لقد تعثر مرور مكالمتك.. نرجو محاولة الاتصال مرة أخرى!

أمن المعلومات وتقنيتها

لن أتكلم عن الاتصالات الهاتفية ولا عن خدمات شركات الاتصالات ولكن سيدور المقال حول ركن أساس من مفاهيم أمن المعلومات الثلاثة وهو الوجود الدائم. يرتكز مفهوم أمن المعلومات على ثلاثة محاور أساسية:
أولاً: توفير السرية، ويقصد به حماية المعلومات في حال انتقالها أو تخزينها من التعرض للقراءة غير المشروعة، ويمكن استخدام التشفير لتوفير السرية.
ثانياً: تأمين صحة المعلومة وتكاملها، ويقصد بها المحافظة على حال المعلومة عند انتقالها أو تخزينها من التغيير غير المشروع. ولتيسير هذا المفهوم لنفترض أن شخصاً قام بتحويل مبلغ قدره ألف ريال وفي حالة انتقال طلب التحويل قام احد المخربين (أو لوجود خلل في النظام) بزيادة صفرين للمبلغ فأصبح المبلغ المحول مائة ألف ريال!
ثالثاً: الوجود المستمر، ويقصد به المحافظة على بقاء الأنظمة المعلوماتية متوافرة لمستخدميها والمستفيدين منها. وكمثال على ذلك متابعة مواقع التداول الالكتروني للبنوك والحرص على عدم تعطلها.
يتفق معي كثير من الناس في المحورين الأولين ولكن عندما يُطرح المحورالثالث فالأذهان قد لا تتقبله نظر لما يعتقدونه من بعده عن مفهوم أمن المعلومات.دعوني أحاول توضيح علاقة الوجود بأمن المعلومات.
ماذا لو تم سرقة معلومات سرية لمنظمة؟... طبعاً المنظمة قد تتضرر بفقدان إيراداتها جراء تفشي أسرار تفوّقها من خلطات أو معادلات كيمائية أو جراء تفشي أسرار مضرة بسمعة الشركة ومكانتها بين العملاء. هذا فيما يخص المحورالأول( توفير السرية) حسناً، ماذا لو تم التلاعب عبثاً في المعلومات المحاسبية لمنظمة؟... بالتأكيد سوف تضر بقرارات عديدة فضلاً عن وضع الشركة المالي ودقته. وماذا لو تم التلاعب في حسابات عملاء البنوك؟... النتيجة باختصار: كارثة. هذا فيما يختص بالمحور الثاني (تأمين صحة المعلومة وتكاملها) الآن، ماذا لو تم تعطيل بعض خدمات حساسة كنظام تداول الأسهم السعودية أو موقع متجر شركة أمزون الالكتروني) Amazon.com؟ بلا شك أن هذا الفعل سوف يترتب عليه ضرر واضح بالإيرادات وغير واضح لصورة وسمعة المنظمة أمام العملاء والمستفيدين. وهذا فيما يختص بالمحور الثالث (الوجود المستمر).
لاحظ كيف تشاركت المحاور الثلاثة في الاهتمام بتقليل الضرر. ولزيادة توضيح أهمية المحور الثالث وعلاقته بأمن المعلومات يمكنني القول إن الضرر لايقتصر على تعطي خدمة ما بل يتعدى ذلك إلى المساس بالمحورين الأولين. لنأخذ مثالا يوضح ذلك. لنفرض أني مشترك في خدمة تداول بنك التجار الالكترونية لتداول الأسهم عن طريق الانترنت، وعند تمام الساعة الرابعة والنصف عصر اً (موعد تداول الفترة المسائية) قمت بالدخول للموقع لبدء التداول، لكني فوجئت بأني لا استطيع الوصول للصفحة الرئيسية للبنك على الموقع المعتاد وهو، مع العلم أني استطيع الوصول لأي صفحة على www.togaar.com.sa
الانترنت ومنها موقع منتدى الأسهم الذي أزوره خلال مدة التداول. بالطبع هذا الوضع غير مقبول لدي بتاتا. وأنا أحاول الوصول للموقع بشكل مستمر عله يستجيب وفي الوقت نفسه أتابع المنتدى وأقرأ مواضيعه، لفت نظري موضوع كُتب فيه أن الكاتب من عملاء بنك التجار وانه كذلك وجد صعوبة في فتح موقع البنك، وبعد الاتصال بموظف البنك أفاده الموظف باستخدام عنوا ن آخر يمكن للعملاء من استخدامه حتى يتم إصلاح الموقع الرئيسي وهو. بسرعة وبدون تردد قمت بكتابة العنوان الجديد وwww.tojaar.com
فعلاً أوصلني لموقع البنك، قمت بإدخال اسم المستخدم وكلمة المرور وبعدها ظهرت لي رسالة تفيد بأن الموقع الجديد سيتم إصلاحه خلال خمس دقائق ويرجى الانتظار... بعدها بمدة وجيزة تم إحالتي للموقع الأول وسجلت وتداولت الأسهم كالعادة ولم يكن في بالي إلا أن خدمات بنك التجار ضعيفة وغير منسقة.
ما تم فعلاً في هذا المثال هو أن احد المهاجمين عطل الموقع الرئيس للبنك وعمل موقعاً آخر وبنفس المظهر الرئيس لموقع البنك مع إمكانية تقبل اسم المستخدم وكلمة المرور وبدون أن يقدم أي شيء آخر غير ذلك وبمعاونة من احد الكتاب في ذلك المنتدى استطاع وفي ذروة افتتاح التداول وتوجه العملاء لفتح حاسباتهم أن يحصل على أسماء وكلمات مرورهم التي من خلالها يمكنه تحقيق الضرر بالعملاء وبالبنك.
أرأيتم كيف كان أثر تعطيل الخدمة وعدم تواجدها؟ إذا، أتوقع الآن أن كل الناس متفقون معي في ضرورة التفكير في مفهوم الوجود الدائم عند التفكيرفي تطبيق أمن المعلومات والحرص على تطبيق المحور وعدم تجاهله. وعلى فكرة، تعثر مرور المكالمات هي أحد أمثلة عدم الوجود وتعطل الخدمات والتي قد ينتج عنها مشاكل أمنية.
٭ استشاري أمن المعلومات - جامعة الملك سعود
CISSP,CISM,MCSE:Security,PMP,BS9977LA
KSAKSU@GMAIL.COM