شبيب: أكبر خطأ نقع فيه في الوطن العربي هو اختيارنا لتقنيات قبل أن نحدد احتياجاتنا!

أكثر من ألف هجوم إلكتروني يومي على الشركات والشبكات في منطقة الشرق الأوسط

أقيم مؤخراً المعرض الأمني الثاني للأمن العام والذي رعاه صاحب السمو الملكي الأمير نايف بن عبدالعزيز وزير الداخلية حيث شارك في المعرض أكثر من مئة شركة محلية وعالمية متخصصة في تقديم الحلول الأمنية لتقنية المعلومات لعرض خبراتها في التعامل مع التهديدات الأمنية المحتملة الذي يعتبر أكبر تجمع أمني تقني تشهده المملكة من داخل وخارج المملكة، ومع تزايد استخدام التقنيات تتوسع عمليات الاختراق وكذلك تتطور الحماية الأمنية، حول أمن المعلومات والتوعية بها كان لنا هذا اللقاء مع انس شبيب أحد المختصين في مجال الأمن المعلوماتي والعضو المنتدب لشركة "إيه جي تي" إحدى الشركات المشاركة في المعرض.
@ كأحد المشاركين بالمعرض، كيف تقيمون هذه المشاركة؟
- المشاركة كانت جيدة جدا، فقد حظي المعرض بتواجد الكثير من الشركات الأوروبية وكان هناك اهتمام ملحوظ من العديد من الجهات بوزارة الداخلية ونحن نشجع إقامة هذا المعرض وغيره من المعارض المشابهة بشكل دوري لأنه يمثل فرصة للقاء العارضين والمصنعين وذوي الاختصاص من الجهات الحكومية والشركات للتعرف على الجديد في مجال التقنية وأمن المعلومات وتبادل الخبرات والتجارب دون الحاجة إلى السفر للخارج فأنت تجد كل ما يتعلق بمجال تقنيات الأمنية وأمن المعلومات بين يديك في مكان واحد ونحبذ تواجد المزيد من القطاعات العسكرية الأخرى وكذلك القطاعات المدنية في مجال البنوك والصحة والاتصالات ففي كل هذه القطاعات يعتبر امن المعلومات بالنسبة لها ضرورة وليس رفاهية، ودورنا كشركة تعرض حلول متكاملة لأمن المعلومات وكمستشارين في مجال الأمن وأمن المعلومات وأمن الاتصالات نرحب بنشر الوعي وهذا أيضا دوركم كصحافة وانتم تملكون الأداة الفاعلة لذلك.
@ وكيف تقيم الوعي بأهمية أمن المعلومات؟
- الوعي جزئ في غاية الأهمية، لأنه في وجود الوعي يكون هناك ميزانية ويكون هناك ترتيب وبيئة قانونية أفضل وأتحدث هنا عن قانون المناقصات الحكومية بالتحديد، فعلى سبيل المثال من منطلق الحرص على موضوع الأمن لا استطيع أن أنشر في صحيفة ما إعلاناً عن احتياجاتي من الأجهزة والتقنيات الأمنية، لأننا في ساحة حرب بلانهاية بين القراصنة والإرهابيين الإلكترونيين وبين الأجهزة الأمنية، فحين تعلن للقراصنة بأنك أصبحت قادرا على مكافحتهم لامتلاكك هذه التقنية المعينة أو تلك، فردت الفعل من قبلهم بأنهم سوف يذهبون ويدرسون هذا المنتج وكيفية الالتفاف عليه أو اختراقه، طبيعة هؤلاء المخترقون أنهم يحبون التحدي ويمارسون عملية اختراق الشبكات وتعطيلها كتنوع من التحدي والتسلية في كثير من الأحيان. كذلك يجب أن يكون هناك تصنيف للشركات المميزة ونستعين بالدول الصديقة في ذلك لنرى ما هي الشركات المصنفة لديها في مجال امن المعلومات وندعو تلك الشركات بسرية تامة.
@ إلى ماذا تعزو عدم وجود ميزانية محددة لأمن المعلومات في الجهات سواء الحكومية أو قطاع الأعمال؟
- هناك عاملان يتجاذبان هذه القضية، الشخص المسئول عن أمن المعلومات بحاجة إلى ميزانية أكبر والشخص المسئول عن توفير تلك الميزانية لا توجد لدية الدراية بأهمية أمن المعلومات في المنشأة أو القطاع التابع له، قد تطلب جهاز حاسب جديد فيأتك الرد بالموافقة خلال فترة قصيرة ولكن حين تطلب جهاز حماية من الفيروسات أو جداراً نارياً أو برمجيات لأمن المعلومات فيستغرق الأمر وقتاً طويلا لإقناعهم بأهمية ذلك وربما يكون الرد بان لديك جهاز حاسب يعمل، غير مدركين بان فيروسا واحدا قد يزيل كل ما على هذا الجهاز من بيانات ومعلومات مهمة. نسعى إلى إيجاد وعي بأهمية المعلومة ومن ثم أمنها ويأتي بعد ذلك أتمتتها، نحن نصرف ملايين على أتمتت البيانات ثم ربما نفكر في مسألة تأمينها، علينا وزن المعادلة كي تصبح المعلومة أولاً ثم تأمينها ثم أتمتها.
@ هل هناك نسبة معينة لحجم التهديدات التي تشكلها الفيروسات والاختراقات في المنطقة العربية؟
- هناك قرابة الألف هجوم الكتروني يومي على الشركات والشبكات في منطقة الشرق الأوسط، كل يوم في هذا العالم يخرج قرابة الألف إلى الألف والخمسمائة فيروس، والمشكلة أننا نرى فقط الهجوم الذي يكون من قرصان مبتدئ، القرصان المحترف لا يترك أي أثر وراءه يدخل على جهازك ويأخذ المعلومات التي يريدها ويخرج، نحن نريد أن نؤمن من القرصان المبتدئ ومن القرصان المحترف، أعطيك مثالاً آخر شركة طيران بالشرق الأوسط تعطلت أجهزة الحاسب بها لمدة ساعتين فتكلفت هذه الشركة خسائر بحدود ستة ملايين دولار، مثال آخر شركة اتصالات بالشرق الأوسط قبل قرابة الستة أشهر توقفت أجهزة الخوادم لديهم لمدة أربع ساعات نتج عن ذلك خسائر اثني عشر مليون دولار، هل تتخيل أن تصحو من النوم فتكتشف أنك غير قادر على استخدام جوالك أو تذهب للسحب من جهاز الصراف الآلي فتكتشف انك غير قادر على القيام بالعملية، لذلك فإن موضوع امن المعلومات يجب أن يتعامل معه على صعيد وطني مع التأكيد أن أمن المعلومات هو ضرورة وليس رفاهية، أن نتعامل مع مشاريع امن المعلومات بطريقة مختلفة، أن يكون التقييم والبحث عن أفضل عرض وليس ارخص عرض، في أوربا اقر قانونا يقضي بعدم إجازة ارخص عرض، أكبر خطأ نقع فيه في الوطن العربي هو اختيارنا لتقنيات قبل أن نتعرف ونحدد احتياجاتنا، أو حتى قبل وجود إستراتيجية لأمن المعلومات لمدة سنة أو سنتين أو ثلاث، علينا أن نبدأ بتعريف إستراتيجية لأمن المعلومات ثم تعريف الهيكل التنظيمي للكادر البشري والتدريب والتأهيل ثم تعريف آلية العمل، بعد ذلك تعريف احتياجاتنا، ليأتي في نهاية المطاف تحديد التقنية المناسبة، أما لدينا وفي كل المشاريع وللأسف يكون الأمر بالعكس، فالتخطيط الإستراتيجي أو الهيكل التنظيمي والتدريبي يأتي بعد اختيار التكنولوجيا وبعد اختيار التقنية والحلول ومن ثم نفكر كيف نرتب آلية العمل!!!، علينا أن نسأل أنفسنا هل لدينا الطاقات والكوادر البشرية الفنية القادرة على تلبية احتياجاتنا في هذا المجال هل حددت آلية العمل؟ أعطيك مثالا بسيطا في ألمانيا حين أدخلت التعاملات الالكترونية البنكية نتج عن ذلك انخفاض في عدد أفرع البنوك لتوجه الناس إلى إنهاء تعاملاتهم من المنزل أو المكتب دون الحاجة لزيارة الفروع وبالتالي أصبح لديهم عدد من الموظفين الذين لم يعد لدهم أعمال يؤدنها رغم ذلك استمر البنك في تحقيق أرباح كبيرة يعود ذلك إلى أن البنك كان يعمل وفق خطة إستراتيجية وتنظيمية وآلية العمل واضحة واستفاد من تلك الكوادر البشرية في مجالات أخرى.
@ من هو المتسبب في عدم وجود خطط والهيكليات اللازمة، من المتسبب في هذا الفراغ التنظيمي إن جاز لي التعبير؟
- هناك عدة أسباب، وأهمها هو عدم وجود هيئة لأمن المعلومات لضبط امن المعلومات وإيجاد معايير عالمية وأنظمة لربط أمن المعلومات وامن الاتصالات، مشكّلة من باحثين ومختصين ومن الجهات ذات العلاقة من مختلف القطاعات، ألمانيا على سبيل المثال لديها هذه التجربة، والنمسا التي هي أيضا دولة متقدمة أخذت كثيرا من التجربة الألمانية، وعلى أساسه فان كل جهة حكومية أو بنك أو شركة طيران أو اتصالات يجب أن تتبع تلك المعايير وإذا لم تتبع تلك المعايير تكون قد ارتكبت مخالفة، فانا لا استطيع أن اشتري أي منتج يتعلق بأمن المعلومات ما لم يكن لديه شهادة ترخيص من هيئة امن المعلومات تفيد بأنه مطابق للمواصفات والمقاييس، حين نوجد هذه الهيئة نكون قد أوجدنا وعياً ومتابعة من الهيئة وتدقيق على المشاريع وما أذا كانت هناك خطة إستراتيجية أو هيكلية وآلية عمل للمشروع، وانعكاسات ذلك على العميل لدى البنك أو شركة الاتصالات أو أي جهة كانت.
@ ما هو مدى قدرة البنية التحتية في السعودية لمواكبة التعاملات الالكترونية الحكومية أو التجارية أو غيرها من التعاملات الالكترونية بشكل آمن؟
- لا شك بأن المملكة العربية السعودية هي اكبر سوق لتقنية المعلومات في الشرق الأوسط، وأنا فخور جداً بان أرى أن نسبة تفوق الثمانين في المائة من الاكتتابات الأولية المطروحة في سوق الأسهم السعودي قد تم تنفيذها بطرق الكترونية ذلك أمر رائع وهذا يحتم علينا أن نؤمن لهؤلاء المستفيدين والمتعطشين للتعاملات الالكترونية بيئة آمنة للتعامل الالكتروني حتى اخلق تجارة الكترونية واخلق حكومة الكترونية بذلك نكون قد حققنا هدفنا بشكل كامل،
في ألمانيا مثلاً نخصص نسبة عشرين إلى خمسة وعشرين من قيمة المشروع لأمن المعلومات، في العالم العربي وللأسف وقبل خمس سنوات كانت النسبة بحدود الخمسة بالمائة في الوقت الحاضر تتراوح مابين الثمانية والعشرة بالمائة، لذلك فإننا نناشد الحكومات بان تولي مسألة امن المعلومات الأهمية التي تستحقها، وتنظر بعين الحرص ما يخصص لأمن المعلومات من ميزانيات في مشاريعها المستقبلية.
@ ما مدى تطبيق التعاملات الالكترونية في الدول العربية هل ترى بأنها تسير بشكل جيد أم أنها ما تزال بطيئة؟
- سؤال مهم جداً، والجواب عليه هو بأنها بطيئة، والسبب بسيط جداً وهو حتى أكسب ثقة المواطن أو المتعامل بالبنك أو حتى الجهات الحكومية نفسها التي تريد التحول إلى التعاملات الالكترونية يجب أن أقنعهم بان تلك التعاملات ستكون تعاملات آمنة، للأسف لم تستطع الحكومات لعب هذا الدور، وإقناع الجهات الحكومية مثلاً بان المعلومات التي سيوفرونها ستكون معلومات مؤمنة، أمن المعلومات يجب أن يستعمل كوسيلة تسويق للحكومة الالكترونية، والتأكيد بأننا كبلد لدينا أعلا المعايير الموجودة لأمن المعلومات، ومبنية على كادر بشري سعودي ومبنية على قدرات عربية وخطة تشغيلية، فإذا حققنا هذا الأمر يكون لدى الجهات الحكومية الطمأنينة اللازمة للمضي في مشروع التعاملات الالكترونية الحكومية ومن ثم يكون لدى المواطن والمستفيدين بشكل عام الثقة في استخدام تلك التعاملات الالكترونية التي ستتاح مستقبلاً.
@ سيبدأ في القريب استخدام "الواي ماكس" بشكل كبير جداً ومن المعروف بأنه هنالك سهولة في اختراق الشبكات اللاسلكية، ما مدى التهديدات التي تواجهها المنشآت التي تستخدم مثل هذه الشبكات؟
- بداية أشير أننا لا نملك أن نعيش بمعزل عن التطور التقني الحاصل في العالم، ونريد أن نبقى دائماً مواكبين لهذا التطور. في المستقبل ستكون متابعة قنوات التلفزيون عن طريق الانترنت الاتصالات، جهاز الجوال يمكنك أن تتصفح عن طريقه الانترنت بكل سهولة، ستنتشر شبكات "الواي ماكس" والاتصال بالانترنت في كل مكان، ومهم لهذا الموضوع ولمواكبة التقنية أن يكون هناك مواكبة لأمن المعلومات، باستخدام تشفير للملفات على سبيل المثال، أو تشفير للحاسب، استخدام برامج للحمايته من أي هجوم من أجهزة أخرى مرتبطة بنفس الشبكة، استخدام البرامج ذات المصادر المفتوحة، استخدام تقنية البنية التحتية للمفاتيح العامة أو "PKI" مع البطاقة الذكية نكون أوجدنا حلاً مثالياً، بذلك تكون الشبكة مؤمنة وجهازي الخاص مؤمناً.