يتعامل الناس يومياً مع كم هائل من المعلومات سواء على المستوى الشخصي أم المؤسساتي، وتتفاوت أهمية هذه المعلومات في درجة سريتها ومدى أهمية توافرها عند الحاجة لها وصحتها. وللمحافظة على درجة السرية في صناعة المعلومات برز علم أمن المعلومات. ولتوضيح أهمية أمن المعلومات والمحافظة عليها دعونا - أيها القراء الأكارم - نطرح سؤالين لمناقشة أحد أخطر الطرق المستخدمة للاختراق والحصول على المعلومة السرية:
س 1لماذا تبذل الجهد الكثير لشيء يمكن الحصول عليه بالسؤال!؟!
س2لماذا المحاولة لاختراق الشبكة والجدر النارية والبرامج المضادة للفيروسات وكلمات المرور ... الخ ويمكن الحصول على المعلومة عن طريق الهاتف أو البريد الالكتروني!؟!
لقد تم تعريف الهندسة الاجتماعية في علم أمن المعلومات على أنها: محاولة الحصول على معلومات سرية من أي مصدر كان (قطاع حكومي، شركة، مؤسسة ... الخ) عن طريق انتحال شخصية موظف مصرح له. عادة ما يستخدم منتحل الشخصية (الهاكر) الهاتف أو البريد الالكتروني كأدوات لهذا الهجوم.
فيتضح من التعريف السابق أن الهندسة الاجتماعية هي هجوم ليس بالتقني بل يعتمد بالشكل الأساسي على تصرفات الجانب البشري، والتي بدورها تقوم بخداع الموظفين لإعطاء المعلومات بصورة غير نظامية عن طريق استخدام مهارات في التعامل.
في أخر الإحصائيات التي تم إجراؤها في سنة 2006من معهد للحاسبات في الولايات المتحدة الامريكية اتضح أن بنسبة % 90من 503شركات أظهروا تقارير للاختراق للمعلومات.
ومن هذا الإحصاء يتضح انه لابد من الحذر من الهاكر (منتحل الشخصية) فهو غالباً ما سيبدو باحترام وذي أخلاق رفيعة ومن الممكن أن يأتي إما متذمراً كأنه موظف جديد لا يعرف إجراءات العمل أو يكون على صفه فني إصلاح الأجهزة لابساً اللبس الموحد أو مستشار وليزيد من واقعية الانتحال يقدم هو معلومات صحيحة للموظف (الضحية) كاسم مدير القسم أو أسماء موظفين يعملون في نفس الشركة.
وقد ينجح الهاكر بأخذ ما يريد من المعلومات بسؤاله الأسئلة المناسبة في الوقت المناسب للموظف المناسب. فإذا لم ينجح الهاكر من المحاولة الأولى فإنه سيحاول ثانيةً بموظف آخر ويستفيد من معلومات أعطت له من المحاولة الأولى.
والخطير في الآمر أن الضحية قد لا يعلم بأنه قد تم خداعه!!!! و للوقاية من هذا الهجوم (الهندسة الاجتماعية) بودنا أن نستعرض عدد من الطرق المفيدة التي ينصح بإتباعها:
1- لابد من وجود سياسة أمنية قوية للشركة لعدم الإفصاح بأي معلومة.
2- على الشركة أن تنشىء عدداً كبيراً من الدورات التثقيفية للموظفين لشرح السياسات الأمنية المطبقة لديها.
3- على الموظف عدم التردد أبداّ بالسؤال عن هوية طالب المعلومة حتى وان كان ذا مناصب عليا.
4- عدم الإفصاح عن أي معلومة شخصية أو مالية بالبريد الالكتروني وعدم الاستجابة لأي بريد يحمل رابطاً لان هذه الروابط قد تؤدي إلى صفحات مزيفة.
5- التخلص من الأوراق فور الانتهاء منها باستخدام آلة تقطيع الورق ويفضل استخدام النوع الذي يقطع الورق بشكل عامودي وأفقي.
وأخيراً يجب أن لا يفوت عن البال بان امن المعلومات صناعة يوليها القطاعان العام والخاص اهتماماً بالغاً وذلك لأن النجاح يرتبط ارتباطاً وثيقاً بالمعلومة ومصداقيتها.
@ أخصائي أمن المعلومات
alhussein@computer.org.sa