3 مطالب أساسية لضمان أمن معلومات عملاء البنوك.. وتسريب كلمة السر أخطرها
يشكل أمن المعلومات على مستوى العالم هاجساً وقلقاً بالنسبة للقائمين على إدارة الأنظمة المعلوماتية المختلفة، لا سيما في ظل تنامي عمليات الجرائم المعلوماتية التي فرضت الحاجة إلى تضافر جهود جميع الدول والمؤسسات الحكومية والخاصة على مستوى العالم، بما في ذلك الأفراد، للقضاء على كل ما يخل بأمن المعلومات، وبالذات في ظل تطور التقنية وانتشار المخاطر التي تكتنف استخداماتها وتطبيقاتها المختلفة.
ويعرف مصطلح أمن المعلومات بمفهومه الواسع والشامل على أنه مجموعة من الإجراءات التي تمكن صاحب المعلومة من إبقاء معلوماته الشخصية وبياناته وحساباته المالية والمصرفية تحت سيطرته الكاملة والمباشرة، وعدم السماح لأي شخص غير مرخص له بالوصول إليها بهدف تداولها سواء بحسن نية أو بسوء نية أو بهدف الابتزاز والعبث بها.
وعادة ما تحدث الاختلالات الأمنية في أنظمة أمن المعلومات عندما تتعرض الأنظمة لاختراقات من خلال مثلاً ما يعرف بالمتسللين الـ (هاكرز) أو بالفيروسات أو أي نوع آخر من أنواع البرامج الخبيثة، كما أن هناك ما يعرف بديدان الكومبيوتر، مثل دودة ''ستوكس نت'' التي انتشرت أخيراً على مستوى العالم وتمكنت من اختراق عدد من الأنظمة والشبكات، وتسببت في إحداث حالة من الذعر والهلع كونها وكما تم وصفها أنها أول مثال علني للأسلحة الإنترنتية التي تستهدف البرامج الخاصة بنظم التحكم في الحواسيب.
ويسعى المختصون في أمن المعلومات إلى ضمان سلامة أنظمة المعلومات المختلفة من خلال تحقيق ثلاثة مطالب أساسية، تتمثل في سرية المعلومات، سلامة المعلومة، وتوافر المعلومة.
ويتطلب تحقيق المطلب الأول المرتبط بسرية المعلومات تأمين المعلومات بشكل يمكن فقط الأشخاص المصرح لهم الوصول إليها دون غيرهم (أصحاب الصلاحية أو المخول لهم). أما المطلب الثاني المتمثل في سرية المعلومة، فيسعى إلى ضمان سلامة مصادر المعلومات، بحيث لا يمكن تغييرها أو تحديثها إلا من قبل الأشخاص المصرح لهم فقط. فيما المطلب الثالث لضمان أمن المعلومات فيتمثل في إمكانية وسهولة توفير المعلومات وقت الحاجة إليها.
كما أن هناك عددا من العناصر التي تتسبب في إضعاف نظم أمن شبكات الاتصال المختلفة وفي سرقة المعلومات، والتي من بينها على سبيل المثال، تسريب كلمات السر، التصنت الإلكتروني، الاختراق، الفيروسات، الاستدراج، وسرقة الهوية.
ويعد تسريب كلمة السر من بين أخطر العناصر التي تتسبب في الإخلال بنظم أمن المعلومات وفي حدوث عواقب وخيمة لا تحمد عقباها، لا سيما أن كلمة السر هي التي تمكن الأجهزة الحاسوبية وشبكات الاتصال من التعرف على المستخدم كونها تقترن باسمه، وبالتالي هي تعد بمثابة الهوية الإلكترونية التي تصرح للمستخدم الدخول إلى أنظمة الحاسب الآلي أو للدخول إلى الشبكات من خلال مجالات استخدامات عديدة، من بينها الإنترنت، جهاز الصراف الآلي، والهاتف المصرفي.
فيما يعد التصنت الإلكتروني Sniffing إحدى الطرق أو الأساليب القديمة لسرقة المعلومات من الأجهزة، وذلك خلال مرورها بالشبكات، ويقصد بالتصنت على حزم المعلومات إمكانية نسخها عندما تنتقل عبر الشبكات، ويمكن التغلب على مشكلة التصنت من خلال الاعتماد على وسائل التشفير المناسبة.
أما الاختراق أو ما يعرف بالـ Hacking، فيتمثل في محاولة فرد أو جهة ما الوصول إلى أنظمة أو شبكات أفراد أو منشآت بمعاونة بعض البرامج المختصة في سرقة المعلومات عن طريق فك كلمات السر، ومن ثم الدخول إلى النظام بهدف إما الفضول أو التخريب المتعمد.
ويعد الاستدراج أو التصيد الإلكتروني phishing من الجرائم الإلكترونية التي بدأت بالانتشار أخيراً، والتي تركز على استخدام البريد الإلكتروني لإيهام مستخدمي الإنترنت بأن تلك الرسائل مرسلة من مواقع حقيقية طالبة منهم تحديث بياناتهم وإدخال أرقام حساباتهم وكلمات المرور الخاصة بهم، وذلك لكي يقوموا بعد ذلك باستغلالها لعمل سحوبات مالية أو تحويلات إلى حسابات أخرى. بينما سرقة الهوية فتستهدف الحصول على معلومات شخصية أو بيانات سرية خاصة بمنشأة أو فرد باستخدام شخصية مستخدم آخر، وذلك بهدف إساءة استخدامها والعبث بها.
أمام ذلك، أصدرت مؤسسة النقد العربي السعودي ''ساما'' تعليمات مشددة تقتضي من جميع البنوك العاملة في المملكة الالتزام بها للتأكد من حماية أنظمة وأصول المعلومات من أي تعديل أو إتلاف أو نسخ من قبل أي شخص ليست لديه الصلاحية بذلك، سواء كان ذلك الشخص متعمداً أو غير متعمد.
وفي مجال تعزيز قدرات تقنية المعلومات البنكية والمحافظة على جودتها ونوعيتها وسريتها، أجرت مؤسسة النقد فحصا لجميع البنوك المحلية للتأكد من توفر الأنظمة الرقابية والأمان للعمليات البنكية من خلال الهاتف البنكي والإنترنت، إضافة إلى دراسة الشكاوى التقنية المتعلقة بالخدمات البنكية عن طريق الإنترنت، وتطوير ضوابط تعزيز أمن العمليات البنكية من خلال الهاتف البنكي، وتزويد البنوك بالمقترحات التي تساعد على عملية الوقاية من التعرض والاستغلال في تنفيذ جرائم غسل الأموال وتمويل الإرهاب. كما درست ''ساما'' بعض جوانب الإجراءات الأمنية لأنظمة الخدمات البنكية الإلكترونية التي تقدمها البنوك لعملائها، وتوجيه البنوك بإضافة أو تعديل بعض منها لتتواكب مع أحدث وسائل الحماية الأمنية في هذا الشأن، بهدف تحقيق المزيد من الأمن والحماية لحسابات العملاء.
ومن المعلوم أنه لا يوجد حتى اليوم على مستوى العالم ضوابط أو أنظمة أمنية تضمن الحماية الكاملة والتامة للمعلومات من أن تكون عرضة للسرقة أو للاختراق أو حتى لسوء الاستخدام، لكن على الرغم من ذلك تمكنت البنوك المحلية من توفير الحماية اللازمة لأنظمتها المعلوماتية المختلفة بما في ذلك حماية عملياتها الداخلية وحسابات العملاء من المخاطر المحتملة كافة، حيث على سبيل المثال قامت البنوك بتوفير كلمات السر كمستوى ثان من الحماية بالتوافق مع رقم المستخدم التعريفي للتأكد من أن الشخص نفسه هو صاحب الرقم.
ونظراً لتزايد عدد الجرائم الإلكترونية البنكية التي تتم عبر القطاع البنكي على مستوى العالم، استمرت البنوك المحلية في رفع مستوى الحماية الأمنية للخدمات الإلكترونية التي تقدم للعملاء عبر قنواتها الإلكترونية المختلفة، حيث طبقت عدداً من الوسائل والطرق التي تحقق حماية إضافية لحسابات العملاء، فعلى سبيل المثال مكنت البنوك عملاءها من التعرف على أي عملية تتم على حساباتهم عن طريق الرسائل القصيرة التي ترد إلى هواتفهم المحمولة المقيدة لدى البنك، وذلك بهدف تفادي وبشكل مباشر وسريع أي عملية احتيال محتملة قد تتم على حساباتهم دون علمهم، كما بدأت البنوك بتطبيق ما يعرف بـ ''المعيار الثنائي للتحقق من الهوية''، وهو نظام إلكتروني يستخدم لإضافة المزيد من الأمان إلى المعاملات المصرفية الخاصة بالعملاء، وذلك عن طريق التحقق من هوية العميل وحماية سلامة المعلومات المالية الخاصة به. ويعمل هذا المعيار بمجرد إدخال اسم المستخدم وكلمة السر التي تعد بمثابة خطوة واحدة للتحقق من هوية العميل، ومن ثم يقوم البنك بإرسال رقم سري إضافي وبشكل تلقائي إلى هاتف العميل المقيد لدى البنك في كل مرة يقوم فيها بتسجيل الدخول إلى حسابه، وهذه الخطوة الاحترازية تعتبر الثانية للتحقق من الهوية قبل أن يتمكن العميل من الدخول إلى حساباته وتنفيذه للعمليات المصرفية المختلفة، ما يحقق المزيد من الحماية للمعلومات والمعاملات المالية الخاصة بالعملاء، ويقلل من فرص الوصول غير المصرح أو غير المشروع إلى حساباتهم.
وبهدف توفير المزيد من الحماية للبطاقات المصرفية، شرعت البنوك السعودية بتوجيهات من مؤسسة النقد، في البدء بتنظيم جديد لبطاقات الصراف الآلي لحماية عملائها من عمليات الاحتيال والغش والسرقات، وذلك بإصدار بطاقات الصراف الآلي التي تتميز بخاصية احتوائها على شريحة ذكية Smart Chip تجعل البطاقة أكثر أماناً من السابق. وبتوفير هذه الإجراءات الأمنية الاحترازية المختلفة للعملاء أصبح لدى العملاء خيارات متعددة لحماية حساباتهم من الاختراق أو التعدي لا سمح الله.
وبهدف توعية عملاء البنوك بعمليات الاحتيال والنصب المالي والمصرفي الإلكتروني وبعمليات الاحتيال التي تتعرض لها البطاقات المصرفية أو البطاقات الائتمانية، أطلقت البنوك السعودية ضمن خطة توعية طويلة الأجل حملتي توعية خلال الفترة 2009 – 2010 تحت عنوان (مرتاح البال)، استهدفت الرفع من نسبة وعي العملاء من المواطنين والمقيمين بأساليب وبعمليات الاحتيال المالي والمصرفي، والحد من التجاوب معها، بما في ذلك تعزيز الثقة بالمنتجات واستخدامات القنوات المصرفية والاستثمارية المشروعة والآمنة، مستخدمة في ذلك وسائل الإعلام المحلية كافة المرئية والمسوعة والمقروءة بما في ذلك رسائل الجوال القصيرة.
