عقدت جمعية البنوك في الأردن ورشة عمل بعنوان “إدارة الامن السيبراني” في مقر الجمعية يوم الثلاثاء الموافق 31/8/2021، والتي شارك فيها عدد كبير من رؤساء وأعضاء مجالس الإدارة والمدراء العامين والمسؤولين في البنوك الأعضاء. وقد تم عقد الورشة بشكلٍ وجاهي وعبر تقنية الاتصال المرئي Zoom بنفس الوقت.
وتنبع أهمية هذه الورشة من أهمية موضوع الأمن السيبراني على المستويين المحلي والدولي، وخصوصا في ظل المنافسة التي تواجهها البنوك عالميا في تقديم الخدمات المصرفية والعمل الرقمي الذي يعتبر الأمن السيبراني من متطلباته الرئيسية.
وقد حاضر في الورشة الخبير المصرفي المتخصص في شؤون حوكمة وإدارة المخاطر وأمن المعلومات والرقابة والتدقيق السيد نادر قاحوش والذي تحدث عن ماهية الأمن السيبراني متطرقاً إلى حجم الخسائر التي منيت بها مؤسسات عالمية فاق مجموعها في سنة واحدة مثل سنة الـ 2016 حجم الناتج المحلي الإجمالي لدولة مثل الدنمارك وذلك بحسب الافصاحات ودراسات المنتدى الاقتصادي الدولي. كما تطرق قاحوش إلى مسؤوليات مجالس إدارات البنوك وكذلك مسؤوليات الإدارات التنفيذية العليا فيما يتعلق بإدارة وحوكمة الأمن السيبراني وتكنولوجيا المعلومات، وذلك بحسب الممارسات العالمية المقبولة وتعليمات البنك المركزي الأردني الصادرة بهذا الشأن، وتطرق أيضاً للحديث حول إدارة المخاطر وآليات المراقبة والتقييم وبناء سجلات مخاطر الأمن السيبراني، وتقييم مستوى النضوج والتدقيق والرقابة على مواضيع الأمن السيبراني، كما قام بعرض الأطر التنظيمية والتشريعية والرقابية العالمية والمحلية للأمن السيبراني، منوها إلى ضرورة اتباع منهج تبادل وتشارك البيانات والمعلومات حول الهجوم السيبراني فيما بين البنوك، لما لذلك من أثر فعال في الحد من حجم الخسائر الممكن التعرض لها والقدرة على التصدي للهجوم السيبراني.
وأضاف قاحوش أن الحديث اليوم انتقل من الأمن السيبراني (Cybersecurity) إلى المرونة السيبرانية (Cyber Resilience) على المستوى القطاعي والمالي المحلي والدولي وليس فقط على المستوى المؤسسي، مشيراً إلى أن المرونة السيبرانية تعرف بأنها القدرة على توقع الهجوم السيبراني قبل حدوثه بالإضافة إلى القدرة على الصمود واستيعاب أثر الهجوم ومن ثم التعافي والحفاظ على ديمومة عمل المؤسسة أثناء وبعد الهجوم.
واستعرض قاحوش الآليات التي يستخدمها المخترقين سواءٌ كانوا أفرداً أو مؤسسات في الهجوم السيبراني، كما تطرق إلى موضوع الهجوم السيبراني المتقدم ذو الطبيعة المستمرة (APT)، منوهاً إلى أن المخترق لا يستهدف الضحية فقط على الأمد القصير، بل يتعدى ذلك إلى المدى المتوسط والبعيد، حيث قد ينتهج المخترق خطة استراتيجية بعيدة الأمد لتدمير المؤسسة من خلال زرع عناصر بشرية عميلة على هيئة مخترقين، لذلك من الحكمة بمكان عدم التقليل من أهمية إجراءات التعيين والترقية في المؤسسة بحيث تكون مبنية على أسس وضوابط تضمن النزاهة والشفافية.
وشدد قاحوش على أن موضوع المرونة السيبرانية تشمل بمحاورها كل من العنصر البشري وآليات التشغيل بالإضافة إلى تكنولوجيا المعلومات، وليس فقط الاهتمام بالجانب التقني الذي يعبر عن الأمن السيبراني (Cybersecurity).
وقد لاقت الورشة مستواً عالٍ من التفاعل من قبل الحضور وتخللها العديد من المناقشات وتبادل الآراء، إضافة لتخصيص جزء للحضور لطرح الأسئلة والإجابة عليها من قبل المحاضر.