Professional Documents
Culture Documents
سياسة ادارة مخاطر الخدمات الالكترونية
سياسة ادارة مخاطر الخدمات الالكترونية
اصبح استخدام تكنولوجيا المعلومات الحديثة عنصرًا مالزمًا للعمل المصرفي لما توفره من فعالية وسرعة في اإلنجاز
ووفرة في المعلومات وبدأت المصارف بالتحول من أسلوب العمل اليدوي الى العمل االلكتروني الذي يعتمد على الوسائط
االلكترونية فظهر ما يعرف بالبنوك اإللكترونية والخدمات المصرفية االلكترونية التي مثلت قفزة نوعية في مجال العمل
المصرفي ،اال أن تصاعد أعمال الغش واالحتيال عبر الشبكة أدى الى ظهور مخاطر أمنية تهدد المعلومات المتبادلة بين
البنوك والعمالء ،فأصبح تحديد المخاطر المحتملة و تقييمها ووضع الضوابط المالئمة من أهم القضايا التي تواجه العمل
المصرفي االلكتروني
تعاريف:
نظام الدفع االلكتروني:
مجموعة الوسائل واإلجراءات االلكترونية لدفع األموال ووفاء االلتزامات عن طريق تحويل األموال بين طرفين أو أكثر.
قنوات الدفع االلكتروني:
تجهيزات أو برمجيات الكترونية تمكن العميل من اجراء عمليات سحب أو إيداع أو دفع أو تحويل األموال من خالل نظام
دفع الكتروني ومنها :الصرافات اآللية ( )ATMوأكشاك الخدمة الذاتية( )kioskوالمواقع اإللكترونية على الشبكة،
والهاتف الثابت ،وتطبيقات الهاتف النقال
الخدمات المصرفية االلكترونية:
هي مجموعة من الخدمات المالية التي يقدمها البنك أو المؤسسة المالية لعمالئه عبر االنترنت أو منصات الهاتف
المحمول .تتضمن هذه الخدمات إدارة الحسابات المصرفية ،وإجراءات التحويالت المالية ،والدفعات اإللكترونية
واالستعالم عن األرصدة ،وتقديم طلبات القروض ،وإصدار التحويالت البنكية واالطالع على تفاصيل المعامالت المالية
وتقديم خدمات التواصل مع البنك والحصول على المساعدة
الثغرة:
هي نقطة ضعف قد تكون ضمن نظام المعلومات او ضمن تطبيق الموبايل او في أي مكون من مكونات نظام الخدمات
اإللكترونية.
التهديد:
هو شخص ( )someoneاو شيء ( )somethingيقوم باستغالل الثغرات إللحاق ضرر معين على مستوى االفراد
والنظم والمنظمة ككل.
الخطر:
احتمال وقوع حدث من شأنه المساس بأمن المعلومات واألثار المترتبة عليه.
النطاق:
تنطبق هذه السياسة على موارد البنك المعنية بتقديم الخدمة اإللكترونية وعلى عناصر نظام الدفع االلكتروني وقنوات
الدفع االلكتروني وعلى العمالء المستفيدين من تلك الخدمات.
األدوار والمسؤوليات:
مجلس اإلدارة :تحديد إمكانية او رغبة المنظمة في المخاطرة ( )risk apetiteفي نظام الخدمات االلكترونية وانشاء
اليات لإلبالغ( )reportingوالتفويض( )delegationوالمتضمنة إلجرائيات التعامل مع االحداث التي تؤثر على
كل من أمان وسالمة وسمعة المصرف
تحديد عوامل الخطر المرتبطة بكل من امان وسالمة وسرية الخدمات البنكية وإلزام الشركات المسؤولة عن تطوير
برمجيات الخدمات االلكترونية باتباع نفس االجرائيات
مديرية المخاطر :يعنى قسم المخاطر بتحديد المخاطر وتقييمها وتحليلها ووضع الضوابط المناسبة لتجنب او تخفيف
أثر كل خطر مع دراسة فعالية تلك الضوابط ،وتعد مهمة إدارة المخاطر عملية متكررة مع الزمن لتوائم التطور
والتقدم في المستقبل
مديرية االلتزام :تتجلى مهمة قسم االلتزام في التأكد من مطابقة السياسات والضوابط المعتمدة مع القرارات والقوانين
النافذة في الجمهورية العربية السورية.
مديرية المعلوماتية :يعنى قسم المعلوماتية بتطوير وصيانة البنية التحتية للخدمات االلكترونية والتأكد من توافر
التقنيات األمنية الالزمة والتعاون مع شركات التدقيق الخارجي لتحديد الثغرات الموجودة بشكل دوري
سوء إدارة الجلسات :إن انشاء الجلسة ( )sessionيتم بعد مرحلة التحقق من هوية العميل وتفيد في االحتفاظ
في معلومات العميل طيلة فترة الجلسة"مثال مستخدم دخل عالتطبيق يتم بداية ارسال صفحة تسجيل الدخول يقوم
المستخدم بإدخال اسم المستخدم وكلمة المرور ليرسلها للخادم ،يقوم الخادم بالتحقق من هوية العميل وفي حال
نجاح عملية التحقق فيتم انشاء معرف للجلسة session idهذا المعرف يتم تخزينه في ملفات تعريف االرتباط
cookiesهذا المعرف هو المسؤول عن تحديد هوية المستخدم ضمن التطبيق وبالتالي عدم تأمين هذا المعرف
يعد ثغرة في أمان التطبيق ويجعله عرضة لهجمات ال . "session hijacking and session fixiation
الثغرات:
ضعف اجرائيات المصادقة والتحقق
نقص في وعي المستخدمين
عدم وجود برامج حماية من البرمجيات الخبيثة
ثغرات امنية في التطبيق
ضعف التشفير
ضوابط الوصول الغير مصرح به:
مراقبة وتتبع األنشطة واألحداث المسجلة في سجالت النظام ( )siem systemللكشف عن أي نشاط او سلوك
قد يشكل تهديدا ألمن المعلومات
استخدام برامج الحماية من الفيروسات لكل من جهاز المحمول او الخوادم.
اجراء تحديثات بشكل دوري لكل من التطبيقات ونظم التشغيل.
اجرائيات الحفاظ على البيانات على جهاز العميل (منع التقاط صورة او تسجيل فيديو للشاشة اثناء تشغيل
التطبيق ،عدم تخزين بيانات التطبيق على جهاز العميل)
توعية المستخدمين حول أهمية التدابير األمنية (وضع رمز امان (كلمة مرور معقدة) لحماية الجهاز المحمول
مع التوصية بإضافة رمز امان مخصص لفتح التطبيق البنكي ،توعية المستخدمين حول أهمية ابالغ البنك
والجهات المختصة في حال سرقة الهاتف المحمول ،توعية المستخدمين حول طرق االحتيال المتبعة من قبل
المخترقين للوصول الى معلومات الدخول للتطبيق(الهندسة االجتماعية وانواعها ) )phishing/vishing
الزام الشركة المطورة بضرورة الدعم المستمر للتطبيق من خالل إضافة التحديثات الالزمة لسد الثغرات
المحتملة
اعتماد طرق التشفير االمنة.
تنفيذ اختبارات اختراق الشبكة للكشف عن أي ثغرات محتملة.
األثار السلبية للوصول الغير مصرح به:
سرقة او تلف او فقدان معلومات العمالء.
توقف بعض الخدمات المصرفية.
الخسائر المالية على مستوى العمالء والبنك.
ضرر بسمعة البنك.
سرقة المعلومات المصرفية :المهاجمين قد يكونون قادرين على سرقة بياناتك المصرفية من خالل االختراق،
مما يمكنهم استخدامها لسرقة األموال من حسابك.
تنفيذ عمليات مشبوهة :قد يقوم المهاجمون بإجراء عمليات مالية غير مصرح بها من حسابك ،مما يمكن أن
يؤدي الى فقدان األموال.
تسريب المعلومات الشخصية :قد يسمح اختراق الهاتف للمهاجمين بالوصول الى معلوماتك الشخصية الحساسة
مما يمكنهم استخدامها في أنشطة غير قانونية
تلف المعلومات المصرفية :بعض أنواع الوصول الغير مصرح به قد تؤدي الى حذف البيانات او تشفير
المعلومات(هجمات الفدية)
خطر سرقة المعلومات الشخصية/:من االثار السلبية للوصول الغير مصرح به/ .2
ان سرقة المعلومات الشخصية هو احد المخاطر الناتجة اما عن اختراق العميل او اختراق المنظمة ،تختلف طبيعة
المعلومات التي يستحوذ عليها المخترق باختالف نوع االختراق فمن الممكن ان تكون معلومات شخصية(اسم و رقم
وعنوان) معلومات مالية(الحسابات البنكية وارصدتها) معلومات خاصة بالمصادقة والتحقق(اسم مستخدم و كلمات مرور
او تواقيع الكترونية او بصمات الكترونية)
االثار السلبية:
سرقة األموال :قدرة الوصول الى حسابات العميل المالية مع حرية اجراء عمليات التحويل والشراء
سرقة الهوية :استخدام المعلومات الشخصية للعميل الجراء عمليات احتيالية
انتهاك الخصوصية
عقوبات قانونية على المصرف بسبب خرق السرية المصرفية