تحديد وإدارة المخاطر في الأعمال المصرفية الإلكترونية:
أنه مما لا شك فيه أن الخدمات المصرفية المتاحة عبر الإنترنت يمكن أن تساعد المصارف في اختصار العديد من المنافذ والقنوات للعملاء،وعلى القدر الذي تتيحه هذه التطورات التقنية والسوقية المستقبلية في الخدمات المصرفية المتاحة عبر الإنترنت فإنه من المهم جداً أن تتجنب الجهات الإشرافية كل السياسات والممارسات التي يمكن أن تحول دون تحقيق الفوائد التي من أجلها تم تطوير تلك التقنيات والخدمات.أن البنوك باتت تدرك المخاطر التي يمكن أن تتعرض لها، والتي يجب أخذها بعين الاعتبار والموازنة بينها وبين هذه الفوائد المحققة. لذلك فإنه على المصارف المحلية والعربية العمل على تطوير إجراءات إدارة المخاطر بالدرجة التي يتم فيها التأكد من أنها تتعامل مع جميع هذه المخاطر.
أن تطور السوق الإلكترونية قد أدى إلى ظهور الثغرات التي أستغلها اللصوص المحترفون وعاثوا فيها فساداً.وظهرت مافيا الحاسوب،مما دعا خبراء المال والاقتصاد لوضع ضوابطٍ للتعامل مع هذه السوق ،ووضع البرامج الأمنية لحماية أموال الناس من العبث والضياع ووضع برامج من أجل ردع العابثين الذين يحاولون الإساءة لحركة هذه السوق،وأكل أموال الناس بالباطل وإيقاع العقوبات القاسية بمن تسول له نفسه القيام بهذه المخالفات(أحمد ،مجلة المهندس العربي 2006،23).
فما هي هذه المخاطر وما هي طبيعتها وما هي الأهداف من التحكم والضبط في الخدمات المصرفية عبر الإنترنت؟
1- طبيعة المخاطر المتعلقة بالتداول النقدي عبر الإنترنت:
أن استمرارية التطورات التقنية ودورها في التجارة الإلكترونية ستقود المؤسسات والمنظمات المالية نحو الشبكة العالمية للمعلومات (الإنترنت). أن استخدامات الإنترنت تنطوي على مخاطر يمكن أن تتم من داخل المؤسسة أو من خارجها.لذلك فإنه يتوجب على البنوك الاحتياط من بعض المحاولات والممارسات الغير مرغوبة التي يمكن أن تحصل،فما هي طبيعة هذه المخاطر؟
أ- اختلاف المخاطر تبعاً لمستوى الخدمة:
تختلف المخاطرة تبعاً لمستوى الخدمات المقدمة من المصارف للعملاء وهذه المخاطر هي:
*- خدمة المعلومات(مخاطرة قليلة):هذا أكثر نموذج مبسط من خدمات الإنترنت الفورية التي تتيح الاتصال من جهة واحدة والتي عادةً ما تغطي الإعلانات ومواد التحفيز...إلخ وهذه النوعية من المواقع تكون عادةً أهدفاً سهلة لتدميرها وإتلاف المعلومات الأساسية الخاصة بهذه المواقع مما قد ينتج عنها أو تتسبب بأذى لمستخدميها. وبهذه الطريقة استطاع صبي كندي أن يخترق مواقع مشفرة لشركات على شبكة الإنترنت،ومنع زبائن الشركات من الدخول إليها .وبذلك فقد كًَشفت أجهزة المراقبة بدايات تشكيل المافيا الإلكترونية بتهديدها بتخريب مواقع موجودة على الشبكة العنكبوتية(أحمد،مجلة المهندس العربي 2006،24).
*- تبادل المعلومات(مخاطرة متوسطة): باستطاعة العملاء الاتصال مع المصرف الخاص بهم والاستفسار عن حساباتهم،وتعبئة النماذج الخاصة بتلك الحسابات وبالتالي فإن المخاطرة المترتبة في هذه الحالة والخاصة بتلك المواقع تعتمد على توافر أو عدم توافر خدمة الاتصال المباشر لهؤلاء مع الشبكة الداخلية للمصارف.
*- خدمة إنشاء وتداول المعاملات (مخاطرة كبيرة): إن خدمة وتمكين العملاء من إتمام معاملاتهم فوراً أو بشكلٍ مباشر مع المصارف الخاصة بهم عن طريق مواقع الإنترنت مثل تحويل الأموال ،دفع الفواتير،التسوق الفوري والمباشر وبقية المعاملات ذات الطابع المالي فهي تتضمن بيع وشراء أمانات،وطبقاً لذلك فهي مصنفة ذات مخاطرة كبيرة لما ينطوي عليها من احتمالية حدوث اختراقات لهذه المواقع على شبكة الإنترنت من شأنها أن تؤدي إلى فقدان هذه المعاملات.لذلك فقد نصحت وكالة ألمانية لحماية المستهلكين بعدم الكشف عن أرقام بطاقات الاعتماد الخاصة بهم على الشبكة الدولية؛ لعدم وجود الضمان الأمني اللازم .
وقد أصبحت عمليات السطو الإلكتروني مدار بحث في الندوات والمؤتمرات لدراسة مسالة مكافحة الجريمة الإلكترونية.أن ما سهل عمليات السطو تلك؛هو عملية تحويل النقود بالطرق الإلكترونية الذي جعل الميدان رحباً. لذلك فإن عدد الجرائم الإلكترونية يزداد يوماً بعد يوم بحيث ازدادت هذه الجرائم خمس مراتٍ خلال العشر سنوات الماضية في الدول الأوروبية وأمريكا ؛وقد أحصت فرنسا أكثر من 4300 حالة وفي أمريكا 2.1 مليون حالة حدثت إما بالتزوير، أو بإدخال معلومات أخرى، أو بتغيير برامج الحاسب الإلكتروني ، وفي بريطانيا 3550 عملية سرقة إلكترونية خلال الفترة نفسها. ومن عمليات السرقة أيضاً تزوير البطاقة الممغنطة الشخصية التي يستطيع بواسطتها الشخص الذي يسحب آلياً ما يريد من النقود. وقد كُشف في الولايات المتحدة عملية الدخول إلى مركز تلقيم المعطيات لمحو العمليات غير المدفوعة من على الحساب حتى يصبح من جديد مليئاً،وكان هؤلاء العملاء اللصوص يدفعون مبلغاً لموظف البنك حتى يقوم بذلك ويقبضون القسم الآخر.(أحمد ،مجلة المهندس العربي 2006،24).
ب- اختلاف المخاطر تبعاً لنوعها:
تختلف المخاطرة تبعاً لنوعها ومن هذه المخاطر:
*- هجمات خارجية: يطلق على المهاجمين عبر الإنترنت مصطلح ( الهاكرز)، وهؤلاء لديهم حب تحدي الأنظمة الأمنية للمواقع. وهؤلاء لديهم القدرة على الدخول إلى المواقع وعلى الأنظمة والمعلومات والعبث فيها من خلال جهاز الخادم الذي يقوم بتشغيل النظام أو العبث بالمحتويات الفعلية لصفحات الموقع ،كما أن الكمبيوتر الشخصي عرضة لهجمات المدمرين من خلال استغلال البيانات المخزنة عليه وتدمير البيانات الموجودة في الملفات المخزنة فيه وهي نظم الفيروسات الإلكترونية؛ ذلك أن العالم لم ينسَ آلام فيروس (مليسيا) حتى ظهر فيروس (تشيرنوبل) ثم فيروس (الحب) وأي حب هذا الذي دمر مئات الآلاف من أجهزة الكمبيوتر؛ إذ بنقرة مزدوجة على صندوق احصل على رسالة يتحول الجهاز إلى مجرد قطعة بلاستيكية لانتفع في شيء(أحمد ،مجلة المهندس العربي 2006،25).ومنها أيضاً استخدام الكمبيوتر للتخطيط لجريمةٍ معينة بواسطة التصنت من خلال توصيلات الشبكة وتجميع المعلومات للحصول على بيانات ذات فائدة .
هناك الاختراقات الداخلية للشبكة من خلال أشخاص مخولين بالدخول على هذه المواقع وهذه الاختراقات من بين أكثر المشاكل التي تواجه البنوك خطورةً. أن استخدام التقنيات المتطورة والشفرات الأمنية سيساهم بالحد من هذه الهجمات الداخلية . ومن الجرائم التي ضبطت في هذا المجال قيام موظفة بنك في مدينة (سياتل) بتغيير بيانات رقمية أدت إلى إضافة مبالغ كبيرة إلى رصيد صديقٍ لها وبعدها قام هذا الصديق بسحب هذه المبالغ ومن ثم هرب بها. وموظف آخر أستطاع أن يغير عناوين عملاء ليوجه بضاعة قيمتها آلاف الدولارات إلى عناوين شركاء له بالجريمة. وموظف ثالث استطاع أن يغير أسهمه التي يمتلكها لشركة قيمة السهم فيها 1.5 دولار تحت اسم شركة أخرى قيمة أسهمها 15 دولار وسحب قيمة أسهمه الجديدة محققاً بذلك خسارة كبيرة للعملاء (أحمد،مجلة المهندس العربي 2006،25).
*- الشفرات والرموز الغير أخلاقية: أن استلام وتوزيع الشفرات والرموز غير الأخلاقية من الممكن أن تتسبب في مخاطر أمنية كبيرة ومن الشائع أن تتسبب في أذى كبير جداً للبرامج والحاسبات المتصلة بالإنترنت ؛فالعديد من المواقع تقدم الشفرات والملفات للمستخدم النهائي وفي هذه الحالة فقط يمكن الدخول من خلالها لتوزيع الشفرات والرموز غير الأخلاقية التي من شأنها أن تخرب المعلومات وتشوه الملفات بالصور بهذه الشفرات والرموز .
*- رفض الخدمة Denial of service: إن رفض الخدمة وتوفرها في الموقع يجب أن تؤخذ بعين الاعتبار لدى المسئول عن الموقع وبهذا قد تكون عملية رفض الخدمة ناتجة عن انقطاع التيار الكهربائي أو مشكلات اتصال إقليمية أو غير ذلك.
*- الربط بموقع وهمي: أن حجب الخدمة أو فقدانها هو أحد أنواع الهجوم الذي يستهدف مزودي الخدمات الذين يستخدمون شبكات عمل مفتوحة كقنوات للدخول وعادة ما يتجاهلها مصممو الخدمات ومهندسو الأنظمة ولا يعيرونها اهتماماً وفي شبكات عمل مفتوحة وبالذات الإنترنت هناك احتمال كبير لإمكانية أن يؤدي العابثون دور المستخدم الأصلي أو دور الوحدة الأصلية الخاصة بشبكة العمل (تقمص الشخصية). يمكن أن يحدث ذلك بعدة طرق: مثل التلاعب في الربط بين اسم الموقع ورقمه DNS أو الربط بوحدة اتصال وهمية أو الربط بموقع غير رسمي وبهذا لا يعرف المستخدم بأنه مربوط بموقع وهمي وبذلك يتعرض لعملية نصب واحتيال قد لا يدركها إلا بعد حين .وهذا النوع من الهجمات قد يتسبب بتلفيات لا حصر لها لمزودي خدمات الإنترنت الفورية.
*- عدم الاهتمام بالجوانب الأمنية: إن عدم الاكتراث بالجوانب الأمنية وخصوصاً التعامل مع بيانات حساسة أو عند تهيئة الأنظمة الأمنية من الممكن أن تتسبب في انهيار كامل لتلك البيانات أو الأنظمة المتعلقة بها، ومن نافلة القول بأن أفضل الأنظمة الأمنية إذا لم يتم إدارتها أو التعامل معها بالشكل الملائم والمناسب فإنها في النهاية سترفع من حدة المخاطر المحتملة،كما أن السياسة الضعيفة والرديئة ستؤدي في النهاية إلى فشل الاحترازات الأمنية .
لذلك فإنه على المصارف وضع وإتباع سياسات تحد من المخاطر وذلك بعد المقارنة بين هذه الإجراءات والكلفة التي ستؤدي إليها هذه المخاطر، وضرورة التركيز على التدريب على النواحي الأمنية والبرامج المفيدة للمستخدمين والإداريين المعنيين.(تعاميم مؤسسة النقد السعودي ،2006،5 ).
2- الأهداف من التحكم والضبط في الخدمات المصرفية عبر الإنترنت:
أن التهديدات للجوانب الأمنية والمتمثلة في هجمات الذين ليس لديهم صلاحية،أو المستخدمين لأساليب وهمية أو العابثين أو المدمرين أو بقية من لديهم نشاطات وممارسات غير قانونية تتطلب وضع سياسة أمنية تغطي أهداف التحكم التالية:
أ- سرية المعلومات والبيانات:
وهذا يعود إلى أن الحماية لمعلومات البنوك الحساسة والأنظمة الفورية والمباشرة والتشفير الملائم والمطلوب يعتمد على نوعية المخاطرة المتاحة والمتواجدة على الشبكة الدولية والأنظمة التي يمارس ذلك البنك نشاطه من خلالها وذلك باختيار لوغاريتمات التشفير طبقاً للمواصفات والمعايير الدولية،وبذلك فإن التسهيلات والإجراءات المناسبة تعتبر جوهرية لإدارة مفاتيح تشفير الرسائل والمعلومات من أجل عمليات آمنة ووثيقة لجميع الأنظمة الخاصة بتشفير الرسائل والمعاملات.
إن تحويل البيانات وبما يتضمنه من بريد إلكتروني،ونظام التنقل المفتوح عبر الإنترنت عدا البيانات المحمية بالطرق الملائمة فإنها عرضة للعبث بها والتعديل عليها وقراءتها من قبل الآخرين.
ومن خلال الحجم للبيانات المنتقلة عبر الإنترنت والمسارات التي يمكن أن تسلكها هذه البيانات في تنقلها فإن مراقبة هذه البيانات لا يتم عشوائياً عند مرورها في شبكة الإنترنت إذ يمكن لبرنامج SNIFFER كشفها ،ومن الممكن إعدادها ووضعها في المواقع المحتملة على شبكة العمل مثل خادم الموقع (كأن تكون حاسوبات توفر معلومات لحاسوبات أخرى على الإنترنت) وذلك ليتمكن من النظر وتجميع البيانات المطلوبة بسهولة،والبيانات التي تم جمعها يمكن أن تتضمن أرقام حسابات (مثل بطاقات ائتمان،ودائع،قروض)أو الأرقام السرية .أن بعض برامج SNIFFER قد يكون أكثر تعقيداً ويمكن من خلاله الاطلاع على الحسابات واستخدامه للنصب والاحتيال.ومن ذلك قيام احد اللصوص بكشف الخط الهاتفي الموصول بالحاسب الإلكتروني التابع لمصرف (سيكيورتي باسيفيك بنك) في لوس أنجلوس وما كان عليه إلا أن يعطي الأمر للمصرف ليحول مبلغ 100مليون دولار إلى حسابه في سويسرة،وذهب اللص إلى هناك وتسلم النقود وبادل بها الماس ومن ثم عاد ليبيع الماس في بلده ولكن سرعان ما اكتشف أمره وأودع على أثرها السجن لمدة عشر سنوات(أحمد،مجلة المهندس العربي 2006،25).
أن الهجمات يمكن أن تستهدف مواقع وهمية وذلك باستدراج المستخدم إلى مواقع وهمية للمستخدم بدلاً من الموقع الأصلي لذلك المستخدم؛ كأن تسرق المعلومات الخاصة بحساب المستخدم الأصلي ويمكن تمريرها على مراحل للوصول إلى الموقع الأصلي ،ويعرف هذا الهجوم بهجوم (الرجل الوسيط).
ومن أجل تصميم الإنترنت ،فأن خصوصية البيانات يجب أن تتجاوز تحويل البيانات؛ بحيث يجب أن تتضمن أنظمة تخزين البيانات المتصلة،وتوجيه وقيادة شبكة العمل،ويمكن لأي بيانات مخزنة على خادم الموقع أن تكون عرضة لسرقتها أو العبث بها إذا لم يتم الاحتراز من ذلك.
ب- موثوقية الرسائل والبيانات:
وهذا يعود إلى دقة واعتمادية واكتمال وتوقيت للمعلومات الإجرائية المخزنة أو المنقولة بين البنك وعملاءه دون إغفال المخاطر الكبيرة المتمثلة في استطاعة أي شخص بالدخول من خلال الإنترنت على البنوك من أي مكان وفي أي وقت.
يمكن لهؤلاء الأشخاص من تعديل البيانات أثناء حركتها عبر الإنترنت. كما أن بيانات الربط يمكن أن تكون متاحة ومتوافقة من خلال نظام تخزين البيانات ذاته سواء أكانت لغرض أو بدون غرض إذا كانت الشروط الملائمة للعبور لا يتم صيانتها كل فترة،لذلك يجب اتخاذ الإجراءات اللازمة للتأكد من أن جميع البيانات يتم صيانتها وفقاً للنماذج الأساسية أو للغرض الذي أنشأت من أجله.
وبشكلٍ جوهري يتوجب أن يكون في التجارة الإلكترونية حاجة عند إجراء اتصال معين أو طلب صلاحية للمطابقة مع الأصل في كل مرة ،ولشرح ذلك نورد المثال التالي:
أن أنظمة الحاسوب على الإنترنت يتم تعريفها بواسطة التسجيل الرسمي على الإنترنت (رقمIP ) والعنوان ويمكن تشبيه ذلك بالهاتف عندما يتم تعريفه برقم الهاتف.
ومن خلال عدة أساليب هناك طريقة تعريف (الإيهام بالتسجيل على الإنترنت). IP SPOOFING يمكن من خلاله لأي حاسوب أن يدعي صاحب الحق ويمكن أن يحدث ذلك لتعريف المستخدم عندما يساء استخدامه من قبل العابثين أو المدمرين.
لذلك فإن أحكام المصادقة ضرورية لوضع وتأسيس التعريفات والهويات لجميع الأطراف التي ترغب في الاتصال فيما بينها.
ت- الحماية من إنكار استلام الرسائل:
عدم الإنكار ينطوي على خلق وإيداع الأدلة القاطعة على مصدر أو تسليم البيانات لحماية المرسل من عدم الاعتراض الباطل من قبل المتسلم ( المستقبل) بعدم استلام البيانات وبأنها استلمت وكذلك لحماية المستلم (المستقبل) من عدم الاعتراض الباطل من قبل المرسل بأن البيانات فعلاً قد تم إرسالها ولعل الأمر الأول أصعب في تحقيقه من الثاني.
أما عدم الإنكار لتعليمات الدفع فيجب أن تولى عناية خاصة من البنوك وذلك للتأكد من أن المعاملات تتم بالطريقة الصحيحة وأنه يتم اتخاذ الخطوات اللازمة لمنع النزاعات بين أطراف تلك المعاملات على صلاحية معينة وصحة الاتصال بين الأطراف أو المعاملات التي بينهم.
ث- شروط وأحكام الدخول إلى شبكة العمل:
أن الهجوم الفعلي (المادي)على المعدات والأجهزة يعتبر خطراً حقيقياً وربما ينطوي فقط على سرقة الرقم السري واستخدامه على المعدات والأجهزة الأصلية والتي تكون في مكاتب ومواقع غير محمية،وعلى الجانب الآخر يمكن أن يعني هجوم فعلي (مادي)مثل إعداد رقم تحديد هوية شخص(PIN) على ورق معين وباستخدام تقنيات درجة الحرارة المنخفضة في سبيل كسر وتحطيم أي أدلة ممكنة والدخول لمفاتيح التشفير المخزنة في المعدات والأجهزة الخاصة بها.
وفي كلتا الحالتين ،فإنه من الضروري التأكد من أن جميع المعدات والأجهزة لا يمكن الوصول إليها من قبل الأشخاص غير المخولين أو من قبل حتى الموظفين المخولين عندما يكون لديهم نية التزوير.
أن الهدف من التحكم والسيطرة هنا هو التأكد أن من لديه الصلاحية للدخول على معدات وأجهزة معينة بأن هذه الصلاحية تحت المراقبة والسيطرة من قبل الأبواب الأمنية الفعلية وأنه يتم التوقيع في الدخول والخروج. وقد قامت الشركات- من أجل تجنب عمليات التزوير والقرصنة- بتزويد أجهزتها بقدرات جديدة من خلال التعرف على صوت الموظف وعلى توقيعه أو بصمات أصبعه.
وفيما وراء الهجوم الفعلي فإنه قد يكون خادم البنك Server مرتبط بالإنترنت وقابل للتلف أو الهجوم عليه من قبل جهات متعددة وغير مخولة. وفي حال الدخول على خادم البنك فإن ذلك من شأنه أن يضع عملاء البنك في خطر.
ج-أمن شبكة العمل وشبكة الإنترنت :
بشكلٍ عام ،الأنظمة المصرفية تفترض أن شبكات الأعمال غير آمنة بذاتها لذلك فإن وضع ضوابط ومواصفات أمنية بتحديد الأطراف المشاركة ووضعها على مستوى التطبيق ضروري جداً خاصة وأن الأعمال المرتبطة بشبكة الإنترنت ذات البيئة المفتوحة من غير المحتمل أن تكون محتوية على أجهزة وبرامج لتحقيق ذلك.ولا يوجد حالياً حلولاً مقبولة لهذه المشاكل،وقد وضعت شركة ميكرو سوفت وما ستر كارد وآخرين نظام أمن المعاملات الآلية لآنف الذكر SET ونظام أمن خط نقاط التحمل SSLالذي يعتمد على أمن خط الاتصال باستخدام آلية الخط المشفر والتي تقوم بتأمين المعاملات من العابثين في أجهزة ومعدات العميل بارتباطها ببرامج الإنترنت في النظام المركزي.
وفي الإصدارات الحالية من SSLبعض المطابقات تم توفيرها مستندةٍ على شهادات رقمية ومن المحتمل أن يكون هذا أفضل ما تم تحقيقه في آلية أمن شبكة العمل للمعاملات عبر الإنترنت في الوقت الحاضر.
ح- متابعة الحركة والتدقيق:
إن متابعة حركة المعاملات والتغيرات المتعددة بين الأجهزة الحاسوبية خلال القيام بها أمر جوهري لتوفير سجل عن ماهية البيانات التي تم تمريرها فعلاً بين أجهزة الحاسوب من خلال ارتباط بعضها بالبعض الآخر أي أنها وسيلة تدقيق.
ومن أفضل الوسائل هنا استخدام طريقة WORM اختصاراً لعبارة تكتب مرة وتقرأ عدة مرات وهي عبارة عن متابعة حركة الجزء المالي من المعاملة حيث أن هذا الجزء ليس من السهولة العبث به ولأجل قراءته فهو يتطلب صلاحية الدخول والبحث بطرق ووسائل غير اعتيادية.
لهذا فإن إتمام عملية صلاحية الدخول الخاصة بمتابعة حركة التدقيق هي المفتاح لاستخدامها بالشكل المطلوب كأداة للكشف والبحث في أنشطة التزوير وحتى الأخطاء التي يمكن أن تقع.
خ- استمرار عمل النظام:
إن مستخدمي الخدمات المصرفية عبر الإنترنت يتوقعون أن باستطاعتهم الدخول الفوري والمباشر على الأنظمة خلال /24/ساعة يومياً وأي يوم على مدار السنة ومن بين الاعتبارات المتعلقة بتوافر النظام هي القدرة على التحمل ومتابعة الأداء وهي ميزة الأنظمة المتوازية في حال تعطيل أحد المكونات لذلك على المصارف المحلية العربية ومورديهم المسئولين عن توفير المنتجات والخدمات المصرفية عبر الإنترنت التأكد من أن لديهم القدرة على تأمين وتركيب المعدات والأجهزة والبرامج التي تستطيع أن تقدم الخدمة على أعلى مستوى ،كما أن مزودي الخدمة الفورية والمباشرة يعتبرون على مستوى عالي من الأهمية حيث يجب عليهم الأخذ بعين الاعتبار مدى مرونة التصميم ،احتواء الكوارث واستمرارية العمل والأنظمة الاحتياطية وخطط الطوارئ في حال الهجمات خصوصاً على الخدمات التي لا تحتاج إلى صلاحية.
ومن المهم جداً تقييم قابلية شبكة العمل وقدرتها على تقديم الخدمات المصرفية ومواجهة الهجمات التدميرية وذلك لمنع أي انقطاع للخدمة،لذلك فمن الضروري وضع ونشر خطط الطوارئ في المواقع الحساسة والقدرة للتحول إلى الأجهزة الاحتياطية بشكلٍ آلي إلى المواقع الاحتياطية.
د- حماية العميل:
إن عملية تحديد صلاحيات الدخول واستخدام الأنظمة والمعلومات التي تحتويها لتشمل فقط الأطراف أو الأشخاص المخولين لاستلام تلك المعلومات ونقل البيانات وبالطريقة التي تضمن الخصوصية هي الخطوات الأولى لتحقيق النجاح في العملية الأمنية عند استخدام الإنترنت،وأكثر الطرق شيوعاً في تحديد صلاحية الدخول بصرامة للبيانات والإنترنت هو استخدام طريقة تحديد هوية المستخدم ورمزه السري،وحيث أن نمط الحياة الآن يتطلب الحماية ضد البرامج المعقدة التي تستطيع أن تعيد أي تحركات للمستخدم وممكن أن تستفيد وتستخدم الرموز الخاصة به بعد أن تقوم بتصميمها مرة أخرى لتتلاءم وتؤدي الغرض منها بعد نزع الصلاحية الخاصة والمرتبطة بهوية المستخدم الأصلي ورمزه الشخصي ؛ومثل هذا التهديد يمكن أن يكون أيضاً بسبب المواقع الوهمية لذلك فإن المواقع التي تعتمد على تطبيقات مالية يجب أن يكون لديها القدرة على استخدام وتحديد عدد الحركات غير الآمنة وتسجيل عدد حالات الدخول غير الناجحة والطرق التي اتبعت من أجل حماية سرية هوية المستخدم ورمزه السري ذاتهما.
وهناك عدة طرق لإيقاف الهجمات الناجحة والتي من ضمنها تحذير المستخدمين من محاولات هجوم وذلك عن طريق إبلاغهم عن آخر حركة ناجحة وعدد الحركات غير الناجحة وتفاصيل آخر معاملة للمستخدم.
أن من مهمة مزودي المعلومات المالية خلق وإبداع وتطبيق الطرق والأساليب الآمنة لإنتاج وإصدار الرموز الخاصة بالعملاء ؛أما تحديد هوية المستخدم ورمزه الشخصي فهي جزءٌ من إجراءات التوثيق وتعليمات العمل وعلى كل مؤسسة مالية أن تقوم بالتدقيق والمراجعة والصيانة بين كل فترة وأخرى.
كل ذلك يتطلب من البنوك المحلية وغيرها أخذ زمام المبادرة لإعداد ووضع الاحترازات والجوانب الأمنية في تقديم الخدمات المصرفية وأنظمة المدفوعات عبر الإنترنت. لقد أكد أحد المتخصصين في مجال البرمجيات أن إحصاءات العام الماضي سجلت انخفاضاً ملحوظاً في هذا النوع من الجرائم بسبب النجاح الذي حققته بعض الشركات نتيجة تأمين مواقعها على شبكة الإنترنت خاصة بعد انتشار جرائم سرقة البنوك واقتحام نظم المعلومات في الشركات الكبرى والمؤسسات الحكومية ومع هذا نحن نؤكد أن وسائل الاحتيال محدودة في العالم العربي إلى الآن ولكنها في تزايدٍ مستمر في المرحلة القادمة وذلك بتزايد عدد المتعاملين على الشبكات الإلكترونية. ويؤكد هذا المتخصص بأن مصر قد دخلت عالم الإنترنت والتكنولوجيا واستخدم البعض في مصر نظام الفيزا العالمية إلا أن نقص الوعي عند مستخدمي هذه البطاقة يعرضهم للكثير من المشكلات وبالتالي فإنه من الضروري تحديث نظم بطاقات الائتمان.(الرياض@نت2007،3).وتوفير الحماية اللازمة للمستخدمين للحسابات المصرفية وحاملي البطاقات الائتمانية.
أن عملية التسويق السلعي والمصرفي في المنطقة العربية لن يكتب لها النجاح إذا لم يتم الاعتماد على إستراتيجية عربية موحدة في إطار اتفاقيتي السوق العربية المشتركة والمنطقة العربية الحرة وذلك لتامين التعاون العربي في هذا المجال وهذا بدوره يعزز التعاون العربي في المجالات الاقتصادية التي أصبح محورها ومحركها الأساسي التكنولوجيا بما أفرزته من تقنيات حديثة
0 comments
إرسال تعليق