عدد اليوم
حسام عبدالنبي (دبي)
تلتزم البنوك العاملة في الدولة بتسعة متطلبات تنظيمية رئيسة حددها المصرف المركزي، من أجل مواجة المخاطر الإلكترونية وحماية العملاء من الاحتيال، والحفاظ على الأمن السيبراني والبيانات الشخصية للعملاء عند تنفيذ المعاملات المصرفية عبر الإنترنت، حسب مصرفيين.
وأكدوا لـ «الاتحاد» أن البنوك تلتزم ذاتياً بعدد من التدابير الاحترازية الإضافية لحماية العملاء والحفاظ على أمن المعلومات، في ظل زيادة الهجمات الإلكترونية التي تستهدف القطاع، وأهمها توظيف التقنيات والحلول الإلكترونية، وزيادة الاستثمارات والإنفاق على التكنولوجيا وأمن المعلومات، فضلاً عن تنظيم حملات التوعية بصفة دورية، عبر الوسائل والقنوات الإلكترونية المختلفة.
وقال مصرفيون: إن القطاع المصرفي حول العالم يواجه ارتفاعاً متزايداً في عدد الهجمات الإلكترونية خلال السنوات الأخيرة، ليرتفع متوسط تكلفة الجرائم الإلكترونية على مستوى العالم بنحو 10%، خلال العام الماضي، إلى 18 مليون دولار.
وذكروا أنه وفقاً لتقديرات البنك الدولي، فإن قطاع الخدمات المالية عالمياً يشهد هجمات سيبرانية تفوق القطاعات الأخرى بنسبة 65%، كما أن تقديرات صندوق النقد الدولي تشير إلى أن تكلفة الهجمات السيبرانية في قطاع الخدمات المالية تصل إلى ما بين 270 إلى 350 مليار دولار سنوياً، حال اتساع نطاق انتشارها، كاشفين أن متوسط الخسائر السنوية المحتملة من الهجمات السيبرانية قد يكون كبيراً، بما يقدر بنحو 9% من صافي دخل البنوك على مستوى العالم.
خطوات تنظيمية
وقال الدكتور محمد إسماعيل، الباحث الاقتصادي في صندوق النقد العربي، إن التقارير الصادرة على المستوى الدولي والإقليمي والمحلي تؤكد حقيقة أن الهجمات السيبرانية تشكل تهديداً للنظام المالي بأكمله، محذراً من أن الاستخدام الضار لتقنية المعلومات والاتصالات يمكن أن يؤدي إلى تعطيل الخدمات المالية الضرورية للأنظمة المالية الوطنية والدولية، وتقويض الأمن والثقة.
وذكر إسماعيل أن تقديرات صندوق النقد الدولي للتكلفة الناتجة عن الهجمات السيبرانية في القطاعات المالية من واقع الخسائر المحققة، جراء هجمات فعلية في 50 دولة حول العالم، توضح أن متوسط الخسائر السنوية المحتملة من الهجمات السيبرانية قد يكون كبيراً بما يقدر بنحو 9% من صافي دخل البنوك على مستوى العالم، أو حوالي 100 مليار دولار في حال ما تشابهت هذه الهجمات مع مثيلاتها السابقة.
ولفت إلى أنه نتيجة لذلك، واعترافاً بالتهديدات الناجمة عن المخاطر السيبرانية، ومدى أهمية تعزيز قدرة الأجهزة المصرفية على تحمل هذه المخاطر والتحوط منها، اتخذت السلطات الرقابية على مستوى العالم خطوات تنظيمية وإشرافية تهدف إلى تجنب أثر المخاطر السيبرانية على القطاع المصرفي، ومنها إصدار المصارف المركزية العربية التعليمات والتعاميم المصرفية التي تحث فيها البنوك نحو تعزيز قدراتها لمواجهة تلك الهجمات الإلكترونية.
حملات للتوعية
ومن جهته، قال أحمد المرزوقي، نائب رئيس تنفيذي أول والمدير العام للخدمات المصرفية للأفراد في بنك الإمارات دبي الوطني، إن البنوك تتخذ عدداً من التدابير الاحترازية من أجل ضمان أمان الخدمات المصرفية، أهمها إطلاق حملات دورية لتوعية العملاء عبر الرسائل النصية القصيرة SMS والبريد الإلكتروني، بالإضافة إلى نشر رسائل عبر وسائل التواصل الاجتماعي لتعريفهم بأساليب ومحالات الاحتيال، وتحذيرهم لعدم مشاركة معلوماتهم الشخصية مع أي كان.
ولفت إلى أن البنوك تعرض، عبر موقعها الإلكتروني، نصائح مفيدة بشأن حماية المعلومات الشخصية والتشجيع على اتباع الممارسات المصرفية الآمنة، بالإضافة إلى إشعارات على المنصات الرقمية لتذكير العملاء بأخذ الحيطة والحذر من أي محاولة احتيال. وأضاف المرزوقي، أنه ضمن الجهود الدؤوبة لجعل المعاملات المصرفية اليومية أكثر أماناً، أطلق البنك مؤخراً ميزة «سمارت باس» التي تمكن العملاء من توثيق التحويلات والمدفوعات عبر الإنترنت أو الهاتف المحمول، باستخدام رمز مميز يتم إنشاؤه من هواتفهم المحمولة.
وأضاف أن ميزة «دبل سكيور» توفر مستوى أعلى من الأمان مع المعاملات المصرفية عبر البطاقة، أي عند التسوق من المتاجر الإلكترونية، علاوةً على تلقي العملاء تنبيهات فورية عبر الرسائل النصية القصيرة، حول عمليات الشراء التي تتم عبر بطاقات الائتمان أو الخصم الخاصة بهم، مما يمكنهم من حظر استخدام بطاقاتهم على الفور عبر تطبيق البنك للهواتف المحمولة، أو من خلال التواصل مع مركز الاتصال الخاص بالبنك في حال الاشتباه بأي نشاط احتيالي.
وأكد أنه في ظل الوسائل المتطورة التي يواصل المحتالون ابتكارها للوصول إلى البيانات السرية بطريقة غير شرعية، يبقى الخطأ البشري أحد أكبر نقاط الضعف عندما يتعلق الأمر بمكافحة الجرائم الإلكترونية.
وأشار إلى استحالة أن يطلب البنك من العملاء أي تفاصيل شخصية، مثل بيانات اعتماد رقم الحساب، أو معلوماتهم في الخدمات المصرفية عبر الإنترنت أو تطبيق الهاتف المتحرك، أو كلمات المرور، أو رقم التعريف الشخصي للبطاقة، أو رقم CVV المكون من ثلاثة أرقام والموجود على الوجه الخلفي للبطاقة، داعياً العملاء إلى توخي الحيطة والحذر لدى استلامهم رسائل بريد إلكتروني أو روابط أو مواقع إلكترونية، أو مكالمات مشبوهة، لحماية حساباتهم من عملية احتيال محتملة.
توظيف التقنيات
ومن جانبه، قال فيليب كينغ، الرئيس العالمي لقطاع الخدمات المصرفية للأفراد في مصرف أبوظبي الإسلامي، إن البنوك دائماً ما تحرص على حماية البيانات الشخصية لعملائها، من خلال استخدام أحدث التقنيات لتقويم المعايير الأمنية وتطويرها وتطبيقها، بهدف حماية العملاء من التعرض لعمليات الاحتيال، لاسيما وأن الخدمات المصرفية الموثوقة والسريعة والسلسة تعتبر جزءاً أساسياً من التجربة التي تقدم للعملاء، مؤكداً أن مصرف أبوظبي الإسلامي وظف تقنيات متعددة مثل تقنية «الشريحة ورقم التعريف الشخصي» (Chip and Pin)، والتنبيهات المجانية عند إجراء أي معاملات، والحماية ثلاثية الأبعاد، ومراقبة البطاقات على مدار الساعة لمنع عمليات الاحتيال.
زيادة الإنفاق
وبدوره، أوضح سام عليائي، المحلل الرئيس للأبحاث لدى «جارتنر» مؤسسة الدراسات والأبحاث العالمية، أن الأمن السيبراني يمثل أحد أبرز المخاطر التي تؤثر بشكل مباشر على الشركات والأفراد في منطقة الشرق الأوسط وشمال أفريقيا، إذ أن معظم الهجمات تأتي ضمن خمس فئات تقوم باستغلال نقاط الضعف الأمنية عادة من خلال آليات عديدة، مثل برمجيات الهندسة الاجتماعية الخبيثة، وهجمات التصيّد الاحتيالي، والبرمجيات غير المحدّثة / غير الآمنة، وهجمات استغلال وسائل التواصل الاجتماعي، فضلاً عن التهديدات الأمنية المتطورة المتواجدة دائماً، متوقعاً نمو معدلات الإنفاق على تكنولوجيا وخدمات أمن المعلومات في قطاع المؤسسات في الشرق الأوسط وشمال أفريقيا لتصل إلى 1.9 مليار دولار في عام 2019، بزيادة قدرها 9.8% عن عام 2018.
المتطلبات التنظيمية الإلزامية
المتطلبات التنظيمية الإلزامية التي أصدرها المصرف المركزي، للحفاظ على أمن الفضاء الإلكتروني في البنوك العاملة بالدولة هي:
1. وضع إطار رقابي عام للمخاطر المرتبطة بأمن نظم المعلومات والفضاء السيبراني.
2. وضع تنظيم وإدارة للحسابات والخدمات المصرفية المقدمة عبر الإنترنت.
3. اعتماد وسائل للتحقق من هوية العميل المستفيد من الخدمات المصرفية الإلكترونية.
4. مراعاة التدابير والضوابط والتعليمات الرقابية الخاصة بإدارة كلمة السر.
5. الالتزام بالضوابط والتعليمات الخاصة بعمليات تحويل الأموال من خلال خدمات الإنترنت.
6. اتخاذ الإجراءات والتدابير الأمنية لضمان سرية وسلامة معلومات العملاء.
7. تأمين التطبيقات الإلكترونية المستخدمة في تقديم الخدمات والمعاملات البنكية.
8. القيام باختبارات الضغط (Stress Testing) لتحديد حجم الآثار المترتبة على نجاح أية عمليات قرصنة تتعرض لها الأنظمة الإلكترونية بتلك المصارف.
9. التعاون والتنسيق مع السلطات الرقابية الأخرى عبر الحدود والشركاء في صناعة تقنيات المعلومات بهدف تبادل الخبرات والمعلومات ومناقشة التحديات وتوحيد الجهود في مجال الأمن السيبراني.
