Sunday, June 27, 2004

http://alquds.masrawy.com/01082003/179165news.htm


بقلم: جمال محمد غيطاس

رئيس تحرير مجلة لغة العصر

ومحرر تكنولوجيا المعلومات بالأهرام

ـ الساحة المصرية والعربية عمومًا تمتلئ بالعديد من الخبرات السليبة الدالة على أن السبب الرئيس لمشكلات أمن المعلومات يكمن فى فقر الثقافة لا نقص التكنولوجيا

ـ أمن المعلومات ليس تكنولوجيا وأدوات فنية يجرى شراؤها وتركيبها وحسب، ولكن منظومة ثقافية ووعى وثقة وانتماء تشكل أرضية مناسبة تزرع فيها سياسات تأمين فعالة ومتوازنة تخدمها تقنيات يتم اختيار بذكاء


أخطر ما فى قضية أمن المعلومات هو التعامل معها باعتبارها قضية تكنولوجية محضة، تخص المحترفين والمتخصصين فى إدارة الشبكات وتشغيل نظم الحماية، وتنتهى بمجرد شراء أفضل البرمجيات وتركيب أحدث الأجهزة، وتوظيف أعلى الخبرات، بينما الواقع الفعلى يؤكد أنه فى أمن المعلومات تأتى الثقافة والوعى قبل التكنولوجيا، بل تكون للثقافة اليد العليا فى إنجاح أو إفشال أى جهود تجرى لتأمين المعلومات، سواء داخل حاسب شخصى يملكه شخص بالمنزل، أو قاعدة بيانات قومية تشترك فى إدارتها عدة هيئات، وتضم معلومات خاصة بعشرات الملايين من المواطنين.


والحديث عن أمن المعلومات التى ننتجها جميعًا ـ كأفراد وشركات ومؤسسات ـ لم يعد ترفًا أو من قبيل الأشياء الكمالية، فالبيانات والمعلومات هى الثروة الحقيقية التى لا تقدر بثمن، وتتجاوز قيمة الأجهزة والبرامج، فكل الأجهزة والبرمجيات قابلة للتعويض والإحلال، أما البيانات والمعلومات فلا يمكن تعويضها بسهولة إذا تعرضت للسطو أو الفقد، علاوة على أن الأمر ليس فقط تأمين للمعلومات بغرض الحماية من السرقة والفقد، فهناك حماية الخصوصية، وضبط العلاقة بين المتعاملين بالمعلومات وغيرها من أمور كثيرة تندرج تحت مظلة أمن المعلومات.


وحتى الآن لا تزال هناك تساؤلات عديدة مثارة حول ما إذا كنا ـ كأفراد وهيئات ومجتمع ككل ـ جاهزين فعلا لتأمين القدر الكبير من المعلومات الذى نتعامل فيه ويتعاظم بمرور الوقت، وتستمد هذه التساؤلات أهميتها من ازدياد التوجه داخل المجتمع بكل قطاعاته ـ حكومة وهيئات عامة وقطاع خاص وأفراد ـ نحو تكنولوجيا المعلومات وتطبيقاتها المختلفة.


ولابد من الاعتراف بأن التعامل مع قضية أمن المعلومات بالعديد من دول العالم ـ ومنها مصر والمنطقة العربية ـ يتخذ صورتين بعيدتين عن الفهم السليم، الأولى تتبع منطق التهوين وفيها ينشئ البعض المواقع وقواعد البيانات والشبكات ويحملونها بكم ضخم من البيانات والمعلومات ثم لا يلقون بالاً لعميلة لتأمين من الأصل، لكونهم لا يؤمنون بقيمة المعلومة التى يمتلكونها، ومن ثم لا يوجد لديهم دافع يحثهم على تأمينها، والبعض الآخر لديه إحساس عفوى عشوائى بأنه لا يوجد خطر يهدد هذه المعلومات، فلا يرتاحون إلى الإنفاق على تأمينها، والنتيجة أنهم عند أول تهديد جدى يجدون أنفسهم أمام وضع مؤسف ضاع فيه كل شيء.


والصورة الثانية تتبع منطق التهويل والخوف المرضى من الهجوم على المعلومات، وأصحاب هذا الاتجاه يلجأون إلى فصل شبكات معلوماتهم بطريقة أو بأخرى عن عالم الإنترنت وشبكات المعلومات العالمية، كوسيلة تحميهم من شر هذه الهجمات، وبالطبع، فالأمر فى الحالتين غير صحيح.


وربما تكون نقطة الانطلاق السليمة أن ننظر للمشكلات والتحديات التى واجهت من سبقونا حول العالم فى الاعتماد بكثافة على المعلوماتية، وهم يحاولون تأمين ما لديهم من معلومات والخبرات التى خرجوا بها من هذه المحاولات، فمثل هذه الخبرات تساعد كثيرًا فى اختصار الوقت والجهد عند وضع الرؤية التى تحكم تأمين المعلومات فى مصر والمنطقة العربية عمومًا.


والحاصل إن الدراسات التى قامت بها شركات ومؤسسات متخصصة فى هذا المجال حول العالم رصدت أربع نقاط ضعف أساسية أبرزتها الخبرة العملية للمؤسسات والشركات، بل والحكومات المختلفة فى مجال تأمين المعلومات، وجميعها تؤكد على أن الثقافة يجب أن تسبق التكنولوجيا، وقد تحدث الدكتور طاهر الجمل ـ المصرى الأصل، وأحد أبرز خبراء تأمين المعلومات بالولايات المتحدة ـ عن هذه النقاط خلال حضوره للقاهرة للمشاركة فى أعمال المؤتمر الدولى السابع عشر لتأمين المعلومات، وبناء على حوار مطور أجريته معه يمكننى تلخيص نقاط الضعف الأربع فيما يلى:

الأولى: تتعلق بتدنى أو عدم وجود ثقافة عامة حول تأمين المعلومات، وتكشف الخبرة العملية فى العديد من دول العالم أنه كان من الخطأ الكبير أن يتم الحديث عن أمن المعلومات باعتباره قضية تكنولوجيا معلومات فقط أو خطط تقنية يتم العمل على تنفيذها بالقوة والإلزام على الآخرين، فى حين أن المدخل السليم هو التعامل مع أمن المعلومات باعتباره ثقافة وسلولاً وقناعات وثقة متبادلة ومستوى من الولاء بين الفرد والجهة التى يعمل بها أو بين المواطن والوطن الذى يعيش فيه، وثقافة أمن المعلومات لا تنسحب فقط على حماية البيانات المخزنة فى الحاسبات الآلية، فنحن هنا نتحدث عن مزيج من الثقافة والسلوك العام، الذى يتحرك فوق خلفية معرفية واعية بكيفية التعامل مع المعلومات، ويجعل الفرد مهتما دائمًا بمتى يعطى المعلومة ومتى يمنعها، ولمن يمنحها وعن من يمنعها، ويستوى فى ذلك عامل السويتش، والموظف المسئول عن بيانات فائقة الحساسية داخل قاعدة بيانات، وقد كان من نتيجة غياب هذه النوع من الثقافة العامة أن تدنى مستوى الوعى بأهمية تأمين المعلومات لدى المسئولين والعاملين فى المجالات المختلفة، مما جعل الكثير من المؤسسات والشركات تنفق الكثير فى بناء نظم المعلومات ثم تبخل كثيرًا أو لا تعى أهمية تأمين المعلومات.


الثانية: تتمثل فى أن كثير من المؤسسات والشركات والهيئات المختلفة لا يوجد بها سياسة تأمين واضحة تشمل كل أوجه ومجالات التأمين المختلفة، مثل كيفية تأمين المبانى ضد السرقة والحريق والأخطار الأخرى، ومن ثم لا يوجد بها شخص مسئول مسئولية كاملة عن عملية التأمين بشكل عام داخل المنشأة، بمعنى أن يكون لديه سياسة واضحة للتأمين تشمل كل شيء بدءًا من عملية الدخول والخروج من المبنى وحتى التعامل مع أعقد النظم المطبقة لحماية شبكات المعلومات وقواعد البيانات ونظم المعلومات الموجودة بالمؤسسة، وسياسة التأمين يتعين أن تصل إلى كل إدارة من الإدارات المختلفة بالمؤسسة، بما فيها إدارة تكنولوجيا المعلومات، وكل إدارة عليها تنفيذ سياسة التأمين وأهدافها كل فيما يخصه وبالوسائل التى تناسب اختصاصه، بما فى ذلك إدارة تكنولوجيا المعلومات، التى عليها تلقى سياسة التأمين العليا المطلوبة من قبل المنشأة وتطبيقها عمليًا بالوسائل والتقنيات التى تراها محققة لهذه السياسة.


وهذا يعنى أن متخصصى تكنولوجيا المعلومات فى المنشأة لا ينفردون من تلقاء أنفسهم بوضع وتنفيذ الآليات المطلوبة لتأمين المعلومات، بل عليهم العمل فى إطار سياسة تأمين عامة، يكون هناك شخص مسئول عن متابعة تنفيذها، وفى الوقت نفسه يتحمل تبعات أى إخلال أو تدمير يحدث نتيجة عيوب أمنية، سواء فى مجال المعلومات أو غيره، وتكشف الخبرات العملية عن أن ترك مهمة تأمين المعلومات للمتخصصين فقط دون ربطها فى إطار سياسات تأمين عامة للمؤسسة يمكن أن تعرض المعلومات والبيانات للخطر، فمثلاً ماذا لو تم وضع خطة تأمين محكمة للدخول على شبكة معلومات المؤسسة وحاسباتها، واستخدم فى ذلك أحدث الأدوات والبرمجيات المضادة لعمليات التلصص والاختراق وسرقة البيانات، ثم كانت إجراءات التأمين الخاصة بالدخول والخروج من المبانى والأقسام المختلفة متراخية وغير قوية بالدرجة التى تمنع سرقة وحدات تخزين أو حاسب أو بيانات موجودة بشكل ورقى؟

الثالثة: تختص بالتنفيذ الخاطئ أمنيًا لعمليات الصيانة الدورية أو المفاجئة لمعدات تكنولوجيا المعلومات، وهى نقطة ضعف ثبت أن لها دورًا بشكل أو بآخر فى ما لا يقل عن 50% من مشكلات أمن المعلومات التى تواجهها المؤسسات المختلفة؛ لأن حوالى80% من عمليات الصيانة الدورية والتحديث ومواجهة الأعطال التى تتم داخل الشبكات ونظم المعلومات والأجهزة تتم بشكل غير سليم من ناحية التأمين، إذ ينتج عنها تغيير ما فى طريقة الإعداد والمواصفات التى تم تهيئة الأجهزة والحاسبات والبرامج المختلفة لتعمل عليها منذ بدء التشغيل، والتى تم وضعها من قبل مديرى الشبكات والمسئولين عن نظم المعلومات والتأمين؛ لأن الصيانة تتم فى أحيان كثيرة على يد أشخاص ليسوا من الفريق الذى وضع طريقة إعداد الحاسب أو البرامج منذ البداية بالشكل الذى يحقق مستوى التأمين المطلوب، مما ينتج عنه ثغرات فى شبكة المعلومات أو إجراءات تأمينها، تسهل على المهاجمين اكتشافها والنفاذ منها الى المعلومات المطلوب حمايتها.


الرابعة: تتمثل فى أنه لا يوجد تغذية عكسية بالمعلومات أو رجع صدى عما يحدث من تغيير فى أوضاع شبكات ونظم وقواعد البيانات والمعلومات نتيجة التغييرات التى تحدث فى مجموعة العاملين بالمنشأة، سواء الذين ينتقلون من قسم لآخر، أو من إدارة لأخرى، أو الذين يتركون العمل بالمؤسسة ويحل محلهم موظفين جدد، أو الذين يلتحقون بالعمل مع أى توسعات تصاحب النمو فى أعمال المؤسسة أو المنشأة، وكشفت المتابعات الميدانية حول أمن المعلومات عن أن التغييرات فى هيئة الموظفين لأى سبب ينشأ عنها أوضاع كثيرة لها علاقة مباشرة بنظم وسياسات تأمين المعلومات بالمؤسسة، على سبيل المثال لابد من إجراء تغيير فى جداول وملفات كلمات السر أو المرور المستخدمة فى الدخول على نظام معلومات المنشأة، بحيث يتم بموجب هذا التغيير إلغاء كلمات السر التى كانت ممنوحة للموظفين القدامى، وتوليد كلمات سر للموظفين الجدد، وغير ذلك من الإجراءات الأخرى، وما يحدث عمليًا هو أن التغذية العكسية بالمعلومات الناجمة عن هذا التأخير إما تكون بطيئة أو غير موجودة، ومن ثم لا تصل للمسئول عن تأمين المعلومات فى الوقت المناسب.


وهكذا نحن أمام نقاط ليست فنية أو تكنولوجية محضة، ولكن تسيطر فيها الأبعاد الثقافية والاجتماعية والسلوكية والمجتمعية على الوسائل التكنولوجية، وهو أمر يجعل من المحتم أن تنطلق جهود التأمين من الأرضية الثقافية الاجتماعية وليس التكنولوجية المحضة.


فيروس تشرنوبيل نموذج حى

تمتلئ الساحة المصرية والعربية عمومًا بالعديد من الخبرات السلبية الدالة على أن السبب الرئيس لمشكلات أمن المعلومات يكمن فى فقر الثقافة لا نقص التكنولوجيا، ويمكننا فى هذا الصدد أن نسوق عشرات الأمثلة، لكن سنكتفى هنا فقط بنموذج واحد هو ما حدث عند انتشار فيروس تشرنوبيل فى 26 من نيسان/ أبريل 2001.


فبعد مرور أسبوع على الهجوم الكاسح الذى شنه الفيروس على أجهزة الحاسبات فى مصر صباح يوم 26 من نيسان/ أبريل 2001 بدا واضحًا أن حجم الذعر والهلع والخسائر الناجمة ودرجة الانتشار فاقت الحدود المنطقية المقبولة، فقد تداعت الأجهزة أمامه فى العديد من الجهات دون مقاومة، واخترق العديد من المواقع بسرعة تفوق سرعة اختراق سكين حاد لقالب من الزبد، وحدث ذلك على الرغم من أن الفيروس لم يكن جديدًا أو حدثًا مفاجئًا، ولكن سبق اكتشافه عالميًا منذ أكثر من سنة على تاريخ بدء هجومه فى مصر، علاوة على أن اليوم الذى بدأ فيه العمل ومارس فيه نشاطه التخريبى، كان معروفًا منذ عام وتحدثت عنه جميع الأوساط، وقامت آلاف الشركات عالميًا باتخاذ إجراءات احتياطية ضده، والعديد منها وضع إصدارات جديدة ومجانية من البرامج المقاومة له، فقد كانت بداية ظهور هذا الفيروس فى 26 من نيسان/ أبريل 2000 فى آسيا تحت اسم PE-CIH 1.2، ثم ظهر مرة أخرى تحت اسم PE-CIH 1.3 ليهاجم الحاسبات فى 26 من حزيران/ يونيو من العام نفسه، ثم ظهرت النسخة الثالثة تحت اسم 1.4 لكى تهاجم الحاسبات يوم 26 من كل شهر، أى كان معروفًا أنه سيهاجم مرة أخرى يوم 26 من نيسان/ أبريل 2001م.


ومن هنا فإنه إذا كان مقبولاً أن يكون الفيروس يفاجأ الأفراد والهواة ومستخدمى الحاسبات بالمنازل، فمن غير المقبول على الإطلاق أن يكون مفاجئًا للجهات والمؤسسات الكبرى التى يفترض أن لديها متخصصين يتابعون هذه الفيروسات أولاً بأول، ويضعون خطط مواجهتها فى وقت مبكر.


لكن.. بسبب فقر ثقافة التعامل مع أمن المعلومات وعوامل الضعف الأخرى، شاعت بعض الأخطاء فى التعامل مع الفيروس، منها ما ردده البعض من أن الشركات المصنعة للبرمجيات هى التى أضافتها لمكافحة القرصنة، وهذا غير صحيح؛ لأن الفيروس من تصميم شخص مجهول فى آسيا وبدأ انتشاره فى العام الماضى دون أن يكون مرتبطًا بأى برنامج أو نظام تشغيل من شركة من الشركات، ولكنه مصمم للعمل فى بيئة النوافذ فقط، أى نظام تشغيل 95 و98، كما ردد البعض أن الفيروس انتقل إلى الحاسبات التى تعاملت مع شبكة الإنترنت فى يوم 26 من نيسان/ أبريل، وهذا غير صحيح؛ لأن الفيروس انتقل إلى الحاسبات المصابة من أيام، وربما شهور كثيرة، ولكنه ظل كامنًا داخل الحاسبات حتى اليوم المحدد لعمله، حيث نشط وتسبب فى الآثار التدميرية التى شرحناها.


وكان من المفترض أنه عند إصابة أى حاسب آلى بهذا الفيروس بأى شركة يتم إيقاف تشغيل أى من الحاسبات الأخرى لحين معرفة السبب والمصدر، حيث إن هذا الفيروس يقوم بتدمير الحاسب بمجرد تشغيله، لكن العديد من الجهات لم تفعل ذلك وقامت بعض الجهات بالاستمرار فى التشغيل، على الرغم من اكتشاف الفيروس فى بعض حواسبها الشخصية.


وأشاع البعض أن الفيروس يدمر كل البيانات والمعلومات المخزنة على وحدة التخزين الرئيسة بالحاسب، وهذا غير صحيح؛ لأنه يصيب فقط الجزء الأول من الوحدة الفرعية لوحدة التخزين الرئيسة والمعروفة باسم C: والتى عادة ما يخزن عليها الملفات الخاصة بنظام التشغيل وقائمة الملفات fat، وهو الجزء الذى يتعرض لهجوم الفيروس، أما الوحدات الفرعية الأخرى التى يمكن أن توجد على وحدة التخزين الرئيسة وتحمل أسماء مثل D: وF: وغيرها إن وجد، فهى لا تتعرض لهجوم مباشر من الفيروس وتفقد مؤقتًا لحين إجراء عمليات الإصلاح الصحيحة، وإعادة تثبيت نظام النوافذ مرة أخرى، وبعدها يتم استعادة ما بها من معلومات وبيانات، وقد تسبب هذا الاعتقاد الخاطئ لدى البعض فى قيامهم بمحو جميع الملفات والبيانات الموجودة على جميع الوحدات الفرعية بوحدة التخزين الرئيسة، والتى كان من الممكن استرجاع ما بها من ملفات عدا الوحدة C.



إن الأكثر تضررًا بالفيروسات هم عادة الأشد فقرًا فى ثقافة التعامل مع الحاسبات وأقلهم وعيًا بالطريقة السليمة لتشغيلها، وأكثرهم استهانة بقواعد التأمين اللازمة، سواء كانوا أفرادًا أو شركات أو حتى مؤسسات تحرص على التأكيد دومًا أنها الراعية والمسئولة عن دنيا الحاسبات والمعلومات، ومن ثم فإن حالة الهلع والانتشار السريع والخسائر الكبيرة التى حدثت بمصر فى ذلك الوقت لم تكن سوى انعكاس تلقائى لحالة الفقر فى ثقافة التعامل مع أمن المعلومات لدى البعض وثمن مناسب لعدم اليقظة.


والنتيجة التى يمكن الخروج بها فى النهاية أن نقاط الضعف الأربع التى ذكرت آنفا أو الخبرة السيئة التى صاحبت هجوم فيروس تشرنوبيل، لا تعود بالأساس إلى مهارة المهاجمين والقراصنة، ولا فى نقص المتاح من تكنولوجيات التأمين أو قصور كفاءتها أو تقادمها أو حداثتها، ولكنها تكمن فى البيئة أو الإطار العام الذى تعمل فيه تكنولوجيات التأمين؛ لأن أى مؤسسة أو منشأة ليست ماكينة صماء، بل نظام اجتماعى يتفاعل داخله أفراد، يعيشون فى مجتمع أوسع، له قيمه وسلوكه وتوجهاته، وتوجد فروق ذهنية وفكرية بين أفراده، وتسوده مصالح متنوعة تتضارب أحيانًا وتتلاقى أحيانًا أخرى، ومن ثم فأمن المعلومات ليس تكنولوجيات وأدوات فنية يجرى شراؤها وتركيبها وحسب، ولكن منظومة ثقافة ووعى وثقة وانتماء، تشكل أرضية مناسبة، تزرع فيها سياسات تأمين فعالة ومتوازنة، تخدمها تقنيات يتم اختيارها بذكاء، وهذا ما يجعلنا نؤكد أن الثقافة يجب أن تسبق التكنولوجيا حينما نتعامل مع أمن المعلومات.

2 Comments:

Anonymous Anonymous said...

This comment has been removed by a blog administrator.

4:14 AM  
Anonymous Anonymous said...

This comment has been removed by a blog administrator.

4:15 AM  

Post a Comment

<< Home