التسابق نحو تطبيقها قد يضعف الجانب الأمني..
غياب الوعي والاستراتيجيات يهدد أمن الحكومات الإلكترونية
|
* إعداد : ابراهيم الماجد :
لاشك في تطور ونمو الحكومات الإلكترونية العربية عاجلاً أم آجلا، وما تجربة حكومة دبي الإلكترونية الرائدة في هذا المجال إلا بداية تباشير تلك المرحلة. ويتوقع أن يمثل الأمن الإلكتروني أحد أكبر التحديات التي ستواجهها تلك الحكومات على أن يكون نجاح وصلابة الأمن الإلكتروني الحكومي أحد أهم مقاييس نجاح نماذج هذه الحكومات.
وبالنظر إلى الموضوع بصورة قومية شمولية نستطيع أن نستنتج أن أمن حكوماتنا العربية على الصعيد الإلكتروني سيكون في المستقبل القريب أحد أركان الأمن القومي العربي، فهل نحن مستعدون لكي ندخل الفضاء الالكتروني وننام مرتاحي البال وأعيننا مغلقة؟
إن الترويج لنموذج الحكومات الإلكترونية في الوطن العربي والهادف إلى إضفاء مزيد من الرفاهية على حياة المواطن اليومية بالإضافة إلى زيادة فاعلية وفعالية الأجهزة الحكومية المختلفة.
مازال يحتاج للإجابة على أسئلة أساسية متعلقة بأمن شبكات الحكومات الإلكترونية المزمع إنشاؤها في الدول العربية والتي تقام من أجلها. ذلك أن الجسم التنظيمي المعلوماتي القائم على إدارة وترويج النموذج الإلكتروني للحكومة من الممكن أن ينهار بطريقة دراماتيكية إذا ما أصيبت مفاصله بمرض فقدان المناعة المعلوماتية في حال تم اختراق أنظمة الحكومة الإلكترونية، وماذا عن خصوصية معلوماتك كمواطن أو صاحب عمل؟ هل ستكون سعيداّ بكشف بياناتك الصحية والاجتماعية والمالية والقضائية من قبل مجموعات متطفلة من الناس؟
خطأ المرّة الواحدة :
لا شك أنه خلال الفترة السابقة القصيرة النسبية، تم التركيز من قبل المؤسسات والحكومات إلى نقل أجزاء من مكوناتها المادية إلى الفضاء الإلكتروني حيث يمكن للمواطنين وأصحاب المؤسسات الذين يمارسون معاملاتهم في الفضاء الإلكتروني أن يتواصلوا مع حكوماتهم في الفضاء نفسه ومن دون الحاجة إلى الانتقال إلى الفضاء المادي لاستكمال الخدمات التي تكون الحكومة طرفاً فيها. غير أن معظم الكيانات المذكورة أهملت مسألة حيوية وجوهرية، ألا وهي موضوع الأمن المعلوماتي وما يستتبعه من تأكيد هوية طالب الخدمة والأطراف المرتبطة بالعقد الخدمي الإلكتروني، عن قصد أو من دون قصد. ونستطيع أن نعزو هذا الإهمال إلى أسباب عدة، منها الرغبة في عدم تأخير النقلة الإلكترونية خوفاً من المنافسة التفاضلية من كيانات أخرى شبيهة، أو ربما غياب الوعي لتلك المخاطر والإلمام بالتقنيات المستخدمة لدرئها.
وتشير دراسات وإحصاءات عدة إلى أن أكثر من 85 في المائة من مستخدمي الشبكة لا يزالون قلقين حيال استخدامهم معلومات حساسة عند إجراء الخدمات الإلكترونية. وقد أدت بعض حوادث اختراق أنظمة وشبكات المعلومات في العالم إلى اهتزاز ثقة المواطن بالشبكة وأمنها وهو بالتالي بدأ يعزف عن الاستفادة من نماذج التجارة الإلكترونية أو الحكومات الإلكترونية خوفاً من عمليات النصب والاحتيال الإلكترونية.
وقد يؤدي الخطأ المتمثل بعدم معالجة موضوع الأمن الالكتروني والعمل على إنشاء جهاز مناعة معلوماتي للحكومة إلى نسف مشروع التحول الإلكتروني من أساسه، وسوف يحدث هذا الخطأ الأمني المعلوماتي مرة واحدة لأنه ببساطة لن يكون هناك مرة ثانية بالنسبة للحكومة الإلكترونية بعد زلزلة ثقة الجمهور بهذا النموذج.
طبيعة المخاطر الإلكترونية :
تعمل أجهزة الحكومة الإلكترونية في فضاء مفتوح يتداخل فيه جمهورها الخارجي (مواطنين، مؤسسات، حكومات أخرى) مع جمهورها الداخلي (وزراء، موظفين.. الخ) وتصبح فيه أجهزة تلك الحكومة عرضة للعديد من أنواع الهجوم تحت دوافع مختلفة. ومن الممكن أن تتم مهاجمة أنظمة الحكومة الإلكترونية من داخلها وعبر أحد الموظفين الغاضبين أو من الخارج عبر مجموعات الهاكرز أو أجهزة الاستخبارات في بلدان عدوة وصولاً إلى المؤسسات التجارية الساعية إلى الحصول على معلومات تجارية تنافسية. وبالتالي فإن المخاطر التي تهدد أمن شبكات الحكومات الإلكترونية متعددة.
خطر المستخدم الشرعي :
ويشكل المواطن أو صاحب المؤسسة الحاصل على إجازة من الحكومة في سبيل استعمال خدماتها الإلكترونية المستخدم الشرعي. وقد يحاول هذا المستخدم أن يوظف إمكانية دخوله إلى شبكة الحكومة من أجل تخريب الخدمات المتاحة في نطاق إجازته أو الحصول على معلومات لا تخصه.
خطر موظفي الحكومة الإلكترونية :
وتشكل هذه المجموعة خطراً كبيراً على أنظمة الحكومة في حال أرادت ذلك، ونظراً لما يملكه بعض الموظفين في الحكومة الإلكترونية من حقوق دخول إلى الشبكة وإطلاع على الأنظمة فمن الممكن لهم أن يقوموا بأعمال تخريبية تؤدي إلى إيقاف الخدمة الإلكترونية بدوافع مادية أو نفسية، أو لمجرد عدم الرضا عن وضعهم الوظيفي داخل الحكومة.
خطر أجهزة المخابرات الخارجية :
من الممكن أن تعمد أجهزة المخابرات الصديقة أو العدوة على حد سواء إلى الحصول على معلومات عن أشخاص أو مؤسسات أو حتى أجندات الحكومة الداخلية عبر تنفيذ هجمات الكترونية بهدف اختراق النظام الأمني المعلوماتي للحكومة.
خطر المؤسسات التجارية :
قد تحاول هذه المؤسسات أن تخترق أنظمة الحكومة الإلكترونية من أجل الحصول على معلومات عن منافسيها في السوق.
خطر المنظمات الإرهابية :
قد تحاول بعض المنظمات الإرهابية فرض أجندتها السياسية على الحكومة عبر وسائل إرهابية عدة ومنها الحرب الإلكترونية، وربما تسعى إلى تعطيل خدمات الحكومة الإلكترونية بعد الحصول على مبتغاها منها من خلال هجوم الكتروني مكثف في فترة زمنية قصيرة.
خطر مزودي البرمجيات والعتاد :
يمتلك مزودو البرمجيات القدرة على التلاعب بالشفرة البرمجية بحيث يتركون وراءهم أبواباً مفتوحة للأنظمة (Back Road) مما يمكنهم لاحقاً من الدخول إلى تلك الأنظمة بطريقة غير شرعية. وعلى حد سواء يستطيع مزودو العتاد كأجهزة كمبيوتر وشبكات وغيرها أن يتركوا فيها عيوباً عن قصد بحيث يسهل عليهم تجاوز الإجراءات الأمنية الإلكترونية للحكومة.
خطر الكوارث الطبيعية :
قد تؤثر الكوارث الطبيعية من زلازل وهزات أرضية وصواعق في الحركة العامة لأجهزة الحكومة ومستوى توافر خدماتها بسبب الأضرار التي تلحقها بأنظمة الحكومة الإلكترونية والتسبب بشلها.
خطر عيوب التصميم والتشغيل :
وتشمل عيوب التصميم في مختلف مكونات الحكومة الإلكترونية من الشبكات وطريقة تصميمها إلى البرمجيات المستخدمة وخوارزميات التشفير ومستوياتها وصولاً إلى أساليب وطرق التثبت من الهوية الإلكترونية.
خطر التناثرية الأمنية :
في كثير من البلدان التي لا تملك مخططاً توجيهياً عاماً (Government Master Plan) لتطبيقات الحكومة الإلكترونية على مستوى الإدارات الرسمية والوزارات كافة، تعمد إدارات تلك البلدان إلى تطبيق مفهومها الخاص بالأمن والسرية الإلكترونية بدون الأخذ بعين الاعتبار أي معايير أو مقاييس تضمن كفاءة وفعالية تطبيقاتها. ويؤدي هذا الأمر بالتالي إلى نوع من تناثر وتنوع تطبيق مفاهيم الأمن والسرية عبر الإدارات، وقد يشكل ضعف تطبيق إدارة أو وزارة واحدة لمبدأ الحماية والأمن الحلقة الضعيفة في الجدار الواقي مما ينتج عنه بالنهاية اختراق هذا الجدار.
خطر غياب الوعي للمخاطر :
يمثل ضعف وعي مديري القمة وموظفيهم في الحكومة الإلكترونية للمخاطر المذكورة أعلاه الخطر الأعظم على هذا النموذج. وربما من الأفضل في هذه الحال للحكومة البقاء في فضائها المادي الواقعي وعدم الشروع بدخول الفضاء الإلكتروني.
تقنيات الهجوم المحتملة :
من الممكن أن يتم الهجوم على خدمات ومعلومات الحكومة الإلكترونية من قبل مصادر الخطر المذكورة أعلاه وبوسائل وتقنيات متعددة، وكلما تطورت وسائل الدفاع تطورت معها وسائل الهجوم وهذا ما يحتم على مديري الحكومة الإلكترونية اعتماد وسائل حماية ديناميكية للأمن المعلوماتي تتطور بتطور الظروف المحيطة ومن التقنيات المحتملة للهجوم الإلكتروني:
التنصت على المعلومات :
تطورت تقنيات التنصت على المعلومات خلال طريقها من المصدر إلى الهدف مع تطور وسائل نقل المعلومات. نشر الفيروسات الإلكترونية: قد تلعب هذه الفيروسات دور (حصان طروادة) في أنظمة الحكومة الإلكترونية، فمن الممكن أن تتخذ مكاناً لها داخل تلك الأنظمة وتبدأ بالتقاط المعلومات الداخلية وبثها إلى جهات معينة خارجية ثم تحدث في مرحلة ضرراً فادحاً بالأنظمة المعلوماتية في الحكومة الالكترونية.
مهاجمة الواجهة أو شلّ خوادم الوب :
تعتبر خوادم الوب (Web Servres) الواجهة الرئيسية المفتوحة في الحكومة الإلكترونية ويأتي بعدها تقنيات الحماية عبر إنشاء جدار النار (Firewall)وما شابه، ونظراً لوجود هذه الخوادم في المقدمة فإنه من البديهي أن يتم الهجوم عليها في المقام الأول وشل عملها.
توليد كلمات السر وأذونات الدخول :
يعتمد هذا النوع من الهجوم على إمكانية توليد كلمات السر أتوماتيكياً عبر برامج خاصة. وعموماً يحتاج هذا النوع من الهجوم إلى فترة زمنية طويلة في حال كانت كلمات السر الأصلية طويلة ومعقدة.
تقنية الاعتراض والتغيير :
ويكون هذا الهجوم ذو طابع غير تدميري بقدر ما يحمل طابع التلاعب بالمعلومات لصالح الجهة التي تقوم بهذا الهجوم، وفي هذا السيناريو يتخذ المهاجمون موقعاً لهم بين الحكومة الالكترونية والمواطن أو صاحب العمل بحيث يعترضون المعلومات المرسلة ويبدلونها ثم يرسلونها إلى الطرف الهدف. وهو أمر يشكل خطراً كبيراً في حال اعتماد الانتخابات الإلكترونية. استخدام الوسائل الإشعاعية: تعتبر التقنيات الإشعاعية من الوسائل المتقدمة في مجال الهجوم على الأدوات الإلكترونية ومنها أنظمة وأجهزة الحكومة الإلكترونية، وتمثل الومضات الكهرومغناطيسية (Electromagnetic Bomb,pulse weapon) خطراً كبيراً على رقائق السيليكون الخاصة بتلك الأجهزة وفي حال تمكن المهاجمون من الحصول على تلك الوسائل وتوجيهها بطريقة أو بأخرى إلى أجهزة الحكومة الإلكترونية، فمن الممكن أن تذوب مكونات تلك الأجهزة تحت تأثير الإشعاع كما يذوب الثلج تحت أشعة الشمس.
انتحال الشخصية الإلكترونية :
يعتمد المهاجم الالكتروني في بعض الحالات على انتحال شخصية الحكومة الالكترونية عبر إنشاء مواقع شبيهة جداً بمواقع الخدمات الحكومية الإلكترونية، وإيهام للمواطنين بأنها مواقع حكومية حقيقية، لنصب الفخ الإلكتروني للمواطن.
هجوم الرئيس المرؤوس :
يقوم هذا النوع من الهجوم الإلكتروني على مبدأ توزيع الأدوار بين البرنامج قائد الهجوم (Master attack)والبرامج المنفذة للهجوم (Slave attacked.) ويقوم الشخص الآمر بالهجوم بإعداد برنامج رئيسي يرسل إشارة الهجوم لبرامج فرعية موجودة على العديد من الأنظمة المربوطة بالإنترنت بحيث يظهر لوحدات الأمن الإلكتروني في الدولة بأن الهجوم صادر من نقاط تواجد الأنظمة الفرعية، في حين أن الهجوم الإلكتروني الفعلي يكون قد تم عبر البرنامج الرئيس وبإشارة من الشخص المسؤول ولسوء الحظ لن تتمكن أجهزة الأمن الإلكتروني من تعقب المهاجم الفعلي الذي يكون قد قام بعملية تضليل إلكترونية قد توقع الحكومة الإلكترونية في فخ اتهام أشخاص غير معنيين كلياً بالهجوم بل كانوا أيضا جزء من الضحية.
الاستفادة من ثغرات الأنظمة :
عادةً ما يقوم مرتكبو الهجوم الالكتروني بعملية مسح شامل للأنظمة المعروفة والمستخدمة من أجل معرفة نقاط ضعفها الأمنية، وفي الوقت الذي ينشر فيه مزودو البرامج وأنظمة التشغيل معلومات تفصيلية عن تلك الثغرات الأمنية في منتجاتها من أجل تمكين عملائها من اتخاذ التدابير الاحترازية يغتنم المهاجمون الإلكترونيون الفرصة بشكل موازٍ من أجل اختراق الأنظمة قبل أن يتم سد ثغراتها الأمنية.
تجنيد الأشخاص :
يعتبر تجنيد الأشخاص أو العمالة المزدوجة من أحد مشاكل الأمن المادي الفعلي. وتكمن خطورة هذا الموقف بالنسبة للحكومة الالكترونية بأن مرتكبي الهجوم الالكتروني الخارجي قد يحصلون على معلومات حساسة وحرجة جداً عن تركيبات الأنظمة الحكومية وكيفية تجاوز بوابات السرية والأمان من قبل أشخاص داخليين مدفوعين بانتماءات غير وطنية أو من أجل الحصول على المال أو أسباب عديدة غيرها.
استراتيجيات الدفاع والوقاية :
يقوم أحد مبادئ الدفاع العسكري على نظرية مفادها أن أفضل طريقة للدفاع هي الهجوم، وقد ينطبق هذا المبدأ على الدفاع الإلكتروني لولا أنه في غالب الأحيان يصعب تحديد مكان العدو الإلكتروني في زمن الهجوم الفعلي. وإن كانوا في دول أخرى فمن الممكن أن تدخل الحكومة في اتفاقات أمنية إلكترونية مع حلفائها من الدول الخارجية بحيث تطلب من حكومات تلك الدول تعقب مهاجمين مفترض أنهم ينطلقوا من أراضيها، هذا النوع من الدفاع هو ما يسمى (الهجوم المضاد المادي)، والذي يعتمد على عناصر الأمن والمخابرات وضرورة توفر المعلومات عن أمكنة وتواجد المهاجمين وتكون المعادلة هنا: (هجوم إلكتروني دفاع مادي بشري). وعلى صعيد آخر، قد تلجأ وحدة الأمن الإلكتروني في الحكومة (في حال كانت موجودة في تشكيلات الأمن في الدولة) إلى البدء بعملية (هجوم إلكتروني مضاد) تهدف إلى شلّ أجهزة وأنظمة العدو وبالتالي قدرته الآنية على مواصلة الهجوم لحين رفع درجة الإجراءات الأمنية الإلكترونية، كإقفال الشبكة لفترة معينة والتحقق من الخسائر المحتملة وتكون المعادلة هنا: (هجوم إلكتروني دفاع هجوم إلكتروني مضاد).
يتبين لنا من خلال ما تقدم أن عمليات الهجوم والدفاع الإلكتروني هي من العمليات المعقّدة والتي تتطلب جهوزية تامة في لحظة وقوع الهجوم الإلكتروني بالإضافة إلى كفاءات تقنية عالية على الأرجح أن لا تكون متوفرة لدى الحكومة وبناءً عليه يبقى على الحكومة الإلكترونية أن تتخذ كافة إجراءات الوقاية للحؤول دون اختراق أنظمتها وتدمير خدماتها.
ومن وسائل واستراتيجيات الوقاية :
نشر الوعي الأمني المعلوماتي: لا يمكن تجنب الأخطار المذكورة واعتماد سياسات دفاع إلكترونية من دون وعي كامل وشامل لهذا الموضوع الخطير.
الإستراتيجيات التنظيمية والهيكلية :
من المهم أن تقوم الحكومة بإجراءات وقائية على المستوى التنظيمي والهيكلي عبر إنشاء تشكيلات خاصة بالأمن الالكتروني قد تكون تابعة لأجهزة الدولة الأمنية بحيث يكون تطوير الأمن الالكتروني ورسم سياسات الدفاع والهجوم الالكتروني في صلب مهامها.
تطوير الاتفاقات الأمنية الخارجية :
من المفيد أن يتم تطوير تلك الاتفاقات الأمنية لكي تشمل قضايا ومواضيع الأمن الالكتروني وأوجه التعاون المحتملة. إستراتيجية الترغيب والترهيب: منها تشجيع المواطنين على الإبلاغ عن محاولات الاعتداء الالكتروني بدون أن يتم الكشف عن المخبرين ووضع عقوبات رادعة لمرتكبي الجرائم الالكترونية.
الهوية الإلكترونية الموحدة :
موضوع الهوية الالكترونية ووسائلها من المواضيع الجديدة على ساحة النقاش الحكومي الإلكتروني وهو لم يصل إلى مرحلة النضج الكامل بالرغم من ادعاءات الكثير من مزودي البرامج بوجود حلول مناسبة. تقنية الترخيص الإلكتروني: سوف تخدمنا الهوية الالكترونية للتعريف عن أنفسنا لدى الحكومة الالكترونية وبالتالي الولوج داخل الحدود الالكترونية للبلاد ولكن هذا لا يعني أننا سوف نصبح في مقام يسمح لنا بتنفيذ وطلب جميع الخدمات الالكترونية، فبعض الخدمات سوف تكون مقصورة على الرؤساء وغيرها خاص بالمؤسسات وأخرى خاصة بالأفراد وهكذا وباختلاف الناس ومقاماتهم سوف تختلف درجات الترخيص ونطاقها.
تشفير المعلومات المنقولة والمحفوظة :
من الواجب اعتماد تقنيات تشفير عالية بحيث تظهر تلك المعلومات بصورة مبهمة تماماً لكل من يحاول التنصت عليها عبر الشبكة السلكية أو اللاسلكية، وهناك تقنية متوفرة عالمياً وفي معظم البرامج والأنظمة الالكترونية في هذا المجال على صعيد المعلومات المنقولة، وينبغي اتخاذ نفس الإجراءات بالنسبة للمعلومات الحساسة المحفوظة في الأجهزة بحيث يتم حفظها وهي مشفرة.
تسجيل الأثر الالكتروني :
تحتاج الرقابة الالكترونية اللاحقة إلى معلومات تستند إليها لمعرفة من فعل ماذا ومتى؟ من أجل التدقيق في الأعمال المريبة ومساءلة الأشخاص المسؤولين عنها، لذلك يكون من الضروري أن تعمد الحكومة الالكترونية إلى إنشاء خدمات لتسجيل الأثر الإلكتروني لطالب الخدمة.
كلمات مرور معقدة وديناميكية :
لقد تكلمنا سابقاً عن إمكانية توليد كلمات السر إلكترونياً وما هي التقنيات المستخدمة لذلك، ومن أجل تفادي هذا الأمر من الضروري أن تكون كلمات السر تطابق الحد الأدنى لمواصفات الأمن والسرية بحيث تكون طويلة كفاية ولا تستخدم الكلمات المفتاحية أو أسماء العلم أو الحيوانات أو الكلمات التي يحتمل وجودها في معاجم اللغة، ويمكن زيادة تعقيد هذه الكلمات بجعلها تتغير أوتوماتيكياً مع مرور الوقت عليها.
محاكاة أساليب الهجوم الإلكتروني:
ويسمى هذا الأسلوب في بعض الأحيان بالمناورات الأمنية الإلكترونية وتعمل خلالها أجهزة الأمن الالكتروني على القيام بهجوم تجريبي غير ضار على أنظمة إدارات الدولة المختلفة للتحقق من صلابتها ومقاومتها وقد يتم هذا الهجوم بدون سابق إنذار للتأكد من فعالية أجهزة الحماية ومستوى تطبيق الإدارات الحكومية لمعايير الأمن الالكتروني.
الحماية المادية للأجهزة والأنظمة :
تحتاج مواقع الحكومة الالكترونية وأماكن تواجد أنظمتها إلى حماية أمنية للتأكد من عدم تجرؤ أطراف عدوة على العبث والتخريب وتدمير المكونات المادية للحكومة الالكترونية وقد ينفع من فترة إلى أخرى إجراء مسح راداري لاسلكي للتأكد من عدم وجود أجهزة تنصت إلكترونية في نطاق عمل الحكومة الالكترونية.
التخطيط الأمني الإلكتروني :
يعتمد التخطيط الأمني الإلكتروني على أربعة مراحل أساسية وتبدأ الخطة بمرحلة اتخاذ جميع إجراءات الوقاية الصادرة عن وحدة الأمن الإلكتروني في الدولة ومنها تعميم معايير الأمن والسرية المطلوبتين على كافة إدارات الدولة وتحضير البنية التحتية للحكومة الإلكترونية بطريقة تضمن عدم وجود ثغرات في الجدار الواقي الإلكتروني.
وفي المرحلة الثانية يتم مراقبة الأعمال المريبة التي تحدث في شبكات الحكومة ومنها محاولات دخول متكررة وغير ناجحة، محاولة إرسال فيروسات إلى أنظمة الحكومة وإمكانية التلاعب بالبرمجيات والأنظمة من الداخل وبنتيجة هذه التحاليل يصار إلى تحديد أماكن ومصادر التهديد.
المرحلة الثالثة تحتم على وحدة الأمن الإلكتروني القيام بإجراءات دفاعية ومنها التعاون مع أجهزة أمن الدولة للقبض على المهاجمين في حال تم تحديد موقعهم الجغرافي وفي حال لم يتم فإن تلك الوحدة من الممكن أن تقوم بهجوم إلكتروني مباشر وسريع على مواقع العدو الإلكترونية لشلّ قدرتها على إلحاق الأذى.
وختاماً ينبغي في المرحلة الأخيرة العمل الدائم على تحسين معايير الأمن والسرية عبر استطلاع التقنيات الجديدة والاستفادة من الأخطاء السابقة.
.....
الرجوع
.....
| |
|
|
توجه جميع المراسلات التحريرية والصحفية الى
chief@al-jazirah.com عناية رئيس التحرير
توجه جميع المراسلات الفنية الى
admin@al-jazirah.com عناية مدير وحدة الانترنت
Copyright 2002, Al-Jazirah Corporation, All rights Reserved
| 