يعدُّ أمن المعلومات ذلك الفرع
من العلم الذي يهتم بحماية وتأمين البيانات والمعلومات من المخاطر الداخلية
المتمثلة بالثغرات، وهي من أكبر مواطن القلق للكثير من مديري تكنولوجيا المعلومات،
كالضعف في إدارة الهوية والأصول، ونقص الأمان في البرامج والتطبيقات، ومشاركة
كلمات المرور مع الآخرين، وعدم استخدام برامج مكافحة الفيروسات المحدثة بصفة
مستمرة، وفتح ملحقات البريد الإلكتروني المشبوهة، وعدم الاحتفاظ بنسخ احتياطية من
البيانات. أو المخاطر الخارجية المتمثلة بالتهديدات التي تتعرض لها، سواء في حالة
التخزين أو النقل والتواصل عبر أي شبكة اتصال، سواء السلكية أو اللاسلكية، أو في
مرحلة المعالجة كهجمات الاختراق الإلكتروني، والبرمجيات الخبيثة، وهجمات الهندسة الاجتماعية
بأنواعها، وتعطيل أو إبطاء الخدمة، وتدمير البنية التحتية الإلكترونية، أو انكشاف
البيانات للجهات أو للأشخاص غير المصرَّح لهم.
كما يهتم علم أمن
المعلومات باتخاذ التدابير الوقائية للتصدي للتهديدات قبل حدوثها، والتحقق من هوية
المستخدمين، وضمان التعافي من الكوارث بوضع خطط للاستجابة والتعافي في حال وقوع
حوادث أمنية أو كوارث تكنولوجية تؤثر على خصوصية وسلامة وحماية البيانات، بالإضافة
إلى تنفيذ اختبارات للكشف عن الثغرات الأمنية المحتمَلة ومعالجتها قبل أن يكتشفها
ويستغلها الآخرون.
يحتوي علم أمن المعلومات
على مجموعة فروع علمية مثل: التشفير، وأمن الشبكات، والأمنية الخصوصية على مستويات
مختلفة من البرامج والتطبيقات، والعتاد، ونظم التشغيل،
والأدلة الجنائية الرقمية، وقواعد البيانات، وعمليات المصادقة،
والتحكم في الوصول عبر إدارة كلمات السر والبطاقات الذكية والمواصفات الحيوية، مع تنظيم
الصلاحيات الممنوحة ورقابتها، بالإضافة إلى الجانب الإداري من أمن المعلومات
كاعتماد السياسات الأمنية وتطبيقها، وإدارة المخاطر وتحليلها، علمًا بأن ما يُعرف
بعلم إخفاء الرسائل والبيانات (Steganography) ليس من علوم أمن المعلومات وإنما له تقنيات وأدوات مختلفة عن أمن
المعلومات. ولضمان الحماية المناسبة للبيانات والمعلومات لا يجب التعامل مع أمن
المعلومات في أي مؤسسة مهما كان حجمها على أساس أنه مشروع مرتبط بأجل ووقت محدديْن،
بل يجب التعامل مع هذا الفرع من العلم على أنه عملية تراكمية مستمرة على الدوام.
ومن الأهمية هنا القول، إن
تاريخ الاهتمام بعلم أمن المعلومات يعود إلى أكثر من ألفيْ سنة؛ حيث كان محصورًا
في المجالات العسكرية والدبلوماسية، ولكن مع تطبيقات الحواسيب والشبكات والتحول
الرقمي أصبح لهذا العلم تطبيقات مدنية نستخدمها في شؤون حياتنا اليومية المختلفة،
سواء على مستوى الأفراد أو المؤسسات أو الدول، بل حتى في تواصل الأجهزة
الإلكترونية والرقمية مع بعضها بعضًا.
أولًا، النظام الأمني
للمعلومات:
الجدير بالقول، إن النظام الأمني للمعلومات يتكون من مجموعة حلقات ذات صلة بالمسألة الأمنية ومرتبطة ببعضها بعضًا. كما يمكن قياس قوة النظام الأمني بقوة أضعف حلقة فيه، فعلى سبيل المثال، لو كانت قوة كل حقلة من الحلقات، كما في الشكل التالي، فإن قوة السلسلة أو النظام الأمني هو الرقم (19).
وللتوضيح أكثر، لو بُذل
المزيد من الجهد أو المال أو الوقت لزيادة قوة الحلقة الأولى من اليسار في الشكل
أعلاه من 53 إلى 60، فإن قوة النظام تظل 19؛ أي لا تتغير قوة النظام الأمني، وفي
المقابل لو تم تغيير قوة الحلقة السادسة من اليسار من 19 إلى 40، فإن نتيجة ذلك أن
قوة النظام الأمني تكون 29؛ لذا من الضروري أن نبدأ بالحلقات المكونة والمؤثرة في
أي نظام، ثم قياس قوة كل حلقة ومعرفة أضعف حلقة، ومن ثم يمكننا التعامل الصحيح مع
النظام إما بقبول المستوى أو زيادته بحسب القرارات الاستراتيجية في المؤسسة.
ثانيًا، تطور علم التشفير:
تجدر الإشارة إلى أن العرب
والمسلمين ساهموا في هذا العلم بشكل كبير، كما يشير مؤرخ علم التشفير ديفيد كان في
كتابه “كاسر الشفرة قصة الكتابة السرية” الذي نشره في عام 1966. [1]
إن علم التشفير ولد بين
العرب، ويعدّ العالم المسلم “يعقوب بن إسحاق الكندي” أبو التشفير. وقد
كان يُعرف علم التشفير عند العرب سابقًا بعلم التعمية أو المعمَّى، وقد ساهم
المسلمون في هذا العلم بشكل كبير، وخاصة عندما ألّف الكندي كتابه المعروف باسم
“رسالة في استخراج المعمَّى”؛ حيث يعتبر أول من وضع أسس وقواعد اختراق
الرسائل المشفرة من دون معرفة مفتاح التشفير.
ويعدّ علم التشفير من الفروع الرئيسية في علم أمن المعلومات ويشمل ذلك تشفير البيانات المراد حمايتها، سواء بالخوارزميات المتماثلة، مثل معيار تشفير البيانات (Data Encryption Standard- DES) [2] الذي طُبّق في الولايات المتحدة الأمريكية للبيانات والمعلومات المصنَّفة من عام 1977 إلى 2001 أو المعيار المتقدم لتشفير البيانات (Advanced Encryption Standard – AES) المطبَّق في الولايات المتحدة الأمريكية منذ عام 2001 حتى الآن[2]؛ حيث يعتمد على خوارزمية ومفتاح للتشفير يستخدم بشكل حصري بين أطراف التواصل المصرح لهم، علمًا بأن المفتاح نفسه يستخدم لفك التشفير. أو التشفير من نوع المفتاح العام الذي بدأ العمل به في الحياة المدنية منذ عام 1977 كخوارزمية (RSA) [3] المطبَّق بشكل كبير في حياتنا اليومية، فعلى سبيل المثال، الكثير من المواقع الإلكترونية على شبكات الإنترنت تستخدم هذه الخوارزمية للاتصال المشفر ما بين الخوادم والمستخدمين، كما تشير الصورة التالية من الشهادة الرقمية لبنك دبي الإسلامي موضحة اسم الخوارزمية المستخدمة للتشفير.
وحيث إن سرية هذا النوع من
التشفير تعتمد على صعوبة حل مسألة رياضية، فهنا تتجلى صعوبة فك الرقم المركَّب
الناتج من ضرب عددين أوليين إلى عوامله الأولية، وإلى اليوم لا تُعرَف أي طريقة
رياضية مباشرة لحساب ذلك، إلا أنه لم يتم إثبات أن الطريقة المباشرة لا يمكن إيجادها،
فمثلًا خوارزمية RSA الموصَى بها
اليوم للاستخدام الآمن يجب أن يكون طول مفتاح التشفير لا يقل عن 2048 بت، لأن لكل
مستخدم مفتاحين: الأول مفتاح خاص، والآخر مفتاح عام، والمفتاح العام يتم إعلانه
لكل إنسان، بينما المفتاح الخاص لا يعرفه إلا صاحبه ويوصَى بالاحتفاظ به في مكان
آمن. ولإجراء عملية التشفير يستخدم المفتاح العام لمستقبِل الرسالة، ولفك التشفير
يستخدم المفتاح الخاص لمستقبِل الرسالة. كما يُستخدم المفتاح الخاص للتوقيع الرقمي
وهو مختلف تمامًا عن التوقيع الإلكتروني، والمفتاح العام للتحقق من التوقيع.
وقد يسأل سائل عن مدى
إمكانية حساب المفتاح الخاص، بناء على معرفة المفتاح العام والخوارزمية، والحقيقة
أنه بناء على التكنولوجيا المتوافرة حاليًّا يصعب ذلك خلال زمن متاح. فمثلًا لفك
رقم RSA من طول 2048 بت إلى عوامله
الأولية نحتاج إلى أكثر من مليون سنة بواسطة سوبر حاسوب لحساب المفتاح الخاص من
معرفة المفتاح الخاص، ولكننا باستخدام الحاسوب الكمي ذاي 10000 كيوبت، فقد يمكن
حساب ذلك في أقل من 104 أيام.
الحواسيب الكمية لها تأثير
كبير على تطبيقات وأدوات أمن المعلومات، ومن ذلك إمكانية تبادل وتغيير مفتاح
التشفير من النوع المتناظر دون الحاجة إلى تلاقي أطراف الاتصال مسبقًا لتبادل
مفتاح التشفير، بالإضافة إلى حساب المفتاح الخاص بناء على معرفة المفتاح العام.
كما قدّم بيتر شور في عام 1994 خوارزميته المعروفة باسم “خوارزمية شور
للتحليل”. ومن هنا تتجه مؤسسات كثيرة إلى التحول من خوارزميات تشفير المتاح
اليوم من نوع المفتاح العام إلى خوارزميات غير قابلة لاختراقها بواسطة الحواسيب
الكمية، ومن ذلك خوارزمية Lattice-based أو Multivariate، أو Hash-based، أو Code-based، أو Isogeny-based. كما أنه بواسطة الحواسيب الكمية يمكن توليد الأرقام العشوائية
الحقيقية، وذلك عن طريق الظواهر الفيزيائية وليس كما يتم بناءً على الحواسيب
الكلاسيكية المتاحة اليوم بواسطة خوارزميات رياضية، وللأرقام العشوائية تطبيقات
كثيرة، مثل إنشاء مفتاح التشفير الخاص بالخوارزميات المتناظرة: الألعاب الإلكترونية،
والإحصاء، واليانصيب. كما أن الحواسيب الكمية يمكنها حساب القيم الخاصة بدوال
الهاش المستخدم، سواء في تأكيد نزاهة وصحة الرسالة والمستند بشكل كبير وكشف أي
تزوير في زمن قياسي، كما يستخدم في ترابط الكتل ضمن سلاسل الكتل (Blockchain)، كما يستخدم في عملية التعدين
الخاص في بيتكوين. علمًا بأنه في حال توافر الحواسيب الكمية مع عدد كاف من “كيوبت”
لحماية البيانات والمعلومات من الاختراق، فإن هذا التوافر من الحواسيب الكمية
للمخترقين يضيف لهم قوة هائلة، ما يتطلّب الاستعداد لأنواع جديدة من التهديدات
والاختراقات لا يمكن تنفيذها بواسطة الحواسيب التقليدية المتوافرة حاليًّا.
ثالثًا، أمن المعلومات
والأمن السيبراني.. مجالات التطبيق:
أمن المعلومات والأمن
السيبراني مصطلحان يستخدمان في مجال حماية المعلومات والبيانات الحساسة، وعلى
الرغم من أنهما قد يتداخلان إلى حد كبير، فإنهما مختلفان. فأمن المعلومات يتعامل
مع الحماية الشاملة للمعلومات المتداولة، سواء في البيئة الرقمية والإلكترونية أو
الورقية أو الشفهية، كما يشمل حماية البيانات والمعلومات من التلف أو الفقدان أو
الاختراقات أو الوصول غير المصرح به إليها، بالإضافة إلى التركيز على سياسات
وإجراءات وأفضل الممارسات في المجال الأمني. بينما الأمن السيبراني يتعامل مع
الحماية الخاصة بالأنظمة الإلكترونية والشبكات والأجهزة الإلكترونية، ويهدف إلى
حماية هذه الأنظمة والبنية التحتية الرقمية من هجمات القراصنة والهجمات الإلكترونية
المختلفة، ويركز على استخدام التقنيات الأمنية، مثل جدران الحماية والتشفير
والتحقق المتعدد، سواء الثنائي أو الثلاثي وأدوات الاكتشاف والاستجابة للحوادث.
فالأمن السيبراني يعتبر جزءًا من أمن المعلومات؛ حيث يتعامل الأمن السيبراني بشكل
رئيسي مع حماية البنية التحتية الرقمية والأجهزة الإلكترونية والشبكات التي تحتوي
وتتداول المعلومات عن طريق اكتشاف ومنع الفيروسات والبرمجيات الخبيثة والضارة مع
رصد الأنشطة المشبوهة وغير المشروعة على الشبكات الإلكترونية، كما يهتم بتطوير
التحديثات الأمنية الدورية للبرامج والأنظمة اللازمة لسد الثغرات الأمنية، وتحسين
أمان أنظمة التشغيل وتكوينات الشبكة للحد من فرص الاختراق، بينما يركز أمن
المعلومات على تطبيق السياسات والإجراءات والتوجهات والتقنيات والخوارزميات
والبروتوكولات التي تؤمّن وتحمي البيانات بشكل شامل، سواء كانت رقمية أو ورقية.
رابعًا، السياسات الأمنية..
تقييم المخاطر والتوعية:
من الأهمية بمكان التقييم
الحقيقي لمستوى المخاطر الناتج عن قياس التهديدات والثغرات ومدى احتمالية حدوثهما
مع دراسة تأثير هذه المخاطر على البيانات والمعلومات. وباعتماد الإدارة العليا في أي
مؤسسة للمستوى الرقمي للمخاطر والبدائل المتاحة لإدارة مستوى المخاطر المقبول وذلك
عن طريق (التاءات الأربع):
1. تصديق وقبول المستوى الحالي للمخاطر.
2. تقليل القيمة الرقمية للمخاطر إلى مستوى محدد.
3. توقيف المخاطر تمامًا، وذلك يتطلب تغيير العمليات.
4. تحويل المخاطر إلى متعهد خارجي أو طرف ثالث.
من الضروري اعتماد
السياسات الأمنية في المؤسسة، وإحاطة الموظفين والمتعهدين والعملاء والزائرين علمًا
بهذه السياسات، كلٌّ منهم فيما يخصه، وتنظيم حملات توعوية دورية بطرق مختلفة
كالتعميمات، أو الرسائل الموجهة، أو الألعاب والمسابقات، أو إصدار المجلات
والكتيبات والدوريات، سواء الورقية أو الإلكترونية، ومن ثم تطبيق هذه السياسات
ومتابعة مخالفيها والجزاء أو التنبيه المناسب على المخالفة، وذلك لضمان استمرارية
العمل بشكل آمن. فبمخالفة السياسة الأمنية المعتمدة، ولو بشكل بسيط، قد تكلف
المؤسسة الشيء الكثير. ففي عام 2013 استطاع إدوارد سنودن[4] إخراج ملفات كثيرة من النوع المصنَّف (سري
للغاية) من وكالة الأمن القومي الأمريكي والهروب بها إلى الاتحاد الروسي، وذلك
بمخالفة موظف الأمن لدى وكالة الأمن القومي بالسياسة المطلوب اتباعها من غير قصد،
ما أدى إلى نشر هذه المعلومات السرية المصنَّفة بشكل علني أمام العالم ونتج عن ذلك
إحراج شديد لإدارة أوباما في العالم، بل حتى داخل الولايات المتحدة الأمريكية.
ومثال آخر على السياسات الأمنية، كما ذكرت وزيرة الخارجية الأمريكية السابقة،
هيلاري كلينتون، في ما نصه “بعدما اجتزت المسافة القصيرة التي تفصلني عن
مكتبي، جاء أول أمر لي، كالعادة، بالحصول على الملخص اليومي عن أخبار الاستخبارات
والأمن القومي، الذي يتضمن آخر التقارير عن التهديدات الإرهابية العالمية. يُسلم
هذا الملخص يوميًّا إلى كبار المسؤولين في حكومتنا، ويحضره فريق متفانٍ من محللي
الاستخبارات المهنية العاملين خلال ساعات الليل، ليعودوا وينتشروا في واشنطن قبل
بزوغ الشمس كل صباح، بغية تسليم تقاريرهم باليد أو عرضها شفهيًّا”[5]. كما يمكن ملاحظة مجموعة من
السياسات المقررة والمعتمدة كما يلي:
· الحصول على الملخص اليومي عن أخبار الاستخبارات والأمن
القومي.
· يتضمن التقرير آخر التقارير عن التهديدات الإرهابية
العالمية.
· يتم تسليم التقرير بشكل يومي.
· يتم تسليم التقرير لكبار المسؤولين (يجب تعريف وتحديد من
هم كبار المسؤولين) في الحكومة الأمريكية.
· يُعِدّ ويحضّر التقرير فريق من محللي الاستخبارات المهنية.
· يتم إعداد التقرير خلال ساعات الليل لضمان تحديث
البيانات والمعلومات.
· يتم تسليم التقارير إلى المعنيين، إما باليد أو العرض
الشفهي.
ومن هنا يمكننا التأكيد
على أهمية وجود السياسات الأمنية واعتمادها ونشرها وتطبيقها ومخالفة غير الملتزمين
بها. ومن متطلبات النظام
الأمني، وجود تشريعات وقوانين في شأن تصنيف البيانات المدنية إلى مستويات مختلفة،
كما هي الحال في معايير تقييم نظام الكمبيوتر الموثوق بها في الولايات المتحدة
الأمريكية، المبنية أساسًا على ما يُعرف بالكتاب البرتقالي “Orange
Book” الذي تم تطويره بواسطة وزارة الدفاع
الأمريكية في الثمانينيات من القرن المنصرم، وذلك بتوفير التصريح الأمني، بحسب المستوى المصرَّح به للأشخاص
وتعريف وتحديد المستوى الأمني للبيانات والمعلومات خلال المدة اللازمة للحماية.
وختامًا، يمكننا القول، إن الأهداف التي يحققها أمن المعلومات تتمثل بثالوث (السرية،
والنزاهة، والتوافر). ويقصد بالسرية حماية محتوى الرسالة المخزَّنة أو المتبادَلة
ما بين الأطراف من الاختراق، أو الوصول إليها من قبل أشخاص غير مصرَّح لهم بقراءتها،
وذلك من دون معرفة المفتاح المطلوب، ويمكن تحقيق ذلك بعملية التشفير عن طريق تحويل
النص المعلوم من أي لغة كانت إلى رموز مشفرة باستخدام مفتاح خاص وخوارزمية محددة،
وتجدر الإشارة هنا إلى أن التشفير لا يحمي البيانات الوصفية (metadata) للرسالة المتبادَلة، ولتحقيق حماية البيانات الوصفية فإننا بحاجة إلى
بروتوكولات أمنية خاصة إضافية بذلك. بينما يُقصد بالنزاهة والتكامل، التأكيد أن
الرسالة كما هي؛ أيْ لم يطرأ عليها أي تغيير من إضافة أو حذف أو تبديل، ويمكن
تحقيق ذلك بواسطة ما يعرف بدوال الهاش (hash
function). كما أننا نعني بالتوافر تحقيق توافر
البيانات المطلوبة للمخوَّلين من أشخاص أو أجهزة بمعرفتها في الوقت المطلوب وبالطريقة
المسموح بها.
الهوامش:
[1] David Kahn, THE CODE BREAKER, THE STORY OF SECRET WRITING, Weidenfeld
and Nicholson, London, https://l8.nu/toD8
[2] William Stallings, Cryptography
and Network Security: Principles and Practice, 3rd edition, Prentice
Hall, 2022.
[3] Adi Shamir, Ronald Rivest, and Len Adleman, A
method for obtaining digital signatures and public-key cryptosystems. Comm.
ACM, 21:120–126, 1978.
[4] Report by U.S. House of Representative, Review of
the Unauthorized Disclosures of Former National Security Agency Contractor
Edward Snowden, September 15, 2016, https://l8.nu/s1en
[5] هيلاري كلينتون، خيارات صعبة، (لبنان: شركة
المطبوعات للتوزيع والنشر، 2015).