إجراءات التشفير لحماية العمليات المصرفية

Download

إجراءات التشفير لحماية العمليات المصرفية

الدراسات والابحاث والتقارير
العدد 491 - تشرين الأول/أكتوبر 2021

إجراءات التشفير لحماية العمليات المصرفية

تتعرض الشركات الكبيرة والبنوك وبعض المؤسسات الحكومية الحساسة للهجمات الالكترونية على مدار الساعة، وهذا يُسبّب مشاكل كثيرة لخصوصية المعلومات الإلكترونية، إضافة إلى الخسائر المادية والمعنوية.

وبالإطلاع على العديد من البحوث والدراسات، يتضح أن موضوع خصوصية المعلومات من المسائل ذات الأهمية القصوى في كافة العمليات الإلكترونية، لذا فإن من متطلبات الأنظمة التقنية الإلكترونية، ضرورة العمل والحرص على حماية الخصوصية في جميع الأوقات، وقفل الباب تماماً في وجه «الهاكرز» (المقرصنين)، وكل أنواع المتطفلين. وهذا الإجراء في العادة يتم عبر وسائل تقنية واجراءات أمنية عدة، تشمل تشفير المعلومات وغيرها من البيانات المتداولة، والذي يتم عن طريق تشفير الرسائل أو الملفات الخاصة بالبيانات والمعلومات التقنية.

بقلم المستشار د. عبد القادر ورسمه غالب

ويعتمد التشفير «سايفر» من الناحية الفنية التقنية على تغيير محتوى الرسالة، وذلك بإستخدام أسلوب محدد أو برنامج محدد يُسمّى مفتاح التشفير «سايفر كي»، وذلك قبل إرسال الرسالة. على أن يكون لدى مستقبل الرسالة القدرة والمقدرة الفنية على إستعادة محتوى الرسالة، أي بإعادتها إلي  صورتها الأصلية قبل التشفير، وذلك بإستخدام عملية عكسية لعملية التشفير، وهذه العملية تُسمّى الحل أي «حل الشفرة».

لدى البنوك التجارية عملية قديمة مشابهة لهذا الإجراء، ويتم إتباعها بعد تسلم برقيات وفاكسات التحويلات المالية عبر البنوك. ويوجد «كود» محدد يُستخدم بين البنوك، ولا بد من إستخدامه بطريقة صحيحة وبالعدم، لن تتم العملية المصرفية ولن يتم صرف النقود وذلك حماية لأموال العملاء والمودعين وغيرهم.

في العادة، ومن أجل توفير الحماية لخصوصية المعلومات المرسلة عبر الوسائل التقنية، يتم إعداد «وثيقة خصوصية المعلومات والبيانات»، ويجب أن تتضمن هذه الوثيقة، من الناحية الفنية، «المستويات» التي يتم التشفير بناء عليها وهي تتمثل في خطوات عدة منها، مستوى تشفير وصلات الإتصالات، وفي هذه الحالة يتم تشفير كل المعلومات التي تمر بممرّ الإتصالات عند نقطة الإرسال، وهنا يتم حل الشفرة عند نقطة الإستقبال. وهناك، مستوى تشفير التصفح، وفي هذه الحالة يتم تشفير البيانات التي يتم تداولها بين برنامج تصفح البيانات ومقر المعلومات الذي يتم تصفحه.

وهناك، مستوى التطبيق المستخدم في تنفيذ المعاملة الإلكترونية، وفي هذه الحالة يُستخدم تطبيق خاص لتشفير البيانات، ويتم إستخدامه في التشفير الجزئي. وأيضاً هناك، مستوى الملفات، وفي هذه الحالة، فإن التشفير يرد على الملفات أو الرسائل التي يتم تبادلها ضمن النظام الإلكتروني، ومنها مثلاً نظام الحكومة الإلكترونية الذي يهدف أساسا إلى أن تتم كافة المعاملات إلكترونياً في كل الدواوين الحكومية وغيرها، للوصول الي عالم التقنية المتكامل، وتفعيل برامج الحكومة الإلكترونية بصورة سليمة ومتكاملة وصحيحة. وعبر نشاط الحكومة الإلكترونية يستفيد المواطن المستقبل للخدمات الحكومية في سرعة وسلاسة.

ويُمكن القول، إن تشفير الرسائل وكافة البيانات «داتا» أثبت أنه من الإجراءات المهمة اللازمة لتأمين الشبكات ضد مخاطر التعدي والإختراق الواردة عن طريق الإنترنت وغيره من وسائل الثورة التقنية. ولتحقيق هذا يجب توفير شفرات قوية بإستخدام مفاتيح خاصة لا يتم إستخدامها إلاّ برخصة خاصة، لأنها تحتاج إلى الرعاية، والمزيد من الأمن والحماية أيضاً.

من هذا نقول، إن وثيقة الخصوصية الخاصة بنظام الحكومة الإلكترونية، يجب أن تتضمن الإجراءات المحددة التي يتم إتخاذها، حتى يتم تشفير الرسائل والبيانات في نطاق عمل الحكومة الإلكترونية. وهذه الإجراءات الموثقة ضمن وثيقة الخصوصية تختلف عن عملية التشفير ذاتها، وتتم بصفتها كوسيلة حماية فنية لبيانات ومعلومات الحكومة الإلكترونية أو غيرها من الجهات.

بعد توضيح إجراءت التشفير، نشير إلى أن وثيقة خصوصية المعلومات والخاصة بمعاملات التقنية الإلكترونية، يجب أيضاً أن تتضمن وتنص صراحة على إجراءات إزالة التشفير، ذلك لأنه ومن دون حل للشفرة، فلا فائدة من الشفرة ذاتها، إذ تبقى الرسائل والبيانات مجرد رموز وأرقام وحروف صمّاء ليس لها دلالة معينة. من هنا تأتي الحماية لأنها تظهر كرموز وحروف فقط، لا تنقل معلومة كاملة وواضحة، لأنها «مشفرة».

وتجدر الاشارة الي أن برمجة التشفير «ذا سايفر بروقرامنق»، تتضمّن نوعين من الإجراءات، حيث يقوم الأول بنقل البيان أو المعلومة إلى رمز، ثم يقوم ثانية بإعادة هذا الرمز مرة أخرى في صورة معلومة أو بيان، وذلك عن طريق إجراءات الحل (فك التشفير).

ويجب مراعاة أن العملية الفنية للتشفير من طرفين، أولهما يرجع إلى المستخدمين الذين يلتزمون النظام المعلوماتي، ويتبادلون الرسائل، وفيها البيانات او المعلومات موضوع الرسالة، وثانيهما يرجع إلى مستخدمين الذين من ضمنهم المتطفلين الذين يقاطعون الرسائل ويرتكبون أفعالا مشينة، وغير قانونية يكون هدفها التجسس وسرقة المعلومات الخاصة لأي أغراض، منها الإجرامية أو الشخصية أو خلافه. لذلك يُقال إن هدف التشفير وكعملية تقنية محضة، أن يجعل من المستحيل، او على الأقل، أن يجعل فهم الرسائل المفتوحة المتداولة أمراً صعباً جداً، بل مستحيلاً، وكل هذا لتوفر الحماية التقنية المطلوبة.

من خلال المعاملات الإلكترونية، هناك رسالة قد تُرسل من خلال قناة غير أمنة، ويُحاول المخترق كل جهده للحصول على المعلومات المتضمنة في الرسالة، وإرسال رسالة أخرى إلى الشخص المستقبل تم التلاعب في مضمونها أو منع وصول الرسالة أو عدم وصولها بالشكل المطلوب. وهنا، تُستخدم طرق التشفير لتحويل الرسالة الأصلية إلى رسالة مشفرة وذلك بواسطة المرسل، وبعد التقاط الرسالة المشفرة يتم إعادتها إلى الرسالة الأصلية عن طريق الحل أو  فك الشفرة «دي سايفرنق».

لذا وكما بيّنا، فإن برمجة التشفير، لا بد أن تحتوي على عملية التشفير، كذلك عملية الحل، لهذا فإن وثيقة الخصوصية في أي نظام إلكتروني، يجب أن تتضمن إجراءات فك هذه الشفرة، و إلا فإن التشفير يُصبح عبئاً  ولا يخدم الغرض المنشود.

ونشير إلى أن طرق التشفير التقنية تعتمد على ما يُعرف بالمفاتيح العامة «جنرال كيز»، وللعلم فإن من أشهر طرق التشفير إستخداماً هو  (آر إس أ)  وذلك إختصارا للأحرف الأولى من أسماء مخترعيها وهي: (ريفست وسامير وأدلمان)، ولها الفضل في هذا المجال.

وطريقة التشفير هذه، تقوم أساسا على مجموعة من الأفكار والعمليات الرياضية والحسابية، وهي لا تزال أكثر الطرق فاعلية في مجال تشفير الرسائل والمعلومات، وتستخدم على نطاق واسع، وبالطبع المجال مفتوح مع مرور الزمن، بدأ التفكير في المزيد من البحث. ومن أجل حماية الخصوصية، للمعلومات والبيانات، عبر التشفير يجب الحرص على وضع الضوابط الفنية الكافية، مع الحرص أيضا في الوقت عينه على وضع اللوائح والأنظمة الضرورية، لتقنين هذه العمليات، مع وضع العقوبات الرادعة للمخالفين في شتى أشكالها ومراميها.

إن الجرائم الإلكترونية «السبرانية» تشكل الآن نسبة كبيرة من الجرائم المعقدة ذات الأبعاد الخطيرة على المجتمعات والحكومات والشركات. وبالطبع كلّما تطورت التقنية الإلكترونية كلما تطورت الجريمة أيضاً وصارت هاجساً مخيفاً لكل فرد، لأن الجميع ليس بمعزل عنها في هذا العصر التقني الإلكتروني الذي يُسيطر علينا عبر آلياته وبرامحه المغرية.

وللتقليل من هذه الجرائم وللحد منها، هناك مسؤوليات كبيرة تقع على عاتق «أمن العمليات الإلكترونية» ومن يقوم بهذا الأمن المهم لتوفير الأمان الإلكتروني لأبعد حدود للتقليل من آثاره غير الحميدة، ولأعادة الطمأنينة والهدوء للنفوس المضطربة، وإلاّ سنفقد الكثير المثير.

إن التشفير وغيره من الوسائل الأمنية من الوسائل المهمة لنا في هذه المرحلة، ونحتاج إلى تطويرها ورفدها بالمزيد من الدعم والعناية المادية والبشرية، لأن المعركة خطيرة وأبعادها أخطر. إضافة إلى الإهتمام التقني بأمن المعلومات والبيانات وكل الأمن الإلكتروني، نحتاج إلى وضع تشريعات حديثة ومتطورة للوقوف في وجه الجرائم السبرانية المتطورة وردع مرتكبيها. وكل هذا يحتاج إلى وقفة جريئة وشديدة من الجميع وبيد الجميع.