الإنترنت.. أمن المعلومات بين البنك والعميل
م. محمد بن عبد الله السهلي
في المقالات الأربع السابقة ذهبت معكم أحبتي القراء في رحلة فكرية قصيرة لتأمل بعضٍ من أخطر أساليب وتقنيات الاحتيال واختراق الخصوصية وأكثرها انتشاراً عبر الإنترنت. والوعي بهذه الأساليب، والإحساس بمكامن الأخطار هو جزء لا يتجزأ من طرق الوقاية منها وداعم قوي للقدرة على التصدي لها، لذا فقد ركزت على جانب التوعية في أربع مقالات إضافة لهذا المقال، بينما يكفينا المقال القادم ـ إن شاء الله ــ للحديث بشكل عام عن طرق حماية الخصوصية والبيانات الشخصية المهمة عبر الإنترنت دون الخوض العميق في التفاصيل إذ إننا بصدد مقالة لا درس علمي، ويجدر بي التنبيه في هذا المقال على لبس في مفهوم استخدام بروتوكول التشفير SSL/TLS الذي أشرت إليه في المقال الثالث من سلسلة مقالات «الإنترنت.. أساليب الاحتيال واختراق الخصوصية»، حيث يعتقد الكثيرون ممن يتعاملون مع مواقع البنوك والمتاجر الإلكترونية وغيرها من المواقع التي تهتم بخصوصية وحماية البيانات أنهم بمأمن من أي نوع من أنواع الاختراق أو سرقة البيانات بمجرد فتح الصفحة بواسطة بروتوكول التشفير https وظهور رمز «القفل» Padlock Icon أمام خانة العنوان في المتصفح أوفي شريط الحالة أسفل الصفحة، وهذا بالتأكيد غير صحيح، إذ إن بروتوكول تأمين نقل نصوص الإنترنت Hyper Text Transfer Protocol Secure وهو ما يتم اختصاره في شريط العنوان في متصفحات الإنترنت بــ https يقوم بوظيفتين محددتين يكفي أن أذكرهما لكم كي يتبين هذا الخطأ:
أولاً: يهدف إلى زيادة ثقة عميل الموقع بأنه موقع مُعّرف ومُسّجل رسمياً لدى إحدى الشركات الرسمية الدولية المتخصصة في شهادات التعريف وتشفير البيانات الآمنة مثل VeriSign وهي شركات معرفة مسبقاً في معظم متصفحات الويب مثل Firefox وInternet Explorer، لذا يفترض عند فتح الصفحة عبر هذا البروتوكول ألا تظهر لك أي رسالة تحذير لقبول أو عدم قبول الدخول في النطاق الآمن، وبهذا التسجيل يمكن لمن يتعرض لأي عملية استغلال أو نصب من أحد هذه المواقع الحصول على معلومات صحيحة عن تلك الشركة عند عزمه على التقدم بشكوى رسمية ضدها.
ثانياً: يهدف هذا البروتوكول إلى توفير الحماية ضد نوعين فقط من تقنيات اختراق الخصوصية وسرقة البيانات هما:
ــ التنصت على البيانات Eavesdropping ومن أشهر تقنياته ما تكلمت عنه في المقال الثالث وهي برامج Sniffer التي تقوم بالتقاط نسخة من حزم البيانات التي تمر عبر الشبكات والاطلاع على البيانات غير المشفرة فيها أو فك الشفرات البسيطة منها.
ــ تقنيات خطف جلسة الدخول على أحد مواقع الخدمات الإلكترونية أو البرامج التي تمتلك فيها صلاحية خاصة جداً كالنظم المالية أو حسابات البنوك وطردك خارج الصفحة عبر ما يسمى بتقنية Man-in-the-middle attack أو TCP Hijacking.
وتتم الحماية ضد هذين النوعين من الاختراق عبر توفير قناة نقل للبيانات عبر شبكات الحاسب تقوم بتشفير حزم البيانات بدرجة معقدة من لحظة إرسالها عبر الضغط على أي زر في الموقع أو البرنامج يتطلب إرسال البيانات للخادم Server، إضافة أو تعديل بيانات محددة أو لإظهار تقارير خاصة حتى لحظة وصولها وفك تشفيرها في الجهاز الخادم، وكذلك العكس صحيح عند استقبال البيانات، ومن هنا يتبين أن هذه التقنية لا تكفي لتوفير الحماية لبياناتك على الكمبيوتر الذي تستخدمه قبل عملية الإرسال، وكذلك الحال لبقية بياناتك التي لا تستخدم هذه التقنية أصلاً.
وفي هذه الحالة ما لم تقم بحماية بياناتك على جهازك بطرق الحماية الصحيحة الأخرى، ومن ضمنها بياناتك البنكية لحظة كتابتها أو أثناء ظهورها على شاشتك فإنها معرضة للسرقة وانتهاك الخصوصية عبر عدد من التقنيات التي تكلمت عنها في المقال الرابع من هذه السلسلة « ويمكنك الرجوع إليها في أي وقت عبر موقع «الاقتصادية» أو عبر مدونتي الخاصة، ومن هذه التقنيات برمجيات تسجيل ضغطات لوحة المفاتيح Keystroke Loggers وهي تقوم بتسجيل البيانات التي تدخلها بواسطة الضغط على لوحة مفاتيحك في حقول صفحات الإنترنت المختلفة مثل صفحة الدخول في موقع البنك أو صفحات الشراء عبر الإنترنت بما تحويه من معلومات مهمة مثل بطاقة الائتمان وغيرها ثم تقوم بإرسال تلك المعلومات مع عناوين الصفحات إلى بريد الهكر الإلكتروني، وفي إطار الحماية من مثل هذه التقنية التي تتوافر أيضاً كأداة إضافية في معظم برامج الاختراق وحتى في بعض برامج مراقبة الشبكات، تقوم معظم البنوك المحلية والعالمية ببعض الإجراءات التقنية عبر مواقعها مثل وضع لوحة مفاتيح افتراضية عند تسجيل الدخول للموقع، لا يمكن لمعظم تقنيات Keystroke-Loggers تسجيل بياناتها وفرض كلمتي مرور واحدة للدخول والأخرى لتنفيذ العمليات وتحذير العملاء وحثهم على ضرورة تأمين الأجهزة الشخصية وتنظيفها من أكواد وبرامج التجسس بشتى أنواعها، ولعل من أفضل البنوك السعودية في هذا المجال بحسب وجهة نظري وتجربة عدد منها ومشاهدة عدد آخر هو «البنك الأهلي»، والحقيقة أن تقنية اللوحات الافتراضية جيدة من جانب ولكن من عيوبها إمكانية كشف كلمة المرور واسم المستخدم معاً في حالة استخدامها في مكان عام أو في بعض المواقع التي توجد فيها كاميرات مراقبة أمنية مثل مقاهي الإنترنت أو المكتبات العامة أو معامل الحاسب في بعض الكليات أو الجامعات أو مراكز الأعمال وخصوصاً خارج السعودية.
ختاماً, أرى أن بنوكنا المحلية تتفاوت في درجة اهتمامها وقناعتها بتوفير أقصى أنواع الحماية لبيانات عملائها واعتماد بعضها فقط على عملية تشفير البيانات أثناء الإرسال والتحذير والتوعية العامة فقط، وترك المسؤوليات الأخرى على كاهل العميل حتى وإن كان ضعيف الثقافة والمستوى فيما يتعلق باستخدامات التقنية، والحقيقة أن هناك عددا من الحلول والتقنيات القوية الإضافية التي تستطيع بنوكنا اتباعها كما يتبعها عدد من البنوك في بعض الدول المتقدمة تقنياً، ومن جهة أخرى، فحري بالمستخدم الكريم أن يبذل قليلاً من الجهد لتعلم أبسط أساسيات الحماية الشخصية للبيانات وطرق تأمين جهازه الشخصية، حتى يستطيع قيادة حاسبه الشخصي!! بالشكل الذي يُوصله آمناً ولو على الأقل بدرجة أفضل من قيادته لسيارته كما هو الحال في شوارع الرياض التي أصبحت ميداناً لتعلم القيادة!!
ملاحظة مهمة: هذه السلسلة من المقالات تهدف إلى التوعية بأساليب اختراق الخصوصية بغرض الوقاية منها فقط، والكاتب وصحيفة «الاقتصادية» غير مسؤولين عن استخدامها بطريقة غير شرعية، إذ إن النظام السعودي يُجّرم ذلك عبر نظام «مكافحة الجرائم الإلكترونية» الصادر بالمرسوم الملكي رقم م/ 17 في يوم الإثنين 7 ربيع الأول 1428هـ كما تم التطرق له من قبل.
| هوانا بحرري ; توقيع العضو |
|
