كشف الدكتور خالد الغنيم، رئيس مجلس ادارة جمعية الحاسبات السعودية، أن حالة أمن المعلومات في السعودية تتطلب التحرك السريع لمواجهة المخاطر التي تتزايد في كل لحظة، وأكد على أنه من خلال التدقيق في قضايا أمن المعلومات في السعودية اتضح أن هناك خللا في أمن الأنظمة المعلوماتية فيها. ولتسليط الضوء على وضع أمن المعلومات في السعودية، ومدى تطبيق الجهات الحكومية والخاصة للمقاييس العالمية في هذا المجال، ومستوى الوعي بأهمية أمن المعلومات، وانعكاسه على تطبيق الجهات لخطط امنية متقدمة تحدث الدكتور الغنيم لـ«الشرق الاوسط» في الحوار التالي:
* هل حالة أمن المعلومات في السعودية تستدعي القلق؟
ـ نعم، حالة أمن المعلومات في السعودية تتطلب التحرك السريع لمواجهة المخاطر التي تتزايد في كل لحظة، يقابله في هذا الاتجاه زيادة الاعتمادية على الانترنت وشبكات الكومبيوتر مع اهمال ما يتعلق بأمن المعلومات.
* ما هي التهديدات التي تستهدف أنظمة المعلومات في السعودية؟
ـ هناك العديد من التهديدات التي تتعرض لها أنظمة المعلومات، من أهمها المخترقون، فمع تنامي الارتباط العالمي بشبكة الانترنت، اصبحت المجموعات المنظمة للمخترقين احد اهم التهديدات التي تقض مضاجع خبراء أمن المعلومات، حيث صارت الجريمة المنظمة وبأهداف متنوعة، مثل الابتزاز والتجسس، من اهم اشكال الهجمات على أنظمة المعلومات. ولم تعد الاختراقات كما كانت في الماضي من حيث محدودية القائمين عليها او اختلاف اهدافهم التي كانت غالبا بسبب دوافع ساذجة، مثل إظهار القدرات او الاستمتاع بالاختراق، فقد صارت هناك مجموعات اختراق منظمة لها دوافع، يتميز أعضاؤها بقدرات عالية نظرا لامتهانهم الاختراق، وتقوم تلك المجموعة باستهداف أنظمة المعلومات، وغالبا ما تكون أهدافهم إجرامية، بغرض الابتزاز والتلاعب بالحسابات البنكية على سبيل المثال، هذا بالاضافة لمن يوصفون بجنود الحرب الإلكترونية، وهم من المخترقين الذين قد تجندهم الدول او الشركات سواء لسرقة معلومات دولة أخرى أو شركة منافسة، أو إحداث أضرار جسيمة لأنظمة معلوماتها ما يؤدي لخسارة مالية او تأثير مباشر على كفاءة أنظمة تلك الدولة.
* وماذا عن المخترقين من الموظفين؟
ـ المخترقون الداخليون «الموظفون» هم المخترقون من داخل المنشأة، وغالبا ما يكون موظفا غاضبا أو مستاء، او ربما بسبب دوافع أخرى مثل الاختلاس أو سرقة المعلومات لصالح طرف ثالث «تجسس»، أما النوع الرابع من المخترقين فهم الهواة الذين هم اقل الأنواع ضررا في الغالب حيث أن الدوافع لديهم اقل خطورة ورغبة في التدمير، إلا انه من غير المقبول الاستهانة بتهديدات هذه الفئة.
* ما أسباب وجود الثغرات الأمنية في أمن المعلومات في السعودية؟
ـ من خلال التدقيق في القضايا الأمنية اتضح ان هناك خللا واضحا في أمن تلك الأنظمة من ابرزها عدم وجود نظم متكاملة لادارة أمن المعلومات، وعدم وجود سياسات تنظيم وتحكم أمن المعلومات، وقلة الوعي بأمن المعلومات، وعدم تطبيق مقاييس أمن المعلومات، أو المتطلبات الأساسية لحماية الشبكات، والتساهل وعدم الاهتمام الكافي بأمن المعلومات، والاتجاه لاستخدام الإنترنت دون وضع خطط لمواجهة التهديدات المحتملة، كالجدر النارية ونظم الكشف عن الاختراقات واتباع التوصيات العالمية في تعريف الأنظمة وتصميمها.
* ما هي الحلول المقترحة والواجب توافرها لتحقيق أمن المعلومات في السعودية؟
ـ ان مختلف الجهات في السعودية من قطاع حكومي، وعسكري، وخاص، أو مزودي خدمة الإنترنت، تحتاج لتأمين شبكاتها بحسب أهمية وقيمة المعلومات في كل منها. وللتأكد من وصول مختلف الجهات لمستوى أمني يضمن أمنا وطنيا مطمئنا يجب ان تكون هناك جهة مستقلة تأخذ على عاتقها متابعة وتدقيق الحالة الأمنية. أما ما يخص القطاعات الحكومية، فهي بحاجة ماسة لدمج أمن المعلومات بأنظمتها التقنية، كأحد المتطلبات الأساسية، وتصميم نظام موحد لادارة أمن المعلومات، تتبعه القطاعات الحكومية لدمج أمن المعلومات ضمن المتطلبات الأساسية لأنظمة المعلومات، على أن يتم التأكد من تطبيق مختلف القطاعات لهذه النظم، والتركيز على الاستثمار في الجانب البشري، وأهمية وجود جهة لتجميع المعلومات الخاصة بجرائم الكومبيوتر والاختراقات، ووجود قانون وجهة تحاكم فيما يخص القضايا الأمنية. بالاضافة إلى تنظيم برامج توعية باهمية أمن المعلومات، وكيفية تحديد المخاطر ومواجهة الثغرات، فكثيرا ما تعاني الجهات الحكومية والخاصة من عدم فهم القائمين على أنظمة المعلومات لأمن المعلومات وكيفية دمجه بالأنظمة القائمة، أو التي في طور الإنشاء، لذا فإن توعية تلك الفئة وتركيز أنظارها لأمن المعلومات مطلب ملح. ومن الضروري كذلك اصدار خطة وطنية لحماية أنظمة المعلومات في المملكة، فقبل عدة أسابيع أصدرت الحكومة الأميركية الخطة الاستراتيجية لحماية أنظمة المعلومات في الولايات المتحدة الأميركية، وهي خطوة حظيت باهتمام العديد من المختصين في أمن المعلومات، حيث تركز هذه الخطة على تأمين أنظمة المعلومات داخل اميركا وكيفية مواجهة التهديدات المحتملة، فوجود خطة وطنية في هذا التوقيت عامل مهم، حيث ان أكثر الأنظمة في المملكة ما زالت في طور التصميم والبناء، والمعروف أن دمج أمن المعلومات في هذه المرحلة أقل كلفة من دمجها في مراحل لاحقة، إضافة لذلك فإن بناء وتنفيذ الخطة سيجعل من المملكة واحدة من أوائل الدول في مجال أمن المعلومات.
* ماذا عن مزودي خدمة الإنترنت في السعودية ودورهم في أمن المعلومات؟
ـ ان مزودي خدمة الإنترنت في السعودية من أهم القطاعات في مجال أمن المعلومات، إلا ان الحالة الأمنية العامة في الإنترنت سيئة إلى حد بعيد، صاحب ذلك ضعف في الإمكانيات والموارد، مما يجعل تأمين شبكات مزودي خدمة الإنترنت حلما أكثر منه واقعا، لأن أهمية مزودي الخدمة تنبع من أن الارتباط بالإنترنت يمر من خلال شبكات هؤلاء المزودين، وعند حدوث أي مشكلة أمنية فإن الجهات المرتبطة قد تخسر هذا الاتصال، أو يؤدي لنشر معلومات سرية نظرا لاستضافة مزودي الخدمة لعدد كبير من خوادم البريد والإنترنت مع قواعد بياناتها، لذا فإن فرض الأمن، كأحد المتطلبات التي يجب على مزود الانترنت الالتزام بها، أمر ضروري جدا.