الموضوع لا يحتمل مقدمات.. خطورته تتطلب منا كشفه دون مساحيق أو تلوين.. أن نضع الكلمات بلا ديباجة. بدأت الحكاية عندما قال لي المهندس عمرو موسي مدير إدارة المراجعة الداخلية لتكنولوجيا المعلومات ونظم الدفع بالبنك المركزي "منظومة الدفع في البنك المركزي تم تعمد تفتيتها لتسهيل نهب ثروات مصر" لم أفهم ما يقصده الرجل في البداية. فقلت له: اشرح لي أكثر من فضلك. فقال: منظومة الدفع تعمل في جزر منعزلة بما يؤدي الي عدم القدرة علي تتبع السيولة وحركة النقد والتحويلات والسياسية النقدية وطباعة النقد.. وهذا يمثل خرقا للأمن القومي!!. وجدت ما يقوله المهندس عمرو موسي يتفق مع المستندات التي قمت بجمعها علي مدي عامين. وكشفت عن تهلل منظومة الدفع في البنك المركزي، وسهولة اختراقها من خارج البنك، وغياب أمن المعلومات واختراق الأمن القومي المصري، فتم تركيب شبكة سويفت علي آر تي جي اس RTGS مما جعل جميع تحويلات المصريين والحكومة خاصة وزارة الدفاع والأجهزة السيادية الداخلية متواجدة في البحرين وبلجيكا ومراكز منتشرة في دول أخري من العالمّ. الموضوع خطييييييييير تعالوا نقرأ التفاصيل ..........
من ضمن هذه المستندات تقرير كتبه المهندس عمرو موسي نفسه، وتم استبعاده من البنك المركزي بعد كشف الفساد في قطاع تكنولوجيا المعلومات ونظم الدفع، ووجهه إلي مصطفي النجار وكيل المحافظ المساعد بقطاع المراجعة الداخلية تحت عنوان "متابعة عملية المراجعة الداخلية والمخاطر علي أنظمة الدفع". التسوية اللحظية RTGS كشف التقرير عن استخدام شبكة سويفت SWIFT كنظام لربط البنوك المختلفة بنظام RTGS في البنك المركزي المصري، وهو ما يؤدي إلي وجود نسخة من كافة رسائل التحويلات التي تتم علي النظام في مراكز سويفت في البحرين وبلجيكا، وتمتلك شركة سويفت مفتاح فك التشفير لهذه التحويلات، في حين أنه كان يمكن استخدام شبكة في بي أن VPN بين البنوك والبنك المركزي، والذي يغني عن عدم استخدام شبكة سويفت في التحويلات الخارجية. وألمح التقرير إلي أن ما يحدث قضية أمن قومي، حيث تستخدم البنوك التي بها تعاملات وزارة الدفاع والأجهزة السيادية هذا النظام، بالإضافة إلي ما تتحمله الخزانة العامة بشكل دوري من فاتورة يتم دفعها لشركة سويفت. ويتعجب التقرير من عملية الربط بشبكة السويفت ولم يتم استخدام شبكة VPN مباشرة بين البنوك والبنك المركزي. موضحا أن نظام RTGS من المفترض أنه لا يقوم بأي تسوية تقل قيمتها عن 5 ملايين جنيه، إلا أن محرر التقرير قام بعملية تسوية قيمتها عشرة جنيهات عن طريق نظام CAS وهو النظام المالي المركزي الخاص بالبنك المركزي. مؤكدا عدم وجود أي إجراءات لحفظ وأرشفة سجلات النظام. احتياطى النقد
كشف التقرير عن وجود شبهات في إدارة الاحتياطي النقدي الأجنبي وربطه ببنك أوف نيويورك فقط، ففي ضوء تحليل المستندات التي حصل عليها قطاع المراجعة الداخلية بالبنك المركزي لنظام SUNGARD الخاص بإدارة احتياطي النقد الأجنبي ومستندات مالية من القطاع المالي عن حركة سداد فواتير شركة SUNGARD توصل قطاع المراجعة إلي وجود نظام مباشر Interface ببنك أوف نيويورك مع وجود تسمية لبنك أوف نيويورك ك"أمين دولي" Global Custodian، واستفسر قطاع المراجعة عن أسباب الربط، ولماذا تم حصره علي بنك أوف نيويورك، فلم يرد قطاع تكنولوجيا المعلومات ونظم الدفع عن أسباب هذا الربط وحصره علي أوف نيويورك، وما هي الاحتياطيات الأمنية المتخذة، وهل هناك إمكانية لدخول بنك أوف نيويورك علي النظام، وما هي حجم الصلاحيات إن وجدت هذه الامكانية؟. ويتم تنفيذ المشروع بالكامل طبقا للعقد خلال مدة 160 يوما والعقد تم توقيعه في 31 ديسمبر 2005، ولكن القطاع المالي تسلم المرحلة الأول في 11 ابريل 2007، أي بتأخير سنة وتم استلام المرحلة الثانية في 30 يونيو 2010 أي بتأخير أربع سنوات، دون أن يتم تحديد المسئول عن التأخير؟ أو الإفصاح عن هل تم توقيع غرامات تأخير؟، رغم عملية التأخير فقد جاءت نسب السداد مخالفة للعقد. المال السايب والغريب أنه تم احتساب مصاريف صيانة سنوية مباشرة من اليوم التالي لتوقيع العقد الذي تم في أول يناير 2006، وحتي 30 يونيو 2010 بقيمة إجمالية 215 ألف دولار بنحو 1.3 مليون جنيه مصري، وهو ما يوازي قيمة المشروع، ولم تستطع المراجعة الداخلية التعرف علي ما هي أعمال الصيانة التي يتطلبها أي نظام بهذه القيمة بعد توقيع العقد مباشرة، ولم يتم الانتهاء منه، وبالتالي لم يتم استلامه، بل تم إضافة مصاريف استشارية بقيمة اجمالية 96 ألف دولار لم يتم تحديد نوعيتها، ومصروفات تحت مسمي" خارج نطاق العمل" بقيمة 17.5 ألف دولار، والشئ الملفت للنظر في هذه الفواتير هو اللجؤ المستمر إلي شركة SUNGARD للقيام بمهام تطوير تعتبر بسيطة، ولا تحتاج لخبرات خارقة علي الرغم من أن هذا يتم بأسعار باهظة ومبالغ فيها، علي الرغم من القيام بعمليات تدريب للعاملين علي هذا النظام، وهو ما دفع التقرير يفسر ذلك بأن التدريب المفترض أنه تم ولم يكن كافياً، ولم يغط الاحتياجات أو الشركة تمنع أي عملية تطوير إلا عن طريقها، وهو ما يضع علامات استفهام عن حجم وقدرة وصلاحيات الشركة للدخول علي النظام، وبالتالي الاطلاع علي الملفات السرية والحصول علي نسخ منها، وكيف يتم تأمين ذلك خلال عمل الشركة أو أن البنك المركزي المصري لا يملك الخبرات الداخلية رغم ما نسمعه عن القدرات الهائلة للقطاع. وطبقا للعقد هناك أربع وحدات رئيسية للنظام، ولم يستطع قطاع المراجعة التأكد من إتمام التركيب والتشغيل للوحدات المتعاقد عليها، ومن هم الذين يقومون بإدارة الوحدات المختلفة وصلاحياتهم واجراءات العمل المتبعة بسبب عدم الحصول علي رد من قطاع تكنولوجيا المعلومات ونظم الدفع. ويتكون بنيان النظام System Topology من ثمانية اجزاء، طبقا للعقد ولم يستطع أيضا قطاع المراجعةالتأكيد من أن ما تم التعاقد عليه هو ما تم تنفيذه بسبب عدم رد قطاع تكنولوجيا المعلومات ونظم الدفع، وأوضح تقرير المراجعة أن هناك عدم تطابق بين ما جاء في العقد والمستندات التي حصلنا عليها خلال إجراء المراجعة الداخلية علي البنية التحتية لتكنولوجيا المعلومات، خصوصا من حيث عدد ونوعية تراخيص قواعد البيانات ونوعية الخودام Servers . بسبب عدم حصول قطاع المراجعة الداخلية علي المستندات التي توضح كيف تم توفيق عدم التطابق بين بنيان ووحدات النظام وبين تركيبة وحدة إدارة احتياطي النقد والمهام ومسئوليات الأفراد داخلها. ولا يوجد أي تفاصيل وافية عن التدريب الذي سيحصل عليه موظفي البنك المركزي، ولم يتسن لقطاع المراجعة التأكيد من إتمام عملية التدريب وأنها قامت بتلبية احتياجات البنك وعملية التشغيل السليمة من كافة الجوانب، كما لم يحصل قطاع المراجعة علي اجراءات تأمين الربط بخدمة Bloomberg والذي سيتم استخدام بروتكول FTP الذي يعاني من وجود مخاطر أمن المعلومات عند استخدامه. والكارثة أنه ورد في بنود كثيرة من العقد "أن الحصول علي الاحتياجات التفصيلية للبنك المركزي لم يكن ممكنا وأنه من خلال العمل سيتم تحديد هذه الاحتياجات وتنفيذها خارج نطاق العقد وبتكلفة منفصلة" وهو ما دفع قطاع المراجعة إلي التساؤل عن الظروف التي أدت إلي توقيع عقد بهذه الأهمية وهذا المبلغ دون معرفة وتحديد تفاصيل بعض الاحتياجات الأساسية. المح قطاع المراجعة إلي أن معظم عملية التطوير لم ترتبط برؤية موثقة الاحتياجات. مؤكدا أنه لا يوجد تفسير لاسباب عدم دخول خدمة اساسية وحساسة ضمن نطاق العقد علي الرغم من أهميتها في إدارة المخاطر. اختراق النظام المالي يعتبر نظام CAS هو النظام الذي تصب فيه جميع المعاملات المالية الخاصة بالبنك المركزي ويتم التعامل معه علي أساس أنه Core Banking System الخاص بالبنك، وذكر تقرير المراجعة أن النظام تم تطويره منذ فترة داخل البنك بتكنولوجيا قديمة لا تدعم أي إجراءات أمن معلومات ويمكن اختراق سرية بياناته من قبل العاملين، كما يمكن اختراق النظام المالي بالبنك المركزي، مؤكدا أن احد العاملين بقطاع العمليات المصرفية قام أمام مدير عام المراجعة الداخلية (المهندس عمرو موسي) بتغيير بيانات من المفترض عدم تغييرها، وحضر موسي عملية End of Day وشاهد فيها انعدام كامل لأي إجراءات أمن معلومات وفصل مسئوليات وصحة البيانات. وأشار تقرير المراجعة إلي أن هذا النظام كان من المفترض تغييره بنظام حديث لكن قام قطاع تكنولوجيا المعلومات بعرقلة المناقصة نظرا لان اختيار قطاعات البنك كلها بما فيهم قطاع المراجعة الداخلية وادارة المشروعات لم يتوافق مع اختيارهم وانتهي التقرير إلي أن ارتفاع مخاطر التشغيل لأنظمة الدفع والغياب الكامل لأي مراقبة (Oversight Policy) طبقا لمعايير Basel أو حتى أي معايير. وقال المهندس عمرو موسي في تعليقه علي المستدات التي وصلت للوفد إنه حاول لفت نظر قيادات البنك المركزي إلي مخاطر عدم وجود نظام مالي موحد بالبنك المركزي، والذي مكن أن يكون مفتاحا لنهب ثروات مصر، بالإضافة إلي عدم السيطرة علي التضخم، وادارة السياسية النقدية، والأصول والخصوم للبنك وغيرها من الأمور الحيوية للاقتصاد المصري ولكن دون جدوي. وأضاف في تصريحات خاصة أن البنك المركزي لا يوجد به نظام موحد لجميع العمليات المصرفية والمالية، والذي يطلق عليه الكور بنكنج سيستم (Core banking System ) CBS مؤكدا أن جميع البنوك في مصر لا يوجد بها هذا النظام، إلا بعض البنوك الأجنبية في مصر، وهو ما يشير إلي عدم التزام البنوك بمعايير آمن المعلومات الدولية. موضحا أن البنك المركزي كان ينوي تركيب هذا النظام وتم تصميم كراسة الشروط علي شركة محددة وعندما تم إثارة الموضوع وتدخل كل القطاعات بالبنك المركزي تم إلغاء تركيب النظام. وطالب بضرورة عودة مجلس المدفوعات والتي تتحكم في منظومة الدفع، فعندما تم إلغاء هذا المجلس، تم تفكيك منظومة الدفع، ولم يعد هناك قدرة علي تطبيق الحوكمة نتيجة لأن البنية التحتية لتكنولوجيا المعلومات -مخترقة ومهلهلة – علي حد تعبيره. مؤكدا أن هذه البيئة يجعل من الصعب الالتزام بمعايير آمن المعلومات الدولية.