من أجل الحماية ضد هجمات مخترقي الإنترنت المتزايدة عددا وتعقيدا، يدعو محترفو الأمن
إلى تقانة محدَّثة وإلى إعطاء العوامل الإنسانية والقانونية اهتماما أكبر.
المشاركون في الحوار
<R. أبيانكر>
مدير إدارة المنتجات في الشركة McAfee Avert Labs.
<W. دِفِّي>
نائب الرئيس وكبير موظفي الأمن في الشركة Sun Microsystems.
<A. گلّيلاند>
نائب الرئيس لإدارة المنتجات في الشركة Symantec.
<P. هايم>
كبير موظفي أمن المعلومات في الشركة Kaiser Permanente.
<J. لاندوير>
مدير قسم حلول واستراتيجية الأمن في الشركة Adobe Systems.
<S. لِپنر>
مدير قسم استراتيجية هندسة الأمن في الشركة Microsoft.
<M. سادلر>
مدير مختبرات أمن النظم في الشركة Hewiett-Packard.
<R. شرستوبيتوف>
مدير عام فرع الشركة Panda Security في الولايات المتحدة.
تقول الحكمة الرومانية القديمة(1): من يراقب المراقبين؟ لكن مُنتجي أنظمة الأمن الذين يتصدون لحماية أنظمة شبكات المعلومات الحالية يخضعون لتدقيق شديد من منافسيهم وزبائنهم ومن مخترقي الإنترنت، وعلى نحو متزايد من الحكومات القلقة على أمنها القومي. لذا ناقش رئيس تحرير مجلة ساينتفيك أمريكان، <J. رنِّي>، في الشهر 2008/5 مع ممثلي شركات صناعة أمن المعلومات، ومع ممثلي بعض الصناعات التي تعتمد على الحماية التي توفرها تلك الشركات، التحديات التي سوف تعترضهم. والنص التالي يمثل نسخة منقحة لأهم النقاط التي تم الاتفاق عليها. ويمكن للراغبين في الاطلاع على النسخة الكاملة الرجوع إلى الموقع: www.SciAm.com/sep2008
محررو ساينتفيك أمريكان
من المسؤول؟(**)
لقد اتفق المتحاورون على أولويات محدَّدة للحفاظ على أمن المعلومات وتدعيمه، وكان بعضها تقانيا، لكن أطر العمل التنظيمية والقانونية كانت شديدة الأهمية أيضا.
دِفِّي: إن أهم تأثير في تلك الأشياء خلال العقد القادم سوف يأتي من خدمات الويب وما أدعوه بالتعهيد الرقمي(2). إننا سوف نجد أنفسنا في عالم يوفِّر الآخرون فيه ملايين الخدمات الحاسوبية على نحو أفضل مما تستطيع أنت فعله لنفسك. وبعد عشرة أعوام من الآن، سوف تنظر حولك لترى أن ما نسميه اليوم حوسبة computing آمنة قد اختفى من الوجود. لذا، فإن ما سوف يكون ضروريا هو إطار عمل قانوني يُلزم المتعهدين بحماية أمن المعلومات. لكنهم لن يستطيعوا تنفيذ ما يُلزمون به ما لم يتم تطوير آلية تقانيّة تمكِّنهم من حماية تلك المعلومات.
گلّيلاند: نعم، لكنْ إذا نظرت إلى الكيفية التي يستخدم بها الزبائن تقانة الأمن اليوم فعلا، لوجدتَ أنهم متخلفون جدا مقارنة بما يمكنها فعله. ليست تلك هي المشكلة الآن، بل كيف نجعل هذه التقانة عملية، بحيث يستطيع الزبائن فعلا معالجة قضايا خصوصياتهم الذاتية وعمليات التدقيق الخاصة بهم، وإدارة حماية بياناتهم بأنفسهم طبقا للمعايير، وهذا ما لا يفعلونه اليوم عادة.
لِپنَر: فيما يخص الزبائن المنتِجين(3)، أنت تحتاج إلى نوع من الأشياء التي يتحدث عنها الكبير والصغير، أي إلى ضمانات عمَّا سوف يُفعل بمعلوماتك وإلى طرق وصف وضع القيود عليها..إلخ. أما بالنسبة إلى المستهلكين، فأنت تحتاج إلى بيئة فاعلة يثقون بها، وذلك لأن كثيرا من نمو الإنترنت ونمو الأعمال التجارية فيها يقوم على ثقة المستهلك. إن علينا زيادة تلك الثقة وضمان أنها معقولة.
گليلاند: إن التوازن المهم الذي علينا التفكير به هو كيف نُمكِّن هيئات الأعمال من الاستمرار بالتشارك في المعلومات بأقصى سرعة ممكنة، بحيث تستطيع اتخاذ قرارات جيدة، وفي الوقت نفسه، جعل ذاك التشارك بسيطا؟
العنصر البشري الخطِر(***)
يمكن للمستخدمين أنفسهم أن يكونوا نقطة ضعف أنظمة الأمن، بسبب إمكان خطئهم، ولميلهم (وإنْ كان من دون عمد) إلى مقايضة أمن البيانات بسهولة الاستخدام. لذا، من واجب التقانة التعويض عن أخطاء المستخدمين المحتملة.
هايم: علينا ألاّ نقلِّل من شأن العنصر البشري. أنا أشبِّه الأمر بقيادة السيارة. إن سبب وجود ضوابط كرخصة القيادة هو كي يكون لدى الناس فهم أساسي على الأقل، لقواعد القيادة في الطرقات ولكيفية قيادة السيارة بأمان، بحيث يُمكن تقليل تلك الأخطار. ولا أعتقد أن هناك توعية تربوية كافية للمستخدمين النهائيين بخصوص استخدام أنظمتهم استخداما آمنا. وأنا لا أفترض بالضرورة أنهم يحتاجون إلى «رخصة قيادة معلوماتية»، لكن كما تعلمون، لن تكون تلك فكرة سيئة، لأن الكثير من المشكلات التي نلاحظها هي بطبيعتها سلوكية.
دفِّي: ألا ترى أن تلك قد تكون فكرة شديدة البشاعة. إن فضاء المعلوماتية(4) هو عالم المستقبل. وإذا لم يكن لديك حق في أن تكون فيه، فلن يكون ثمة مجتمع حر.
أبيانكر: إن العنصر البشري شيء لا يمكن إهماله. لقد احتفلنا حديثا بالذكرى الثلاثين لميلاد السپام(5)، ومازال البريد الإلكتروني يُستغل استغلالا سيئا. وثمة نقطة ضعف قاتمة في تقانة المعلومات، فمعدل الابتكارات التي يقوم بها الأشخاص الأشرار وتقانات الهندسة الاجتماعية(6) التي يمتلكونها لسرقة بياناتك، متقدمة جدا عما لدى الأشخاص الطيبين. وهذا شيء لا يمكن للتقانة وحدها أن تحله.
گليلاند: إذا نظرت إلى الأبحاث التي قمنا وما زلنا نقوم بها، لرأيت أن 98 في المئة من حالات فقدان البيانات تنجم عن أخطاء بشرية وعن تعطُّل معالجة البيانات. إننا، بوصفنا عاملين في صناعة الأمن، سوف نكافح دائما الأشخاص الأشرار. لكن هؤلاء أقل شأنا في مشكلة ضياع البيانات. فالمقدرة على سرقة المعلومات سوف تكون دائما وسيلة للارتزاق لدى بعضهم، وليس بوسعك محاربتهم جميعا مئة في المئة. لكننا نستطيع أن نوقف نسبة كبيرة من الضياعات الناتجة من أخطاء البشر والمعالجة.
هايم: وفق ما نراه يوميا، إذا لم تتمكن مؤسسات تقانة الأمن نفسها من استباق توقعات احتياجات المستخدمين، فإنهم سوف يتمكنون، في كثير من الحالات، من إنجاز أعمالهم باستخدام تقانات ذات مستوى متدنٍّ(7).
شِرستوبيتوف: هذا صحيح. فلا يمكننا الحفاظ على معلوماتك آمنة إذا كنت سترسلها بالبريد الإلكتروني (Gmail) من مكتبك إلى منزلك لتتمكن من متابعة العمل في البيت.
هايم: من دون ريب، إذا لم يؤهَّل الناس لاستخدام تقانة أمن المعلومات، فإنهم سيستعيضون عنها بتقانات استهلاكية (متدنية المستوى الأمني)، كاستخدام موجِّه نفاذ لاسلكي(8)، أو نسخ البيانات لوضعها في وحدات ذاكرة لامتلاشية(9). هناك تحديات تقانية، لكنْ ثمة تحديات تخص الاقتصاد أيضا. ما هو المطلوب لصنع تقانة المعلومات صنعا صحيحا؟ المطلوب هو جعلها آمنة وعلى نحو يمكِّن الناس من تنفيذ أعمالهم من دون الحاجة إلى استخدام طرائق ملتوية؟
دفِّي: باختصار، النقص في المزايا غالبا ما يمثل مشكلة أمنية. إذا كان النظام لا يوفِّر لك المقدرة على القيام بما تريد القيام به على نحو آمن، فإنك سوف تفعل ما تريد فعله في جميع الأحوال.
اقتصاديات الاختراق الحديث(****)
لم يعد الاختراق حكرا على المبرمجين الفضوليين أو الضجرين. فإنتاج البرمجيات الخبيثة صار الآن مهنة، وهذه الحقيقة تغيرِّ جذريا من طبيعة التحدي.
أبيانكر: لقد صار النموذج الاقتصادي للاختراق راسخا جدا إلى حد أنه لو كان قانونيا وكنت مموِّلا مؤسِّسا(10) ترغب في الاستثمار في هذا العمل، لدرَّ عليك عوائد جيدة، أليس كذلك؟ إن تكلفة إرسال البريد الإلكتروني الخبيث مستمرة بالانخفاض. وإمكان إخفاء الهوية في الشبكة يزيد من صعوبة ملاحقة الأشرار ومقاضاتهم قانونيا.
شِرستوبيتوف: ثمة كثير من الأنشطة التي لا يقوم بها المخترقون الأصليون أنفسهم، بل يستخدمون أشخاصا وسطاء لأدائها. عندما تستقصي الأمر فعلا، فإنك سوف تصل في النهاية إلى أفراد، يسمونهم «بغالا»، لا يُدركون أو يعلمون أنهم قد وقعوا ضحايا ذلك المخطَّط الخبيث. إننا نرى هذه النتيجة كازدياد مفاجئ في عدد المواقع التي تقول: «لدينا عمل جيد لك، اكسب 1000 دولار في الأسبوع!» إن سلطات فرض القانون لا تستطيع الوصول إلى المخترق الذي كتب البرمجيات الخبيثة، لأن المخترق أو المهاجم يكون قد اختفى. والمخترقون لا يقومون بتنفيذ الهجوم بأنفسهم، بل يبيعون برمجياتهم. وهناك اقتصاد خفي قائم على بيع هذه الأعمال، ويمكنك الآن أن تشتري شيئا منها ب1200 دولار وتصبح مجرمًا إلكترونيا.
سادلر: نعم، بافتراض أننا جميعا نفهم مدى التطوُّر الذي أصبح المخترقون عليه، ما هو مستوى التعاون الذي تعتقد أن علينا تطبيقه؟ من حيث الجوهر، مازلنا جميعا نتنافس ونحن متفرقون، في حين أن الأشرار منظمون. وهناك كثير من الشواهد على أن تلك العناصر الإجرامية المختلفة المنظمة تتَّجر فيما بينها فعلا بتلك الأشياء. أما نحن، فنفتقر إلى هذا المستوى من التعاون فيما بيننا.
شرستوبيتوف: لذا، أنا أدعم هنا نهج المسوِّق المستقل(11). فتطويق هذا الخطر لا يقتضي نهجا تقانيا فحسب، بل استجابةَ تشاركٍ مجتمعية أيضا، إضافة إلى عمل مشترك لمختبرات الأبحاث فيما حصلت عليه. إن عينات البرمجيات الخبيثة في مختبراتنا لا تأتي كلها عمليا من زبائننا، بل نحن نحصل عليها من آخرين في صناعة البرمجيات. وفي المقام الأول، نحن لسنا متنافسين ألدَّة، فالمشكلة عامة، وعلى صناعة تقانة المعلومات بأسرها أن تواجهها.
المكافئ على الويب الآن هو أننا نخرج مع حسابنا المصرفي برمته إلى أقل الجيران موثوقية، ونفاجَأ بعدئذ عندما تُغتصب أموالنا.
تأهيل أفضل، أم تصميم أفضل؟(*****)
لعلَّه من المفاجئ أن المتحاورين قد توقعوا، على وجه العموم، بعض التحسينات الدائمة في أمن البيانات، من خلال تأهيلٍ أفضل للمستخدمين النهائيين، فطبيعة المهدِّدات تتغير بسرعة كبيرة.
لِپنَر: علينا أن نخلِّص المستخدم النهائي من عبء تعقيدات التأهيل، والوصول به إلى حيث تكون التقانة مجرد مساعد له ليكون آمنا، من دون أن ترهقه وتُقلِّل من إنتاجيته. إن كثيرا من أعمال بناء النظم الآمنة يدور حول خبرة المستخدم. وأعتقد أن هذا لم يلقَ اهتماما كافيا من قبل الصناعة.
سادلر: أعتقد أن علينا ألا نهتم بالتأهيل البتة. ففقط التأهيل بأشد المواضيع عمومية هو الذي سوف يدوم أكثر من ستة أشهر. فإذا اطلعت على كثير من برامج التأهيل في العالم، فستجد أنها قصيرة الأجل فيما تعلِّم الناس فعله. خذ، على سبيل المثال، آخر إصدار من برمجيات مكافحة الفيروسات، أو شيئا من هذا القبيل.
هايم: إذا عرف الناس فعلا عواقب إرساء ذلك البرنامج المجاني الحافظ للشاشة(12)، فإن ما يقولونه من حيث الجوهر هو: «أنا أثق بمطور هذه الأداة الصغيرة التي لا تعيق ولوجي الكامل إلى نظامي وبياناتي» ـ فإن ذلك قد يغير طريقة سلوكهم على الويب.
سادلر: مع ذلك، أعتقد أن ثمة جوابا. أنت تدرب الأطفال الصغار، عندما يخرجون من البيت، على الحذر من الجيران: «هؤلاء الجيران هم من النوع المأمون، وأولئك غير مأمونين.» والمكافئ على الويب الآن، هو أننا نخرج مع حسابنا المصرفي برمته إلى أقل الجيران موثوقية، ونفاجَأ بعدئذ عندما تُغتصب أموالنا. لذا يجب أن يكون هناك فصل بين الاهتمامات. عليك تمكين الناس من أن يكونوا قادرين على تحميل أحدث حافظات الشاشة، لكنْ في ذلك الجزء من بيئتهم الذي لا يؤثر في حساباتهم المصرفية.
هايم: لكن عندما تتعامل مع بنى تحتية كبيرة، عليك أن تكون قادرا على تطبيق الإصدارات الجديدة بسرعة، وعلى الحفاظ على استقرار بيئتك. وليس من الواضح دائما أنه إذا استخدمت برمجيات أمن فإن نظامك لن ينهار.
گليلاند: أنا أوافق على أنه يجب ألا تكون ثمة شهادة، كرخصة قيادة السيارة، لاستخدام الإنترنت. لكنْ لماذا لا يكون لدينا تأهيل أساسي للمستخدم النهائي عندما يبدأ العمل لدى شركة؟ «هذا حاسوبك المحمول، وهذا مساعدك الإلكتروني الشخصي، وأنا سوف أعلِّمك مبادئ الأمن التي وضعتها الشركة Symantec.»
سادلر: كم من الوقت سوف تدوم هذه المبادئ، وفقا لرأيك؟
گليلاند: يمكن للمبادئ أن تدوم طويلا.
دفِّي: هذا يعتمد على ماهية المبادئ.
گليلاند: «لا تفتح بريدًا إلكترونيا أو ملحقاته الواردة من شخص لا تعرفه.»
دفِّي: تلك قاعدة ميؤوس منها.
لِپنر: الطريقة الوحيدة لمعالجة الموضوع هي استخدام تقانات الأمن والاستيقان(13) الأساسية. أنت تعطي المستخدمين الخيار، لكنْ عليهم أن يَعلموا أن هناك فئات من الأشياء الآمنة، سواء أكانت مواقع ويب Web أم ملحقات أم برامج تنفيذية. فإذا قلت للمستخدم: <<يجب أن تقرأ الكود، أو عليك تفسير مؤطَّرات الحوار>> (14) فإن ذلك صعب جدا. فيما يخص المستخدمين النهائيين، عليك تزويدهم ببنية استيقان تمكنهم من معرفة الذين يتعاملون معهم.
گليلاند: لكن المستخدمين النهائيين سوف يخرقون مبادئ الثقة، إذا سنحت لهم الفرصة وإذا لم يتلقوا قدرا معينا من التأهيل، حتى وإن ظهر تحذير يقول: «انتبه: يبدو أن هذا الموقع خطر؛» في حين أن الموقع يقول: «انقر هنا لترى بريتني سپيرز(15) عارية»، فإنهم سينقرون الزر. إن أكثر أنواع نشر الفيروسات فاعلية هو دائما الهندسة الاجتماعية.
لاندوير: ألا توجد طريقة أخرى يمكن اتباعها لحل هذه المشكلة؟ بدلا من التركيز على تأهيل المستخدمين للتعامل مع البرمجيات الخبيثة، يمكننا تغيير قواعد اللعبة مع المهاجمين، بحيث يقل اهتمامهم بمهاجمة حواسيبنا، لأننا نحمي المعلومات التي فيها حماية أفضل. حينئذ، إذا سرق أحدهم الملفات الموجودة على القرص، وجدها معمَّاة(16). وإذا أرسل شخص بريدا إلكترونيا معمَّى، وذهب ذلك البريد إلى شخص يجب ألا يذهب إليه، فإنه لا يملك المفتاح لفتحه.
شرستوبيتوف: موافق. في المجتمع المالي، تقرَّر تطوير الاستيقان بين المنظومات(17) (استيقان مشترَك عبر منظومتين مستقلتين، من قبيل الاستيقان بين حاسوب ضمن شبكة وبين هاتف خلوي). وبعض كبار التجار يستخدمون تجهيزات استيقان من قبيل المفاتيح الذكية، وبطاقات الـRS 18. ويضع بعض أفراد المجتمع المالي كواشف شذوذات في الأطراف الخلفية(19) لتجهيزاتهم لكشف المعلومات المشبوهة وأمكنتها. في الواقع، تقوم المؤسسات المالية بتكييف تقاناتها وآليات الاستيقان لديها على نحو يُحبط المهاجمين من الأساس.
لاندوير: ثمة كثير من الأنشطة الخاصة بالبطاقات الذكية. لقد حصلتُ على بطاقة تعريفي الذكية هذه، وهي البطاقة نفسها التي أستعملها عند دخولي الأبنية التي نملكها في أنحاء العالم، لكنها تحتوي أيضا على ثبوتيات لي تقوم على البنية التحتية للمفتاح العلني (PKI (20، يمكنني استعمالها للدخول إلى التطبيقات، ولتعمية وثائق الأعمال والتوقيع رقميا على استمارات الـ(PDF (21 وتحتوي أيضا على رقم تعريف شخصي (PIN (22 كما في بطاقة الصراف الآلي. إذا سَرقْت البطاقة مني، أمكنك القيام بمحاولتين لتخمين رقم تعريفي الشخصي، وتتوقف البطاقة عن العمل بعدئذ.
المنظور الدولي(******)
تتفاوت رؤى الدول لأمن البيانات وخصوصيتها تفاوتا كبيرا. وتُعتبَر الولايات المتحدة الأمريكية، من نواح كثيرة، متلكئة في معالجة التهديدات المتصاعدة.
سادلر: أعتقد أن ثمة جهودا تُبذل في فرنسا وألمانيا وبريطانيا لتأهيل الشركات الصغيرة أكبر مما تبذله الولايات المتحدة. وعلى الرغم من تحفُّظي على التأهيل، أعتقد أنه قد يكون على الولايات المتحدة القيام ببعض التأهيل الأساسي للشركات الصغيرة فيها. وهناك أيضا حوار بين المجتمع الأكاديمي والوكالات الحكومية وصناعة أمن المعلومات في أوروبا، وخاصة في بريطانيا وألمانيا، أفضل مما هو موجود في الولايات المتحدة. لا أظن أن الولايات المتحدة تُبدي أي قدر كاف من الاهتمام بالحوار العام بين أولئك الفرقاء.
شرستوبيتوف: نحن نرى الآن ظهور فرق مهمات خاصة في أوروبا مخصصة لمكافحة الجريمة المعلوماتية. إنهم يأخذون المبادرة باكرا جدا. لكنْ، بناء على محادثاتنا مع مكتب التحقيقات الاتحادي، لا توجد حتى الآن في هذا البلد مبادرة من ذلك النوع.
لِپنر: نظرا إلى وجود استخدامات وأغراض قومية مختلفة خاصة بكل من أوروبا والحكومة الأمريكية، فإن ثمة حاجة إلى معايير إضافية. وأعتقد أنها يجب أن تكون دولية.
گليلاند: من الواضح أن ثمة كمًا كبيرا من تشريعات الخصوصية المختلفة التي توضع في أوروبا. والشركات تحاول وضع تصوُّر لكيفية التزامها سيرورة ما أو سياسة ما، تمكِّنها من اتباع أكبر قدر ممكن من تلك القواعد. هذا هو التحدي الذي لم نعطِه الوقت الكافي للحديث عنه. كيف يُثبت الناس والشركات، الذين يحاولون الالتزام بتشريعات الخصوصية، أنهم يفعلون ذلك؟
«إننا نستطيع تغيير قواعد اللعب مع المهاجمين بحيث يصبحون أقل اهتماما بمهاجمة حواسيبنا».
<J. لاندوير>
هناك نسخة كاملة لهذا الحوار على الإنترنت: www.SciAm.com/sep2008
source:
https://www.oloommagazine.com/Articl...s.aspx?ID=2102
:ah4: صدقت
ضوابط المشاركة
المفضلات