هندسة جامعة الإمام عبد الرحمن بن فيصل تشارك في مبادرة "مجتمع أبحاث المياه    ستانيشيتش: بلوغ نهائي الدوري الأوروبي أهم لليفركوزن    استمرار هطول أمطار رعدية متوسطة على معظم مناطق المملكة    النصر يهزم الأخدود بثلاثية في "روشن"    بيئات قتالية مختلفة بختام "الموج الأحمر 7"    35 طالباً سعودياً يرفعون التحدي ب"آيسف 2024″    629 موقعاً مزيفاً تستهدف جيوب السعوديين ب«الاحتيال»    مقرن بن عبدالعزيز يرعى حفل تخريج الدفعة السادسة لطلاب جامعة الأمير مقرن    الشاعرة الكواري: الذات الأنثوية المتمردة تحتاج إلى دعم وأنا وريثة الصحراء    العرب ودولة الإنسان    حين يتحوّل الدواء إلى داء !    أدوية التنحيف أشد خطراً.. وقد تقود للانتحار !    مصير مجهول للمرحلة التالية من حرب روسيا وأوكرانيا    الاتفاق والنصر إلى المباراة النهائية لممتاز قدم الصالات    الاتحاد يتغلّب على الهلال وينتزع ذهب نخبة الطائرة    جمال الورد    ذكاء التوقيت والضمير العاطل    المركز الوطني للمناهج    ب 10 طعنات.. مصري ينهي حياة خطيبته ويحاول الانتحار    سقوط الجدار الإعلامي المزيف    99 % انتشار الإنترنت في المملكة    جامعة الأمير مقرن بن عبدالعزيز تحتفل بتخريج الدفعة السادسة    رَحِيلُ البَدْرِ    انكسار الهوية في شعر المُهاجرين    المقاهي الثقافية.. والمواهب المخبوءة    مفوض الإفتاء في جازان يشيد بجهود جمعية غيث الصحية    لاعبو الأندية الإيطالية خارج القائمة.. ولاعبو «البريمير ليغ» الأكثر حضوراً    الاتفاق يكمل جاهزيته لمواجهة الاتحاد في الجولة 31 من دوري روشن    «البعوض» الفتاك    تعزيز الاستدامة وتحولات الطاقة في المملكة    أمير منطقة جازان يلتقي عدداً من ملاك الإبل من مختلف مناطق المملكة ويطّلع على الجهود المبذولة للتعريف بالإبل    الحياة في السودان مؤلمة وصادمة    رئيس جامعة جازان المكلف ⁧يستقبل مدير عام الإفتاء بالمنطقة    رئيس المجلس العسكري في تشاد محمد إدريس ديبي إتنو يفوز بالانتخابات الرئاسية    أولمبياكوس يهزم أستون فيلا ويبلغ نهائي دوري المؤتمر الأوروبي    أمانة الطائف تسجل لملّاك المباني بالطرق المستهدفة لإصدار شهادة "امتثال"    أسماء القصيّر.. رحلة من التميز في العلاج النفسي    كيف نتصرف بإيجابية وقت الأزمة؟    حقوق الإنسان في القاموس الأمريكي    رسالة من أستاذي الشريف فؤاد عنقاوي    بلدية صبيا تنفذ مبادرة لرصد التشوهات البصرية    وزير النقل: 500 ريال قيمة التذكرة بين الرياض وجدة.. ولا نتدخل في أسعار «الدولية»    دلعيه عشان يدلعك !    للرأي مكانة    تجنب قضايا المقاولات    شركة ملاهي توقّع اتفاقية تعاون مع روشن العقارية ضمن المعرض السعودي للترفيه والتسلية    مكان يسمح فيه باقتراف كل الجرائم    قُمري شلّ ولدنا    تدشين مشروعات تنموية بالمجمعة    الملك وولي العهد يعزيان رئيس الإمارات في وفاة هزاع بن سلطان بن زايد آل نهيان    مستشار أمير منطقة مكة يرأس الأجتماع الدوري لمحافظي المنطقة    مغادرة أولى رحلات المستفيدين من مبادرة "طريق مكة" من تركيا متجهة إلى المملكة    نائب أمير عسير يتوّج فريق الدفاع المدني بكأس بطولة أجاوييد 2    مفتي عام المملكة يستقبل نائب الأمين العام لرابطة العالم الإسلامي    المملكة تدين الاعتداء السافر من قبل مستوطنين إسرائيليين على مقر وكالة (الأونروا) في القدس المحتلة    أمطار رعدية ورياح تؤدي إلى تدني في الرؤية بعدد من المناطق    القيادة تعزي رئيس البرازيل    فهيم يحتفل بزواج عبدالله    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



مبادرة للتشديد على البنوك المحلية لإعداد ووضع شروط وأحكام أمن الخدمات المصرفية عبر الإنترنت
موجز الدليل الارشادي لأمن الخدمة
اليوم نشر في اليوم يوم 02 - 07 - 2003

أخذت مؤسسة النقد العربي السعودي زمام المبادرة للتشديد على البنوك المحلية لإعداد ووضع أهداف تلك الإشتراطات والأحكام المتعلقة بأمن الخدمات المصرفية عبر الإنترنت ومن ثم العمل على تحقيقها للتأكد من الوصول إلى المستوى المقبول من الإحترازات والجوانب الأمنية في تقديم الخدمات المصرفية وأنظمة المدفوعات عبر الإنترنت.
وإستطاعت الخدمات والمنتجات المصرفية المتوافرة عن طريق الشبكة العالمية للمعلومات (الإنترنت) أن تقدم فرصاً هائلة للبنوك ، فهي تتيح لهذه البنوك التوسع وايجاد فرص تنافسية كبيرة في أسواقها من خلال الإستمرارية في أنشطة جذب الودائع ومنح الائتمان بصورة أكبر ، كما تتيح لها تقديم خدمات ومنتجات مصرفية جديدة أو دعم وتقوية وضعها التنافسي في السوق عن طريق تقديمها واستخدامها لأنظمة المدفوعات المتاحة حالياً ، بالإضافة إلى أن الخدمات المصرفية المتاحة عن طريق الإنترنت بإستطاعتها أن توفر في تكاليف التشغيل الخاصة بالبنوك والمؤسسات المالية .
ومما لاشك فيه فإن الاستمرار في تطوير الخدمات المصرفية المتاحة عن طريق الإنترنت تساهم بشكل أو بآخر في تحسين كفاءة أنظمة المدفوعات والأنظمة البنكية وتساهم أيضاً في خفض تكلفة العمليات الخاصة بعملاء التجزئة في البنوك سواء على المستوى الإقليمي أو المستوى الدولي ، وكذلك يكون للعملاء والبنوك القدرة على رفع كفاءة عمل أو استلام مدفوعاتهم وبالشكل الذي يكونوا فيه مرتاحين جداً بأداء تلك الأعمال ، كما أن الخدمات المصرفية المتاحة عبر الانترنت يمكن أن تساعد المؤسسات المالية في توفير عدد من القنوات والمنافذ للعملاء الذين كانو يعانون سابقاً من محدودية هذه الأنظمة والمؤسسات.
الفوائد والمقاصد
وعلى القدر الذي يمكن الجزم به حيال التطورات التقنية والسوقية المستقبلية في الخدمات المصرفية المتاحة عبر الإنترنت فإنه من المهم جداً أن تتجنب الصلاحيات الإشرافية كل السياسات والممارسات التي يمكن أن تحول دون تحقيق الفوائد والمقاصد التي من أجلها تم تطوير تلك التقنيات والخدمات ، ولايخفى في ذات الوقت أن البنوك قد أدركت بأن تلك الفوائد والخدمات التي تتيحها الإنترنت قد تتضمن مخاطر عديدة ويجب أن يتم أخذها بالاعتبار ومحاولة الموازنة بين تلك الفوائد وهذه المخاطر .
ارشادات التطوير
1 إن الهدف من هذه الوثيقة هو تزويد البنوك والمؤسسات المصرفية والمالية بدليل وإرشادات لتطوير وسائل وأساليب تعريف وتحديد وإدارة التحكم في المخاطر المرتبطة بالخدمات المصرفية المتاحة عبر الإنترنت ، ومؤسسة النقد العربي السعودي إذ هي تمارس دورها في ذلك فهي ترغب بتشجيع البنوك المحلية لتطوير إجراءات إدارة المخاطر وبالشكل الذي يتم التأكد من خلاله بأن هذه الإجراءات تتعامل بدرجة كافية مع جميع المخاطر المعروفة وأن هذه الإجراءات مرنة بالدرجة التي تستطيع فيها التكيف مع التغيرات في نوعية وحدة تلك المخاطر المرتبطة بالخدمات المصرفية المتاحة عبر الإنترنت ، ويمكن أن تتأثر إجراءات إدارة المخاطر فقط إذا كانت درجة التغيير أو التطوير مستمرة .
خارطة الوثيقة
وهذه الوثيقة تم إعدادها كالتالي: الفصل القادم يتضمن تعريف وتصنيف المخاطر التي يمكن أن تواجه البنوك في تقديمها لخدماتها عبر الإنترنت ، أما الفصل رقم (3) فهو يقدم لأهداف التحكم والحد من المخاطر وتقليصها إلى أقل درجة ممكنة عند تقديم البنوك لخدماتها الفورية في حين يتناول الفصل رقم (4) إدارة المخاطرة وإطار التحكم الضروري لتلك الأهداف التي يجب تحقيقها ، وفيما يتعلق بالبنوك التي تقرر بأنها تقدم وتوفر خدمات فورية مستقاة من الخارج (خارج سوق المملكة وضوابطه ومعاييره) يجب أن تكون حذرة وتتوخى العناية بالمخاطر التي يمكن أن تظهر نتيجة عدم خضوعها لضوابط السوق السعودي وكذلك طرق وأساليب إدارتها ومتابعتها كما هو موضح في الفصل رقم (5) والفصل التالي رقم (6) فهو يشدد على أهمية إدارة العلاقة مع العميل وأنه يجب على البنوك تبليغ عملائهم عن مخاطر إستخدامهم للخدمات المصرفية المتاحة عبر الإنترنت وكيفية تأهيلهم لأستخدامها بأسهل الطرق وأكثرها أماناً ، وأخيراً ، فإن الفصل رقم (7) يتضمن موجزا لمنهج الإشراف المناسب الذي تنوي المؤسسة تبنيه.
المخاطر الشائعة
2 طبيعة المخاطرة الشائعة التي لها علاقة بالإنترنت :
إن إستمرارية التطورات المتقدمة في التقنية ودورها المتميز في التجارة ستقود المؤسسات والمنظمات المالية حتماً نحو الشبكة العالمية للمعلومات ( الإنترنت) وذلك بشكل إضطرادي وإستخدامات الإنترنت يمكن أن تنطوي على معلومات فقط ، تبادل معلومات ، أو مواقع تداول معاملات بحتة على الوب world wide web ))، أو من خلال استطاعة الدخول على الإنترنت التي يمكن أن تتم إما من داخل أو خارج البنك أو المؤسسة المالية ، وبغض النظر عن ماهية الإستخدام لتلك الشبكة فإن عددا هائلا من المخاطر تحتويه عملية الإستخدام تلك والتي يجب أخذها بعين الإعتبار في برنامج إدارة المخاطر للبنك ، إن الإختراقات الأمنية الناتجة عن أحد العوامل التالية قد تكون قليلة جداً ونادرة حالياً ، ولكن كبنوك تسعى لتوسيع ونشر دورها من خلال التجارة الإلكترونية فمن المحتمل جداً أن تصبح أهدافاً مرغوبة ومميزة لنشاطات وممارسات غير أخلاقية.
مخاطرة قليلة
2-1 الإختلاف في المخاطر طبقاً لمستوى الخدمة :
@ خدمة المعلومات (مخاطرة قليلة)
هذا هو اكثر نموذج مبسط من خدمات الإنترنت الفورية التي تتيح الإتصال من جهة واحدة والتي عادة ما تغطي الإعلانات ، مواد التحفيز ... الخ ، وهذه النوعية من مواقع الإنترنت عادة ما تكون أهداف سهلة لتدميرها وإتلاف المعلومات الأساسية الخاصة بهذه المواقع مما قد ينتج عنها أو تتسبب في أذى لمستخدميها.
مخاطرة متوسطة
@ تبادل المعلومات (مخاطرة متوسطة)
العملاء بإستطاعتهم الاتصال مع البنك الخاص بهم ، والإستفسار عن حساباتهم ، وتعبئة النماذج الخاصة بتلك الحسابات ..... الخ ، وبالتالي المخاطرة المترتبة على ذلك والخاصة بتلك المواقع تعتمد على توافر خدمة الإتصال المباشر لهؤلاء العملاء مع الشبكة الداخلية للبنوك .
مخاطرة كبيرة
@ خدمة إنشاء وتداول معاملات (مخاطرة كبيرة)
إن خدمة وتمكين العملاء من إتمام معاملاتهم فوراً أو بشكل مباشر مع البنوك الخاصة بهم عن طريق مواقع على الإنترنت مثل تحويل الأموال ، دفع الفواتير ، التسوق الفوري والمباشر وبقية المعاملات ذات الطابع المالي ، فهي في الغالب تتضمن بيع وشراء أمانات ، وطبقاً لذلك فهي مصنفة إنها ذات مخاطرة كبيرة وتتطلب أقصى درجات التحكم بها .
مخاطر أخرى
2-2 بقية أنواع المخاطر :
@ هجمات خارجية :
من الشائع جداً وطبقاً لمصطلحات الإنترنت يطلق على المهاجمين لقب المدمرين (هاكرز) حيث أنه من المفترض وحسب ما هو معروف عنهم بين العامة بأن لديهم شغف في تحدي الأنظمة الأمنية للمواقع ، وهؤلاء الأفراد (المدمرين) لديهم القدرة على الدخول على المواقع وبالتالي على الأنظمة والمعلومات والعبث بها من خلال جهاز الخادم الذي يقوم بتشغيل النظام أو العبث في المحتويات الفعلية لصفحات الموقع ، كما أن جهاز الحاسوب الخاص بالعميل (الحاسوب الشخصي) هو أيضاً عرضة لهجمات الشبكة المباشرة أو غير المباشرة وكذلك الهجمات المادية (الفعلية) .
كما أن التنصت الإلكتروني هو الآخر محتمل جداً من قبل أولئك الأشخاص نتيجة أنه يمكن الحصول على بعض البيانات والمعلومات الإلكترونية المتسربة من جهاز الحاسوب والبعض الآخر من توصيلات الشبكة ومن ثم كشفها وتجميعها لتصبح بيانات ومعلومات ذات فائدة ، لذا فإن بعض الهئيات والمؤسسات تحتفظ بأنظمتها الحساسة في أماكن مزودة بنظام أمني لمنع التسرب في المعلومات .
مخاطر داخلية
@ مخاطر داخلية :-
الإختراقات الداخلية ، أو إختراق الأنظمة الأمنية من قبل شخص داخل الهيئة أو المنظمة ذاتها والذي يكون من المحتمل جداً هو شخص مخوّل بالدخول إلى عناصر النظام سواء معدات وأجهزة أو برامج هي قضية أخرى تؤخذ بعين الاعتبار ، حيث أن الإختراقات الداخلية هي من بين أكثر القضايا التي تواجه البنوك خطورة وأهمية ولا فرق في مدى الخطورة بين أن يكون مصدره من خارج الهيئة أو المنظمة أو مصدره من داخل الهيئة أو المنظمة ، وبناءً على ذلك فإنه لا يجب أن يحصل نفس الشخص وفي نفس الوقت على الصلاحيات لدخول الأنظمة التي تشتغل فعلياً والأنظمة الإحتياطية معاً ، وخصوصاً ملفات البيانات والتسهيلات التي يتيحها هذا الحاسوب وكذلك أنظمة التشغيل وتطوير وتصميم الأنظمة ، التطبيقات ، التشغيل ، إدارة قواعد البيانات ، .........الخ .
الاحترازات الامنية
إن الإحترازات الأمنية الفعلية والشفرات الأمنية مطلوبة بشكل أساسي للأشخاص والمسؤلين في المنظمة أو الهيئة للتحكم في والحدّء من الأنشطة غير الشرعية ، وبهذا فإن إستخدام تقنيات متطورة ومختلفة سيقود حتماً لتقليل المخاطر من الهجمات الداخلية كما أنه يتيح أيضاً حماية ضد أنواع وأجيال أخرى من الهجمات ، أما الحلول التقنية الشائعة فهي تتضمن كشف الإختراقات ، متابعة محاولات الإتصال بالنظام والأحداث الخاصة به ،والتحكم بإصدارات البرامج .
الشفرات الامنية
@ الشفرات والرموز غير الأخلاقية :
إن إستلام وتوزيع عناصر الشفرات والرموز غير الأخلاقية مثل (مايعرف بحصان طروادة أو الفيروسات ) من الممكن أن تتسبب في مخاطر أمنية ومن الشائع جداً أن تتسبب في أذى كبير جداً للبرامج والحاسبات المتصلة مباشرة بالإنترنت ، فالعديد من المواقع ومن بين خصائصها تتضمن إستلام وتوزيع الملفات والبرامج وتقديمها للمستخدم النهائي ، وهذه فقط واحدة من الطرق التي يتم من خلالها توزيع الشفرات والرموز غير الأخلاقية وبعبارة أخرى فإن تلك المواقع قد تتضمن خاصية البريد الإلكتروني ( مع أو بدون ملحقات ) والدخول عن طريق الشبكة المحلية .
رفض الخدمة
@ رفض الخدمة : ( DENIAL OF SERVICE )
إن رفض الخدمة وتوافرها في الموقع يجب أن تؤخذ بعين الاعتبار لدى المسؤل عن الموقع ،وبهذا فإن الحماية من غير المخولين بالدخول والإشراف على محتويات الموقع غير كافي أخذه بالإعتبار حيث أن توقف النظام قد يكون ناتج من خلل أو عطل في الطاقة الكهربائية أو مشاكل إتصال إقليمية كما أن الكوارث الطبيعية قد تكون نتيجة لعدم الشعور بالرضا من عميل وتتسبب بأذى كبير لمدير موقع الشركة أو المجموعة .
حجب الخدمة
@ حجب الخدمة أو التأثير سلباً عليها : ( SPOOFING )
إن حجب الخدمة أو فقدانها هو أحد أنواع الهجوم الذي يستهدف مزودي الخدمات الذين يستخدمون شبكات عمل مفتوحة كقنوات للدخول وعادة ما يتجاهلها مصممو الخدمات ومهندسو الأنظمة ولا يعيرونها إهتماماً ، وفي شبكات عمل مفتوحة وبالذات الإنترنت هناك إحتمال كبير لإمكانية أن يؤدي العابثون أو المغرضون دور المستخدم الأساسي أو الأصلي أو دور الوحدة الاصلية الخاصة بشبكة العمل ( تقمص الشخصية).
وكل هذا ممكن أن يحدث بإسخدام عدة طرق مثل التلاعب في الربط بين أسم الموقع ورقمه ( DNS ) أو الربط بوحدة أتصال وهمية وبمعنى آخر الربط الوهمي بموقع غير رسمي ، ولهذا تكون النتيجة النهائية أن المستخدم الاساسي أو الاصلي لايعرف بأنه متصل أو مربوط مع موقع أو شبكة وهمية وبأنه يتعرض لعملية نصب واحتيال قد لا يدركها إلا بعد حين ، ومثل هذا النوع من الهجوم من الممكن أن يتسبب بتلفيات لاحصر لها لمزودي الخدمات الفورية والمباشرة .
اللا مبالاة
@ عدم الإكتراث :
إن عدم الاكتراث بالجوانب الأمنية خصوصاً في التعامل مع بيانات حساسة أو عند تهيئة الأنظمة الأمنية من الممكن أن تتسبب في إنهيار كامل لتلك البيانات أو الأنظمة المتعلقة بها ، ومن نافلة القول بأن أفضل الأنظمة الأمنية إذا لم يتم إدارتها أو التعامل معها بالشكل الملائم والمناسب فإنها في النهاية سترفع من حدة المخاطر المحتملة ، كما أن السياسات والاجراءات الرديئة والضعيفة ستؤدي بالتالي إلى فشل الاحترازات الأمنية أو/ و ستستخدم كأدلة إثبات رسمية من وكالات المراجعين سواء الخارجيين أو الداخليين .
وعلى هذا تود مؤسسة النقد العربي السعودي من البنوك أن تقوم بوضع وإتباع سياسات واجراءات توضح وتحد من تلك المخاطر ، مع ملاحظة أن هذا الدليل يضع الإطار العام لتلك السياسات والاجراءات بالاستناد على طريقة حساب التكلفة وتأثيرها ، كما ان هذا الدليل سيوفر القواعد الأساسية في التركيز على التدريب الضروري على النواحي الأمنية والبرامج الإدراكية للمستخدمين والإداريين المعنيين .
أهداف التحكم والضبط
3 الأهداف من التحكم والضبط في الخدمات المصرفية عبر الإنترنت :
إن التهديدات للجوانب الأمنية والمتمثلة في هجمات الذين ليس لديهم صلاحية ، أو المستخدمين لأساليب وهمية أو العابثين أو المدمرين أو بقية من لديهم نشاطات وممارسات غير قانونية تتطلب وضع سياسة أمنية تغطي أهداف التحكم التالية :
* التحكم والضبط في الاتصالات
* سرية البيانات
* موثوقية الرسائل والبيانات
* المصادقة للمستخدمين والوحدات
* عدم نكران ( جحود ) المعاملات
* التحكم والضبط في الدخول (المنافذ)
* أمن شبكة العمل
* متابعة الحركة والتدقيق
* توفير النظام ، القدرة على التكيف واحتواء الكوارث
* حماية العميل
سرية البيانات
3-1 سرية البيانات :
وهذا يعود إلى أن حماية معلومات البنوك الحساسة والأنظمة الفورية والمباشرة والتشفير الملائم والمطلوب لها يعتمد على نوعية المخاطرة المتاحة والمتواجدة على شبكة العمل والأنظمة التي يمارس ذلك البنك نشاطه من خلالها وذلك باختيار لوغارتيمات التشفير طبقاً للمواصفات والمعايير الدولية ، وبذلك فإن التسهيلات والإجراءات المناسبة تعتبر جوهرية لإدارة مفاتيح تشفير الرسائل والمعلومات من أجل عمليات أمنية ووثيقة لجميع الأنظمة الأمنية الخاصة بتشفير الرسائل والمعاملات .
وعدا البيانات المحمية بالطرق الملائمة ، فإن تحويل البيانات وبما يتضمنه من بريد إلكتروني ، ونظام التنقل المفتوح عبر الإنترنت من الممكن العبث والتعديل عليها وقراءتها من قبل الآخرين .
ومن خلال الحجم للبيانات المنتقلة عبر الإنترنت والمسارات العديدة التي يمكن أن تسلكها هذه البيانات في تنقلها ، ومن غير المتوقع أن تراقب هذه البيانات بطريقة عشوائية حسب مرورها في الإنترنت ولكن برامج الكشف (SNIFFER ) من الممكن إعدادها ووضعها في المواقع المحتملة على شبكة العمل مثل خادم الموقع (كأن تكون حاسوبات توفر خدمات لحاسوبات أخرى على الإنترنت) وذلك ليتمكن من النظر وتجميع أنواع البيانات المطلوبة بسهولة ، والبيانات التي تم تجميعها من مثل تلك البرامج يمكن أن تتضمن أرقام حسابات (مثل بطاقات ائتمان ، ودائع ، قروض ) أو الأرقام السرية ، وبعض برامج الكشف ( SNIFFER ) قد يكون أكثر تقدماً وتعقيداً بحيث يستطيع مثلاً الإطلاع على الأنشطة الخاصة بالتبادل التجاري وما يتعلق بها من ضمانات وذلك من أجل استخدامها في النصب والاحتيال على السوق .
وكما ذكر في حجب الخدمة فإن الهجمات التي تستخدم مواقع يعتقد أنها جيدة وصحيحة وهي على عكس ذلك ، أي أن المهاجم يبحث عن مستخدم اصلي وصحيح ولكنه يتسم بالغباء ويستخدم خدمة فورية وبذلك يبادر المهاجم فوراً باستخدام البيانات والمعلومات التي حصل عليها من ذلك المستخدم ولكن بإستخدام موقع مزيف بدلاً من الموقع الأصلي لذلك المستخدم ، ويمكن إعطاء المثل التالي كأن تسرق المعلومات الخاصة بحركة مستخدم أصلي بحسابه أو الاتصال الذي بين المستخدم والموقع المزيف يمكن تمريرها على مراحل إلى الموقع الحقيقي وبهذا يعرف هذا النموذج بهجوم الرجل الذي في الوسط أو (الرجل الوسيط).
البيانات المتصلة
ومن أجل تصميم الإنترنت ، فإن خصوصية البيانات وقضايا السرية يجب أن تتجاوز تحويل البيانات ويجب أن تتضمن أنظمة تخزين البيانات المتصلة ، وتوجيه وقيادة شبكة العمل ، ويمكن لأي بيانات مخزنة على خادم الموقع أن تسمح أو أن تكون عرضة لسرقتها أو العبث بها عندما تتوافق مع نية أو أغراض أحد العابثين أو المدمرين إذا لم يتوخىالحذر حيالها ووضع الإحترازات الأمنية الملائمة لها.
الموثوقية
3-2 موثوقية الرسائل والبيانات:
وهذا يعود بالدرجة الأولى إلى الدقة ، والإعتمادية ، والاكتمال ، والتوقيت للمعلومات الإجرائية المخزنة أو المنقولة بين البنك وعملائه دون إغفال المخاطر الكبيرة المتمثلة في استطاعة أي شخص بالدخول من خلال الإنترنت على البنوك من أي مكان وفي أي وقت .
ومن المحتمل جداً وفي بيئة مفتوحة مثل الإنترنت يمكن لهؤلاء الأشخاص وبمعرفة وأدوات محددة أن يعدلوا ويغيروا في البيانات أثناء انتقالها أو حركتها ، كما إن بيانات الربط يُمكن أن تكون أيضا متاحة ومتوافقة من خلال نظام تخزين البيانات ذاته وعلى حدً سواء كانت لغرض معين أو بدون غرض إذا كانت الشروط الملائمة للدخول أو العبورلا يتم صيانتها كل فترة ، لذا يجب اتخاذ الخطوات اللازمة للتأكد من أن جميع البيانات يتم صيانتها وفقاً للنماذج الأساسية والأصلية أو الغرض الذي أنشئت من أجله .
المصادقة
3-3 المصادقة :
وبشكل جوهري أن يكون في التجارة الإلكترونية حاجة عند إجراء إتصال معين ، أومعاملة ، أو طلب صلاحية الدخول للمطابقة مع الأصل في كل ذلك ، ولشرح ذلك بالمثال التالي أنظمة الحاسوب على الإنترنت يتم تعريفها بواسطة التسجيل الرسمي على الإنترنت (رقم IP ) والعنوان ، وهذا يمكن تشبيهه بالهاتف عندما يتم تعريفه برقم الهاتف .
ومن خلال عدة طرق وأساليب ، هناك طريقة تعرف (الإيهام بالتسجيل على الإنترنت ).
( IP SPOOFING ) وهي تتيح لأي حاسوب بأن يدعي فعلياً بأنه صاحب الحق ، وهذا ما يمكن أن يحدث بالضبط لتعريف المستخدم عندما يُساء استخدامه من قبل العابثين أو المدمرين.
وفي الحقيقة وبشكل ذو علاقة يمكن ببساطة إرسال رسالة بالبريد الإلكتروني وتظهر أو تقرأ على أنها من شخص آخر أو حتى إرسالها بدون معرفة المصدر ، إذن وبناءً على ماتقدم فإن إشتراطات وأحكام المصادقة ضرورية جداً لوضع وتأسيس التعريفات والهويات لجميع الأطراف التي ترغب في الإتصال فيما بينها .
الجحود
3-4 عدم الإنكار ( الجحود ):
عدم الإنكار( الجحود ) ينطوي على خلق أو إبداع أدلة قاطعة على مصدر أو تسليم البيانات لحماية المرسل من عدم الإعتراض غير الصحيح من قبل المستلم ( المستقبل) بعدم إستلام البيانات وبأنها أستلمت أيضاً لحماية المستلم (المستقبل ) من عدم الإعتراض غير الصحيح من قبل المرسل بأن البيانات فعلاً قد تم إرسالها ولعل الأمر الأول أصعب في تحقيقه من الأمر الثاني .
اما عدم إنكار تعليمات الدفع فيجب ان تولى عناية خاصة من البنوك وذلك للتأكد من أن المعاملات تتم بالطريقة الصحيحة وأنه يتم إتخاذ الخطوات اللازمة لمنع النزاعات بين أطراف تلك المعاملات على صلاحية معينة و/ أو رفض الإعتراف بها و/ أو مصدر وصحة الإتصال بين الأطراف أو المعاملات التي بينهم .
أحكام الدخول
3-5 إشتراطات وأحكام الدخول
إن الهجوم الفعلي ( المادي ) على المعدات والأجهزة يعتبر خطر حقيقي وربما ينطوي فقط على سرقة الرقم السري وإستخدامه على المعدات والأجهزة الأصلية والتي تكون في مكاتب ومواقع غير محمية ، وعلى الجانب الآخر يمكن أن يعني هجوم فعلي ( مادي ) مثل إعداد رقم تحديد هوية شخصي (PIN ) على ورق معين وبإستخدام تقنيات درجة الحرارة المنخفضة في سبيل كسر وتحطيم أي أدلة ممكنة والدخول لمفاتيح التشفير المخزنة في المعدات والأجهزة الخاصة بها .
وفي كلتا الحالتين ، فإنه من الضروري التأكد من أن جميع المعدات والأجهزة لا يمكن الوصول إليها من قبل الأشخاص غير المخولين أو من قبل حتى الموظفين المخولين ولكن لديهم النية في التزوير والتلاعب .
إن الهدف من التحكم هنا هو للتأكد على أن من المتعارف عليه هو من لديه الصلاحية للدخول على معدات وأجهزة معينة بأن هذه الصلاحية تحت الملاحظة والسيطرة من قبل الأبواب الأمنية الفعلية وأنه يتم التوقيع في الدخول والخروج ............ الخ .
وفيما وراء الهجوم الفعلي (المادي ) قد يكون خادم البنك (SERVER) مرتبط بالإنترنت وقابل للتلف أو الهجوم عليه من قبل جهات متعددة ومختلفة غير مخولة.
أقل المخاطر
وزيادة على ذلك ، إذا قامت أطراف غير مصرح لها بالدخول على خادم البنك فإن هذا من شأنه أن يضع أنظمة عملاء هذا البنك أيضاً في خطر كبير ، لذا فإن الهدف الأساسي من أحكام وإشتراطات الدخول على شبكة العمل هو لتقليل هذه المخاطر إلى أدنى درجة .
3-6 أمن شبكة العمل :
بشكل عام ، الأنظمة المصرفية تفترض أن شبكات الأعمال غير آمنة بذاتها ولذلك فإن تعريف ووضع مواصفات وضوابط أمنية بتحديد الأطراف المشاركة ووضعها على مستوى التطبيق ضروري جداً ، خاصةً وأن شبكة العمل ذات البيئة المفتوحة مثل الإنترنت من غير المحتمل بأن تكون المعدات والأجهزة الخاصة بالعميل (والتي ربما تكون مرتبطة عبر الانترنت بأنظمة البنك ) محتوية على أجهزة أو معدات أمنية وبرامج لتحقيق ذلك.
وحالياً ، لايوجد على مستوى العالم آلية مقبولة لحل مثل هذه المشاكل وقد وضعت شركة فيزا ، ماستركارد ، مايكروسوفت وآخرون أحكام وإشتراطات أمن المعاملات الآلية ( SET ) ولكن لم يتم قبوله بشكل عام .
ونظام أمن خط نقاط التحمل (SSL ) والذي يعتمد على أمن خط الاتصال باستخدام آلية الخط المشفر والتي تقوم بتأمين المعاملات من العابثين في أجهزة ومعدات العميل بإرتباطها ببرامج الإنترنت في النظام المركزي .
وفي الإصدارات الحالية من ال (SSL ) بعض المطابقات تم توفيرها مستندةً على شهادات رقمية ومن المحتمل أن يكون هذا أفضل ماتم تحقيقه في آلية أمن شبكة العمل للمعاملات عبر الإنترنت في الوقت الحاضر .
التحرك والتدقيق
3-7 متابعة الحركة والتدقيق :
إن متابعة حركة المعاملات والتغيرات المتعددة بين أجهزة الحاسوب خلال القيام بها أمر جوهري لتوفير سجل عن ماهية البيانات التي تم تمريرها فعلاً بين أجهزة الحاسوب من خلال ارتباط بعضها بالبعض الآخر وبمعنى آخر هي وسلية للتدقيق .
ومن أفضل الوسائل هنا إستخدام طريقة ( WORM ) إختصاراً ل (تكتب مرة وتقرأ عدة مرات ) وهي عبارة عن متابعة حركة الجزء المالي من المعاملة حيث أن هذا الجزء ليس من السهولة العبث فيه ولأجل قراءته فهو يتطلب صلاحية الدخول والبحث بطرق ووسائل غير إعتيادية .
وبهذا فإن إكتمال وإتمام عملية صلاحية الدخول الخاصة بمتابعة حركة التدقيق هي المفتاح لإستخدامها بالشكل المطلوب كأداة للكشف والبحث في أنشطة التزوير وحتى الأخطاء التي تقع.
توافر النظام
3-8 توفر النظام :
إن مستخدمي الخدمات المصرفية عبرالإنترنت يتوقعون أن بإستطاعتهم الدخول الفوري والمباشر على الأنظمة خلال ال 24ساعة يومياً وأي يوم على مدار السنة ، كذلك من بين الإعتبارات الأخرى المرتبطة مع توافر النظام هي القدرة على التحمل ، ومتابعة الأداء ، ميزة الأنظمة المتوازية بحيث يستمر العمل مع تعطل أحد المكونات ، والقدرة على إستمرارية العمل حتى بعد الإنقطاع لأمر طاريء ، لذا على البنوك المحلية ومورديهم المسئولين عن توفير المنتجات والخدمات المصرفية عبر الإنترنت التأكد من أن لديهم القدرة على تأمين وتركيب المعدات والأجهزة والبرامج التي تستطيع أن تقدم خدمة على أعلى مستوى ، كما أن مزودي الخدمات الفورية والمباشرة يعتبرون على مستوى عال من الأهمية حيث يجب عليهم الأخذ بعين الاعتبار مدى مرونة التصميم ، إحتواء الكوارث وإستمرارية العمل والأنظمة الإحتياطية وخطط الطوارئ في حال الهجمات خصوصاً على الخدمات التي لا تحتاج إلى صلاحية .
خدمات مصرفية متقدمة
بالإضافة إلى أن طرق وأساليب متابعة الأداء يمكن أن توفر للإدارة معلومات هامة مثل حجم وعدد المعاملات ، الوقت الذي يستغرقه إنجاز تلك المعاملات ومدى الوقت الذي يستنفذه العميل في الحصول على تلك الخدمة ، أما متابعة القدرة على التحمل للنظام ومتابعة الوقت بين إيقاف النظام وتشغيله و أداء هذه النظام وذلك بشكل منتظم فهو سيساعد الإدارة على التأكد من أن النظام دائماً جاهز ومتوافر على أرقى مستوى لأداء المطلوب منه في تقديم خدمات مصرفية عبر الإنترنت ، كذلك من المهم جداً أيضاً تقييم قابلية شبكة العمل وقدرتها على مواجهة الهجمات التدميرية والإتلافية وذلك لمنع أي إنقطاع للخدمة أثناء عملها المتواصل نتيجة لأي خلل أو مشكلة في عناصر تلك الأنظمة ، حيث أنه يمكن أن تصبح كامل شبكة العمل غير قادرة على العمل بسبب خلل بسيط جداً في أحد أجزاء أو عناصر الأجهزة والمعدات أو البرامج ، وبناء على ذلك فإنه على البنوك المحلية ومورديهم التأكد والحرص على وضع ونشر خطط الطواريء في المناطق والمواقع الحساسة والحرجة أو أن تكون لديها القدرة على التحول الآلي والمباشر إلى المواقع والمناطق الإحتياطية .
حماية العميل
3-9 حماية العميل :
إن عملية تحديد صلاحيات الدخول وإستخدام الأنظمة والمعلومات التي تحتويها لتشمل فقط الأطراف أو الأشخاص المخولين لأستلام تلك المعلومات ونقل البيانات وبالطريقة التي تضمن الخصوصية هي الخطوات الأولى لتحقيق النجاح في العملية الأمنية عند إستخدام الإنترنت ، وأكثر الطرق شيوعاً في تحديد صلاحية الدخول بصرامة للبيانات والإنترنت هو إستخدام طريقة تحديد هوية المستخدم ورمزه السري ، وحيث أن نمط الحياة الآن يتطلب الحماية ضد البرامج المعقدة التي تستطيع أن تعيد أي تحركات للمستخدم وممكن أن تستفيد وتستخدم الرموز الخاصة به بعد أن تقوم بتصميمها مرة أخرى لتتلاءم وتؤدي الغرض منها بعد نزع الصلاحية الخاصة والمرتبطة بهوية المستخدم الأصلي ورمزه الشخصي ، ومثل هذا التهديد يمكن أن يكون أيضاً بسبب المواقع الوهمية أو التي يعتقد أنها جيدة ، لهذا فإن المواقع التي تعتمد أساساً على تطبيقات مالية يجب أن يكون لديها القدرة وتستخدم وسائل ومقاييس مثل تحديد عدد الحركات الغير صحيحة وتسجيل عدد المحاولات للدخول غير الناجحة والطرق التي أتبعت وذلك من أجل حماية سرية هوية المستخدم ورمزه السري ذاتهما .
الوعي الرقمي
وهناك العديد من الأساليب والطرق التي يمكن إستخدامها لإيقاف الهجمات الناجحة والتي من ضمنها تحذير المستخدمين من محاولات هجوم وذلك عن طريق إبلاغهم عن وقت وتاريخ آخر حركة ناجحة وعدد محاولات الحركات غير الناجحة منذ تلك العملية الناجحة وتفاصيل آخر معاملة للمستخدم .
خلال سير العمل فإنه على مزودي وموفري المعلومات المالية خلق وإبداع وتطبيق طرق وأساليب أمنية لإنتاج وإصدار الرموز الخاصة بالعملاء ، أما أحكام وإشتراطات تحديد هوية المستخدم ورمزه الشخصي فهي تصبح جزءا من إجراءات التوثيق ، وتعليمات العمل ، وعلى كل مؤسسة أومنظمة مالية أن تقوم بالتدقيق والمراجعة والصيانة بين كل فترة وأخرى وبشكل أكبر من مجرد التسويق عبر الإنترنت الذي نراه حالياً .
أما على الجانب الآخر وبشكل منفصل يتم التدقيق والتحكم بشكل مزدوج أثناء سير العمليات وفي مواقعها وذلك من أجل التأكد وصيانة صلاحية دخول المستخدم للمعلومات و/أو الموقع ذاته ويجب صيانته والتأكد منه والتعامل معه بنفس درجة الخطورة التي يتعامل فيها مع خزائن النقد أو المفاتيح الخاصة بالمواقع والمناطق الحساسة جداً في المؤسسات والمنظمات المالية ، وبذا يمكن القول أن أكثر التقنيات أمناً قد تتأثر بالهجمات والعبث اذا لم تكون ادارتها جيدة.
المصدر موقع مؤسسة النقد العربي السعودي
صيرفة عبر الانترنت تحت السيطرة

انقر هنا لقراءة الخبر من مصدره.
مواضيع ذات صلة
السياري ل «الرياض»: تخفيض القروض الشخصية لا يعني إلغاءها ..ولا صحة لاختراق النظام المصرفي
بعد افتتاحه المؤتمر السنوي لأمن المعلومات في القطاع المصرفي
"هكر" أوروبا وإسرائيل يهددان باختراق حسابات عملاء البنوك السعودية
خبراء ل"سبق": لابد من تغيير أرقام الفيزا وبطاقات الصراف بشكل مستمر
أمريكا تخترق أمن المعلومات العالمي بمائة ألف جهاز كمبيوتر مقرصن
مليون جريمة إلكترونية يومياً خسائرها 427 بليون ريال سنوياً
البنوك السعودية تصف إعلانات سداد المديونيات ب«التصرفات المخالفة»
حذرت من الكشف عن البيانات المصرفية عبر الاتصالات الهاتفية