مديرو الحاسب يتجاهلون أساسياته وينغمسون في العمليات التنفيذية

بناء استراتيجية لأمن المعلومات وليس مجرد شراء أدوات الحماية

دراسة وبحث- م. أمان الخالد

    لا شك أن أمن المعلومات من أهم القضايا التي نناقشها بشكل يومي في حياتنا كمختصين في مجال الشبكات وأمن وسرية المعلومات، ونتيجة لكثرة برامج الفيروسات وبرامج التجسس أصبح هذا المفهوم متداولاً حتى بين العامة، حتى أن المفهوم الحقيقي والذي عرفناه من عشرات السنين وحتى قبل إزدهار الإنترنت وعمليات الربط بالشبكات تغير ليصبح محصورا في مكافة التجسس والفيروسات، ومن هنا اقتصر دور الكثير من مدراء ومشرفي أقسام وإدارات تقنية المعلومات على التعامل مع الشركات الامنية لوضع البرامج المضادة للفيروسات وبرامج الإختراق والتسلل وبرامج الإغراق وغيرها وهي جميعا تنصب في جزء واحد (وسائل الحماية) من المفهوم الشامل لأمن المعلومات، حيث يتسبب ذلك في إطار كبيرة تشمل تسرب كبير للمعلومات مع وجود ثغرات أمنية سهلة النفاذ تنتج في الغالب من عدم وجود سياسة وأنظمة واضحة يجب على العاملين في المنظومة إتباعها والتقيد بها لتفادي مشكلات امنية كثيرة وخطيرة، ولعلنا نسمع جميعاً عن الإختراقات الامنية العديدة التي تتعرض لها جهات كبيرة في القطاعين الخاص والعام.

مفاهيم أمن وسرية المعلومات

يعرف بعض الخبراء أمن المعلومات من خلال ثلاث زوايا فمن زاوية اكاديمية، هو العلم الذي يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن انشطة الاعتداء عليها . ومن زاوية تقنية، هو الوسائل والادوات والاجراءات اللازم توفيرها لضمان حماية المعلومات من الاخطار الداخلية والخارجية. ومن زاوية قانونية، فان أمن المعلومات هو محل دراسات وتدابير حماية سرية وسلامة محتوى وتوفر المعلومات ومكافحة انشطة الاعتداء عليها او استغلال نظمها في ارتكاب الجريمة، وهو هدف وغرض تشريعات حماية المعلومات من الانشطة غير المشروعة وغير القانونية التي تستهدف المعلومات ونظمها ( جرائم الكمبيوتر والإنترنت)، بينما يعرف موقع الانترنت السعودي التابع لهيئة الإتصالات السعودية أمن المعلومات بأنه بقاء المعلومات تحت سيطرتك الكاملة دون تدخل من الآخرين.

كيف نحمي وماذا نحمي؟

لكي نبني إسترتيجية امنية للشركة او للمنظومة التي نعمل بها يجب أولاً ان نحدد العناصر التي تؤثر في المعلومات الموجودة لدينا والتي نسعى لحمايتها ومن تلك العناصر إمكانية توفر المعلومة عند الحاجة حتى مع وجود نظام امني قوي، وهذا شرط وعنصر أساسي يجب أخذه في الإعتبار عند البدء في بناء سياستنا الامنية، والعناصر الاخرى المهمة هي، أولاً التاكد من ان المعلومات هي في مكان آمن وسري ( يشمل ذلك ان يكون موقع أجهزة الحاسب والعاملين في مكان مناسب)، ولا يمكن الإطلاع عليها الا من خلال الأشخاص المصرح لهم، وثانياً وجود نظام أمني يقوم بمتابعة دخول ووصول الأشخاص إلى المعلومات وذلك بالتعرف على الأجهزة التي أستخدمت والهويات المصرح لها او غير المصرح لها بالوصول للمعلومات وماذا تم على هذه المعلومات ويشمل ذلك طباعتها ونسخها وتغييرها أو تغيير جزء منها، وايضاً وقت الدخول والخروج، وهي في مجملها معلومات مهمة وذلك حتى لا يمكن إنكار فعلها من قبل المستخدم المتطفل او حتى المستخدم المسموح له، وثالثاً التكاملية وسلامة المحتوى، حيث يجب التأكد كلياً من ان البيانات الموجودة هي بيانات صحيحة تماماً وهي بيانات مهمة يعتمد عليها المدير في إتخاذ قرارات مصيرية للشركة او المنظومة، ولهذا فإن خطورة إستبدال البيانات بأخرى غير صحيحة قد يكون كارثيا في بعض الأحيان.

مستويات سرية البيانات

هل كل بياناتنا هي بنفس الدرجة من السرية، بالطبع لا ولهذا نصنف البيانات وبناء عليه نحدد مستوى الإنفاق على حماية هذه البيانات، لهذا يجب تحديد البيانات التالية عن بياناتنا، ماهي البيانات التي تستحق الحماية، ثانياً ماهي المخاطر التي تتعرض لها بياناتنا، ومن ذلك تعطل أجهزة التكييف واحتراق الاجهزة وانقطاع التيار وليس فقط مخاطر الدخول والسرقات ولها فهذا السؤال يساعدنا في وضع دراسة شاملة عن أنواع كل المخاطر المحيطة بالنظام، وأخيرا نسأل أنفسنا كيف نتفادى تلك المخاطر واحدا تلو الآخر من خلال إجرائات غدارية وفنية وأدوات مساعدة تشمل الاجهزة والبرمجيات، ومن خلال هذه الحلول يمكننا تحديد ميزانية أو تكلفة بناء النظام الامني الذي سنعمل عليه، ولا ننسى مشكلة التعرض للمخاطر بالرغم من تلك الإحتياطات، وهذا يدفعنا لوضع خطط للكوارث، سواء الكوارث الكبرى مثل الزلازل والحريق والحروب وكوارث صغرى تشمل حصول اختراق أمني، أو إساءة إستخدام من قبل الموظفين وهكذا، ولهذا نقدر قيمة الحفظ الإحتياطي ومراكز حفظ المعلومات وشرائط التخزين بأنواعها المختلفة، ولا ننسى أيضاً أن لهذه الخطط الخاصة بإدارة الأزمات والطوارئ تكاليف مادية يتم تحديدها بناءً على اهمية المعلومات المجودة لدينا، فمثلاً البنوك لديها معلومات بدرجة أهمية عالية جداً بحيث تصبح حسابات العملاء تستحق الحماية مهما كلف الامر،

ما المناطق المعرضة للخطر؟

لاشك ان إهتمامنا الرئيسي مركز على البيانات كعنصر معرض للخطر ولكن من أين يمكن الولوج لهذه المعلومات والتعدي عليها فالأجهزة الحاسوبية المرتبطة بالنظام مثلا هي احدى اليبوابات لهذه المعلومات وأيضاص استخدام البرنامج الرئيسي الذي يتعامل مباشرة مع هذه المعلومات، أما المعطيات فهي المصدر الاساسي لهذه المعلومات حيث يمكن إفساد المعلومات دون الحاجة إلى الوصول إلى البيانات وذلك عبر إدخال بيانات خاطئة قد تؤثر في البيانات الأخرى، واخيراً فإن وسائل الإتصال مثل الإنترانت والإنترنت وغيرها واجهزة قياس الترددات وإلتقاط الإشارات وأدوات أخرى تتطور حتى نصل إلى القنابل الإلكترونية التي تتسبب في تدمير البيانات في أجهوة الحاسوب.

خطوات تصنيف المعلومات وتوثيقها

لكي نحقق الجودة اللازمة في إستراتيجية بناء النظام الامني علينا أن ننطلق نقطة التأكد من أننا أدركنا نوعية المعلومات التي لدينا وأن نصنفها بدرجة السرية التي تناسبها، ثم نضع آلية مكتوبة وموثقه عن هذا التصنيف القابل للتغيير حسب تطور الشركة أو المنظومة والتغييرات المحتملة في المستقبل، إذا أولاً التصنيف والتوثيق ثم تأهيل جميع العاملين في هذا القطاع داخل إدارة تقنية المعلومات لفهم طريقة العمل على هذه البيانات والأساليب المتبعة للحفاظ عليها ومعرفة الحدود المسموحة لهم بالعمل عليها والإنطلاق من ذلك نحو أي شخص داخل الشركة يتعامل مع البييانات السرية وأن يدرك الرقابة الموجودة والأدوات المستعملة وحدود صلاحياته وكيفية المحافظة على سرية المعلومات حتى ولو شفهياً، ورابعا، تحديد الصلاحيات بناء على المهمة ووضع السياسة الامنية موضع التنفيذ بإعطاء كل شخص الهويات وكلمات السر والصلاحيات المناسبة، ويمكن من ذلك أستخدام بطاقات التعريف للدخول للمواقع المختلفة أو أستخدام نظام الهويات أو نظام التعرف على بصمة العين وهكذا، وخامساً وضع نظام المتابعة وملف الآداء LOG-File وهو ملف الرقابة الذي ذكرناه ويقوم بتسجيل جميع العمليات التي تتم على النظام، ثم سادساً نظام الحفظ الإحتياطي وتخزين البيانات في مناطق مختلفة وآمنة ضد الكوارث بانواعها، وعمليات التشفير، وأخيراً أستخدام الوسائل الامنية المعروفة والتي تقدمها الشركات المختلفة والتي تمنع الإختراقات والفايروول IDS ونظام التعامل مع الحوادث والعودة للوضع الطبيعي بعد الكوارث وهكذا.

مفاهيم التعدي على النظام

من الناحية القانونية يحتاج مصممي النظام الامني التعرف على بعض أساسيات القوانين المتعلقة بالجرائم الإلكترونية لكي يمكنهم وضع الوثائق الخاصة بالنظام ضمن إطار قانوني يوضوح العقوبات الخاصة بالإختراقات والتهديدات التي تتعرض لها المعلومات، ولهذا يجب ان يشمل نظام التوثيق توضيحاً شاملا وواضحاً لحدود ومفاهيم تجاوز الصلاحية ومتى يمكن اعتبار أي عمل على هذه البيانات تهديداً أو أختراقاً أو هجوماً يجب ملاحقة المرتكبة، فعلى سبيل المثال ثمة جدل واسع في هذه الأيام حول ما اذا كانت رسائل البريد الإلكتروني الإعلانية التي توجه بكميات كبيرة الى المستخدم دون رغبته او دون طلبها من قبيل ممارسة خاطئة أم فعلا يوجب المساءلة، فمع اتساع هذه الظاهرة واستخدامها في حالات كثيرة لضخ آلاف الرسائل الى نظام معين في وقت معين بقصد تعطيل عمله، ومن اجل تحقيق اعتداء انكار الخدمة، والتذرع بعد ذلك ان الفعل ليس اكثر من خطأ في عملية الإرسال لرسائل إعلانية سبق إرسالها للموقع، ومع بروز الكثير من المشكلات المتصلة بهذه الظاهرة والتي تهدد الخصوصية وتهدد أيضا سلامة استخدام النظام نفسه، وجدت المؤسسات التشريعية نفسها في العديد من الدول مضطرة الى إعادة تقييم الموقف من البريد الإلكتروني والرسائل غير المرغوب بها، وهو ما أدى الى تقديم مجموعة من التشريعات امام المؤسسات التشريعية في الدول الغربية كما في أمريكا والاتحاد الأوروبي تنظم مسائل البريد الإلكتروني وتهدف الى مكافحة المظاهر السلبية والأفعال غير المشروعة التي تنطوي عليها هذه الظاهرة، ومع ذلك لا يزال ثمة جدال فيما اذا كانت هذه انشطة جريمة أم انها سلوكيات قد لا تكون مقبولة من الناحية الأخلاقية والمهنية لكنها لا تشكل جرما.

ولهذا يمكن تعريف ذكر بعض التعريفات كما جاءت في موقع المحامين العرب فمثلاً التهديد Threats يعني الخطر المحتمل الذي يمكن ان يتعرض له نظام المعلومات وقد يكون شخصا، كالمتجسس او المجرم المحترف او الهاكرز المخترق، او شيئا يهدد الاجهزة او البرامج او المعطيات، او حدثا كالحريق وانقطاع التيار الكهربائي والكوارث الطبيعية، اما المخاطر Risks فانها تستخدم بشكل مترادف مع تعبير التهديد، مع انها حقيقة تتصل بأثر التهديدات عند حصولها، وتقوم استراتيجية أمن المعلومات الناجحة على تحليل المخاطر Risk analysis، وتحليل المخاطر هي عملية Process وليست مجرد خطة محصورة، وهي تبدأ من التساؤل حول التهديدات ثم نقاط الضعف وأخيرا وسائل الوقاية المناسبة للتعامل مع التهديدات ووسائل منع نقاط الضعف، والحوادث Incident فهو اصطلاح متسع يشمل المخاطر ويشمل الأخطاء، وهو بالمعنى المستخدم في دراسات أمن المعلومات التقنية يشير الى الأفعال المقصودة او غير المقصودة، ويغطي الاعتداءات والأخطاء الفنية، غير ان التوصيف الدقيق لهذا المفهوم في الإطار الادائي -للإداري والإطار القانوني، يتعين ان يحمله على الحوادث غير المقصودة والتي قد تكون مخاطر بفعل الطبيعة ودون عامل قصدي او تكون أخطاء فنية غير مقصودة، والهجمات Attacks فهو اصطلاح لوصف الاعتداءات بنتائجها او بموضع الاستهداف، فنقول هجمات انكار الخدمة، او هجمات إرهابية، او هجمات البرمجيات، او هجمات الموظفين الحاقدة او الهجمات المزاحية. ويستخدم كاصطلاح رديف للهجمات اصطلاح الاختراقات او الاخلالات Breaches، وهو اصطلاح توصف به مختلف انماط الاعتداءات التقنية، وبالتالي يكون مرادفا أيضا للاعتداءات.

التعرف على أنواع الهجمات

أن أي عرض طارئ او متعمد على الأجهزة او البرامج او حتى الأشخاص العاملين على النظام هو نوع من المخاطر التي يجب التاكد من كونها حادث أو هجوم، ولهذا يجب أن نضع دائما في إعتباراتنا وجود نظام مادي للحماية من الهجوم والإعتداءت وأيضاً حماية المنشآت من الخارج والداخل أي من حتى الموظفين المصرح لهم، ولهذا يمكن تصنيف الهجوم المادي إلى عدة انواع هي، أولاً: الخرق الأمني المادي، ويشمل ذلك تتبع الشخصيات المهاجمة للمنشأة من الداخل على الخارج من محادثات ومراسلات وبريد الكتروني وحتى المخلفات، والاتصال السلكي واللاسلكي بالشبكة وإغراق أو قطع الوصول للمعلومات، وثانياً كسر الحواجز الامنية وكلمات السر أو بطاقات الهوية أو استغلال العلاقة بأشخاص من الداخل أو استغلال معلومات تم الحصول عليها لإيهام أشخاص من الداخل للوصول للمعلومات (العلاقات الإجتماعية)، أو حتى بالتهديد مثل الإيقاع بالأشخاص المهمين وأستغلال صلاحياتهم في الوصول لمراكز المعلومات رغما عنهم، وثالثاً خرق الحماية على مدخلي البيانات وهي التي ذكرناها سابقاً بهدف إدخال بيانات وهمية، ويشمل ذلك نسخ البيانات وتحليل الإتصالات وحركة المعلومات وإنشاء قنوات مخفية لتسريب المعلومات مثل عمل أسماء مستخدمين وهميين وإعطائهم صلاحيات قصوى دون علم مشرفي النظام وارسال كل بينات الموظفين الجدد بإستمرار بحيث يمكن تعويض الكشف عن هذه الهويات الوهمية بهويات حقيقية قام المخترق بإستراقها قبل الكشف عنه وأيضاً وضع نظام تدميري كامن يعمل بوجود معطيات محددة يضعها المخترق، مثل الوقت أو بناء على قرارات محددة وهكذا، وهذه تصنف على انها هجمات برمجية فيزيائية أو مادية، ولا ننسى الفيروسات وبرامج التجسس والودودة والتروجان وغيرها، وهذه قد تشمل أيضا تدمير نظام الحماية الموجود في النظام أوتعطيلة أما النوع الآخر للمخاطر فهو بحسب حركة المعلومة لا شك ان المعلومة تتحرك من جهاز إلى آخر وفي هذه الاثناء تتعرض المعلومات للإختراق أو التعديل او السرقة وهكذا، وهذه مخاطر يجب دراستها خاصة في الجهاز ذات الفروع المتعددة ن ومن هنا فإن المعلومات تتعرض للمخاطر في ثلاث حالات هي أثناء إنشائها منذ البداية فقد يقوم مدخل البيانات بإدخال البيانات بالخطأ أو بالقصد ثم قد يقوم آخر بتعديلها أو حذفها لهدف ما، وهناك مخاطر أثناء نقل اليبانات من مكان لآخر، فتصل غير حقيقية، أو لا تصل كما ذكرنا، ومخاطر أثناء التخزين وهي التي وضحناها في السابق،

إستخدام وسائل الأمن التقنية؟؟

بعد التعرف على كل المخاطر المحتملة للنظام يمكن دراسة الوسائل الأمنية المتاحة لمواجهة كل نوع من هذه المخاطر، ولكن في هذه الاثناء لا يجب أن نهمل مخاطر الأخطاء البشرية المتعمدة وغير المتعمدة من داخل المنظومة، ويمكن التحدث عن بعض وسائل الأمن المعروفة والشائعة الإستخدام، حيث يجب اختيار الوسائل التي تتناسب والنظام الذي قمنا بدراسته وعدم الوقوع في خطأ شائع وهو الاعتقاد بان جميع النظم لها نفس الإيقاع والإحتياجات من الانظمة والوسائل الامنية، وكذلك التوازن بين الحاجة من الانظمة الامنية والمبالغ المدفوعة في تلك الوسائل، ومن تلك الوسائل أنظمة التعرف على الهويات وصلاحية الدخول، ووسائل التحكم والدخول إلى الشبكة ونقل البيانات عبرها، وسائل منع تسريب المعلومات، وسائل التشفير، وسائل الحفظ الطارئ، وسائل حماية تكامل البيانات وسلامة المحتوى، وسائل الرقابة وتسجيل الحركات الداخلية وتناقل البييانات والمراقبة، وأيضاً أنظمة مكافحة الفيروسات والفايروول، والتروجان، ووسائل بناء الشبكات الإفتراضية ووسائل التحكم بالدخول الانترنت وتحديد الوجهة.

أخيراً بناء استراتيجية

أمن المعلومات

لماذا نبني استراتيجية أمن للمعلومات داخل المنظومة، إن وضع مجموعة من القواعد والأنظمة الخاصة بالتعامل مع البينات العادية والسرية والتي يجب على جميع العاملين في الإدارة إتباعها هو امر ضروري لمصلحة بقاء المعلومات بعيداً عن الخطر، وهذا هو الهدف الاساسي لوضع أستراتيجية امن المعلومات، وتشمل الإستراتيجية تعريف المستخدمين لأجهزة الحاسب في الإدارة بالنظام (أجهزة وبرامج) الموجود بالمنظمة وطريقة عمل هذا النظام وتكاملة والتأكيد على أن بقاءه قوياً ومتماسكا يحتاج تفهمهم لواجباتهم ومسئولياتهم وحدودة هم أثناء التعامل مع هذه الأنظمة، ثانياً يجب ان يعرف المستخدمون حدود مسئولياتهم أثناء ادخال ومعالجة البيانات على النظام، تعريف المستخدمين بالمخاطر المحتملة وطريقة التعامل معها وتجاوزها، ومراكز الدعم المتوفرة وما يمكن لمراكز الدعم تقديمه والتي تشمل الحماية المادية بالمكان والغرف والأسلاك والحماية الشخصية كحماية الموظفين من التهديدات والتحرشات والحماية الإدارية بحيث يوجد نظام متكامل للسيطة على البيانات والبرامج الرقابية التابع لها، والحماية المعرفية مثل السيطرة على البيانات غير الضرورية والتخلص منها، كما يجب ان تشمل الإستراتيجية نظام لحماية أنظمة الإختراق للهويات والإختراق لمداخل المباني الحساسة والمتعلقة بأنظمة الحاسب والتخزين وتحديد مسئوليات الجهات المرتبطة بهذه الإدارة، مثل تحديد مسئولية جزء من النظام الأمني للمعولمات على جهة معينة من الإدارات التابعة للمنظومة وأن تدرك الغدارة انها أصبحت مسئولة عن متابعة صحة المعلومات في هذا الجزء من النظام وأن عليها التأكيد على موظفيها بانهم مسئولون عن تصرفاتهم في هذا الإيطار، كما يجب ان تحدد الإستراتيجية مسئولية الجهاز الامني في الحفاظ على أمن المناطق الحساسة والتدقيق في طلبات الحصول على هويات الدخول، وكذلك إدارات الصيانه والكهرباء والمياة والتمديدات وغيرها.