بسم الله الرحمن الرحيم
الأخوة الأعزاء
السلام عليكم ورحمة الله وبركاته
يشرفني إن أضع بين أيديكم جزء من فصل (مبحث) من رسالة الدكتوراه الخاصة بى والتي كان عنوانها :
(نظام المعلومات المحاسبية ومتطلبات التجارة لالكترونية)
وسوف يتبعه أجزاء أخرى إن شاء الله .
هذا الجزء خاص بمخــاطر التـجارة الإلكترونية وسوف أتناول فيه :
1- أنواع المخاطر
2- أسباب إنشاء آلية حماية على الشبكة
3- أسباب صعوبة تعقب الاختراقات على الشبكة
4- الحلول المقترحة للسيطرة على مخاطر التجارة الإلكترونية
1- أنواع المخاطر
تنبع مخاطر التجارة الإلكترونية ، وبشكل رئيسي من مخاطر شبكة الإنترنت ، فكل تكنولوجيا حديثه ورغم إيجابياتها الكثيرة إلا أن سلبياتها كثيرة كذلك، وفي حالتنا هذه سلبياتها تعد خطيرة جدا، وفي حالة عدم التمكن من تحجيم تلك السلبيات والسيطرة عليها، ستكون النتائج مخيبة للآمال وقد يتم الإحجام عن هذه التكنولوجيا الحديثة، وبالتالي، تضييع أرباح وفوائد جمة.
وللأسف إن مخاطر التجارة الإلكترونية كثيرة ومتعددة، وليس من السهل حصرها، فتكنولوجيا التجارة الإلكترونية تكنولوجيا سريعة التغير والتطور وكل تغير أو تطور يواكبه مخاطر جديدة، ويكمن الخطر الرئيسي في التجارة الإلكترونية في إمكانية اختراق الغير للمعلومات الخاصة لكل من المستهلك والشركات.
ويذكر( توم ارنولد Tom Arnold) والمتخصص بتعقب عمليات الاختراق عبر شبكة الإنترنت، بأن عمليات الاختراق عبر التجارة الإلكترونية توقع الضرر الأكبر على الشركات أكثر منه على المستهلك (المشتري)، فتعويض خسارة المشتري ممكنة، وخصوصا بأنه وبالغالب يستخدم بطاقات الاعتماد للدفع وتكون خسارته محددة بعملية واحدة، والتي قد يمكن تعقبها، ولكن الخسارة الحقيقية تقع على (الشركات) حيث تتكبد الشركة الخسائر بفقدانها الإيرادات والتي يصعب تعويضها أو حتى تعقب المتلاعبين بأنظمتهم المحاسبية، وذلك نظرا لتعقيدات العمليات الكثيرة في التجارة الإلكترونية.
ويرى المختص (توم ارنولد Tom Arnold) أن مخاطر التجارة الإلكترونية تصنف ضمن نوعين رئيسين وهما :
1/1 مخاطر يمكن اكتشافها :
والمقصود هنا بأن الشركة وبوجود خبراء مختصين لديها قد تتمكن من اصطياد بعض الاختراقات في أنظمتها والتعامل معها، ومن أشهر هذه الاختراقات:
· الفيروسات الرقمية المعروفة، بوجود نظام حماية مناسب، يستطيع نظام الشركة اصطياد هذه الفيروسات المعروفة له بشكل مسبق والقضاء عليها.
· قراصنة الإنترنت الهواة، يعتمد قراصنة الإنترنت في اختراقاتهم لنظام الشركة على معلومات ورموز دخول معينة، وفي حالة وجود أكثر من مستخدم لنظام الشركة قد يستطيع القرصان تتبع عملية الدخول والحصول من ذاكرة النظام على تلك المعلومات واستخدامها، ولهذا فإن كانت الشركة تستخدم آلية تغير تلك الرموز بشكل دوري ومسح الذاكرة المعنية بواسطة خبرائها فستتمكن من تحجيم الاختراقات.
1/2 مخاطر لا يمكن اكتشافها :
والمقصود هنا، بأن بعض الاختراقات قد تتم دون سابق دراية بها، إما لحداثتها أو جهل الشركة بها، والنابعة من الأسباب الآتية :
· فيروسات غير معروفة : رغم وجود أنظمة حماية من الفيروسات على أنظمة الشركة، إلا أنه هنالك فيروسات غير معروفة بعد للنظام قد تتمكن من دخول نظام الشبكة وإحداث تلف كبير دون الشعور به إلا بعد فوات الأوان، كما حدث في عام 2000 عندما استطاع أحد الهواة اختراع فيروس I Love you، والذي تمكن من إيقاع خسائر لم يمكن حصرها في ذلك الوقت، ولقد كان الفيروس يعمل كقنبلة موقوتة، حيث يفعل في تاريخ محدد بالسنة، وكان الحل الوحيد لتفاديه بعد أن عرفت آلية عمله إغلاق النظام بالكامل في ذلك التاريخ.
· قراصنة انترنيت ذوي خبرة عالية، وهذه تعد من أكبر المشاكل التي تواجهها الشركات، فقراصنة الإنترنت ليسوا دوما من الهواة، فبعضهم يملك خبرة ومهارة تفوق كثيرا من المتخصصين، تمكنهم وفي كثير من الأحيان من اختراق أنظمة الشركة دون أن يستشعر بهم، وقد تتم جريمتهم دون اكتشافها.
· التسارع التكنولوجي، قد يصعب في كثير من الأحيان مواكبة التسارع التكنولوجي على شبكة الإنترنت بشكل عام وعلى التجارة الإلكترونية بشكل خاص، مما يجعل التكنولوجيا التي تستخدمها الشركة قديمة جدا، والمشكلة تكمن بعدم معرفة التقادم في الوقت المناسب.
2- أسباب إنشاء آلية حماية على الشبكة
ويذكر معهد المحاسبين القانونيين الأمريكي على موقعه عبر الإنترنت، أن بعض الدراسات أظهرت أن الخسائر التي تكبدتها الشركات الأمريكية من اختراقات لبطاقات الائتمان تخطت أرقام فلكية من بلايين الدولارات، ومن هذه الحقيقة يوضح المعهد الحاجة الملحة لإنشاء آلية حماية على الشبكة، منطلقا من مخاطر التجارة الإلكترونية، والتي تعزى للأسباب الآتية :
2/1 الهجمات المتعمدة : Intentional Attacks، والتي تتم إما بواسطة قراصنة الإنترنت، أو منافسي الشركة لغرض الوصول إلى المعلومات السرية للشركة: كأرقام بطاقات اعتماد الزبائن مثلا والمعلومات السرية بالزبائن، وحجم المبيعات، وأمور كثيرة قد يصعب حصرها، وحسب الغاية تكون الوسيلة.
2/2 خصوصية التعامل : The Privacy Debate، تعتبر التعاملات الإلكترونية التي تتم بين الأفراد والشركة ذات طابع معلوماتي مهم جدا، من منطلق أنها تحفظ على ذاكرة النظام الرقمية، وهي معلومات قيمة جدا، وبالتالي إن تمكن أحد من معرفتها أو حتى تتبعها : مثل تتبع رقم بطاقة اعتماد العميل. ومن هنا سيشعر العميل بأن خصوصيته قد تم اختراقها وبالتالي سيفقد الثقة بالشركة التي تعامل معها من منطلق أنها لم تتمكن من حماية خصوصيته.
2/3 فقدان الثقة : Loss of Trust، المقصود هنا فقدان ثقة الشركة بمعلومات عميلها، فمن المتعارف عليه بأن العميل يستخدم ما يسمى التوقيع الرقمي Digital Signature الخاص به لدخول نظام الشركة لإتمام عمليته المرغوب فيها، فكيف هو الحال إذا تمكن الشخص غير الصحيح بالدخول مستخدما توقيع العميل.
2/4 فشل عمـلية التحـــويل : Transmission Failures، رغم أن عمليــــة الشراء الإلكترونية تتم بسرعة كبيرة جدا، إلا أنها عرضة لخطر فشل عملية التحويل، فمن المتعارف عليه أن عملية الشراء عبر التجارة الإلكترونية تتم بواسطة عدة خطوات، كأن يبدأ المستهلك بملء النموذج الابتدائي لعملية الشراء، ومن ثم الانتقال لنموذج ملء بيانات بطاقة الاعتماد، وخطوات أخرى قد تكون ضرورية وفقا لسياسات الشركة، وفي كل مرحلة تفتح صفحة جديدة عبر موقع الشركة ولأسباب تقنيـة أو أخرى، قد تفشل إحدى الخطوات، وهنا ستظهر مشكلة جديدة وهي عدم التأكد من إتمام العملية.
2/5 غياب التوثيق : Lack of Authentication، ففي التجارة التقليدية يتم عادة توثيق الصفقة بأوراق ثبوتيه مروسة بشعار الشركة وموقـعة من قبل الشخص المناسب، وبواسطة اتصال شخصي ومباشر بين البائع والمشتري، ولكن وفي التجارة الإلكترونية تعد جميع تلك الأمور شبه مفقودة بالكامل، وهذه الحقيقة تزيد من احتمالية التعامل مع الشخص غير الصحيح.
2/6 سرقة الهوية : Theft of Identity، في غياب التوثيق المناسب كما في التجارة التقليدية يصبح من السهل على المجرمين انتحال شخصية الغير والقيام بالعمليات دون علمه.
2/7 تزوير الحقائق : Window Dressing، ستكون خدمات بعض مسوقي ومزودي خدمات الحماية، خدمات تجميليه فقط في غياب آلية معينة تؤكد مصداقيتهم وفاعلية خدماتهم.
2/8 آثار ضغوط الاقتصاد : Effects of Economic Pressures، مـع نمو التجارة الإلكترونية المتسارع، أصبح سوقها سوقا تنافسيا، وأصبحت قوة المتنافس الحقيقية تكمن في نجاح آليات الآمان والتوكيدية والموثوقية الخاصة بنظامه المحاسبي، وكل من يستطيع توفير تلك الآليات يكون نصيبه أكبر في هذا السوق التكنولوجي العالمي.
3-أسباب صعوبة تعقب الاختراقات التي تتم عبر شبكة الإنترنت
يعد نظام التجارة الإلكترونية بيئة مثالية للسرقات والتلاعب وإخفاء آثار الجريمة بشكل متقن منقطع النظير، ويعود السبب في ذلك للعوامل الآتية :
3/1 إمكانية الدخول من عدة أماكن :
فالمتعامل عبر الإنترنت لا يحتاج إلى مكان محدد لدخول الشبكة، فأي شخص يمكنه الدخول إلى الشبكة من أي مكان يتوفر به جهاز كمبيوتر وخط اتصال، كمقاهي الإنترنت ومختبرات الجامعات والمدارس.
3/2 سرعة العملية :
قد لا يحتاج الدخيل (المخترق) إلى أكثر من بضع دقائق لاختراق موقع معين والتلاعب به ومغادرة الموقع قبل أن يتم تعقبه.
3/3 تباعد المسافات :
قد يكون المخترق لموقع ما يبعد آلاف الكيلومترات وفي بلد آخر، فشبكة الإنترنت صممت بشكل عالمي.
3/4 عدم وجود هوية محددة :
لا يمكن معرفة ماهية المخترق ولا بأي شكل من الأشكال.
3/5 عدم وجود قوانين دولية :
فشبكة الإنترنت شبكة عالمية ذات معايير موحدة بالاستخدام فقط ، ولو أننا افترضنا اكتشاف أحد المخترقين بدولة مغايرة لدولة الشركة التي تم اختراقها، فإنه ليس بالضرورة وجـود قوانين موحدة للتعامل مع المخترق.
3/6 عدم وجود دلائل مادية :
لإثبات أية جريمة لا بد من توفر دلائل وقرائن مادية، ولكن أين هي هذه الدلائل في هذه الشبكة المرئية فقط؟
3/7 إمكانية إتلاف بيانات جهاز الكمبيوتر :
في حالة شعور أي مخترق بإمكانية تعقبه يستطيع إتلاف بيانات جهازه بضغطة زر بسيطة، مما يجعل عملية تعقبه عديمة الجدوى.
3/8 حماية الحسابات البنكية :
هناك الكثير من الحسابات البنكية محمية من اطلاع الغير عليها، وبالتالي يستطيع المخترق استخدام هذا النوع من الحسابات دون القلق من آلية تعقبه.
3/9 عدم الإبلاغ عن الاختراقات :
فهناك الكثير من الشركات لا تبلغ عن الاختراقات التي تعرضت لها أنظمتها، خوفا من فقدان عملائها وتفضل تحمل خسائر كبيرة عوضا عن فقدان الثقة بها، وخير دليل على ذلك عملية الاختراق التي تمت لبنك City Bank في مطلع عام 2001 من قبل شخص بروسيا كبدته خسائر قدرت بعشرة ملايين دولار والتي لغاية هذه اللحظة ترفض الإقرار بها.
4-الحلول المقترحة للسيطرة على مخاطر التجارة الإلكترونية
لقد حاولت عدة جهات اقتراح الكثير من الخطوات لمواجهة مخاطر التجارة الإلكترونية، وقد كان معهد المحاسبين القانونيين الأمريكي من أولى الجهات التي قدمت اقتراحات قيمة في الاجتماع الذي عقد في مدينة باريس في الأول من أغسطس لعام 2000، والذي ضم عدة جهات محاسبية مهنية متخصصة بهدف إيجاد حلول لمخاطر التجارة الإلكترونية التي يواجهها المستهلك، ويمكن تلخيص هذه المقترحات على الشكل الآتي :
4/1 توخي الحذر بإعطاء المعلومات الشخصية :
وذلك بعدم إعطـاء المعلومات الشخصية، إلا للجهات الموثوق بها، ومعرفة أسباب حاجة تلك الجهات لهذه المعلومات، وتتضمن المعلومات الشخصية بشكل أساسي كلا من العنوان البريدي وأرقام الهواتف والبريد الإلكتروني.
4/2 استخدام برنامج آمن للدخول إلى شبكة الإنترنت :
من المعروف أن كل جهاز كمبيوتر يحتوي على برنامج خاص للدخول إلى شبكة الإنترنت، وفي الغالب، فإن هذه البرامج تحتوي على آليات معينة تحفظ في ذاكرة الجهــاز جميع المعلومات التي تم تداولها في الشبكة من خلاله.
وفي كثير من الأحيان يستطيع المخترق وعبر الإنترنت الدخول لذاكرة هذا البرنامج والحصول على جميع المعلومات الخاصة بالمستخدم ودون أن يستشعر بذلك، ولهذا ينصح بشراء برنامج خاص يتمتع بحماية عالية لمنع المخترق من الدخول إلى ذاكرته.
4/3 التأكد من موقع الشركة على الشبكة :
يجب التأكد بأن الموقع الخاص بالشركة هو الموقع المقصود، وذلك بالاطلاع على سياسات الشركات والتي تتضمن الموقع الأم والذي تم إنشاء موقع الشركة من خلاله. كما انـه يمكن معرفة موقع الشركة من خلال آلية التصفح الخاصة Uniform Resource Locator (URL)، من منطلق أن هذه الآلية تمكن من تتبع الموقع ومعرفة أسس إنشائه، وفي حالة عدم التمكن من تتبعه فيكون الموقع في الغالب موقعا مشكوكا به.
4/4 استخدام بطاقات الدفع المضمونة :
يفضل استخدام بطاقات دفع مضمونة أو محمية، والمقصود بذلك أن يتم التعامل مع مصدري بطاقات الدفع عبر الإنترنت والذين يتمتعون بسياسات خاصة تحمي الشخص المتعامل من مسؤولية الاستخدام غير المرخص لبطاقته من قبل الغير.
4/5 الحذر من تنزيل برامج عبر الإنترنت غير موثوقة المصدر :
من المعروف أن مستخدم الإنترنت وعبر تجوله بالشبكة ضمن مواقع متعددة يستطيع تنزيل برامج مجانية على جهازه، يتم استخدامها لأغراض كثيرة : مثل برامج العرض الصوتية والمرئية وأغراض كثيرة. يجب توخي الحذر الشديد عند تنزيل تلك البرامج وخصوصا من المواقع المشكوك بأمرها، لأنها قد تكون مبرمجة بآلية معينة، تقوم على تجميع كل الأمور الخاصة بك والموجودة على جهازك وترحيلها للجهة المنشئة للبرنامج وذلك دون شعورك بذلك.
4/6 الحذر من إعطاء أرقامك السرية :
ويشمل هذا التحذير كل أرقامك السرية وبشتى أشكالها وأنواعها، وخصوصا الأرقام الخاصة بدخولك للشبكة عبر مزود الخدمة. كما ينصح كذلك وعند إنشاء أرقامك السرية أن تبتعد عن الأمور التقليدية بإنشاء الرقم، كأن تستخدم اسمك أو رقم هاتفك، ويفضل أن تجعل رقمك السري معقدا نوعا ما وتضمنه مجموعة من الأرقام والأحرف والرموز، وكلما كان رقمك السري معقدا، كان اكتشافه صعبا. فمن المعروف أن قراصنة الإنترنت استطاعوا وبشكل مذهل إنشاء برامج تكنولوجية، والتي تعمل بنظام الاحتمالات، تستطيع حل شفرة الأرقام السرية وبسرعة خيالية، ولكنها قد تعجز عن ذلك، فكلما كان الرقم معقد التكوين ومتضمناً لرموز وأرقام وأحرف كانت مقدرة تلك البرامج على فك تشفيره ضئيلة جدا.
4/7 الاحتفاظ بنسخ من العمليات :
وهذه تعد من الأمور المهمة والتي تساهم في اكتشاف السرقات وتفادي استمرارها. والمقصود بأن تحتفظ دوما بنسخة من عملية الشراء التي قمت بها (كمستهلك) عبر شبكة الإنترنت، وكذلك بالاستمرار بعمل تسويات الشراء مع مصدر بطاقة الدفع. والمقصود هنا أمران مهمان جدا وهما :
· الاحتفاظ بنسخة من طلب الشراء ورقم الطلبية، وهذا سيساعدك على الاتصال مع الشركة لحل إشكاليات عدة، كموعد التسليم ومطابقة الطلبية، وبالتالي تحييد الآخرين من الاستخدامات غير المرغوب فيها.
· الاستمرار بتسوية حسابات الدفع، ويفضل أن تكون مطابقتك لحسابات الدفع عبر الإنترنت تسوية ذات طابع زمني قصير، وذلك لاكتشاف الاختراقات بوقت سريع وإيقاف آلية الدفع عند الضرورة، لكي لا يستطيع المخترق الاستمرار باستخدام بطاقتك.
4/8 راقب استخدام الموقع للمحددات Cookies، والمحددات Cookiesهي :
عبارة عن رموز رقمية تساعدك بدخول الموقع دون إعادة كتابة رقمك السري، وعادة ما يتم إدخالها إلى جهازك من قبل الموقع دون طلب الإذن منك بذلك، وآلية عمل هذه المحددات بأنه وعند دخول الموقع مرة أخرى يقوم الموقع بالاتصال بتلك المحددات والموجودة على جهازك ومطابقتها برقمك السري ومن ثم السماح له بالدخول دون طلب الرقم السري. وفي الغالب يستطيع قراصنة الإنترنت تتبع هذه المحددات Cookies على جهازك عندما تكون على الشبكة، ولذلك يفضل برمجة جهازك على طلب الإذن منك قبل أن ينزل الموقع تلك المحددات عليه.
4/9 عدم السماح للأطفال باستخدام الشبكة دون إشراف :
تأكد بأنك تشرف على أطفالك عندما يستخدمون الإنترنت، خصوصا أنهم يستطيعون إعطاء جميع المعلومات الشخصية عن حسن نية، والتي تكون كفيلة بتمكين الغير من اختراق جهازك وبكل سهولة.
4/10 استخدم المواقع المرخصة :
والمقصود بالمواقع المرخصة، تلك المواقع التي تم تقييمها وتأهيلها من قبل طرف ثالث مؤهل بأمور الحماية، حيث أن ذلك النوع من المواقع يكون ممهورا بتوقيع إلكتروني خاص مـن طرف ثالث مهني متخصص، كمعهد المحاسبين القانونيين الأمريكي.
من الملاحظ أن أمور الحماية العشرة السابقة والتي ينصح بإتباعها من قبل معهد المحاسبين القانونيين الأمريكي، هي أمور حماية خاصة بالمستهلك، والسبب فى ذلك أن الشركة تستطيع توفير آليات حماية عديدة والتي قد تكون باهظة الثمن، ولكن المستهلك لا يستطيع ذلك. وبالطبع يعتبر المستهلك حجر الأساس في التعامل الإلكتروني، وفي حالة فقدانه الثقة لهذا النوع من التعامل ستكون التكنولوجيا هذه عديمة الجدوى.
وكنظرة اقتصادية ناجحة، فان توفير الخدمات والنصائح المجانية للمستهلك ستشجعه على التعامل عبر التجارة الإلكترونية، وبالتالي تأمين إيرادات خيالية لكل من الشركات والمؤسسات المهنية الخاصة. ولو أمعنا النظر بالاقتراح العاشر استخدام مواقع مرخصة، سنجد اليوم أن الكثير من الهيئات المهنية المحاسبية وعلى رأسها معهد المحاسبيين القانونيين الأمريكي، تمارس خدمة جديدة تسمى موثوقية مواقع الشبكة العنكبوتية عبر الإنترنت WebTrust، وهذه الخدمة كفيلة بتوفير إيرادات خيالية معتمدة على إيرادات المتاجرين عبر التجارة الإلكترونية.
ومن الملاحظ وبعد أن تنبهت المعاهد المحاسبية المهنية لأهمية التجارة الإلكترونية، قامت بالحث على إيجاد آليات ومعايير محاسبية خاصة لحماية التعاملات عبر الإنترنت بواسطة التجارة الإلكترونية، ووجود هذه الآليات والمعايير مكنت الشركات بشكل أو بآخر من كسب ثقة المستهلك بالتعامل معها عبر هذه الآلية التكنولوجية الحديثة. وبعض الإحصائيات عكست هذه الثقة المتولدة بمساعدة الهيئات المحاسبية المهنية.
ونستطيع القول بأن الثقة التي ولدتها الجهات المحاسبية المهنية المتخصصة بالتجارة الإلكترونية جعلت إيرادات الشركات ترتفع بشكل خيالي عبر التعامل من خلال التجارة الإلكترونية، ولم يكن من الممكن أن تحقق الشركات تلك الإيرادات الخيالية دون جهود تلك الجهات المحاسبية المهنية. لقد أصبح هذا السوق الجديد، ورغم مخاطره العديدة، سوق العصر وسوق العولمة والتنافس المنقطع النظير، علما بأن آليات التعامل فيه تختلف كليا، بل جذريا عن آليات التعامل المتبعة بالسوق التقليدي.
مع أطيب الأمنيات