أمن المعلومات في الجهات الرسمية .. نقاط الضعف وتقدير المخاطر

|
أخطاء في الفواتير!! إلغاء حجوزات أو تعثر أخرى!! عملاء يصطفون في بعض البنوك في انتظار أن يعمل النظام!! وموظفون في غاية الحرج والإحباط!! .. توقف أنظمة السداد وتأخر الكثير من المعاملات بسبب ذلك!! ولا تنس مشكلات أنظمة التداول وما تسببه من خسائر لا يجني حسرتها إلا المستثمر!! ... كل هذه صور من مشكلات شاهدناها وما زلنا نشاهدها في تعاملاتنا الإلكترونية بدءاً ببعض البنوك ومروراً ببعض شركات الطيران والاتصالات ومثيلاتها من كبريات الشركات السعودية، وانتهاءً بكثير من القطاعات الحكومية. من هنا تقع معاناة المواطن ما بين الفينة والأخرى ضحية لمخاطر أمن المعلومات، وتخسر معها تلك الجهات أيضاً الكثير من الأموال ''غير المقدرة'' بسبب الضعف في تقدير المخاطر وإدارتها بشكل صحيح و متكامل. كثير منا يعتقد أن هاجس أمن المعلومات والخطر الذي يهدده يأتي فقط عبر عمليات الاختراق التي يقوم بها قراصنة المعلومات ''الهكر'' أو ما يلوث فضاء الإنترنت والحواسيب من فيروسات وبرامج أو أكواد تجسس وغيرها، والحقيقة أن هذا جانب من الجوانب الشديدة الخطورة في الموضوع ولكنه ليس كل شيء فهناك جوانب أخرى خطرة جداً لا بد من أخذ كافة الاحتياطات ضدها، ورسم استراتيجية توفير الخيارات والبدائل في حالة وقوع أي منها عبر خطة إدارة مخاطر محكمة. ولتبسيط الموضوع قبل أن أبدأ مناقشته، أريد توضيح القاعدة المعروفة في مجال أمن المعلومات باسم CIA طبعاً لا يقصد بها وكالة الاستخبارات الأمريكية The Central IntelligenceAgency إنما تشير إلى أهداف أو محاور أمن المعلومات الثلاثة التي لا بد من حمايتها بشكل جيد، فالفشل في حماية المعلومات وسلامة التعاملات وانتهاك الخصوصية، يبدأ بانتهاك أي من هذه المحاور الثلاثة و هي كما يلي: 1- السرية Confidentiality ويعني أنه يجب حصر الوصول لأي معلومة مهما كانت صغيرة لأصحاب الحق (المصرح لهم نظاماً بذلك) وما عداهم فيمنع من الوصول إليها أو الاطلاع عليها. ويتم ذلك عادة عبر نظام الصلاحيات Authentication Systems والذي يتطلب اسم مستخدم Username وكلمة مرور Password وربما أحياناً معلومات إضافية غيرها، ويمنح الصلاحيات في مستويات متعددة Multiple Authentications حسب صلاحياته الوظيفية أو حقوقه في تلك المعلومات، كما يتم استخدام أدوات الحماية الأخرى مثل بروتوكول التشفير أثناء انتقال البيانات في الشبكة -SSL - وبروتوكول تأمين المعاملات الإلكترونية لبطاقة الائتمان مثلاً (Secure ElectronicTransaction (SET''. 2ـ سلامة البيانات Integrity هي تعني أن البيانات يجب أن تحظي دائماً بالموثوقية الكاملة أثناء تخزينها أو تنقلها في الشبكة فلا تتعرض لعمليات تزوير أو تغيير بسبب أخطاء فنية أو نقص أو زيادة غير شرعية، كما يجب أن تشمل هذه الموثوقية أطراف إرسال البيانات وتلقيها Source & Destination بحيث يكون المرسل هو الشخص المخول والمتوقع، والمتلقي هو أيضاً الشخص المخول والمتوقع باستقبال البيانات المرسلة. وهنا يأتي دور عدد من حلول المعلومات المطبقة في هذا المجال والتي تستخدم أيضاً تقنيات التشفير والتواقيع أو المفاتيح الإلكترونية. 3 ـ توافر البيانات Availability وتعني أنه يجب أن تتوفر المعلومات في أي وقت يحتاج إليها المستخدم، ليستفيد من خدماتها بشكل سريع ودون تقطع أو توقف في الخدمة. ومن هنا إذا أردنا التعبير بجملة واحدة عن تحقيق الحماية الكاملة لمحاور أمن المعلومات الثلاثة، فهذا يعني أنه يجب أن تتوفر البيانات بصورتها الصحيحة وبالموثوقية الكاملة، وتستمر الخدمات الإلكترونية في العمل بشكل جيد دون تقطع أو توقف، في أي وقت يحتاج إليها المستخدم المصرح له بالوصول، وبحسب صلاحياته وحقوقه النظامية، فهل هذا ما يحدث لكافة أنظمتنا الإلكترونية؟ أم أن هناك خللا يحتاج إلى إصلاح جذري في هذه الظاهرة من المشاكل، يتم بعدها محاسبة المقصر وحفظ وإرجاع الحقوق للمتضررين نتيجتها. معظم قطاعات الأعمال الكبيرة لدينا حكومية كانت أم خاصة، تمتلك في مراكز بياناتها أنظمة حماية من الفيروسات والأكواد الخبيثة وجدر نارية جيدة، وحلول متطورة للنسخ الاحتياطي لبياناتها، ولكن معظمها لا يمتلك استراتيجية صحيحة ومتكاملة، وخطة إدارة مخاطر ممنهجة ومفعلة، وكذلك لا يمتلك العدد الكافي من المؤهلين الحقيقيين للعمل في هذا المجال، يستوي في ذلك تلك الجهات التي تفاخر بامتلاكها شهادات الآيزو ISO 27001 أو 27002 ISO فمتطلبات هذه الشهادة توثيق أكثر منه واقعا ملموسا والمهم دفع الرسوم!! كما أن معظم تلك الجهات تأخذ هذه الشهادات في قسم صغير من أقسام إدارات تقنية المعلومات فقط وليس بشكل شامل ومتكامل لكل الأقسام، فالهدف هو التفاخر والدعاية والإعلان لا أكثر ولا أقل!! ختاماً، إن الخطر الذي يهدد أمن المعلومات قد يحدث بسبب متعمد من عمليات الاختراق الخارجية أو الداخلية، كما قد يحدث بسبب الأخطاء التقنية الناتجة عن قلة الخبرة وعدم توفر الكوادر المؤهلة، كما قد يحدث بسبب الكوارث الطبيعية من سيول أو زلازل أو بسبب كوارث الحروب والصراعات وغيرها، ولعل الجميع قد شاهد أو سمع أو تأثر ببعض من آثار توقف أو خلل الخدمات الإلكترونية في أنظمة التداول أو حجز الخطوط أو فواتير بعض الخدمات والاتصالات وغيرها خلال الأسابيع أو الأشهر أو السنوات الماضية. ولن تتوقف أو تخف هذه الموجات من العواصف الترابية الإلكترونية حتى تتبنى وزارة الاتصالات وتقنية المعلومات استراتيجية إدارة مخاطر أمن معلومات محكمة ومتكاملة، تطبق بشكل إجباري على كل الجهات الحكومية والشركات الخدمية والمالية الخاصة مثل البنوك وشركات الكهرباء والماء والغاز والنفط والاتصالات وما شابهها، وتتم مراقبة تطبيقها من قبل هيئة الاتصالات وتقنية المعلومات، و تكون هي المنطلق للمحاسبة عند توقف الخدمات أو تغير و فقدان البيانات وتعويض المتضررين من المواطنين نتيجة هذه الإخفاقات. وهذا يتطلب بلا شك تفعيل نظام ''مكافحة الجرائم الإلكترونية''، كما يتطلب تقنين أحكام حماية الخصوصية والتفريط في حماية معلومات وأموال العملاء، وسيكون تبني بناء مركز وطني لعمليات أمن معلومات Security Operations Center - SOC أمر رائع وداعم لهذا التوجه كما طالبت بذلك في عدة مقالات. ولا أنسى أهمية تأسيس مراكز متخصصة لتلقي الشكاوى ضد الجهات الرسمية أو ضد جرائم الإنترنت والتي يجب أن تكون لديها القدرة الفنية والإدارية والعسكرية للتعامل مع مثل هذه الانتهاكات أو الجرائم، على غرار المركز الأمريكي لتلقي الشكاوى لجرائم الإنترنتIC3، ويمكن أن تكون بعض هذه المراكز حسب الاختصاص ملحقة كأقسام خاصة في وزارة التجارة أو وزارة المالية وفي كل أو بعض مراكز الشرطة في المملكة. وهنا لا بد من التأكيد على أهمية أن تتبنى الجامعات السعودية أيضاً إنشاء أقسام متخصصة بالكامل في أمن المعلومات وليست مواد دراسية فقط تدرج في الخطط الأكاديمية لبعض تخصصات علوم الحاسب، فالحاجة لها باتت أكبر من المتوقع، ويكفينا تخريج المزيد من التخصصات التي اكتفى منها سوق العمل، بينما هناك تخصصات لا تجد من يعمل فيها ويتقنها من أبناء الوطن إلا القليل ونشتكي بعدها من كثرة البطالة في صفوف الجامعيين. ودمتم بخير و سعادة.
إنشرها