة التنبيهات أو الإشعارات السابقة من البنك ، مما دفع الضحايا للاعتقاد بأنها شرعية.
أوضحت OCBC في بيانها الصادر في 30 ديسمبر أن العملاء هم "خط الدفاع الأول" ضد عمليات الاحتيال هذه وأنه بمجرد نقل الأموال من حسابهم ، فإن إمكانية الاسترداد "منخفضة للغاية". قال البنك إنه أصدر أول تحذير له في 23 ديسمبر ، يحذر الجمهور من عمليات الاحتيال ويحذر العملاء من النقر على الروابط المضمنة في الرسائل النصية القصيرة.
منزعجًا من كيفية التعامل مع الاختراق ، أعرب عملاء OCBC المتأثرون عن إحباطهم من الوقت الطويل الذي تم تعليقهم فيه في جهودهم للاتصال بالخط الساخن للبنك وإغلاق حساباتهم لوقف التسريبات. لاحظ العديد عدم وجود إلحاح بين وكلاء عملاء OCBC عندما تم إخبارهم عن الخرق الأمني.
في مقابلته مع منصة الإعلام المحلية Mothership ، أضاف الضحية البالغ من العمر 43 عامًا أن موظفي البنك الذين تراسل معهم لم يبدوا حتى على علم بعمليات الاحتيال الجارية. في إشارة إلى اختراق حسابه في 20 ديسمبر ، تساءل عما إذا كانت OCBC قد فعلت ما يكفي لتنبيه موظفيها وعملائها من المخاطر الأمنية المتزايدة عندما تصاعدت الهجمات منذ أوائل ديسمبر.
غمرت الصحافة السيئة التي تلت ذلك ، قالت OCBC يوم الأربعاء إن جميع العملاء المتضررين من عمليات الاحتيال سيحصلون على "مدفوعات حسن النية الكاملة" بما في ذلك المبلغ الذي فقدوه. جاء ذلك بعد بيانها السابق يوم الاثنين بأنها بدأت في جني "مدفوعات حسن النية" منذ 8 يناير ، لكنها لم تحدد ما إذا كان هذا ينطبق على جميع العملاء أو ما إذا كانوا سيحصلون على كامل المبلغ الذي فقدوه.
من المحتمل أن يرى OCBC هذا الشطب البالغ 8.5 مليون دولار كتكلفة ضرورية في إدارة الأزمات ، ولكن من المرجح أن يستغرق الأمر أكثر من ذلك بكثير قبل أن يتمكن البنك من استعادة ثقة عملائه وسمعة علامته التجارية.
كما أنها تواجه تداعيات محتملة من هيئة النقد السنغافورية (MAS) ، وهي الجهة المنظمة للصناعة ، والتي قالت إنها "ستدرس الإجراءات الرقابية المناسبة" بعد أن أجرى البنك تحقيقًا "شاملًا" لتحديد وسد أوجه القصور في عملياته.
وفي الوقت نفسه ، أدخلت MAS يوم الأربعاء العديد من الإجراءات التي سيتعين على البنوك تنفيذها نتيجة عمليات التصيد الاحتيالي. وتشمل هذه إزالة الارتباطات التشعبية من البريد الإلكتروني أو الرسائل النصية القصيرة المرسلة إلى المستهلكين ، وتأخير 12 ساعة في تنشيط الرموز المميزة لبرامج الهاتف المحمول ، وإنشاء فريق مساعدة عملاء مخصص و "مزود بموارد جيدة" للتعامل مع ملاحظات العملاء بشأن حالات الاحتيال المحتملة.
وفي إشارة إلى أن هذه الإجراءات الجديدة تهدف إلى تعزيز أمن الخدمات المصرفية الرقمية في سنغافورة ، أضافت MAS أنه يجب على المؤسسات المالية تنفيذ مزيد من الضمانات ، مثل فرض فترة تهدئة قبل طلبات إجراء تغييرات على الحساب الرئيسي ، بما في ذلك تفاصيل الاتصال بالعميل.
كما تعمل الحلول الدائمة أيضًا على مكافحة انتحال الرسائل النصية القصيرة ، بما في ذلك اعتماد سجل معرف مرسل SMS من قبل جميع أصحاب المصلحة المعنيين ، وفقًا لما قالته MAS.
يلزم وجود يد تنظيمية أقوى للشركات لأخذ الأمن على محمل الجد
هذه الخطوات ، في رأيي ، ستأتي منذ وقت طويل.
اعتمدت العديد من المؤسسات ، بما في ذلك البنوك ، لفترة طويلة جدًا ممارسات تجارية سيئة تعرض العملاء لخطر الهجمات الأمنية. كما أنهم كانوا يتعاملون بشكل متزايد مع كمية البيانات الشخصية التي يطلبونها من العملاء مقابل الوصول إلى الخدمات ، بما في ذلك الخدمات الهامة.
والأهم من ذلك ، مع استمرار تزايد عدد الهجمات والانتهاكات السيبرانية ، لا تزال الشركات تفتقر إلى خطة مناسبة لمساعدتها على الاستجابة بسرعة أكبر للحوادث الأمنية ووقف أي تسرب محتمل للبيانات.
من الواضح أن OCBC لم يكن لديه إطار عمل خاص بالأمن السيبراني. إذا حدث ذلك ، فسيكون قادرًا على التعامل بشكل أفضل مع المكالمات الواردة من العملاء المحمومون الذين ينبهونهم إلى عمليات الاحتيال وحظر الحسابات المتأثرة بشكل أسرع لمنع حدوث المزيد من المعاملات الاحتيالية.
هناك المزيد من الأسئلة حول سبب سرقة عنوان الرسائل النصية القصيرة للبنك وما إذا كان قد اتخذ أي إجراءات مسبقة لمنع ، أو حتى التحقيق ، في عمليات التصيد الاحتيالي عند ظهورها لأول مرة.
نشرت سلطات تطبيق القانون المحلية عدة مذكرات استشارية ، بما في ذلك واحدة في أبريل الماضي وأخرى في نوفمبر ، حول الرسائل النصية المزيفة مع رؤوس الرسائل القصيرة المزيفة للبنوك.
هل استجابت OCBC لهذه التنبيهات؟ أم هل رأى البنك أنه من المقبول تجاهلها لأن الأوراق الاستشارية كانت بمثابة تحذير للمستهلكين لاتخاذ الإجراءات اللازمة وأن يكونوا "خط الدفاع الأول"؟
ألا ينبغي أن يكون OCBC هو خط الدفاع الأول بدلاً من ذلك في هذه الحالة؟
في رد بتاريخ 17 كانون الثاني (يناير) على التقارير حول رسائل التصيد الاحتيالي عبر الرسائل النصية القصيرة ، قال مدير الاتصالات والتسويق في IMDA ، فو وين دي ، إنه تم إطلاق برنامج تجريبي في أغسطس الماضي لتمكين المؤسسات من تسجيل رؤوس معرف مرسل الرسائل القصيرة التي يرغبون في حمايتها. القيام بذلك باستخدام سجل حماية SMS Sender ID سيساعد في ضمان حظر الرسائل المرسلة عبر الاستخدام غير المصرح به لمعرف مرسل الرسائل القصيرة المحمي.
كتب فو: "ومع ذلك ، فإن نجاح هذا الإجراء يتطلب من مؤسسات مثل البنوك المشاركة في التجربة ، والتي ستشمل تسجيل معرفات مرسلي الرسائل القصيرة التي يرغبون في حمايتها واختيار مجمعي الرسائل القصيرة المعتمدين المسموح لهم بإرسال الرسائل القصيرة إلى البنوك. ' باسمى او لاجلى.
وقالت: "عندما بدأ التسجيل ، قامت بعض البنوك بالتسجيل في السجل. كما قامت منظمات أخرى مثل Lazada و SingPost بالتسجيل. نحث المزيد من الشركات التي تستخدم معرفات مرسل الرسائل القصيرة للقيام بذلك" ، على حد قولها. وأضافت أن IMDA كان يعمل مع شركات الاتصالات في سنغافورة لطرح تدابير أخرى ، بما في ذلك حظر الأرقام المخادعة بشكل شائع.
من المثير للاهتمام أن Foo اختارت عدم سرد أمثلة للبنوك التي شاركت في البرنامج التجريبي ، في حين فعلت ذلك لمؤسسات في قطاعات أخرى.
إذن ، هل وضع OCBC معرف مرسل SMS الخاص به في التسجيل؟ وإذا حدث ذلك ، فهل فعلت ذلك قبل أو بعد ظهور عمليات التصيد الاحتيالي في ديسمبر فقط؟ ولماذا كان البنك الوحيد الذي تضرر بشدة من هجوم الهجمات؟
هذه أسئلة لا يمكن تحملها دون إجابة ، خاصة وأن سنغافورة على وشك دفع نظامها المصرفي الرقمي إلى حالة تأهب قصوى. من المتوقع أن يبدأ العارضون الأربعة الناجحون لتراخيص البنوك الرقمية في البلاد عملياتهم اعتبارًا من أوائل عام 2022.
من الجروح من التقارير العديدة عن مدخرات الحياة التي تم مسحها من الحسابات المصرفية ، مع إلقاء اللوم على الضحايا ، كم عدد الذين سيسارعون للاشتراك في الخدمات التي تقدمها البنوك الرقمية؟ إذا كان المحتالون قادرين على إيجاد ثغرات في أنظمة وعمليات البنوك التقليدية القائمة مثل OCBC ، فما الذي يمكنهم فعله أكثر بالبنوك التي تعمل بالكامل على البنى التحتية عبر الإنترنت؟
علاوة على ذلك ، لم يكن العديد من ضحايا عمليات الاحتيال في OCBC من المجموعات الضعيفة التي كانت أقل ذكاءً من الناحية التقنية وأكثر عرضة لعمليات الاحتيال عبر الإنترنت. كانوا صغارًا ، ويفترض أنهم على دراية بالفعل باستهلاك الخدمات عبر الإنترنت ، ومحترفين في كل من الصناعات المالية وتكنولوجيا المعلومات.
حتى لو تم خداعهم من قبل المحتالين عبر الإنترنت ، فما هو الأمل الذي يوجد للآخرين الأقل اعتيادًا على الخدمات المصرفية الرقمية؟
تلعب ثقة المستهلك دورًا رئيسيًا في دفع عملية التبني ، وإذا تركت دون معالجة بعد سلسلة الأحداث الأخيرة ، فقد تضع مفتاحًا على آمال سنغافورة في عصر مزدهر للخدمات المصرفية الرقمية. على الجانب الآخر ، يمكن أن يؤدي ذلك في الواقع إلى ميزة تنافسية جديدة للاعبين الرقميين الجدد ، بعد أن تآكلت إلى حد ما العلاقة الموثوقة بين البنوك القائمة والعملاء.
بينما يبقى أن نرى كيف ستتعافى الصناعة من ملحمة OCBC ، فإن ما أصبح واضحًا هو الحاجة إلى لوائح أقوى لإخراج الشركات من القصور الذاتي.
على سبيل المثال ، يعد تضمين MAS للاستجابة للحوادث باعتبارها بعض الإجراءات التي يجب على البنوك اعتمادها خطوة جيدة إلى الأمام.
ناقش تقرير ZDNet الذي نشرته الأسبوع الماضي أهمية الاستجابة لحوادث الأمن السيبراني في تعزيز المرونة الإلكترونية وتوافر الشبكة. كما ذكرنا سابقًا ، كان من الممكن أن تساعد خطة الاستجابة القوية للحوادث OCBC على منع الأموال من التسرب أكثر وإنقاذ عملائها ، وكذلك البنك ، من خسارة 8.5 مليون دولار سنغافوري.
يجب أن تكون هناك إرشادات وتفويضات واضحة إذا لزم الأمر ، تضمن استجابة الشركات والبنوك في غضون الوقت المحدد عندما يتصل العملاء بالخط الساخن الخاص بهم بشأن خرق أمني محتمل. يجب أن يؤدي عدم تلبية ذلك إلى عقوبات مالية أو عدم قدرة المنظمات المخالفة من التنازل عن المسؤولية.
يجب أن يُطلب من الشركات أيضًا إصدار تقرير عن الحادث ، بعد تحقيقها في خرق الخدمة ، والذي يسلط الضوء على سبب الاختراق وخطوات الإصلاح المتخذة لسد الثغرات الأمنية ، إن وجدت. عند الضرورة ، يجب أن يتضمن هذا التقرير تدابير إضافية قد يحتاج العملاء إلى اتخاذها لحماية بياناتهم الشخصية بشكل أفضل مع المؤسسة.
على سبيل المثال ، مر شهران منذ أن عانى DBS من أخطر انقطاع في الخدمة في نوفمبر الماضي ، حيث لم يتمكن عملاؤه من تسجيل الدخول أو الوصول إلى خدمات البنك عبر الإنترنت والهاتف المحمول لجزء كبير من يومين. تم تقديم تفاصيل قليلة حول السبب في ذلك الوقت.
هل تخطط لإصدار تقرير يفصل استعراضها للحادث قريباً؟ هل قدمت نتائجها على الأقل إلى MAS؟ إذا لم يكن الأمر كذلك ، فكيف سيتأكد عملاء DBS من أن عمليات وأنظمة البنك لم تسبب انقطاع الخدمة ، وأن بياناتهم وحساباتهم مؤمنة بشكل كاف؟
بالإضافة إلى ذلك ، فإن تنفيذ التدابير الأمنية التي تعتبر حاسمة لمكافحة التهديدات المتزايدة ، مثل تسجيل معرفات مرسل الرسائل القصيرة وحمايتها ، يجب أن يتم تفويضها وتنفيذها ، بدلاً من تركها اختيارية.
إذا كان بإمكان MAS إصدار إرشادات تمنع تسويق خدمات التشفير لحماية المستهلكين من التداول "عند الاندفاع" ، فمن المؤكد أنها يمكن أن تفعل الشيء نفسه لفرض اعتماد خطوات حاسمة لحماية مدخرات حياة الناس؟
في حين أن المخاوف من أن الإفراط في التنظيم يمكن أن يخنق الابتكار أمر صحيح ، فإن القوانين والقواعد ضرورية عندما يكون هناك فشل صارخ ، من جانب الشركات ، في القيام بما هو مطلوب لمصلحة عملائها.
نعم ، يعد الأمن السيبراني مسؤولية مشتركة ، لكن هذا لا يعني أن الشركات سترفع أسلحتها في أول فرصة وتقول ، "لقد أخبرناك بذلك" ، عندما يرتكب العملاء خطأ ويسقطون - لاستخدام مصطلح المنظمات التي تم اختراقها يشير عادةً إلى - عمليات الاحتيال عبر الإنترنت "المتزايدة التعقيد".
يجب أيضًا بذل جهود متساوية لمعالجة واحتواء تأثير الحوادث الأمنية على الفور ، بغض النظر عن كيفية حدوث الخرق. افتراض موقف الانتهاك لا يعني أن الشركات تتخطى العناية الواجبة.
وفي المرة التالية التي يذكر فيها شخص ما المفاضلة بين الراحة والأمان ، ذكّره بالحسابات المصرفية التي تم استنزافها من مدخرات الحياة عبر رابط واحد في رسالة نصية قصيرة.