برعاية محافظ البنك المركزي الأردني الدكتور عادل الشركس
الملتقى المصرفي العربي للأمن السيبراني – بدورته الثالثة:
«الأمن السيبراني وتحديات الإستقرار المالي وجهوزية التحقيق الجنائي الرقمي»
فرضت التطورات الرقمية والإلكترونية الجديدة، بحث آلية أعمال القطاع المصرفي والمالي العربي، ولا سيما الأردني منه، وضرورة توظيف أدوات وحلول الكشف المبكر عن مواطن الضعف ضمن بيئات العمل، في ظل المخاطر التي تُصيب القطاع جرَّاء التكنولوجيا الرقمية التي إنتشرت في الأعوام الأخيرة في العالم.
في هذا السياق، إنعقد الملتقى المصرفي العربي للأمن السيبراني – بدورته الجديدة: «الأمن السيبراني وتحديات الإستقرار المالي وجهوزية التحقيق الجنائي الرقمي» على مدار يومين، في العاصمة الأردنية عمّان، بالتعاون مع البنك المركزي الأردني وجمعية البنوك في الأردن، والشريك الإستراتيجي البنك العربي، وجمعية ضبط وتدقيق نظم المعلومات ISACA Chapter- Amman وشركة MANDIANT، ورعاية شركة أمنية، والبنك العربي الإسلامي الدولي، وبنك الإسكان، وبمشاركة ما يزيد على 150 شخصية قيادية مصرفية ومالية وإقتصادية عربية ودولية، إضافة الى عدد من محافظي مصارف مركزية عربية.
وشارك في كلمات الإفتتاح كل من محافظ البنك المركزي الأردني الدكتور عادل الشركس، والأمين العام لإتحاد المصارف العربية وسام حسن فتوح، ورئيس جمعية البنوك في الأردن باسم السالم، إضافة إلى كلمات رئيسية لكل من يوسف الروسان، مدير السياسات والإمتثال في المركز الوطني للأمن السيبراني، والرائد محمود المغايرة، رئيس وحدة الجرائم الإلكترونية في الأمن الوقائي الأردني، وعثمان عداومنة مدير الإقليم لشركة Mandiant، في حضور رئيس المركز الوطني للأمن السيبراني المهندس أحمد ملحم، فضلاً عن خبراء الأمن السيبراني من البنوك المحلية والأجنبية والجهات الحكومية المتخصصة التي تلعب دوراً رئيسياً في إثراء الأمن السيبراني الوطني في المملكة.
وناقش الخبراء أبرز مخاطر الأمن السيبراني التي تواجه المؤسسات الاقتصادية، ونقاط الضعف المحتملة في بنية التكنولوجيا، وكيفية تعزيز قدرات المؤسسات في مجال الأمن السيبراني، وتأثير الهجمات الإلكترونية على المؤسسات والدول بشكل عام والبنوك والنظام المصرفي بشكل خاص، إضافة إلى تبادل الخبرات والتجارب في مجال الأمن السيبراني على المستويات المحلية والعربية والدولية وتعزيز كفاءة النظام المصرفي العربي ومواكبة التطورات العالمية.
المحافظ الشركس:
«المركزي» تبنّى أفضل الممارسات لتعزيز منظومة الأمن السيبراني
في الكلمات، أكد محافظ البنك المركزي الأردني الدكتور عادل الشركس، «أن البنك المركزي ركز جهوده خلال السنوات الماضية على تعزيز الأمن السيبراني لدى المؤسسات العاملة في القطاع المصرفي»، وقال: «إن البنك أصدر تعليمات التكيُّف مع المخاطر السيبرانية، لتكون بمثابة الركيزة في توجيه جميع مؤسسات القطاع المصرفي بضرورة حوكمة الأمن السيبراني، وإدارة المخاطر السيبرانية»، موضحاً «أن البنك المركزي عمل في مطلع العام الحالي على إستحداث وحدة خاصة للإستجابة للحوادث السيبرانية للقطاع المالي والمصرفي، بالشراكة مع القطاع المصرفي، والتي تعمل بالتنسيق مع المركز الوطني للأمن السيبراني، حيث باشرت الوحدة بوضع أطر الحوكمة والسياسات والتعليمات اللازمة لتعزيز منظومة الأمن السيبراني لمؤسسات القطاع المالي والمصرفي، وتعزيز جاهزية وقدرة هذا القطاع على مواجهة المخاطر السيبرانية والإستجابة، وصولاً إلى وضع وتنفيذ برامج أمنية ومعايير لتقييم كفاءة وفعالية الضوابط الأمنية السيبرانية، وقياس مستوى النضوج لكل مؤسسة».
وأشار الشركس إلى أن «البنك مستمر بالقيام بأعمال الرقابة على المعلومات والتكنولوجيا المصاحبة لها في مؤسسات القطاع المالي والمصرفي، وتنفيذ إجراءات التفتيش الميداني على أعمالها ونشاطاتها للتأكد من سلامتها، واكتشاف الانحرافات والمخالفات التي قد تعرض تلك المؤسسات لإختراقات سيبرانية».
وأكد الشركس «أن البنك المركزي حرص خلال السنوات الماضية على تطوير البنية التحتية للقطاع المالي بما فيها أنظمة الدفع الإلكترونية، وذلك ضمن إهتمامه في تعزيز الشمول المالي، من خلال توفير الخدمات المالية الرقمية التي تُمكن من الإنتقال من بيئة دفع ورقية إلى إلكترونية، كنظام «إي فواتيركم»، والدفع بالهاتف النقال (JoMoPay)، حيث أصبحت تسويات المدفوعات الإلكترونية تشهد إقبالاً بين الأردنيين، إذ بلغت نحو 14 مليار دينار خلال العامين الماضيين»، موضحاً «أن البنك المركزي يمضي راهناً في التوجه نحو تنظيم البنوك الرقمية المتكاملة في المملكة، والتي تقوم بإتمام متطلبات إنشاء العلاقة المصرفية وتقديم الخدمات والمنتجات وتنفيذ العمليات المصرفية مع عملائها عن بُعد (دون قيود زمانية أو مكانية) بإستخدام منصات الإنترنت وتطبيقات الهاتف النقال وغيرها من القنوات الإلكترونية القائمة على حلول التقنيات الحديثة».
وأشار الشركس إلى أنه، «في ظل هذه التوجهات نحو الإعتماد على التكنولوجيا بشكل أكبر في القطاع المالي والمصرفي في الأردن، لا يُمكن بأي حال من الأحوال إغفال المخاطر المتزايدة للهجمات السيبرانية التي تعتبر المؤسسات المالية والمصرفية هدفاً جذَّاباً لها نظراً إلى دورها الحيوي في الوساطة المالية، ما قد يُهدد الإستقرار المالي».
وأوضح الشركس «أن أهمية حماية الأنظمة والشبكات والبرامج تضاعفت في الآونة الأخيرة ضد الهجمات الرقمية التي تهدف عادة إلى الوصول إلى المعلومات الحساسة، وإستغلالها للحصول على الأموال أو تعطيل المعاملات التجارية، حيث أصبح الأمن السيبراني جزءاً من منظومة الأمن الإقتصادي والقومي لأي دولة، وباتت هذه المسألة مطروحة بشدة على أجندة إجتماعات الجهات الرقابية والاشرافية والمؤسسات المالية مع التزايد الكبير في حجم وتعقيدات الهجمات السيبرانية، وخصوصاً أن حجم الخسائر العالمية الناجمة عن هذه الهجمات قد وصل إلى 6 تريليونات دولار في العام 2021، وفقاً لتقديرات الاتحاد الدولي للإتصالات، حيث تُشير دراسة لصندوق النقد الدولي إلى أن عدد الهجمات السيبرانية تضاعف 3 مرات على مدار العقد الماضي، ولا تزال الخدمات المالية هي الأكثر إستهدافاً منها».
وأشار الشركس إلى «أن أبرز أسباب الهجمات السيبرانية التي قد تهدد استقرار النظام المالي تتمثل في خطر التركز وعدم وجود بدائل لعدد من المؤسسات المالية ذات الأهمية النظامية والبنية التحتية للأسواق المالية، كذلك خسارة الثقة التي تنتج عن وقوع حدث سيبراني، إلى جانب زيادة الترابط بين مكونات النظام المالي الذي يوسع من مخاطر العدوى، ما يؤدي إلى انتشار العدوى عبر النظام المالي بأكمله».
وأوضح الشركس «أن تقديرات البنك الدولي تشير أيضاً إلى أن قطاع الخدمات المالية يشهد هجمات سيبرانية تفوق القطاعات الأخرى بنسبة 65 %، الأمر الذي يوجب على الجهات الرقابية والاشرافية والمؤسسات المالية العمل بنهج تشاركي، وتوحيد الجهود لبناء منظومة شاملة لإدارة الأمن السيبراني على مستوى القطاع، لتوفير بيئة سيبرانية آمنة وموثوقة لحماية المعلومات والأعمال ورفع مستوى الجاهزية للاستجابة للحوادث السيبرانية، وتقليل الآثار الناتجة عنها دون إغفال لأهمية تجهيز البيئة التقنية بشكل مسبق لتدعم عمليات التحقيق الرقمي الجنائي (Digital forensic) عند وقوع أي من الحوادث السيبرانية».
السالم:
الآثار المحتملة للإختراق السييراني تنطوي على تعريض
المؤسسات المالية لخسائر مالية مباشرة وغير مباشرة
بدوره أكد رئيس مجلس إدارة جمعية البنوك باسم السالم، «أن القطاع المصرفي الأردني يُدرك مدى أهمية الأمن السيبراني وأبعاده المختلفة على البنوك»، مشيراً إلى «أن البنوك العاملة في الأردن، حققت إنجازات كبيرة في تعزيز الأمن السيبراني لديها والوصول إلى مستويات أمان عالية، وإستطاعت، من خلال إستثماراتها الكبيرة في الأصول التكنولوجية وأمن المعلومات، ومواكبتها المستمرة لمختلف التطورات الحاصلة في مجال الأمن السيبراني، من بناء بنية تحتية قوية تمكنها من التعامل مع مختلف المستجدات».
وأشار السالم إلى «أن الجمعية أفردت إهتماماً خاصاً لموضوع الأمن السيبراني من خلال مجالات عدة، منها تشكيل لجنة تقنية المعلومات والرقمنة والأمن السيبراني في الجمعية، وعقد سلسلة من ورش العمل والبرامج التدريبية المتخصصة في موضوع الأمن السيبراني بالتنسيق مع أكاديمية «الأمن السيبراني» وبالشراكة مع البنك المركزي الأردني، إضافة إلى المشاركة في عقد وتنظيم المنتديات والمؤتمرات ذات العلاقة بهذا الموضوع»، موضحاً «أن الجمعية مستمرة في إيلاء هذا الموضوع أهمية قصوى وخصوصاً في ظل الإتجاه المتسارع في التكنولوجيا المالية والخدمات المالية الرقمية».
وأشاد السالم بـ «الجهود والإجراءات الكبيرة التي إتخذها البنك المركزي الأردني في مجال الأمن السيبراني في القطاع المالي والمصرفي، وقيامه بإصدار مجموعة من التعليمات والتعاميم والأدلة الرقابية التي تستهدف تعزيز الأمن السيبراني وحماية الأصول الرقمية من أية حوادث أو إختراقات، وإنشاء وحدة الاستجابة للحوادث السيبرانية للقطاع المالي والمصرفي (FINCERT)، والتي تهدف إلى تعزيز منظومة الأمن السيبراني للقطاع المالي والمصرفي وتعزيز جاهزية وقدرة القطاع على مواجهة المخاطر السيبرانية والإستجابة لها».
وأوضح السالم «أن البنك المركزي، وحرصاً منه في الحفاظ على بيئة عمل وبنية تحتية تتمتع بأعلى درجات أمن وحماية البيانات والمعلومات، أطلق في تموز/ يوليو 2021 الإصدار الأول من إطار الأمن السيبراني للقطاع المالي والمصرفي، والذي جرى إعداده بمساهمة ومشاركة من البنوك العاملة في المملكة، حيث يقدم هذا الإطار فهماً أفضل لتهديدات الأمن السيبراني التي يتعرض لها القطاع، ويُؤطر الإجراءات والمتطلبات اللازم توفرها للوصول إلى بنية تحتية مالية ومصرفية متكيِّفة مع مخاطر الأمن السيبراني».
وأضاف السالم «أن البنوك تُعتبر من أكثر المؤسسات التي تولي عناية خاصة وكبيرة لمواضيع الأمن السيبراني؛ لأن الآثار المحتملة للإختراق السيبراني تنطوي على تعريض المؤسسات المالية لخسائر مالية مباشرة وغير مباشرة ناجمة عن الهجمات السيبرانية، وتعطيل الأعمال، والضرر على السمعة، وغيرها».
وشدَّد السالم في الختام على «ضرورة تكثيف الإجراءات والتدابير الوقائية التي تعزز الأمن السيبراني للبنوك وتزيد من قدرتها على التصدي لأية تهديدات»، مؤكداً «أهمية إيجاد أطر موحدة في القطاعات المصرفية العربية لتبادل ومشاركة المعلومات المتعلقة بالتهديدات السيبرانية، والحاجة إلى المزيد من الفعاليات المشتركة التي تبحث في مواضيع الأمن السيبراني وأنماط التهديدات السيبرانية والأنشطة الجرمية الإلكترونية المستجدة».
فتوح:
إتحاد المصارف العربية مستمر في حث القطاع المصرفي
والمالي على تدريب موظفيه حيال آليات التكنولوجيا المالية
بغية تنويع النشاطات الإقتصادية وتطوير العمل المصرفي
أما الأمين العام لإتحاد المصارف العربية وسام حسن فتوح فقال: «إن هذا الملتقى المصرفي العربي للأمن السيبراني – بدورته الثالثة، يُناقش موضوعاً من أهم الموضوعات التي تهم مجتمعاتنا المصرفية والمالية، وهو الأمن السيبراني وتحديات الإستقرار المالي وجهوزية التحقيق الجنائي الرقمي. ولا شك في أن هذا الملتقى يأتي اليوم في زمن يكتنفه الكثير من الغرابة، حيث إن تهديدات القرصنة السيبرانية باتت تشكل هاجساً للأفراد كما للمؤسسات الخاصة والحكومية، وأضحى البحث في سبل مواجهتها الشغل الشاغل للعاملين في الأمن السيبراني».
وأكد فتوح: «أهمية هذا الملتقى على الصعد الأكاديمية، والأمنية، والإقتصادية، والتربوية والإجتماعية، بإعتبار أن مكافحة الأمن السيبراني، تفرض العديد من الهجمات الإلكترونية التي تطاول البنية التحتية، والمنشآت الحيوية والأمنية، والأنظمة المالية والمرافق الحكومية، مما دفع بصنّاع القرار في الدول العظمى إلى وضع مسائل الدفاع السيبراني، والأمن السيبراني في رأس الأولويات في سياساتهم الوطنية، والدفاعية، وترصد له مبالغ مالية خاصة للأبحاث ذات الصلة، وتُدرج العلوم الأمنية الرقمية ضمن المناهج، حيث أصبح الدفاع السيبراني جزءاً صلباً من مهمات الدفاع الوطني».
ولفت فتوح إلى «أن صندوق النقد والبنك الدوليين وضعا تحديات للتعافي الإقتصادي، في مقدمها موضوع جائحة كورونا، والأمن السيبراني. علماً أن مجموعة العشرين التي تترأسها إندونيسا هذه السنة، من أولوياتها الأمن السيبراني»، معتبراً أنه «يزداد إهتمام وقلق الجهات الرقابية والتنظيمية في العالم بالمخاطر السيبرانية، وتقوم بتطوير الأساليب الإشرافية التي تهدف إلى تقييم سلامة الأمن السيبراني للمصارف، حيث يتم إدراج تقييم الأمن السيبراني إلى حد كبير كجزء من إطار الإشراف المستمر والقائم على المخاطر. بالإضافة إلى إعتماد هذا النهج، دعت لجنة بازل للرقابة على المصارف، إلى تعزيز الحوكمة السيبرانية، وشجعت على تركيزها في المجالات التالية ذات الصلة بالحوكمة بخمس نقاط: أولاً إستراتيجة الأمن السيبراني، ثانياً: دور ومسؤولية الإدارة العليا، ثالثاً: ثقافة التوعية بالمخاطر السيبرانية، رابعاً: الهندسة والمعايير، خامساً: القوى العاملة في مجال الأمن السيبراني».
ونوَّه فتوح، بتجربة الأردن، مسلّطاً الضوء على أهميتها في مجال الأمن السيبراني، وقال: «يُعد الأردن من أولى الدول العربية التي وضعت إستراتيجية وطنية للأمن السيبراني، في ظل التوسع في تقديم الخدمات الرقمية، وبسبب إرتفاع مستويات تعرّض القطاع المالي والمصرفي لمخاطر الأمن السيبراني، والحفاظ على بيئة العمل والبنية التحتية، والتي تتمتع بأعلى درجات أمن وحماية البيانات والمعلومات في الأردن».
أضاف فتوح: «لقد أصدر البنك المركزي الأردني في منتصف العام الماضي، إطاراً للأمن السيبراني في القطاع المالي والمصرفي، بمساهمة ومشاركة مصارف عاملة في المملكة، وقد قدّم الإطار فهماً أفضل لتهديدات الأمن السيبراني، التي يتعرّض لها القطاع المصرفي، والإجراءات والمتطلبات التي يجب توافرها للوصول إلى بنية تحتية، ومالية ومصرفية متكاملة ومتكيِّفة مع مخاطر الأمن السيبراني».
ولفت فتوح إلى «أن الإطار المذكور يهدف إلى تحقيق إلتزام المصارف، تطبيق الضوابط الأمنية الناجعة والكفوءة والفعَّالة، وتعزيز مبدأ تضافر الجهود والقدرات للإستجابة لحوادث الأمن السيبراني، على المستويين المؤسسي والقطاعي. كما شكل الإطار ضوابط للأمن السيبراني التي تنطبق على المصارف، من ضمنها الحوكمة السيبرانية، وإدارة المخاطر، وهي أحد متطلبات لجنة بازل، كما سبقت الإشارة، وإستراتيجيات وسياسات وإجراءات معايير الأمن السيبراني، وتأهيل الأفراد، وأنظمة تكنولوجيا المعلومات والأنظمة والشبكات والعمليات، وقنوات تقديم الخدمات الإلكترونية، والتبعات الخارجية على الاطراف الثالثة».
وخلص فتوح إلى «أن إتحاد المصارف العربية قام منذ العام 2015 بإطلاق مبادرات عدة، حول تكنولوجيا المعلومات والأمن السيبراني، تهدف إلى نشر الوعي المصرفي، عبر المؤتمرات والمنتديات وورشات العمل المتخصصة، والتي جمعت الجهات الرقابية، وقادة المصارف، والأجهزة القضائية، والأمنية، للتباحث في كيفية مواكبة هذه الطفرة حيال تكنولوجيا المعلومات وأهميتها في حماية العمل المصرفي العربي. ويستمر الإتحاد في سعيه إلى حثّ القطاع المصرفي والمالي العربي على الإهتمام بتدريب موظفيه على آليات وبنية التكنولوجيا المالية نظراً إلى دورها في تنويع النشاطات الإقتصادية وتطوير العمل المصرفي».
وقال فتوح: «يشهد العالم اليوم عملية إنتقال سريعة من الإقتصاد النقدي إلى الإقتصاد غير النقدي، وذلك بفضل الرقمنة، وعمليات التكنولوجيا، وما تُوفره من أدوات وآليات لتخفيف الإعتماد على النقود الورقية، والإنتقال إلى الإعتماد على النقود الإلكترونية (الرقمية)Digital currency والمشفرة Cryptocurrencies، حيث تختلف الأولى عن الثانية، إذ إن النقود المشفرة ليست للدفع إطلاقاً، بينما النقود الرقمية هي عملة للدفع حيث تصدرها البنوك المركزية ولها مقابل. وهذا ما أكدته رئيسة البنك المركزي الأوروبي (رئيسة صندوق النقد الدولي سابقاً) كريستين لاغارد».
أضاف فتوح: «يُعتبر التطور الرقمي من أهم ركائز المستقبل في القطاع المالي والمصرفي، حيث يتجه العملاء بشكل ملفت ومتزايد نحو تنفيذ المعاملات المصرفية من خلال التطبيقات الإلكترونية والحلول الذكية، ومن هنا تتزايد المخاطر السيبرانية».
وأوضح فتوح «أن إتحاد المصارف العربية سيقدم مقترحين في ختام الملتقى، (يؤمل إدخالهما في التوصيات الختامية، بعد مناقشتهما من قبل الخبراء والمتخصصين في شؤون الأمن السيبراني)، حيث كل مقترح يتألف من ثلاثة أجزاء كالتالي: المقترح الأول على الصعيد الوطني، يتضمن 3 نقاط: أولاً: وضع إستراتيجية وطنية من أجل حماية الأسس الإقتصادية والأمنية والإجتماعية، تشمل إقرار قانون حماية المعاملات الإلكترونية، والتنسيق بين القطاعين العام والخاص، وإنشاء تعاون وطني بين مختلف إدارات وأجهزة إنفاذ القانون والسلطات الوطنية، بما فيها الأجهزة القضائية والعسكرية والإقتصادية والقطاع المصرفي لمواجهة الأخطار الناجمة عن الهجمات السيبرانية، ثانياً: إنشاء محاكم خاصة من أجل حماية الفضاء السيبراني، ومحاكمة مرتكبي الجرائم المعلوماتية، ومقاضاة المجرمين، ثالثاً: بناء القدرات الوطنية في مجال الأمن السيبراني، وإعداد دورات تدريبية، ونشاطات نوعية وحملات وطنية تتعلق بالتحذير من أخطار الجرائم السيبرانية».
وتابع فتوح: «أما المقترح الثاني على الصعيدين العربي والدولي، فيتضمن 3 نقاط، أولاً: التنسيق والتعاون مع الجهات الإقليمية والدولية، والتي تُعنى بالأمن السيبراني، ثانياً: تنسيق التشريعات والقوانين في ما بين الدول العربية من أجل تسهيل التعاملات، والتجارة الإلكترونية، بين دول المنطقة، ثالثاً: العمل على الإستراتيجية العربية للأمن السيبراني. علماً أن هذا الموضوع مطروح على طاولة جامعة الدول العربية، في المناقشات، حيث قدم إتحاد المصارف العربية مقترحاً في هذا الشأن».
