أمن المعلومات في القرن الحادي والعشرين

يدرك البشر أهمية المراقبة الدقيقة لمن يصل إلى الموارد المهمة فيقيدون ذلك بشروط وحدود واضحة، ولا ريب أن المعلومات والبيانات من أهم تلك الموارد، فيضع صاحبها قيودًا لتحديد من يستطيع الوصول إلى تلك المعلومات وكيفية وصوله إليها، من أجل ضمان أمن المعلومات التي يريد حفظها، سواء ذلك في قديم تاريخ البشرية أو حديثها، وإن كنا نركز هنا على المعنى المشهور الحديث لأمن المعلومات، وهو الأمان الرقمي للمعلومات المتداولة عبر الإنترنت.

أهمية أمن المعلومات الرقمية

وقد برزت الحاجة الملحة إلى تطوير أمن المعلومات مع التقدم التقني الواضح في كل من العتاد الحوسبي والبرمجيات التي تعمل عليها، والاعتماد المتزايد للأفراد والشركات على تقنيات المعلومات في تنفيذ عملياتها اليومية من معاملات مالية وحسابات وتوثيقات ونقل لملفات ومتابعة لسير العمليات في الشركات وغيرها، فضلًا عن المجالات الحساسة مثل المجالات العسكرية والطبية التي تتأثر أبلغ الأثر بالتلاعب فيها أو الوصول إليها لمن لا ينبغي لهم ذلك.

أمن المعلومات ما قبل شبكة الإنترنت

كانت البيانات قبل عصر الإنترنت حبيسة الغرف والبيوت والمباني، فتكون بيانات المواطنين مثلًا محفوظة في سجلات داخل مباني الدولة في المدينة أو البلدية، ولا يستطيع أحد أن يصل إليها ما لم يدخل المبنى ويطلع على السجلات، أو إلى وسائل نقل تلك البيانات من مركبات وطائرات وغيرها، أو من يستطيع التجسس على وسائل الاتصال الهاتفية أو الاجتماعات ونقل ما يجري فيها، وكان يكفي لضمان أمن المعلومات تحصين مباني السجلات وحجب تلك الاجتماعات عن الأنظار أو تقييد من يحضرها أو تمويه وسائل نقل البيانات من سيارات أو مركبات أو أفراد، أو تشفير الاتصالات الهاتفية واتصالات الراديو لحجب محتوياتها عمن يتجسس عليها.

وهذا المثال لأمن المعلومات الخاصة بالدولة ينطبق على أمن المعلومات الخاص بالأفراد أيضًا، حيث لم يكن يستطيع أحد أن يطلع على محادثة بين اثنين إلا إن كان هو ثالثهما أو يتجسس عليهما، ولم يكن لأحد أن يصل إلى وثائق وصور وأموال الأفراد إلا أن استطاع دخول بيته أو اقتحامه.

أمن المعلومات بعد شبكة الإنترنت

أما مع نقل بيئة تلك المعلومات إلى فضاء الإنترنت الواسع، فقد اتسعت دائرة التهديدات اتساعًا رهيبًا بحيث صارت وسائل الحماية التقليدية غاية في السذاجة، ووجب استحداث تقنيات تشفير للبيانات وتحقق من سلامتها، ومن يصل إليها، وتوفير سجلات ترصد تغير البيانات والتعديل فيها لمعرفة من عدَّل عليها ومتى وطبيعة التعديل الذي حدث.

وباستخدام مثال سجلات الدولة في النقطة السابقة، فقد أصبحت تلك السجلات موجودة في حواسيب متصلة بالإنترنت، وعلى خوادم قد توجد داخل حدود الدولة أو خارجها -تشترط بعض الدول من شركات الحوسبة السحابية التي تستضيف سجلاتها أن تكون بيانات مواطنيها داخل حدود الدولة- فإن استطاع شخص اختراق الوسائل الموضوعة لحماية أمن المعلومات هنا فسيصل إليها بسهولة تامة وينسخها إلى حاسوبه، حتى لو لم يكن هو نفسه داخل الدولة أو القارة حتى الموجودة فيها تلك المعلومات، على عكس ما كان يحدث من قبل إذ كان يضطر المخترق إلى التواجد في مكان تخزين تلك البيانات وتحميلها في شاحنة مثلًا.

وقد يتسبب تغيير تعليمة برمجية واحدة في تهديد خطير لأمن المعلومات في الشركة أو المؤسسة يؤدي إلى تسريب بيانات العاملين في الشركة أو عملائها إلى أيدي المنافسين أو الأعداء لتلك المؤسسة، ويزيد خطر تلك الثغرات في حالة الشركات الكبرى أو التي تتعامل مع بيانات حساسة للمستخدمين كالحسابات البنكية أو البيانات الطبية.

خطورة تهديدات أمن المعلومات

يكمن خطر تهديد أمن المعلومات حاليًا في سهولة الوصول إلى كميات ضخمة منها بثغرات بسيطة من ناحية، وتوفر أدوات المعالجة القوية لتلك البيانات من ناحية أخرى لاستخراج الظواهر العامة لتلك البيانات أو استقراء نتائج معينة منها، ذلك أننا أصبحنا في قرية صغيرة جدًا ويمكننا معرفة خبر حيوان انقرض في قارة أخرى تبعد عنا آلاف الكيلومترات مثلًا.

وبالمثل، يمكن معرفة التوجه العام لسكان مدينة أو دولة بعينها من خلال النظر في المحادثات النصية بين أفرادها والمنشورات النصية والمرئية والمسموعة التي ينشرونها على الويب، ومن ثم استغلال تلك المعلومات في توجيههم ثقافيًا أو التأثير على الرأي العام، وخطورة مثل هذه الأساليب يكمن في سهولة الحصول على تلك البيانات وسرعة معالجتها، واستخدام أساليب مختلفة للتأثير قد لا تدركها الضحية نفسها.

التجسس على المستخدمين

وتكون أخف الأضرار هنا هو استخدام تلك البيانات في الترويج لسلعة ما من قِبل شركة، وهو ما تفعله شركات التقنية وغيرها مع بيانات مستخدميها من خلال بيع نتائج تلك البيانات للشركات التي ترغب في بيع منتجاتها إلى مستخدمي جوجل مثلًا، لكن في تلك الحالات يكون استغلالًا غير قانوني إما بالسرقة أو بالتجسس غير القانوني على بيانات لا يريد المستخدمون استغلالها من قِبل الشركات.

التأثير على الرأي العام

أما أسوأ الحالات ضررًا فيتمثل في التأثير على الرأي العام، مثل استخدام مزارع المستخدمين user-farms وهي مجموعات كبيرة من المستخدمين يُوظفون لكتابة آراء ذات توجه معين عن عمد بحيث يخدم من يوظفهم وذلك من أجل كتابة آراء زائفة لمنتجات على أمازون كأبسط مثال ويمتد حتى تأييد اتجاه سياسي أو رفضه بما يُحدث زخمًا في سير الأحداث في منطقة ما، وهكذا.

استهداف المنشآت الحساسة

أو باستغلال الثغرات الأمنية الرقمية أو البشرية للمعلومات في الوصول إلى نقاط حساسة في المؤسسات ومن ثم استهدافها من خلالها، كالوصول إلى حواسيب مفاعلات نووية مثلًا أو أجهزة طبية في مستشفيات أو إلى مولدات الطاقة في تلك المنشآت الطبية أو النووية، ومن ثم تعطيلها أو تخريبها أو إيقاف عملها، أو حجب الوصول إليها مقابل فدية مادية أو معنوية، ويزيد الخطر في حالة الوصول إلى منشآت عسكرية أو أنظمة دفاعية، خاصة مع ازدياد الاعتماد على الأنظمة الرقمية في الطائرات المسيرة أو أنظمة الدفاع الجوي.

سرقة الأموال

وإن كانت الحالات المذكورة في الفقرة أعلاه نادرة الحدوث إلا أنها شديدة الخطر حال حدوثها، وتتسبب في كوارث حقيقية، لكن الحالات الأكثر شيوعًا منها تكون في استغلال ثغرات في أنظمة المعلومات البنكية التي تكون تحت سيطرة البنوك أو الشركات التي تضع يدها على وسائل دفع للمستخدمين، ومن ثم سرقة الأموال الموجودة في تلك الحسابات إما بتحويلها إلى حسابات تابعة للصوص أو استخدامها في شراء منتجات مباشرة بانتحال شخصية صاحب الحساب الأصلي.

وحتى لو كانت أنظمة البنوك نفسها من التعقيد بحيث لا تسمح للمخترقين بالوصول إلى أموال المستخدمين بسهولة، إلا أن نقطة الضعف الكبرى تكمن دومًا في المستخدمين أنفسهم.

استهداف الضحايا الأفراد

تشكل المعلومات المتوفرة حول الأفراد مصدرًا غنيًا لاستهدافهم شخصيًا إما بالسرقة أو الابتزاز أو حتى تهديد سلامتهم، من خلال الأجهزة التقنية التي يستخدمونها من حواسيب وهواتف، سواء ببيانات مباشرة مثل الصور والعناوين والبيانات المالية، أو بيانات وصفية metadata تجمعها الحواسيب والتطبيقات التي يستخدمونها، مثل المواقع الجغرافية ومواعيد الاتصالات وسجل تحركاتهم، بل وحتى تحديد وسائل تلك التحركات إن كانت باستخدام سيارات أو مشيًا على الأقدام، ومن يتعاملون معهم من أفراد أو خدمات.

وتكون تلك الحالة أشد خطورة بسبب استغلال إحدى أسوأ الثغرات وأضعفها، وهي الثغرة البشرية، ذلك أن المنشآت والشركات يكون لديها أقسام وإدارات خاصة بالتعامل مع الأخطار الرقمية والأمنية، أما الأفراد ففي الغالب يغلب عليهم الجهل شبه التام بالأخطار المحيطة بهم فيما يستخدمونه من وسائل وأدوات تحمل بياناتهم ومعلوماتهم.

والواقع أن العنصر البشري يمثل نقطة الضعف الكبرى في أي منظومة أمنية، لهذا تضع المؤسسات ميزانيات كبيرة للتوعية الأمنية لأفرادها تكاد تقارب الميزانيات المخصصة للأنظمة الأمنية مثل الكاميرات وبرامج مكافحة الاختراق وغيرها، وتوظف أحيانًا من يختبر كفاءة تلك المنظومات الأمنية من خلال تنفيذ اختبارات اختراق على أنظمة الشركة تحت إشرافها، أو محاكاة عمليات الاحتيال على الموظفين لاكتشاف المشاكل المحتملة ونقاط الضعف التي قد تكون لدى بعضهم من أجل معالجتها وتوعيتهم.

عناصر أمن المعلومات

احتاجت المؤسسات الأمنية إلى وضع عناصر تمثل معايير لأمن المعلومات تُستخدم في تصنيف المعلومات الواردة إليها أو الخارجة منها، ومن ثم تحديد الأسلوب الأمثل للتعامل معها.

وقد اشتهر ثلاثي عناصر الأمان الذي تستخدمه وكالة الاستخبارات الأمريكية في وسط المهتمين بأمن المعلومات وحماية البيانات منذ السبعينات من القرن الماضي، والذي يتكون من ثلاثة عناصر هي السرية confidentiality، وسلامة البيانات integrity، ومدى إتاحتها availability.

لكن خرجت لاحقًا في التسعينات عدة إرشادات أخرى تزيد على تلك العناصر الثلاثة، وهذه العناصر مفيدة حتى للأفراد العاديين ليعلموا ما الذي يجب النظر إليه عند التعامل مع بياناتهم، ومن ثم تحديد مدى تأثير تلك البيانات إن وقعت في يد غير أمينة. فمثلًا، اقترح الباحث الأمني دون باركر Donn Parker في 1998 نموذجًا بديلًا للثلاثي السابق مكونًا من ستة عناصر هي:

• سرية البيانات Confidentiality
• حيازة البيانات Possession أو التحكم فيها Control
• سلامة البيانات وصحتها Integrity
• موثوقية البيانات Authenticity
• إتاحة البيانات Availability
• قيمة البيانات أو أثرها Utility

والعلم بعناصر أمن المعلومات هذه مفيد حتى للأفراد العاديين، من أجل معرفة ما يجب النظر إليه في المعلومات الخاصة من صور ومستندات وجهات اتصال وغيرها، ومن ثم النظر في أوجه التعامل معها، فهل نثق في رسالة أرسلها شخص غريب إلينا أم لا -لا إلا إن كنا نعرف ذلك الشخص حقًا ورقم هاتفه أو بريده- وهل نشارك جهة اتصال مع تطبيق ثبتناه على الهاتف أم لا -لا، إلا إن كان التطبيق ذو سمعة جيدة ويحتاج حقًا إلى استخدام جهة الاتصال- وهل نأمن أن نترك الهاتف في حيازة غيرنا أم لا -لا قطعًا-، وهكذا.

وسائل حماية البيانات

تتعدد الوسائل المتاحة لحماية أمن المعلومات والبيانات وحفظها من السرقة أو التخريب، بين الأنظمة المادية والبرمجية، والتوعية المعرفية للأفراد.

الحماية المادية للمعلومات

لا شك أن أكثر مكان آمن لتخزين البيانات هو الذي لا يمكن الوصول إليه، وعلى ذلك توضع الخوادم والحواسيب التي تحتوي على بيانات حساسة في منشآت شديدة الحراسة، وتكون الحواسيب نفسها داخل غرف محصنة من الوصول غير المصرح به، وكذلك ينبغي اختيار العتاد الخاص بالحواسيب من شركات مشهورة لضمان الحصول على عتاد آمن قدر الإمكان، وتجنب شراء العتاد الرخيص إلى درجة تثير الشك، ذلك أن كثيرًا من الشركات التي تبيع عتادًا رخيصًا سواء في سوق الحواسيب أو الهواتف يتبين لاحقًا إما بتحقيقات أو بفضيحة مسربة أنها تجمع بيانات المستخدمين وتبيعها.

أما على الصعيد الشخصي، فينبغي حفظ الأجهزة المنزلية التي عليها بياناتنا (الراوتر - الهاتف - الحاسوب …إلخ.) في مأمن من العبث بها، سواء من الأطفال أو من اللصوص، واختيار كلمات مرور قوية لها، وتغييرها دوريًا كل مدة، والنسخ الاحتياطي لبياناتها لتجنب ضياعها في حالة التلف أو السرقة أو غيرها.

التوعية المعرفية للأفراد

يجب على المؤسسة أن تنظم برامج لتوعية العاملين فيها بوسائل اختراق المؤسسة وأنظمتها للحصول على البيانات، إما باستغلال ثغرات أمنية للمؤسسة أو باستغلال الأفراد أنفسهم، حيث تتعدد وسائل اختراق المؤسسات من خلال الأفراد باستغلال جهل العنصر البشري أو بابتزازه ماديًا أو نفسيًا من خلال تهديده بفضيحة أو سرقة أو غيرها.

فهنا يجب أن يُرشد اﻷفراد إلى كيفية الاستخدام الآمن للهواتف والحواسيب الخاصة بالعمل وكذلك الأجهزة الشخصية، لئلا يصل المخترق إلى بيانات خاصة بالموظف يستغلها في ابتزازه من أجل الحصول على معلومات خاصة بالشركة.

وهذا مفيد حتى خارج نطاق المؤسسات، فمن المهم أن يكون الوعي الرقمي منتشرًا بين أفراد المجتمع لئلا تحدث تلك الحالات على المستوى الفردي، من ابتزاز أو سرقة أو اختطاف أو غيرها، وقد نشرت حسوب في هذا كتابًا من خمسة عشر فصلًا في الأمان الرقمي، يشرح أهميته ومفاهيمه، وكيفية تأمين الأدوات المحيطة بالمستخدم من أجهزة أو برمجيات، والسلوكيات الصحيحة الواجب اتباعها عند تنفيذ المعاملات المالية عبر الإنترنت وعند الشعور بتهديد أو حدوث اختراق أمني.

كذلك ينبغي توعية المستخدمين بأهمية البيانات الخاصة بهم، ذلك أن كثيرًا من الشركات والبرامج هذه الأيام تستخدم حيلًا نفسية للتلاعب بالمستخدمين ودفعهم إلى مشاركة بياناتهم بمحض إرادتهم، كما يحدث في كثير من التطبيقات التي تستخدم الذكاء الصناعي في محاكاة مظاهر الشيخوخة على الصور الشخصية، أو التي تطلب بيانات خاصة بالمستخدمين في صورة ألعاب بسيطة.

ومن تلك الحيل أيضًا ترك بطاقات الذاكرة أو أصابع flash محملة ببرمجيات خبيثة عمدًا حول مواقع تواجد الضحايا من المستخدمين، حتى يلتقطونها ويضعونها في حواسيبهم أو حواسيب شركاتهم، فتنتقل البرمجيات الخبيثة مباشرة إلى تلك الحواسيب ويستخدمها المخترق في الحصول على بيانات المستخدم أو شركته، فانتبه إذا كنت تفكر في شراء إصبع فلاش أو بطاقة ذاكرة إلى اختيار نوع موثوق فيه، وكذلك إذا رأيتها ملقاة على الأرض فلا تأخذها وتضعها في حاسوبك!

وانتبه أيضًا إلى المواضع التي تترك فيها حواسيبك وهواتفك، فنحن نضطر في مرحلة ما إلى اللجوء إلى محلات الصيانة لإصلاح عطل ما، فإن استطعت أن تجد محلًا تثق فيه وتعرف العاملين فيه معرفة شخصية تضمن أنهم لن يستبدلوا القطع الموجودة في جهازك أو لن يتعرضوا لبياناتك فافعل، وإلا احرص أن تكون موجودًا أثناء الإصلاح، أو أن يُسجل الإصلاح بالفيديو لتطلع عليه -توفر بعض المحلات تلك الخدمة، بل تبثها عبر يوتيوب أحيانًا مع حجب بيانات العميل وبيانات عتاد الهاتف- أو أن يكون الإصلاح أثناء وجودك.

ولا تعط تلك المحلات كلمات مرورك إلا عند الضرورة القصوى، فإصلاح الشاشة للهاتف مثلًا لا يحتاج إلى كلمة المرور إلا لتجربتها، وفي تلك الحالة تخبر الفنيين أن يتصلوا بك للحضور لتقديم كلمة المرور ومن ثم تجربة الشاشة الجديدة قبل تثبيتها واستلام الهاتف، ويُفضل تغيير كلمة المرور العامة للهاتف وكلمات المرور للحسابات المستخدمة فيه بعد عملية الصيانة تلك.

الحماية البرمجية في أمن المعلومات

يُفضل اختيار البرمجيات ذات السمعة الجيدة في حماية البيانات، كالتي تستخدم تشفيرًا متقدمًا واستيثاقًا ثنائيًا للمستخدمين، والتي تنفذ نسخًا احتياطية مشفرة للبيانات بشكل دوري، إضافة إلى استخدام برمجيات الحماية من الفيروسات والبرمجيات الخبيثة وبرمجيات الفدية.

كذلك يُفضل اختيار البرمجيات المفتوحة المصدر ما أمكن إذا تساوت إمكانياتها مع البرمجيات مغلقة المصدر، ولا نشير هنا إلى أن مجانية البرامج المفتوحة، فبعضها يكون أغلى من البرامج مغلقة المصدر، لكن لإمكانية الاطلاع على شيفراتها المصدرية والتأكد أنها لا تحمل برمجيات خبيثة تضر بأمان المستخدم وبياناته.

وهذا يُطبَّق على البرمجيات بدءًا من نظام التشغيل نفسه وحتى البرمجيات والأدوات البسيطة التي تستخدمها على الهاتف أو الحاسوب، فبرنامج بسيط للمهام ToDo List لا ينبغي أن يُسمح له بتصريح الوصول إلى موقع الهاتف أو إلى الكاميرا أو بيانات المستخدم على الهاتف وجهات الاتصال مثلًا.

كما ينبغي إجراء التحديثات للعتاد الرقمي دوريًا، إذ أن الأنظمة البشرية لا تكون كاملة، وتُكتشف الثغرات كل يوم فيها فيعمل مطورو تلك الأنظمة على سدها، ثم يرسلون تحديثات أمنية إلى المستخدمين تسد تلك الثغرات لديهم كذلك.

خاتمة

اعلم أن أمن المعلومات في هذه الأيام من أخطر الأسلحة وأشدها فتكًا إذا أسيء استخدامها كما تبين مما ذكرنا في هذا المقال، فيكفي الوصول إلى حواسيب منظومة صحية لإحداث خسائر في الأرواح والممتلكات، والمرء لا يقبل أن يترك باب بيته مفتوحًا لمن شاء أن يدخل ويرى ويسمع ما يجري فيه، لكن ذلك يحدث وأكثر للأسف بسبب ما في الهواتف من إمكانيات تجعله أداة تجسس ممتازة إن تعرض للاختراق إذ تظل أغلب الأجهزة متصلة بالإنترنت ليل نهار، فتخيل فداحة الخطر إن رأى المخترق ما تراه كاميرا جوالك، وسمع ما يسمعه الهاتف.

فنحن بحاجة إلى نشر ثقافة الوعي الرقمي بيننا أكثر من أي وقت مضى، إما بمجرد الوعي والمعرفة أو بدراسة ذلك المجال للحفاظ على أمان الأفراد والمؤسسات في المجتمع.

اقرأ أيضًا

• ما هو الأمن السيبراني؟
• إدارة كلمات المرور عبر برنامج Bitwarden
• أمان الحاسوب وأداؤه وحمايته وخيارات الرقابة الأبوية في تطبيق أمن ويندوز
• الهجمات الأمنية Security Attacks في الشبكات الحاسوبية
• أمثلة عن أنظمة أمن الشبكات الحاسوبية