دخول  |  لماذا أصبح عضواً؟
الرئيسية  |   فريق العمل  |   اتصل بنا  |   خريطة الموقع  |   English
  
العدد الحالي
مسابقة العدد
أرشيف المجلة
أرشيف المسابقة
أرشيف الأخبار
حول المجلة
إرشادات الكتابة

العدد الحالي

حماية الخدمات المصرفية الإلكترونية

المؤلف: د. معتصم شفاعمري   أمن المعلومات - العدد (29) - شهر تموز 2008

حماية الخدمات المصرفية الإلكترونية

E-Banking Security

 

أولاً: مقدمة:

بفضل الانتشار الواسع لشبكات الحواسيب وما تقدمه من سهولة في التعامل والتواصل، سعت معظم الشركات والمؤسسات العامة والخاصة والأهلية إلى تقديم العديد من الخدمات اعتماداً على هذه التقانة، وخاصة عبر شبكة الإنترنت. حيث أطلق على هذه الخدمات اسم الخدمات الإلكترونية،ومنها:  health, Egovernment, e-ebanking, e-shopping, etc،...الخ.

وبرغم السهولة في التعامل مع هذه الخدمات، والمزايا المضافة العديدة، فإن هذا الأسلوب الإلكتروني قد أخرج هذه الخدمات من الحيز التقليدي، المحدد في أماكن عمل هذه المؤسسات ومنافذ التواصل مع مستثمريها -المواطنين (أو الزبائن)، إلى الحيز المطلق Global الذي لا يقع ضمن نطاق المؤسسة الجغرافي أو نطاق تنفيذ سياساتها، أو حتى سياسة الدولة التي تقع فيها هذه المؤسسة. إذ يمكن الوصول إلى هذه الخدمات من خارج حدود الدولة، ومن ثَم فإن قوانين الدولة في السياسة العامة لا يمكن تطبيقها على مستثمرٍ لهذه الخدمات يعمل في دولة أخرى، ما لم تكن هناك اتفاقات دولية مشتركة.

 ومن هذا المنطلق جرى التركيز والتشدد عند بناء هذه الخدمات الإلكترونية، على سياسات وإجراءات الحماية الواجب اتباعها في تصميم النظم والبرمجيات التي تقدم هذه الخدمات، وكذلك في متابعة ومراقبة حسن تنفيذ استثمار هذه الخدمات، إضافةً إلى الإجراءات الوقائية الواجب اتخاذها، وذلك للتخفيف من الأذى القابل للحدوث في حال اختراق هذه الأنظمة من قبل بعض الجهات العابثة بهدف مقصود، أو في حال العبث غير المقصود.

تعتبر المؤسسات المالية والمصرفية من المؤسسات الاستراتيجية والاقتصادية الهامة في أي دولة من دول العالم، لهذا يجب اتخاذ إجراءات مشددة من الحيطة والحذر والحماية والمراقبة عند تقديم هذه المؤسسات خدماتها إلكترونياً.

سوف نستعرضُ في هذا المقال بعض النقاط الهامة الواجب أخذها بعين الاعتبار عند دراسة تقديم خدمات مصرفية إلكترونية، ونُسلِّطُ الضوء على أهمية أمن المعلومات فيها.

ثانياُ: تعريف الأعمال (الخدمات) المصرفية الإلكترونية e-banking.

ليس كل موقع لمصرف على شبكة الإنترنت يعني مصرفاً إلكترونياً، وسيظل معيار تحديد المصرف الإلكتروني مثار تساؤل في بيئتنا العربية إلى أن يتم تشريعياً تحديد معيار منضبط في هذا الحقل.

ووفقا للدرسات العالمية المقدمة من قبل جهات الإشراف والرقابة الأمريكية والأوربية، فإن هناك ثلاثة أشكال أساسية للمصارف الإلكترونية على الإنترنت، وذلك حسب طبيعة الخدمات التي تُقدمها :

الأول :- الموقع المعلوماتي ٍSite Informational وهو المستوى الأساسي للمصارف الإلكترونية، أو ما يمكن تسميته بصورة الحد الأدنى من النشاط الإلكتروني المصرفي، يقدم المصرف منه معلومات عن برامجه ومنتجاته وخدماته المصرفية.

الثاني :- الموقع الاتصالي Communicative:  يسمح الموقع بنوع ما من التبادل الاتصالي بين المصرف وعملائه، كالبريد الإلكتروني وتعبئة طلبات أو نماذج على الخط، أو تعديل معلومات القيود والحسابات.

الثالث :- الموقع التبادلي  Transactional وهو المستوى الذي يمكن القول إن المصرف فيه يمارس خدماته وأنشطته في بيئة إلكترونية، حيث يشمل هذا النوع السماح للزبون بالوصول إلى حساباته وإدارتها وإجراء الدفعات النقدية، وسَداد بقيمة الفواتير وإجراء كافة الخدمات الاستعلامية، وإجراء الحوالات بين حساباته داخل المصرف ومع جهات خارجية.

إن غالبية المصارف في العالم قد أنشات بشكل أو بآخر مواقع معلوماتية حسب النموذج الأول، وتعد من قبيل المواد الدعائية، واتجهت معظم المواقع إلى استخدام بعض وسائل الاتصال التفاعلي مع الزبون، على عكس المواقع التبادلية، التي لا تزال اتجاهات المصارف نحوها تخضع لاعتبارات عديدة، فهذه المواقع تعني قدرة الزبون على التعامل مع الخدمة المصرفية عن بعد، وبواسطة الإنترنت، ولعل هذا ما يجعلنا نتمسك بالقول الذي نوضحه لاحقا من أن المصارف الإلكترونية إنما هي المصارف التي تقع في نطاق النمط الثالث من الأنماط المتقدمة.

والفهم الصحيح لكل مستوى من المستويات المتقدمة يتطلب الوقوف على الخدمات التي يباشرها المصرف في كل مستوى، ويوضح الجدول (1) الخدمات المصرفية لكل نوع من الأنواع المتقدمة.

الجدول (1)

أنماط المصارف الإلكترونية ومحتوى الخدمات الموافقة لكل نمط منها

Information delivery

Basic interactivity level

Intermediary level of interactivity

Advanced interactivity level

Electronic brochure

Intermediary level of interactivity

Use customizing resources

Promotional information

Report downloads

Some subscription option

Ways for contact the bank

Recruitment forms

Advertisement

Special offer announcements

Hot links to other sites

Discussion groups.

 

Banks use the Web to improve relationship with customers

Basic interactivity level

Intermediary interactivity level

The advanced level of interactivity

e-mail and forms are the ways a client has to make suggestions and complains

advising tools (as calculators, for example)

More advanced technologies, such as videoconference,

 

The Web is a vehicle for the most common transactions

Lowest level of interactivity

Intermediary interactivity level

Advanced level of interactivity

Opening accounts

A client can have access for information on accounts through balance and statement

Promoting the use of some e-cash as a way to develop transactions through the Web.

Requesting products and services.

Fund transfer

 

Card requests

Bill payments

 

Investment and credit applications

Client has to have some access to the bank database

 

 

ثالثاً: أمن المعاملات والمعلومات المصرفية الإلكترونية :

الحقيقة الأولى  في حقل تحديات امن المعاملات المصرفية أن أمن المصارف الإلكترونية، وكذا التجارة الإلكترونية، جزء رئيس من أمن المعلومات ( IT Security ) ونظم التقنية العالية عموما، وتشير حصيلة دراسات أمن المعلومات، وما شهده هذا الحقل من تطورات على مدى الثلاثين عاما المنصرمة، إلى أن مستويات ومتطلبات الأمن الرئيسة في بيئة تقنية المعلومات تتمثل بما يلي :

·        الوعي بمسائل الأمن لكافة مستويات الأداء الوظيفي

·        الحماية المادية للتجهيزات التقنية، الحماية الأدائية (استراتيجيات رقابة العمل والموظفين)

·        الحماية التقنية الداخلية، والحماية التقنية من المخاطر الخارجية.

أما القاعدة الأولى  في حقل أمن المعلومات فهي أن الأمن الفاعل هو المرتكز على الاحتياجات المدروسة، التي تضمن الملاءمة والموازنة بين مكان الحماية ومصدر الخطر ونطاق الحماية وأداء النظام والتكلفة. ولذا فإن استراتيجيات وبرامج أمن المعلومات تختلف من منشأة إلى أخرى، ومن بيئة إلى أخرى تَبَعاً لطبيعة البناء التقني للنظام محل الحماية، وتبعا للمعلومات محل الحماية وتبعا للآليات التقنية للعمليات محل الحماية، إلى جانب عناصر تكامل الأداء وأثر وسائل الأمن فيه وعناصر التكلفة المالية وغيرها.

 أما القاعدة الثانية فهي أن الحماية التقنية وسيلة وقاية ودفاع، وفي حالات معينة وسيلة هجوم،  ولا تتكامل حلقات الحماية دون الحماية القانونية، عبر النصوص القانونية التي تحمي من إساءة استخدام الحواسيب والشبكات، فيما يعرف بجرائم الحاسوب والإنترنت والاتصالات والجرائم المالية. وعلى هذا يجب أن تتكامل تشريعات المصارف والتجارة الإلكترونية مع النصوص القانونية لحماية المعلومات، وبدونها يظل جسم الحماية بجناح واحد.

وإذا أردنا الوقوف عند الاتجاهات الأمنية في حقل حماية البيانات في البيئة المصرفية، والتي تتخذ أهمية بالغة في حالة المصارف التي تمثل بياناتها في الحقيقة أموالاً رقمية، وتمثل حقوقا مالية وعناصر رئيسة في الائتمان، نجد أن المطلوب هو وضع استراتيجية شاملة لأمن المعلومات تتناول نظام المصرف وموقعه الافتراضي، وتتناول نظم الحماية الداخلية من أنشطة إساءة الاستخدام التي قد يمارسها الموظفون المعنيون داخل المنشأة، وتحديدا الجهات المعنية بالوصول إلى نظم التحكم والمعالجة والمبرمجين، إلى جانب استراتيجية الحماية من الاختراقات الداخلية. وهذه الاستراتيجيات  يجب أن تمتد إلى عميل المصرف لا للمصرف وحده، حتى نضمن نشاطا واعيا للتعامل مع المعلومات وتقدير أهمية حمايتها، ولكل استراتيجية أركانها ومتطلباتها ومخرجاتها. ويقوم تقييم كفاءة الاستراتيجية على مدى قدرتها على توفير مظلة أمن شاملة لنظام المصرف والعميل والنظم المرتبطة بهما.

تقوم استراتيجية حماية البيانات في البيئة المصرفية  على أن أول الخطوات لمستخدمي التقنية ( سواء المصرف بوصفه مستخدماً أم زبائنه الذين يستخدمون التقنية للتوصل إلى موقعه الإلكتروني )  تحصينُ النظام داخليا ( الحاسوب الشخصي أو محطة العمل )، ويتحقق ذلك بإغلاق الثغرات الموجودة في النظام  إذ لكل نظام ثغراته،  فمثلا يوجد في نظام ويندوز الشائع خيار مشاركة في الملفات والطباعة File and Print sharing   الموجود في لوحة التحكم ضمن أيقونة الشبكة Network، فهذا الخيار إذا بقي مفعَّلا أثناء الاتصال بالشبكة، خاصة لمستخدمي وصلات الموديم،  يسمح لأي مستخدم ضمن الشبكة يتصلُ بالنطاق ذاته أن ينقر أيقونة جوار شبكة الاتصال ( Network Neighborhood) فتظهر له سواقات جهاز المستخدم،  ويتمكن من التعامل معها ومع الملفات الموجودة عليها. وكذلك إلغاء خدمة عميل الشبكة ( كما في عميل شبكة مايكروسفت إن لم يكن المستخدم مرتبطا بشبكة محلية عبر مزود NT )، وإلغاء جميع الخيارات التي تسمح باستعمال بروتوكول Net BIOS من خصائص جوار الشبكة إذا كان المستخدم لا يعتمد عليه، لأنه يسمح بالمشاركة بالملفات عبر المنافذ 139-137 في النظام، ويعد أكثر البروتوكولات المستغلة في الاختراق حسب تحليل حالات الاختراق التي قام بها مركز الرصد والاختراق لحوادث الإنترنت. وأيضا التحقق من تحديث الأنظمة المستخدمة ومتابعة ما تصدره الشركات من تعديلات لسد الثغرات التي تظهر في النظم المستخدمة، ويمكن ذلك عبر مواقع الشركات المعنية على الإنترنت، إلى جانب تعديل إعدادات المصفحات أثناء زيارة الموقع غير الآمنة، وتختلف الإعدادات باختلاف المتصفح، لكن الغرض الرئيسي من هذه الخطوة إلغاء استقبال برمجيات جافا و أكتيف  x ( Active X ) أو إلغاء استقبال وإنشاء ملفات  (cookies  ) التي يمكن أن تتضمن معلومات عن كلمات السر أو غيرها مما يجري تبادلها مع الموقع الزائر. و متابعة المواقع التي تكشف عن ثغرات البرمجيات وأنظمة التشغيل وتعالج المشاكل أمنية،  واستخدام البرامج المضادة للفيروسات مع دوام تطويرها وتشغيل برنامجين معا إذا كان النظام يسمح بذلك، دون مغالاة في إجراءات الحماية، وإجراء عملية المسح التلقائي عند تشغيل الجهاز وتشغيل أي قرص، والتدقيق الدوري في عمل برنامج مضاد الفيروسات وإصلاح الأعطال والأخطاء. والحذر من برامج الدردشة والتخاطب مثل ICQ باعتبارها تظل عاملة طيلة مدة عمل الجهاز، ويتعين إلغاء عملها عند الانتهاء من استخدامها ومراعاة محاذير الاستخدام، وعدم تشغيل برامج غير معروفة المصدر والغرض، مما يرد ضمن البريد الإلكتروني أو مواقع الإنترنت لاحتمال أن تتضمن أبواباً خلفية ( Back Doors ) تسهل الاختراق. واستخدام الجدران النارية أو البرامج الشبيهة دون مغالاة بإجراءات الأمن لتأثير ذلك في الأداء، والأهم هو اختيار البرامج الناجعة والمجربة، لأن بعض برامج الأمن تعد وسيلة لإضعاف الأمن وتسهيل الاختراق.

أما إذا كان المستخدم أو الشخص مسؤولاً عن أمن الشبكة، فقد يلجأ إلى استخدام برامج التحري الشخصية واستخدام أنظمة التحري، أو استخدام الحلول البديلة للجدران النارية عند القناعة بعدم فعاليتها، والتي تشمل أجهزة ترجمة عناوين الشبكة NAT  التي تخفي أو تموه العنوان الشخصي المستخدم IP، وكذلك الشبكات الخاصة الافتراضية VPN  التي تعتبر شبكة الإنترنت شبكة عامة وتقوم بتوثيق وتشفير البيانات قبل تبادلها. أو استخدام نظم التشفير، مع مراعاة المشكلات القانونية المتصلة بها وقيود التصدير، والتشفير عنوان وسائل أمن التقنية في الوقت الحاضر.

إن أهم استراتيجيات أمن المعلومات هي توفير الكفاءات التقنية القادرة على كشف وملاحقة الاختراقات، وضمان وجود فريق تدخل سريع يدرك جيدا ما يقوم به، لأن أهم الاختراقات في حقل الحاسوب أتلفت أدلتها لخطأ في عملية التعامل التقني مع النظام. ونقول مجدداً تظل الحماية القانونية غير ذات موضوع إذا لم تتوفر نصوص الحماية الجنائية التي تخلق مشروعية ملاحقة أفعال الاعتداء الداخلية والخارجية على نظم الحاسوب وقواعد البيانات.

 

هل تود إضافة تعليقك على المقال؟ نرجو منك إدخال المعلومات التالية:
أين قرأت المقال
تقييم المقال
تعليق حر

أنت الزائر رقم: 111028