معهد سكيورتي العرب | وظائف خالية
وظائف 2018 سوق السيارات عقارات 2018 الارشيف البحث
اسم العضو:  
كلمة المرور:     
تسجيل المساعدة قائمة الأعضاء اظهار المشاركات الجديدة اظهارمشاركات اليوم

الواقع الأمني للخدمات البنكية


الواقع الأمني للخدمات البنكية
التوقيت الحالي : 11-16-2024, 07:07 AM
مستخدمين يتصفحوا هذا الموضوع: 1 ضيف
الكاتب: dr.wolf
آخر رد: dr.wolf
الردود : 0
المشاهدات : 2567

إضافة رد 

الواقع الأمني للخدمات البنكية

الكاتب الموضوع

رقم العضوية :3
الاقامة : ام الدنيا
التواجد : غير متصل
معلومات العضو
المشاركات : 7,392
الإنتساب : Oct 2010
السمعة : 5


بيانات موقعي اسم الموقع : سكيورتي العرب
اصدار المنتدى : 1.6.8

مشاركات : #1
Question الواقع الأمني للخدمات البنكية

الواقع الأمني للخدمات البنكية


السلام عليكم ورحمة الله وبركاته :


لا يختلف اثنان في أهمية الخدمات البنكية على الانترنت و فوائدها الملموسة من استعلام عن أرصدة أو تحويل بين حسابات أو تسديد فواتير أو غيرها من الخدمات القيّمة. و للبنوك السعودية التقدير في توفير تلك الخدمات في الآونة الأخيرة إلا أننا نطمح في المزيد من التطور و المرونة.
هدف هذا المقال هو تسليط الضوء على الواقع الأمني و التقني للخدمات الالكترونية على الانترنت التي تقدمها البنوك السعودية، و ذلك بغرض لفت أنظار كل من مؤسسة النقد السعودي و البنوك السعودية للإخفاقات المختلفة في تلك الخدمات، و التي قد تشّكل خطراً أمنياً أو تنفيراً للعملاء من استخدامها. إن هدف التركيز على القطاع البنكي هو لحساسية عمله و الخدمات التي يقدمها و الوضع المالي المحفز الذي يؤمن له تقديم أفضل الخدمات. كذلك لارتفاع شهية المهاجمين على هذا القطاع أكثر من غيره. و الملحوظات التي سأوردها في هذا المقال هي ملحوظات انتبهت لها شخصياً عند التعامل مع حساباتي في عدة بنوك، و لم يكن اكتشافها نتيجة دراسة مستفيضة لكشف جميع نقاط الضعف، و هي ليست كل الملحوظات، فبعضها لم تصادفني و بعضها قد تكون في بنوك ليست لدي فيها حسابات، و بعضها قد رصدها بعض العملاء، و بعضها قد يكون بعض العابثين استغلها أو سيستغلها. إذاً، الملحوظات التالية الذكر هي فقط عينة و إنذار مبكر للمسئولين في البنوك، و كلي أمل في البنوك السعودية بتلافي تلك الملحوظات و غيرها من التي لم تذكر هنا.
من تلك الملاحظات:
أولاً: قلة المعلومات المساعدة و المرشدة لكثير من المشاكل التقنية التي قد يتعرض لها العميل حال زيارته لموقع البنك على الانترنت. المثال الأول: متطلبات كلمة المرور عند بعض البنوك مبهمة، فلا تدري ما الطول الأدنى و الأعلى و هل يمكن استخدام الرموز أم لا، و النتيجة لهذا الغموض محاولات عدة قد تنتهي بقبول كلمة مرور معينة، و لا تلبث يوماً إلا و نسيتها، نظراً لكثرة المحاولات و الاحتمالات. المثال الثاني: قد تواجه العميل مشكلة في بعض الأحيان عندما لا يقبل النظام اسم المستخدم و كلمة المرور الخاصة بك، مع تأكدك من صحتها، مما يدعوك إلى التشكك في صحتهما و يضطرك إلى تغيرها، هذا ما حصل لي في احد مواقع البنوك، حينها قمت بتغير كلمة المرور عن طريق نفس الموقع، و لكن في كل مرة أقوم بتغيير كلمة المرور يرفض النظام بحجة أن كلمة المرور خاطئة مع أنني قمت للتو و بنجاح بتغييرها!!! أمر عجيب أليس كذلك؟ بعد عدة محاولات، و في أيام متعددة أعلنتُ الفشل و قمت بالاتصال بخدمات العملاء –و الذي يتحتم عليك البقاء على الهاتف لمدة زمنية طويلة تنفر فكرة الاتصال عليهم من الوهلة الأولى – و بعد محادثة الموظف المسئول اتضح لي أن النظام يقوم بإيقاف الحساب على موقع الانترنت بعد مضي أكثر من شهر تقريباً من آخر مرة زار فيها العميل الموقع، و لا يتم تفعيله إلا بعد محادثة الموظف المسئول، أي أن كلمة المرور الأولى التي أدخلتها كانت صحيحة و أن الجهد الذي قمت به لتغيير كلمة المرور كان هدراً. أنا لا ألوم البنك في اتخاذ هذا الإجراء و لكن ألومه في عدم توضيح هذا الأمر للعميل، فبدلاً من إظهار رسالة مضللة تفيد أن كلمة المرور خاطئة، كان من الأفضل إظهار رسالة تفيد حالة الحساب المتعطلة و سبب التعطل و الخطوات الواجب إتباعها لتفعيله. المثال الثالث: يوجد هناك إشكالية في فتح بعض مواقع البنوك على الانترنت و بعد الاتصال على الموظف المسئول في البنك يتضح لك انه لا يمكن فتح موقع خدمات البنك على الانترنت إذا كنت تتصل بالانترنت بواسطة مقدمي خدمة معينين، و أن أنظمة مقدمي الخدمة هؤلاء لا تسمح بفتح موقع البنك لأسباب فنية، و يجب عليك الاستعانة بمقدمي خدمة آخرين! لنفرض أن هذا هو السبب، ألا يجب أن يذكر البنك ذلك في قسم حل المشاكل في موقعهم على الانترنت؟ ألا يجب على البنك أن يخاطب مقدم الخدمة للاستفسار و العمل على حل الخدمة لمصلحة البنك و مصلحة مقدم الخدمة و لا ننسى كما ينسى الجميع مصلحة العملاء؟ يفاجأ العميل انه مُهمَل، و أن عليه مصارعة المشاكل وحده و تحمل التنسيق بين الأطراف حتى يحضى بما يريد، إنه لأمر بئيس في عالم الأعمال التجارية الذي يدّعي المنافسة لخدمة العميل!
الثاني من الملحوظاتً: تضارب المعلومات و عدم صحتها. عندما تكون المعلومات التي يقدمها موقع البنك قديمة أو متضاربة فان العميل يفقد الثقة في صحة الصحيح منها. المثال الأول: عندما نسيت كلمة المرور لأحد حساباتي في احد مواقع البنوك على الانترنت – و الحقيقة أني ما زلت شاكا في مسألة نسياني لها أو أنها كانت صحيحة، و لكن لم يقبلها النظام لتعطله أو توقف الحساب، و هو أمر مؤسف لهذه الحالة التي وصلتُ لها! – قمت بالبحث في الموقع عن كيفية الحصول على كلمة مرور أخرى، فوجدت تعليمات تفيد بضرورة الاتصال على الهاتف المذكور أو زيارة فرع البنك و تقديم طلب استصدار كلمة مرور جديدة. بديهياً، كان الأسهل علي هو مهاتفة البنك، لكني و بعد الانتظار على الخط لم استفد من المكالمة، أتدرون لماذا؟ لان جواب الموظف المسئول كان هو الخيار الثاني في تعليمات الموقع، حيث قال انه لا يستطيع خدمتي و علي الذهاب لأحد فروع البنك! السؤال هو: لماذا لم يحدّث البنك التعليمات و الإجراءات على الموقع؟ المثال الثاني: في إجراءات أحد البنوك على موقعهم على الانترنت للحصول على كلمة مرور جديدة من خلال الموقع، اتضح لي الخلط بين الحصول على كلمة مرور جديدة و طلب حساب جديد، و كأن الإجراءين دمجا بطريقة غير مدروسة جعلت الإجراء غير منطقي و غير متجانس. أتوقع أن هذا اللبس نتيجة تعديل إجراء، بدون النظر إلى تأثيره في الإجراءات الأخرى. المثال الثالث: في احد البنوك، يوجد هناك عنوانان (Domain) لموقع الخدمات البنكية، احدهما أقدم من الآخر، و العجيب أن هناك أقساماً من موقع البنك الرئيسي تشير للجديد و بعض الأقسام تشير للقديم. و العجيب في الأمر في مثال لبنك آخر هو أن الموظف المسئول طلب مني عدم الوصول لموقع خدمات البنك من خلال رابطه في موقع البنك الرئيسي، بل يجب علي كتابة عنوان موقع خدمات البنك مباشرة، الحقيقة أني لم افهم سبباً لهذا، و الأمر الملفت للانتباه هو انك لا تستطيع أن تتفاهم مع هؤلاء الموظفين و إقناعهم بالمشاكل، فعلى سبيل المثال حدث و أن تعطلت إحدى الخدمات البنكية لمدة تزيد عن الأسبوع، و عند محادثتي للموظف المسئول أفادني أن الخدمة لم تعطل بتاتاً و لا يريد أن يسمع غير ذلك!

[صورة مرفقة: hh.jpg]

ثالثاً: ضعف الإجراءات الأمنية. لم أقم بتقييم شامل لمواقع خدمات البنوك و اكتشاف متعمد للفجوات الأمنية، و لكني اقتصرت بما وقعت عليه من خلال تعاملي البسيط مع تلك المواقع. المثال الأول: توفر بعض مواقع البنوك خاصية كتابة اسم المستخدم و كلمة المرور من خلال الضغط بواسطة الفأرة على لوحة مفاتيح مرئية على الشاشة، و عدم السماح بكتابتها بواسطة لوحة مفاتيح الحاسوب التقليدية، و هذا أمر ايجابي، فهذه الخاصية تحد من مقدرة برامج التصنت على ضربات لوحة المفاتيح من الحصول على اسم المستخدم و كلمة المرور. الشاهد في الأمر أن هذه الخاصية مستحبة و لكنه اقتصر تطبيقها على شاشة الدخول للموقع و لم يوفرها البنك مثلاً في شاشة تعديل كلمة المرور! إذا، نرجع و نقول أن أي تعديل لابد من أن يكون شاملاً و ليس مقتصراً على جزئية معينة، خاصة مع ما يتعلق بأمن المعلومات. المثال الثاني: عندما طلبت كلمة مرور جديدة، اتصل علي الموظف المسئول و أفادني بان كلمة المرور الجديدة جاهزة و هي 12345678 و في بنك آخر 87654321، لقد تفاجئت ببساطة كلمة المرور هذه، و الذي يتضح لي أن كل من أراد كلمة مرور جديدة فانه قد يحصل على تلك الكلمات، و الذي زاد الأمر استغراباً هو أن موقع احد هذين البنكين عند دخولي بكلمة المرور الجديدة لم يطلب مني تغيير كلمة المرور و كأن البنك يوافق على احتفاظ العميل بهذه الكلمة البسيطة. تخيل معي كم من العملاء نسوا كلمات مرورهم و كم منهم قام بتغييرها بعد حصوله على كلمة المرور الجديدة (12345678). المثال الثالث: محدودية كلمة المرور، ألاحظ بعض متطلبات أنظمة البنوك فيما يتعلق بكلمة المرور محدودة جداً. فالبعض يحد خيار طول كلمة المرور ما بين الستة و الثمانية خانات، و هذا أمر غير مرغوب أمنياً و لا واقعياً، لان كثير من نصائح المختصين لعامة الناس تنص على تكوين كلمة مرور معقدة و تتكون من أكثر من ثمانية خانات. أود أن اكتفي بهذا القدر من الملاحظات الأمنية و لعل ما ذكرته كفيل بدق ناقوس الخطر.
رابعاً: قلة معرفة موظفي خدمات العملاء بأمن المعلومات و الإجراءات. المثال الأول: عندما طلبت تغيير كلمة المرور من موظف فرع البنك و بعد تقديم الطلب الورقي، استفسرت عن كيفية استلام كلمة المرور ، اتضح لي انه لا يعلم كيف يحصل ذلك و لا الإجراءات الخاصة بذلك! المثال الثاني: عند طلبي من الموظف المسئول تغيير كلمة المرور بعد ما نسيتها، قال انه لا يمكن تغييرها و لكن يمكنك أن تستصدر اسم مستخدم جديد مع كلمة مرور جديدة! و أما اسم المستخدم القديم فلا يمكنني استخدامه بعد نسياني لكلمة المرور الخاصة به، هل هذا يعقل أن يُغَيّر اسم المستخدم كّلما نُسيت كلمة المرور؟ رد الموظف يحتمل احد أمرين، إما أن الموظف لا يعرف كيف يقوم بالعمل أو الإجراء خاطئ.
إني كخبير في أمن المعلومات اعتبر هذه التجاوزات -الأمنية منها -مفزعة و يتوجب تغييرها فوراً أو لابد من تدخل مؤسسة النقد العربي السعودي و سن القوانين الأمنية للحد من تساهل تلك البنوك أو غفلتها في التعامل مع معلومات و أموال المواطنين. ولعل ما يخفف على البنوك أن اتفاقيات استخدام مواقعهم على الانترنت -و التي يوقّع عليها العميل بدون قراءة -تحميهم من أي تساهل امني و لا تحمي العميل.
اختم مقالي ببعض التوصيات لتطوير الوضع الراهن:
أولاً: يجب الاستفادة من التوعية و تفعيل دورها في تثقيف الموظف و العميل و المسئول.
ثانياً: لا بد من إثراء مواقع البنوك بالمعلومات المساعدة و التوضيحات المفيدة.
ثالثاً: توحيد العناوين و المسميات و الإجراءات.
رابعاً: سن القوانين الأمنية و إلزام البنوك بتطبيقها و معاقبة مخالفيها.
خامساً: المراجعة الشاملة و الدورية لمحتويات الموقع و الإجراءات المتبعة و تحديثها وفقا لما تتطلبه الحاجة.


منقول

ادارة سكيورتي العرب
12-22-2010 09:22 PM
إقتباس هذه الرسالة في الرد
إضافة رد 






سوق العرب | معهد سكيورتى العرب | وظائف خالية © 2024.
Google