2. الإطار العام لإدارة المخاطر: درع المرونة التشغيلية

من هذا المنطلق، اعتمد مصرف ليبيا المركزي إطاراً عاماً لإدارة المخاطر التقنية يهدف إلى بناء منظومة استباقية تعمل على التنبؤ بالمخاطر وتحليلها والتعامل معها بمنهجية علمية واضحة. يقوم هذا الإطار على ثلاث مراحل رئيسية مترابطة هي: التقييم، التخفيف، والمتابعة، وهي مراحل تمثل دورة حياة مستمرة لحماية العمليات المصرفية وضمان جاهزيتها في كل الظروف.

أ. تحديد وتقييم المخاطر (Risk Assessment)

في بيئة مثل ليبيا، لا تقتصر التهديدات على الهجمات الإلكترونية فحسب، بل تمتد لتشمل مخاطر تشغيلية قد تنجم عن انقطاع الطاقة، أو ضعف الاتصالات، أو اضطرابات بيئية وتنظيمية. ومن هنا جاء تركيز مصرف ليبيا المركزي على وضع نظام تقييم شامل يأخذ في الاعتبار الخصوصية المحلية والتحديات التقنية الراهنة. ويتضمن هذا النظام مجموعة من الخطوات الجوهرية:

قياس شدة المخاطر: يقوم هذا الإجراء على تحديد احتمالية وقوع الخطر وتقدير أثره المالي والتشغيلي والسمعي على المصرف، بما يمكّن من ترتيب الأولويات وتخصيص الموارد بشكل دقيق.

تحليل الأثر على الأعمال (BIA): وهي عملية استراتيجية تهدف إلى تحديد العمليات الحرجة التي لا يمكن توقفها تحت أي ظرف، ووضع مؤشرات زمنية دقيقة مثل هدف وقت التعافي (RTO) وهدف نقطة التعافي (RPO)، اللذين يشكلان حجر الزاوية في بناء خطط التعافي من الكوارث واستمرارية الأعمال.

بهذه المنهجية، يسعى مصرف ليبيا المركزي إلى تحويل إدارة المخاطر من رد فعل بعد وقوع الحدث إلى نظام استباقي قائم على التنبؤ والتحليل المستمر.

ب. الرقابة والتخفيف من المخاطر

بعد تحديد المخاطر وتقييمها، ينتقل الإطار إلى مرحلة لا تقل أهمية، وهي مرحلة التخفيف والرقابة، التي تهدف إلى تقليل احتمالية وقوع الخطر أو الحد من آثاره في حال حدوثه. وهنا يوصي مصرف ليبيا المركزي جميع المؤسسات المصرفية بتطبيق مجموعة من الضوابط الفنية والتنظيمية القوية، من أبرزها:

↩ التشفير (Encryption): لضمان حماية البيانات الحساسة أثناء التخزين والنقل، ومنع أي تسريب أو اختراق محتمل للمعلومات.

↩ ضوابط الوصول (Access Control): من خلال تطبيق مبدأ أقل الامتيازات (Least Privilege) لضمان منح كل موظف صلاحيات محددة لا تتجاوز نطاق عمله، مما يقلل من مساحة الهجوم الداخلية ويعزز الأمان الداخلي.

↩ النسخ الاحتياطي الدوري: عبر إنشاء نسخ احتياطية آمنة ومُختبرة دورياً، بحيث يمكن استعادة الأنظمة والبيانات بسرعة في حال التعرض لأي خلل أو هجوم.

بهذه الإجراءات، يسعى مصرف ليبيا المركزي إلى إرساء ثقافة جديدة في القطاع المصرفي، تقوم على الاستباقية بدلاً من رد الفعل، والتحصين المستمر بدلاً من المعالجة المؤقتة.

إن هذا الإطار المتكامل لإدارة المخاطر لا يمثل فقط استجابة للمتطلبات التنظيمية، بل هو تجسيد لرؤية مصرف ليبيا المركزي في بناء قطاع مصرفي resilient قادر على مواجهة التحديات التقنية والاقتصادية بثقة ومرونة، محافظاً بذلك على استقرار النظام المالي الليبي ومستقبله الرقمي.

3. حوكمة البنية التحتية: ضمان التوافرية والاستمرارية

يولي مصرف ليبيا المركزي اهتماماً بالغاً بحوكمة البنية التحتية ومراكز البيانات، باعتبارها محوراً رئيسياً في تحقيق الجاهزية التشغيلية واستدامة الخدمة المصرفية حتى في أكثر الظروف صعوبة. ويستند هذا التوجه إلى إطار عمل صارم يفرض أعلى معايير الحماية، سواء على المستوى المادي أو المنطقي.

أ. حماية مراكز البيانات والرقابة عليها

يدرك مصرف ليبيا المركزي أن حماية مراكز البيانات تمثل خط الدفاع الأول لاستقرار الأنظمة المصرفية، ولذلك شدّد على ضرورة التزام المؤسسات المصرفية بالضوابط التالية:

↩ الأمن المادي المتقدم: تطبيق إجراءات مشددة للتحكم في الدخول والخروج إلى مراكز البيانات، واستخدام أنظمة مراقبة بيئية متطورة تتابع درجة الحرارة والرطوبة، بالإضافة إلى أنظمة إطفاء حرائق ذكية تقلل من المخاطر التشغيلية المحتملة.

↩ استمرارية الأعمال والتعافي من الكوارث (BCP/DRP): يُلزم الإطار المؤسسات بوضع خطط تفصيلية ومُختبرة بانتظام لاستمرارية الأعمال في حالات الطوارئ. وفي السياق الليبي، يتوجب أن تشمل هذه الخطط سيناريوهات متعددة مثل الكوارث الطبيعية، والأزمات الأمنية، والانقطاعات الطويلة في الكهرباء أو الاتصالات، لضمان استمرارية الخدمة دون انقطاع.

ب. إدارة أمن البنية التحتية التشغيلية

لا تقتصر الحوكمة على الحماية المادية، بل تمتد إلى إدارة شاملة لأمن الشبكات والخوادم والأجهزة بهدف تعزيز المرونة التشغيلية وتقليل احتمالية الاختراقات أو الأعطال الكبرى. ويتحقق ذلك من خلال تطبيق ممارسات أساسية مثل:

↩ إدارة الثغرات (Vulnerability Management): إجراء عمليات مسح دورية للأنظمة لاكتشاف الثغرات الأمنية، مع تطبيق التحديثات والتصحيحات (Patches) فور صدورها لمنع استغلالها من قبل المهاجمين.

↩ أمن الشبكات المتقدم: اعتماد بنية دفاعية متعددة الطبقات تتضمن جدران نارية من الجيل الجديد (Next-Generation Firewalls) وتقسيم الشبكة (Network Segmentation) لعزل الأنظمة الحساسة وتقليل مساحة الهجوم.

↩ الرقابة على الوصول للموارد: تفعيل أنظمة إدارة الهوية والوصول (IAM) والمصادقة متعددة العوامل (MFA) لضمان أن الوصول إلى الأنظمة الحساسة محصور فقط بالمستخدمين المخولين، وفق صلاحيات محددة بدقة.

من خلال هذه الإجراءات، يسعى مصرف ليبيا المركزي إلى ضمان أن تكون البنية التحتية المصرفية مرنة، متاحة، ومؤمنة على مدار الساعة، بما يعزز ثقة العملاء ويضمن سلامة النظام المالي.

4. حوكمة دورة حياة الأنظمة: نحو تحول رقمي آمن

مع توسع المصارف الليبية في تبني الخدمات الرقمية، أصبح من الضروري أن تكون حوكمة تطوير الأنظمة واقتنائها جزءاً لا يتجزأ من استراتيجية الأمن السيبراني التي يشرف عليها مصرف ليبيا المركزي. فكل نظام جديد يُضاف إلى بيئة العمل يجب أن يخضع لضوابط دقيقة تضمن خلوه من نقاط الضعف التي قد تُستغل لاحقاً.

أ. تطوير واقتناء النظم الآمنة (Secure SDLC)

يركز مصرف ليبيا المركزي على مبدأ "الأمن من البداية"، أي إدماج عناصر الأمان في كل مرحلة من مراحل دورة حياة تطوير النظام (SDLC)، وليس الاكتفاء بالتحقق في المراحل الأخيرة. ويشمل هذا النهج:

↩ اختبارات أمنية شاملة: تنفيذ اختبارات اختراق دورية (Penetration Testing) واختبارات وظيفية وأمنية قبل الانتقال إلى بيئة الإنتاج، للتأكد من جاهزية النظام ومتانته أمام أي تهديد محتمل.

↩ التحقق من الموردين: عند اقتناء أنظمة أو حلول جاهزة من أطراف خارجية، يتوجب التأكد من التزام الموردين بمعايير الأمن والحوكمة التي حددها مصرف ليبيا المركزي، مما يضمن تكاملية الأنظمة وحمايتها من المخاطر الخارجية.

ب. إدارة التغيير (Change Management)

في بيئة مصرفية شديدة الحساسية، قد يؤدي أي تعديل غير مدروس إلى تعطيل الخدمات أو إحداث ثغرات غير متوقعة. لذا شدد الإطار على أهمية اتباع آليات منظمة لإدارة التغيير تضمن التحكم الكامل في كل عملية تعديل على الأنظمة الإنتاجية، وتشمل:

↩ التقييم والموافقة المسبقة: ضرورة عرض جميع طلبات التغيير على لجنة مختصة تقوم بتحليل المخاطر ومراجعة الأثر قبل الموافقة على التنفيذ.

↩ خطة التراجع (Rollback Plan): إعداد خطة تراجع مفصلة ومُختبرة مسبقاً تتيح العودة السريعة إلى النسخة السابقة في حال فشل التحديث أو ظهور مشكلات تشغيلية بعد النشر.

من خلال هذا النهج المتكامل، يؤكد مصرف ليبيا المركزي التزامه ببناء منظومة رقمية مصرفية آمنة، مستدامة، ومتماسكة، تُدار فيها البنية التحتية والأنظمة وفق معايير عالمية دقيقة، وتُحوكم فيها التكنولوجيا باعتبارها عنصراً استراتيجياً لتحقيق النمو الاقتصادي وحماية استقرار القطاع المالي الليبي

5. تأمين الخدمات المالية الرقمية: بناء الثقة في الدفع الإلكتروني

في ظل التوسع المتزايد في الخدمات المصرفية عبر الإنترنت، أصبح تأمين هذه الخدمات من أهم أولويات مصرف ليبيا المركزي، إذ يرى أن الثقة في الدفع الإلكتروني هي حجر الأساس لتسريع التحول الرقمي وتعزيز الشمول المالي داخل ليبيا. ويعتبر المصرف أن تطبيق ضوابط الأمن الإلكتروني ليس مجرد التزام تنظيمي، بل فرصة استراتيجية للنمو وبناء علاقة مستدامة بين العملاء والمؤسسات المصرفية.

أ. الخدمات المالية عبر الإنترنت

لتعزيز ثقة المستخدمين في الخدمات المصرفية الرقمية، وجّه مصرف ليبيا المركزي المصارف إلى تبني ضوابط صارمة تضمن سلامة الأنظمة واستقرارها، من أبرزها:

↩ أمن التطبيقات (Application Security): ضرورة إجراء تدقيق أمني شامل واختبارات اختراق دورية لتطبيقات الويب والهاتف المحمول، بما يكشف الثغرات قبل استغلالها.

↩ مكافحة الاحتيال (Fraud Management): تطبيق أنظمة ذكية متقدمة قادرة على رصد الأنماط المشبوهة وكشف محاولات الاحتيال في الوقت الحقيقي، خصوصاً في ظل تزايد هجمات التصيد والاختراق المالي.

ب. أمن خدمات الدفع الإلكتروني

يولي مصرف ليبيا المركزي اهتماماً خاصاً بتأمين أنظمة الدفع الإلكتروني التي تشمل أجهزة الصراف الآلي (ATM)، وبطاقات الدفع، والتطبيقات التي تدير المعاملات المالية. ويركز الإطار على مجموعة من الضوابط الأساسية لضمان سلامة هذه العمليات:

↩ الامتثال للمعايير الدولية: الالتزام بمعايير PCI DSS الخاصة بحماية بيانات بطاقات الدفع، لضمان أمن معلومات العملاء والبطاقات المصرفية.

↩ أمن البنية التحتية للدفع: تأمين الشبكات والأجهزة التي تدير عمليات الدفع ضد الوصول غير المصرح به، باعتبارها مكوناً حيوياً من مكونات استقرار النظام المالي الوطني.

من خلال هذه الإجراءات، يسعى مصرف ليبيا المركزي إلى بناء منظومة مالية رقمية تُوازن بين الراحة والأمان، وتعيد تعريف تجربة العميل في بيئة مصرفية موثوقة وحديثة.

6. التدقيق والامتثال: ركيزة الشفافية والمساءلة

لضمان فاعلية إطار الحوكمة التقنية واستمراريته، أكد مصرف ليبيا المركزي على أهمية ترسيخ مبدأ الشفافية والمساءلة عبر آليات تدقيق مستقلة، داخلية وخارجية، تُمكّن من تقييم الالتزام وضبط المخاطر وتعزيز الثقة في النظام المصرفي.

أ. التدقيق الداخلي المستقل

يشترط الإطار أن تكون وظيفة التدقيق الداخلي لتكنولوجيا المعلومات مستقلة تماماً عن الإدارات التنفيذية، لتضمن الحياد والموضوعية. وتشمل مهامها الأساسية:

↩ تقييم الامتثال: التحقق من التزام المؤسسة بالضوابط الأمنية والحوكمية المحددة من قبل مصرف ليبيا المركزي.

↩ تقييم الكفاءة: مراجعة كفاءة وفعالية العمليات التقنية، وتقديم توصيات عملية لتحسين الأداء وضمان التوافق مع أفضل الممارسات الدولية.

↩ إعداد التقارير: رفع تقارير دورية وموضوعية إلى مجلس الإدارة والإدارة العليا تتضمن حالة الأمن، مستوى المخاطر، وأداء ضوابط الحوكمة.

ب. التدقيق الخارجي

يشجع مصرف ليبيا المركزي المؤسسات على الاستعانة بمدققين خارجيين مؤهلين لتقييم الأنظمة الحساسة والعمليات الحرجة. الهدف هو ضمان نظرة محايدة وموضوعية تعزز مصداقية المؤسسات أمام الجهات الرقابية والمساهمين، وتدعم تطوير ضوابط الحوكمة بشكل مستمر.

بهذا النهج، تتحول عملية التدقيق إلى أداة استراتيجية لتعزيز الثقة العامة، لا مجرد التزام رقابي شكلي، مما يعزز مكانة المصارف الليبية في بيئة مالية إقليمية متغيرة.

7. الموارد البشرية والنضج المؤسسي: الاستثمار في المستقبل

يؤمن مصرف ليبيا المركزي أن التكنولوجيا مهما بلغت من تطور، فإن نجاحها الحقيقي يعتمد على العنصر البشري الذي يديرها. لذلك، جعل من تطوير الكفاءات وبناء القدرات ركيزة أساسية في الإطار الوطني للحوكمة الرقمية.

أ. الكفاءات والتدريب المتخصص

يشجع المصرف المؤسسات المصرفية على الاستثمار في الكفاءات المحلية من خلال برامج تدريب متخصصة ترفع مستوى الوعي الأمني والمهني، وتشمل مجالات مثل إدارة المخاطر، التدقيق التقني، وأمن المعلومات. ويركز الإطار على أهمية:

↩ توظيف الكوادر المؤهلة: اعتماد معايير مهنية دولية مثل شهادات COBIT، CISA، CISM لضمان جاهزية الموظفين الفنيين والإداريين.

↩ بناء القدرات الداخلية: تقليل الاعتماد على الاستشاريين الخارجيين عبر تطوير فرق داخلية قادرة على إدارة العمليات التقنية بفعالية واستدامة.

ب. خارطة الطريق نحو النضج المؤسسي

يُحدد مصرف ليبيا المركزي مساراً تدريجياً لتطوير النضج المؤسسي في إدارة التكنولوجيا والحوكمة، يقوم على مرحلتين رئيسيتين:

↩ المستوى المستهدف (مؤسس – Established): الوصول إلى مستوى نضج 3.2 في العمليات الأساسية، عبر وضع السياسات والإجراءات الرسمية وتطبيقها منهجياً.

↩ التحسين المستمر (Optimization): الطموح للوصول إلى مستوى نضج 5.2، وهو المستوى الذي يُدمج فيه الأمن والحوكمة في ثقافة المؤسسة بالكامل، ويُبنى على أساس قياس الأداء والتطوير المستمر.

 حوكمة التكنولوجيا كرافعة للاستقرار المالي في ليبيا