م. محمد الدوب
يدرك العاملون في مجال أمن المعلومات تلك المسؤولية «الضخمة» الملقاة على عاتقهم لحماية الأفراد أو المؤسسات من أخطار الاختراقات والهجمات الإلكنرونية، ويعون أهمية معرفة عوامل النجاح وأسباب الفشل في هذا المجال الحيوي.
إن مسؤولية ضخمة كمسؤولية أمن المعلومات لا يمكن أن يتم حملها دون توفر عوامل النجاح وانحسار عوامل الفشل، ولا يستغرب ذلك في ضوء كثرة التحديات التي يواجهها الأفراد والمؤسسات في سبيل تحقيق هدف أمن المعلومات المتمثل في حماية البيانات من التلف أو السرقة أو التدمير أو الوصول غير المشروع، و تنطبق الأهداف نفسها على الأنظمة الموجودة لدى الأفراد والمؤسسات على حد سواء.
ومع أن عوامل النجاح في مواجهة الاختراقات قد تكون معروفة، بل قد يكون أكثرها بديهيا، فإن فهم عوامل الفشل في أمن المعلومات أمر ضروري جدا نظرا إلى فوائده العديدة. وعوامل الفشل كثيرة ومتعددة، وربما لا يكون أغلبها تقنياً أصلا؛ فمنها ما هو أنثروبولوجي، ومنها ما هو إداري، ومنها ما هو ثقافي اجتماعي. وأهم تلك العوامل هي:
الفشل في تقبل التغيير
إن الأخطار المتجددة تحتم على المدافعين التكيف معها وتحديث طرق التعامل معها. ومع ذلك، فإن الفشل في التغيير، أو مقاومته، أو حتى تطبيقه ببطء حتى ولو تم تقبله، كلها عوامل تؤدي إلى الفشل الذريع في تطبيق مفهوم أمن المعلومات.
وأظهرت دراسة أمريكية عن إجراء التحديثات الأمنية للأنظمة والشبكات في المؤسسات أن مدة معدِّله قد تزيد على 120 يوماً، مما يعني أن الأنظمة تلك تكون معرضة طوال 120 يوما لهجمات إلكترونية معروفة على مستوى العالم وليس فقط على نطاق محدود من المهاجمين (القراصنة). وهو ما يعني استحالة حماية وسلامة أنظمة شبكات تلك المؤسسات. وإذا كان عدم التكيف مع المتغيرات أحد أسباب الفشل، فما أسباب الفشل في التكيف مع التغيير؟
في عالم الشركات والمؤسسات، وأينما يكون الربح والمال هو الآمر الناهي، فإن فكرة تعريض خدمات ومنتجات تلك المؤسسات للتوقف، ولو كان توقفاً بسيطاً، ريثما يتم اتخاذ الإجراءات الخاصة بأمن المعلومات وفحص عملها، أمر غير محبذ إلا عند مؤسسات قليلة تدرك فعلاً أن تعريض أنظمتها للانكشاف فعلا أخطر من الجوانب السلبية والآثار الجانبية لعملية التحديثات المتكررة.
والفشل في تقبل التغيير يحدِث فجوة أعمق حين الأخذ في الاعتبار أن المهاجمين قادرون بصورة كبيرة على التغير والتكيف، فهم غير ملتزمين بميزانيات محددة وقوانين ولوائح يجب اتباعها، ولا يوجد لديهم ما يمنعهم ويردعهم عن شن هجماتهم، بل لا يوجد لديهم إلا قانون واحد: هل تستطيع أم لا؟
هذه العوامل المتوفرة عند المهاجم لابد أن يتوفر بعضها عند المدافع لعله يستطيع أن يواكب بعض تقنيات الهجوم و اكتشاف الثغرات وبيعها وشرائها في السوق السوداء، و المدافع هنا قد يكون تحديه الأكبر في المؤسسات التقليدية هو مقاومة البيروقراطية والأنظمة القديمة المتهالكة قبل أن يلتفت إلى حماية أنظمته من المهاجمين الحقيقيين. ومن هنا نرى أن القدرة على التغيير والتفاعل السريع من أهم عوامل القوة والقدرة على التصدي للهجمات الإلكترونية.
انعدام الوعي الظرفي
يعرف الوعي الظرفي Situational Awareness بأنه القدرة على الإحساس والمراقبة والمتابعة والوعي بما يحصل وما يتم تراكمه، والأوضاع التي تحصل حول المؤسسة والفرد، وقدرة المؤسسة أو الفرد على حد سواء على تحديد وضعه ومكانه وما يحصل عنده من تغييرات وأخطار تحيط به، وهو في الأساس مصطلح عسكري تم تطبيقه على مجال أمن المعلومات.
ويذكر تقرير عالمي متخصص بأمن المعلومات أن الزمن المتوسط لكشف أي اختراق حصل في المؤسسات يزيد في المعدل على 146 يوما، وقد يصل في أقصاه إلى سنوات عدة، وهذا يعني أن هناك هجمات يظل فيها المهاجمون قابعين في أنظمة وشبكات الضحايا شهورا وأسابيع يعيثون فيها فسادا دون أن يلاحظ أو ينتبه أحد لذلك. وهذا نموذج واضح لانعدام تام للوعي الظرفي، حيث تكون المؤسسة غافلة عما يجري داخلها فضلاً عن خارجها، و عاجزة عن تحديد مستوى الأمان في شبكتها. وبطبيعة الحال، فإنه لا يمكن تأمين مالا يمكن ملاحظته، ولا يمكن صد ما لا تستطيع المؤسسات رؤيته.
إن الوعي الظرفي عامل رئيسي من عوامل النجاح في كل المجالات ولا سيما أمن المعلومات، وهو يتضمن أمورا عدة هي الملاحظة الدورية والمراجعة الدائمة للشبكات والأنظمة المعلوماتية، و رسم الحدود ومعرفة الإمكانات والموارد لديها، وبناء معايير السلوك والاستخدام والعمل الطبيعي والقدرة على كشف أي انحراف عنه، والقدرة على التمييز بين الاستخدام الطبيعي والضار.
إن اكتمال مقومات الوعي الظرفي لدى أي مؤسسة هو السبيل الأمثل لتفعيل قدرتها على كشف الهجمات والأخطار الإلكترونية والتعامل المناسب معها.
الدفاعات الأمنية المناسبة
قرأنا في التاريخ عن قصص وأمثلة عديدة عن حصون منيعة بنيت لتتحمل القصف والحصار ثم سقطت بالكامل بسبب أخطاء جسيمة وبسيطة تنم عن ضعف وخلل في بناء طبقات متعددة من الدفاعات. ومن أمثلة ذلك حصن إيبن إيميل البلجيكي المنيع Fort Eben-Emael الذي بني في بطن الجبال و حصِّن بالكامل من القصف النازي، وكانت تضاريس الجبال تجعل قصفه بالقنابل أمراً عديم الجدوى، وكان القنوات المائية التي تحيط به وأسوار الأسمنت المسلح تمثل سداً فعالاً ضد هجمات المدرعات والمعدات الثقيلة. وعلى الرغم من هذا كله فقد احتلته القوات الألمانية بسبب نقطة ضعف شديدة تمثلت في عدم وجود دفاعات جوية (بسبب ظن البلجيكيين عدم حاجتهم إليها لأن القصف لن يجدي)، وهو ما سمح للجنود الألمان بالهبوط على سطح الحصن، ثم مهاجمته برمي القنابل إلى داخله عن طريق مخرج سري يربط داخل الحصن بسطح الجبل، وهذا أدى إلى خروج القوات البلجيكية من الحصن وهي تحمل رايات الاستسلام، وتتمنى لو أنها صممت دفاعات متكاملة!
إن أهمية بناء طبقات الدفاع المتعددة Defense in Depth تكمن حين تتعرض إحداها للاختراق ، فتحل الطبقات الأخرى محل الأولى وتخفف أثر الهجمات أو توقفها تماما.
ويمكن فهم هذا الأمر بمثال الحصن مرة أخرى، فتأمين حائط و سياج الحصن و أسواره يعد طبقة من الحماية، وإحاطته بخنادق تمثِّل طبقة أخرى، و وضع الحراس الدفاعات الجوية على الأبراج وعلى سطح الحصن هو بمنزلة طبقة إضافية، وحماية كل المداخل والمخارج خصوصاً السري منها، ووضع أسوار أخرى داخل الفناء الداخلي للحصن يعد طبقة إضافية، وكل هذه الطبقات من الحماية تعمل على تخفيف ومنع آثار الهجمات المتتالية حتى وإن نجح بعضها في الوصول إلى الحصن. وهذا المثال هو بكل تأكيد أفضل من تصميم الحصن ليكون سوراً عالياً دون حراسة ولا خنادق ولا وسائل حماية إضافية تحميه ومن فيه من خطر تسلق أسواره أو الجبل الذي بني عليه.
العوامل النفسية والسلوكية
تظهر لنا في أحيان كثيرة العديد من التقنيات والمنتجات والأفكار التي يتم تسويقها على أنها وسيلة جديدة للحماية والوقاية من الهجمات الإلكترونية، وسرعان ما تندثر تلك الأفكار والتقنيات فلا تسمع لها همسا.
وإذا بحثت في معظمها ستجد أنها تفتقر إلى فهم العامل النفسي لدى المستخدم، وطريقة استخدامه للتقنية وسلوكه فيها، إذ تفشل العديد من المنظومات في الأمن الإلكتروني في إدراك حقيقة بسيطة عن معظم أنواع المستخدمين مفادها أنهم يريدون إنهاء أعمالهم. وإنهاء هذه الأعمال أهم لهم من موضوع الحماية والوقاية وغير ذلك، فحينما تصبح الحماية عائقاً أمام إتمام العمل سيتجاوز المستخدمون طرق الحماية.
وعلى سبيل المثال، فإن تقنية PGP لتشفير رسائل البريد الإلكتروني، وهي تقنية تنهي بشكل كامل مشكلة كشف الرسائل التي تكمن في افتقارها إلى التشفير، تسمح بضمان ألا يفك أي رسالة (إيميل) إلا مستقبلها المقصود فقط. ولكن هذه التقنية فشلت في جذب المستخدمين بل وحتى أهل التقنية منهم، بسبب صعوبة استخدامها وإعاقتها لسهولة إرسال البريد الإلكتروني.
وهنالك أيضا تقنية التحقق الثنائي التي تعتمد على إضافة عوامل أخرى لإثبات الهوية عند تسجيل الدخول إضافة إلى كلمة السر، مثل إرسال الرموز عبر الهاتف أو الرسائل القصيرة أو البطاقات الذكية. وأيضاً تعاني هذه التقنية المفيدة من انخفاض نسبة التبني عند الناس ، إذ تقل نسبة مستخدميها عن 1 % من المجموع العالمي، وهذا أيضا بسبب كونها تمثل عائقاً صعباً نوعاً ما في طريقة التسجيل، واضطرار المتعامل معها إلى حمل طرق التحقق الثنائي الأخرى على الدوام، وصعوبة استرجاع الدخول على الحسابات في حال السفر أو عند تغيير أجهزة المستخدمين، وهذا تسبب في إبعاد الناس عن تقنية مفيدة جدا.
ومن الأمور المعنية بالعوامل النفسية والسلوكية
فصل أمن المعلومات عن السلوك اليومي للموظف، إذ يتم معاملة أمن المعلومات كأعمال إضافية يؤديها الموظف وكمسؤولية تقع على عاتقه في حين أنه غير مؤهل لتحملها بحكم عدم التخصص مثلاً، وهنا يكون دور إدارات أمن المعلومات في المؤسسات من حيث إيجاد التثقيف والتدريب الموجه لكل الموظفين باختلاف أدوارهم، وبدمج مسؤوليات أمن المعلومات في أعمال الموظفين بسلاسة دون كسر لمنظومة سير العمل ودون جعلها عائقاً أمام إنجاز المهام.
الهندسة الاجتماعية
ومن المؤسف أن العديد من المهاجمين (القراصنة) أتقنوا استغلال الجوانب النفسية في الهجوم، ولديهم علم كامل يسمى الهندسة الاجتماعية Social Engineering ، إذ يتقن علماء هذا الفن كل سبل الخداع والاستغلال والتضليل والاستفادة من نقاط ضعف الجانب البشري لاختراق وتجاوز أقوى الأنظمة الأمنية في العالم. وإذا كان المهاجمون قد أتقنوا هذه الفنون، في حين لم يسمع عنها العديد من المدافعين، فهذا يعني أن الكفة غير متساوية، وأن إهمال الجانب النفسي والسلوكي في أمن المعلومات خطأ بالغ الخطورة. ويظهر تقرير عالمي متخصص أن نسبة نجاح الهجمات التي تعتمد على الهندسة الاجتماعية تبلغ 80 %، وهذا يعكس أهمية أخذ عوامل الفشل هذه على محمل الجد.
إن هذه الأسباب التي ذكرناها آنفا مدمرة لأي برنامج أمن معلومات في أي مؤسسة إذا لم تستفق وتبحث عن وجود هذه الأسباب في أسلوب عملها وسياساتها، وإذا كانت موجودة في المؤسسة فيجب عدم ادخار أي جهد في سبيل إزالتها وتجاوزها، لضمان سير أعمال المؤسسة بأمان وسلاسة وانتظام.