الورقة الرئيسة: أهمية أمن المعلومات في جميع المجالات في ظل التحول الرقمي العالمي
كاتبة الورقة: د. حنان هشام حِبْشي
المعقبون: د. عبدالله الزهراني ، د. ناصر العمري
مدير الحوار: د. عبدالعزيز الحرقان
في شهر أيار من عام 2021 وفي الفترة التي ما زالت معها دول العالم تتعامل مع جائحة كورونا غير العادية، فوجئ العالم بهجوم ألكتروني يوقف خط أنابيب رئيسي في الطاقة أوقف معه العديد من العمليات النفطية مؤقتًا. هذا الخبر جعل العالم يدرك أن ما شاهدناه في الأفلام (مثل فلم ذا ماتريكس ريلوددThe Matrix Reloaded ) ليس من محض الخيال، وأن الأمن السبراني هو جزء لا يتجزأ من أي نظام رقمي في عالمنا اليوم. واليوم بالذات، وخاصة ما نشهده من اعتماد كامل على التقنية خاصة بعد جائحة كورونا العالمية، أصبح التحدث في موضوع أمن المعلومات يهم جميع فئات المجتمع: المختصين، صناع القرار، والعامة كبارًا وصغارًا.
حين نذكر كلمة أمن المعلومات، فعلى الأغلب يتبادرإلى الذهن صورة قسم مختص يعمل به أشخاص لديهم وظيفة غاية في التعقيد. وهؤلاء الأشخاص الذين يتمتعون بدرجات ذكاء عالية تقع عليهم المسؤولية كاملة في حال وقوع الهجمات الإلكترونية. وكل ما علينا فعله كمنظمات ومؤسسات ومجتمع هو دعم هذه الفئة وتدريب المزيد من القوى العاملة في هذا المجال. من وجهة نظري التي بنيتها من بحثي ودراستي بهذا المجال، فإني أرى أن وجهة النظر هذه قاصرة في جزء منها ولا تواكب النمو المستقبلي للأنظمة المعلوماتية.
للتوضيح، دعونا أن نتفق أولًا أن الدعم والتدريب وأيجاد القوى العاملة في هذا المجال هو مطلب طبيعي ونتفق عليه جميعًا. فلا يختلف اثنان على أن العالم أجمع يعاني من نقص الكوادر المختصة في هذا المجال وسد هذا النقص بالكوادر المؤهلة هو هدف وضعته وتعمل عليه العديد من دول العالم وفي مقدمتها المملكة العربية السعودية. لذلك نجد برامج التعليم والتدريب في هذا المجال في تزايد وخصوصًا مع تزايد الطلب من سوق العمل. لكن هذا الجانب من المشكلة ليس هو موضوع تركيز هذا المقال.
ما أود التركيز عليه هنا هو عدم تحجيم حل المشكلة في القسم المختص بأمن المعلومات والأمن السيبراني. لأن هذا التحجيم هو حيث يكمن القصور الذي سيراكم الخطر مستقبلًا. الأنظمة الرقمية هي جزء أساسي في أعمالنا اليومية مهما كان المجال الذي نعمل به. ولا نستطيع أن نجزم بالقول بأن هناك نظامًا رقميًا ليس لأمن المعلومات او الأمن السيبراني أهمية فيه. ربما تكون هناك عواقب مختلفة يترتب عليها أولويات متفاوتة، ولكن لن تتلاشى الأهمية الأمنية لأي نظام رقمي مهما كان حجم بياناته. قد يبدو مثلًا لنا أن اختراق النظام الرقمي لمحطات الطاقة أو المستشفيات أو البنوك يشكل خطرًا جسيمًا ضرره أكبر من اختراق برنامج شركة صغيرة لصيانة أجهزة التكييف. ولكن لنتخيل للحظة كمية المخاطر المحتملة لو أن شركة التكييف هذه هي شركة متعاقدة مع شركة اقتصادية كبرى. إن اختراق شركة صغيرة كهذه قد يتيح الدخول لأنظمة الشركة الكبرى مهما وضعت الشركة الكبرى من أنظمة للحماية ومهما استثمرت من أموال ومصادر لتحسين الحماية الأمنية الرقمية. هذا السيناريو ليس بنادر أو غريب فقد حدث فعليًا والأمثلة كثيرة أشهرها اختراق شبكة تارجت الشهير في عام ٢٠١٣ والذي تكبدت الشركة بسببه خسائر وصلت قريبًا من ٣٠٠ مليون دولار أمريكي. هذا الاختراق الذي أصبح فيما بعد مصدر استشهاد لتدريس أمن المعلومات، بدأ باختراق أنظمة شركة للصيانة لديها عقد مع شركة تارجت لصيانة نظام التكييف والتدفئة، ودون التطرق لكافة تفاصيل الاختراق يكفينا أن نعلم أن هذا السيناريو قد يتكرر مرارًا وقد حدث سيناريو مشابه مؤخرًا حين تسربت بعض معلومات شركة أرامكو السعودية بسبب الاختراق الأمني لإحدى الشركات التي تتعاقد معها أرامكو.
أمن المعلومات والحلقة الأضعف
من المهم ان نتنبه جميعًا للقاعدة الأولى في اختراق الأنظمة والتي يعلمها جيدًا المختصون بأمن المعلومات وهي حرص مخترقي الأنظمة على إيجاد واستغلال حلقة الوصل الأضعف (The weakest link) ومن ثم فإن من أول مهام فريق أمن المعلومات في أي مؤسسة هو القيام بحصر أكبر عدد ممكن من الثغرات وتقوية النظام قدر المستطاع كي لا تكون هناك حلقات ضعيفة تسهل دخول المخترقين. لكن تقوية نظام أي مؤسسة لن يكون كافيًا في ظل ترابط الأنظمة وتنوع المستخدمين. الحلقة الأضعف قد لا تكون لنظام المؤسسة بحد عينه، بل قد توجد نتيجة ارتباط نظام المؤسسة بنظام مؤسسة أخرى أضعف نظامًا أو بسبب قلة الخبرة الأمنية لأحد مستخدمي النظام.
المستخدم والحلقة الأضعف
قد يشكل المستخدم للنظام الأمني الحلقة الأضعف خاصة في ظل الاعتماد كليًا على مسؤولي الأمن الرقمي. حين يعتقد المستخدم أيًا كانت خبرته الرقمية أن أمن النظام تقع مسؤوليته وبشكل كامل على غيره، فلن يهتم مثلًا بجودة كلمة مروره للنظام. لنفترض (وهو واقع مع الأسف) أن أحد موظفين شركة لديها معلومات حساسة يستخدم كلمة المرور ١٢٣٤٥٦. هذا المستخدم هو الآن الحلقة الأضعف لنظام الشركة مهما كانت قوة أنظمة حمايتها. سيقول قائل بأن الحل سهل ويكمن في فرض كلمات مرور معقدة. رغم أن هذا الاتجاه قد يسد باب استخدام كلمات المرور الشائعة، إلا أن المستخدم قد يقوم باستخدام نفس كلمة المرور لبرنامج توصيل الطلبات للمنازل مثلًا. لأول وهلة قد يبدو أن النظامين غير مرتبطين فشركة توصيل الطلبات ليس لديها عقد مع الشركة ذات المعلومات الحساسة. بنظرة أعمق نجد أن المستخدم من يربط الأنظمة في ظل غياب الرابط المباشر. فلو تم اختراق النظام الأمني لشركة توصيل الطلبات بشكل يتم معه تسريب كلمات المرور، فإن كلمة المرور المسربة والمكررة سيتم استخدامها للدخول للأنظمة الأمنية الأكثر تعقيدًا.
في ظل التحول الرقمي العالمي تقع علينا جميعًا مسؤولية الحفاظ على أمن المعلومات مهما كان مجال عملنا ومهما كانت دائرة اهتماماتنا. لنفترض أن هناك من لا يعمل بأي شركة حساسة وكل ما لديهم هو أجهزة الاستخدام الشخصي بالمنزل فهؤلاء أيضًا قد يكون لهم دور في أمن المعلومات الرقمية. ففي حالة ضعف هذه الأجهزة المنزلية أمنيًا، فقد يتمكن المخترقون من التحكم بالشبكة المنزلية وتسخير هذه الأجهزة للمساعدة في اختراقات أخرى وكل ذلك يتم دون أدنى معرفة من المستخدم البريء.
الوعي الأمني مطلب في جميع المجالات
إن ما ذكر أعلاه من أمثلة وسيناريوهات توضح ترابط الأنظمة الرقمية ما هو إلا بمثابة مقدمة تشرح مدى تعقيد الأنظمة وأن أحد أهم الحلول وأجداها هو التسليم أولًا بأهمية أمن المعلومات في كل نظام رقمي من حولنا دون استثناء ثم العمل على زيادة الوعي الأمني وزرعه منذ البداية كجزء لا يتجزأ (ولا يؤجل) من النظام المعلوماتي الرقمي وأن يتزامن أمن المعلومات مع التحول الرقمي ويدًا بيد مع كل عملية تحول رقمية للأنظمة.
لنعطي مثالًا من حياتنا اليومية يقرب الصورة. حين يصدر الشخص بطاقته الشخصية في المملكة أو أي دولة في العالم، فأنه يتلقى معلومات مكثفة عن أهمية الحفاظ على البطاقة وعدم مشاركة الرقم الوطني. وكذلك الحال مع بطاقات البنوك. ولكن في حالة الأنظمة الرقمية قد نجد الصورة تختلف، فقد يتم إعطاء المستخدم تعليمات إنشاء اسم المستخدم وكلمة المرور دون التطرق للدور الأمني لهذه المعلومات. ولنا أن نتصور مدى تراكم الأثر السلبي لعادة كاختيار كلمات مرور ضعيفة حين تتكرر هذه الممارسة مع أنظمة متعددة.
في الحقيقة، إن من ينظر لجميع الاختراقات الكبرى العالمية سيجد أن هذه الاختراقات بدأت من مستخدم اتخذ قرارًا خاطئًا سببه عدم المعرفة (أو الاهتمام) بأبسط سياسات الحماية الرقمي. فاختراق شبكة تارجت (Target) في ٢٠١٣بدأ من ضغط موظف شركة الصيانة على الرابط المرفق مع أحد رسائل الاحتيال الالكتروني التي أوجد لها المخترقون طريقًا لموظفي الشركة. وحتى شركات التقنية الكبرى في العالم لم تسلم من هذا الخطر فقد خسرت شركتي جوجل (Google) وفيسبوك (Facebook) ما يقارب المئة مليون دولار بين الأعوام ٢٠١٣ و٢٠١٥ نتيجة رسائل الاحتيال الالكتروني والتي كتبت وصممت بدقة تم من خلالها خداع موظفي الشركة لدفع مبالغ ظنوا خطأً أنها لتسديد مستحقات أحد الشركات المتعاقدة معهم. وفي عام ٢٠١٩ خسرت شركة تويوتا الشهيرة للسيارات مبالغ تصل في مجموعها ل٣٧ مليون دولار حين تم الاحتيال على أحد كبار الموظفين في القسم المالي.
وعلى صعيد الحكومات، فإن التسريب الشهير للمعلومات والرسائل الإلكترونية لأعضاء الحزب الديموقراطي خلال فترة الانتخابات الرئاسية في الولايات المتحدة الأمريكية بدأ من خلال رسائل التصيد الالكتروني. بل إن اختراق جهاز المخابرات المركزية في الولايات المتحدة في عام ٢٠١٧، تم بسبب أن بعض الموظفين كانوا يشتركون في استخدام كلمة مرور النظام المبسطة والواسعة الانتشار(admin). أما المفارقة فهي أن هؤلاء الموظفين هم أنفسهم يتبعون أحد إدارات الأمن السيبراني وهي الإدارة المسؤولة عن تطوير أحدث أنظمة الاختراق الرقمي!
الوعي الأمني مطلب مبكر
إن الحل المثالي هو أن يكون المستخدمون مهما كان مجالهم الأساسي في عملهم وحياتهم اليومية على إلمام بأساسيات الأنظمة الرقمية وعلى اطلاع بكيفية التعاطي مع المعلومات في العالم الرقمي. وهذا الحل لا يتحقق ولن يتحقق إلا بتدخل منذ مراحل مبكرة في التعليم. جميعنا يحذر التلاعب بالكهرباء لأننا تعلمنا عنها في المدرسة، وكما تعلمنا النسبة المئوية وأساسيات الرياضيات في سن مبكر يمكننا من تطبيق هذه المبادئ في حياتنا العلمية والعملية، فإنه يمكننا تكرار التجربة مع مجال أمن المعلومات الذي أصبح جزء لا يتجزأ من حياتنا الرقمية اليومية. حين يتعلم الطلاب منذ نعومة أظفارهم كيف تعمل الأنظمة الرقمية، وكيف تنتقل البيانات وأين تحفظ وكيف نتعامل مع البيانات بحذر ونحرص على حماية الخصوصية، فسيكون تعاطيهم المستقبلي مع الأنظمة ملئ بالوعي. وقد أثبتت التجارب في الدول المتقدمة والتي أجريت على شرائح متعددة من المستخدمين أنه كلما زادت معرفة المستخدم بالأنظمة الرقمية كلما زاد الحرص في التعامل مع البيانات فقلما سنجد من المستخدمين الواعين من يقبلون بمشاركة معلوماتهم الشخصية والحساسة كأرقام الهوية وصور جوازات السفر في برامج التخاطب الشخصية مثل واتس اب.
حين يعلم أطباء المستقبل أن مشاركة صورة التحاليل الطبية في برنامج مثل الواتس آب (WhatsApp) قد يحفظ نسخة من المعلومات على جهاز أخر غير أجهزة المستشفى الذي يعملون به، وأن هذا الإجراء يختلف أمنيًا عن الدخول للبوابة الرقمية لأنظمة المستشفى حيث تحفظ البيانات في هذه الحالة في الأجهزة التابعة للمستشفى، فسيكون لهؤلاء الأطباء وعي أمني يدعوهم للحذر واتباع إرشادات السلامة الرقمية بطريقة سلسة لا يشعرون معها بالتعقيد. وحين يدرك المحاسبون والمحامون والمعلمون وغيرهم كيف تنتقل البيانات رقميًا، فقد يحتاطون بوضع كلمة سر للملفات او تشفيرها قبل إرفاقها مع البريد الإلكتروني.
أين نحن اليوم؟
رغم أهمية أمن المعلومات في جميع المجالات خاصة مع التحول الرقمي، الا أننا ما زلنا نخطو ببطء نحو الوعي الأمني المعلوماتي في الأنظمة الرقمية. فحتى الدول التي أدخلت علوم الحاسب في مناهج التعليم العام كاليابان (اعتمدت اليابان خطة تدريس علوم الحاسب الآلي ابتداء من المرحلة الابتدائية)، كوريا الجنوبية، أمريكا وكندا وغيرهم فأن مناهج هذه الدول تركز على تدريس البرمجة والخوارزميات فقط وفي هذا أولًا: تقنين للمجال الواسع لعلوم الحاسب، وثانيًا: عدم حل مشكلة الوعي المعلوماتي الأمني. إن تدريس البرمجة قد ينتج عنه من يجيد كتابة وتطوير البرامج لكن ذلك لا يستلزم معه فهم لآلية أمن المعلومات ولذلك نجد أن العديد من الثغرات الأمنية بدأت من أخطاء برمجية أو من مهندسي ومطوري البرامج أنفسهم.
ماهي المقترحات لمستقبل معلوماتي أمن؟
إن أولى المقترحات هو اعتماد منهج للوعي الأمني المعلوماتي الرقمي يبدأ منذ مراحل التعليم العام ويستمر من خلال التعليم الجامعي. هذا المنهج يجب أن يكون متكاملًا مع كل المناهج التي تخص المواد الأخرى كي يستشعر الطلاب أهمية أمن المعلومات وتداخل هذا المجال مع جميع المجالات الأخرى. من الأمثلة على ذلك أنه حين القيام بتعليم الطلاب كيفية الدخول لمنصة المدرسة الإلكترونية، يتم تعليمهم كذلك أهمية حماية كلمة المرور. وحين ندرس التعبير والإملاء، يمكن أن نذكر للجيل الناشئ أن الأخطاء الاملائية هي أحد مؤشرات الاحتيال الورقي والالكتروني، وإن حدث وأن صادفوا رسالة الكترونية تتظاهر أنها من مدير المدرسة ووجدوها مليئة بالأخطاء الاملائية فعليهم أخذ الحيطة والحذر وعدم الرد على الرسالة وإبلاغ شخص بالغ مسؤول (المعلمون، الأهل، الخ).
بالإضافة للتعليم يأتي دور التوعية العامة المجتمعية وكذلك تكثيف جهود المؤسسات الخاصة والعامة برفع مستوى الوعي الأمني لدى جميع فئات المنسوبين دون استثناء. وكما نقوم باختبارات سلامة المباني وعمل تجارب لأنظمة الحرائق على سبيل المثال، فيمكن تطبيق التجربة في العالم الرقمي باختبارات السلامة الرقمية كإرسال رسائل تصيد مزيفة للمنسوبين تقوم بتوعيتهم وتثقيفهم في حال ضغطهم على الروابط. وقد أثبتت التجارب في عدة دول أن مثل هذه الأنشطة المؤسسية ترفع من الوعي الأمني بدرجة كبيرة.
إن المقصود بالوعي الأمني هو فهم الأساسيات والأبعاد وكيفية عمل التقنية مع فهم للمخاطر والتحديات قبل الاستخدام ومشاركة البيانات. وهذا الفهم لا يتطلب ان نمضي سنوات في دراسة البرمجة والتفاصيل التقنية، بل يتطلب إعادة هيكلة لطريقة شرح التقنية ووضع مناهج تدريبية عامة تناسب الجميع، وكذلك مناهج متخصصة لكل في مجاله. فمثلًا لا يحتاج المستخدمون لحضور دورة في البرمجيات تتطرق لأدق التفاصيل البرمجية كي يفهموا أهمية أمن المعلومات، ما يحتاجونه هو تصور عن كيفية عمل الأنظمة، ارتباطها ببعضها، مصادر الخطر وكيفية تفاديها. حين تعلمنا استعمال السيارات، تعلمنا من ضمن ذلك أساسيات الأمان في استعمال السيارة دون التطرق للتفاصيل الفنية والميكانيكية المعقدة. نحن نحتاج مثل هذا النوع من التوعية الأمنية الشاملة حيث تتحول حياتنا إلى العالم الرقمي بسلاسة يتخللها الوعي الأمني المعلوماتي بدون الدخول في التفاصيل الفنية التي تترك للمختصين. ولمجموعة حماية التطوعية في المملكة العديد من الجهود الحثيثة لرفع مستوى التوعية الأمنية في المجتمع السعودي.
لتكن التقنية في حياتنا نعمة أكثر منها نقمة، ولنعلم أبناءنا حسن استخدامها كي يستفيد منها الجميع الاستفادة الأكبر في ظل التحول الرقمي الحالي والمستقبلي.
المصادر:
- ماهو الأمن السيبراني؟ د. هيا المقوشي تعرفه بلغة شعبية. برنامج معالي المواطن. ٢٠٢٠. https://www.youtube.com/watch?v=71Eb4S4ZWCQ
- Cost of 2013 Target Data Breach Nears $300 Million, Vincent Lynch, 2017. https://www.thesslstore.com/blog/2013-target-data-breach-settled/
- Coding will be mandatory in Japan’s primary schools from 2020, ATSUKO SANO, 2019. https://asia.nikkei.com/Economy/Coding-will-be-mandatory-in-Japan-s-primary-schools-from-2020
- 10 real and famous cases of social engineering attacks, Gatefy, 2021. https://gatefy.com/blog/real-and-famous-cases-social-engineering-attacks/
- The Dirty Dozen: The 12 Most Costly Phishing Attack Examples, Casey Crane, 2021. https://www.thesslstore.com/blog/the-dirty-dozen-the-12-most-costly-phishing-attack-examples/
- Elite CIA unit that developed hacking tools failed to secure its own systems, allowing massive leak, an internal report found, Ellen Nakashima and Shane Harris, 2020. https://www.washingtonpost.com/national-security/elite-cia-unit-that-developed-hacking-tools-failed-to-secure-its-own-systems-allowing-massive-leak-an-internal-report-found/2020/06/15/502e3456-ae9d-11ea-8f56-63f38c990077_story.html
- Best Ways to Conduct Effective Phishing Training with Employees, 2020. https://www.greathorn.com/blog/best-ways-to-conduct-effective-phishing-training-with-employees/