أخطاء متكررة: كيف يمكن تفادى عوامل الاختراق في سياسات أمن المعلومات؟

تتواجد في أي بيئة عمل بعض التحديات التي من الممكن في كثير من الأحيان أن تعوق حماية البيانات الخاصة بالمؤسسة بالشكل المطلوب، منها الخلط بين الاستخدامات الشخصية والعملية، خاصة عندما يقوم موظفو بعض الشركات باستغلال موارد المؤسسة لأغراضهم الشخصية، مثل أن يتم استخدام البريد الالكتروني الخاص بالشركة في التواصل الشخصي وكذلك في بعض الشركات يتم إتاحة جهاز حاسب آلي لكل موظف خاص بالعمل ولكن يقوم بعض هؤلاء الموظفين أيضا باستخدام هذه الأجهزة في تشغيل البرامج الشخصية بهم.

هذا بالإضافة إلى عدم تطبيق السياسات الأمنية في أغلب الشركات، يرجع هذا إلى أن بعض الشركات لم تحدد من البداية السياسات الخاصة بأمن المعلومات لديها مما يضعها في الكثير من التحديات عند محاولة تطبيق هذه السياسات  لتقليل السلوكيات السلبية، كما  أن هناك بعض المؤسسات تقلل من شأن أهمية السياسات الخاصة بأمن المعلومات، مما قد يؤدي أحياناً إلى قيامها بصياغة سياسات أمنية بشكل صوري دون تطبيقها فعلياً على أرض الواقع، بالإضافة لذلك فإنه لا يزال هناك بعض الموظفين لا يقوموا بحماية وتأمين معلوماتهم بالشكل الكافي بسبب لقلة الوعي بأهمية أمن المعلومات، هو ما يزيد من احتمالية تعرض هذه المعلومات للاختراق عالية بشكل كبير.

من هنا، فإن هذا التحليل يتعرض لهذه الثغرات الأمنية في سياسات أمن المعلومات، وكيفية تلافيها في كافة المؤسسات.

بعض المشاكل المعاصرة التي تواجه أمن أنظمة المعلومات:

تواجه أنظمة المعلومات بعض المشكلات الشائعة التي بدأت تغزو أنظمة المعلومات وتساهم في تدميرها أو تخريبها أو سرقة الخزين المعلوماتي المحفوظ في أجهزة الحاسب، ومن أهم هذه المشاكل ما يلى::

(&) الفيروسات ((Virus: تعتبر من أهم جرائم الحاسب وأكثرها انتشارا في الوقت الحاضر، ويمكن تعريفه على أنه برنامج حاسوب مكتوب بإحدى لغات البرمجة من قبل المبرمجين له أهداف تدميرية يهدف الى إحداث أضرار جسيمه بنظام الحاسب سواء البرامج أو الأجهزة ويستطيع أن يعدل تركيب البرامج الأخرى حيث يرتبط بها ويعمل على تخريبها.

(&) قرصنة المعلومات: مع انتشار برامج القرصنة ووجودها في الكثير من المواقع أصبح من الممكن اختراق أي جهاز حاسب وبدون عناء فور إنزال إحدى برامج القرصنة. أما عن الهدف من عمليات القرصنة فهو سرقة الأسرار أو المعلومات التجارية أو التسويقية أو التعرف على حسابات المنظمات أو أحيانا بهدف التلاعب بقيود المصارف أو المؤسسات المالية بهدف سرقة الأموال أو يكون الهدف الكشف عن أسرار صناعية ( تصاميم منتجات ) بهدف إعادة تصنيعها دون إجازة قانونية أو لأهداف سياسية و عسكرية من أجل الحصول على الملفات و الخطط السرية العسكرية أو الحكومية.

(&) تهديد الخصوصية: لقد خلف استخدام الحواسب في ميدان جمع ومعالجة البيانات الشخصية المتصلة بالحياة الخاصة للأفراد، آثارا إيجابية عريضة، لا يستطيع أحد إنكارها خاصة في مجال تنظيم الدولة لشئون الأفراد الاقتصادية والاجتماعية والعلمية وغيرها وهذا ما أوجد في الحقيقة ما يعرف ببنوك المعلومات (Data Bank). وقد تكون مهيأة للاستخدام على المستوى الوطني العام كمراكز وبنوك المعلومات الوطنية أو المستخدمة على نحو خاص، كمراكز وبنوك معلومات الشركات المالية والبنوك، وقد تكون كذلك مهيأة للاستخدام الإقليمي أو الدولي. لكن هذا الأمر، قد رافقه اتجاه متشائم لاستخدام التقنية في معالجة البيانات الشخصية. فالتوسع الهائل لإستخدام الحواسيب قد أثار المخاوف من إمكانات انتهاك الحياة الخاصة للأفراد، فالكثير من المؤسسات الكبرى والشركات الحكومية الخاصة تجمع عن الأفراد بيانات عديدة ومفصلة تتعلق بالوضع المادي أو الصحي أو التعليمي أو العائلي أو العادات الاجتماعية أو العمل ..الخ. وتستخدم الحاسبات وشبكات الاتصال في خزنها ومعالجتها وتحليلها والربط بينها واسترجاعها ومقارنتها ونقلها، وهو ما يجعل فرص الوصول إلى هذه البيانات على نحو غير مسموح به أو بطريق التحايل أكثر من ذي قبل، و يفتح مجالاً أوسع لإساءة استخدامها أو توجيهها توجيها منحرفا أو خاطئا أو مراقبة الأفراد و تعرية خصوصياتهم أو الحكم عليهم حكماً خفياً من واقع سجلات البيانات الشخصية المخزنة.

استراتيجيات التأمين الفعال للمعلومات:

هناك بعض الخطوات التي يجب إتباعها، لكي تتمكن أي مؤسسة من مواجهة هذه التهديدات، يعد من أهمها:

(*) الحرص على عدم خلط الحياة الشخصية بالحياة العملية: وهنا من الضروري أن تقوم الشركات بإعلام موظفيها منذ اليوم الأول بأن لا يقوموا بإدخال تفاصيل حياتهم الشخصية أو معلوماتهم الخاصة في وظائفهم، وتوضيح أن ما يتاح لهم من أجهزة أو مزايا معينة داخل عملهم فهي للاستخدامات الخاصة بالوظيفة ويجبأن لا يتم استخدامها لأغراض شخصية.

(*) وضع سياسات أمنية واضحة والمحافظة عليها: وهنا يُفضل أن تقوم كل مؤسسة بوضع سياسات محددة بأمن المعلومات الخاصة بها، بالإضافة إلى تطويرها كل فترة معينة من الزمن والحرص على أن يقوم الموظفون بإتباع هذه السياسات داخل عملهم، وتساهم هذه السياسات في تحديد متطلبات أمن المعلومات بشكل واضح، ولذلك فأنها من أهم النقاط التي يجب على الشركات اتباعها لكي تتجنب التعرض لاي نوع من أنواع  الهجمات الالكترونية على أمن المعلومات.

(*) العمل على زيادة وعي الموظفين بأهمية أمن المعلومات: وهنا، ينبغي أن تقوم الشركات بالمساهمة في تعزيز وعي موظفيها حول أمن المعلومات، وذلك عن طريق إلحاقهم ببعض الورش التدريبية أو إعطائهم فكرة عن أهمية حماية البيانات وكيفية المحافظة على سرية المعلومات، وأساليب أمن تلك المعلومات، كل ذلك سوف يجعلهم أكثر وعياً واستعداداً لفهم حدوث بعض المخاطر نتيجة استخدام الانترنت والتكنولوجيا في كل المجالات.

(*) تأمين المعلومات واستخدام برامج الحماية المتخصصة: وهذا يعنى ضرورة التأكيد على أن شبكة الكمبيوتر الخاصة بأي مؤسسة يتم إدارتها بشكل آمن وقوي ضد أي هجمات أمنية. كما يجب أن يقوم المسئولون عن أمن المعلومات داخل الشركة بتفعيل بيئة أمنية قوية تستطيع مواجهة كافة محاولات الاختراق. وبالإضافة لذلك يجب أن يتم عمل مراجعة كاملة لكافة الأصول الخاصة بأجهزة الشركة ووضع خطة دورية للصيانة، وفي هذه الخطة يتم تحديد البرامج الموجودة على هذه الاجهزة وفحص الغير آمن منها والذي لا يمثل ضرورة لمستخدمي هذه الاجهزة في الشركات.

(*) تطوير منظومة الأجهزة الإلكترونية و البرمجيات: من الضروري أن يتم تطوير أجهزة الحواسب تتطور بدرجة تتناسب مع تطور السبل المستخدمة لاختراقها مما يتطلب تطوير القدرات والمهارات للعاملين في أقسام المعلومات لكي يستطيعوا مواجهة حالات التلاعب والعبث المقصود أو غير المقصود في الأجهزة. تعتبر البرمجيات من المكونات غير المادية وعنصر أساسي في نجاح استخدام النظام، لذلك من الأفضل اختيار حواسب ذات أنظمة تشغيل لها خصائص أمنية ويمكن أن تحقق حماية للبرامج وطرق حفظ كلمات السر وطريقة إدارة نظام التشغيل وأنظمة الاتصالات.

وعليه، يمكن التأكيد على أن أمن البرمجيات يتطلب أن يؤخذ هذا الأمر بعين الإعتبار عند تصميم النظام وكتابة برامجه من خلال وضع عدد من الإجراءات كالمفاتيح و العوائق التي تضمن عدم تمكن المستفيد من التصرف خارج الحدود المخول بها ومنع أي شخص من إمكانية التلاعب والدخول إلى النظام وذلك من خلال أيضا تحديد الصلاحيات في مجال قراءة الملفات أو الكتابة فيها، و محاولة التمييز بين الذين يحق لهم الإطلاع وحسب كلمات السر الموضوعة ، وهناك أسلوبان للتمييز إما عن طريق البرمجيات أو استخدام الأجهزة المشفرة.

(*) أمن الشبكات الناقلة: تعتبر شبكة تناقل المعلومات المحلية أو الدولية ثمرة من ثمرات التطورات في مجالات الاتصالات، كما أنها سهلت عملية التراسل بين الحواسب و تبادل و استخدام الملفات، ولكن من جهة أخرى إتاحة عملية سرقة المعلومات أو تدميرها سواء من الداخل كإستخدام الفيروسات أو من خلال الدخول عبر منظومات الاتصال المختلفة، لذلك لا بد من وضع إجراءات حماية وضمان أمن الشبكات من خلال إجراء الفحوصات المستمرة لهذه المنظومات وتوفير الأجهزة الخاصة بالفحص.

كما أن نظم التشغيل المستخدمة والمسئولة عن إدارة الحواسب يجب أن تتمتع بكفاءة وقدرة عالية على الكشف عن التسلل إلى الشبكة من خلال تصميم نظم محمية بإقفال معقد أو عن طريق الشفرات وربطها بخطوط الاتصال، والتي عبارة عن استخدام المعادلات الرياضية أو أجهزة و معدات لغرض تشفير تناقل المعلومات أو الملفات.

(*) التأمين المادي لمواقع منظومة الأجهزة الإلكترونية و ملحقاتها: يجب أن تعطى أهمية للمواقع والأبنية التي تحوي أجهزة الحواسيب وملحقاتها، وحسب طبيعة المنظومات والتطبيقات المستخدمة من خلال اتخاذ الإجراءات الاحترازية لحماية الموقع وتحصينه من أي تخريب أو سطو وحمايته من الحريق أو تسرب المياه بأي شكل من الأشكال، ومحاولة إدامة مصدر القدرة الكهربائية وانتظامها وتحديد أساليب وإجراءات التفتيش والتحقق من هوية الأفراد الداخلين و الخارجين من الموقع وعمل سجل لذلك.

نخلص من كل ما سبق، إلى ضرورة وضع سياسة تأمين معلومات بشكل استباقي على مستوى كل مؤسسة أو قسم أو إدارة، يتم تصميمها من جانب المتخصصين في هذا الأمر، لتشمل كافة عناصر المنظومة، سواء كان ذلك على مستوى سلامة الأجهزة وملحقاتها، أو على مستوى سلامة الشبكات الناقلة، أو سلامة عملية نقل البيانات وحفظها من الفيروسات، وأخيراً وهو العنصر الأهم ممثلاً في العنصر البشري، المُشغل لهذه المنظومة والمسئول عنها، والذي ينبغي أن يحظى في استراتيجية التأمين بالقدر الأكبر من الاهتمام والتدريب والتطوير، خاصة وأن العنصر البشري أصبح في عالم اليوم أحد أهم نقاط الضعف، التي قد تؤدي لفشل أي نظام لتأمين المعلومات، وقد يتسبب إما عن جهل أو استهتار أو قصد في حدوث اختراقات أمنية وعمليات قرصنة لمعلومات حساسة تخص مؤسسته، وقد تكون هذه المعلومات على قدر عالي من الأهمية وغير مسموح بتداولها إلا ضمن نطاقات محدودة.

اللواء هشام صبري

مساعد مدير المركز و مدير إدارة التدريب. ممثل الأمم المتحدة لقوات حفظ السلام سابقا، نائب مدير معهد تدريب الشرطة السابق بأكاديمية الشرطة. خبير متمكن في دراسات الأمن الدولي وحفظ السلام، وله العديد من الدراسات والبحوث في حفظ وتعزيز الأمن والاستقرار في مناطق الصراعات.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى