Tuesday, July 27, 2004

http://ait.ahram.org.eg/ait/Ahram/2002/5/14/ARTI1.HTM


خبير دولي يعرض خلاصة تجارب عالمية في أمن المعلومات
‏4‏ مشكلات وراء الفشل في تأمين المعلومات
ليس بينها مهارة القراصنة أو قصور التكنولوجيا



شتوتجارت من‏:‏ جمال محمد غيطاس
mailto:ghietas@ahram0505.net



التوجه الحالي داخل المجتمع بكل قطاعاته ـ حكومة وهيئات عامة وقطاع خاص وافراد ـ نحو تكنولوجيا المعلومات وتطبيقاتها المختلفة يضعنا أمام تساؤل‏:‏ هل نحن جاهزون بشكل كاف لتأمين القدر الكبير من المعلومات الذي يتم التعامل فيه من قبل الجميع والذي سيزداد مع الوقت سواء كانت هذه المعلومات في موقع علي الإنترنت أو قاعدة بيانات قومية أو شبكة معلومات منشأة قطاع خاص أو وحدة تخزين صغيرة في حاسب منزلي‏.‏
إن البيانات والمعلومات التي ننتجها جميعا كأفراد وشركات ومؤسسات هي في النهاية الثروة الحقيقية التي لا تقدر بثمن في دنيا المعلومات وتتجاوز قيمة الاجهزة والبرامج فكل الاجهزة والبرمجيات قابلة للتعويض والاحلال اما البيانات والمعلومات فلا يمكن تعويضها بسهولة إذا تعرضت للسطو أو الفقد علاوة علي أن الامر ليس فقط تأمين للمعلومات بغرض الحماية من السرقة والفقد فهناك حماية الخصوصية وضبط العلاقة بين المتعاملين بالمعلومات وغيرها من أمور كثيرة تندرج تحت مظلة تأمين المعلومات‏..‏ فهل نحن جاهزون؟

ربما تكون الخطوة الأولي في مناقشة هذه القضية هي التعرف علي المشكلات التي واجهت من سبقونا حول العالم في الاعتماد بكثافة علي المعلوماتية وهم يحاولون تأمين ما لديهم من معلومات والخبرات التي خرجوا بها فمثل هذه الخبرات تساعد كثيرا في اختصار الوقت والجهد عند وضع الرؤية التي تحكم قضية تأمين المعلومات في مصر ولهذا السبب تعمدت أن تكون الخبرات العالمية هي محور القسم الأول من مقابلتي مع العالم المصري المتميز الدكتور طاهر الجمل ـ أحد ابرز خبراء تأمين المعلومات بالولايات المتحدة ـ الذي حضر للقاهرة للمشاركة في أعمال المؤتمر الدولي السابع عشر لتأمين المعلومات الذي عقد الاسبوع الماضي ونظمته كلية الهندسة جامعة القاهرة والاتحاد الدولي للمعلومات‏.‏
في رده علي هذه النقطة قسم الدكتور الجمل المشكلات أو نقاط الضعف العامة التي ابرزتها الخبرة العملية للمؤسسات والشركات بل والحكومات المختلفة في مجال تأمين المعلومات إلي أربعة أقسام وذلك من واقع دراسات ومسوح ميدانية وبحوث معمقة قامت بها شركات ومؤسسات متخصصة وذلك علي النحو التالي‏:‏

نقطة الضعف الأولي تتعلق بتدني أو عدم وجود ثقافة عامة حول تأمين المعلومات وتكشف الخبرة العملية في العديد من دول العالم أنه كان من الخطأ الكبير أن يتم الحديث عن أمن المعلومات باعتباره قضية تكنولوجيا معلومات فقط أو خطط تقنية يتم العمل علي تنفيذها بالقوة والإلزام علي الآخرين لأن المدخل السليم هو التعامل مع أمن المعلومات باعتباره ثقافة وسلوك واقتناع وثقة متبادلة ومستوي من الولاء بين الفرد والجهة التي يعمل بها أو بين المواطن والوطن الذي يعيش فيه وثقافة أمن المعلومات لا تنسحب فقط علي حماية البيانات المخزنة في الحاسبات الآلية فنحن هنا نتحدث عن مزيج من الثقافة والسلوك العام الذي يتحرك فوق خلفية معرفية واعية بكيفية التعامل مع المعلومات ويجعل الفرد مهتما دائما بمتي يعطي المعلومة ومتي يمنعها ولمن يمنحها وعن من يمنعها ويستوي في ذلك عامل السويتش والموظف المسئول عن بيانات فائقة الحساسية داخل قاعدة بيانات وقد كان من نتيجة غياب هذه النوع من الثقافة العامة أن تدني مستوي الوعي بأهمية تأمين المعلومات لدي المسئولين والعاملين في المجالات المختلفة مما جعل الكثير من المؤسسات والشركات تنفق الكثير في بناء نظم المعلومات ثم تبخل كثيرا او لا تعي اهمية تأمين المعلومات‏.‏

عند هذا الحد نشأت نقطة الضعف الثانية والمتمثلة في أن كثيرا من المؤسسات والشركات والهيئات المختلفة لا يوجد بها سياسة تأمين واضحة تشمل كل أوجه ومجالات التأمين المختلفة مثل كيفية تأمين المباني ضد السرقة والحريق والاخطار الأخري ومن ثم لا يوجد بها شخص مسئول مسئولية كاملة عن عملية التأمين بشكل عام داخل المنشأة بمعني ان يكون لديه سياسة واضحة للتأمين تشمل كل شيء بدءا من عملية الدخول والخروج من المبني وحتي التعامل مع اعقد النظم المطبقة لحماية شبكات المعلومات وقواعد البيانات ونظم المعلومات الموجودة بالمؤسسة وسياسة التأمين يتعين ان تصل الي كل ادارة من الادارات المختلفة بالمؤسسة بما فيها ادارة تكنولوجيا المعلومات وكل ادارة عليها تنفيذ سياسة التأمين واهدافها كل فيما يخصه وبالوسائل التي تناسب اختصاصه بما في ذلك ادارة تكنولوجيا المعلومات التي عليها تلقي سياسة التأمين العليا المطلوبة من قبل المنشأة وتطبيقها عمليا بالوسائل والتقنيات التي تراها محققة لهذه السياسة‏.‏
إن هذا يعني أن متخصصي تكنولوجيا المعلومات في المنشأة لا ينفردون من تلقاء انفسهم بوضع وتنفيذ الآليات المطلوبة لتأمين المعلومات بل عليهم العمل في اطار سياسة تأمين عامة يكون هناك شخص مسئول عن متابعة تنفيذها وفي الوقت نفسه يتحمل تبعات أي اخلال أو تدمير يحدث نتيجة عيوب أمنية سواء في مجال المعلومات أو غيره وتكشف الخبرات العملية عن ان ترك مهمة تأمين المعلومات للمتخصصين فقط دون ربطها في اطار سياسات تأمين عامة للمؤسسة يمكن أن تعرض المعلومات والبيانات للخطر فمثلا ماذا لو تم وضع خطة تأمين محكمة للدخول علي شبكة معلومات المؤسسة وحاسباتها واستخدم في ذلك احدث الادوات والبرمجيات المضادة لعمليات التلصص والاختراق وسرقة البيانات ثم كانت اجراءات التأمين الخاصة بالدخول والخروج من المباني والاقسام المختلفة متراخية وغير قوية بالدرجة التي تمنع سرقة وحدات تخزين أو حاسب أو بيانات موجودة بشكل ورقي‏.‏

كان طبيعيا أن تقود نقطة الضعف الثانية إلي نقطة الضعف الثالثة التي تقول عنها الخبرات العملية العالمية إنها خاصة بالتنفيذ الخاطيء أمنيا لعمليات الصيانة الدورية أو المفاجئة لمعدات تكنولوجيا المعلومات وهي نقطة ضعف ثبت أن لها دورا بشكل أو بآخر فيما لايقل عن‏50%‏ من مشكلات أمن المعلومات التي تواجهها المؤسسات المختلفة لأن نحو‏80%‏ من عمليات الصيانة الدورية والتحديث ومواجهة الاعطال التي تتم داخل الشبكات ونظم المعلومات والاجهزة تتم بشكل غير سليم من ناحية التأمين إذ ينتج عنها تغيير ما في طريقة الاعداد والمواصفات التي تم تهيئة الاجهزة والحاسبات والبرامج المختلفة لتعمل عليها منذ بدء التشغيل والتي تم وضعها من قبل مديري الشبكات والمسئولين عن نظم المعلومات والتأمين‏,‏ لأن الصيانة تتم في احيان كثيرة علي يد اشخاص ليسوا من الفريق الذي وضع طريقة اعداد الحاسب أو البرامج منذ البداية بالشكل الذي يحقق مستوي التأمين المطلوب مما ينتج عنه ثغرات في شبكة المعلومات او اجراءات تأمينها تسهل علي المهاجمين اكتشافها والنفاذ منها الي المعلومات المطلوب حمايتها‏.‏
نقطة الضعف الرابعة هي أنه لا يوجد تغذية عكسية بالمعلومات أو رجع صدي عما يحدث من تغيير في أوضاع شبكات ونظم المعلومات نتيجة التغييرات التي تحدث في مجموعة العاملين بالمنشأة سواء الذين ينتقلون من قسم لآخر أو من إدارة لاخري أو الذين يتركون العمل بالمؤسسة ويحل محلهم موظفون جدد أو الذين يلتحقون بالعمل مع أي توسعات تصاحب النمو في أعمال المؤسسة أو المنشأة‏,‏ وكشفت المتابعات الميدانية حول أمن المعلومات عن ان التغييرات في هيئة الموظفين لأي سبب ينشأ عنها أوضاع كثيرة لها علاقة مباشرة بنظم وسياسات تأمين المعلومات بالمؤسسة علي سبيل المثال لابد من اجراء تغيير في جداول وملفات كلمات السر او المرور المستخدمة في الدخول علي نظام معلومات المنشأة بحيث يتم بموجب هذا التغيير الغاء كلمات السر التي كانت ممنوحة للموظفين القدامي وتوليد كلمات سر للموظفين الجدد وغير ذلك من الاجراءات الاخري وما يحدث عمليا ان التغذية العكسية بالمعلومات الناجمة عن هذا التأخير إما أن تكون بطيئة او غير موجودةومن ثم لا تصل للمسئول عن تأمين المعلومات في الوقت المناسب‏.‏
انتهي كلام الدكتور الجمل عن نقاط الضعف الأربع التي يوجد حولها نوع من التوافق او الاتفاق في الرأي بين خبراء تأمين المعلومات عالميا والنتيجة التي يمكن الخروج بها في النهاية هي أن هذه النقاط أو المشكلات لا تعود بالأساس إلي مهارة المهاجمين والقراصنة ولا في نقص المتاح من تكنولوجيات التأمين أو قصور كفاءتها أو تقادمها أو حداثتها ولكنها تكمن في البيئة أو الاطار العام الذي تعمل فيه تكنولوجيات التأمين لأن أي مؤسسة أو منشأة ليست ماكينة صماء بل نظام اجتماعي يتفاعل داخله افراد يعيشون في مجتمع أوسع له قيمه وسلوكه وتوجهاته وتوجد فروق ذهنية وفكرية بين افراده وتسوده مصالح متنوعة تتضارب احيانا وتتلاقي احيانا اخري ومن ثم فأمن المعلومات ليس تكنولوجيات وأدوات فنية يجري شراؤها وتركيبها وحسب‏,‏ ولكن منظومة ثقافة ووعي وثقة وانتماء تشكل أرضية مناسبة تزرع فيها سياسات تأمين فعالة ومتوازنة تخدمها تقنيات يتم اختيارها بذكاء‏.‏

أخيرا‏..‏
نأمل أن نستوعب هذه الدروس ولا نسرع بتحويل أمن المعلومات إلي هوجة أو موضة ننفق فيها الأموال علي شراء تقنيات باهظة الثمن دون أن ندرسها جيدا ثم نحاول غرسها قسرا وقهرا في بيئات غير مهيأة لها كما حدث مرارا في مجالات اخري فلا نحصل علي النتيجة المرجوة وتذهب الجهود والأموال سدي‏.‏

من هو طاهر الدكتور طاهر الجمل
مؤسس شركة سيكوريفاي المتخصصة في حلول ونظم تأمين المعلومات بالولايات المتحدة عمل قبل تأسيسه الشركة رئيسا لفريق العلماء بشركة نيتسكيب للاتصالات حيث قام بالتوصل الي واحد من اشهر المعايير المستخدمة في التأمين علي شبكة الانترنت والمعروف باسم معيار اس اس ال وقبل نيتسكيب عمل بمؤسسة ار اس أية لتأمين البيانات حيث قام ببناء وادارة القسم الذي كان مسئولا عن تطوير مجموعة ادوات برامجية متقدمة تستخدم في تشفير وتكويد البيانات تعرف باسم ار اس أية للتشفير والتي اصبحت حاليا واحدا من المعايير التي تعتمد عليها صناعة البرمجيات وشارك ايضا في وضع البروتوكول الشهير عالميا في مجال تأمين بطاقات الإئتمان والمعروف باسم بروتوكول المعاملات الالكترونية المؤمنةوهو خريج كلية الهندسة جامعة القاهرة وحصل علي الماجستير والدكتوراة في علوم الحاسب من جامعة ستانفورد الامريكية وبالاضافة لعمله كرئيس لشركة سيكوريفاي فهو عضو في مجلس المديرين بمؤسسة ار اس أيه لتأمين البيانات والعديد من المؤسسات الاخري‏.‏





0 Comments:

Post a Comment

<< Home