مـا المقصـود بأمـــن المعلومات وما هـي عناصره
أمن المعلومات ، من زاوية اكاديمية ، هو العلم الذي يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن انشطة الاعتداء عليها . ومن زاوية تقنية ، هو الوسائل والادوات والاجراءات اللازم توفيرها لضمان حماية المعلومات من الاخطار الداخلية والخارجية . ومن زاوية قانونية ، فان أمن المعلومات هو محل دراسات وتدابير حماية سرية وسلامة محتوى وتوفر المعلومات ومكافحة انشطة الاعتداء عليها او استغلال نظمها في ارتكاب الجريمة ، وهو هدف وغرض تشريعات حماية المعلومات من الانشطة غير المشروعة وغير القانونية التي تستهدف المعلومات ونظمها ( جرائم الكمبيوتر والإنترنت) .
واستخدام اصطلاح أمن المعلومات Information Security وان كان استخداما قديما سابقا لولادة وسائل تكنولوجيا المعلومات ، الا انه وجد استخدامه الشائع بل والفعلي ، في نطاق انشطة معالجة ونقل البيانات بواسطة وسائل الحوسبة والاتصال ، اذ مع شيوع الوسائل التقنية لمعالجة وخزن البيانات وتداولها والتفاعل معها عبر شبكات المعلومات- وتحديدا الإنترنت – احتلت ابحاث ودراسات أمن المعلومات مساحة رحبة آخذة في النماء من بين أبحاث تقنية المعلومات المختلفة ، بل ربما أمست أحد الهواجس التي تؤرق مختلف الجهات .
1-1 ما الذي نحميه – بوجه عام – بالنسبة للمعلومات ؟؟
( عناصر أمن المعلومات)
ان اغراض ابحاث واستراتيجيات ووسائل أمن المعلومات – سواء من الناحية التقنية او الادائية - وكذا هدف التدابير التشريعية في هذا الحقل ، ضمان توفر العناصر التالية لاية معلومات يراد توفير الحماية الكافية لها :-
ü السرية أو الموثوقية CONFIDENTIALITY : وتعني التأكد من ان المعلومات لا تكشف ولا يطلع عليها من قبل اشخاص غير مخولين بذلك .
ü التكاملية وسلامة المحتوى INTEGRITY : التأكد من ان محتوى المعلومات صحيح ولم يتم تعديله او العبث به وبشكل خاص لن يتم تدمير المحتوى او تغيره او العبث به في اية مرحلة من مراحل المعالجة او التبادل سواء في مرحلة التعامل الداخلي مع المعلومات او عن طريق تدخل غير مشروع .
ü استمرارية توفر المعلومات او الخدمة AVAILABILITY :- التأكد من استمرار عمل النظام المعلوماتي واستمرار القدرة على التفاعل مع المعلومات وتقديم الخدمة لمواقع المعلوماتية وان مستخدم المعلومات لن يتعرض الى منع استخدامه لها او دخوله اليها .
ü عدم إنكار التصرف المرتبط بالمعلومات ممن قام به Non-repudiation :- ويقصد به ضمان عدم انكار الشخص الذي قام بتصرف ما متصل بالمعلومات او مواقعها انكار انه هو الذي قام بهذا التصرف ، بحيث تتوفر قدرة اثبات ان تصرفا ما قد تم من شخص ما في وقت معين .
1-2 هل تحتاج اية معلومات عناصر الحماية ذاتها وبذات القدر ؟؟
( منطلقات خطة حماية المعلومات )
ان ضمان عناصر أمن المعلومات كلها او بعضها يعتمد على المعلومات محل الحماية واستخداماتها وعلى الخدمات المتصلة بها ، فليس كل المعلومات تتطلب السرية وضمان عدم الافشاء ، وليس كل المعلومات في منشأة واحدة بذات الاهمية من حيث الوصول لها او ضمان عدم العبث بها ، لهذا تنطلق خطط أمن المعلومات من الاجابة عن سلسلة تساؤلات متتالية :-
ü التساؤل الاول :- ما الذي نريد ان نحميه ؟؟ واجابة هذا التساؤل تحدد تصنيف البيانات والمعلومات من حيث اهمية الحماية ، اذ تصنف المعلومات تبعا لكل حالة على حده ، من معلومات لا تتطلب الحماية ، الى معلومات تتطلب حماية قصوى التساؤل الثاني :- ما هي المخاطر التي تتطلب هكذا حماية ؟؟ وتبدا عملية تحديد المخاطر بتصور كل خطر قد يمس المعلومات محل الحماية او يهدد امنها ، ابتداء من قطع مصدر الكهرباء عن الكمبيوتر وحتى مخاطر اختراق النظام من الخارج بواحد او اكثر من وسائل الاختراق عبر نقاط الضعف ، مرورا باساءة الموظفين استخدام كلمات السر العائدة لهم ، ويصار الى تصنيف هذه المخاطر ضمن قوائم تبعا لاساس التصنيف ، فتصنف كمخاطر من حيث مصدرها ومن حيث وسائل تنفيذها ، ومن حيث غرض المتسببين بهذه المخاطر ، ومن حيث اثرها على نظام الحماية وعلى المعلومات محل الحماية. وهو ما سنقف لاحقا عليه بشكل تفصيلي . ومتى ما تم الانتهاء من هذا التحديد يجري الانتقال الى التساؤل التالي .
ü التساؤل الثالث :- كيف يتم توفير الحماية لما نرغب بحمايته من المخاطر التي تم تحديدها ( وسائل الحماية ) ؟؟ وهنا تجد كل منشاة وكل هيئة طريقتها الخاصة في توفير الأمن من المخاطر محل التحديد وبحدود متطلبات حماية المعلومات المخصوصة التي تم تحديدها وبحدود امكاناتها المادية والميزانية المخصصة للحماية ، فلا تكون إجراءات الأمن رخوة ضعيفة لا تكفل الحماية وبالمقابل لا تكون مبالغا بها الى حد يؤثر على عنصر الأداء في النظام محل الحماية ، اذ لو تصورنا شخصا أراد حماية النقود الموجودة في منزله ، فانه من المقبول وضعها مثلا في قاصة حديدية ووضع حديد حماية مثلا على نوافذ المنزل ، او وضع جرس إنذار لأي اقتحام للمنزل وربما يمكن قبول هذه الوسائل الثلاث لتوفير الأمن من انشطة سرقة هذا المال . لكن ليس منطقيا بل مبالغا فيه ان يحمي هذا الشخص ماله بان يضع حراسا ( أشخاصا ) على منزله ، ويضع صواعق كهربائية على الأسوار الخارجية ، ومن ثم يضع حديد حماية على الأبواب والنوافذ ، ويضيف الى ذلك جرس إنذار لكل نقطة في المنزل ، فإذا ما دخلنا الى المنزل وجدنا كاميرات مراقبة عند كل نقطة ، ووجدنا بعدها ان الغرفة التي تحتوي القاصة الحديدية لا يسمح بالدخول اليها الا بعد تجاوز إجراءات تعريف خاصة كبطاقة تعريف او رقم سري على الأقفال او غير ذلك ، فإذا ما دخلنا الغرفة وجدنا اننا لسنا امام قاصة حديدية عادية ، وانما خزانة حفظ تفتح بقفل وقتي او ساعة وقتية ، او تفتح بمفتاحين او اكثر وبارقام سرية متعددة او غير ذلك من انماط القاصات المعقدة بل ووجدنا ان فتحها يتطلب ابتداء إلغاء جرس إنذار خاص بالقاصة نفسها . ان هكذا حماية لا يمكن ان تكون مقبولة ، لأنها ببساطة تجعل عملية حصول الشخص نفسه على بعض المال من بين نقوده عملية معقدة قد تدفعه لاحقا الى إهمال كل إجراءات الأمن هذه فيكون اكثر عرضة للسرقة من غيره ، وهذا ما نسميه التأثير على صحة الأداء وفعاليته . وفي بيئة المعلومات ، فمن الطبيعي مثلا ان نضع على جهاز الكمبيوتر الشخصي كلمة سر للولوج الى الملفات الهامة او حتى للنظام كله وان لا نعطي الكلمة لاحد ، وان نضع برنامجا او اكثر لمقاومة الفيروسات الإلكترونية الضارة ، ونراعي إجراءات مقبولة في حماية الدخول الى شبكة الإنترنت والتأكد من مصدر البريد الإلكتروني مثلا . فإذا كان الكمبيوتر خاص بدائرة او منشاة ويضم بيانات هامة ومصنف انها سرية ، كان لزاما زيادة إجراءات الأمن ، فمثلا يضاف للنظام جدران نارية تحد من دخول اشخاص من الخارج وتمنع اعتداءات منظمة قد يتعرض لها النظام او الموقع المعلوماتي ، واذا كان النظام يتبادل رسائل إلكترونية يخشى على بياناتها من الافشاء ، تكون تقنيات التشفير مطلوبة بالقدر المناسب . لكن لا يقبل مثلا على جهاز كمبيوتر خاص غير مرتبط بشبكة عامة ان توضع أنواع متعددة من الجدران النارية ، او ان يوضع على أحد مواقع الإنترنت وسائل تعريف متعددة لشخص المستخدم ، ككلمة السر والبصمة الإلكترونية والبصمة الصوتية ، وان يخضع نظام الموقع الى عدد مبالغ به من الفلترات والجدران النارية ، وتشفير طويل المدى لكافة البيانات الموجودة عليه والمتبادلة عبره ، وأيضا لا يقبل موقع أمني يضم بيانات سرية للغاية مجرد الاقتصار على كلمة سر للدخول للنظام . بمعنى ان إجراءات الحماية تنطلق من احتياجات الحماية الملاءمة ، فان زادت عن حدها أمست ذات اثر سلبي على الأداء ، فاصبح الموقع او النظام بطيئا وغير فاعل في أداء مهامه الطبيعية ، وان نقصت عن الحد المطلوب ، ازدادت نقاط الضعف واصبح اكثر عرضة للاختراق الداخلي والخارجي . فإذا فرغنا من اختيار وسائل الحماية التقنية واستراتيجياتها الإدارية والادائية الملائمة ، انتقلنا بعدئذ الى التساؤل الاخير.
ü التساؤل الرابع :- ما العمل ان تحقق أي من المخاطر رغم وسائل الحماية ؟؟ واجابة هذا التساؤل هو ما يعرف بخطط مواجهة الأخطار عند حصولها ، وتتضمن مراحل متتالية ، تبدأ من مرحلة الإجراءات التقنية والادارية والاعلامية والقانونية اللازمة عند حصول ذلك ، ومرحلة إجراءات التحليل لطبيعية المخاطر التي حصلت وسبب حصولها وكيفية منع حصولها لاحقا . واخيرا إجراءات التعافي والعودة الى الوضع الطبيعي قبل حصول الخطر مع مراعاة تنفيذ ما اظهره التحليل عن كيفية حصول المخاطر وضمان عدم حصولها .
اذن ، وفي الوقت التي تتطلب بعض المعلومات كالمتصلة بالامن القومي والأسرار العسكرية مثلا ايلاء عنصري السرية والتكاملية أقصى درجات الاهتمام ، نجد بالنسبة للبنوك انه اضافة للعنصرين المتقدمين يتعين بالنسبة للنظام نفسه ايلاء عنصر الاستمرارية ذات القدر من الاهمية ، فان عملت المصارف في حقل البنوك الإلكترونية او الخدمات المصرفية الإلكترونية عن بعد ، كان عنصر عدم الإنكار بنفس اهمية بقية العناصر . ونجد ان مواقع الإنترنت مثلا تتطلب ايلاء عنصر الاستمرارية الاهتمام الاكبر ، في حين ان مواقع التجارة الإلكترونية من بين مواقع الإنترنت تتطلب الحرص على توفير عناصر الحماية الاربعة بنفس القدر والأهمية اذ تحتاج ضمان السرية ، وتحديدا بالنسبة للبيانات الخاصة بالزبائن كأرقام بطاقات الائتمان ، وتتطلب التكاملية والسلامة بالنسبة للبيانات المتبادلة عبر الرسائل الإلكترونية بين الزبون والموقع ، فلا يصل أمر الشراء مثلا وقد لحقه تغيير او تحريف ما ، وتتطلب استمرارية الموقع في تقديم خدماته وقدرة الزبون على الولوج اليه طوال وقت سريان عملية التصفح والشراء بل وفي أي وقت يريد للدخول الى الموقع ، وتتطلب ضمان عدم انكار الزبون ان التصرف الذي اجراه على الموقع ( كطلب الشراء ) قد صدر عنه او انكار الموقع نفسه انه تعاقد مع الزبون في شان ما .
1-3 اين تتجه المخاطر والاعتداءات في بيئة المعلومات ؟؟
تطال المخاطر والاعتداءات في بيئة المعلومات أربعة مواطن أساسية هي مكونات تقنية المعلومات في احدث تجلياتها :-
ü الأجهــزة :- وهي كافة المعدات والادوات المادية التي تتكون منها النظم ، كالشاشات والطابعات ومكوناتها الداخلية ووسائط التخزين المادية وغيرها .
ü البرامــج :- وهي الاوامر المرتبة في نسق معين لانجاز الاعمال ، وهي اما مستقلة عن النظام او مخزنة فيه .
ü المعطيـات :- انها الدم الحي للأنظمة ، وما سيكون محلا لجرائم الكمبيوتر كما سنرى ، وتشمل كافة البيانات المدخلة والمعلومات المستخرجة عقب معالجتها ، وتمتد بمعناها الواسع للبرمجيات المخزنة داخل النظم . والمعطيات قد تكون في طور الادخال او الاخراج او التخزين او التبادل بين النظم عبر الشبكات ، وقد تخزن داخل النظم او على وسائط التخزين خارجه .
ü الاتصـالات :- وتشمل شبكات الاتصال التي تربط اجهزة التقنية بعضها بعض محليا ونطاقيا ودوليا ، وتتيح فرصة اختراق النظم عبرها كما انها بذاتها محل للاعتداء وموطن من مواطن الخطر الحقيقي.
ومحور الخطر ، الانسان ، سواء المستخدم او الشخص المناط به مهام تقنية معينة تتصل بالنظام ، فادراك هذا الشخص حدود صلاحياته ، وادراكه اليات التعامل مع الخطر ، وسلامة الرقابة على انشطته في حدود احترام حقوقه القانونية ، مسائل رئيسة يعنى بها نظام الأمن الشامل ، تحديدا في بيئة العمل المرتكزة على نظم الكمبيوتر وقواعد البيانات
ما هي عمليات المعلومات الرئيسة المتصلة بأمن المعلومات
تتعدد عمليات التعامل مع المعلومات في بيئة النظم وتقنيات المعالجة والاتصال وتبادل البيانات ، ولكن يمكن بوجه عام تحديد العمليات الرئيسة التالية :-
2-1 تصنيف المعلومات Information classification :-
وهي عملية اساسية لدى بناء أي نظام او في بيئة أي نشاط يتعلق بالمعلومات وتختلف التصنيفات حسب المنشاة مدار البحث ، فمثلا قد تصنف المعلومات الى معلومات متاحة ، وموثوقة ، وسرية ، وسرية للغاية او قد تكون معلومات متاح الوصول اليها واخرى محظور التوصل اليها وهكذا .
2-2 التوثيق Documentation :-
وتتطلب عمليات المعلومات اساسا اتباع نظام توثيق خطي لتوثيق بناء النظام وكافة وسائل المعالجة والتبادل ومكوناتها . وبشكل رئيس فان التوثيق لازم وضروري لنظام التعريف والتخويل ، وتصنيف المعلومات ، والانظمة التطبيقية . وفي اطار الأمن ، فان التوثيق يتطلب ان تكون استراتيجية او سياسة الأمن موثقة ومكتوبة وان تكون إجراءاتها ومكوناتها كاملة محل توثيق ، اضافة الى خطط التعامل مع المخاطر والحوادث ، والجهات المسؤولة ومسؤولياتها وخطط التعافي وادارة الازمات وخطط الطوارئ المرتبطة بالنظام عند حدوث الخطر .
2-3 المهام والواجبات الإدارية والشخصية Administration and Personnel Responsibilities :-
ان مهام المتصلين بنظام أمن المعلومات تبدأ في الاساس من حسن اختيار الافراد المؤهلين وعمق معارفهم النظرية والعملية ، على ان يكون مدركا ان التأهيل العملي يتطلب تدريبا متواصلا ولا يقف عند حدود معرفة وخبرة هؤلاء لدى تعيينهم ، وبشكل رئيس فان المهام الإدارية او التنظيمية تتكون من خمسة عناصر او مجموعات رئيسة :- تحليل المخاطر ، وضع السياسة او الاستراتيجية ، وضع خطة الأمن ، وضع البناء التقني الامني – توظيف الاجهزة والمعدات والوسائل ، واخيرا تنفيذ الخطط والسياسات .
ومن المهم ادراك ان نجاح الواجبات الإدارية او الجماعية للمنشأة يتوقف على ادراك كافة المعنيين في الإدارة ( بمهامهم التقنية والإدارية والمالية ) استراتيجية وخطة وواجبات الأمن والتزام المؤسسة باعتبار مسائل الأمن واحدا من الموضوعات التي يدركها الكافة ويتمكن الكل من التعامل مع ما يخص واجباتهم من بين عناصر الأمن .
وعلى المستوى الشخصي او مستوى المستخدمين ، فان على المؤسسة ان تضع التوجيهات الكافية لضمان وعي عام ودقيق بمسائل الأمن ، بل المطلوب بناء ثقافة الأمن لدى العاملين والتي تتوزع بين وجوب مراعاة أخلاقيات استخدام التقنية وبين الإجراءات المتطلبة من الكل لدى ملاحظة أي خلل ، وعلى المؤسسة ان تحدد للمستخدمين ما يتعين عليهم القيام به والاهم ما يحظر عليهم القيام به في معرض استخدامهم للوسائل التقنية المختلفة .
2-4 وسائل التعريف والتوثق من المستخدمين وحدود صلاحيات الاستخدام Identification and Authorization :-
ان الدخول الى أنظمة الكمبيوتر وقواعد البيانات ومواقع المعلوماتية عموما ، يمكن تقييده بالعديد من وسائل التعرف على شخصية المستخدم وتحديد نطاق الاستخدام ، وهو ما يعرف بأنظمة التعريف والتخويل Identification and Authorization systems. . والتعريف او الهوية مسالة تتكون من خطوتين ، الأولى وسيلة التعريف على شخص المستخدم ، والثانية قبول وسيلة التعريف او ما يسمى التوثق من صحة الهوية المقدمة .
ووسائل التعريف تختلف تبعا للتقنية المستخدمة ، وهي نفسها وسائل أمن الوصول الى المعلومات او الخدمات في قطاعات استخدام النظم او الشبكات أو قطاعات الاعمال الإلكترونية ، وبشكل عام ، فان هذه الوسائل تتوزع الى ثلاثة أنواع :-
1 - شئ ما يملكه الشخص مثل البطاقة البلاستيكية او غير ذلك .
2 – شئ ما يعرفه الشخص مثل كلمات السر او الرمز او الرقم الشخصي غير ذلك
3– شيء ما يرتبط بذات الشخص او موجود فيه مثل بصمة الاصبع او بصمة العين والصوت وغيرها .
وتعد وسائل التعريف والتوثق الاقوى ، تلك الوسائل التي تجمع بين هذه الوسائل جميعا على نحو لا يؤثر على سهولة التعريف وفعاليته في ذات الوقت .
وايا كانت وسيلة التعريف التي سيستتبعها توثق من قبل النظام authentication ، فانها بذاتها وبما ستصل باستخدامها تخضع لنظام أمن وارشادات امنية يتعين مراعاتها ، فكلمات السر على سبيل المثال ، وهي الاكثر شيوعا من غيرها من النظم ، تتطلب ان تخضع لسياسة مدروسة من حيث طولها ومكوناتها والابتعاد عن تلك الكلمات التي يسهل تخمينها او تحريها وكذلك خضوع الاستخدام لقواعد عدم الاطلاع وعدم الافشاء والحفاظ عليها .
ومتى ما استخدمت وسائل تعريف ملائمة لاتاحة الوصول للنظام ، ومتى ما تحققت عملية التوثق والمطابقة والتأكد من صحة التعريف (الهوية) فان المرحلة التي تلي ذلك هي تحديد نطاق الاستخدام Authorization وهو ما يعرف بالتخويل او التصريح باستخدام قطاع ما من المعلومات في النظام ، وهذه المسالة تتصل بالتحكم بالدخول او التحكم بالوصول الى المعلومات او اجزاء النظام Access Control system . ( انظر البند 5 )
2-5 سجل الأداء Logging :-
تحتوى مختلف أنواع الكمبيوترات نوعا ما من السجلات التي تكشف استخدامات الجهاز وبرمجياته والنفاذ اليه ، وهي ما يعرف بسجلات الأداء او سجلات النفاذ الى النظام ، تتخذ سجلات الأداء اهمية استثنائية في حال تعدد المستخدمين وتحديدا في حالة شبكات الكمبيوتر التي يستخدم مكوناتها اكثر من شخص ، وفي هذه الحالة تحديدا ، أي شبكات المستخدمين ، فان هناك اكثر من نوع من أنواع سجلات الأداء وتوثيق الاستخدامات ، كما ان سجلات الأداء تتباين من حيث نوعها وطبيعتها وغرضها ، فهناك سجلات الأداء التاريخية والسجلات المؤقتة ، وسجلات التبادل وسجلات النظام وسجلات الأمن وسجلات قواعد البيانات والتطبيقات وسجلات الصيانة او ما يعرف بسجلات الأمور التقنية وغيرها . وبشكل عام فان سجلات الأداء منوط بها ان تحدد شخص المستخدم ووقت الاستخدام ، ومكانه ، وطبيعة الاستخدام ( محتواه ) واية معلومات إضافية أخرى تبعا للنشاط ذاته .
2-6 عمليات الحفظ Back-up :-
وعمليات الحفظ تتعلق بعمل نسخة إضافية من المواد المخزنة على إحدى وسائط التخزين سواء داخل النظام او خارجه ، وتخضع عمليات الحفظ لقواعد يتعين ان تكون محددة سلفا وموثقة ومكتوبة ويجري الالتزام بها لضمان توحيد معايير الحفظ وحماية النسخ الاحتياطية .
ويمثل وقت الحفظ ، وحماية النسخة الاحتياط ، ونظام الترقيم والتبويب ، وآلية الاسترجاع والاستخدام ، ومكان الحفظ وامنه ، وتشفير النسخ التي تحتوي معطيات خاصة وسرية ، مسائل رئيسة يتعين اتخاذ معايير واضحة ومحددة بشأنها .
2-7 وسائل الأمن الفنية ونظام منع الاختراق :-
تتعدد وسائل الأمن التقنية المتعين استخدامها في بيئة الكمبيوتر والإنترنت ، كما تتعدد أغراضها ونطاقات الاستخدام ، وقد تناولنا فيما تقدم مسائل التعريف والتوثيق وتحديدا كلمات السر ووسائل التعريف الأخرى . وتتخذ الجدران النارية Firewalls ، اضافة للتشفير cryptography ، وكذلك نظم التحكم في الدخول و نظام تحري الاختراق Intrusion Detection Systems (IDS) ، وأنظمة وبرمجيات مقاومة الفيروسات اهمية متزايدة ، لكنها لا تمثل جميعها وسائل الأمن المستخدمة ، بل هي اضافة لوسائل التعريف والتوثيق المتقدم الاشارة اليها تمثل اهم وسائل الأمن التقنية في الوقت الحاضر ، وسنعرض لهذه الوسائل بالقدر المتاح مع بيان اهم مسائلها من خلال ادلة الأمن المعتمدة دوليا وبعض المعايير والمقاييس السائدة بشأنها في البند 1-5 من هذا الفصل .
2-8 نظام التعامل مع الحوادث Incident Handling System :-
بغض النظر عن حجم وسائل الأمن التقنية المستخدمة ، ومعايير الأمن وإجراءاته المتبعة ، فانه لا بد من توفر نظام متكامل للتعامل مع المخاطر والحوادث والاعتداءات ، ويعدو متطلبا رئيسا بالنسبة لمؤسسات الاعمال كما في حالة البنوك والمؤسسات المالية .
واول ما يتعين ادراكه في هذا الصدد ان التعامل مع الحوادث عملية وليست مجرد مشروع او خطوة واحدة ، بمعنى انها عملية متكاملة تتصل باداء متواصل متدرج خاضع لقواعد محددة سلفا ومتبعة بدقة وانضباط ، ومتى ما تم التعامل مع الحوادث على انها مجرد حالة تنشا عند الحادث كنا امام حالة قصور تمثل بذاتها أحد عناصر الضعف في نظام الأمن .
وتختلف مكونات ومراحل وخطوات نظام التعامل مع الحوادث من مؤسسة الى أخرى تبعا لعوامل عديدة تتعلق بطبيعة الأخطار التي أظهرتها عملية تحليل المخاطر وما أظهرته استراتيجية الأمن الموضوعة في المؤسسة ، وتبعا للنظام محل الحماية وما اذا كنا نتحدث عن نظم كمبيوتر مغلقة أم مفتوحة او قواعد بيانات او شبكات او مزيج منها وما اذا كنا نتحدث عن نظام خدمة مخصوص أم عن خدمات للعامة عبر الشبكة خاصة كانت أم دولية وتبعا لوظيفة التطبيق محل الحماية ، اذ تتباين خطوات ومحتوى وعناصر خطط التعامل مع الحوادث لدى بنوك الإنترنت مثلا عنها لدى المواقع المعلوماتية ، ومع ذلك ، وبوجه عام ، فان نظام التعامل مع الحوادث يتكون عادة من ستة مراحل ( خطوة فخطوة ) هي :- الاعداد المسبق والتحري والملاحظة الاحتواء والاستئصال ، التعافي والعودة للوضع الطبيعي ، والمتابعة .
ما هــــي المخاطر والتهديدات ونقاط الضعف وانواع الهجمــات والاعتداءات واساليبها التقنية
3-1 في المفاهيم والاصطلاحات :-
ان الحدود بين الجريمة والفعل غير الاخلاقي تبدو غير واضحة المعالم في بيئة الكمبيوتر والإنترنت ، وتمييز وضبط هذه الحدود هو المسألة الجوهرية لتحديد متى يمكن ان يعد فعل ما جريمة من بين جرائم الكمبيوتر والإنترنت او انه مجرد إساءة استخدام لا ينطوي على قصد جرمي وهي المسألة التي أحدثت جدلا واسعا في مطلع الستينات وحتى منتصف السبعينات وهي ذات الفترة التي شهدت ميلاد ظاهرة جرائم الكمبيوتر ، ومن جديد يعود هذا الجدل بسبب شيوع استخدام الإنترنت وما حملته من انشطة جديدة لا يزال الخلاف قائما حول ما اذا كانت جريمة أم انها مجرد ممارسة غير مقبولة كسلوك أخلاقي لكنها لا ترقى الى حد الجريمة.
فعلى سبيل المثال ، ثمة جدل واسع في هذه الأيام حول ما اذا كانت رسائل البريد الإلكتروني الإعلانية التي توجه بكميات كبيرة الى المستخدم دون رغبته او دون طلبها من قبيل ممارسة خاطئة أم فعلا يوجب المساءلة ، فمع اتساع هذه الظاهرة واستخدامها في حالات كثيرة لضخ آلاف الرسائل الى نظام معين في وقت معين بقصد تعطيل عمله ، ومن اجل تحقيق اعتداء انكار الخدمة ، والتذرع بعد ذلك ان الفعل ليس اكثر من خطا في عملية الإرسال لرسائل إعلانية سبق إرسالها للموقع ، ومع بروز الكثير من المشكلات المتصلة بهذه الظاهرة والتي تهدد الخصوصية وتهدد أيضا سلامة استخدام النظام نفسه ، وجدت المؤسسات التشريعية نفسها في العديد من الدول مضطرة الى إعادة تقييم الموقف من البريد الإلكتروني والرسائل غير المرغوب بها ، وهو ما أدى الى تقديم مجموعة من التشريعات امام المؤسسات التشريعية في الدول الغربية كما في أمريكا والاتحاد الأوروبي تنظم مسائل البريد الإلكتروني وتهدف الى مكافحة المظاهر السلبية والأفعال غير المشروعة التي تنطوي عليها هذه الظاهرة ، ومع ذلك لا يزال ثمة جدال فيما اذا كانت هذه انشطة جريمة أم انها سلوكيات قد لا تكون مقبولة من الناحية الأخلاقية والمهنية لكنها لا تشكل جرما .
ان غرض هذا التقديم محاولة تقديم تحديد منضبط للاصطلاحات المستخدمة في عالم جرائم الكمبيوتر والإنترنت ، لجهة التمييز بين العديد من الاصطلاحات التي يجري الخلط بينها ، فثمة فرق بين الجريمة الإلكترونية ، الإرهاب الإلكتروني ، حرب المعلومات ، المخاطر ، الحوادث ، نقاط الضعف ، والأخطاء ، الاختراقات ، حرب المعلومات ....... وغيرها .
التهديد Threats : ويعني الخطر المحتمل الذي يمكن ان يتعرض له نظام المعلومات وقد يكون شخصا ، كالمتجسس او المجرم المحترف او الهاكرز المخترق ، او شيئا يهدد الاجهزة او البرامج او المعطيات ، او حدثا كالحريق وانقطاع التيار الكهربائي والكوارث الطبيعية .
نقاط الضعف او الثغرات Vulnerabilities : وتعني عنصر او نقطة او موقع في النظام يحتمل ان ينفذ من خلاله المعتدي او يتحقق بسببه الاختراق فمثلا يعد الأشخاص الذين يستخدمون النظام نقطة ضعف اذا لم يكن تدريبهم كافيا لاستخدام النظام وحمايته ، وقد يكون الاتصال بالإنترنت نقطة ضعف مثلا اذا لم يكن مشفرا . وقد يكون الموقع المكاني للنظام نقطة ضعف كأن يكون غير مجهز بوسائل الوقاية والحماية ، وبالعموم فان نقاط الضعف هي الأسباب المحركة لتحقيق التهديدات او المخاطر . ويرتبط بهذا الاصطلاح اصطلاح وسائل الوقاية Countermeasures : وتعني التكنيك المتبع لحماية النظام ككلمات السر والأقفال ووسائل الرقابة والجدران النارية وغيرها .
اما المخاطر Risks : فانها تستخدم بشكل مترادف مع تعبير التهديد ، مع انها حقيقة تتصل بأثر التهديدات عند حصولها ، وتقوم استراتيجية أمن المعلومات الناجحة على تحليل المخاطر Risk analysis ، وتحليل المخاطر هي عملية Process وليست مجرد خطة محصورة ، وهي تبدأ من التساؤل حول التهديدات ثم نقاط الضعف واخيرا وسائل الوقاية المناسبة للتعامل مع التهديدات ووسائل منع نقاط الضعف .
اما الحوادث Incident :- فهو اصطلاح متسع يشمل المخاطر ويشمل الأخطاء ، وهو بالمعنى المستخدم في دراسات أمن المعلومات التقنية يشير الى الأفعال المقصودة او غير المقصودة ، ويغطي الاعتداءات والأخطاء الفنية ، غير ان التوصيف الدقيق لهذا المفهوم في الإطار الادائي – الإداري والإطار القانوني ، يتعين ان يحمله على الحوادث غير المقصودة والتي قد تكون مخاطر بفعل الطبيعة ودون عامل قصدي او تكون أخطاء فنية غير مقصودة .
اما الهجمات Attacks فهو اصطلاح لوصف الاعتداءات بنتائجها او بموضع الاستهداف ، فنقول هجمات انكار الخدمة ، او هجمات إرهابية ، او هجمات البرمجيات ، او هجمات الموظفين الحاقدة او الهجمات المزاحية . ويستخدم كاصطلاح رديف للهجمات اصطلاح الاختراقات او الاخلالات Breaches ، وهو اصطلاح توصف به مختلف انماط الاعتداءات التقنية ، وبالتالي يكون مرادفا أيضا للاعتداءات .
اما في اطار الاصطلاحات القانونية – وهو ما سنتناوله تفصيلا في الفصل الثاني – فانه من المهم في هذا المقام تحديد الفرق بين ثلاث اصطلاحات تستخدم في ميدان الدراسات القانونية، الاول وهو اصطلاح الجرائم الإلكترونية Cyber crime وهو الدال على مختلف جرائم الكمبيوتر والإنترنت في الوقت الحاضر بالرغم من ان استخدامه ابتداء كان محصورا بجرائم شبكة الإنترنت وحدها ، وهو ما نعالج محتواه لاحقا بشكل مفصل في معرض بيان الاصطلاحات القانونية الدالة على جرائم الكمبيوتر .
اما الثاني فهو إرهاب السيبر او إرهاب العالم الإلكتروني Cyber Terrorism ، وهي هجمات تستهدف نظم الكمبيوتر والمعطيات لأغراض دينية او سياسية او فكرية او عرقية وفي حقيقتها جزء من السيبر كرايم باعتبارها جرائم إتلاف للنظم والمعطيات او جرائم تعطيل للمواقع وعمل الأنظمة ، لكنها تتميز عنها بسمات عديدة - سنقف عليها لدى بحثنا لأنماط جرائم الكمبيوتر – أبرزها انها ممارسة لذات مفهوم الأفعال الإرهابية لكن في بيئة الكمبيوتر والإنترنت وعبر الإفادة من خبرات الكريكرز – أي مجرمي الكمبيوتر الحاقدين - العالية ، وفي اطار ذات السمات التي تتوفر في جماعات الجريمة المنظمة . اما الاصطلاح الثالث ، فهو اصطلاح حرب المعلومات Information warfare، وهو اصطلاح ظهر في بيئة الإنترنت للتعبير عن اعتداءات تعطيل المواقع وإنكار الخدمة والاستيلاء على المعطيات ، وكما يشير الاصطلاح فان الهجمات والهجمات المقابلة هي التي تدل على وجود حرب حقيقية، وبما انها حرب فهي حرب بين جهات تتناقض مصالحها وتتعارض مواقفها ، لهذا تكون في الغالب هجمات ذات بعد سياسي ، او هجمات منافسين حاقدين في قطاع الاعمال ، وهو ما يجعلها مترادفة هنا مع أعمال إرهاب السيبر ، ولذا وصفت حملات الهاكرز اليوغسلافيين على مواقع الناتو ابان ضربات الناتو بانها حرب معلومات ، ووصفت كذلك هجمات المخترقين الأمريكان على مواقع صينية في اطار حملة أمريكية على الصين تحت ذريعة حقوق الانسان والتي تمت بدعم حكومي أمريكي بانها حرب معلومات ، وأشهر حروب المعلومات القائمة حتى وقت إعداد هذا الدليل المعركة المستعرة بين الشباب العرب والمسلم وتحديدا شباب المقاومة اللبنانية والمدعومين من خبراء اختراق عرب ومسلمين ، وبين جهات تقنية صهيونية في اطار حرب تستهدف اثبات المقدرات في اختراق المواقع وتعطيلها او الاستيلاء على بيانات من هذه المواقع . وهذا الاصطلاح في حقيقته اصطلاح إعلامي اكثر منه أكاديمي ، ويستخدم مرادفا في غالبية التقارير لاصطلاح الهجمات الإرهابية الإلكترونية ونجده لدى الكثيرين اصطلاح واسع الدلالة لشمول كل انماط مخاطر وتهديدات واعتداءات وجرائم البيئة الإلكترونية ، ونرى قصر استخدامه على الهجمات والهجمات المضادة في ضوء حروب الرأي والمعتقد لتمييزه عن بقية انشطة تعطيل المواقع التي لا تنطلق من مثل هذه الأغراض.
3-2 تحديد المخاطر ونقاط الضعف وأنماط الاعتداءات التقنية
اذن ، وبعد ان تبينا مواطن الاعتداء في البيئة الإلكترونية (بند 1-3) ، وبعد إيضاح عدد من المفاهيم المتصلة بالمخاطر والاعتداءات ، يثور التساؤل ؟؟ ما هي المخاطر وثغرات الأمن وأنماط الاعتداءات التي تواجه تقنية المعلومات ؟؟ وهل هي مخاطر واحدة أم تتباين تبعا لوسائل التقنية واستخداماتها وأغراضها ؟؟؟
قبل ان نقف على إجابة هذه التساؤلات من المهم الاشارة الى عدد من الحقائق :-
حقيقة 1 :-
علينا ان ندرك ابتداء ان الكمبيوتر الآمن على نحو مطلق هو فقط الكمبيوتر الذي لم يوصل بعد بمصدر الكهرباء ، وما يزال داخل الصندوق ، ولم يستعمل بعد . ومتى ما وضع الكمبيوتر في الاستخدام تبدأ المخاطر ، وهي مخاطر تتراوح بين المخاطر التقليدية التي يتعرض لها أي مال منقول ، وتمتد لمخاطر خاصة بطبيعة هذا الجهاز ووظائفه ، وتنتهي بمخاطر يكون هو فيها مصدر الخطر لمصالح وحقوق الآخرين .
حقيقة 2 :-
ان الحديث عن المخاطر والثغرات الأمنية وأنماط الاعتداءات التقنية ليس توصيفا لأنماط جرائم الكمبيوتر والإنترنت ( انظر فصل 2 ) ، لان جريمة إتلاف المعطيات على سبيل المثال ، تنطوي بذاتها على انماط متعددة من المخاطر وترتبط بأنماط مختلفة من الاعتداءات التقنية ومصدرها العديد من ثغرات الأمن ، فالفيروسات وسيلة هجوم شائعة لاتلاف المعطيات لكن أيضا يمكن إتلاف المعطيات بالعديد من وسائل الهجوم ومسمياته المختلفة وعن طريق تقنيات مختلفة تحقق هذا الغرض ، بل يمكن تحقيقه ماديا عن طريق انشطة التدمير المادي . وبالتالي قد نجد الحديث عن المخاطر يتقاطع كثيرا حين نتحدث عن الجرائم ونسعى لتوصيفها وتحديدها ، وهذا التقاطع لا يتعين ان يوقعنا في خلط ، اذ جريمة الدخول غير المصرح به مثلا او التوصل غير المصرح به ، جريمة تنطوي على العديد من أنواع الخطر وانواع الهجمات او الاعتداءات ، غالبا ما تحمل ذات المسمى ، كالتوصل غير المصرح به مع الشبكة ، او التوصل غير المصرح به مع نظام الكمبيوتر وغير ذلك . لهذا فاننا سنقف على انماط جرائم الكمبيوتر والإنترنت وعلى واقعها وحجم الظاهرة واتجاهات الخسائر والاضرار الناجمة عنها في الفصل الثاني ، لكننا نقف هنا امام أنواع الهجمات وأساليبها التقنية والمخاطر و الثغرات التقنية ، فإذا ما قرأت هذه المخاطر والأساليب مع انماط الجرائم تكاملت الصورة بشان تحديد مخاطر أمن المعلومات وثغرات الأمن وطبيعة الاعتداءات .
حقيقة 3 :-
مع كل يوم جديد ، ثمة جديد في ميدان الثغرات الأمنية ، لأننا ببساطة وفي كل يوم امام جديد من التقنيات والبرمجيات والبروتوكولات ، وفي كل يوم امام مبرمج يتفتق ذهنه عن جديد في عالم الكمبيوتر والإنترنت ، وهو اما جديد إيجابي يستخدم في رخاء البشرية وضمن الاستخدام الإيجابي للإبداع العقلي ، او جديد سلبي يستثمر لتحقيق اغراض غير مشروعة او ارتكاب أفعال مجرمة او أفعال يأباها السلوك الاخلاقي القويم . وبالتالي ، فان تحديد المخاطر والثغرات والاعتداءات عملية مستمرة ، يوما بعد يوم ، وهي هنا ما يميز خطط الأمن بعضها عن بعض .
حقيقة 4 :-
ثمة تحديد للمخاطر على ضوء الوسائل وعلى ضوء طبيعة المعلومات وعلى ضوء الاستخدام، وثمة تحديد للثغرات الأمنية على ضوء بيئة وواسطة التقنية مدار البحث ، لهذا فان الحقيقة الأولى ، انه لا يوجد مؤلف او باحث او مرجع يقدم قائمة شاملة للمخاطر والاعتداءات وثغرات الحماية ، لان ذلك يعني الوقوف على كل الوسائل التقنية والوقوف على كل الاستخدامات اضافة الى تصور ما لا يمكن للعقل تصوره من اغراض وبواعث محركة للهجمات تمتد عبر طريق يضم اكثر الأشخاص احترافا للجريمة مع أكثرهم بساطة ، ويضم هواة وخبراء ، ويضم حاقدين وحسني النية ، ويضم جواسيس يلفظهم المجتمع وآخرين يتظاهر من اجلهم بوصفهم ابطالا شعبيين مثل روبن هود.
وعليه واعتمادا على الحقائق والمفاهيم المتقدمة ، فان نظريات وآليات تحديد قائمة المخاطر والاعتداءات تتباين تبعا لنظرية التصنيف واساسه ، وهي نظريات ومعايير مختلفة تختلف تبعا لها قائمة المخاطر ضيقا واتساعا واحيانا تختلف من حيث التسميات فقط مع تغطيتها لذات المخاطر .