اخلاص طمليه*

لطالما كانت قضايا تعزيز الأمن السيبراني تحظى باهتمام المؤسسات المالية الفلسطينية عامة والمصرفية خاصة، وتحديداً في ظل توسع نطاق التكنولوجيا الرقمية في فلسطين، حيث أتاح التطور المتسارع الذي شهدته صناعة التقنيات المالية الكثير من الفرص أمام المصارف نحو تعزيز مستوى الخدمات المقدمة للعملاء، وفي ظل هذه التوجهات نحو الاعتماد على التكنولوجيا بشكل أكبر في القطاع المالي والمصرفي في فلسطين، لا يمكن بأي حال من الأحوال إغفال المخاطر المتزايدة للهجمات السيبرانية التي تعتبر المؤسسات المصرفية هدفاً جذاباً لها، نظراً لدورها الحيوي في الوساطة المالية، ما قد يهدد متانة واستقرار النظام المالي.

تضاعفت أهمية أنظمة الحماية السيبرانية في الآونة الأخيرة ضد الهجمات الرقمية التي تهدف عادة إلى الوصول إلى المعلومات الحساسة، واستغلالها للحصول على الأموال أو تعطيل المعاملات التجارية، خصوصاً بعد اعلان الاتحاد الدولي للاتصالات بأن حجم الخسائر العالمية الناجمة عن هذه الهجمات بلغت 6 تريليونات دولار في عام 2021. وقد صنف المؤشر العالمي للأمن السيبراني جي سي آي (GCI)، والصادر عن الاتحاد الدولي للاتصالات، أربع دول عربية فقط في المستوى المرتفع وهي: السعودية، وقطر، والإمارات، والبحرين، وعُمان التي تصدرت الجهود في تحقيق الأمن السيبراني، واعتمد المؤشر على دعائم أساسية وهي: التدابير القانونية، والتقنية، والتنظيمية، وبناء القدرات، والتعاون، ومدى وجود إستراتيجيات وسياسات للأمن السيبراني، ومدى وجود خطط ومعايير وطنية يتم تنفيذها على أرض الواقع، ووجود بنية تشريعية وقانونية تدعم الأمن السيبراني. [1]

الإطار الرقابي العام للأمن السيبراني في فلسطين

يشهد قطاع الخدمات المالية هجمات سيبرانية تفوق القطاعات الأخرى بنسبة 65%[2]، وتوضح تقديرات صندوق النقد الدولي للتكلفة الناتـجة عـن الهجـمات السيبـرانية فـي القطاعات المالية من واقع الخسائر المحققة جراء هجمات فعلية في 50 دولة حول العالم أن متوسط الخسائر السنوية المحتملة من الهجمات السيبرانية قد يكون كبيراً بما يقدر بنحو 9 في المائة من صافي دخل البنوك على مستوى العالم، أو حوالي 100 مليار دولار في حال ما تشابهت هذه الهجمات مع مثيلاتها السابقة. أما في سيناريو شديد الخطورة قد تصل تكلفة الهجمات السيبرانية إلى( 270 - 350 مليار دولار سنوياً).[3]  الأمر الذي يوجب على الجهات الرقابية والإشرافية والمؤسسات المالية العمل بنهج تشاركي وتوحيد الجهود لبناء منظومة شاملة لإدارة الأمن السيبراني على مستوى القطاع لتوفير بيئة سيبرانية آمنة وموثوقة لحماية المعلومات والأعمال ورفع مستوى الجاهزية للاستجابة للحوادث السيبرانية، وتقليل الآثار الناتجة عنها دون إغفال لأهمية تجهيز البيئة التقنية بشكل مسبق لتدعم عمليات التحقيق الرقمي الجنائي (Digital forensic) عند وقوع أي من الحوادث السيبرانية.

نتيجة لذلك، واعترافاً بالتهديدات الناجمة عن المخاطر السيبرانية، ومدى أهمية تعزيز قدرة الأجهزة المصرفية على تحمل هذه المخاطر والتحوط منها، فقد اتخذت سلطة النقد الفلسطينية خطوات تنظيمية وإشرافية تهدف إلى تجنب أثر المخاطر السيبرانية على القطاع المصرفي الفلسطيني. واتخذت التدابير اللازمة لضمان قدرتها وجاهزيتها على تقديم الخدمة باستمرار، والتأهب الكافي لمخاطر الأمن السيبراني في المصارف والمؤسسات المالية، فقامت بوضع أطر الحوكمة والسياسات والتعليمات اللازمة لتعزيز منظومة الأمن السيبراني لمؤسسات القطاع المالي والمصرفي[4]، وتعزيز جاهزية وقدرة هذا القطاع على مواجهة المخاطر السيبرانية والاستجابة، وصولاً إلى وضع وتنفيذ برامج أمنية ومعايير لتقييم كفاءة وفعالية الضوابط الأمنية السيبرانية، وقياس مستوى النضوج لكل مؤسسة.

وضعت سلطة النقد العديد من الضوابط التي تخدم تأمين الفضاء السيبراني في المصارف، وحماية الأصول المعلوماتية والتقنية لتحقيق الأهداف الأساسية الثلاث وهي:

سرية المعلومة ((confidentiality: ضمان عدم اتاحة الوصول للمعلومات والأنظمة الحساسة من قبل أفراد أو كيانات أو عمليات غير مصرح بها.
سلامة المعلومة (Integrity): ضمان عدم تعديل أو حذف البيانات والمعلومات الحساسة بطريقة غير مصرح بها ولا يمكن اكتشافها.
توافر المعلومة (availability): ضمان الوصول المصرح به في الوقت المناسب إلى المعلومات واستخدامها.

أبرز الهجمات السيبرانية

 تتخذ الهجمات السيبرانية العديد من الأشكال، إلا أن جميعها تهدف في النهاية إلى الاستيلاء غير القانوني على مال منقول أو سند، لنفسه أو لغيره، عن طريق انتحال صفة غير صحيحة، أو الوصول دون مسوغ قانوني إلى معلومات ائتمانية، أو تعطيل تقديم خدمات، أو تعطيل الوصول للبيانات، وفي ظل التحول الرقمي المتسارع في قطاع البنوك، أصبحت المؤسسات المالية الأكثر عرضة للهجمات السيبرانية. ومن الأمثلة على هذه الهجمات:

هجمات التصيد الاحتيالي (Phishing): وهو هجوم معقد من خلال الهندسة الاجتماعية يهدف إلى إغراء الضحية بالكشف طواعية عن معلومات حساسة، ويعتمد على إظهار نفسه كجهة شرعية من خلال إظهار صفحات تسجيل الدخول التي تبدو مطابقة للموقع الرسمي للبنك. وقد استخدم المهاجمون تقنية التصيد الاحتيالي في 46% من الهجمات العالمية ضد قطاع الخدمات المالية في عام 2021.[5]
هجمات البرامج الضارة Malware Attacks: هي أي نوع من البرامج الضارة المصممة لإحداث ضرر أو تلف لجهاز كمبيوتر أو خادم أو عميل أو شبكة دون معرفة المستخدم النهائي.
هجمات DDoS أي هجمات منع الخدمة الموزعة: تستهدف جعل خدمات البنوك غير متاحة عبر تحميل الخوادم بكميات ضخمة من الطلبات.
برامج الفديةRansomware: هي عبارة عن برامج إلكترونية تأتي على شكل هجمات سيبرانية، وهي أحد أخطر أنواع الهجمات السيبرانية في السنوات القليلة الماضية، نظرًا لتأثيرها المباشر والخطير على أجهزة الحواسيب من خلال السيطرة على المعلومات وإقفالها بغرض الحصول على مبالغ مالية مقابل فك القيود عنها، والسماح للمستخدمين بالوصول إليها بشكل طبيعي كالمعتاد.
سرقة البيانات الشخصية: تتضمن سرقة معلومات العملاء والحسابات البنكية واستخدامها في الاحتيال أو السرقة.
الهجمات الداخلية: قد تحدث هجمات من الداخل من قبل موظفين سابقين أو حاليين يهدفون إلى الوصول غير المصرح به إلى المعلومات أو إلى تعطيل الأنظمة.

إدارة المخاطر السيبرانية والتغلب على الانتهاكات:

أشارت لجنة بازل للرقابة المصرفية إلى أهمية قيام البنوك بوضع سياسات وإجراءات التي تتيح إدارة مخاطر العمل المصرفي الإلكتروني من خلال تقييمها والرقابة عليها ومتابعتها والتي تندرج تحت مخاطر التشغيل التي تم إصدارها في مارس 1998 ومايو 2001، تقوم معظم المصارف المركزية بتضمين عمليات الرقابة على أساس المخاطر لاختبارات توضح مدى قدرة البنوك على مواجهة مخاطر أمن الفضاء الإلكتروني ومخاطر نظم المعلومات والهجمات الالكترونية (Cyber Attack)، ويتم التحقق من ذلك من خلال إجراءات تحديد المخاطر، والحماية، واكتشاف التهديدات والتعامل معها، وخطط المعالجة. ويمكن استخدام الوسائل الآتية لتعزيز الأمن السيبراني وحماية الاستقرار المالي:

إثبات الهوية عبر الإنترنت

تعتمد معظم البنوك في المنطقة العربية على استخدام مبدأ الدخول المزدوج للتحقق من هوية العميل المستفيد من الخدمات المصرفية من خلال الإنترنت، حيث تقوم سلطة النقد بصفتها السلطة الرقابية على الجهاز المصرفي بعملية التقييم الفني والأمني للخدمات المصرفية المقدمة من البنوك عبر الإنترنت. كما يمكن أن يستعين البنك بشركات متخصصة للقيام بدراسة وتقييم مدى جاهزية الوسائل المستخدمة في التصدي لأي عملية اختراق متوقعة أو القرصنة والبرامج الخبيثة، وتحديث وتطوير أنظمة الأمان.

إدارة كلمات السر

يجب أن يتم الفصل بين عملية إنشاء كلمات السر وتسليمها للعملاء وعملية تفعيل حسابات خدمات الإنترنت البنكي، وتعزيز تأمين عملية إنشاء كلمة السر لضمان عدم تعرضها للكشف (بتقنيات الرقابة المزدوجة). كما يجب التأكد من أن كلمات السر لا يتم معالجتها أو إرسالها أو تخزينها كنص واضح، وإعطاء تعليمات لمستخدمي ومديري أنظمة الإنترنت البنكي لتغيير كلمة السر الصادرة فور الدخول إلى النظام لأول مرة، وتحديد مدة صلاحية كلمة السر. كما يجب على البنك إلزام العميل بعدم استخدام كلمة السر المنتهي صلاحيتها مرة أخرى، وفرض استخدام كلمات سر معقدة، وأن يتم تشفيرها باستخدام آلية تشفير قوية.

تحويل الأموال من خلال خدمات الإنترنت

هناك العديد من الضوابط المناسبة التي تساعد على خفض مستوى المخاطر المصاحبة لخدمة تحويل الأموال من حسابات العملاء إلى حسابات أطراف أخرى من خلال الإنترنت. مثل وسائل التصديق الأحادية أو المزدوجة لعمليات تحويل الأموال بين الحسابات الخاصة لذات العميل داخل نطاق الدولة التابع لها، وعند سداد الالتزامات الناتجة عن بطاقات الائتمان أو القروض الخاصة بالعميل، وتطبق مبدأ الرقابة المزدوجة على تحويلات أموال من حسابات الشخصيات الاعتبارية، بحيث يلتزم المصرف بوضع حد أقصى يومي لعمليات تحويل الأموال.

سرية وسلامة المعلومات

يجب اتخاذ كافة الإجراءات والتدابير الأمنية لضمان سرية وسلامة معلومات العملاء، حيث يجب على البنك القيام بعملية تقييم للمخاطر لتحديد المخاطر المحتمل وقوعها واتخاذ التدابير اللازمة للوقاية منها. كما يجب على سلطة النقد وضع معايير معينة لأدوات الحماية التي يجب على البنك استخدامها.

كما يجب أن يضمن البنك عدم تعديل معلومات العملاء وأن الأنظمة لا يمكن الوصول إليها بصورة غير مصرح بها كما التأكد من موثوقية وتوافر أنظمة الخدمات المصرفية عبر الإنترنت لتوفير الوصول الفوري إلى النظم للمستخدمين والحفاظ على الفعالية في التشغيل، وكذلك أهمية اتباع نهج استباقي للكشف عن المعاملات الاحتيالية المحتملة.

تأمين التطبيقات الإلكترونية المستخدمة في المعاملات البنكية

ينصح الالتزام بتعليمات لتأمين التطبيقات الإلكترونية الخاصة بالبنوك، ومن أهمها تثبيت برامج الحماية للحفاظ على هذه التطبيقات من الاختراق، بالإضافة إلى إجراء الاختبارات الأمنية (penetration testing) على التطبيقات. وأصبح من الضرورة قيام البنوك بتقييم نقاط الضعف الموجودة في التطبيقات مرتين على الأقل سنوياً، والعمل على خطة وقائية للحد من نقاط الضعف، ومشاركة الخطة مع الإدارة العليا. إضافة إلى العديد من التعليمات والضوابط الأخرى التي تهدف إلى حماية التطبيقات الإلكترونية المستخدمة في البنوك من الاختراقات.

كما يجدر بالبنوك قبل إصدار التطبيقات الالكترونية اتباع منهجية تضمن توفير المتطلبات الأمنية ومتطلبات الجودة عند تطوير التطبيقات، بحيث تحقق المعايير الدولية بهذا الخصوص، وتوفير ضوابط الحماية العميقة depth-in Security)) من خلال تفعيل ضوابط الحماية على جميع المستويات: الشبكات، ونظم التشغيل، والخوادم، وقواعد البيانات، والتطبيقات، بالإضافة إلى توفير ضوابط الحماية المادية والبيئية. كما يتعين على البنوك تطبيق مبادئ الحوكمة السليمة لإدارة تكنولوجيا المعلومات داخل المصرف.

تأمين نظم المعلومات والفضاء السيبراني

أصبح من أساسيات استخدام البنوك للفضاء السيبراني القيام بعمل اختبارات الضغط(Testing Stress) لتحديد حجم الآثار المترتبة على نجاح أية عمليات قرصنة تتعرض لها الأنظمة الإلكترونية بتلك المصارف، بصورة دورية. كما يجب على البنك، وفقا ً للتعليمات الرقابية الصادرة عن سلطة النقد، الإبلاغ عن الاختراقات وأية عمليات قرصنة إلكترونية.

التدريب المستمر: يجب على البنوك توفير التدريب المستمر للموظفين حول أحدث تقنيات الأمان وأساليب الاحتيال السيبراني. فيجب أن يكون لديهم فهم جيد للتهديدات المحتملة وكيفية التصدي لها.

الوعي بالأمان: يجب أن يتشجع الموظفون على مشاركة المعلومات فقط عبر قنوات آمنة، وأن يكونوا حذرين تجاه رسائل البريد الإلكتروني المشبوهة أو الروابط غير المعروفة.

في نهاية المطاف، ينبغي أن تكون البنوك الفلسطينية على دراية بالتحديات المستقبلية للأمان السيبراني، وأن تستثمر في التكنولوجيا الحديثة والحلول المتقدمة لحماية بيانات العملاء، وضمان استمرارية العمل بأمان، ومن الضرورة وجود منهجية واضحة لدى البنوك لإدارة المخاطر الرقمية، مع تطوير قدرات العاملين بإدارات أمن المعلومات بالبنوك في إدارة تلك المخاطر ، بالإضافة إلى تعزيز ثقافة الحوكمة الإلكترونية، بحيث تضع كل مؤسسة مالية إستراتيجية الأمن السيبراني الخاصة بها وفقاً لممارسات إدارة المخاطر، ومن الضروري تطوير التشريعات المناسبة لتجريم الهجمات السيبرانية على البنوك، وعدم الاكتفاء بمعاملتها معاملة المثل للجرائم الإلكترونية.

*باحثة مختصة في الشأن الاقتصادي

[1] الاتحاد الدولي للاتصالات، (2022). مؤشر الأمن السيبراني 2021.

[2] World Bank, (2018). “Cybersecurity, Cyber Risk and Financial Sector Regulation and Supervision”, Feb.

[3] Lagarde C., (2018). “Estimating Cyber Risk for the Financial Sector”, IMF Blog, June.

[4] سلطة النقد الفلسطينية، تعليمات رقم (11) لسنة 2022.

[5] سالم، عبد الحليم.2022. التصيد الاحتيالي. اليوم السابع.