تناقل بعض الاصدقاء معلومات عن معاملات مشبوهة عبر بطاقاتهم المصرفية، وأخبرت أن بعض مراكز خدمات الزبائن التابعة لبعض البنوك لم تأخذ الموضوع على محمل الجد المطلوب في بداية الأمر. قطاع البنوك استوعب بعد فترة انه يتعرض لعملية قرصنة الكترونية وسرقات مالية.

بعد الإعلان عن العملية من قبل البنك المركزي ووزارة الداخلية قرأت مقالة في احدى الصحف المحلية جاء فيها «تمكنوا من اختراقها من خلال أجهزة إلكترونية حديثة في حجم البطاقة الآلية يتم إدخالها للصراف وتصوير المجال المغناطيسي داخل الجهاز وهو ما يحوي كل معلومات البطاقة شاملة الرقم السري، وقال المصدر ان هناك مصرفا بعينه تركزت عليه عمليات الاستيلاء نظرا الى أن أجهزته غير محدثة».

يمكن تسجيل ملاحظة مفادها أن البنوك في الخليج طبقت نظام الاي-إم-في «EMV»على البطاقات وأجهزة الصراف الآلي، وهو نظام يستخدم البطاقات الذكية ولكن المشكلة ليست في القدرة على الحصول على معلومات الشريط المغناطيسي الموجود في البطاقة فقط بل هو في كيفية عمل البطاقات التي اختارتها البنوك المصدرة لهذه البطاقات، حيث تسمح هذه البنوك باجراء معاملات الكترونية باستخدام الشريط المغناطيسي عوضا عن الشريحة الذكية المعمول بها في نظام الـ «EMV» التي تعتبر أكثر أمنا وتستعصي إلى حد كبير على محاولات الاختراق.

ونحن بصدد الاستفادة من هذه الحالة نطرح بعض الأسئلة لمحاولة اثراء النقاش بهدف المساهمة في خلق بيئة اكثر أمنا، أسئلة مثل: كيف استطاعت العصابات تركيب الاجهزة في أماكن عامة مراقبة جيدا دون كشفها؟ ثم كيف بقيت الأجهزة لمدة اسبوعين تقريبا دون دراية البنك مع العلم ان الأجهزة تتم معاينتها كل بضعة أيام؟ وللاستفادة من هذه الحادثة وأمثالها في جعل الإجراءات أكثر فاعلية، هل هناك خطة لمراجعة دورية لنقاط الضعف في هذه التقنية والبطاقات والشبكات والاجراءات؟ كيف نجنب المستخدمين الوقوع ضحية لأعمال القرصنة الآن وفي المستقبل؟

هناك عبارة لفتت انتباهي في المقال نُسبت الحديث لخليل زينل، وهو رجل ذو خبرة واسعة، قال فيها «ان عمليات القرصنة باتت حربا إلكترونية بين العصابات من جهة والبنوك من جهة أخرى». وهو كلام صحيح ولكنه يغفل الدور المحوري لمصرف البحرين المركزي ومسئوليته في الأخذ بالزمام في هذه الحرب، وهو يقوم بجهود طيبة وحثيثة في تنظيم كل ما يخص أمن العمليات المالية والالكترونية منها بالتحديد. ولكن هذا لا يمنع من طرح الأسئلة عن القوانين المنظمة لهذا القطاع، وعن المراجعة الدورية لها تحديثا لها لمواكبة بيئة متغيرة ومتطلبة جدا. نتساءل: هل هناك معايير مكتوبة ترجع لها البنوك لتحديد صلاحية أجهزة الصراف الآلي «ATM» من عدمها؟ وإذا كانت كذلك فكيف يسمح لبنك ما بوضع أجهزة لا تتطابق والمعايير المعمول بها «وغير محدثة»؟ وما هي الاجراءات التي يتخذها البنك المركزي للتأكد من اهلية هذه الأجهزة للاستخدام الآمن؟ وخصوصا أن هذه الحادثة ليست الأولى، فقد أُعلن عن مثلها في نهاية ديسمبر/ كانون الاول 2013 ولن تكون الأخيرة مادام هناك قراصنة يتربصون منتشرين على نطاق عالمي.

تجربتي مع البنك المركزي في المملكة العربية السعودية أكسبتني اطلاعا على الأهمية التي يوليها لأمن المعلومات بشكل عام وتأثيراته السلبية والايجابية، وتتضح تلك الأهمية في مجال الدفع الالكتروني بشكل خاص. البنك المركزي السعودي يبدو صارما جدا ومنظما ودقيقا في وضع معايير أمن المعلومات لهذا القطاع المهم لاقتصاد اي بلد ويمكن الاستفادة من هذه التجربة عبر تبادل المعلومات بين البنوك المركزية في الخليج.

يذكر أن البنك السعودي المركزي قام بفرض تطبيق معايير دولية لتضمن الحد الأدنى لأمن المعلومات، كما فرض اجراء تدقيق سنوي على أيدي مختصين يرفعونه للبنك المركزي. والمهم أنه أنشأ طاقما سعوديا 100 في المئة يهتم بأمن المعلومات، كما حظر المناصب العليا والرئيسية في مجال أمن المعلومات على الأجانب، لأنهم يعتبرون أحد المخاطر ونقاط التهديد التي تواجه الأمن الوطني للسعودية. كما كان عدم السماح باستضافة أو تخزين أو معالجة أي معلومات تخص المعاملات المالية خارج نطاق المملكة العربية السعودية الجغرافية أحد الإجراءات الوقائية. وأخيرا، قام البنك المركزي السعودي بحظر بعض التقنيات وخصوصا المنتجة في دول معادية أو قد تكون لها دوافع لضرب أمن المعلومات في المملكة، وهذا من أهم مرتكزات سياسة الحماية واجراءاتها.

نلفت أيضا إلى خطوة مهمة قام بها البنك المركزي السعودية حيث أطلق تطبيق البطاقة الذكية الخاص به، وهو تطبيق مستقل عن شركة فيزا وماستركارد لأسباب منها الحفاظ على خصوصية المعلومات وأمنها وتحقيق قدر عالٍ من الاستقلالية.

نخلص إلى أن أمننا الوطني رهن بنضج الإجراءات المعمول بها اليوم بالإضافة الى تبني آليات مراجعة وتقييم وتحديث دائم يواكب المستجدات في مجال أمن المعلومات وقبل هذا وبعده وجود كادر وطني يضطلع بهذه المهمة في القطاع الخاص والعام.

فتحي طريف

مختص في مجال تقنية وأمن المعلومات وأنظمة الدفع الإلكتروني