تعد كوريا الجنوبية واحدة من أكثر أسواق العملات الرقمية نشاطًا في العالم، حيث يتداول أكثر من 10 ملايين مستثمر محلي كل يوم. ومع ذلك، لا تزال العديد من البورصات تفشل في تحقيق معايير حماية البيانات الأساسية المصممة لحماية المستخدمين.

النقاط الرئيسية

• تفتقر البورصات الكورية الكبرى إلى شهادة ISMS-P الإلزامية، التي تحمي المعلومات الشخصية للمستخدمين.
• تقوم البورصات الأصغر بتخفيض المعايير بسبب ارتفاع تكاليف الشهادات وقيود التوظيف.
• تستثمر البورصات الكبيرة حوالي 10% فقط من ميزانيات تكنولوجيا المعلومات في الأمن السيبراني، مما يثير القلق بشأن الحماية غير الكافية.
• كشف اختراق Upbit عن ثغرات في أكبر بورصة في كوريا على الرغم من حجمها ومواردها.
• يشدد الخبراء على ضرورة فرض نظام إدارة الأمن المعلوماتي الشخصي (ISMS-P)، وفصل الأدوار بين مسؤول أمن المعلومات (CISO) ورئيس حماية البيانات (CPO)، وزيادة الشفافية.

فهم مشكلة أمان العملات المشفرة في كوريا

على الرغم من الرقابة المالية الصارمة في كوريا الجنوبية، إلا أن تنظيم أمان العملات الرقمية لم يتطور بالشكل المطلوب. شهادة ISMS-P، المعايير الذهبية لحماية البيانات الشخصية، ليست مُنفذة بشكل عالمي. العديد من البورصات تحمل فقط شهادة ISMS الأساسية، والتي لا تشمل تدابير حماية المعلومات الشخصية.

تظهر بيانات KISA أن العديد من بورصات Coin Market المعتمدة بموجب تفويضات VASP لم تحصل على شهادة ISMS-P. حتى GOPAX، وهي منصة رئيسية لتداول KRW، لم تكمل بعد شهادة ISMS-P. وهذا يترك ملايين سجلات المستخدمين محفوظة تحت ظروف أمنية غير متسقة وغالبًا غير كافية.

تُظهر هذه الفجوات قضية أوسع حيث إن الامتثال لا يتحول إلى حماية حقيقية.

اقرأ أيضًا:5 مشاريع Web3 واعدة من كوريا الجنوبية

لماذا تقوم البورصات الصغيرة والمتوسطة بتخفيف المعايير

تشغيل بورصة العملات المشفرة في كوريا ينطوي على تكاليف تشغيلية وتنظيمية عالية. تعتبر البورصات الأصغر، التي تواجه بالفعل هوامش ربح ضيقة، أن ISMS-P مكلف للغاية ويتطلب الكثير من العمل. فهو يتطلب تدقيقات مستمرة، واختبارات للثغرات، وموظفين فنيين متخصصين.

لإدارة التكاليف، أفيد أن بعض المنصات تفكر في التخفيض من ISMS-P إلى ISMS. هذا يسمح لهم بالحفاظ على أهليتهم كمنصات خدمة الأصول الافتراضية (VASP) مع تجنب الالتزامات الأمنية الأكثر عمقًا. ونتيجة لذلك، يتحول النظام إلى حيث يتم إعطاء الأولوية للامتثال الأدنى على حساب حماية المستخدم الفعلية.

تحت الاستثمار في البنية التحتية للأمان من قبل البورصات الكبرى

حتى أكبر بورصات العملات المشفرة في كوريا تظهر علامات على نقص الاستثمار في الأمن. تكشف إعلانات KISA أن Upbit وBithumb وGOPAX تخصص فقط حوالي 10% من ميزانياتها المخصصة لتكنولوجيا المعلومات للأمن المعلوماتي. كما أن فرق الأمن المتخصصة تمثل أيضًا نسبة صغيرة من إجمالي موظفي تكنولوجيا المعلومات.

هذا المستوى من الاستثمار منخفض بشكل غير عادي بالنسبة للمنصات التي تعمل على مدار الساعة وتتعامل مع بيانات حساسة من ملايين المستخدمين. تقدم Coinone و Korbit شفافية أقل حتى أنهم لا ينشرون ممارساتهم الأمنية طوعًا.

بدون استثمار أقوى، تظل البورصات عرضة للتهديدات الخارجية والداخلية على حد سواء.

اختراق أببيت يظهر ضعف هيكلي

في 27 نوفمبر 2025، حددت منصة Upbit عملية تحويل غير مصرح بها لأصول سولانا بقيمة 44.5 مليار وون، أي نحو 30 مليون دولار. توقفت المنصة عن قبول الودائع والسحوبات ونقلت الأصول إلى التخزين البارد. على الرغم من أن الخسارة كانت صغيرة نسبياً مقارنةً بخروقات تبادل العملات العالمية، إلا أن التوقيت زاد من تأثيرها.

وقع الحادث بعد ساعات قليلة من إعلان Naver عن اتفاقية استحواذها على Dunamu بقيمة 10 مليارات دولار. على الرغم من أنه من المتوقع أن تتم الصفقة، إلا أن القرصنة أظهرت نقاط ضعف في بنية Upbit التحتية التي قد يكون لها عواقب أكبر إذا لم يتم التعامل معها.

تعد الاختراقات العالمية السابقة، بما في ذلك خسارة بايبت التي بلغت 1.5 مليار دولار وخرق المعلومات الداخلية لكوين بيز الذي بلغ 400 مليون دولار، تذكيرات بأن حتى المنصات الكبيرة يمكن أن تقع ضحية للثغرات.

لماذا يجب أن تكون أدوار رئيس أمن المعلومات ورئيس حماية البيانات منفصلة

غالباً ما تعين البورصات الكورية كل من رئيس قسم أمان المعلومات ورئيس قسم الخصوصية لدور واحد. يخلق هذا الدور المزدوج صراعات في المسؤولية وقد يبطئ استجابة الحوادث خلال الانتهاكات. الفصل الواضح ضروري للمساءلة والكفاءة التشغيلية.

بعد حادثة الاختراق الضخم، عينت شركة SK Telecom قائد حماية البيانات (CPO) منفصل، مقدمة نموذج يمكن أن تتبعه بورصات العملات المشفرة.

بدون الفصل الهيكلي، فإن أي حادث قد يصبح أكثر ضررًا بسبب عدم وضوح سير العمل الداخلي.

ما يوصي به الخبراء لصناعة العملات المشفرة في كوريا

لتعزيز حماية المستثمرين وتقليل المخاطر النظامية، يقترح الخبراء عدة إصلاحات:

• جعل شهادة ISMS-P إلزامية لجميع البورصات.
• فصل دور CISO و CPO لمساءلة أوضح.
• تعزيز الشفافية من خلال الإفصاحات الأمنية المنتظمة.
• زيادة الاستثمار في موظفي الأمن السيبراني وأدوات المراقبة.
• إجراء اكتشاف الثغرات بشكل أكثر تواترًا وتحليل المخاطر في الوقت الفعلي.

إنه من الضروري وجود إطار عمل أمني استباقي لمنع الاختراقات بدلاً من مجرد الاستجابة بعد حدوث خسائر.

 بينما تسعى كوريا لتصبح رائدة عالمية في مجال التكنولوجيا، فإن تعزيز بنية الأمن الرقمي لل cryptocurrencies يعد أمرًا ضروريًا. ستكون الشهادات الأقوى، والأدوار الحاكمة الأكثر وضوحًا، وزيادة الشفافية هي الخطوات الرئيسية في خلق بيئة أصول رقمية أكثر أمانًا لملايين المستثمرين المحليين.

اقرأ أيضًا:مشروع قانون العملة المستقرة في كوريا الجنوبية

الأسئلة المتكررة

ما هي شهادة ISMS-P في كوريا؟

يسمى ISMS-P شهادة كورية تشمل كل من إدارة أمن المعلومات وحماية البيانات الشخصية. وتعتبر ضرورية للمنصات التي تدير معلومات المستخدمين.

لماذا تتجنب بعض البورصات الحصول على شهادة ISMS-P؟

تستشهد البورصات الصغيرة بالتكاليف العالية والموارد البشرية المحدودة. يتطلب ISMS-P عمليات تدقيق أعمق وخبرة فنية، مما يجعله تحدياً للمنصات ذات الميزانية المحدودة.

كيف كانت خطورة الاختراق الأخير لـ Upbit؟

نتيجة الاختراق

أسفر الاختراق عن خسائر تصل إلى حوالي 30 مليون دولار. على الرغم من أنه ليس كارثيًا، إلا أنه أظهر الثغرات في أكبر بورصة في كوريا وزاد من القلق العام.

كم تستثمر البورصات الكبرى في الأمان؟

تستثمر البورصات الكورية الكبيرة حوالي 10% من ميزانيات تكنولوجيا المعلومات الخاصة بها في الأمن، وهو ما يعتبره الخبراء غير كافٍ للمنصات التي تعمل على مدار الساعة وتهتم بإدارة البيانات الحساسة.

ما التحسينات التي يقترحها الخبراء؟

يوصي الخبراء بشهادة ISMS-P الإلزامية، فصل الأدوار بين CISO وCPO، زيادة الشفافية، وزيادة الاستثمار في البنية التحتية للأمن السيبراني.