عاشق الريم
02-02-2005, 09:29 AM
أمن المعلومات أصبح ضمن الأساسيات في هيكلة أي مشروع، بينما كان مقصورا في السابق على مراكز تقنية متخصصة، ما هي المفاهيم الجديدة في أمن المعلومات؟
- أمن المعلومات قديم جدا قدم المعلومات نفسها، وخاصة فيما يتعلق بتعمية (تشفير) المعلومات في المراسلات السرية العسكرية، إلا أنه تطور كثيرا في السنوات الأخيرة حتى شمل نواحي كثيرة من حياة الناس عامة، وذلك بسبب اعتمادهم على الحاسب في كثير من الأعمال.
ومع دخول عالم الإنترنت، أصبحت الحماية هاجسا كبيرا، وتفرعت الحماية إلى حماية الأجهزة والشبكات، ثم تنوعت طرق الحماية بحسب أنواع الاختراقات المتوقعة. وما زالت المفاهيم والمنتجات تتطور تبعا للحاجة، حيث بدأت شركات أمن المعلومات التسويق للأجهزة المدمجة التي تحوي عددا من الوظائف لحماية الشبكة واكتشاف محاولات اختراقها، بل وتصل إلى منع هذه الاختراقات.
من خلال ترؤسكم فريق عمل أمن المعلومات في الخطة الوطنية لتقنية المعلومات، ما هي أبرز الأعمال التي قمتم بها خلال الفترة الماضية؟
- فريق عمل أمن المعلومات يعتبر واحدا من 15 فريقا، تناولت نواحي شتى في تقنية المعلومات. وكان من منتجات هذا الفريق تقديم مقترحات عاجلة أو مبادرات لا تحتمل التأجيل في مجال أمن المعلومات. وأعتقد أن كثيرا منها قد بدأ الأخذ به الآن، والجزء الآخر هو تقديم دراسات حول تجارب الدول في مجال أمن المعلومات ودراسة التقنيات الحديثة وما يناسب المملكة منها، ودراسة الوضع الحالي للمملكة، بعد ذلك تم استخلاص المقترحات الاستراتيجية للخطة الوطنية لتقنية المعلومات فيما يخص أمن المعلومات.
تساؤل يطرح كثيرا، لماذا لا يتم تجريم مخترقي الأنظمة والشبكات، بحيث تتم معاقبتهم قانونيا؟
- هذا السؤال يحتاج إلى تفصيل، فإن كان المقصود عدم تجريم المخترقين ومعاقبتهم، فهذا غير صحيح. فالمخالف يعاقب حسب النظام الذي ينطبق عليه. أما إن كان المقصود عدم وجود أنظمة تفصيلية، فهي فعلا لم تكن موجودة، والسبب يعود للتسارع الذي تشهده المملكة في مجال الإنترنت. كما أن بعض الأنظمة -مثل أنظمة التجارة الإلكترونية- يتم التعديل عليها لتشمل الجرائم الإلكترونية.
الاختراقات وجرائم الحاسب الآلي والإنترنت أو ما يطلق عليه ''الإرهاب الإلكتروني''، كيف تتعاملون معها؟
- مما لا شك فيه أن الحاسب الآلي عموما والإنترنت خصوصا هي أدوات يمكن أن تستغل للتطوير وتعميم الفائدة، ويمكن أن تستغل استغلالا سيئا. وأرى أن من أهم وسائل مكافحة هذه الاختراقات بما يلي:
أ. تحقيق التوعية لمستخدمي الحاسب عموما والإنترنت على وجه الخصوص.
ب. تحديث الأنظمة وإغلاق الثغرات.
ج. استخدام الوسائل المساعدة لمنع الاختراقات مثل: الكشف عن الفيروسات، وإثبات الشخصية إلكترونيا، والكشف عن الاختراقات.
د. تدريب العاملين في مجال الحاسب على أمن المعلومات.
كيف يمكن حماية الأجهزة في ظل الانتشار الكبير الفيروسات الدودية وبرامج التجسس؟
- مما لا شك فيه أن البرامج المضادة للفيروسات وتحديثها هي وسيلة فعاله، لكن هناك بعض الاحتياطات الإضافية نذكر منها:
- عدم فتح البريد الإلكتروني إلا إذا كان المرسل معروفا لديك، وأن تكون الرسالة متوقعه أو ذات مناسبة، لأن بعض الفيروسات الدودية ترسل رسائل تلقائية مفخخة لأسماء معروفه لديك، قد أصيب جهازه بالفيروس، لذا لابد من التأكد من عنوان الرسالة وهل هي من الرسائل المتوقعة.
- عدم تنزيل البرامج وحافظات الشاشات واستخدام الموثوق منها فقط.
- تحديث نظام التشغيل من الموقع الموثوق وكذلك تحديث البرامج.
قانون UCITA, وهو القانون الذي دعمته ''مايكروسوفت''، يعطي شركات البرمجيات الحق في التلصص والتجسس ومراقبة الأجهزة، ألا يعتبر ذلك انتهاكا للخصوصيات؟ وكيف تتصرفون مع هذه العمليات؟
- هذا القانون لم يدخل حيز التطبيق بعد، وقد سبق وأن اقترح قانون آخر قوبل بمعارضة شديدة، وهو قانون موحد يشمل البرامج و قواعد البيانات وما شابهها، ولعل أهم النقاط التي تلاقي معارضة ما يلي: السماح للمصنع بتغيير شروط العقد بعد الشراء، إمكانية وضع مداخل خفية للبرامج قد تسمح للمخترقين من دخول الأجهزة، شراء المنتج ''كما هو'' وعدم تحميل منتج البرنامج مسؤولية ما يسببه من أعطال، وهذا القانون يتم معارضته من قبل كثير من المنظمات، وكذلك من قبل 26 ولاية أمريكية.
يتداول كثيرا أن شركات مكافحة الفيروسات تطور وتروج الفيروسات لتسويق منتجاتهم، فما تعليقكم على هذه المقولة؟
- مما لا شك فيه أن شركات مكافحة الفيروسات مستفيدة من وجود الفيروسات، ولكن هذا لا يعطينا الحق باتهامهم بهذا الأمر، ويجب أن لا تقودنا الشائعات إلى أحكام خاطئة.
الهاكرز وفريق أمن المعلومات يملكون نفس المعلومات، لكن يختلفون باختلاف توجهاتهم، لماذا لا يتم استقطاب الهاكر وتوظيفهم في المواقع المناسبة كمراكز أمن المعلومات والاستعانة بخبراتهم على غرار استعانة وكالة المباحث الفدرالية (FBI) بالهاكر لحماية المجتمع من أخطارهم؟
- العمل في مجال أمن المعلومات يتطلب جلدا وصبرا، ومن هذا المنطلق جاءت كلمة ''هاكر''، والفرق أن الذي استخدم مهاراته في مجال سيئ وصف بهذه الصفة، ولذا أظن المجال مفتوح لعمل هؤلاء، وتبقى الإشكالية في الثقة بشخص يهوى التجسس والتخريب.
تم اكتشاف ثغرات تمكن من التحكم بأجهزة الهواتف المتحركة عبر منفذ ''البلوتوث'' والأشعة تحت الحمراء، فما تعليقكم وكيف يمكن حماية هذه الأجهزة من الاختراق؟
- هذا الأمر ليس بمستغرب فجميع أجهزة الاتصال معرضة للاختراق، فهي مصنوعة بجهد بشري يكتنفه الخطأ والاستعجال. وأظن أن الأسلوب الأمثل يكون بالتوعية حول هذه المنتجات وأساليب الحماية من التجسس والاختراق.
- أمن المعلومات قديم جدا قدم المعلومات نفسها، وخاصة فيما يتعلق بتعمية (تشفير) المعلومات في المراسلات السرية العسكرية، إلا أنه تطور كثيرا في السنوات الأخيرة حتى شمل نواحي كثيرة من حياة الناس عامة، وذلك بسبب اعتمادهم على الحاسب في كثير من الأعمال.
ومع دخول عالم الإنترنت، أصبحت الحماية هاجسا كبيرا، وتفرعت الحماية إلى حماية الأجهزة والشبكات، ثم تنوعت طرق الحماية بحسب أنواع الاختراقات المتوقعة. وما زالت المفاهيم والمنتجات تتطور تبعا للحاجة، حيث بدأت شركات أمن المعلومات التسويق للأجهزة المدمجة التي تحوي عددا من الوظائف لحماية الشبكة واكتشاف محاولات اختراقها، بل وتصل إلى منع هذه الاختراقات.
من خلال ترؤسكم فريق عمل أمن المعلومات في الخطة الوطنية لتقنية المعلومات، ما هي أبرز الأعمال التي قمتم بها خلال الفترة الماضية؟
- فريق عمل أمن المعلومات يعتبر واحدا من 15 فريقا، تناولت نواحي شتى في تقنية المعلومات. وكان من منتجات هذا الفريق تقديم مقترحات عاجلة أو مبادرات لا تحتمل التأجيل في مجال أمن المعلومات. وأعتقد أن كثيرا منها قد بدأ الأخذ به الآن، والجزء الآخر هو تقديم دراسات حول تجارب الدول في مجال أمن المعلومات ودراسة التقنيات الحديثة وما يناسب المملكة منها، ودراسة الوضع الحالي للمملكة، بعد ذلك تم استخلاص المقترحات الاستراتيجية للخطة الوطنية لتقنية المعلومات فيما يخص أمن المعلومات.
تساؤل يطرح كثيرا، لماذا لا يتم تجريم مخترقي الأنظمة والشبكات، بحيث تتم معاقبتهم قانونيا؟
- هذا السؤال يحتاج إلى تفصيل، فإن كان المقصود عدم تجريم المخترقين ومعاقبتهم، فهذا غير صحيح. فالمخالف يعاقب حسب النظام الذي ينطبق عليه. أما إن كان المقصود عدم وجود أنظمة تفصيلية، فهي فعلا لم تكن موجودة، والسبب يعود للتسارع الذي تشهده المملكة في مجال الإنترنت. كما أن بعض الأنظمة -مثل أنظمة التجارة الإلكترونية- يتم التعديل عليها لتشمل الجرائم الإلكترونية.
الاختراقات وجرائم الحاسب الآلي والإنترنت أو ما يطلق عليه ''الإرهاب الإلكتروني''، كيف تتعاملون معها؟
- مما لا شك فيه أن الحاسب الآلي عموما والإنترنت خصوصا هي أدوات يمكن أن تستغل للتطوير وتعميم الفائدة، ويمكن أن تستغل استغلالا سيئا. وأرى أن من أهم وسائل مكافحة هذه الاختراقات بما يلي:
أ. تحقيق التوعية لمستخدمي الحاسب عموما والإنترنت على وجه الخصوص.
ب. تحديث الأنظمة وإغلاق الثغرات.
ج. استخدام الوسائل المساعدة لمنع الاختراقات مثل: الكشف عن الفيروسات، وإثبات الشخصية إلكترونيا، والكشف عن الاختراقات.
د. تدريب العاملين في مجال الحاسب على أمن المعلومات.
كيف يمكن حماية الأجهزة في ظل الانتشار الكبير الفيروسات الدودية وبرامج التجسس؟
- مما لا شك فيه أن البرامج المضادة للفيروسات وتحديثها هي وسيلة فعاله، لكن هناك بعض الاحتياطات الإضافية نذكر منها:
- عدم فتح البريد الإلكتروني إلا إذا كان المرسل معروفا لديك، وأن تكون الرسالة متوقعه أو ذات مناسبة، لأن بعض الفيروسات الدودية ترسل رسائل تلقائية مفخخة لأسماء معروفه لديك، قد أصيب جهازه بالفيروس، لذا لابد من التأكد من عنوان الرسالة وهل هي من الرسائل المتوقعة.
- عدم تنزيل البرامج وحافظات الشاشات واستخدام الموثوق منها فقط.
- تحديث نظام التشغيل من الموقع الموثوق وكذلك تحديث البرامج.
قانون UCITA, وهو القانون الذي دعمته ''مايكروسوفت''، يعطي شركات البرمجيات الحق في التلصص والتجسس ومراقبة الأجهزة، ألا يعتبر ذلك انتهاكا للخصوصيات؟ وكيف تتصرفون مع هذه العمليات؟
- هذا القانون لم يدخل حيز التطبيق بعد، وقد سبق وأن اقترح قانون آخر قوبل بمعارضة شديدة، وهو قانون موحد يشمل البرامج و قواعد البيانات وما شابهها، ولعل أهم النقاط التي تلاقي معارضة ما يلي: السماح للمصنع بتغيير شروط العقد بعد الشراء، إمكانية وضع مداخل خفية للبرامج قد تسمح للمخترقين من دخول الأجهزة، شراء المنتج ''كما هو'' وعدم تحميل منتج البرنامج مسؤولية ما يسببه من أعطال، وهذا القانون يتم معارضته من قبل كثير من المنظمات، وكذلك من قبل 26 ولاية أمريكية.
يتداول كثيرا أن شركات مكافحة الفيروسات تطور وتروج الفيروسات لتسويق منتجاتهم، فما تعليقكم على هذه المقولة؟
- مما لا شك فيه أن شركات مكافحة الفيروسات مستفيدة من وجود الفيروسات، ولكن هذا لا يعطينا الحق باتهامهم بهذا الأمر، ويجب أن لا تقودنا الشائعات إلى أحكام خاطئة.
الهاكرز وفريق أمن المعلومات يملكون نفس المعلومات، لكن يختلفون باختلاف توجهاتهم، لماذا لا يتم استقطاب الهاكر وتوظيفهم في المواقع المناسبة كمراكز أمن المعلومات والاستعانة بخبراتهم على غرار استعانة وكالة المباحث الفدرالية (FBI) بالهاكر لحماية المجتمع من أخطارهم؟
- العمل في مجال أمن المعلومات يتطلب جلدا وصبرا، ومن هذا المنطلق جاءت كلمة ''هاكر''، والفرق أن الذي استخدم مهاراته في مجال سيئ وصف بهذه الصفة، ولذا أظن المجال مفتوح لعمل هؤلاء، وتبقى الإشكالية في الثقة بشخص يهوى التجسس والتخريب.
تم اكتشاف ثغرات تمكن من التحكم بأجهزة الهواتف المتحركة عبر منفذ ''البلوتوث'' والأشعة تحت الحمراء، فما تعليقكم وكيف يمكن حماية هذه الأجهزة من الاختراق؟
- هذا الأمر ليس بمستغرب فجميع أجهزة الاتصال معرضة للاختراق، فهي مصنوعة بجهد بشري يكتنفه الخطأ والاستعجال. وأظن أن الأسلوب الأمثل يكون بالتوعية حول هذه المنتجات وأساليب الحماية من التجسس والاختراق.