عملية احتيال مالي تمت في 22 أغسطس والتحويل تم في 24 دون وقف أو رصد للعملية
ما سر اختراق الحسابات الخامسة فجراً
تكرار الخرق في ذات التوقيت يستوجب جزاءات للردع والتحفيز
في الوقت الذي تقوم فيه المصارف بدور توعوي ملموس وكبير، ويتم توجيه العملاء وتحذيرهم باتخاذ أقصى درجات الحيطة والحذر، تجد أن بعض المصارف تحتاج إلى توعية، خصوصاً في ظل أخطاء كشفتها تقارير خبير أمن سبيراني منتدب بأمر قضائي لفحص إحدى حالات الاختراق.
ملف الخرق السيبراني تحدي يواجه العالم أجمع، لكن بعض الأخطاء لا ترقى أن تقع من مصرف، خصوصاً وأنها ممارسة أقل من أن توصف بأنها معقدة أو خارجة عن المألوف.
تستعرض “الاقتصادية” نقاط جوهرية مهمة من إحدى عمليات الفحص التي تمت والتي تحتاج مراجعة عاجلة، خصوصاً وأن تكرار الخرق يعكس ضعف إجراءات بدائية، ومن أبرز نقاط التقرير الفني ما يلي:
1- رصد التقرير تكرار حالات اختراق حسابات عملاء وتعدد الهجمات على حساباتهم بنفس الطريقة. اللافت في تلك الخروقات هو تكرارها بنفس الطريقة دون ردة فعل عاجلة من الجهة المعنية، وهو ما يعكس تراخي وضعف في ردة الفعل ذات الصلة بتفعيل درجات وخطط الطوارئ في مثل هذه العمليات.
2- من أبرز الثغرات المثيرة في إحدى عمليات الاختراق أن المبالغ التي تم الاستيلاء عليها تمت في 22 أغسطس، في حين أنه تم تحصيلها في 24 أغسطس أي خلال يومي عمل تقريباً، ما يعني أن هناك فرصة للمراجعة والتدقيق والتأكد سواء من العميل أو من خلال أنظمة استخدام رمز الـOTP، خصوصاً وأن المبالغ كبيرة والعمليات متكررة، ما يدفع للتساؤل عن وجود وتفعيل خاصية الإنذارات الإلكترونية فيما يخص الاشتباه في بعض العمليات وإخضاعها للمراقبة، حتى لو تم تأخيرها.
3- تكرار العمليات عند الساعة الخامسة فجراً إنذار كافي للبنك في أن يقوم بالتدقيق على العمليات وإيقاف الحسابات احترازياً، حتى لو كانت صحيحة، والتواصل مع العميل للتأكد، وهو إجراء أقل ضرراً وأقل مخاطرة من التعرض للاحتيال.
4- من أغرب الممارسات التي تمت وأظهرها تقرير مهندس الأمن السيبراني المنتدب، هو أنه تمت عدة عمليات تحويل بين الحسابات التي يملكها العميل، ثم بين الحسابات وحساب البطاقة الائتمانية، ثم تلا ذلك كله تحويل المبالغ إلى الخارج.
5- تم إخضاع العملية لفحص دقيق من إدارة النظم والمعلومات التابعة لوزارة العدل لتتبع عمليات الاحتيال وبيان سبب حدوثها، ثم خبير أمن سيبراني متخصص في الجرائم الإلكترونية، وبالرغم من تلك الإثباتات الدالة على الخرق وتكراره في ذات التوقيت كان المقابل دفاع من المصرف برفض الدعوى مقدماً صور ضوئية عن الشروط والأحكام التي يبرمها البنك مع العميل في شأن تقديم الخدمات والمعلومات عبر الإنترنت، وهو ما يفتح باب الإلزام على العملاء بضرورة قراءة الشروط والأحكام جيداً قبل الإقبال على الخدمة أو استخدامها ومعرفة ما له وما عليه، خصوصاً وأن هناك تعقيدات باتت تحيط بتلك الملفات.
لكن هذا الملف يجر إلى استفسار جوهري هو:
هل يوقع الرقيب جزاءات وغرامات مالية على البنوك التي تتعرض لاختراقات، وذلك لحث الجميع على مجابهة تلك العمليات بأقصى الدرجات وأعلى الإجراءات؟
على أقل تقدير يجب أن يكون هناك جزاء على تكرار العمليات، خصوصاً إذا كانت لدى ذات الجهة وفي نفس التوقيت.
