ریسک و امنیت در بانکداری الکترونیکی

تعریف مدیریت ریسک

مدیریت ریسک فرآیندی است که مدیران ‌می‌توانند با مقایسه هزینه‌های اقتصادی و عملیاتی ریسک، با بهره گیری و استفاده از فن آوری‌های نوین، تاثیر آن را تا حد امکان کاهش دهند.

ریسک، هر نوع واقعه ای است که ‌می‌تواند به نوعی، تاثیری منفی بر سرمایه یا درآمدهای بانکی داشته باشد.

عامل‌های افزاینده ریسک در بانک داری الکترونیکی

         عامل‌هایی که باعث ‌می‌شوند بانک داری الکترونیکی ریسک بالایی داشته باشد عبارتند از :

• سرعت غیر منتظره تغییرهای مربوط به ابداع‌های فن آوری در زمینه ارایه خدمات به مشتریان
• ماهیت جهانی شبکه‌های الکترونیکی باز
• یکپارچه شدن کاربردهای بانک داری الکترونیکی، با کمک سامانه‌های کامپیوتری
• کاهش ارتباط رو در رو با مشتریان موسسه‌های مالی
• وابستگی رو به افزایش بانک‌ها به افراد ارایه دهنده فن آوری اطلاعات
• نیاز به یکپارچه سازی به منظور مدیریت جامع   

وب سایت‌های اطلاعاتی مورد استفاده در بانک داری الکترونیکی

در بانک داری الکترونیکی، حداقل دو نوع وب سایت عمده، مورد استفاده قرار دارد:

وب سایت‌های اطلاعاتی :

    وب سایت‌های اطلاعاتی، امکان دسترسی مشتریان به اطلاعات عمو‌می‌مرتبط با موسسه‌های مالی و خدمات و محصول‌های آن‌ها را فراهم ‌می‌کنند.

   وب سایت‌های مبادله ای :

   وب سایت‌های مبادله ای، مشتریان را قادر ‌می‌سازند که بتوانند از طریق وب سایت موسسه‌های مالی، به معامله‌های بانکی و خرید محصول‌ها و خدمات بپردازند.

مدیریت فن آوری سامانه بانک داری الکترونیکی     

منظور از مدیریت فن آوری در بانک داری الکترونیکی، هماهنگی و کنترل منابع و فعالیت‌های انسانی، مالی، فنی و فرایندها به منظور بهره برداری موثر از سامانه بانک داری الکترونیکی است  .

عامل‌های موثر در موفقیت سامانه بانک داری الکترونیکی

  عوامل موثر در موفقیت سامانه بانک داری الکترونیکی عبارتند از :

• انعطاف پذیری سازمان
• مدیریت شبکه
• مدیریت سامانه‌ها
• مدیریت نیروی انسانی
• مدیریت امنیت
• مدیریت ریسک
• مدیریت منابع

سامانه‌های برنامه ریزی منابع ( ERP ) بنگاه در صنعت بانک داری   

سامانه‌های برنامه ریزی منابع سازمان، بسته‌های نرم افزاری هستند که پردازش عملیات را در سازمان به صورت یکپارچه و همزمان، از تامین کنندگان تا مشتریان، انجام ‌می‌دهند .

به کار گیری نرم افزار ERP در بانک داری :

 ERP  ‌می‌تواند هسته مرکزی فعالیت‌های صنعت مانند، وام، پس انداز، سپرده، مدیریت وثیقه، کارگزاری و عملیات بانکی را پوشش دهد .                   

دلیل‌های اجرایERP  در سازمان:

• کاهش بار کاری اداری
• جایگزینی سامانه‌های پراکنده
• بهبود شفافیت کل سازمان

روش‌های سوء استفاده در بانک داری الکترونیکی

ابعاد و روش‌های سوء استفاده در بانک داری الکترونیکی عبارتند از :

• جعل عنوان
• به دست آوردن حساب

• Phishing
• pharming

جعل عنوان  

    جعل عنوان، از جمله موارد سوء استفاده است که از مشخصه‌های فردی شخص دیگر، مانند نام، شماره ملی، شماره کارت اعتباری، و … به منظور انجام امور مجرمانه، کلاهبرداری یا سرقت، سوء استفاده ‌می‌شود .

به دست آوردن حساب   

    این نوع کلاهبرداری یکی از انواع رایج جعل عنوان است؛ به طوری که شیاد پس از به دست آوردن اطلاعات شخصی، شماره حساب و تغییر نشانی ایمیل رس‌می‌طعمه خود، با ارسال ایمیلی به بانک مبنی بر گم شدن یا سرقت کارت، تقاضای کارت جدید ‌می‌نماید.

این نوع شیادی، بیش تر در ارتباط با کارت‌های اعتباری است .

Phishing  

    فرآیندی است که متخلف را قادر ‌می‌سازد تا با جلب اعتماد کاربر، اطلاعات شخصی، کلمه عبور و اطلاعات مالی محرمانه خود را در اختیار فرد شیاد قرار دهد.

در این فرایند، اطلاعات در قالب فرم‌ها و با عنوان‌های مختلف از جمله بانک، موسسه‌های وابسته به دولت و غیره، برای طعمه ارسال ‌می‌شود و طعمه بدون اطلاع از این که فرم دریافتی، جعلی است، ناآگاهانه اطلاعات محرمانه مورد نظر را در آن وارد و برای شیاد ارسال ‌می‌نماید.

Pharming   

    حمله نفوذ گر به منظور تغییر ترافیک وب سایت به وب سایت جعلی دیگر، است

در این بخش از شیادی، با دستکاری سرویس دهنده DNS توسط فرد شیاد که در اصطلاح فنی، به “س‌می‌شدن” سرویس دهنده DNS کاربر معروف است، منجر ‌می‌شود.

نکته:

DNS، نرم افزاری است که دارای بانک اطلاعاتی برای تغییر نام سرویس دهنده‌ها در محیط اینترنت به آدرس IPآن‌ها ‌می‌باشد.

کاربر به تصور این که وارد سایت اصلی بانک ‌می‌شود، وارد سایت جعلی فرد شیاد شده و اطلاعات محرمانه بانکی، اعم از شماره حساب، شماره کارت و کلمه عبور را وارد ‌می‌نماید و آن گاه فرد شیاد به راحتی ‌می‌تواند سوء استفاده نماید.

عوامل لازم برای برقراری امنیت

این عوامل برای برقراری امنیت در نظام بانک داری الکترونیکی لازم است :

پنهان کاری یا محرمانگی :

وقتی پیا‌می‌از طرف فرستنده برای گیرنده ارسال ‌می‌شود، در طول مسیر جریان پیام، افراد دیگر ( به غیر از گیرنده)، نتوانند از محتوای پیام آگاهی یابند.

هویت سنجی، هویت شناسی یا تایید هویت:

اگر شخصی یا سرویس دهنده ای، نرم افزار و دیگر مشخصه‌های خود را اعلام کند، این ادعا برای طرف دوم نیز به روشنی به اثبات رسیده باشد.

اعتبار سنجی یا اعتبار شناسی:

اعتبار یک مولفه که هویت آن برای سرویس دهنده، مشخص شده است، باید برای وی معتبر نیز باشد و باید بداند که چه اطلاعاتی را ‌می‌تواند درخواست کند.

صحت:

اطلاعاتی که فرستنده برای گیرنده ارسال ‌می‌کند، در طول مسیر، دست نخورده باقی بماند و عوض نشود. باید بتوان صحت اطلاعات فرستنده را برای گیرنده، تضمین نمود.

رد انکار یا نقض انکار :

اگر فرستنده پیا‌می‌ارسال کرد، در آینده نتواند منکر ارسال آن شود. این تضمین باید به قدری قدرت داشته باشد که در دادگاه بتواند مورد استفاده قرار گیرد.

به کار گیری انتخابی خدمات:

گاهی لازم است بخشی از مبادله پیام، مخفی و باقی مانده آن، واضح و آشکار باشد. در چنین شرایطی باید امکان مخفی کردن بخش انتخابی پیام وجود داشته باشد.

امضای دیجیتال  

امضای دیجیتال، روشی ایمن به منظور امضای الکترونیکی اطلاعات با استفاده از کدها و علایم است.

تفاوت امضای دیجیتال با امضای دستی

تفاوت‌های عمده ای میان امضای دستی و امضای دیجیتالی وجود دارد ؛ از جمله :

• امضای دیجیتال، قسمتی مجزا از متن است که همراه با متن، به گیرنده ارسال ‌می‌شود ؛ اما امضای دستی، جزیی از پیام و معمولا قسمت نهایی آن است .
• تایید امضای دیجیتال، توسط یک الگوریتم عمو‌می‌صورت ‌می‌گیرد و هر کسی ‌می‌تواند صحت آن را به صورت دقیق بررسی کند ؛ اما تایید امضای دستی، با توجه به امضای قبلی صورت ‌می‌گیرد و امنیت در آن، پایین و احتمال خطا، بسیار زیاد است.
• کپی امضای دستی، از اصل امضا متمایز است ؛ اما کپی امضای دیجیتالی، عین امضا است و هیچ تفاوتی بین این دو نیست .