عربي English Türkçe أردو فارسى
pdf
Logo

حلول لمسؤولي تقنية المعلومات المصابين بأعراض نسيان كلمات السر الكثيرة

خبراء الأمن المعلوماتي يصفونه بالعلة التي تهدد استقرار هذا القطاع الحيوي

  • لندن: كالوم ماكليود *
TT
TT
  • لندن: كالوم ماكليود *

أنا مصاب بأعراض كثرة كلمات السر. وحينما ذهبت لرؤية طبيبي كان هو الآخر مصابا بنفس الداء، حيث وجد صعوبة في الوصول إلى ملفي على شاشة كومبيوتره. كذلك كان الحال مع الصيدلاني الذي كان مصابا بالأعراض نفسها على الرغم من أنهما لا يعملان في حقل «تقنية المعلومات».

كل ما سبق يعود إلى حقيقة أن لكل منا عددا كبيرا من كلمات السر، بالإضافة إلى أرقام الشفرة الخاصة بحساباتنا المصرفية، لدرجة أصبحنا معها غير قادرين في كثير من الأحيان على تذكرها. هل جلستَ يوما أمام الكومبيوتر محاولا تذكرة كلمة سر ما، فأصيبت ذاكرتك عندها بالتعتيم الكامل؟ وإذا كنت تظن أنك عاجز عن تذكر بعض هذه الكلمات القليلة أصلا، فما بالك بذلك بمسؤول دائرة تقنية المعلومات، الذي عليه أن يحفظ مئات الكلمات والشفرات الرقمية السرية، بما فيها تلك التي تحمي معلومات حساسة خاصة بشركته. قد يلجأ إلى كتابتها على تلك الأوراق اللاصقة التي توضع على إطار شاشة الكومبيوتر، أو يلقيها في درج مكتبه، وربما يجمعها كلها في ملف جدول إلكتروني في برنامج «إكسل»، أو وثيقة «وورد». إنني أتخيل الآن سعادة الهاكرز أو مخترقي الشبكات وهم يستمعون إلى مثل هذه الأفكار، التي تجعل من أساليب «الحفظ» هذه مصدرا سهلا للسطو والحصول إلى أسرار المؤسسات.

إن العمود الفقري لكل بنية تحتية خاصة بأي مشروع تجاري هو تلك الشبكة الكبيرة من المستخدمين لها، والأجهزة الخاصة بها، والهياكل الخاصة بمسائل الصيانة والأمن والتي تنشيء شبكة الاتصالات أو المركز العصبي لهذه الشركة أو تلك. وكل يوم تقوم أعداد كبيرة من الإداريين المعنيين بشبكة الاتصالات وأمنها بالوصول إلى نقاط حساسة لأغراض الصيانة العادية أو التصليح أو تجديد البرامج لأغراض الأمن. والكثير منهم يتنقلون وفي حوزتهم تلك الأرقام وكلمات السر، بالإضافة إلى تلك التي تخص حساباتهم المصرفية الشخصية، وهم في الغالب عرضة لفقدانها جميعها.

وكم يبدو الأمر مثيرا للدهشة حينما نرى أن هناك الكثير من المؤسسات التي تلجأ إلى إبقاء كلمات السر داخل مكاتبها محفوظة في ملف جداول إلكترونية أو ملف قاعدة بيانات، داخل جهاز كومبيوتر. وتظهر تجربة تسلل سريعة كم هو سهل للوصول إلى هذه الوثائق وسرقتها. ويمكن اعتبار التعامل السيئ مع كلمات السر المرورية، الخاصة بالأعمال الإدارية السبب الأساسي وراء كل الاختراقات الأمنية التي تتعرض لها المؤسسات، وهي من أهم الأسباب الدافعة للقيام بعمليات طويلة الأمد لإخراج تقنية المعلومات من إخفاقاتها.

ويمكن اعتبار أفضل طريقة فعالة تساعد على التقليل من آثار «أعراض تضخم عدد كلمات السرية» هو اتباع هذه الخطوات: * الإدارة المركزية: غالبا ما تسيطر مجموعات تقنية معلومات مختلفة على جيوب مختلفة من كلمات السر. ولذلك من الضروري إتباع الخطوات التي تساعد على إنشاء سياسة وإجراءات مركزية وآليات يفترض اتباعها من قبل الموظفين المعنيين. وإذا لم يتم ذلك فلن يكون هناك أي طريقة تضمن لكل مشروع تجاري أو وحدة تقنية أن تقوم بأفضل ما يمكن لمنع دخول المتطفلين إلى أسرارهما.

* الخزن المأمون: يجب أن تكون كلمات السر الإدارية محفوظة بطريقة تتطلب فحصا دقيقا لهوية المستخدم، مع تحكم دقيق في الوصول إلى المعلومات، واستخدام وسائل التشفير والتدقيق.

* توفر الأمن على مستوى عالمي: أصبح الدخول إلى المعلومات عن بعد أمرا حساسا هو أيضا. فمع وجود مبدأ توزع أعمال المؤسسات على صعيد العالم كله، أصبح الإداريون بحاجة إلى شبكة إنترنت تتجاوز الحدود الإقليمية، حيث يكونون قادرين على استخدام كلمات السر بأمان من أي نقطة في العالم، سواء كانت ضمن شبكة المؤسسة أو خارجها.

* آلية السيطرة المزدوجة: سيتطلب هذا الأمر شخصين إداريين أو أكثر للوصول إلى كلمات السر المفضية إلى أكثر الأجهزة الخادمة حساسية.

* تغيير كلمات السر بشكل روتيني وتعقب تواريخ استخدامها: إضافة إلى الخزن المأمون، فإن الطريقة الوحيدة التي تضمن أمنا طويل الأمد لكلمات السر هو تغييرها بشكل منتظم وروتيني.

* التدقيق بإتباع الحدس: مع استخدام كلمات السر أو تغييرها أو إضافة كلمات سر أخرى، يكون إداريو الشركة بحاجة إلى تدقيق مواقعها وكيفية استخدامها بدون فتح كل ملفات المتابعة. وتتطلب الإجراءات الهادفة للالتزام بالأنظمة المقرة إلى القيام بإجراءات التدقيق وتعقب إجراءات الوصول إلى الأنظمة الحيوية.

* خطة لتجاوز الكوارث: تلعب الحسابات الإدارية دورا أساسيا في عملية تجاوز آثار الحوادث الطارئة التي تتراوح بين مشكلة بسيطة إلى كارثة على مستوى المؤسسة بأكملها. انظر إلى التقنيات الخاصة بالتطبيقات الأتوماتيكية الأمنة للمعلومات الإدارية التي تستطيع أن تضمن توفر تلك الحسابات في الوقت الذي تبرز الحاجة إليها.

* توفير «ملجأ أمن» أو قبو داخل الشبكة، تكون كل كلمات السر الخاصة بإدارة هذه الشركة أو تلك موضوعة في أراشيف أمنة، مع إمكانية استخدامها ونقلها من قبل كادر تقنية المعلومات وللإداريين العاملين عبر الإنترنت أو أولئك الإداريين الموجودين في حقول العمل نفسها.

وأقول إلى رجال تقنية المعلومات أن هناك ضوء وأمل في نهاية نفق مرض نسيان كلمات السر الكثيرة، يتمثل بعلاج جديد سيقضي عليه تماما، يتمثل بوضع المعايير والمنتجات السليمة في مكانها، وعندها سيجدون كلمات السر التي يريدونها محفوظة بأمان في مكان لا يستطيع أحد سواهم أن يصل إليه.

* مستشار أول في شركة cyber-ark.com البريطانية المتخصصة في أمن المعلومات