تخطي إلى المحتوى الرئيسي

العامل الإنساني وأمن المعلومات

٢٦ مارس ٢٠١٠

التهديدات المركبة في يومنا هذا

اليوم تبدو لنا التهديدات معقدة جدا. إذ يستخدم المجرمون الالكترونيون نطاقا واسعا من التهديدات للاستيلاء على حواسيب المستخدمين ولجني الأموال بطريقة غير شرعية. هذه التهديدات تشمل أحصنة طروادة بأنواعها، البرامج الدودية، الفيروسات والشيفرات المستغلة التي صممت لجعل البرامج الضارة تستغل الثغرات في أنظمة التشغيل أو التطبيقات. المجرمون الالكترونيون كذلك يوظفون أنواعا من التقنيات المعقدة لإخفاء نشاط البرامج الضارة أو التي تجعل من الصعب العثور عليها على وتحليلها ومن ثم حذفها.

لذلك من السهل أن تحدد مشكلة الجريمة الالكترونية والحل المناسب لها من الناحية التقنية. لكني أعتقد أنه من الضروري التعامل مع العوامل الإنسانية للجريمة الالكترونية.

الناس العاديون- الحلقة الأضعف في سلسلة الأمن

على الرغم من التعقيد التقني للبرامج الضارة الحديثة، عادة ما يلجأ مجرمو الانترنت إلى استغلال نقاط ضعف الإنسان في نشر برامجهم. طبعا أنتم لم تتفاجأوا بذلك. الناس هم عادة الحلقة الأضعف في نظام الأمن. ونستشهد على ذلك بمثال بسيط: قد تملك أفضل جهاز إنذار على الإطلاق لكن لو لم يكن الجهاز مشغلا فإنه لا يقدم لك أية حماية على الإطلاق. هذه القاعدة تنطبق على الحماية في الانترنت. المجرمون الالكترونيون يواصلون استغلال الهندسة الاجتماعية بمعنى أنهم يحتالون على الناس ويجعلونهم يفعلون أشياء تعرضهم لخطر المهاجمة في الانترنت.

فنجاح المجرمين الالكترونيين في عمليات النصب والاحتيال كـجذب الأشخاص إلى مواقع مزيفة للحصول على بياناتهم الشخصية مثل أسماء المستخدمين وكلمات السر وغيرها من المعلومات التي يستغلها المجرمون الالكترونيون دليل واضح على ذلك. عملية النصب الكلاسيكية للتصيد تتخذ شكل رسالة الكترونية ترسل إلى ملايين العناوين على أمل أن يقع عدد أكبر من الناس في فخ الاحتيال وسيقومون بزيارة الرابط الموجود في الرسالة. مثل هذه الهجمات لا تزال تجرى بشكل متكرر.

على أي حال وعلى غرار النشالين، يتبع النصابون الالكترونيون الحشود. بناء على العدد المتزايد من الأشخاص الذين يستخدمون الشبكات الاجتماعية مثل Facebook، MySpace، LinkedIn و Twitter وغيرها فإنه لا عجب من أن يستهدف المجرمون الالكترونيون بشكل متزايد هذه المواقع. قد يخترقون الحسابات الموجودة في Facebook ليقوموا بإرسال رسائل تتضمن روابط تؤدي إلى برامج ضارة. أو إرسال رسائل تتضمن روابط لكن يتم إخفاء الوجهة باستخدام خدمة تقصير عناوين مواقع الانترنت. أو ببساطة يمكن للمجرم الاكتروني أن يتنكر بأنه صديق هاجر إلى بلاد بعيدة وفي حاجة ماسة إلى المال كي يعود. وهذه الأساليب لا تختص فقط بالشبكات الاجتماعية فمجرمو الانترنت فقط يستخدمون أساليب الاحتيال التي عملوا بها سابقا.

إن شعبية الهندسة الاجتماعية كذلك تظهر من خلال زيادة برامج التهويل. وتتمثل الأخيرة بإرسال رسائل تظهر فجأة على صفحة الانترنت، تفيد بأن حاسوبك أصيب بعدوي وبالتالي يمكنك تحميل برنامج مكافح للفيروسات مجاني لإزالة البرنامج الضار. غير أنه عندما تقوم بتحميله وتشغيله يتم تبليغك بـأنك تحتاج إلى نسخة كاملة بهدف التخلص من هذه العدوى وعليك أن تدفع المال مقابل ذلك. بالطبع فالمجرمون الالكترونيون يربحون من هذا العملية مرتين: المرة الأولى عندما يأخذون منك المال بحجة مزيفة والثانية عندما يستحوذون على تفاصيل بطاقتك الائتمانية.

إحدى هذه المشاكل التي تترافق مع الهجمات المستندة إلى الهندسة الاجتماعية هو عملية تشكيلهم للهدف المتحرك: الاحتيالات المتعاقبة لا تبدو ذاتها في كل مرة. وهذا ما يجعل من الصعب على المستخدمين معرفة ما هو آمن وما هو غير آمن.

بالطبع فالناس لا يشككون كثيرا في ذلك لقلة الإحتياط لديهم. في بعض الأحيان يمكن أن يجذب الناس الاستيلاء على المحتوى المرئي أو المسموع او الصور العارية للأشخاص المعروفين وتغريهم بزيارة الرابط الذي يجب في الأصل تجاهله. المنطق السليم عادة يقول أنه في حال كان الشيء يبدو جيدا إلى حد يفوق التصديق فإنه ليس كذلك. غير أن مثل هذا المنطق قد لا يعمل في المفهوم أن فعل الشيء، وفي هذا الحالة زيارة الرابط، قد يكون مضرا.

في بعض الأحيان يقوم الناس باختبار الطريق لجعل حياتهم أسهل وأبسط ولا يتفهمون معنى الأمن. وهذا الأمر يتعلق بكلمات السر على سبيل المثال. يتزايد عدد الأعمال التي تجرى عن طريق الانترنت: التسوق، العمليات المصرفية، دفع الفواتير وغيرها. ولا يعتبر شائعا استخدام 10، 20 حسابا أو أكثر ما يجعل من الصعب تذكر أو اختيار كلمة سر فريدة لكل حساب. وهذا بدوره يجعل استخدام نفس كلمة سر لكل حساب أو استخدام كلمة على غرار اسم الطفل أو الزوجة أو اسم المكان يعني له الكثير وبذلك يكون من السهل تذكره. وهناك أسلوب آخر شائع هو تكرار استخدام كلمات السر على سبيل المثال استخدام " myname1"، " myname2"، " myname3" والخ لحسابات متتابعة. باستخدام مثل هذه الأساليب تزداد إمكانية أن يكشف المجرمون الالكترونيون كلمة السر، وفي حال اكتشفت كلمة سر لحساب واحدة كان من السهل الحصول على الحسابات الأخرى. على كل فهذا الخطر غير وارد بالنسبة للأشخاص العاديين. حتى وإن كانوا على دراية بالخطر المحتمل فإنهم لا يرون مفرا من ذلك لأنهم لا يستطيعون ببساطة حفظ 10، 20 كلمة سر.

فيما يلي نورد لكم أمثلة لحل مشكلة كلمة السر. بدلا من محاولة تذكر كلمة السر الخاصة بكم ابدأ بالمكون الثابت وعندها حاول استخدام معادلة سهلة. على سبيل المثال ابدأ باسم الموقع الالكتروني كـ" mybank". عندها استخدم المعادلة التالية:

  1. اجعل الحرف الرابع كبيرا
  2. انقل الحرف ما قبل الأخير إلى الأمام
  3. ضع الرقم المختار ما بعد الحرف الثاني
  4. أضف رمزا مختارا (لا تستخدم حروفا أو أرقاما) إلى آخر الكلمة

وبالنهاية ستحصل على كلمة السر التالية " n1mybAk;". استخدام هذا الأسلوب يعطيك كلمة سر فريدة لكل حساب على حدة باتباع الخطوات الأربع في كل مرة.

ما الذي يجب فعله؟

لتقانة، بالطبع هي الجزء الأساسي لكل حل يعمل مع البرامج الضارة. أنا أعتقد أنه من غير الحكيم أن تتجاهل البعد الإنساني للأمان. في العالم الواقعي نحن نعلم أن أجهزة الإنذار، إقفال النوافذ وسلاسل الأمان يمكن أن تكون وسائل فعالة لحفظ الممتلكات. لكنها لا تمنع الضحية من تعريض نفسها للخطورة من خلال فتح الباب لغريب.

وبنفس الطريقة قد تكون استراتيجية الأمان في الشركة أقل فعالية في حال أنها لم تخاطب العنصر البشري. علينا ان نجد طرق تصورية نقوم من خلالها بـ"ترتيق" الموارد البشرية إلى جانب حماية الموارد الرقمية.

وهذا ليش شأن من شؤون قطاع الأعمال. غالبية الأشخاص الذين يستخدمون الانترنت من البيوت يواجهون مثل هذه الأمور. لذلك علينا كمجتمع أن نجد طرقا لزيادة الوعي ا بالمخاطر التي تترافق مع النشاط في الشبكة وتطوير الأساليب الفعالة للتخفيف من هذه المخاطر.

نحو المنطق السليم في الانترنت

الناس عادة ما يكونون مستعدين جيدا لإدارة المخاطر في الحياة العادية. على سبيل المثال لدينا نطاقا من استراتيجيات المنطق السليم لتوعية الأطفال بالمخاطر المحتملة عند قطع الطريق: نحن نعلمهم كيفية قطع الطريق في الأماكن المخصصة أو في حال لم يتوفر ذلك يجب النظر إلى الجهتين والتأكد من عدم وجود سيارات قبل البدء بقطع الطريق. كما أن هناك إعلانات في وسائل الإعلام المرئية والمطبوعة حول مخاطر القيادة بعد تناول المشروبات الروحية وعدم ربط حزام الأمان.

بالطبع النصائح التي نعطيها لأطفالنا وتحذيرات الحكومة حول القيادة بعد تناول الكحول لا تضمن لنا السلامة. غير أن هذه المعلومات تساعدنا في تقليل المخاطر. اليوم تعد القيادة تحت تأثير الكحول غير مقبولة في المجتمع، كما أن عدد الحوادث بسبب الكحول انخفض بشكل كبير مقارنة بما كان عليه الحال قبل 40 سنة.

للأسف، ليس هناك طريقة مماثلة للتصرف في الانترنت. وهذا ليس شيئا جديدا على الإطلاق. بالمقارنة مع الأجيال السابقة من أصحاب السيارات، والناس الذين يقومون بقطع الطريق فالانترنت ظاهرة جديدة جدا. الناس بدأوا للتو بإدراك مدى تأثير الانترنت على حياتنا: ما يدعو للحزن هو أن الكثير منا لا يعرف المخاطر المحتملة.

المجتمع يواجه نوعا من التناقض. الأطفال يتعلمون الكثير من الاستراتيجيات حول كيفية البقاء آمنا في العالم الواقعي، من والديهم. لكن آباء وأمهات اليوم عادة ما يكونون غير مهيئين لتعليم أطفالهم كيفية حفظ الامان في الانترنت ذلك لأنهم غير ملمين بهذه التقنية الجديدة. على العكس قد يكون الأطفال قادرين على استخدام التقنيات إلا أنهم يعرفون القليل حول المخاطر في الانترنت.

على كل، إنه من الضروري أن نقوم جميعا بتطوير مثل هذا المنطق السليم. إن قمنا بذلك سيكون أطفالنا مهيؤون أكثر لحماية أطفالهم بدورهم.

أهمية تعليم الموظفين

أولا، من الهام أن نفرق بين التعليم والتدريب.إنه من غير الممكن محاولة تدريب الموظفين على أن يكونوا خبراء في مجال الأمن. الأكثر من ذلك يجب علينا زيادة توعيتهم بالمخاطر المحتملة والخطوات التي يمكن اتخاذها لحماية أنفسهم.

في مجال الأعمال والمنظمات الأخرى يجب أن يكون تعليم الموظفين من بين أحد اللبنات الأساسية لبناء استراتيجية أمن فعالة. يجب إعلام الموظفين بلغة سهلة مباشرة بطبيعة المخاطر. كما ينبغي أن يتفهم المظفون ماهية الإجراءات التي تتخذها المنظمة وسبب اتخاذها وكيفية هذه تأثير هذه الإجراءات على قيامهم بواجباتهم. وستكون الاستراتيجية الأمنية فعالة في حال فهمها الموظفون ودعموها. كما أنه من الضروري خلق جو من الانفتاح: يجب تشجيع الموظفين على التحدث عن النشاطات المريبة الي يصادفونها في الانترنت، بدلا من إخفاء ذلك خوفا من محاسبتهم على ذلك. في حال شعر الموظفون بالضغط أو عوملوا على أنهم لا يفقهون شيئا فإنهم سيكونون أكثر تحفظا وغير متعاونين.

وكأي جانب من جوانب الحماية فإنه لم يعد كافيا وضع توصيات خاصة وإعلام الكادر العامل بها فقط. السياسة الأمنية الفاعلة يجب أن تتطور مع تغير التهديدات والمخاطر كما يتوجب أن يعاد النظر فيها بانتظام. كما أنه من الضروري أن تتذكر أن القدرات لدى الاشخاص تتباين: البعض يستوعبون شفهيا، البعض يفضلون النصوص المكتوبة مع رسوم توضيحية. لذلك فمن الأفضل استخدام نطاق واسع من الاستراتيجيات تعزز نداءات الحماية التي تود ان يتفهمها كادر العمل. هذا يتضمن عددا من الفعاليات الهادفة لتعريف الموظفين بالمخاطر كنشر ملصقات، اختبارات الوعي بالقضايا الأمنية في الانترنت، ونصائح لكل يوم تظهر على سطح مكتب حواسيب المستخدمين لدى تشغيلها وغيرها الكثير.

كما أنه من الهام عدم اعتبار المعلومات حول الأمن والتدريبات كجزء من الأمور المتعلقة بأمن تكنولوجيا المعلومات. بل على العكس، يجب أن تكون جزءا من سياسة الكوادر شأنها شأن الصحة والأمن والسلوك اللائق في العمل. ومن أجل أن يكون ذلك فاعلا، البرنامج التوعوي يجب أن يستخدم على نطاق واسع من قبل قسم الكوادر، قسم التدريب وغيرها من الأقسام المعنية.

إلى ما وراء مكان العمل

هناك أشياء متداخلة بين العمل والبيت. فاللذين يستخدمون الحواسيب في أعمالهم، يستخدمونه للتسوق، إجراء العمليات البنكية او التواصل الاجتماعي من المنزل. إن استخدام الحاسوب لأغراض غير العمل يمكن أن يتكامل مع برنامج توعية الموظفين بأمن المعلومات: فتوعية الموظفين بكيفية حماية حواسيبهم الشخصية والحفاظ على البيانات التابعة لهم سيساعد في إثارة الاهتمام بالبرنامج التوعوي على العموم. كما أن ذلك يضمن أن الموظفين الذين يعملون في البيت، لا يعرضون شركاتهم لمخاطر غير مرغوب بها.

بالطبع البعض قد لا يستخدمون الحاسوب في البيت (المتقاعدون مثلا) لكنهم يستخدمون الحاسوب في المنزل .إنه أمر ضروري، ذلك التوعية بكيفية حماية الحواسيب يمتد إلى ما بعد مكان العمل ليشمل الحياة اليومية.

هناك مجموعة من المواقع على الانترنت تقدم النصائح حول الامن في الانترت. ومن بين هذه المواقع Get Safe Online, identitytheft.org.uk و Bank Safe Online. إضافة إلى ذلك يقدم بائعو منتجات الحماية مجموعة من النصائح للحماية في الانترنت على غرار موقعنا Guide to stopping cybercrime. جميعها توفر نصائح مفيدة حول كيفية التقليل من مخاطر السقوط ضحية للمجرمين الالكترونيين. على كل فإن جميعها تفترض أن يكون القارئ قد دخل الانترنت.

أعتقد أنه من الهام إيجاد سبل أخرى غير الانترنت لإرسال رسائل التوعية مثل الإعلانات المتلفزة كالتي كانت في السابق تشجع على استخدام حزام الأمان في السيارة وتعلم بمخاطر قيادة السيارة في حالة سكر. بما أن هذه الإعلانات نجحت في الماضي أعتقد أن مثل هذه الحملات الموجهة للمجرمين الالكترونيين والأمن الالكتروني قد تكون فعالة في هذه الحالة. على سبيل المثال في عام 2005 في بريطانيا قامت شركة Capital One Group أعدت سلسلة من الإعلانات المتلفزة أظهرت رساما معروفا يدعى Alistair McGowan. واعدت هذه الإعلانات للترويج لخدمة الدعم لمكافحة سرقة الهوية ولكن في الوقت نفسه ركزت على أهمية تمزيق الوثائق التي تتضمن بيانات شخصية قبل التخلص منها.

النظرة المستقبلية

الجريمة الالكترونية باقية: هي نتاج عصر الانترنت وجزء من اللوحة العامة للجريمة. لذلك من المستحيل التغلب عليها بشكل تام.

أما التكنولوجيا والتوعية صممت لخفض خطورة المجرمين الالكترونيين على المستخدمين. بما أن الهجمات الالكترونية الراهنة تستهدف نقاط الضعف للإنسان، فإنه من الضروري إيجاد الطرق لسد هذه الثغرات بالتزامن مع مساعينا لحماية الحواسيب. التوعية في مجال أمن تكنولوجيا المعلومات شبيه إلى حد ما بالواجب البيتي إذ أنه لا يمكن أن يكون واجبا لمرة واحدة بل يجب أن يجرى بانتظام لتأمين نتائج جيدة وبيئة حاسوبية آمنة ونظيفة.

العامل الإنساني وأمن المعلومات

Kaspersky logo

نبذة عن Kaspersky

Kaspersky هي شركة عالمية للأمن الإلكتروني والخصوصية الرقمية تأسست عام 1997. ومع وجود أكثر من مليار جهاز تتمتع بالحماية حتى الآن من التهديدات الإلكترونية الناشئة والهجمات المستهدفة، فإن خبرات Kaspersky العميقة في مجال الأمان ومعلومات التهديدات الأمنية تتحول باستمرار إلى حلول وخدمات مبتكرة لحماية الشركات والبنية التحتية الحيوية والحكومات والمستهلكين في جميع أنحاء العالم. وتتضمن المحفظة الأمنية الشاملة لدى الشركة حماية رائدة لنقاط النهاية، ومنتجات وخدمات أمنية متخصصة، بالإضافة إلى حلول المناعة الإلكترونية لمحاربة التهديدات الرقمية المتطورة والمتغيرة. ونساعد أكثر من 200,000 عميل من الشركات على حماية الأصول الأكثر أهمية بالنسبة لهم. تفضل بمعرفة المزيد على me.kaspersky.com.

مقالة ذات صلة النشرات الصحفية