عربي English Türkçe أردو فارسى
pdf
Logo

خبراء واستشاريون عرب وأجانب : أمن تقنية المعلومات في الشرق الأوسط لا يزال في مراحله الجنينية

التقصير في وضع سياسات محكمة لأمن المعلومات يشمل المؤسسات والشركات وحكومات المنطقة وعمليات الاختراق التعليمية مفيدة للغاية

  • لندن: «الشرق الأوسط»
TT
TT
  • لندن: «الشرق الأوسط»

استقطب مؤتمر الشرق الأوسط الثالث لأمن المعلومات الذي نظمته أكاديمية اتصالات مؤخراً في دبي، نخبة من الخبراء والاستشاريين في مجال أمن المعلومات من الولايات المتحدة الأميركية وأوروبا والشرق الأوسط وغيرها. وقد ناقش هؤلاء الحالة الراهنة لأمن تقنية المعلومات في الشرق الأوسط، والسبل الكفيلة بالنهوض به، من خلال ترسيخ ممارسات سليمة وفعالة في هذا المجال. واستأثر الجانب التشريعي بحيز كبير في هذا المؤتمر. ولعل هذا الاهتمام راجع إلى صعوبة التعاطي مع الجرائم الإلكترونية، وكشف خيوطها مع التشريعات القائمة، التي يجب أن تتطور باستمرار لتلافي نواحي القصور التي تظهر مع تواتر الأحداث والتجارب. ويزداد الأمر تعقيداً في منطقة الشرق الأوسط حيث لا تزال محاولات سد الفراغ التشريعي في مجال التجارة الالكترونية، ومكافحة الجريمة الإلكترونية تراوح مكانها. ورغبة في إطلاع القارئ الكريم على أهم ما تناوله هؤلاء الخبراء في هذا المؤتمر، نقدم فيما يلي ملخصا لتعليقات مجموعة منهم:

* الدكتور دعاء فارس ـ مدير عام أكاديمية اتصالات

* قال الدكتور دعاء فارس ان مؤتمر الشرق الأوسط الثاني لأمن تقنية المعلومات «MEITSEC-2003»، يأتي في سياق الدور الرائد لمؤسسة الإمارات للإتصالات ممثلةً في «أكاديمية اتصالات» في النهوض بخدمات تقنية المعلومات، ذلك الاتجاه الحيوي الهام الذي فرض نفسه ونحن على أعتاب عهد جديد تسود فيه المعلوماتية وتقنية المعلومات شتى أوجه الحياة وقطاعات الأعمال المختلفة، وقواعدها المعلوماتية وشبكاتها التقنية، مما يستلزم تأمينها ضد الممارسات السلبية والتأثيرات الهدامة، التي تهدد كبرى الشركات والهيئات وقطاعات الأعمال بصورة متزايدة، والتي تتطور وتسبق أحياناً القيمة المضافة لتقنية المعلومات ذاتها.

وأكد الدكتور دعاء أن الأهداف التي يصبو إليها هذا المؤتمر لا تقتصر فقط على الموضوعات المطروحة وأساليب التعامل معها بإيجابية لدعم هذه الصناعة الإستراتيجية بمحاورها التقنية والتشريعية والقانونية فحسب، وإنما تشمل أيضا استنباط التوصيات الفاعلة التي يمكن أن تفيد بدورها الهيئات الرسمية والخاصة في المنطقة وداخل دولة الإمارات، إلى جانب التوصيات الفنية والتقنية التي تفيد مسؤولي الشبكات النظم والتطبيقات في الهيئات والمؤسسات الحكومية والخاصة، فضلاً عن دعم وتطوير وإعداد الكوادر البشرية العاملة في هذا المجال في الهيئات والمؤسسات المختلفة.

* نايجل وورثي ـ رئيس «وورثي أسوشييتس» لاستشارات أمن المعلومات والشبكات

* شرح السيد وورثي مفهوم التدقيق الأمني الذي يقضي بتحديد جميع مكامن الضعف، والتأكد من انسجام جميع الأنظمة متوافقة على نحو آمن، والقيام بتحليل المخاطر لتحديد الممارسات غير السليمة، والمساعدة على وضع استراتيجيات دفاعية ضد المخاطر الرئيسية. وتطرق لأنواع التدقيق الأمني خاصة التدقيق المتعلق بالجدران النارية والشبكات، والعناصر المكونة له مثل مراجعة السياسات الأمنية والوثائق ذات الصلة بها، وإجراء مقابلات، والقيام ببحث فني، وإعداد التقارير وتقديمها.

كما سلط وورثي الضوء على عناصر السياسة الأمنية بدءاًً بمن له الحق في استخدام الموارد، والوصول إلى المعلومات واستعمالها، وكيفية التعامل مع المعلومات الحساسة. وأوضح الغاية من القيام بعمليات التدقيق الأمني، مشيراً على وجه الخصوص إلى قياس مدى دقة السياسة الأمنية، وتقييم المخاطر، والخسائر المحتملة، وإحداث تغيير في الإدارة.

* مصطفى سرهنك ـ رئيس شركة أنظمة أمن الإنترنت الشرق الأوسط ISS

* اعتبر سرهنك أن مستوى إستخدام النظم التقنية المتقدمة ومستوى التفعيل الأمثل لها في بيئة نظامية، هو من الأمور الدالة على قياس مدى التقدم أو التخلف داخل أي كيان. ومع الاعتماد المتزايد على البيئة المعلوماتية، أضحى التعامل معها بنفس درجة الأهمية التي يتم التعامل بها مع الأصول الأخرى الثابتة أو الملموسة إن جاز التعبير مثال الأموال، والعقارات، والأسهم، وما إلى ذلك. من هذا المنطلق وكما يتم التأمين على الأصول الملموسة وتلصق بها أهمية قصوى، أصبح لزاما السير فى نفس الدرب التأميني وتطبيق سياسة تأمينية شاملة على الأصول المعلوماتية غير الملموسة.

وقد تناول سرهنك المنظور الأمني لتقنية المعلومات من خلال عرض الشق الأمني للمبادرات الإلكترونية المختلفة من حكومة إلكترونية لتجارة إلكترونية، وما إلى ذلك، ومدى الإرتباط الوثيق والأساسي بين هذه المبادرات والأمن المعلوماتي، مع شرح مفصل للجرائم المعلوماتية وأشكالها المستحدثة، مثال الإرهاب المعلوماتي وإمكانية حدوثه من عدمه، مع إستبيان الأنماط المختلفة للإختراقات وتداعياتها. واستعرض بعض المفاهيم الهامة والمصطلحات الدارج استخدامها في مجال الأمن المعلوماتي، مع شرح كيفية بناء سياسة تأمينية متكاملة لها أهداف واضحة وأسس مرتبطة إرتباطا كليا وجزئيا بالقيمة الفعلية للمعلومات المراد تحصينها وحمايتها من العبث أو التدمير. وأخيرا تطرق للوضع الأمني للمنطقة العربية فى ظل التحديات والتداعيات التي تمر بها من منظور الأمن المعلوماتي.

* فيليكس ليندنر ـ مخترق (هاكر) عالمي ومستشار أمني لشركة ألمانية متخصصة بأمن الشبكات

* حظي فيليكس ليندنر باهتمام كبير طوال أيام المؤتمر سواء من طرف خبراء أمن المعلومات، أو مدراء الشركات، أو وسائل الإعلام. ولعل مرد ذلك إلى كونه يعد من أبرز المخترقين البارعين في العالم، وإن كان يصر دائماً على ابعاد صفة المخترق في بعدها السلبي عن نفسه، فهو خبير في اختبار وتقييم أمن تطبيقات أنظمة التشغيل، تتنوع قائمة عملائه بين شركات الاتصالات الكبرى، والبنوك والمؤسسات المالية، وشركات أمن المعلومات.

وبحسب فيليكس تتعدد أسباب الإقبال على الاختراق تعدد المخترقين أنفسهم. وغالبا ما تبدأ فكرة الاختراق من خلال الحاجة إلى إطلاق العنان للتفكير المبدع، وهو ما لايتأتى إلا إذا كان الفرد مبرمجاً يستخدم تقنية «المصدر المفتوح»، أو مخترقاً لأن فيما عدا ذلك، تكون الشركات والمؤسسات قد أغلقت الباب على أغلب محاولات الاختراق. ولا يرى فيليكس عيباً في استفادة الشركات والمؤسسات من خبرات ومهارات المخترقين السابقين، ما داموا قد وضعوا «القبعة السوداء» جانباً. فالمخترق يأتي محملاً بتجارب واسعة تعين على تعزيز الأساليب والتقنيات الدفاعية ضد الهجمات التي تتعرض لها الشركات. ويعتقد أنه لا مجال للحديث في هذا الإطار عن الأخلاقيات، بل إن الثقة هي العنصر الأساسي في اختيار مخترق سابق كمستشار في أمن المعلومات، وهي مسألة تتحدد على المستوى الشخصي الصرف. ولعل تقسيم فئة المخترفين إلى «أبيض» و«أسود» قد ساهم في تحسين الصورة للعديد من المخترقين الذين أصبحوا استشاريين في أمن المعلومات، بكل ما تحمل الكلمة من معنى. وتطرق فيليكس إلى عمليات الاختراق التعليمية مؤكدا أنها مفيدة للغاية في نشر الوعي، وتبيان مكامن الضعف التي تغيب عن شركات البرمجيات والمبرمجين على حد سواء. ويرى فيليكس أن عمليات الاختراق التعليمية لا يمكن ترجمتها إلى الواقع كما هي.

* طارق حبيب ـ مدير أول للأعمال والتقنية ـ شركة «كومترست»

* تطرق طارق حبيب في عرضه أمام المشاركين في مؤتمر الشرق الأوسط الثالث لأمن المعلومات إلى طرح خدمات التجارة المتنقلة ـ في منطقة الشرق الأوسط، حيث أوضح أن ذلك أصبح ممكنا بفضل نظام بنية المفتاح العام اللاسلكي Wireless PKI، وتوفير أجهزة هواتف جوالة متطورة من حيث سرعتها ووظائف التشغيل التي تتميز بها، مما أدى إلى حل معضلة التوثيق الإلكتروني وما يفرضه من إشكاليات.

ويستخدم نظام بنية المفتاح العام أحدث تقنيات التشفير 128 ـ بت من أجل حماية المعلومات الرقمية، ونقل البيانات بطريقة آمنة، وهي التقنيات نفسها التي استخدمت في جعل خدمات الحكومات الإلكترونية والتعاملات المصرفية الإلكترونية في المنطقة أكثر أماناً. وتمكن هذه التقنيات المؤسسات والأفراد على حد سواء من التأكد من هوية الأطراف الأخرى التي يتعاملون معها، مما يفسح المجال أمام إنجاز معاملات رقمية حساسة مثل عمليات الدفع المالي. ومع ذلك يبقى عائق أخير أمام التجارة المتنقلة يتمثل في توفر التطبيقات. وقد أكد السيد حبيب أن نفس السيناريو كان قائماً حينما تم طرح الخدمات المعتمدة على الإنترنت لأول مرة. فقد كان السوق جاهزاً من الناحية الفنية، لكن لم يتم استخدام التقنية إلا عندما طرح مزودو الخدمة تطبيقات تستخدم هذه التقنية.

* كين كاتلر ـ نائب رئيس معهد أمن المعلومات، الولايات المتحدة الأميركية

* أكد كين كاتلر أنه على الرغم من الجهود الكبيرة التي يقوم بها خبراء أمن المعلومات، والشركات العاملة في هذا المجال من أجل نشر الوعي بأهمية أمن المعلومات وحمايتها، إلا أنه يمكن القول بأن الممارسات الخاصة بحماية المعلومات لا تزال في مراحلها الجنينية في الشرق الأوسط. ومع أن قضايا أمن الإنترنت، والفيروسات، ومكامن الخلل في البرمجيات، ومنافذ الاختراق اللاسلكية تستحوذ على اهتمام الكثيرين، إلا أن خبراء أمن المعلومات لازالوا لا يجدون آذاناً صاغية عندما يؤكدون أن الطريقة المثلى لتأسيس بيئة أكثر أماناً، تكمن في إقدام المؤسسات على وضع نظم وإجراءات محددة خاصة بأمن المعلومات. وأضاف كاتلر أن التقصير لا يقتصر على المؤسسات والشركات التي لم تنجح لحد الآن في وضع سياسات محكمة لأمن المعلومات، بل يشمل أيضا حكومات المنطقة التي لا زالت محاولاتها لاتخاذ التدابير وسن التشريعات الخاصة بحماية المعلومات تراوح مكانها. ثم ان انعدام مراكز متخصصة، أو مايعرف بمراكز Security Clearing، يمكن الإبلاغ لديها عن عمليات القرصنة والاستفادة من إرشاداتها، يعتبر دليلاً آخر على غياب استراتيجية أمنية في المنطقة. وأكد الخبير الدولي أيضا أن اكتفاء المؤسسات والشركات بالتركيز على الجانب التقني البحت لمواجهة تحديات الأمن الإلكتروني لن يكون ذا جدوى، بل لا بد لها من تكوين لجان موسعة تتألف من ممثلين عن قسم التدقيق الداخلي، والموارد البشرية، والشؤون القانونية، والأمن، ومختلف وحدات الأعمال، تضطلع بمهمة تقييم المخاطر، وتطوير السياسات الأمنية، ونشر الوعي بين الموظفين بضرورة التقيد بها.

* الدكتور محمد الشربيني ـ مستشار في محكمة دبي

* تناول الدكتور الشربيني الدعاوى الناشئة عن استخدام التوقيع الإلكتروني، وذلك في ضوء قانون التجارة الإلكترونية لإمارة دبي، ومشروع قانون التجارة الإلكترونية المصري، موضحا أنه أصبح بمقتضى القانونين سالفي الذكر للتوقيع الإلكتروني ذاتها قوة التوقيع المادي ذاتها، وذلك وفق ضوابط معينة نص عليها هذان القانونان. كما استعرض الدعاوى الجنائية الناشئة عن التلاعب في التوقيع الإلكتروني، شارحاً الدعاوى التقليدية منها والمستحدثة، وتطرق للدعاوى المدنية الناشئة عن الفعل غير المشروع الذي يقع على التوقيع الإلكتروني أو بالاستعانة بالتوقيع الإلكتروني، وأعطى أمثلة عن هذه الأفعال غير المشروعة مثل نشر شهادة لمزود خدمات لم تصدر عنه الشهادة، أو عدم ممارسة مزود خدمات لعمله على الوجه الصحيح.

كما سلط المستشار الشربيني الضوء على الجوانب الإجرائية للجرائم المعلوماتية، وعرض للمبادئ العامة التي تستخدم في الإثبات الجنائي في الأنظمة الاجرائية المختلفة، وتأثير هذه المبادئ على التحقيق والحكم في الجريمة المعلوماتية. واستعرض الأسباب التي تؤدي إلى صعوبة الإثبات في الجرائم المعلوماتية، وبين الدور المتميز لمأمور الضبط القضائي، والمحقق الجنائي، والقاضي الجنائي في تناول مثل هذه الجرائم. واختتم المستشار الشربيني عرضه بالحديث عن عقد التأمين في المجال المعلوماتي، مؤكداً أنه مهما تقدمت وسائل التأمين المعلوماتي التي تقدمها الشركات المتخصصة، فمازال هناك احتمال لوقوع الاعتداء على المعلومات، ومن تم تظهر الحاجة إلى إبرام وثائق تأمين لهذه المعلومات. وأبرز وجود صعوبات تواجه إبرام مثل هذه الوثائق، لكن يجب التغلب عليها من خلال إدخال تعديلات تشريعية على قوانين التأمين.

* مورغان رايت ـ شركة «هوم لاند سيكيوريتي» ـ الولايات المتحدة الأميركية

* حاول مورغان رايت من خلال عرضه حول البعد البشري في جرائم الكومبيوتر أن يسلط الضوء على الاختراق من الداخل الذي تتعرض له الشركات، ويحلل الأبعاد المختلفة لسلوك الموظف الذي يقبل على اختراق شبكة المؤسسة أو الشركة التي يعمل بها. وأعطى مثالاُ على ذلك بالموظف الصيني الذي كان يعمل بشركة «إيليري سيستم» (Ellery Systems)، وقام في خطوة غير متوقعة بسرقة رمز المصدر للشركة، وتسليمه مقابل 550,000 دولار إلى شركة حكومية صينية، اتفق معها على تأسيس شركة منافسة لشركة «إيليري سيستم» في الولايات المتحدة. وبعد أن انكشف أمره، رفعت ضده دعوى، إلا أنه تبين أن ليس هناك نص قانوني يجرم التجسس الاقتصادي، وهو ما تم تداركه بسن قانون 1996.

وأكد مورغان أن الاختراق من الداخل (Inside Hacking) هو أشد خطورة من الاختراق الخارجي، لأن بمقدوره إلحاق أذى أكبر بالشركة لتوفر عامل الثقة المفترض في الموظف. وأشار إلى دراسة نشرت في الآونة الأخيرة أفادت بأن حجم الخسائر الناجمة عن الاختراق من الداخل تفوق خمسين مرة ذلك الناتج عن الاختراق الخارجي. وتناول مورغان بعض الصفات التي تتوافر في أخصائي المعلومات الذي يقدم عادة على اختراق نظام المؤسسة التي يعمل بها مثل الاحباطات الشخصية والاجتماعية، وإدمان الكومبيوتر، وعدم التقيد بأخلاقيات العمل، وضعف الولاء للمشغل. وأرجع الاختراقات التي تتعرض لها المؤسسات من طرف أخصائيي المعلومات إلى ضعف أنظمة الشبكة، والسياسات الإدارية لديها، فضلا عن ضعف التواصل بين المديرين، وعدم معرفة تفاصيل وافية عن الموظفين، وعدم الانتباه للإشارات التحذيرية. وخلص السيد مورغان إلى ضرورة دمج سياسات أمن المعلومات مع خطط التدريب والموارد البشرية.