عربي English Türkçe أردو فارسى
pdf
Logo

«الشرق الأوسط» تلتقي أول سعودي يتقلد منصب مستشار أمن المعلومات في شركة مايكروسوفت العالمية

الراشد: احترفت في مجال تشفير المعلومات ووضعت بصمتي العالمية على حماية المفاتيح العمومية التي كانت شبه مستحيلة

  • الرياض: عبد الله الغامدي
TT
TT
  • الرياض: عبد الله الغامدي

يستمتع جميع أفراد المجتمع بكافة فئاتهم بالقصص والروايات التي تحكى حول الأعمال التي ينفذها مخترقو الأجهزة الكومبيوترية والشبكات (الهاكرز)، ويتطلع القراء والمشاهدون إلى متابعة التحقيقات التي تنشرها وسائل الإعلام المختلفة، ويعم الصمت تلك المجالس التي تدور فيها الحوارات حولهم، للاستماع إلى التفاصيل الدقيقة لتلك الأحداث التي قاموا بها، منبهرين بالإثارة والغموض والقدرات التي تحيط بهذا العالم، وما أن ينتهي المتحدث حتى تلتفت الرؤوس إلى متحدث آخر يروي لهم ما سمعه عن مغامراتهم، مستعرضاً بذلك عضلاتهم الإلكترونية وقواهم الخارقة، مصوراً إياهم كأبطال لم تستطع كافة الحواجز المقامة من التصدي لهجماتهم الالكترونية لمنع وصولهم إلى البيانات السرية. وما أن تنتهي تلك الأمسية حتى تجد جلساءها يتداولون عبارات ذات علاقة بعمليات الاختراقات وأساطير الهاكرز، متمنين في أن يكون لديهم جزء من قدراتهم، رغم أن حقيقة أغلبية الهاكرز وخاصة الهواة منهم لا تتعدى أعمالهم غير الحصول على أدوات برمجيه تتيح لهم الاستدلال على المنافذ المفتوحة، التي من خلالها يتم الوصول إلى المعلومات الخاصة المخزنة على الأجهزة، والتي ليس من حقهم الإطلاع عليها أو الحصول على نسخ منها، ومن هذا المنطلق نتفق جميعا على أن هذه الفئة مجرد لصوص تمكنوا من سرقة معلومات خاصة، وهي جريمة تعاقب عليها القوانين المحلية والدولية.

وحديثنا اليوم لن يتعلق بأولئك المخترقين للأنظمة، فهم في يقين كافة الكتّاب والمتخصصين مجرد مجرمين لا يستحقون الكتابة عنهم كأبطال، بل نتناول أحداثهم من الجوانب الخبرية ليس إلا، ولكن هناك أبطالاً حقيقيين يشار لهم بالبنان عالمياً، كاولئك الذين أبدعوا في ابتكار نظم لحماية البيانات من الاختراق، ومما يدعونا للفخر أن يكون من بينهم أحد أبنائنا السعوديين.

سمعت عنه كثيراً قبل أن أراه، فقد أنجز أيمن الراشد مستشار أمن المعلومات في شركة مايكروسوفت العالمية، ذو الخمسة والعشرين ربيعاً، الاختبارات الدولية التي طرحت عليه في أقل من خُمس المدة التي حددت له، ليصنف ضمن أوائل الأشخاص عالمياً في سرعة اجتيازها، ويعد أصغر 25 مستشاراً في الشركة العالمية وأحد أعضاء فريق التطوير لفحص المنتجات قبل طرحها في الأسواق.

طال انتظاري لمقابلته إلى ما يقارب عاما كاملا، ففي كل محاولة أتفاجأ بأنه في دولة ما حول العالم يقدم لحكومتها استشارته لحل مشاكل في الأمن المعلوماتي وإجراء الفحوصات لمستوى الحماية على بياناتها، وتكررت محاولاتي للالتقاء به، بينما كان خلالها يتنقل بين دول العالم خلالها ليضع بصمته الأمنية على أنظمتها، وعندما أراد أخذ قسط من الراحة بجوار عائلته في الرياض، كان لـ«الشرق الأوسط» اللقاء التالي:

* كيف بدأت اهتمامك في مجال أمن المعلومات، وما هي الظروف التي ساعدت على إبرازك في هذا المجال؟

ـ بدأ اهتمامي بهذا المجال منذ صغري، فالوسط العائلي والأصدقاء من العاملين والمهتمين في مجال أمن وتقنية المعلومات، فتولدت لدي نزعه للتعلم ومعرفة المزيد عن الأمن المعلوماتي، فعلى عكس الذين يبدأون بعمليات الاختراق والتجسس على الآخرين، تعلمت بعض المعلومات البسيطة عن حماية البيانات، فلم أزاول يوما عمليات الاختراق لأنني لا أجد فيها الإثارة أو التعلم، على عكس الحماية التي تحتاج إلى تعلم ونظريات ومزيد من التدريب. واشتركت خلال عملي كمتدرب في فصل الصيف في إحدى الشركات العاملة مع وزارة الدفاع السعودية، في تطوير منتج في مجال الأمن.

ووجدت حلمي الضائع بعد تخرجي كمحلل للنظم من كلية الكومبيوتر، عندما عملت مع الدكتور عبد القادر الفنتوخ الذي وضعني على هذا المسار وأدين له بالكثير، فالتحقت خلالها بكثير من الدورات التدريبية المتخصصة في امن المعلومات، مما أدى إلى زيادة حصيلتي وتركيزي واهتمامي به، لأعمل كاستشاري في أمن المعلومات أقيم الدورات للعملاء في هذا المجال.

* ما هي الأعمال التي أبرزتكم للعالمية في مجال حماية المعلومات؟

ـ بعد أن وجدت ضالتي، كانت لدي الرغبة في التوسع في مجال أمن المعلومات، فانتقلت إلى شركة مايكروسوفت العربية التي منحتني فرصة أثني عشر شهراً للحصول على شهادة هندسة النظم المعتمدة من مايكروسوفت (MCSE) والتدريب على امن منتجاتها، وهو أمر مختلف بالنسبة لي، فقد تركزت خبرتي على حماية الشبكات على منتجات مختلفة، مما تطلب معه تركيز الجهد، لأنهي كافة التدريبات المطلوبة في أقل من 10 أسابيع، لأصنف بذلك ضمن أوائل الأشخاص عالمياً في سرعة إنهاء تلك الاختبارات، التي كانت كإثبات لمقدرتي والحصول على الوظيفة. وبدأت العمل كاستشاري متخصص في حماية شبكات وتطبيقات عملاء الشركة العالمية، كما ألحقت للعمل مع فريق مطوري التطبيقات والبرامج الموجودين في الولايات المتحدة، لفحص النواحي الأمنية في المنتجات الجديدة قبل طرحها في الأسواق.

* هل احترفت في مجال محدد في أمن المعلومات، وماذا أضفت عليه؟

ـ نعم، فقد ساعدني تخصصي كمحلل نظم وهوايتي في أمن المعلومات التي طورتها، في الاحتراف في مجال التشفير عامة وفي مجال المفاتيح العمومية المعتمدة على تقنية الشهادات الرقمية (PKI) على وجه الخصوص، وهو مجال جديد والتطور فيه بطيء جداً، نظراً لتعلق تصميمه بنسبة 80 في المائة بالنواحي السياسية والقانونية للدول، فيما لا تتعدى الناحية التقنية العشرين في المائة منها.

وقمت بتطوير العديد من الأعمال على هذا الجانب، ومن أميزها تصميم حماية ذات مستوى عال على الشهادات الرقمية المعتمدة، التي كانت في السابق شبه مستحيلة، إضافة إلى تعديل بعض التصاميم ونظم الحماية في منتجات مايكروسوفت، وعلى إثره تم اختياري كأحد المرجعيين في مايكروسوفت في هذا المجال، واختياري ضمن فريق تصميم الإصدار المقبل من نظام ويندوز.

* هل يتم الاستعانة بخبرتكم على مستوى الشركة العالمي؟ وهل هناك تحسس كونك مسلماً عربياً؟

ـ نعم، فحاجة عملائنا على نطاق عالمي لحل الإشكالات التي يواجهونها تفرض علي التنقل في جميع الدول، إضافة إلى تقديم العديد من الدورات التثقيفية والاستشارات للشركات والحكومات والجهات العسكرية والسرية. وكنت أواجه مشكلة تحسس بعض الحكومات من كوني مسلماً عربياً، لكن الشركة ملتزمة بخدمة عملائها، وكانت ردود الشركة في حالة رفض تلك الحكومات لخدمتي «إذا رفضوا خدمتك فسنعتذر قائلين: لا يوجد سواك قادر على القيام بحل تلك المشاكل في الوقت الحالي».

* دائما ما نجد تعليقات في الصحافة العالمية والمحلية حول هشاشة أنظمة مايكروسوفت وسهولة اختراقها، فما تعليقكم بحكم اختصاصكم؟

ـ تم الحكم ببساطة على منتجات قديمة غير صالحة للعمل في البيئة الحالية، وفي كثير من الأحيان يستخدم الأشخاص العديد من المنتجات بإعدادات خاطئة لخصائصها، كأن يستخدم موظف نظام ويندوز 95 أو 98 في بيئة العمل ثم يتذمر من عدم كفاءة الناحية الأمنية عليها، فعندما بدأت مايكروسوفت بتطوير نظام ويندوز إن تي 4.0 لم تركز على الجانب الأمني واقتصر الاهتمام على فعاليته في الشبكات الصغيرة، ولم تكن هنالك مشاكل. فلم تكن هناك شبكة انترنت في متناول الجميع كما هو اليوم، ولكن عندما ظهرت الانترنت تغير المفهوم. وأود أن أوضح ان مايكروسوفت أصبحت مستهدفة أكثر من غيرها فنجد تضخيم الحديث حول الناحية الأمنية في منتجاتنا التي تعد الأكثر استخداما عالميا، لذلك يركز عليها المخترقون وصانعو الفيروسات لمهاجمتها، إضافة إلى بعض الأسباب التي تقف خلفها العديد من الجهات التي تحاول سحب البساط من تحتنا، ولكن نقول أحكموا على أمن المنتجات الحديثة التي أوجدت حسب بيئة العمل الحالية، ولدينا في «ويندوز دوت نت» الكثير والكثير من المميزات في هذا المجال التي ستظهر قريباً.

* هل يعني ذلك أن مايكروسوفت أضافت على إصداراتها الحديثة أو المستقبلية أمناً عاليا؟

ـ هل تريد أن أحدثك عن كل شيء قمنا به، ربما من الأفضل لأنه سيوفر عليك الكثير من التساؤلات. بالطبع هنالك بريد الكتروني تسرب بطريقة ما، هذا البريد أرسل من قبل بيل غيتس لكافة موظفي الشركة، ولا يتخذ غيتس هذه الطريقة إلا نادراً عندما يكون هناك تغير في سياسة الشركة. وكان عنوان الرسالة «موثوقية الكومبيوتر»، حيث قال فيها «من الآن فصاعداً ستتغير سياسة الشركة، فسيتم التركيز على المجال الأمني بدلاً من التركيز على المميزات». وبناء على ذلك أوقف المطورون في الشركة لمدة شهرين لمراجعة الشفرة وتدريبهم على كيفية التصميم الآمن والتأكد من خلو المنتجات من المشاكل، مما أدى إلى تأخر طرح جميع المنتجات، وهذا التوقف كلف مايكروسوفت أكثر من 100 مليون دولار. ومن الملاحظ أن منظور الشركة أخيراً قد تغير بالكامل، فهناك داخل مايكروسوفت فريق أطلق عليه SWI مهمته مساعدة فريق التطوير في تصميم المنتجات وتعديلها قبل طرحها، كما لوحظ أن كثيراً من الخصائص التي تتوفر على نظم ويندوز عند تحميلها لا يتم استخدامها وتجهيزها، مما دعانا إلى عدم تفعيلها في الإصدارات المقبلة، وترك خيارها المستخدم.

* كيف تتم عمليات الهجوم على الأنظمة الشبكية، وما هي العناصر الأساسية في إتمامها؟ وهل لاحظتم بصمات لهجمات على المواقع السعودية؟

ـ هناك أربعة عناصر أساسية لإتمام عملية الهجوم على الأنظمة بنجاح هي، الشخص، والدافع، وأداة الاختراق، ووجود ثغرة في النظام المستهدف، وحتى يصبح لديك القدرة على حماية الأنظمة ومنع أية عملية اختراق، لا بد من توفر البرمجيات المضادة للاختراق والمضادة للفيروسات وتفعيلها بصورة صحيحة على النظام. وفي ما يتعلق بالهجمات على المواقع السعودية، فلم ألاحظ آثاراً لذلك على الأجهزة التي قمت بزيارتها، لكن أتوقع وجودها، فالجرائم الالكترونية المنظمة يتم فيها الحذر والتخفي بهدف استمرار تدفق المعلومات لمقايضة تلك الجهات لدر المزيد من الأرباح، بعكس هجمات الهواة التي تتم لمجرد التباهي من دون أهداف محددة.

* ما هو أخطر أنواع الهجوم على الشبكات وهل هناك طرق مستحدثة لم يتم إيجاد الحلول لها؟

ـ تعتمد خطورة الهجوم على قيمة المعلومة لمالكها، ومن اخطر الهجمات التي تواجه الأعمال على الانترنت هو رفض تقديم الخدمة، وقد يكون النظام لديه القدرة على كشف كافة عمليات رفض الخدمة، إلا أن الخطورة تكمن في عملية تعليق الخدمة بإشغال الخطوط الموصلة لها قبل وصولها للأجهزة التي تتضمن البرمجيات المضادة للأعمال التخريبية، وهناك حلول جزئية لهذه المشكلة لكن لا تتوفر حلول متكاملة حتى الآن.

* نعلم أن جميع النواحي الأمنية مرتبطة بالبرمجيات، فهل هناك استراتيجية لتطوير الأجهزة لزيادة أمن المعلومات؟

ـ هناك توجه عالمي نحو ربط الأمن المعلوماتي بالأجهزة وزيادة التفاعل بين البرمجيات والأجهزة لرفع مستويات الأمن عليها، وتعمل شركتا (مايكروسوفت) و(أنتل) وشركائهما حالياً على تطوير منتجات وبرمجيات في هذا الجانب، ولكن لن اسبق الأحداث.

* ما هي طموحاتك المستقبلية التي تهدف إلى تحقيقها؟

ـ طموحاتي في إيجاد مركز أو فريق أبحاث لتطوير أمن المعلومات في السعودية، وهذا يحتاج إلى دعم كبير جداً، فالأنظمة الأمنية المطورة خارجيا لا تزال محل شك لأننا لم نطورها بأنفسنا، وارجو ان تسمح لي الآن بالرحيل للحاق بموعد رحلتي إلى خارج السعودية لأقدم استشارة لدولة ما.