مقال لي نشر في جريده الرياض السعوديه- العدد 14752

http://www.alriyadh.com/2008/11/13/article387572.html

مصطلح المهندس الاجتماعي اسم يوحي في ظاهره انه من اشكال الهندسة المحمودة التي عمرت البشرية علماً ونفعا بينما هو بالحقيقة خطر محدق على المعلومات الشخصية للمواطن وأمن معلومات القطاع الحكومي والأهلي.

فالهندسة الاجتماعية هي احدى تقنيات الهكرز في الاختراق اعتماداً على الطبيعة البشرية ونقاط الضعف فيها. بعض الهكرز يستخدمون هذه الميزة للحصول على معلومات تساعد في الدخول على نظام محمي. فبدلا من استخدام برامج لاختراق الأنظمة يحاول الهكرز انتحال شخصيات مثل عميل او مراجع او موظف تقني او موظف بريد للحصول على الأرقام السرية او اي معلومات تساعد على اختراق النظام عن طريق الموظف نفسه وبشكل مباشر دون استخدام اي تقنيات الكترونية، فهم يقومون باستخدام مهارات الهندسة الاجتماعية للحصول على اسم المستخدم، اسم النظام، اسم السيرفر او الرقم السري او طلب كتابة اوامر تساهم في فتح ثغرات في النظام او تُعطي صلاحيات خاصة. مثال على ذلك، أن يتم الاتصال الهاتفي بالموظف او مقابلته في مقر عمله على ان هناك مشكلة تحتاج الى اصلاح او أمر طارئ يستدعي الدخول على النظام مع ايهام الموظف انه ان لم يقدم المساعدة فإن المدير سيغضب منه، وقد يتم ذلك عن طريق عرض المساعدة في تركيب برامج او ضبط اعدادات الحاسب الآلي او قد يدعي احدهم بانه موظف جديد ويحتاج لمساعدة مستغلين بذلك الزمالة الوظيفية وحسن النية وحب مساعدة الآخرين. وبالتالي تتم عملية الاختراق والحصول على معلومات قد تستخدم في علميات ارهابية او تتعرض لاسرار امنية او مالية للشركات وللاجهزة الحكومية والأهلية. لذلك فالهندسة الاجتماعية تبلغ من خطورتها لدرجة انه من الممكن ان تتجاوز جميع ما يقوم به الجهاز الحكومي او الأهلي من حماية معلوماته بوسائل تقنية مثل برامج مكافحة التجسس وبرامج الجدار الناري غيرها من وسائل الحماية والأمان.

هنا تكمن اهمية اتخاذ اساليب حماية وتوعية من قبل الأجهزة الحكومية والأهلية لموظفيها من مخاطر الادلاء بأي معلومات عن الأنظمة الإلكترونية لاي شخص غير مصرح له حتى لو كان من موظفي الجهاز. خصوصا ان نوعية المعلومات التي قد تلحق ضرراً بأمن المعلومات الإلكترونية لا تعرف من قبل موظفي الجهاز العاديين وبالتالي الإدلاء بها لاي شخص دون الانتباه بان مثل هذه المعلومات البسيطة قد تستخدم في اختراق النظام او الموقع الإلكتروني.

من ضمن وسائل الحماية التي يجب على الموظف مراعاتها عن طلب معلومات من المهندسين الاجتماعيين:

- التحقق من هوية اي شخص يطلب معلومات عن جهازك او حسابك او اي معلومات عن حساب لموظف آخر وذلك بالاتصال بنفس الإدارة للتحقق من هوية طالب المعلومات.
- لا تقوم بالتجاوب مع اي اتصال لا يظهر رقم المتصل.
- لا تعط ارقامك السرية لأي كان حتى لموظفي تقنية المعلومات.
- لا تعط معلوماتك الوظيفية او اي معلومات وظيفية لاي موظف آخر.
- لا تقم باتباع تعليمات غريبة او مريبة تتعلق بالأجهزة الإلكترونية.
- من الضرورة عدم اتباع اي اوامر تصدر لك لكتابة اوامر على النظام او ادلاء بمعلومات دون التأكد من هوية الشخص المتصل بك واحقيته في اصدار الأوامر حتى لو ادعى ان الأمر طارئ.
- لا تشارك بالاستبيانات الهاتفية حتى لو كانت من داخل الجهاز نفسه لانه قد تستغل لدس اسئلة بين الاستبيان للحصول على معلومات تساعد على الاختراق.
- اتصل على الجهة ذات العلاقة بأمن المعلومات عند الإحساس بإن هناك من يريد الحصول على معلومات خاصة بنوعية الأجهزة ونظم التشغيل.

والأهم من ذلك هو مبادرة الأجهزة الحكومية والأهلية بتدريب موظفيها وتوعيتهم بأمن المعلومات واهمية عدم اعطاء معلومات حتى لو كانت بسيطة لاشخاص غير مصرح لهم وتوضيح صلاحيات التحكم للموظفين واختبار إلمامهم بأمن المعلومات من وقت الى آخر.