مخاطر أمن المعلومات تكلف البنوك على مستوى العالم 100 مليار دولار

لفتت دراسة صندوق النقد العربى إلى أن تقارير البنك الدولى التى أكدت تركز الهجمات السيبرانية فى قطاع الخدمات المالية الذى شهد فى 2016 هجمات سيبرانية، تفوق القطاعات الأخرى بنسبة %65 بما يمثل زيادة بنسبة %29 عن العام السابق عليه

مخاطر أمن المعلومات تكلف البنوك على مستوى العالم 100 مليار دولار
عبدالرحمن أبو العنين

عبدالرحمن أبو العنين

8:56 م, الخميس, 11 يوليو 19

■ مع تزايد الاعتماد على التكنولوجيا فى تقديم الخدمات المالية

■ السيناريوهات شديدة الخطورة من الهجمات تزيد الخسائر إلى 3 أضعاف

■ دراسة أوصت بتوفير وسائل رفع الوعى لدى العملاء بمخاطر الهجمات السيبرانية

■ التطور السريع وارتفاع تكلفة التأمين تحديات تواجه المصارف العربية

تناولت دراسة لصندوق النقد العربى، مخاطر الهجمات السيبرانية فى القطاعات المالية، لا سيما فى ظل التطور الكبير الذى شهدته صناعة التقنيات المالية خلال الفترة الأخيرة، وتعزيز مستوى الخدمات المقدمة للعملاء من خلال قنوات جديدة مبتكرة، بعيداً عن التقليدية التى اعتادت عليها المصارف لتقديم الخدمات المصرفية، ما زاد من فرص تعرضها لهجمات سيبرانية، والتحديات التى تواجه البنوك والقطاعات المالية بشكل عام .

أشارت الدراسة التى تضمن بيانات عن تأثير الهجمات السيبرانية على البنوك من واقع دراسات أجراها صندوق النقد والبنك الدوليين، إلى أن المؤسسات المالية المالية تتعرض لمخاطر جديدة، جراء استخدام التقنيات الحديثة، وأن الاستخدام الضار لتقنية المعلومات والاتصالات يمكن أن يؤدى إلى تعطيل الخدمات الماليـة الضروريـة للأنظمة المالية الوطنية والدولية، وتقويض الأمن والثقة، وتعريض الاستقرار المالى للخطر.

لفتت الدراسة إلى أن تقارير البنك الدولى التى أكدت تركز الهجمات السيبرانية فى قطاع الخدمات المالية الذى شهد فى 2016 هجمات سيبرانية، تفوق القطاعات الأخرى بنسبة %65 بما يمثل زيادة بنسبة %29 عن العام السابق عليه، موضحة أن تقديرات صندوق النقد الدولى 2018 للتكلفة الناتـجة عـن الهجـمات السيبـرانية فـى القطاعات المالية، من واقع الخسائر المحققة جراء هجمات فعلية فى 50 دولة حول العالم، أن متوسط الخسائر السنوية المحتملة من الهجمات السيبرانية قد يكون كبيرا بما يقدر بنحو %9 من صافى دخل البنوك على مستوى العالم، أو 100 مليار دولار، حال ما تشابهت هذه الهجمات مع مثيلاتها السابقة.

حال سيناريو شديد الخطورة، يكون تواتر الهجمات السيبرانية أعلى مرتين مقارنة بمثيلاتها المسجلة فى الماضى مع انتشار أكبر لنطاق الخسائر، يمكن أن تصل الخسائر إلى 3 أضعاف هذا المستوى، أو بين 270 إلى 350 مليار دولار، مشيرة إلى أنه نظرًا لهذه المخاطر ومدى أهمية تعزيز قدرة الأجهزة المصرفية على تحمل هذه المخاطر والتحوط منها، اتخذت السلطات الرقابية على مستوى العالم خطوات تنظيمية وإشرافية تهدف إلى تجنب أثر المخاطر السيبرانية على القطاع المصرفى.
قامت المصارف المركزية العربية بإصدار التعليمات المصرفية التى تحث فيها البنوك صوب تعزيز قدراتها لمواجهة تلك الهجمات الإلكترونية.

يشار إلى أن البنك المركزى المصرى وضع الضوابط والتجهيزات الخاصة بمركز الاستجابة لطوارىء الحاسب الآلى للقطاع المصرفى، استعدادًا لبدء العمل به قبل نهاية العام الجارى، ويستهدف المركز زيادة تأمين العمليات المصرفية الإلكترونية فى ظل التوجه المتزايد لإتاحتها أمام العملاء من جانب البنوك المحلية سواء عبر الإنترنت أو الهواتف الذكية، بجانب العديد من التعليمات المتعلقة بضرورة مراعاة قواعد التأمين ضد الاحتيال وقواعد مكافحة غسل الأموال، وتمويل الإرهاب عند تطبيق الخدمات الإلكترونية الجديدة .

يعد تدشين مركز الاستجابة لطوارئ الحاسب الآلى جزء من محور الأمن السيبرانى ضمن الإطار العام للاستراتيجية القومية للتحول لمجتمع أقل اعتمادًا على النقد، ويتولى شريف حازم، وكيل المحافظ المساعد لقطاع نظم الدفع وتكنولوجيا المعلومات، إدارة المركز .

خلصت الدراسة إلى أن إدراج المخاطر السيبرانية ضمن المخاطر التشغيلية للمؤسسات المالية يعتبر غير كاف، وأن المعايير الرقابية على المصارف تتطلب أهمية تضمين الاستراتيجيات والسياسات الخاصة بتلك المصارف جزءا خاصاً بإدارة المخاطر السيبرانية، مراجعتها بانتظام من مجالس إدارات البنوك مع زيادة حجم المخاطر السيبرانية.

قالت الدراسة إن الأطر والمعايير الدولية للمخاطر السيبرانية تقوم على عدد من المحاور المهمة وهى، الحوكمة الإلكترونية، وبتناول مدى أهمية وجود استراتيجية للأمن السيبرانى بحيث تضع كل مؤسسة مالية استراتيجية الأمن السيبرانى الخاصة بها وفقًا لممارسات إدارة المخاطر، ومفاهيم إدارة المخاطر واختبارها وكيفية التغلب على الانتهاكات، والتواصل وتبادل المعلومات، وتعهيد أمن نظم المعلومات والأنظمة الإلكترونية إلى جهة ثالثة.

تطرقت الدراسة إلى الجوانب المتعلقة بأمن الفضاء الإلكترونى فى إطار المخاطر التشغيلية للبنوك المركزية العربية، وتتضمن عددا من المحاور:

الإطار الرقابى العام


أوضحت الدراسة أن التعليمات الرقابية الصادرة من معظم السلطات الرقابية فى الدول العربية، الخاصة بإطار المخاطر التشغيلية تتسم، بتضمنها جزءا متعلقا بمخاطر نظم المعلومات وأمن الفضاء الإلكترونى فى القطاع المصرفى يحدد المعايير اللازم توافرها لضمان أمن المعلومات المصرفية المنفذة عبر الفضاء الإلكترونى.

إضافة إلى ذلك تقوم معظم المصارف المركزية العربية بتضمين عمليات الرقابة على أساس المخاطر لاختبارات توضع مدى قدرة البنوك على مواجهة مخاطر أمن الفضاء الإلكترونى، وأن هناك تعليمات من السلطات الرقابية تلزم المصارف بتضمين استراتيجيات المخاطر المقرة من مجالس إدارات البنوك، ووضع إطار يتعلق بالمخاطر الإلكترونية، ومخاطر نظم المعلومات والهجمات الإلكترونية، ويتم التحقق من ذلك بصورة دورية .

تنظيم وإدارة الحسابات المقدمة عبر الإنترنت

تتيح بعض الدول العربية للعملاء إنشاء أو فتح حساب مصرفى من خلال موقع البنك على شبكة الإنترنت، فى ضوء الضوابط والتعليمات بالنسبة للمصرف والعميل، وفى هذا الإطار يقوم العميل باستيفاء المستندات المطلوبة لفتح الحساب عبر الوسائل الإلكترونية، ولا يتم التشغيل الفعلى للحساب إلا بعد أن يقوم العميل بزيارة البنك للتوقيع الخطى على المستندات، بينما لا تسمح دول أخرى بمثل هذه الخطوات للتأكيد على تحقيق قواعد التعرف على العملاء هويتهم ومكافحة غسل الأموال، وتمويل الإرهاب .

قالت الدراسة إن المصارف فى معظم الدول العربية، تلتزم وفقًا للتعليمات الصادرة عن السلطات الرقابية بتطبيق أساليب يمكن الاعتماد عليها للتحقق من هوية وصلاحيات العملاء الراغبين فى الاشتراك فى خدمات الإنترنت البنكى، وتلتزم البنوك بتطبيق إجراءات وضوابط رقابية التى تمكنها من تحديد هوية القائمين بأى معاملات إلكترونية مرتبطة بالحسابات المصرفية، فى الحالات التى يسمح فيها لأكثر من مستخدم بالتعامل على حساب واحد.

وسائل إثبات الهوية عبر الإنترنت
تعتمد معظم البنوك فى المنطقة العربية على استخدام مبدأ «الدخول المزدوج» للتحقق من هوية العميل المستفيد من الخدمات المصرفية من خلال الإنترنت، وتقوم المصارف المركزية بالدول العربية بصفتها الرقابية على الجهاز المصرفى بعملية التقييم الفنى، والأمنى للخدمات المصرفية المقدمة من البنوك عبر الإنترنت، لا سيما فيما يتعلق بالسرية والخصوصية والتحقق من الهوية، قبل تقديم الخدمة للعميل .

تقوم المصارف بالتقييم الأمنى للخدمات المقدمة من خلالها بصفة مستمرة، وفقًا للإجراءات المتبعة فى الرقابة الداخلية بكل بنك، بجانب ذلك تقوم معظم البنوك فى الدول العربية بالاستعانة بشركات متخصصة للقيام بدراسة وتقييم مدى جاهزية الوسائل المستخدمة فى التصدى للاختراق والقرصنة والبرامج الخبيثة .

التعليمات الرقابية بإدارة كلمة السر

وفقًا للتعليمات الصادرة من معظم المصارف المركزية ًالعربية، فإنه يجب على كل بنك مراعاة التدابير الرقابية عند التعامل مع كلمة السر الخاصة بالعملاء، وتطبيق الرقابة المزدوجة، وأن يتم الفصل بين عملية إنشاء كلمات السر وتسليمها للعملاء، وعملية تفعيل حسابات خدمات الإنترنت البنكى، وتعزيز تأمين عملية إنشاء كلمة السر لضمان عدم تعرضها للكشف .

تحويل الأموال عبر الإنترنت

تلزم البنوك المركزية العربية بضرورة خفض مستوى المخاطر المصاحبة لتلك الخدمة، لتصل إلى مستوى مقبول ومعتمد من البنك، وإجراءات التعليمات باستخدام وسائل تصديق أحادية أو مزدوجة لعمليات تحويل الأموال بين الحسابات الخاصة لذات العميل، داخل نطاق الدولة التابع لها، وعند سداد الالتزامات الناتجة عن بطاقات الائتمان أو القروض الخاصة بالعميل، بينما تطبيق معايير أمان مزدوجة على تحويلات أموال الأشخاص الاعتبارية إلى مستفيدين أخرين .

سرية وسلامة المعلومات

تلزم التعليمات الصادرة عن البنوك المركزية باتخاذ التدابير لسلامة وسرية معلومات العملاء، وتقييم المخاطر لتحديد التهديدات المحتملة، كما يقوم المصرف المركزى بوضع معايير معينة لأدوات وبرامج الحماية التى يجب على البنك استخدامها، مثل كلمات السر الخاصة بالمعاملات المالية، والخدمات المقدمة من خلال الإنترنت، وخلاف ذلك من المعلومات السارية الأخرى الخاصة بالعملاء .

تأمين التطبيقات


وضعت المصارف المركزية تعليمات لتأمين التطبيقات الإلكترونية الخاصة بالبنوك أهمها، تثبيت برامج الحماية للحفاظ عليها من الاختراق، وإجراء الاختبارات الأمنية على التطبيقات (قبل تثبيتها وبعده)، كما تشير تلك التعليمات إلى ضرورة قيام البنوك بتقييم نقاط الضعف الموجودة فى التطبيقات مرتين على الأقل سنويًا، والعمل على خطة للحد من نقاط الضعف، ومشاركة الخطة مع الإدارة العليا.

مخاطر أمن نظم المعلومات والفضاء السيبرانى

تفرض البنوك المركزية على المصارف القيام بعمل اختبارات الضغط، لتحديد حجم الآثار المترتبة على نجاح عمليات قرصنة تتعرض لها الأنظمة الإلكترونية بتلك المصارف، بصورة دورية سنوية أو نصف سنوية، كما يجب على البنك وفقًا للتعليمات، الإبلاغ عن الاختراقات، وعمليات قرصنة إلكترونية خلال ساعة من وقوعها فى بعض الدول العربية فى غضون يوم أو يومين على الأكثر .

بناء القدرات والتحديات

أكدت الدراسة أن المصارف المركزية العربية تقوم بتدريب القدرات البشرية فى القطاع المصرفى، فى مجال أمن الفضاء الإلكترونى أخذًا فى الاعتبار المقترحات والمبادىء الرقابية الصادرة من المؤسسات الدولية، من خلال تدريب العاملين فى مجال الأمن الإلكترونى ومشاركتهم فى الدورات التدريبية المتعلقة بأمن المعلومات.
وعقد برامج تدريبية متخصصة فى الأمن السيبرانى لتطوير الكفاءات والمهارات الوطنية بإشراف شركات عالمية متخصصة، وتوجيه البنوك لتكثيف الجهود المبذولة لتهيئة وتخريج كوادر على كفائة عالية فى مجال أمن المعلومات.

خلصت الدراسة إلى العديد من التحديات فى هذا الأمر تتلخص فى التطور السريع فى مجال تقنية المعلومات والاعتماد المتزايد على التقنيات للقيام بمعظم العمليات المصرفية ما يزيد من حجم التهديدات، والهجمات والقرصنة الإلكترونية الدولية التى تتعرض لها المصارف ببعض الدول العربية، وآليات البنوك فى التصدى لها ومدى فعالية الجدار الأمنى فى هذا الشأن .

وأكدت الدراسة أنه بجانب حداثة مفهوم الأمن السيبرانى على مستوى الدول العربية والحاجة لتقوية الخبرات المصرفية، وضمان تحقيق الأمن عند قيام المصارف بإجراء عقود لأطراف ثالثة تختص بأمن نظم المعلومات للحد من عمليات الاحتيال والقرصنة .
وكذلك الارتفاع النسبى فى تكلفة تطبيق تقنيات أمن المعلومات والفضاء السيبرانى بصورة ملحوظة، وصعوبة تطبيق ضوابط أمن نظم المعلومات والفضاء السيبرانى، نظرًا لضعف ثقافته لدى بعض العاملين فى القطاع المالى، وضرورة الحاجة لوجود آلية رقابة واضحة على البنوك والشركات المالية للتأكد من وجود ضوابط التأمين.

التوصيات

توصلت الدراسة للعديد من التوصيات، وهى أهمية قيام الأجهزة الرقابية والمؤسسات بتوفير الدورات التدريبية عالية المستوى، وورش العمل والمؤتمرات بمشاركة الجهات الدولية المتطورة فى مجال تقنيات المعلومات لإطلاع الكوادر الفنية على أحدث التقنيات لمواكبة التطور السريع والتعرف على التقنيات الحديثة، بجانب أهمية وضع الأجهزة الرقابية العربية لآلية رقابية واضحة على البنوك والمؤسسات المالية للتأكد من تحقق ضوابط التأمين.

أوصت بأهمية حصول لمؤسسات المالية والمصارف على أحدث التقنيات سواء فيما يتعلق بأجهزة الهاردوير، أو البرامج لمواجهة أحدث التطورات والأساليب المتبعة فى مجال التأمين ضد القرصنة، والهجمات الإلكترونية، مشددة على ضرورة استحداث مجال الأمن السيبرانى فى الجامعات العربية المتخصصة فى مجال تقنية المعلومات أسوة بالجامعات العالمية.

أوضحت أن تخصيص المؤسسات المالية العربية الموارد الكافية والمخصصات للحصول على أحدث التقنيات فى مجال أمن نظم المعلومات والفضاء السيبرانى، وتتسم تلك التقنيات بالارتفاع الملحوظ فى تكلفة اقتنائها، والعمل على تكثيف التوعية لدى العملاء من خلال البرامج المسموعة والمرئية والندوات التثقيفية، لرفع المستوى الخاص بثقافة الأمن السيبرانى، وأخيرًا التأكيد على أهمية القيام باختبارات أوضاع ضاغطة جزئية وكلية، تتضمن أثر المخاطر السيبرانية على البنوك.

عبدالرحمن أبو العنين

عبدالرحمن أبو العنين

8:56 م, الخميس, 11 يوليو 19