فى أمن المعلومات ..الثقافة قبل التكنولوجيا

جمال محمد غيطاس

مجمل حوادث أمن المعلومات التي وقعت خلال العامين الأخيرين، يؤكد أن العلاقة بين أمن المعلومات والأمن القومي بدأت تسير عالميا وفق منهج يرفع سقف التعامل مع أمن المعلومات من مستوى الخطط العفوية المجزأة ضيقة النطاق التي يضعها وينفذها الفنيون ومتخصصو تكنولوجيا المعلومات فقط، إلى مستوى السياسات الوطنية التي يتولها الاستراتيجيون وصناع القرار بالمستويات العليا، وهذا يدل على أن الدولة أو المؤسسة التي تتعامل مع قضية أمن المعلومات بالمنهج العفوي المجزأ القائم على المصادفة ورد الفعل، إنما تخاطر بوضع بنيتها المعلوماتية الكاملة في مهب الريح، وتعرض مصالحها الوطنية المرتبطة بهذه البنية لخطر جسيم.

 وكل دولة أو مؤسسة تنشئ بنية شاملة للمعلومات، باتت مطالبة أكثر من أي وقت مضي ببناء سياسة متكاملة لأمن المعلومات المتداولة داخل بنيته المعلوماتية حاليا ومستقبلا، وأولى علامات الجدية في رسم سياسة سليمة تنجح في تخفيض احتمالات الخطر وصد الهجمات المتوقعة بفعالية، تتمثل في أن تستند هذه السياسة إلى الفكرة المركزية التي تعتبر العمود الفقري للسياسات الوطنية لأمن المعلومات وأجمعت عليها الخبرات والدراسات العالمية وهى أنه “فى أمن المعلومات لابد أن تأتى الثقافة قبل التكنولوجيا”… كيف؟

برزت فكرة الثقافة قبل التكنولوجيا كلبنة اولى عند وضع سياسات وطنية شاملة لأمن المعلومات من الخبرة العملية التي صادفتها العديد من دول العالم وأوضحت أنه من الخطأ الكبير اعتبار أمن المعلومات قضية تكنولوجيا معلومات فقط أو خطط تنفذ بالقوة والإلزام على الآخرين، وأن المدخل السليم هو التعامل معها باعتبارها ثقافة وسلوك وقناعات يتعين العمل على تحديدها بدقة ووعى، ثم الاجتهاد في نشرها وترسيخها بين أفراد المجتمع ومؤسساته المختلفة، بما يؤدى لتكوين مستوى من الثقة المتبادلة والولاء القوى بين الفرد والجهة التي يعمل بها، وبين المواطن والوطن الذي يعيش فيه فيما يتعلق بكيفية التعامل مع المعلومات، فيظهر بالمجتمع ثقافة تفرز سلوكا عاما يتحرك فوق خلفية معرفية مناسبة تجعل كل فرد أو طرف على وعى بكيف ومتي يتم إعطاء المعلومة ومتي يتعين حجبها، ولمن تمنح المعلومة وعن من يتم يمنعها، ويستوي في ذلك جميع أفراد المجتمع ومؤسساته، ابتداء من عامل السويتش مثلا وانتهاء بالمسئول عن صيانة بيانات فائقة الحساسية داخل قاعدة بيانات قومية، ومرورا بجميع الجهات المعنية بتداول وأمن المعلومات.

وتدل الخبرة العالمية على أن وجود هذه الثقافة حيوي للغاية من أجل تمهيد الطريق لنجاح أى سياسة وطنية لأمن المعلومات، وبدونها يصبح الحديث عن أى سياسات وطنية أو جزئية حول أمن المعلومات كالحرث في البحر.

والمشكلة أن هذه الثقافة لا تزال غائبة عن الكثير من المجتمعات، سواء داخل المؤسسات أو على مستوى الأفراد، ويسود بدلا منها ثقافة سلبية معاكسة تتخذ ثلاثة صور، الصورة الأولى هى الأكثر شيوعا وعراقة ويتم فيها تطبيق منطق التهويل والخوف المرضى من المعلومات والتعامل معها بأي صورة، وأصحاب هذا الاتجاه إما لا يحرصون أصلا على إنتاج البيانات والمعلومات التي يحتاجونها في أعمالهم ويمضون في اتخاذ قراراتهم طوال الوقت بلا معلومات يستندون إليها، فينخفض أدائهم ويخرجون من كارثة ليدخلوا في أخرى بلا انقطاع، أو تكون لديهم المعلومات لكنهم لكى يريحون أنفسهم من هموم أمنها يعتقلونها ويحجبونها عن الجميع بالحق وبالباطل ويضعون عراقيل غير منطقية وغير مبررة في الحصول عليها، لكن كل ذلك لا يمنع ـ عمليا ـ تسريبها واختراقها انتقائيا وفق أساليب ملتوية تخدم القلة وتضر الغالبية، بل وتفتح المجال لسوق سوداء للمتاجرة في المعلومات بطريقة غير شرعية تشكل ضررا بالغا للوطن ككل.

أما الصورة الثانية فيسودها منطق التهوين والتقليل من شأن أمن المعلومات، وهى حديثة بعض الشيء وتنتشر بشكل خاص لدى بعض الأفراد والمؤسسات والمنشآت والفئات التي يقبل أصحابها ومسئوليها بنهم على توظيف تكنولوجيا المعلومات والاتصالات بمختلف صورها، فهؤلاء يندفعون في بناء المواقع على الانترنت وتشييد نظم المعلومات وقواعد البيانات ويتعاملون في كم ضخم من البيانات والمعلومات ثم لا يلقون بالا لعميلة التأمين ، إما لكونهم لا يؤمنون بقيمة المعلومة التي يمتلكونها ومن ثم لا يوجد لديهم دافع يحثهم على تأمينها، أو أن لديهم إحساس عشوائي خاطئ بأنه لا يوجد خطر يهدد هذه المعلومات وبالتالي يأنفون من الإنفاق على تأمينها، والنتيجة أن ما لديهم من معلومات تعيش في حالة انكشاف خطيرة تضعهم في مواقف مؤسفة يضيع فيها كل شيء عند أول تهديد جدى.

أما الصورة الثالثة فيقف ورائها منطق ( نصف الوعى)، وهو منطق يعي فقط متطلبات الجانب التكنولوجي لأمن المعلومات ويهمل أو يغيب ـ عمدا أو خطأ ـ متطلبات وتأثيرات الواقع الاجتماعي الذى يحكم تداول المعلومات المطلوب تأمينها، ومن ثم يغرق بأصحابه في التفاصيل الفنية للقضية، فتكون النتيجة نظم أمن معلومات براقة خارجيا خائبة جوهريا، لأن من يقومون على إدارتها وتشغيلها أو من يتعاملون معها هم أول من يفرغها من مضمونها ويجعلها بلا قيمة.

وقد كان من الطبيعي أن تقود هذه الثقافة السلبية بصورها الثلاث إلى مشكلات في أمن المعلومات تغلب عليها الأبعاد الثقافية والاجتماعية والسلوكية والمجتمعية وليس النواحي التكنولوجية، ومنها على سبيل المثال لا الحصر:

ـ أن الكثير من المؤسسات والشركات والهيئات لا يوجد لديها سياسة تأمين عليا تتصف بالوضوح والشمول وتتعامل مع كل الاحتمالات، بدءا من كيفية تأمين المباني ضد السرقة والحريق والدخول والخروج من المبني وحتي التعامل مع اعقد النظم المطبقة لحماية شبكات المعلومات وقواعد البيانات ونظم المعلومات الموجودة بها، كذلك لا يوجد بها إدارة أو شخص مسئول مسئولية كاملة عن عملية التأمين بشكل عام داخل المنشأة، بحيث لا ينفرد متخصصو تكنولوجيا المعلومات بوضع وتنفيذ الآليات المطلوبة لتأمين المعلومات، بل يكون من المتعين عليهم العمل في إطار سياسة تأمين عامة لها شخص مسئول عن متابعة تنفيذها ويتحمل تبعات أي إخلال أو تدمير يحدث نتيجة عيوب أمنية سواء في مجال المعلومات أو غيره، وتكشف الخبرات العملية عن أن عدم الربط بين خطط تأمين المعلومات وسياسات التأمين العامة للمؤسسة يمكن أن تعرض المعلومات والبيانات للخطر، فمثلا: ماذا لو وضعت خطة تأمين محكمة للدخول على شبكة معلومات المؤسسة وحاسباتها واستخدم في ذلك أحدث الأدوات والبرمجيات المضادة لعمليات التلصص والاختراق وسرقة البيانات، ثم كانت إجراءات التأمين الخاصة بالدخول والخروج من المباني والأقسام المختلفة متراخية وغير قوية بالدرجة التي تمنع سرقة وحدات تخزين أو حاسب أو بيانات موجودة بشكل ورقي؟

ـ أن نسبة كبيرة من المؤسسات والهيئات تتعرض للتنفيذ الخاطئ امنيا لعمليات الصيانة الدورية أو المفاجئة لمعدات تكنولوجيا المعلومات، وترى العديد من الدراسات ان هذه نقطة ضعف تلعب دورا بشكل أو بآخر في ما لا يقل عن 50% من مشكلات أمن المعلومات التي تواجهها المؤسسات المختلفة، لأن حوالى80% من عمليات الصيانة الدورية والتحديث ومواجهة الأعطال التي تتم داخل الشبكات ونظم المعلومات والأجهزة تتم بشكل غير سليم من ناحية التأمين، وينتج عنها تغيير ما في طريقة الإعداد والمواصفات التي جرى تهيئة الأجهزة والحاسبات والبرامج المختلفة لتعمل عليها منذ بدء التشغيل ووضعت من قبل مديري الشبكات والمسئولين عن نظم المعلومات والتأمين، ويحدث ذلك لأن الصيانة تجرى في أحيانا كثيرة على يد أشخاص ليسوا من الفريق الذي وضع طريقة إعداد الحاسب أو البرامج منذ البداية بالشكل الذي يحقق مستوي التأمين المطلوب، مما ينتج عنه ثغرات في شبكة المعلومات أو إجراءات تأمينها، تسهل على المهاجمين اكتشافها والنفاذ منها إلى المعلومات المطلوب حمايتها.

ـ ان النسبة الكثير من المؤسسات لا توجد لديها تغذية عكسية بالمعلومات حول ما يحدث من تغيير في أوضاع شبكات ونظم وقواعد البيانات والمعلومات بسبب التغييرات في مجموعة العاملين بالمنشأة، سواء الذين ينتقلون من قسم لآخر أو من إدارة لأخرى، أو الذين يتركون العمل بالمؤسسة ويحل محلهم موظفين جدد، أو الذين يلتحقون بالعمل مع أي توسعات تصاحب النمو في أعمال المؤسسة أو المنشأة، وبينما لا تلقى النسبة الاكبر من مؤسساتنا بالا لهذه النقطة، تؤكد الخبرات العالمية أن التغييرات في هيئة الموظفين لأي سبب ينشأ عنها أوضاع كثيرة لها علاقة مباشرة بنظم وسياسات تأمين المعلومات بالمؤسسة، فعلي سبيل المثال لابد من إجراء تغيير في جداول وملفات كلمات السر أو المرور المستخدمة في الدخول على نظام معلومات المنشأة ، بحيث يتم بموجب هذا التغيير إلغاء كلمات السر التي كانت ممنوحة للموظفين القدامي، وتوليد كلمات سر للموظفين الجدد، وغير ذلك من الإجراءات الأخرى، وما يحدث عمليا إن التغذية العكسية بالمعلومات الناجمة عن هذا التأخير إما تكون بطيئة أو غير موجودة،ومن ثم لا تصل للمسئول عن تأمين المعلومات في الوقت المناسب، وبالتالي تحدث خللا في أمن المعلومات.

هذه عينة بسيطة من مشكلات أمن المعلومات الناجمة عن غياب ثقافة امن معلومات سليمة وداعمة، ولو تعمقنا في الأمر قليلا سنصادف ما هو أشد خطرا وإيلاما، وأخيرا لست في حاجة إلى التأكيد على أن الثقافة السلبية السائدة والمشكلات الناجمة عنها هي حلقة ناتجة عن غياب سياسة قومية لأمن المعلومات تتولى أمر تغيير الثقافة قبل نشر التكنولوجيا، وهذه بدورها ناتجة عن حلقة أكبر، هي عدم التقدير السليم للعلاقة بين أمن المعلومات والأمن القومي.