بيئات خطرة: هل حان وقت تعميم تدريس أمن المعلومات والرقمنة في مصر بعد تطبيق التجربة؟

صورة اللواء هشام صبري اللواء هشام صبري أرسل بريدا إلكترونيا 10 أبريل، 2021
6 دقائق

تتصاعد أهمية أمن المعلومات مع دخول العالم نحو مزيد من التحول الرقمي والمعلوماتي، تماشياً مع الثورة المتجددة والسريعة في علوم الاتصالات الإلكترونية، ولا شك أن هذا الموضوع يكتسب أهمية أيضاً على المستوى المصري، نتيجة تبنى الحكومة المصرية لسياسات التحول الرقمي في تقديم الخدمات العامة للمواطنين في المؤسسات والإدارات المختلفة، لذلك فإن قضية أمن وتأمين المعلومات تمس بشكل مباشر كل المتعاملين مع الوسائط الإليكترونية، وتنعكس على مصالحهم سبل حماية أعمالهم، حيث تعتبر المعلومات بالنسبة للمنظمات بمثابة البنية التحتية التي تُمكنها من أداء مهامها ، لذلك فإن نوع المعلومات و كميتها وطريقة عرضها تعتبر الأساس في نجاح عملية صنع القرارات داخل المنظمات المعاصرة،  وعليه فإن للمعلومات قيمة عالية تستوجب وضع الضوابط اللازمة لإستخدامها وتداولها ووضع السُبل الكفيلة بحيازتها، وتوفير الحماية اللازمة للمعلومات وإبعادها عن الإستخدام غير المشروع لها.

هدف هذا التحليل هو تسليط الضوء على مسألة أمن المعلومات، وضرورة الإهتمام بها على مستوى العلم الأكاديمي، وعلى مستوى التطبيق كذلك، خاصة مع تزايد الأخطار المرتبطة بهذا المجال، ومدى ارتباطها بالأمن القومي للدول أحياناً.

تطور مفاهيم أمن المعلومات:

مر مفهوم الأمن المعلوماتي بمراحل تطوير عدة أدت الى ظهور ما يسمى بأمن المعلومات ، ففي الستيناتمن القرن الماضي كانت أجهزة الحاسب هي كل ما يشغل العاملين في أقسام المعلومات، وكان همهم هو كيفية تنفيذ البرامج والتعليمات، ولم يكونوا مشغولين بأمن المعلومات بقدر انشغالهم بعمل الأجهزة، وكان مفهوم الأمن يدور حول تحديد الوصول أو الإطلاع على البيانات من خلال منع الغرباء الخارجيين من التلاعب في الأجهزة، لذلك ظهر مصطلح أمن الحواسب Computer Security  و الذي يعني حماية الحواسب و قواعد البيانات. لكن مع التوسع في استخدام أجهزة الحاسوب، وما تؤديه من منافع تتعلق بالمعالجة للاحجام الكبيرة من البيانات ، تغير الإهتمام ليمثل السيطرة على البيانات و حمايتها . ففي السبعينات من القرن الماضي تم الانتقال الى مفهوم أمن البيانات (Data Security)، وواكب ذلك استخدام كلمات السر البسيطة للسيطرة على الوصول للبيانات، إضافة إلى وضع إجراءات الحماية لمواقع الحواسب من الكوارث و حفظ نسخ إضافية من البيانات والبرمجيات، بعيداً عن موقع الحاسوب ، أما في مرحلة الثمانينات والتسعيناتمن نفس القرن ازدادت أهمية استخدام البيانات ، وساهمت التطورات في مجال تكنولوجيا المعلومات بالسماح لأكثر من مستخدم للمشاركة في قواعد البيانات ، كل هذا أدى الى الإنتقال من مفهوم أمن البيانات الى أمن المعلومات ، وأصبح من الضروري المحافظة على المعلومات وتكاملها وتوفرها ودرجة موثوقيتها ، حيث أن الإجراءات الأمنية المناسبة يمكن أن تساهم في ضمان النتائج المرجوة و تقليص اختراق المعلومات و التلاعب بها ، و كانت شركة IBM الأمريكية أول من وضع تعريف لأمن المعلومات ، و كانت تركز على حماية البيانات من حوادث التزوير و التدمير أو الدخول غير المشروع على قواعد البيانات، وأشارت الشركة الى أن أمناً تاماً للبيانات لا يمكن تحقيقه، ولكن يمكن تحقيق مستوى مناسب من التأمين.

هناك عدة تعريفات لأمن المعلومات، فيرى البعض أنه العلم الذي يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة الاعتداء عليها، ويقصد به من زاوية أخرى الوسائل والأدوات والإجراءات اللازم توفيرها لضمان حماية المعلومات من الأخطار الداخلية والخارجية، بينما يقصد به من منظور نظام التشغيلأنه تدبير حماية النظام، وذلك بالتحقق من المستخدمين قبل السماح بالدخول اليه، وتصنيف مستوى السماح بالوصول للمعلومات الذي يملكه المستخدم، وتحجيم مستوى الوصول تبعاً للسياسة التي يحددها مدير النظام وحماية المعلومات والبيانات المتداولة عبر الحاسب الآلى من العبث والتخريب والتبديل، أو من أي خطر يهددها مثل وصول أي شخص غير مخول للوصول إليها والعبث ببياناتها والإطلاع عليه.

أنظمة المعلومات والأخطار متعددة المستويات:

لقد أصبح اختراق أنظمة المعلومات ونظم الشبكات والمواقع المعلوماتية خطراً يهدد العديد من المنظمات في السنوات الأخيرة، ومع مرور الزمن نجد أن على الرغم من سبل الحماية التي تتبعها المنظمات ، إلا أن هناك ارتفاعا واضحا في معدل الإختراقات مع تنوع الوسائل المستخدمة في الإختراق، أما عن طبيعة الأخطار التي يمكن أن تواجهها نظم المعلومات فهي عديدة، فالبعض منها قد يكون مقصود كسرقة المعلومات أو ادخال الفيروسات وغيرها وهي الأشد ضرراً على نظم المعلومات ويكون مصدرها أحيانا من داخل أو خارج المنظمة ، وقد يصعب أحيانا التنبؤ بالدوافع العديدة للأشخاص الذين يقومون بها ، أما البعض الآخر فقد يكون غير مقصود كالأخطاء البشرية و الكوارث الطبيعية و يمكن تصنيف الأخطار المحتملة التي يمكن أن تتعرض لها نظم المعلومات الى ثلاث فئات :

  • الأخطاء البشرية Humane Errors . وهي التي يمكن أن تحدث أثناء تصميم التجهيزات أو نظم المعلومات أو خلال عمليات البرمجة أو الاختبار أو التجميع للبيانات أو اثناء إدخالها إلى النظام ، أو في عمليات تحديد الصلاحيات للمستخدمين، وتشكل هذه الأخطاء الغالبية العظمى للمشاكل المتعلقة بأمن وسلامة نظم المعلومات في المنظمات .
  • الأخطار البيئية Environmental Hazard .و هذه تشمل الزلازل و العواصف و الفيضانات و الأعاصير و المشاكل المتعلقة بأعطال التيار الكهربائي والحرائق، إضافة إلى المشاكل القائمة في تعطل أنظمة التكييف و التبريد و غيرها ، وتؤدي هذه الأخطار الى تعطل عمل هذه التجهيزات و توقفها لفترات طويلة نسبيا لإجراء الإصلاحات اللازمة و استرداد البرمجيات وقواعد البيانات .
  • الجرائم التى تقع بأستخدام الحاسب Computer Crime. تمثل هذه النوعية تحدياً كبيراً لإدارة نظم المعلومات، لما تسببه من خسارة كبيرة ، ويمكن أن تتم الجرائم المحوسبة سواء من قبل أشخاص خارج المنظمة يقومون باختراق نظام الحاسوب (غالبا من خلال الشبكات) أو من قبل أشخاص داخل المنظمة يملكون صلاحيات الدخول الى النظام و لكنهم يقومون بإساءة استخدام النظام لدوافع مختلفة، و تشير الدراسات التي أجراها المركز الوطني لبيانات جرائم الحاسوب في لوس أنجلوس بأن 70% جرائم الكمبيوتر المسجلة حدثت من الداخل ، أي من قبل من يعملون داخل المنظمات ، كما يتضح أن جرائم الحاسوب تزداد بصورة واضحة مما أصبحت تشكل تحديا خطيرا يواجه الإدارات العليا عموماً و إدارة نظم المعلومات على وجه الخصوص.

عناصر خطط تأمين المعلومات:

إنّ التقدم التكنولوجي الكبير، وتطوّر وسائل التواصل والاتصال المتنوعة، وانفتاح العالم على بعضه، واعتماده على إرسال شتى أنواع البيانات من خلال الشبكات، كلّ ذلك أدىإلى إحداث خطر على تسرّب هذه البيانات، ووصولها للأشخاص غير المعنيين ( وصول بالخطأ) ، أو ربما تصل لجهات منافسة ، بسبب عدم الكفاءة في عملية نقل وتخزين وتداول المعلومات، وربما يحدث هذا الإختراق بسبب التهاون وعدم الإحساس بالمسئولية ، الذي يصل في بعض الأحيان لمستوى الاستهتار بأهمية المعلومات التي يمتلكها الشخص، بحكم موقعه في مؤسسة معينة أو جهة تعمل في قطاعات حساسة، لذلك تحدث المشكلة عندما لا يدرك هذا الشخص قيمة ما لديه من معلومات، التي قد تكاون بمثابة الكنز عند بعض الأشخاص أو الجهات الأخرى( منافسه/ عدائية) ، لذلك لا بدّ لكلّ مؤسسةٍ أن توعّي موظفيها بأهمّية أمن المعلومات لتحقيق السلامة العامّة، وبالتّالي أصبحت الحاجة ملحّة للحفاظ على أمن المعلومات، من خلال تكثيف نشاط البحث و التطوير فى هذا المجال وتشجيع المؤسسات على الإهتمام به كتغير أساسي من متغيرات المستقبل.

نشير في هذا المجال لبعض العناصر التي ينبغي أن توضع في الاعتبار عند وضع خطط تأمين المعلومات، أهمها ما يلي:

  • السرية أو الموثوقية  CONFIDENTIALITY: أي تكون المعلومات سرية ولا يطلع عليها غير الأشخاص المخولين لذلك.
  • التكاملية وسلامة المحتوىINTEGRITY : أي تكون محتويات المعلومات سليمة ولم يتم العبث أو التعديل عليها.
  • عدم إنكار التصرف المرتبط بالمعلومات ممن قام به Non-repudiation، بحيث نضمن أن الشخص المتصل بنظام المعلومات لا ينكر أي تصرف يصدر منه ، حيث نستطيع التحديد أنه هو الشخص المتصل وفي وقت معين.
  • استمرارية توفر المعلومات أو الخدمةAVAILABILITY: بحيث نتأكد أن النظام المعلوماتي مستمر وأن مستخدم هذه المعلومات لن يُمنع منها ولن يسمح لشخص آخر بالدخول إليها.
  • حسن المراقبة: حيث تتوفّر القدرة على معرفة كلّ شخص وصل إلى المعلومات وما أجرى عليها، وبالتالي السيطرة على الأمور حتى لو أنكر الشخص ذلك.
  • التحكم والسيطرة. تطوير السياسات و المعايير الأمنية و تطبيقها، والمشاركة فى تطوير و تقييم و اعتماد جميع النظم و البيانات و التطبيقات، وإعداد البرامج الخاصة بالحماية الأمنية المعلوماتية ، والتحكم فى مستخدمى نظمالمعلومات و منح الصلاحيات.
  • الانتشار اللامركزي. بحيث يتم توزيع الحواسب وملحقاتها على العديد من المواقع التي يمكن أن تكون أيضا متباعدة، مع وجود التجهيزات الخاصة بالحواسب في عهدة أفراد عديدين في المنظمة و أحيانا خارجها .
  • الوقاية والتدخل السريع. من الأخطار غير المتعمدة، وإعاقة أو منع الأعمال التخريبية المتعمدة، و اكتشاف المشاكل بشكل مبكر قدر الإمكان، و المساعدة في تصحيح الأعطال و استرجاع النظام .

ختاماً نؤكد، أن عملية الحماية من الأخطار التي تهدد أنظمة المعلومات من المهام المعقدةو الصعبة و التي تتطلب الكثير من الوقت والجهد والموارد المالية، للتعامل مع العدد الكبير من الأخطار التي تهدد عمل نظم المعلومات، مع ضرورة مواكبة التطور المتسارع في علوم أمن المعلومات، والاستفادة من تجارب بعض الدول، ودراسة حالات الاختراق التي تمت وعمليات القرصنة وسرقة المحتويات وغيرها، واستخلاص الدروس والعبر منها ، خاصة وأن مصر 2030 ستنطلق نحو تحقيق نسب عالية من الرقمنة، على كافة قطاعات الدولة، وهو ما يتطلب جهداً مضاعفاً في مجال عمل نظم المعلومات ، مع ضرورة تشجيع جهود البحث العلمي في هذا المجال، على مستوى الجامعات والمعاهد العلمية، وكذلك على مستوى المنظمات العامة والخاصة، فأمن المعلومات هو عصب الحياة للحاضر، وضمان التقدم في عالم المستقبل.

صورة اللواء هشام صبري اللواء هشام صبري أرسل بريدا إلكترونيا 10 أبريل، 2021
6 دقائق
صورة اللواء هشام صبري

اللواء هشام صبري

خبير بوحدة دراسات الأمن الإقليمي. ممثل الأمم المتحدة لقوات حفظ السلام سابقا، نائب مدير معهد تدريب الشرطة السابق بأكاديمية الشرطة. خبير متمكن في دراسات الأمن الدولي وحفظ السلام، وله العديد من الدراسات والبحوث في حفظ وتعزيز الأمن والاستقرار في مناطق الصراعات.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى