كل ماتريد معرفته عن إدارة الأمن السيبراني بالبنك المركزي المصري
يهدف الأمن السيبراني إلى المساعدة على حماية أصول المنظمات ومواردها من النواحي التنظيمية والبشرية والمالية والتقنية والمعلوماتية، ويسمح لها بمواصلة مهماتها.
وهدفه الأسمى هو أن يضمن عدم تضررها ضرراً دائماً، ويتمثل ذلك في تقليل احتمالات سوء الأداء أو ظهور أي تهديد والحد من الأضرار الناجمة عنها، وضمان رجوع العمليات العادية إلى حالتها السابقة خلال إطار زمني مقبول وبتكلفة مقبولة في أعقاب وقوع حادث أمني.
ولإنشاء منظومة متكاملة للأمن السيبراني، من المهم التحديد الدقيق للأصول والموارد اللازمة للوقاية الفعالة؛ الأمر الذي يتطلب نهجاً عالمياً للأمن، نهجاً متعدد التخصصات وشاملاً على مجموعة من الإجراءات والقواعد التي يجب أن تكون متوافقة مع التوجيهات والمعايير الدولية القياسية.
وفى هذا التقرير نستعرض التفاصيل الكاملة حول دور إدارة الأمن السيبراني بالبنك المركزي وأهم المهام والهيكل التنظيمي لقطاع الأمن السيبراني.
وقد كان للبنك المركزي المصري رؤية استراتيجية شاملة ونهج مرن وفعال من أجل التعامل مع تحديات الأمن السيبراني المعقدة الناشئة عن التوصيل البيني واسع النطاق للأنظمة والشبكات، وتزايد الارتباط بين البنى التحتية والاعتماد على التكنولوجيات الرقمية والتهديدات والمخاطر.
وقد اشتمل هذا النهج على تخصيص جميع الموارد المطلوبة لتنفيذ العديد من الأهداف والمبادرات الاستراتيجية مثل تخصيص كيان أو قطاع لمجابهة تحديات الأمن السيبراني، وإنشاء الروابط التقنية اللازمة التي يمكن الاستفادة منها في التصدي لما يقع من حوادث، وتنفيذ تدابير لتخفيف الآثار، وزيادة الوعي بالمخاطر السيبرانية الحالية وتقييمها دوريًا، حيث ينبغي أن تتضمن استراتيجيات الأمن السيبراني، وفق الأطر والمعايير الدولية القياسية، على تنفيذ إجراءات عمليات التقييم الذاتي لتحديد مواطن القوة والثغرات، واتخاذ ما يلزم في هذا الإطار لتحقيق الاتساق مع الأهداف التأمينية والاستراتيجية المرجوة.
وانطلاقًا من أدواره الاستراتيجية والقيادية، اضطلع البنك المركزي المصري في هذا الإطار بمهام توفير التنسيق والقيادة لجهود الحماية الإلكترونية على مستوى القطاع المصرفي والمالي على نحو متسق، وتعزيز أنشطة الاستجابة للحوادث السيبرانية والتعافي منها، ومشاركة المعلومات الأمنية وتحليلها، وذلك من خلال إنشاء أول مركز قطاعي في مصر للاستجابة لطوارئ الحاسب الآلي للقطاع المالي، وتماشيًا كذلك مع المعايير والأطر الدولية، والتي تُوصي بوضع إطار تنظيمي للتنسيق الاستراتيجي والتشغيلي والتثقيفي من أجل تحسين إدارة الحوادث السيبرانية، وتوضيح سياسات وإجراءات تشارك المعلومات، والإشارة إلى الجهات المنوط بها التنسيق في المسائل المتصلة بالسياسات وتبادل المعلومات والتقارير الأمنية.
وفي هذا الإطار، نجح البنك المركزي المصري في تعميم الإصدار الأول من "إطار الأمن السيبراني التنظيمي"، وهو الأول من نوعه في مصر، لتعزيز مواصلة سياسات التقييم الذاتي، والمساعدة في الحفاظ على بيئة عمل وبنية تحتية تتمتع بأعلى درجات الأمن والحماية للبيانات والمعلومات.
- الهيكل التنظيمي لقطاع الأمن السيبراني
حرصًا على تحقيق الرؤية الاستراتيجية للبنك المركزي المصري في بناء إطار متكامل لتعزيز الأمن السيبراني بالقطاع المالي والمصرفي، وفي ظل تعاظم التقدم التقني المتسارع، والسعي المتواصل للاستفادة من مزايا التكنولوجيا في القطاع المالي، وتعزيز القدرة على مواجهة وإدارة جميع أنماط المخاطر الإلكترونية الآخذة في التطور لا سيما مع الاعتماد المتزايد خلال الآونة الأخيرة على شبكة الانترنت والتكنولوجيا المالية للحد من انتشار فيروس كورونا المستجد، فقد قام البنك المركزي المصري باتخاذ العديد من الخطوات والإجراءات التنظيمية والإشرافية منها: إنشاء قطاع مستقل للأمن السيبراني بهدف إيلاء المزيد من الأهمية والعناية بقضايا ومخاطر وتنسيق وتوحيد الجهود والاختصاصات مع مختلف الجهات المعنية بالدولة في مواجهة جميع المخاطر السيبرانية، بحيث يكون هذا القطاع نقطة موحدة للقطاع المصرفي يتم الرجوع إليها في جميع الشؤون المرتبطة بالأمن السيبراني، وكل هذا لتمكين البنوك والمؤسسات المالية من التطور والنمو في بيئة مصرفية آمنة وصلبة وبكوادر فنية مؤهلة.
وفي هذا الإطار، فقد تمكن البنك المركزي من وضع هيكل تنظيمي استراتيجي وتشغيلي للتعامل مع جميع قضايا الأمن السيبراني على نحو موثوق ومتسق، إذ يمكن من خلاله تنفيذ جميع مبادرات وسياسات الخطة الاستراتيجية المتكاملة، وكذلك المساعدة في تعزيز بناء المزيد من الكفاءات الوطنية القادرة على التصدي للهجمات على نحو ملائم وفعال، ويتألف قطاع الأمن السيبراني من الإدارات الآتية:
- مركز الاستجابة لطوارئ الحاسب الآلي للقطاع المالي (EG-FinCIRT)
يختص مركز الاستجابة لطوارئ الحاسب الآلي للقطاع المالي بالتعامل مع الحوادث السيبرانية وطوارئ الانترنت داخل القطاع المالي والمصرفي، وذلك من خلال التنبؤ المبكّر بالحوادث الأمنية ومواجهتها والتخفيف من آثارها ومنع تكرار حدوثها، بالاعتماد على منظومة تقنية غير تقليدية للمراقبة والرصد الأمني، فضلاً عن تحليل الأدلة الرقمية والثغرات الأمنية الخاصة بالجرائم السيبرانية على مستوى القطاع المالي، للوقوف على أسبابها ومنع تكرار حدوثها في المستقبل، وذلك بالإضافة إلى التعامل مع البرمجيات الخبيثة وإجراء الهندسة العكسية (Reverse Engineering).
- الإدارة المركزية لجاهزية الأمن السيبراني
تختص الإدارة المركزية لجاهزية الأمن السيبراني بتوحيد إطار تنظيمي شامل لضوابط الأمن السيبراني في القطاع المالي والمصرفي، وتحديد أفضل الممارسات والمعايير الدولية وإدراجها ضمن القواعد والتعليمات الرقابية الصادرة للبنوك، وذلك بهدف تعزيز أهداف ومتطلبات العمل داخل القطاع المصرفي، وتحديد مقياس مرجعي مستقل لجاهزية الأمن السيبراني لكل المؤسسات الخاضعة لإشراف البنك المركزي المصري.
ومن جانب آخر، تختص الإدارة بتوفير صورة عامة لتحديد المخاطر المتأصلة يتم تصميمها لتتماشى مع حجم الأعمال والتعقيدات التي تغطي العمليات الرئيسية داخل المنظمة، مما يساعدها على الوصول الى مستوى النضج للأمن السيبراني المحدد لها، وتحديد صورة شاملة للمخاطر السيبرانية للقطاع المالي لمساعدة المؤسسات على تحسين استراتيجياتها المرتبطة بالمرونة السيبرانية.
وكذلك، تختص هذه الإدارة بإجراء تقييمات ذاتية وفنية مستقلة للقطاع المصرفي والمالي حول مدى جاهزيته لتحقيق الامتثال والتوافق مع "إطار الأمن السيبراني التنظيمي"، (EG CSF)، والإشراف على نضج وقدرة واستعداد البنوك والمؤسسات المالية لإدارة الأمن السيبراني، والتأكيد على ضمان تطبيق مستويات الوقاية من المخاطر السيبرانية المحتملة بهذه البنوك والمؤسسات المالية، وذلك قبل قيامها بتنفيذ استراتيجياتها ذات العلاقة بالأمن السيبراني، ومن ثم، ضمان عملية التحسين المستمر من خلال بناء ممارسة امتثال مستدامة.
بالإضافة إلى ذلك، تقوم هذه الإدارة بالعمل على تعزيز القدرات التقنية للعاملين بالقطاع المالي من خلال توفير دورات تدريبية احترافية، سواءً عن طريق الكوادر المؤهلة بمركز الاستجابة لطوارئ الحاسب الآلي للقطاع المالي (EG-FinCIRT)، أو بالشراكة مع الجهات الدولية المتخصصة في مجال الأمن السيبراني.
- الإدارة المركزية لخدمات الأمن السيبراني
تختص الإدارة المركزية لإدارة خدمات الأمن السيبراني بتقديم مجموعة من الخدمات والاستشارات التقنية المرتبطة بالأمن السيبراني لأيّ من المؤسسات المالية والبنوك العاملة بالقطاع المصرفي، إلى جانب مراجعة واعتماد الأمن السيبراني بالمنظومات التقنية البنكية والمالية، وكذا مختلف التطبيقات المالية، للتأكد من تطبيق معايير الأمن القياسية قبل إصدار التراخيص والاعتمادات اللازمة لطرحها والعمل بها في السوق المصرية.
كما تختص هذه الإدارة كذلك بوضع لائحة الضوابط والتعليمات الرقابية المرتبطة بآليات وأُطر تأمين وحماية المنظومات التقنية والتطبيقات الإلكترونية المالية ضد الاختراقات الإلكترونية، ومتابعة تعميم ذلك لضمان توفير متطلبات الأمن والجودة عند تطوير أو شراء تلك التطبيقات، وذلك بما يتوافق مع مبادئ وقواعد الحوكمة لهذا الإطار.
وتحمل هذه الإدارة المركزية على عاتقها مهام إجراء الدراسات والبحوث والتطوير في مجال الأمن السيبراني، وتحفيز الابتكار التكنولوجي ونقل أحدث التكنولوجيات المستخدمة في هذا الإطار، وتنمية المهارات التقنية لمواكبة التطورات المتسارعة.
- الإدارة العامة للمشروعات والدعم الاستراتيجي (PMO & Strategic Support)
تختص الإدارة العامة لإدارة المشروعات والدعم الاستراتيجي بوضع وإدارة خطط جميع المشاريع على نحو تكاملي للقطاع والتأكد من تخصيص الموارد لها من أجل تحقيق الأهداف والمخرجات بكفاءة وفعالية في إطار الخطة الزمنية المحددة؛ ومتابعة التنفيذ مع إجراء التقييم والضبط المستمر لتحسين أداء ونتائج ومخرجات هذه المشاريع؛ وكذلك المساعدة في وضع وتطوير استراتيجية القطاع وبيان آليات تقييم الأداء به عن طريق بيان وتحديد مؤشرات لقياس الأداء (KPIs) في ضوء أهدافه الاستراتيجية، والتأكد من اتساقها وتوافقها مع الاستراتيجية المؤسسية للبنك المركزي المصري.
- التدريب والتوعية بقضايا الأمن السيبراني
نتج عن تنفيذ خطط الشمول المالي والتحوّل لمجتمع لا نقدي بالدولة إلى تسارع منحنى التحوّل الرقمي بالقطاع المالي والمصرفي، مما أدى لزيادة تعقيد وتغير نوع وحجم المخاطر المحيطة بالعمليات والمعاملات المالية، لهذا، فالمؤسسات بحاجة إلى الاستثمار بصورة أكبر في تأمين أصولها؛ وذلك عن طريق اتباع استراتيجيات رفع وتعزيز التوعية وتوفير تدريب أمني عالي الجودة لموظفيها، إذ يشكل موظفو المؤسسات والشركات خط الدفاع الأول في ظل استهداف الموظفين باعتبارهم النقطة الأضعف في المنظومة الأمنية بدلاً من اختراق الشبكات نتيجة للتركيز على تأمينها ولصعوبة الأمر.
حيث قد يتسبب تصرف غير مسؤول أو غير واعٍ بمخاطر الهجمات السيبرانية من موظفٍ واحدٍ فقط في خسائر مادية ومعنوية كبيرة يصعب في كثير من الأحيان تداركها.
ولهذا السبب، فإن من الضروري توافر مجموعة من المبادئ التوجيهية والتدريبية بكل مؤسسة وتعزيز ثقافة الأمن السيبراني من خلال تنظيم دورات تدريبية وتثقيفية فعّالة للموظفين للتوعية بالمخاطر الأمنية.
وعلى إثر تضاعف الهجمات السيبرانية على المؤسسات خلال السنوات الماضية، فكل بنك ومؤسسة وشركة في حاجة إلى فريق داخلي متخصص في الأمن السيبراني قادر على الاستجابة بسرعة وفعالية مع أي حادث أمني، وذلك بجانب الاستعانة بخدمات المراكز التنسيقية على مستوى كل قطاع لتوفير طبقة حماية إضافية تساعد على مواجهة تداعيات تلك الهجمات، إذ يوفر مركز الاستجابة لطوارئ الحاسب الآلي للقطاع المالي بقطاع الأمن السيبراني بالبنك المركزي المصري المساعدة اللازمة من خلال التنبؤ بالهجمات السيبرانية ومواجهتها ومنع حدوثها بالقطاع المالي والمصرفي.
ومن جانب آخر، تحتاج المؤسسات المالية والبنوك لإجراء تقييم ذاتي دقيق لترتيب أصولها حسب أهميتها، والتي يجب أن تكثف الاستراتيجية الأمنية بالمؤسسة أو البنك حمايتها كحد أدنى، من خلال منحها الأولوية في إجراءات الحماية الفعالة، بجانب تخصيص جزء من ميزانية تنفيذ السياسة الأمنية يتماشى مع أهميتها وحجمها ومدى حساسيتها وتأثيرها والتهديدات المرتبطة بها ومدى الاعتماد عليها خلال دورة العمل، إلى جانب اتخاذ ما يلزم من إجراءات لتطبيق أي إرشادات أو إنذارات أمنية أو تنصيب أي تصحيحات برمجية (Patches) متعلقة بتلك الأصول بمجرد صدروها من الجهات المختصة، من أجل سد الثغرات الأمنية والحيلولة دون استغلالها من قبِل الغير. ولذلك، فإنه من الضروري تخصيص موارد كافية لإنشاء إدارة أمنية تقوم بتحديث وتطبيق الحلول الأمنية على كافة الأصول، ومن ثم تحافظ على مستوى أمني قوى ومستمر.
ومع الارتفاع المستمر في معدلات الهجمات السيبرانية ، أصبح من الضروري أن تضع المؤسسات والشركات خططًا أولية وسيناريوهاتًا وخططًا بديلة لإدارة تلك الهجمات وهيكلاً للإبلاغ السريع عنها، وأن تتبع سياسات إدارة الازمات وفق الأطر والمعايير الدولية الصادرة في هذا الشأن لضمان استمرارية الأعمال وتقديم الخدمات.