selected item
مقابلة في جريدة الشرق حول أمن الشبكات مع محمد اليوسف، مشرف عمليات الأنظمة للشرق الأوسط في قسم تقنية المعلومات في اكسون موبيل قطر
1. ما مدى تطوّر الأمن الالكتروني مقارنة بما كان عليه قبل عشر سنوات؟ وكيف تُرجم ذلك إلى مسؤولية إضافية على عاتق فريق الأمن الإلكتروني في مؤسسة ما ؟
في ظل تنامي أهمية التكنولوجيا في عالمنا؛ أصبحت عملية جمع ومشاركة المعلومات أسهل من أي وقت مضى، كما أن كمّ المعلومات التي صار من الممكن مشاركتها مع الجمهور فاق كل التوقعات التي كانت قبل عشر سنوات. وهذا يعني أن حماية هذه المعلومات فرضت أهميتها الحيوية على مستوى الفرد والمؤسسة.
ولطالما أدركت إكسون موبيل، وغيرها من الشركات الكبرى، الأثر السلبي والإيجابي الذي يمكن أن تحمله التكنولوجيا، واتخذت العديد من الخطوات بهدف تأمين بياناتها ومعلوماتها ضد مختلف مستويات وفئات التهديدات المتعلقة بالأمن الالكتروني.
ومما لا شك فيه أنه لا توجد مؤسسة أو شخص محصّن ضد التهديدات الإلكترونية، ولذلك نؤمن بأن كل فرد يضطلع بدور حيوي فاعل في حماية المؤسسة من مثل هذه الهجمات الالكترونية.
2. ما هي نوعية التدريب الذي توفره المؤسسات والشركات مثل إكسون موبيل عادة لموظفيها بهدف ضمان قدرتهم على التعامل مع التهديدات الإلكترونية المتعلقة بالبرمجيات؟ وفي رأيك، ما هي الجوانب المحددة في هذا التدريب التي تحتاج إلى تحسين من أجل توفير أأمن بيئة عمل ممكنة؟
هناك تزايد في الوعي حول التهديدات الإلكترونية وأهمية تبنّي ممارسات استباقية تجاهها. ويمثل الأمن الإلكتروني أولوية قصوى بالنسبة للشركة، وتعقد إكسون موبيل في كل عام دورات تدريبية لموظفيها حول الأمن الالكتروني. ويتضمّن التدريب معلومات حول مختلف أنماط التهديدات الالكترونيىة. ويجري خلال هذه الجلسات تدريب موظفي الشركة على تحديد خصائص محاولات الاختراق الالكترونية واتخاذ الإجراءات الفورية لمنعها. وأرى أنه ينبغي على كل من المدربين المتخصصين في الأمن الالكتروني ومستخدمي تقنية المعلومات أن يكونوا مواكبين وعلى تواصل ودراية بكافة التهديدات الراهنة. كما يجب أن يتسم التدريب بالديناميكية، وأن يعكس التهديدات المحتملة التي تصاحب أحدث المستجدات في عالم التكنولوجيا.
إلى جانب ذلك؛ ترسل الشركة للموظفين تهديدات وهمية لاختبار مدى قدرتهم على تحديد المخاطر التي قد تباغتهم. ويعد ذلك أمراً جوهرياً لرفع الوعي والانتباه بشأن هذا الجانب الحيوي، وقد أدت هذه الخطوات إلى تحسن مستوى قدرة الموظفين على تحديد مثل هذه المخاطر الالكترونية.
3. هناك مصطلحات، مثل الاحتيال والهندسة الاجتماعية، يجري تداولها بين الجمهور، فما الفرق الجوهري بينهما؟ وكيف يمكن رفع الوعي لدى الجمهور في تجنّب التعرض لمثل هذه التهديدات ؟
يكون الاحتيال عادة محاولة مباشرة وشاملة ، تبدو وكأنها من مؤسسة أو شركة معروفه، حيث يتم إرسال رسالة إلكترونية إلى مجموعة من الأفراد. وتطلب الرسالة من المستلم الحصول على معلومات شخصة مثل أرقام الحسابات المصرفية أو كلمة المرور أو أرقام البطاقات الائتمانية. وعادة ما تشمل هذه الرسالة رابطاً يحتوي على أكواد خبيثة تخترق حاسوب المستخدم. وهناك نوع آخر يتمثل في تحديد الشخص المراد إستلام الرسالة وجعله يعتقد أن هذه الرسائل الواردة من هذا البريد الالكتروني حقيقيه.
من ناحية أخرى؛ الهندسة الاجتماعية قد تكون مباشرة ودقيقة وبارعة، فهذا النوع من التهديد الالكتروني يعمد إلى خداع الأفراد ليكشفوا عن معلومات سرية. وقد تتنوع المعلومات التي تستهدفها مثل هذه الجرائم. وبوجه عام يمكننا القول أنه عند استهداف الأفراد يستخدم مرتكبو هذه الجرائم لغة مقنعة لخداع المستلم للكشف عن كلمة المرور أو المعلومات المصرفية. وإضافة إلى ذلك؛ قد تجري المحاولة بطريقة سرية لتثبيت برمجيات خبيثة في حاسوبك، ما يمنح المهاجم سهولة الوصول إلى بياناتك والتحكم في حاسوبك الشخصي.
وفي جميع الحالات يجب على مستخدمو الحاسب أن يكونوا مدربين لإكتشاف هذا النوع من الرسائل الالكترونية وتوخي الحذر الاستباقي عند فتحها أو تقديم معلوماتهم الشخصية عبر الإنترنت، وذلك من أجل تجنّب أية اختراقات الكترونية، سواء على مستوى البيانات الشخصية أو الخاصة بالمؤسسة.
4. يتطلّب الدفاع الدقيق التنسيق الجيد لاستخدام إجراءات أمنية متعددة لضمان الحماية الأفقية والرأسية للبيانات والمعلومات. ما هي النقاط الرئيسية التي تحتاجها أي مؤسسة، مثل إكسون موبيل، لوضعها في الاعتبار عند تصميم منظومة دفاع أمنية تجمع بين الفعالية وعدم التقييد المفرط ؟
تتمثل الخطوة الأولى في قيام المؤسسات بإجراء البحث في منظوماتها الإلكترونية بهدف تحديد مستوى الحماية التي ترغب في إنجازها. ومن العناصر الأساسية التي ينبغي أن توضع في الحسبان هي حجم البيانات وكذلك أعداد المستخدمين. وسوف يضمن هذا النهج قيام خبراء الأمن الالكتروني في المؤسسة بتثبيت الخصائص الدفاعية الملائمة. وبالنظر إلى أن طبقات الحماية قد تكون أكثر تعقيداً؛ فإنه يتوجّب على المؤسسات إتاحة حلول بديلة لموظفيها وعملائها، وذلك في حال ما اضطرت تلك المؤسسات إلى منع تطبيقات بعينها أو أنماط معينة من التكنولوجيا لحمايه المؤسسة من خطر هذه الرسائل .
5. تشمل وسائط تخزين المواد الإعلامية القابلة للازالة مشغّل ذاكرة فلاش والأقراص الصلبة والأقراص المدمجة. فما هي أبرز المخاوف المرتبطة باستخدام مثل هذه الوسائط القابلة للازالة؟ وكيف يمكن تجنّب المخاطر المرتبطة بها؟
تعد وسائط تخزين المواد الإعلامية القابلة للإزالة من الأدوات التي يشاع استخدامها، وذلك بفضل سهولة نقلها ويمكنها تخزين كميات كبيرة من البيانات. وللأسباب ذاتها يتيح استخدام مثل هذه الوسائط مستويات عالية من المخاطر مثل الفيروسات والبرمجيات الخبيثة والتي من السهل تثبيتها/ تخزينها بها. ويتواصل تصاعد مخاطر البرمجيات الخبيثة، ويمكنها الانتقال بين الأجهزة سواء عرضاً أو عمداً.
ولا شك أن مشاركة المعلومات مع الأفراد أو المؤسسات جانباً ضرورياً لممارسة أية أعمال تجارية، ولكنها قد تضع الشركة في خطر. ويتوجّب على المستخدمين سواء في المنزل أو العمل الحرص الدائم على حصر الاستخدام على الأجهزة ذات المصادر الموثوقة، واستخدامها مع درجة عالية من الحذر. ويمكن الالتزام بذلك عبر الفحص الدوري للأداة أو الجهاز المتنقل للتأكد من عدم احتوائه على فيروسات أو برمجيات خبيثة.
ولذلك قد تقوم الشركات باتخاذ الإجراءات لمنع أو الحد من استخدام وسائط تخزين المواد الإعلامية وذلك لما تحمله من مخاطرهائلة.
6. غالباً ما يستخدم موظفو الشركة البريد الإلكتروني الخاص بالعمل خلال العطلات، فكيف يمكنهم ضمان أمن المعلومات عند استخدام حساباتهم الإلكترونية وبياناتهم الخاصة بالعمل من حاسوب غير معرّف عند السفر؟
كثيراً ما يُطلب من الموظفين الدخول إلى مراسلاتهم على الإنترنت لإتمام أعمالهم من خارج مكاتبهم أو خارج ساعات العامل المعتادة. هناك خطوات معينة يتوجّب عليهم اتخاذها حتى لا يصبح الموظف ضحية للتهديدات الإلكترونية أثناء السفر. أولأً يجب عليهم التأكد من استخدام البريد الالكتروني الخاص بالشركة حصراً من خلال الأجهزة التي تديرها الشركة، وثانياً عند الارتباط مع مواقع لاسلكية ينبغي على المستخدم اختيار مواقع آمنة وتجنّب نقاط بث الانترنت العامة، واستخدام شبكات خاصة افتراضية لحماية بياناتهم أثناء مرحلة التنقل. وفي النهاية يحتاج الموظفون إلى تثقيف أنفسهم حول المخاطر التي تنطوي عليها رسائل البريد الالكتروني غير المرغوب بها أو رسائل الاحتيال.