.jpg)
الأكـثر قـراءة
إعداد: م. رامي ناجي / لا ميديا -
إن مفاهيم الأمان الرقمي والحماية والهجمات الإلكترونية لم تعد رفاهية وتكميلية كما كانت في السابق، بل صارت ضرورية لضمان سلامة أي كيان يعمل في السوق، فقد صار عدد المخترقين أكثر، وإمكانيات الهجمات والاختراقات أكبر، وبالتالي لا بد من اتباع بعض الإجراءات لضمان سلامة الشركات والمؤسسات وبيانات عملائها.
وتختلف تقنيات الأمان الرقمي الواجب تطبيقها على المؤسسات عن تلك التي يطبقها الأفراد شخصياً، وهذا طبيعي، فللمؤسسات هياكل عمل أكبر، وتعتمد على المزيد من البرمجيات في عملها، وبالتالي تحتاج أساليب حماية أكثر، مختلفة عما يطبّقه الأفراد.
سنتحدث في هذه السطور عن بعض تقنيات الأمان الرقمي، والإجراءات الأساسية التي لا بد لأي شركة أو مؤسسة أن تطبقها لتأمين بنيتها التقنية، لتجنب عمليات الاختراق وسرقة البيانات التي قد تحدث بسبب الفشل في حمايتها.
1 - برامج إدارة كلمات المرور الجماعية
هناك نوع من البرمجيات يسمى برامج إدارة كلمات المرور (Password Managers)، وهي برمجيات تحتفظ في قاعدة بياناتها باسم المستخدم وكلمات المرور لأي موقع ويب قد ترغب به، وفيها مزايا أمان إضافية يمكن استعمالها، مثل توليد كلمات المرور العشوائية أو دفتر العناوين أو ما شابه ذلك.
إن أفضل طريقة لتأمين كلمة المرور هي ألا تحتاج لمعرفتها أصلاً، أي أن تكون مخزّنة فقط في برنامج إدارة كلمات المرور، ولا طريقة للوصول إليها إلا عبر كلمة المرور الرئيسية (Master Password) وأي عوامل إضافية قد تعملها لفتح خزنة كلمات المرور الخاصة بك. وبعد أن تقوم بإلغاء قفل الخزنة ستتمكن من نسخ ولصق كلمة المرور مباشرة داخل متصفّحك دون الحاجة لأن تحفظها أو تعرفها.
غالباً ما يكون هناك في بيئة الشركات والمؤسسات الكثير من الحسابات الرسمية التابعة للشركة التي سيحتاج الموظفون تسجيل الدخول إليها، وبالتالي بيانات اسم مستخدم وكلمة مرور لتأمينها. وبدلاً من تأمينها بطريقة يدوية أو مشاركتها داخلياً، عبر البريد الإلكتروني مثلاً، لا بد أن تستعمل الشركة أو المؤسسة برنامج إدارة كلمات مرور جماعي، وهي التي تسمح لأكثر من مستخدم واحد باستخدامها والوصول إلى خزنة كلمات المرور المشتركة.
2 - التحقق الثنائي
التحقق الثنائي (Two-factor Authentication) هو عملية تسجيل الدخول إلى الأنظمة والخدمات عن طريق هويتين اثنتين، لا واحدة فقط. فمثلاً التسجيل عن طريق كلمة المرور فقط هو تحقق وحيد، لأنه يطلب هوية واحدة فقط وهي كلمة المرور نفسها. لكنّ في التحقق الثنائي يكون هناك هوية أخرى يطلبها النظام قبل السماح للمستخدمين بالولوج، مثل رسالة (SMS) تصل إلى أرقام هواتفهم المسجّلة في النظام أو شيفرة التحقق عبر تطبيقات مثل (Google Authenticator)، ولا يُسمح للمستخدم بالولوج إلى النظام حتى لو امتلك كلمة المرور الخاصة به إلا بعد أن يقوم بإدخال هذه الشيفرة أيضاً.
إن التحقق الثنائي ضروري لحسابات الموظفين التابعة لخدمات الشركة أو المؤسسة، لتشكيل طبقة حماية إضافية فوق عامل كلمات المرور التي يضبطها المستخدمون أنفسهم، والتي قد تكون ضعيفة أو مكررة أو غير جيدة، بحسب وعي الموظفين وخبرتهم في المجال الأمني.
3 - برامج تشفير الاتصال (VPN)
قد تتعرض الشركة أو موظفوها لهجمات إلكترونية مختلفة، ولهذا من الضروري أن يكون الاتصال بين أجهزة الموظفين وبين الإنترنت مشفّراً ومحمياً بطبقة حماية إضافية، لضمان عدم تنصّت أي جهة خارجية على البيانات الموجودة في هذا الاتصال.
أضف إلى ذلك، من الضروري معرفة عناوين الـ"آي بي" التي تسجّل الدخول إلى خدمات ومواقع الشركة كل يوم وحصرها، بحيث يمنع أي عنوان "آي بي" خارجها من الدخول، وبالتالي سيحتاج الموظفون إلى عنوان "آي بي" ثابت (Static IP Address) لا يسمح لسواه بتسجيل الدخول إلى النظام، وهو ما يوفره اتصال (VPN).
إن اتصال (VPN) هو اتصال مشفّر بين جهاز المستخدم والخادوم (Server) التابع لشركة الـ(VPN)، يسمح للمستخدم من خلاله الوصول إلى كامل الإنترنت عن طريق بوابة الخادوم وعنوان الـ"آي بي" الخاص به بدلاً من عنوان الـ"آي بي" الخاص بالمستخدم، وبالتالي يضمن حمايته وسلامته من الأخطار الخارجية.
4 - برامج تسجيل الأحداث والمتابعة
من الضروري تسجيل أي حدث (Event) يحصل على أنظمة الشركة أو المؤسسة، لعدة عوامل:
- مشاكل قانونية داخلية قد تحصل بين الموظفين (فلان فعل كذا، وفلان خرّب النظام، وفلان لم يفعل… إلخ).
- زيادة الأمان الرقمي عبر تسجيل كل حدث قام به كل مستخدم لمعرفة إن حصل اختراق أم لا.
- معرفة تسلسل الأحداث وما قد يؤدي إلى مشاكل وعلل تقنية في الخدمات بسبب إجراء معين مثلاً.
تمتلك الكثير من خدمات البنى التحتية التقنية، اليوم، أدواتٍ لتسجيل الأحداث داخلها، لكن قد يُحتاج أيضاً إلى برامج خارجية لمراقبة هذه الأنظمة جميعها وضمان أن كل شيء يعمل بالصورة المطلوبة.
وبالتالي يمكن الاعتماد على البرمجيات مفتوحة المصدر للمراقبة (Open Source Monitoring Software) أو برمجيات تسجيل الأحداث والسجل (Open Source Log Management) للقيام بهذا، وهي برمجيات مجانية غالباً يمكن تثبتيها على خواديم الشركة للمراقبة.
5 - التدقيق الروتيني للأنظمة الرقمية وأمانها
من الأمور الضرورية كذلك لبيئة الشركات والمؤسسات أن يكون هناك تدقيق روتيني لأنظمة الشركة، والإجراءات المتبعة من قبل موظفيها لتحقيق الأمان الرقمي. فلا يكفي أن تُثبّت برامج المراقبة والحماية وتشفير الاتصال لأول مرة ثم تتوقف عن التفكير في هذا الموضوع، بل لا بد من عمليات فحص دورية للتأكد من إعدادات كل الخدمات التابعة للشركة وأنها تعمل بصورة صحيحة، وأنها لا تسرّب أي بيانات للخارج.
وهذا لأن البرمجيات -بطبيعتها- قد تحوي ثغرات أمنية أو قد تتأثر ببرمجيات أخرى تعمل معها مع مرور الوقت فتؤدي إلى تسريب بيانات غير محسوب، ولن يكتشفه أحد دون عمليات التدقيق الروتينية هذه.
يمكن أن تكون هذه العمليات كل أسبوع مثلاً، أو كل أسبوعين أو كل شهر، بناءً على عدد الخدمات والموظفين في الشركة والموارد المتوفرة للقيام بهذه العمليات كذلك.
6 - الفحص الخارجي
تشغل الكثير من المؤسسات في وقتنا الحاضر موظفين داخليين لضبط إجراءات الأمان الرقمي في الأنظمة والأجهزة، والتأكد من أن جميع الموظفين يلتزمون بمعايير الأمان الرقمي المسندة إليهم، وهو أمر رائع بالطبع لكنه قد لا يكون كافياً.
ذلك أن الأمان الرقمي ليس ثابتاً أو واحداً يمكن تطبيقه من شخص واحد ثمّ يُكتفى بذلك، بل هو مجموعة أفكار ومعايير قابلة للنقاش والأخذ والرد. فهذا الموظف قد ينسى أو يغفل أموراً كان يجب ألا يغفلها فيما يتعلق بأمان خدمات الشركة، أو قد يكون لم يتلق التدريب الكافي في حياته العملية من قبل.
إن كانت المؤسسة تدير معاملات حساسة أو معاملات مصرفية ومالية مثلاً، فحينها لا بد من توظيف خبير أمني خارجي ليتأكد من إجراءات الأمان الرقمي المتبعة في المؤسسة، وأنه لا شيء من أنظمتها يحوي ثغرات أو مشكلات أمنية قد تؤثر على سلامة البيانات.
7 - الوعي الأمني للموظفين
أخيراً لا بد أن تستثمر أي مؤسسة أو شركة في موضوع الوعي بالأمان الرقمي لموظفيها، فمهما كان هناك من إجراءات وخدمات وطبقات حماية لتأمين الأجهزة والبيانات، ستبقى المؤسسة في خطر طالما أن موظفيها لا يبالون بموضوع الأمان الرقمي ويعتبرونه شيئاً رفاهياً أو تكميلياً.
لأجل هذا لا بد أن يكون هناك ورشات عمل تدريبية للموظفين حول هذه المواضيع، وأن تكون دورية (فصلية مثلاً أو نصف سنوية)، وتكون إجبارية للموظفين الجدد قبل أن يمنحوا وصولاً إلى خدمات وبيانات الشركة الحساسة.
المصدر رامي ناجي / لا ميديا