ما هي التهديدات التي تواجه سرية المعلومات في الأعمال الإلكترونية؟
إن أحد الأدوار الأساسية التي ينبغي على مدير تقنية المعلومات أو مدير التجارة الإلكترونية القيام بها هي حماية الشركة من هذه التهديدات. إن للشركات مسؤولية في حماية معطيات الزبون. ففقدان معطيات الزبون، كرقم بطاقة الاعتماد، سينعكس سلباً على هذه الشركات. وتعتبر المخاوف حول سرية المعلومات إحدى القيود الأساسية لتبني كل من الشركات والزبائن للانترنيت، إلا أن هذه المخاوف انخفضت بشكل كبير خلال السنوات الخمس الماضية.
ومع ذلك، فإن إثبات أمن النظام لا يزال أمراً مهماً لكسب ثقة الزبائن، كالجهود التي يبذلها قطاع تجارة التجزئة الإلكترونية أو e-Tailers لتجديد ثقة الزبائن حول السرية والخصوصية.
ماهي إذاً هذه التهديدات؟ يمكننا تصنيف التهديدات المتعلقة بالمعلومات كما يلي:
- الحوادث: تنشأ الحوادث بسبب أخطاء الموظفين. مثلاً، نجد أن عملية حذف ملفات أساسية ومهمة من على موقع ويب أمراً في غاية السهولة بالنسبة لمدير الموقع.
- الكوارث الطبيعية: وتتضمن الحرائق والفيضانات. إذا كان شركة تقوم بإدارة مخدم التجارة الالكترونية الخاص بها وتعرضت هي أو شركة تخديم الانترنيت لكارثة طبيعية، فمن المحتمل أن تتوقف أعمالها على الانترنيت لعدة أيام أثناء هذه الكارثة.
- التخريب (الصناعي أو الفردي): وهو التخريب المتعمد للنظام بهدف تحقيق مكسب تجاري، أو بسبب ضغينة قديمة كطرد أحد الموظفين من العمل.
- السرقة: وهي سرقة المعلومات الهامة، مثل أرقام بطاقات الاعتماد بهدف تحقيق كسب تجاري.
- الاستخدام غير القانوني (القرصنة): يمكن أن يكون الهدف من القرصنة السرقة، أو التخريب. إلا أنه قد لاتكون هناك أي نية خبيثة وراء عملية القرصنة، بل مجرد تحدٍ بالنسبة للاشخاص المولعين بالتقنيات، كاختراق الأنظمة.
- الاختطاف: قد يستخدم مخدم الويب الشركة للهجوم على مخدمات أخرى، أو للقيام بهجوم الكتروني، كإرسال كم ضخم من المعلومات المزيفة من عدة حواسب تم الإستيلاء عليها عن بعد إلى زبائن مواقع هامة مثل Yahoo!، تخبرهم بأن اشتراكاتهم لم تعد صالحة.
وبشكل مماثل يمكن لمرسلوا رسائل البريد الإلكتروني المزعجين أو Spammers أن يقوموا باختطاف مخدم البريد الإلكتروني واستخدامه لإرسال رسائل SPAM إلى الأفراد، الأمر الذي يمكن أن يسبب في إلغاء اشتراك الانترنيت الخاص بهم من قبل مزود خدمة الانترنيت، وخاصة إذا اعتقدوا أنهم المسؤولين عن هذا العمل المزعج.
- فيروسات الحواسيب: وهي عبارة عن برامج حاسوبية تنتشر بين الأجهزة بنيه التسبب أو عدم التسبب بالضرر.
ولتلافي هذه المشاكل، من المهم جداً أن يكون هناك في الشركة شخص يتولى المسؤولية. يكون عادة هذا الشخص هو مدير تقنية المعلومات، وفي الشركات الكبيرة يتولى مدير التجارة الإلكترونية هذه المسؤولية. أما إذا كانت الشركة صغيرة، فقد لا يكون هناك مدير مختص بتقنية المعلومات أو بإدارة التجارة الإلكترونية. لذا لابد من وجود مدير آخر يتولى هذه المسؤولية ضمن نطاق عمله. إلا أنه قد لايكون من الممكن تلافي جميع أنواع المشاكل. حيث أنه، وكما سنرى لاحقاً، هناك المئات بل ألوف الفيروسات المختلفة. ومع أنه يتم الكشف عن فيروس جديد كل بضعة ثوان، إلا أن هناك دائماً ثغرات في آلية الدفاع ضده. لذا، فإن الطرق المبنية على أسس إدارة المخاطر والمجازفات تعد ذات فائدة مجدية، وتعتمد هذه الإدارة على:
1- تحديد المخاطر والمجازفات، بما في ذلك احتمالات وقوعها وتأثيراتها؛
2- تحديد الحلول الممكنة لهذه المخاطر والمجازفات؛
3- تطبيق الحلول بالنسبة للمخاطر الأكثر احتمالاً والمجازفات الأكثر خطراً؛
4- مراقبة المخاطر والمجازفات لإدراك كيفية تقييم المخاطر والمجازفات في المستقبل وتلافيها
التركيز على فيروسات الحاسوب
فيروس الحاسوب: هو برنامج حاسوبي قادر على استنساخ نفسه، مما يمكنه من الإنتشار عبر آلة "مصابة بالعدوى" إلى أخرى.
الفيروسات البرمجية (Macro Viruses): تتم برمجة هذا النوع من الفيروسات باستخدام لغات برمجة عالية المستوى تتواجد داخل برامج البريد الإلكتروني، ومستعرضات الويب، والبرامج المكتبية مثل MS Word. وتنتقل عدوى هذه الفيروسات عند فتح ملف ما، وتنتشر بسرعة عبر البريد الالكتروني.
حصان طروادة (Trojan Horse) : تتخذ فيروسة حصان طروادة مظهر برنامج حقيقي، وذلك بهدف الدخول إلى نظام الحاسوب، وتستخدم أحصنة طروادة غالباً كوسيلة نقل لفيروسات الحاسوب.
الديدان (Worms): تعرف الدودة بأنها برنامج صغير ينتقل عبر نظام الحاسوب، ويقوم عشوائياً بتغيير أو استبدال المعطيات مع كل تحرك.
بعض الحلول:
1- التحكم بالدخول باستخدام برمجيات الجدران النارية Firewall؛
2- استخدام برمجيات مضادات الفيروس، وتحديثها باستمرار لكشف وتدمير الفيروس؛
3- إنشاء نسخ احتياطية من المعطيات الهامة بحيث يمكن استرجاعها فيما إذا هاجم الحاسوب فيروس ما؛
4- استضافة مواقع التجارة الإلكترونية على شبكات خارجية، بحيث تتم إدارة الفيروسات من قبل متعهدين مختصين؛
5- وضع إجراءات جدية لإيقاف الدخول إلى النظام عن طريق الأقراص المرنة.
برمجيات مضادات الفيروسات
تقدم كل من شركتيMcAfee و Symantec أهم برمجيات مضادات الفيروسات. وهناك عدة حلول أخرى تقدمها شركات متفرقة، مثل: F-Prot و Sophos و AVG. إلا أنه من الأفضل اختيار شركة كبيرة تتمتع بالموارد اللازمة لمراقبة انتشار الفيروسات الجديدة، ونشر أو توزيع تحديثات متتالية لكافة نسخ برمجياتها
اختيار وحماية أنظمة الدفع المالي
يلقي آخر قسم في هذا الدرس نظرة على خيارات الشركات في تلقي الدفعات على البضائع والخدمات عبر الانترنيت. وهناك العديد من المخاطر في تحقيق أمن وسرية الدفع على الانترنيت.
يعد موضوع السرقة أحد المخاطر الأساسية من منظور المصارف الإلكترونية وشركات البيع بالتجزئة على الانترنيت. وأهم هذه المخاطر هي انتحال هوية زبون والدخول إلى حسابه المصرفي، وقيامه بشراء البضائع وتسجيلها على حساب ذلك الزبون.
أما من وجهة نظر الزبون، فتتلخص المخاطر بما يلي:
1- سرقة تفاصيل بطاقات اعتمادهم من حواسب ومخدمات الشركة؛
2- قد لا تكون الشركة التي يودون الشراء منها حقيقية.
ولتفادي هذه المشاكل، تقوم الشركات بتطوير أنظمة أمن وحماية مناسبة. وقبل أن نلقي نظرة على المبادئ التي تستند إليها هذه الأنظمة، علينا مراجعة المصطلحات العامة لمختلف الأطراف المشاركة في هذه الإجرءات:
- المشتري: هو الزبون الذي يقوم بشراء البضاعة أو المنتج أو الخدمة؛
- التاجر: هو بائع التجزئة؛
- شهادة الوثوقية Certification Authority (CA): هي الجهة التي تصدر الشهادات الرقمية التي تثبت هوية كل من التاجر والمشتري؛
- المصارف: هي المصارف التقليدية؛
- مصدّر العملة الإلكترونية: هو مصرف افتراضي يقوم بإصدار عملة رقمية.
إن المتطلبات الأساسية للأطراف المذكورة لأنظمة الحماية الخاصة بالإجرائية المتبعة هي كما يلي:
1- الوثوقية: هل تم التأكد من هوية الأطراف المشتركة بالعملية التجارية؟
2- السرية والخصوصية: هل تمت حماية معطيات العملية التجارية؟ وماهي الإجراءات اللازمة في حال رغب المستهلك بأن يقوم بالشراء تحت اسم مغفل؟ هل يتم نقل جميع المعطيات الغير ضرورية للعملية التجارية من الشبكة العامة وهل يتم حذف السجلات المؤقتة من النظام؟ هل يمكن التجسس على هذه العملية؟
3- التأكد: ماهي إجراءات التحقق من وصول الإرسال بدون تحريف أو تبديل؟
4- عدم الإنكار: كيفية ضمان أن المرسل غير قادر على إنكار قيامه بإرسال رسالة معينة؟
5- الاستمرارية: كيف يمكن إزالة التهديدات التي تواجه استمرار عمل النظام وأداؤه؟
التواقيع الرقمية Digital Signatures
هي طريقة لتحديد هوية الأفراد والشركات من خلال التشفير بالمفتاح المعلن.
يمكن استخدام التواقيع الالكترونية لبناء نظام آمن باستخدام مايعرف بالتشفير بالمفتاح المعلن لتحقيق الوثوقية، أي أن كلاً من التاجر والمشتري حقيقي وغير مزيف. يتم تشفير توقيع الشاري الرقمي قبل إرسال الرسالة باستخدام مفتاحه الخاص، وعند الاستقبال، يتم استخدام المفتاح المعلن للشاري لفك تشفير ذلك التوقيع. وبهذا، يمكن إثبات هوية الزبون. إلا أن التواقيع الالكترونية لاتستخدم على نطاق واسع بسبب صعوبة إعداد المعاملات التجارية حالياً، ولكنها ستنتشر بشكل أوسع مع استقرار البنية التحتية لنظم المفتاح المعلن أو PKI، ومع تزايد استخدام شهادات الوثوقية.
التشفير بالمفتاح المعلن Public Key Encryption
يمكن للزبون باستخدام هذه التقنية أن يقوم بطلب شراء من شركة بالبحث عن المفتاح المعلن لهذه الشركة المتوافر على الانترنيت، ويتم استخدام هذا المفتاح لتشفير الرسالة الحاوية لهذا الطلب. وعندما يتم ارسال الرسالة المشفرة عبر الانترنيت، تقوم الشركة باستلامها ومن ثم قراءتها باستعمال مفتاحهم الخاص. وبهذه الطريقة لا يستطيع أحد باستثناء الشركة الإطلاع على الطلب. وبالعكس، تقوم الشركة بالتأكد من هوية الزبون بقراءة معلومات الهوية، مثل التوقيع الإلكتروني المشفر بمفتاح الزبون الخاص، وذلك باستخدام مفتاح الشركة المعلن.
ولكي تكون نظم التواقيع الالكترونية والتشفير بالمفتاح المعلن فعّالة بالنسبة للشركات والمستهلكين، لابد من التأكد بأن المفتاح المعلن الذي يُنوى استعماله لفك تشفير وثيقة ما ينتمي حقاً للشخص الذي قام بإرسال تلك الوثيقة. والحل الأمثل لهذه المشكلة، والذي لا يزال قيد التطوير، هو أن يتولى طرف ثالث موثوق أو TTP: Trusted Third Party مسؤولية ضمان احتواء الرسالة لمعلومات هوية المالك، ونسخة من المفتاح المعلن الخاص بذلك المالك. ويشار إلى TTP عادةً بإسم مصدر شهادات الوثوقية CA، وستقوم جهات متعددة كالمصارف ومكاتب البريد غالباً بالقيام بهذا الدور في المستقبل.
ما هو الحل العملي إذاً بالنسبة للتجارة الإلكترونية؟ الحقيقة هي أن معظم صفقات ومعاملات التجارة الإلكترونية لاتستخدم التواقيع الالكترونية في الوقت الحالي.
بروتوكول طبقة المداخل الآمنة Secure Sockets Layer (SSL)
يعد بروتوكول طبقة المداخل الآمنة SSL هو بروتوكول أمني قامت شركة Netscape بتطويره ودمجه في مستعرضها Navigator. اليوم، تدعم جميع المستعرضات الأخرى بما في ذلك مستعرض مايكروسوفت Internet Explorer هذا البروتوكول. إلا أن هناك برتوكولاً جديداً يعرف بإسم بروتوكول طبقة النقل الآمنة TLS أو Transport Layer Security. ويستخدم بروتوكول SSL في معظم معاملات التجارة الإلكترونية وخاصة تلك المتعلقة بـB2C ، بما في ذلك إجراءات بطاقات الاعتماد، حيث أنه من السهل على الزبون أن يستخدم هذا البروتوكول دون الحاجة لتنزيل برمجيات إضافية أو شهادات رقمية. أما الشركة فتكون موثوقة لإن شهادة مفتاحها المعلن تكون مصدّرة من شركة معتمدة مثل مثل Verisign. وهذا يعني أنه بمقدور الشاري أن يثق بهوية هذه الشركة، بينما لاتستطيع الشركة التأكد من هوية الزبون. يتم استخدام بروتوكول SSL لحظة دخول الزبون إلى موقع تجارة الكترونية، ويقوم النظام بإعلام الزبون بأنه على وشك أن يتلقى معلومات عبر اتصال آمن، ويستخدم رمز مفتاح للإشارة إلى أمان الإجراء. وعندما تستخدم تقنيات التشفير، تتغير بادئة عنوان موقع الويب في المستعرض منhttp:// إلى [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] ويظهر رمز قفل في أسفل نافذة المستعرض.
بروتوكول المعاملات الإلكترونية الآمنة Secure Electronic Transactions (SET)
يعد بروتوكول المعاملات الالكترونية الآمنة SET من أكثر البروتوكولات أمناً لأنه يعتمد على الشهادات الرقمية التي طورها الإتحاد الذي تديره كل من شركتي Mastercard و Visa المصدريين الرئيسيين لبطاقات الاعتماد في العالم. ويسمح هذه البروتوكول للأطراف المشاركة بالشراء والبيع التأكد من هوية بعضهم البعض. وباستعمال الشهادات الرقمية، يسمح بروتوكول SET للشاري بالتأكد من شرعية الشركة، وبالمقابل يعطي الشركة الفرصة للتأكد من أن بطاقة الإعتماد تُستخدم بالفعل من قبل مالكها الحقيقي، وهذا هو الاختلاف الرئيسي عن SSL. إضافة، فإن بروتوكول SET يشترط وجود توقيع إلكتروني في كل طلب شراء لزيادة تأكيد هوية المشتري للبائع، فوجود التوقيع الإلكتروني وشهادة البائع الرقمية يؤمن مستوى أكبر من الثقة.
وعلى الرغم من أن إطلاقه كان في أواخر التسعينات، إلا أن بروتوكول SET لم ينتشر بصورة واسعة بسبب صعوبة تبادل المفاتيح، حيث يحتاج الزبون للحصول على مفتاحه أن يقوم بتركيب مجموعة برمجيات أمان، مثل Microsoft Wallet على نفس الحاسب الذي يحتوي على مفتاحه الخاص. أخيراً، تعد إجراءات SET للتأكد من المعاملات أبطأ من SSL، وعلى الشركة أن تستخدم برمجيات SET خاصة على مخدمهم.
الدفعات الإلكترونية الصغيرة Micropayments
شهدت التسعينات عدة محاولات لتطوير نظم دفع بديلة لبطاقات الإعتماد. وركّزت هذه النظم على الدفعات الإلكترونية أو القطع النقدية الإلكترونية، وخاصة للعمليات التجارية الصغيرة، حيث أن أجر استخدام بطاقة اعتماد لتنزيل جريدة من الانترنيت، مثلاً، غير مجد اقتصادياً لأنه يكلف أكثر من ثمن الجريدة.
وقد فشلت العديد من المبادرات التي قامت بها شركتي Digicash و eCash لأنها لم تحظ بقبول كبير، في حين كانت بطاقات الإعتماد تستخدم بشكل أوسع ولدفعات أكبر، ولم تكن هناك أية حاجة ملحة للدفعات الصغيرة حينذاك. ولكن على الرغم من ذلك، أصبحت بعض الأنظمة البديلة مثل Paypal ([ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] ذات شعبية كبيرة، الأمر الذي مكّن الشركات الصغيرة والأفراد الذين لايستطيعون تحمل كلفة استخدام بطاقات الاعتماد من قبول الدفعات على الانترنيت. فمثلاً، يستخدم زبائن eBay هذا النظام على نطاق واسع.
المعاملات بين الشركات Business-to-Business Transactions
أسست شركة "طاولة الشراء المستديرة عبر الانترنيت" منظمة اسمتها: "الشراء المفتوح على الانترنيت" OBI وموقعها: [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] وذلك بهدف ضمان إمكانية الاتصال بين أنظمة التجارة الإلكترونية المختلفة، وقد دعمتها شركات كبيرة، مثل: 3M و Ford و Visa و Mastercard و Microsoft. تحدد معايير OBI الخطوات المحددة في إجرءات البيع الحالية، وتوفر عناصر اتصالات موحدة بحيث يستطيع كل من البائع والمشتري القيام بمعاملات معقدة تتطلبها تجارة الشركاتB2B الإلكترونية.
فيما يلي تعداد للإجراءات التي تحددها مقاييس OBI:
1- استمارة الطلب
2- أمر الشراء
3- تأكيد استلام أمر الشراء
4- إعلام مسبق بالشحن
5- وضعية الطلب
6- الفاتورة: سير المعاملة
7- طريقة الدفع: قيد التنفيذ
التحويلات المالية الرقمية أو الإلكترونية Electronic or Digital Funds Transfer (EFT)
يتم استخدام التحويلات المالية الإلكترونية EFT لنقل الأموال مباشرة من مصرف لآخر دون أي حاجة لاستخدام النقود التقليدية. بعض الأمثلة عن عمليات التحويلات المالية الإلكترونية: شركة Direct Deposit البريطانية وموقعها على الانترنيت: [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] وشركة BACS البريطانية أيضاً: [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] التي تقوم بإيداع رواتب الموظفين المستحقة مباشرة في حساباتهم المصرفية. بأية حال، تشير التحويلات المالية الإلكترونية على عملية نقل الأموال التي تتم عبر جهاز الكتروني، ويشمل هذا تحويلات بطاقات الاعتماد.
تبادل المعطيات الإلكترونية EDI على الشبكات الخاصة وعلى الانترنيت
يعود تاريخ التجارة الالكترونية إلى ماقبل الحواسب الشخصية والشبكة العنكبوتية العالمية بهامش بسيط. ففي الستينات، أصبح تبادل المعطيات الالكترونية عبر الشبكات الخاصة الآمنة داخل الشركات وبين المؤسسات صيغة راسخة للتعاملات التجارية. وتعود فكرة مقاييس تبادل الوثائق إلى جسر برلين الجوي في عام 1948، حيث تطلب الأمر وجود قوائم موحدة لإدارة حركة الطيران القادم إلى برلين من مواقع مختلفة بشكل فعّال. وقد قامت وزارة التجارة والصناعة البريطانية بتعريف EDI على الشكل التالي:
"إن تبادل المعطيات الالكترونية EDI هو تبادل المعطيات المنظمة من حاسب إلى حاسب، وإرسالها ومعالجتها بطريقة مؤتمتة، بدون أي تدخل يدوي، عبر شبكاتEDI خاصة في معظم الأحيان."
ويشير تقرير شركة IDCلعام 1999 أن عائدات التبادل الإلكتروني للمعطيات وخدمات EDI المصرفية بلغت حوالي 1,1 مليار دولار في ذلك العام، وأنها تتوقع أن هذه العائدات ستتجاوز ملياري دولار في عام 2003. إن تبادل المعطيات الإلكترونية يتطور من خلال معايير حديثة ومن خلال تكامله مع تقنيات الانترنيت لتحقيق عمليات EDI على الانترنيت. ويتنبأ التقرير بأن حصة EDI على الانترنيت من العائدات الكلية لـ EDI ستقفز من 12% إلى 41% خلال نفس الفترة. إن حجم تبادل المعطيات الإلكترونية على الانترنيت يتزايد بسرعة كبيرة، بينما ستضمن تعديلات مقاييس EDI المقترحة من قبل "فريق XML EDI" وموقعه: [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] استمرارية هذا التبادل في المستقبل. ويعد استخدام XML في معاملات B2B مثل CommerceOne و Biznet التابعة لشركة مايكروسوفت توسعاً ملحوظاً في عمليات تبادل المعطيات الإلكترونية.
تبادل المعطيات الإلكترونية EDI على الانترنيت
بعض استخدامات معطيات EDI بواسطة شبكات IP غير خاصة.
تبادل المعطيات الإلكترونية EDI في القطاع المالي
إن أحد أشكال EDI هي آلية الدفع الإلكتروني المتضمن نقل العائدات المالية من مصرف الشاري إلى البائع.
الشبكات المضافة الافتراضية Virtual Added Networks (VAN)
هي شبكات آمنة متباعدة جغرافياً تستخدم تقنية خاصة عوضاً عن تقنية الانترنيت.
الشبكات الخاصة الافتراضية Virtual Private Networks (VPN)
وهي شبكات افتراضية تؤمن اتصال آمن مشفر بين نقطتين بوساطة الانترنيت، يتم إعدادها عن طريق مزودي خدمة الانترنيت ISPs للشركات الراغبة بالقيام بعمليات تجارية آمنة عن طريق الانترنيت.
يمكن تبادل المعطيات الإلكترونية على الانترنيت بكلفة أقل، حيث أنه عوضاً عن استخدام شبكات خاصة مثل شبكات القيمة المضافة أو Value Added Networks (VANs)، بالإمكان استخدام نفس مقاييس وثائق EDI، كطلب الشراء المبين في الأسفل. إضافة، فإن تبادل المعطيات الإلكترونية على الانترنيت يستخدم تقنيات إرسال منخفضة التكلفة من خلال الشبكات الافتراضية الخاصة، أو حتى باستخدام VPN عبر الانترنيت. هذا، وتبلغ نسبة التوفير حوالي 90% حسب تقرير مجلة EDI Insider لعام 1996. وتشير تقديرات EDI Insider إلى أن انخفاض التكلفة سيزيد عدد الشركات الأمريكية التي تستخدم EDI من 80000 شركة في عام 1996 إلى مئات الألوف. ويتضمن تبادل المعطيات الإلكترونية على الانترنيت استخدام وثائق EDI الموحدة التي يتم تبادلها عبر البريد الإلكتروني، أو بأساليب مؤتمتة بواسطة [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
على الرغم من أن الانترنيت تقدم الكثير من الفرص للشركات والمستهلكين، إلا أنها بالمقابل تعرض المعلومات الخاصة بهذه الشركات وهؤلاء المستهلكين لخطر كبير. ومع أن الانترنيت توفر بوابة عبور إلى مجال واسع جداً من المعلومات، إلا أنها أيضاً توفر بوابة لبرامج العبث التي تم تطويرها من قبل أفراد مخربين بهدف تخريب هذه المعلومات وإفسادها.إن أحد الأدوار الأساسية التي ينبغي على مدير تقنية المعلومات أو مدير التجارة الإلكترونية القيام بها هي حماية الشركة من هذه التهديدات. إن للشركات مسؤولية في حماية معطيات الزبون. ففقدان معطيات الزبون، كرقم بطاقة الاعتماد، سينعكس سلباً على هذه الشركات. وتعتبر المخاوف حول سرية المعلومات إحدى القيود الأساسية لتبني كل من الشركات والزبائن للانترنيت، إلا أن هذه المخاوف انخفضت بشكل كبير خلال السنوات الخمس الماضية.
ومع ذلك، فإن إثبات أمن النظام لا يزال أمراً مهماً لكسب ثقة الزبائن، كالجهود التي يبذلها قطاع تجارة التجزئة الإلكترونية أو e-Tailers لتجديد ثقة الزبائن حول السرية والخصوصية.
ماهي إذاً هذه التهديدات؟ يمكننا تصنيف التهديدات المتعلقة بالمعلومات كما يلي:
- الحوادث: تنشأ الحوادث بسبب أخطاء الموظفين. مثلاً، نجد أن عملية حذف ملفات أساسية ومهمة من على موقع ويب أمراً في غاية السهولة بالنسبة لمدير الموقع.
- الكوارث الطبيعية: وتتضمن الحرائق والفيضانات. إذا كان شركة تقوم بإدارة مخدم التجارة الالكترونية الخاص بها وتعرضت هي أو شركة تخديم الانترنيت لكارثة طبيعية، فمن المحتمل أن تتوقف أعمالها على الانترنيت لعدة أيام أثناء هذه الكارثة.
- التخريب (الصناعي أو الفردي): وهو التخريب المتعمد للنظام بهدف تحقيق مكسب تجاري، أو بسبب ضغينة قديمة كطرد أحد الموظفين من العمل.
- السرقة: وهي سرقة المعلومات الهامة، مثل أرقام بطاقات الاعتماد بهدف تحقيق كسب تجاري.
- الاستخدام غير القانوني (القرصنة): يمكن أن يكون الهدف من القرصنة السرقة، أو التخريب. إلا أنه قد لاتكون هناك أي نية خبيثة وراء عملية القرصنة، بل مجرد تحدٍ بالنسبة للاشخاص المولعين بالتقنيات، كاختراق الأنظمة.
- الاختطاف: قد يستخدم مخدم الويب الشركة للهجوم على مخدمات أخرى، أو للقيام بهجوم الكتروني، كإرسال كم ضخم من المعلومات المزيفة من عدة حواسب تم الإستيلاء عليها عن بعد إلى زبائن مواقع هامة مثل Yahoo!، تخبرهم بأن اشتراكاتهم لم تعد صالحة.
وبشكل مماثل يمكن لمرسلوا رسائل البريد الإلكتروني المزعجين أو Spammers أن يقوموا باختطاف مخدم البريد الإلكتروني واستخدامه لإرسال رسائل SPAM إلى الأفراد، الأمر الذي يمكن أن يسبب في إلغاء اشتراك الانترنيت الخاص بهم من قبل مزود خدمة الانترنيت، وخاصة إذا اعتقدوا أنهم المسؤولين عن هذا العمل المزعج.
- فيروسات الحواسيب: وهي عبارة عن برامج حاسوبية تنتشر بين الأجهزة بنيه التسبب أو عدم التسبب بالضرر.
ولتلافي هذه المشاكل، من المهم جداً أن يكون هناك في الشركة شخص يتولى المسؤولية. يكون عادة هذا الشخص هو مدير تقنية المعلومات، وفي الشركات الكبيرة يتولى مدير التجارة الإلكترونية هذه المسؤولية. أما إذا كانت الشركة صغيرة، فقد لا يكون هناك مدير مختص بتقنية المعلومات أو بإدارة التجارة الإلكترونية. لذا لابد من وجود مدير آخر يتولى هذه المسؤولية ضمن نطاق عمله. إلا أنه قد لايكون من الممكن تلافي جميع أنواع المشاكل. حيث أنه، وكما سنرى لاحقاً، هناك المئات بل ألوف الفيروسات المختلفة. ومع أنه يتم الكشف عن فيروس جديد كل بضعة ثوان، إلا أن هناك دائماً ثغرات في آلية الدفاع ضده. لذا، فإن الطرق المبنية على أسس إدارة المخاطر والمجازفات تعد ذات فائدة مجدية، وتعتمد هذه الإدارة على:
1- تحديد المخاطر والمجازفات، بما في ذلك احتمالات وقوعها وتأثيراتها؛
2- تحديد الحلول الممكنة لهذه المخاطر والمجازفات؛
3- تطبيق الحلول بالنسبة للمخاطر الأكثر احتمالاً والمجازفات الأكثر خطراً؛
4- مراقبة المخاطر والمجازفات لإدراك كيفية تقييم المخاطر والمجازفات في المستقبل وتلافيها
التركيز على فيروسات الحاسوب
فيروس الحاسوب: هو برنامج حاسوبي قادر على استنساخ نفسه، مما يمكنه من الإنتشار عبر آلة "مصابة بالعدوى" إلى أخرى.
الفيروسات البرمجية (Macro Viruses): تتم برمجة هذا النوع من الفيروسات باستخدام لغات برمجة عالية المستوى تتواجد داخل برامج البريد الإلكتروني، ومستعرضات الويب، والبرامج المكتبية مثل MS Word. وتنتقل عدوى هذه الفيروسات عند فتح ملف ما، وتنتشر بسرعة عبر البريد الالكتروني.
حصان طروادة (Trojan Horse) : تتخذ فيروسة حصان طروادة مظهر برنامج حقيقي، وذلك بهدف الدخول إلى نظام الحاسوب، وتستخدم أحصنة طروادة غالباً كوسيلة نقل لفيروسات الحاسوب.
الديدان (Worms): تعرف الدودة بأنها برنامج صغير ينتقل عبر نظام الحاسوب، ويقوم عشوائياً بتغيير أو استبدال المعطيات مع كل تحرك.
بعض الحلول:
1- التحكم بالدخول باستخدام برمجيات الجدران النارية Firewall؛
2- استخدام برمجيات مضادات الفيروس، وتحديثها باستمرار لكشف وتدمير الفيروس؛
3- إنشاء نسخ احتياطية من المعطيات الهامة بحيث يمكن استرجاعها فيما إذا هاجم الحاسوب فيروس ما؛
4- استضافة مواقع التجارة الإلكترونية على شبكات خارجية، بحيث تتم إدارة الفيروسات من قبل متعهدين مختصين؛
5- وضع إجراءات جدية لإيقاف الدخول إلى النظام عن طريق الأقراص المرنة.
برمجيات مضادات الفيروسات
تقدم كل من شركتيMcAfee و Symantec أهم برمجيات مضادات الفيروسات. وهناك عدة حلول أخرى تقدمها شركات متفرقة، مثل: F-Prot و Sophos و AVG. إلا أنه من الأفضل اختيار شركة كبيرة تتمتع بالموارد اللازمة لمراقبة انتشار الفيروسات الجديدة، ونشر أو توزيع تحديثات متتالية لكافة نسخ برمجياتها
اختيار وحماية أنظمة الدفع المالي
يلقي آخر قسم في هذا الدرس نظرة على خيارات الشركات في تلقي الدفعات على البضائع والخدمات عبر الانترنيت. وهناك العديد من المخاطر في تحقيق أمن وسرية الدفع على الانترنيت.
يعد موضوع السرقة أحد المخاطر الأساسية من منظور المصارف الإلكترونية وشركات البيع بالتجزئة على الانترنيت. وأهم هذه المخاطر هي انتحال هوية زبون والدخول إلى حسابه المصرفي، وقيامه بشراء البضائع وتسجيلها على حساب ذلك الزبون.
أما من وجهة نظر الزبون، فتتلخص المخاطر بما يلي:
1- سرقة تفاصيل بطاقات اعتمادهم من حواسب ومخدمات الشركة؛
2- قد لا تكون الشركة التي يودون الشراء منها حقيقية.
ولتفادي هذه المشاكل، تقوم الشركات بتطوير أنظمة أمن وحماية مناسبة. وقبل أن نلقي نظرة على المبادئ التي تستند إليها هذه الأنظمة، علينا مراجعة المصطلحات العامة لمختلف الأطراف المشاركة في هذه الإجرءات:
- المشتري: هو الزبون الذي يقوم بشراء البضاعة أو المنتج أو الخدمة؛
- التاجر: هو بائع التجزئة؛
- شهادة الوثوقية Certification Authority (CA): هي الجهة التي تصدر الشهادات الرقمية التي تثبت هوية كل من التاجر والمشتري؛
- المصارف: هي المصارف التقليدية؛
- مصدّر العملة الإلكترونية: هو مصرف افتراضي يقوم بإصدار عملة رقمية.
إن المتطلبات الأساسية للأطراف المذكورة لأنظمة الحماية الخاصة بالإجرائية المتبعة هي كما يلي:
1- الوثوقية: هل تم التأكد من هوية الأطراف المشتركة بالعملية التجارية؟
2- السرية والخصوصية: هل تمت حماية معطيات العملية التجارية؟ وماهي الإجراءات اللازمة في حال رغب المستهلك بأن يقوم بالشراء تحت اسم مغفل؟ هل يتم نقل جميع المعطيات الغير ضرورية للعملية التجارية من الشبكة العامة وهل يتم حذف السجلات المؤقتة من النظام؟ هل يمكن التجسس على هذه العملية؟
3- التأكد: ماهي إجراءات التحقق من وصول الإرسال بدون تحريف أو تبديل؟
4- عدم الإنكار: كيفية ضمان أن المرسل غير قادر على إنكار قيامه بإرسال رسالة معينة؟
5- الاستمرارية: كيف يمكن إزالة التهديدات التي تواجه استمرار عمل النظام وأداؤه؟
التواقيع الرقمية Digital Signatures
هي طريقة لتحديد هوية الأفراد والشركات من خلال التشفير بالمفتاح المعلن.
يمكن استخدام التواقيع الالكترونية لبناء نظام آمن باستخدام مايعرف بالتشفير بالمفتاح المعلن لتحقيق الوثوقية، أي أن كلاً من التاجر والمشتري حقيقي وغير مزيف. يتم تشفير توقيع الشاري الرقمي قبل إرسال الرسالة باستخدام مفتاحه الخاص، وعند الاستقبال، يتم استخدام المفتاح المعلن للشاري لفك تشفير ذلك التوقيع. وبهذا، يمكن إثبات هوية الزبون. إلا أن التواقيع الالكترونية لاتستخدم على نطاق واسع بسبب صعوبة إعداد المعاملات التجارية حالياً، ولكنها ستنتشر بشكل أوسع مع استقرار البنية التحتية لنظم المفتاح المعلن أو PKI، ومع تزايد استخدام شهادات الوثوقية.
التشفير بالمفتاح المعلن Public Key Encryption
يمكن للزبون باستخدام هذه التقنية أن يقوم بطلب شراء من شركة بالبحث عن المفتاح المعلن لهذه الشركة المتوافر على الانترنيت، ويتم استخدام هذا المفتاح لتشفير الرسالة الحاوية لهذا الطلب. وعندما يتم ارسال الرسالة المشفرة عبر الانترنيت، تقوم الشركة باستلامها ومن ثم قراءتها باستعمال مفتاحهم الخاص. وبهذه الطريقة لا يستطيع أحد باستثناء الشركة الإطلاع على الطلب. وبالعكس، تقوم الشركة بالتأكد من هوية الزبون بقراءة معلومات الهوية، مثل التوقيع الإلكتروني المشفر بمفتاح الزبون الخاص، وذلك باستخدام مفتاح الشركة المعلن.
ولكي تكون نظم التواقيع الالكترونية والتشفير بالمفتاح المعلن فعّالة بالنسبة للشركات والمستهلكين، لابد من التأكد بأن المفتاح المعلن الذي يُنوى استعماله لفك تشفير وثيقة ما ينتمي حقاً للشخص الذي قام بإرسال تلك الوثيقة. والحل الأمثل لهذه المشكلة، والذي لا يزال قيد التطوير، هو أن يتولى طرف ثالث موثوق أو TTP: Trusted Third Party مسؤولية ضمان احتواء الرسالة لمعلومات هوية المالك، ونسخة من المفتاح المعلن الخاص بذلك المالك. ويشار إلى TTP عادةً بإسم مصدر شهادات الوثوقية CA، وستقوم جهات متعددة كالمصارف ومكاتب البريد غالباً بالقيام بهذا الدور في المستقبل.
ما هو الحل العملي إذاً بالنسبة للتجارة الإلكترونية؟ الحقيقة هي أن معظم صفقات ومعاملات التجارة الإلكترونية لاتستخدم التواقيع الالكترونية في الوقت الحالي.
بروتوكول طبقة المداخل الآمنة Secure Sockets Layer (SSL)
يعد بروتوكول طبقة المداخل الآمنة SSL هو بروتوكول أمني قامت شركة Netscape بتطويره ودمجه في مستعرضها Navigator. اليوم، تدعم جميع المستعرضات الأخرى بما في ذلك مستعرض مايكروسوفت Internet Explorer هذا البروتوكول. إلا أن هناك برتوكولاً جديداً يعرف بإسم بروتوكول طبقة النقل الآمنة TLS أو Transport Layer Security. ويستخدم بروتوكول SSL في معظم معاملات التجارة الإلكترونية وخاصة تلك المتعلقة بـB2C ، بما في ذلك إجراءات بطاقات الاعتماد، حيث أنه من السهل على الزبون أن يستخدم هذا البروتوكول دون الحاجة لتنزيل برمجيات إضافية أو شهادات رقمية. أما الشركة فتكون موثوقة لإن شهادة مفتاحها المعلن تكون مصدّرة من شركة معتمدة مثل مثل Verisign. وهذا يعني أنه بمقدور الشاري أن يثق بهوية هذه الشركة، بينما لاتستطيع الشركة التأكد من هوية الزبون. يتم استخدام بروتوكول SSL لحظة دخول الزبون إلى موقع تجارة الكترونية، ويقوم النظام بإعلام الزبون بأنه على وشك أن يتلقى معلومات عبر اتصال آمن، ويستخدم رمز مفتاح للإشارة إلى أمان الإجراء. وعندما تستخدم تقنيات التشفير، تتغير بادئة عنوان موقع الويب في المستعرض منhttp:// إلى [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] ويظهر رمز قفل في أسفل نافذة المستعرض.
بروتوكول المعاملات الإلكترونية الآمنة Secure Electronic Transactions (SET)
يعد بروتوكول المعاملات الالكترونية الآمنة SET من أكثر البروتوكولات أمناً لأنه يعتمد على الشهادات الرقمية التي طورها الإتحاد الذي تديره كل من شركتي Mastercard و Visa المصدريين الرئيسيين لبطاقات الاعتماد في العالم. ويسمح هذه البروتوكول للأطراف المشاركة بالشراء والبيع التأكد من هوية بعضهم البعض. وباستعمال الشهادات الرقمية، يسمح بروتوكول SET للشاري بالتأكد من شرعية الشركة، وبالمقابل يعطي الشركة الفرصة للتأكد من أن بطاقة الإعتماد تُستخدم بالفعل من قبل مالكها الحقيقي، وهذا هو الاختلاف الرئيسي عن SSL. إضافة، فإن بروتوكول SET يشترط وجود توقيع إلكتروني في كل طلب شراء لزيادة تأكيد هوية المشتري للبائع، فوجود التوقيع الإلكتروني وشهادة البائع الرقمية يؤمن مستوى أكبر من الثقة.
وعلى الرغم من أن إطلاقه كان في أواخر التسعينات، إلا أن بروتوكول SET لم ينتشر بصورة واسعة بسبب صعوبة تبادل المفاتيح، حيث يحتاج الزبون للحصول على مفتاحه أن يقوم بتركيب مجموعة برمجيات أمان، مثل Microsoft Wallet على نفس الحاسب الذي يحتوي على مفتاحه الخاص. أخيراً، تعد إجراءات SET للتأكد من المعاملات أبطأ من SSL، وعلى الشركة أن تستخدم برمجيات SET خاصة على مخدمهم.
الدفعات الإلكترونية الصغيرة Micropayments
شهدت التسعينات عدة محاولات لتطوير نظم دفع بديلة لبطاقات الإعتماد. وركّزت هذه النظم على الدفعات الإلكترونية أو القطع النقدية الإلكترونية، وخاصة للعمليات التجارية الصغيرة، حيث أن أجر استخدام بطاقة اعتماد لتنزيل جريدة من الانترنيت، مثلاً، غير مجد اقتصادياً لأنه يكلف أكثر من ثمن الجريدة.
وقد فشلت العديد من المبادرات التي قامت بها شركتي Digicash و eCash لأنها لم تحظ بقبول كبير، في حين كانت بطاقات الإعتماد تستخدم بشكل أوسع ولدفعات أكبر، ولم تكن هناك أية حاجة ملحة للدفعات الصغيرة حينذاك. ولكن على الرغم من ذلك، أصبحت بعض الأنظمة البديلة مثل Paypal ([ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] ذات شعبية كبيرة، الأمر الذي مكّن الشركات الصغيرة والأفراد الذين لايستطيعون تحمل كلفة استخدام بطاقات الاعتماد من قبول الدفعات على الانترنيت. فمثلاً، يستخدم زبائن eBay هذا النظام على نطاق واسع.
المعاملات بين الشركات Business-to-Business Transactions
أسست شركة "طاولة الشراء المستديرة عبر الانترنيت" منظمة اسمتها: "الشراء المفتوح على الانترنيت" OBI وموقعها: [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] وذلك بهدف ضمان إمكانية الاتصال بين أنظمة التجارة الإلكترونية المختلفة، وقد دعمتها شركات كبيرة، مثل: 3M و Ford و Visa و Mastercard و Microsoft. تحدد معايير OBI الخطوات المحددة في إجرءات البيع الحالية، وتوفر عناصر اتصالات موحدة بحيث يستطيع كل من البائع والمشتري القيام بمعاملات معقدة تتطلبها تجارة الشركاتB2B الإلكترونية.
فيما يلي تعداد للإجراءات التي تحددها مقاييس OBI:
1- استمارة الطلب
2- أمر الشراء
3- تأكيد استلام أمر الشراء
4- إعلام مسبق بالشحن
5- وضعية الطلب
6- الفاتورة: سير المعاملة
7- طريقة الدفع: قيد التنفيذ
التحويلات المالية الرقمية أو الإلكترونية Electronic or Digital Funds Transfer (EFT)
يتم استخدام التحويلات المالية الإلكترونية EFT لنقل الأموال مباشرة من مصرف لآخر دون أي حاجة لاستخدام النقود التقليدية. بعض الأمثلة عن عمليات التحويلات المالية الإلكترونية: شركة Direct Deposit البريطانية وموقعها على الانترنيت: [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] وشركة BACS البريطانية أيضاً: [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] التي تقوم بإيداع رواتب الموظفين المستحقة مباشرة في حساباتهم المصرفية. بأية حال، تشير التحويلات المالية الإلكترونية على عملية نقل الأموال التي تتم عبر جهاز الكتروني، ويشمل هذا تحويلات بطاقات الاعتماد.
تبادل المعطيات الإلكترونية EDI على الشبكات الخاصة وعلى الانترنيت
يعود تاريخ التجارة الالكترونية إلى ماقبل الحواسب الشخصية والشبكة العنكبوتية العالمية بهامش بسيط. ففي الستينات، أصبح تبادل المعطيات الالكترونية عبر الشبكات الخاصة الآمنة داخل الشركات وبين المؤسسات صيغة راسخة للتعاملات التجارية. وتعود فكرة مقاييس تبادل الوثائق إلى جسر برلين الجوي في عام 1948، حيث تطلب الأمر وجود قوائم موحدة لإدارة حركة الطيران القادم إلى برلين من مواقع مختلفة بشكل فعّال. وقد قامت وزارة التجارة والصناعة البريطانية بتعريف EDI على الشكل التالي:
"إن تبادل المعطيات الالكترونية EDI هو تبادل المعطيات المنظمة من حاسب إلى حاسب، وإرسالها ومعالجتها بطريقة مؤتمتة، بدون أي تدخل يدوي، عبر شبكاتEDI خاصة في معظم الأحيان."
ويشير تقرير شركة IDCلعام 1999 أن عائدات التبادل الإلكتروني للمعطيات وخدمات EDI المصرفية بلغت حوالي 1,1 مليار دولار في ذلك العام، وأنها تتوقع أن هذه العائدات ستتجاوز ملياري دولار في عام 2003. إن تبادل المعطيات الإلكترونية يتطور من خلال معايير حديثة ومن خلال تكامله مع تقنيات الانترنيت لتحقيق عمليات EDI على الانترنيت. ويتنبأ التقرير بأن حصة EDI على الانترنيت من العائدات الكلية لـ EDI ستقفز من 12% إلى 41% خلال نفس الفترة. إن حجم تبادل المعطيات الإلكترونية على الانترنيت يتزايد بسرعة كبيرة، بينما ستضمن تعديلات مقاييس EDI المقترحة من قبل "فريق XML EDI" وموقعه: [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] استمرارية هذا التبادل في المستقبل. ويعد استخدام XML في معاملات B2B مثل CommerceOne و Biznet التابعة لشركة مايكروسوفت توسعاً ملحوظاً في عمليات تبادل المعطيات الإلكترونية.
تبادل المعطيات الإلكترونية EDI على الانترنيت
بعض استخدامات معطيات EDI بواسطة شبكات IP غير خاصة.
تبادل المعطيات الإلكترونية EDI في القطاع المالي
إن أحد أشكال EDI هي آلية الدفع الإلكتروني المتضمن نقل العائدات المالية من مصرف الشاري إلى البائع.
الشبكات المضافة الافتراضية Virtual Added Networks (VAN)
هي شبكات آمنة متباعدة جغرافياً تستخدم تقنية خاصة عوضاً عن تقنية الانترنيت.
الشبكات الخاصة الافتراضية Virtual Private Networks (VPN)
وهي شبكات افتراضية تؤمن اتصال آمن مشفر بين نقطتين بوساطة الانترنيت، يتم إعدادها عن طريق مزودي خدمة الانترنيت ISPs للشركات الراغبة بالقيام بعمليات تجارية آمنة عن طريق الانترنيت.
يمكن تبادل المعطيات الإلكترونية على الانترنيت بكلفة أقل، حيث أنه عوضاً عن استخدام شبكات خاصة مثل شبكات القيمة المضافة أو Value Added Networks (VANs)، بالإمكان استخدام نفس مقاييس وثائق EDI، كطلب الشراء المبين في الأسفل. إضافة، فإن تبادل المعطيات الإلكترونية على الانترنيت يستخدم تقنيات إرسال منخفضة التكلفة من خلال الشبكات الافتراضية الخاصة، أو حتى باستخدام VPN عبر الانترنيت. هذا، وتبلغ نسبة التوفير حوالي 90% حسب تقرير مجلة EDI Insider لعام 1996. وتشير تقديرات EDI Insider إلى أن انخفاض التكلفة سيزيد عدد الشركات الأمريكية التي تستخدم EDI من 80000 شركة في عام 1996 إلى مئات الألوف. ويتضمن تبادل المعطيات الإلكترونية على الانترنيت استخدام وثائق EDI الموحدة التي يتم تبادلها عبر البريد الإلكتروني، أو بأساليب مؤتمتة بواسطة [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]