أصبحت المخاطر المعلوماتية وجرائم القرصنة قريبة منا أكثر من أي وقت مضى، فقد تتعرض لجرائم الرقمية حين تستخدم بريدك الإلكتروني أو مواقع التواصل بكل ما فيها من أسرار ومعلومات، أو عند استخدام بطاقتك الائتمانية، أو حتى حين تمارس ألعابًا ترفيهية على هاتفك الذكي. لذا، وجب علينا أن نكون أكثر حرصًا ومعرفة بما يحيق بنا من مخاطر تنقض علينا.

 

عندما يسمع كثير من الناس مُصطلح الأمن الإلكتروني، قد يظنون في قرارة أنفسهم أنه أمر لا يعنيهم، أو ربما قد يمسهم من بعيد عندما يلتقطون هواتفهم النقالة أو حواسبهم المحمولة. إلا أن حقيقة الأمر أعمق من ذلك بكثير. فقد أصبحت أقدامنا غائرةً في معطيات الحياة العصرية الحديثة المليئة بالجرائم الإلكترونية بشكل يصعب التخلص منه، إلا إذا استطعنا الانسلاخ من واقعنا المعاصر، وعدنا بالزمن إلى الوراء مقدار جيل أو جيلين.

أصبحت المخاطر المعلوماتية وجرائم القرصنة قريبة منا أكثر من أي وقت مضى، فقد تتعرض لمثل هذه الجرائم الرقمية حين تستخدم بريدك الإلكتروني بكل ما فيه من أسرار ومعلومات، أو عند استخدام بطاقتك الائتمانية، أو حتى حين تمارس ألعابًا ترفيهية على هاتفك الذكي. لذا، وجب علينا أن نكون أكثر حرصًا ومعرفة بما يحيق بنا من مخاطر تنقض علينا عبر الأثير. وإذا كنا نتحدث عن ضرورة الحذر كأفراد، فحري بالشركات والمنظمات الكبرى أن تحذر ألف مرة، لما تتضمنه من خزائنها الإلكترونية من بيانات ومعلومات تخص مستخدميها أفراد ومنظمات.

 

كان من الممكن تجنب حدوث عملية اختراق شركة إكويفاكس تمامًا، والذي تعرضت فيه البيانات الشخصية لـ 143 مليون مستخدم إلى القرصنة على يد مجرمي إنترنت مجهولين في (مارس/آذار) الماضي، إلا أنه لم يفصح عن هذا الأمر إلا في منتصف شهر (سبتمبر/أيلول). فقد كانت الشركة تستخدم برامج حماية قديمة غير مُحدثة، بها نقاط ضعف أمنية معروفة. ولكن على ما يبدو أن ما حدث لشركة إكويفاكس، شأنها شأن كثير من الشركات، كان مجرد بداية المشاكل.

  

لا تختلف شركة إكويفاكس عن قائمة أفضل 100 شركة التي نشرتها مجلة فورتشن، والتي كانت تستخدم منصة برمجية مفتوحة المصدر تُسمى "أباتشي سترتس" لتشغيل بعض محتوى موقعها الإلكتروني. ويجدر الإشارة إلى أن أي جزء رئيس في برمجيات الحواسيب الآلية يحتوي في أغلب الأمر على نقاط ضعف. عند اكتشاف نقاط الضعف تلك، يجب على الشركة أو المنظمة أن تصلح هذا الخلل على الفور، وتشاركه مع العالم، بالإضافة إلى ضرورة إخطار المستخدمين بتحديث البرنامج وفق آخر إصدار. وهو أمر سهل بالنسبة للمستخدم العادي الذي لن يفعل شيء سوى الضغط على زر الموافقة على تحديث البرنامج، أو تحديث نظام التشغيل.

  

بالنسبة للشركات، قد تكون هذه العملية أكثر صعوبة. ويرجع ذلك جزئيًا إلى أن كثير من الشركات تستخدم أنظمة معقدة من البرامج التفاعلية لتشغيل مواقعها الإلكترونية. وقد يؤثر تغيير أحد العناصر على أجزاء أخرى من البرنامج بطريقة غير متوقعة. تبرز هذه المشكلة بشكل خاص عندما تستمر الشركات في استخدام نفس الأجهزة والبرمجيات لسنوات طويلة، ولا تواكب التحديثات والترقيات طوال تلك الفترة. بل ويزداد الأمر سوءً عندما تُسند الشركات عملية صيانة وتطوير برامجها إلى جهة خارجية، مُدعين عدم وجود خبرة داخلية، لذا يلجأون إلى طلب المساعدة الخارجية عند ظهور المشاكل.

 

تشير أفضل إجراءات وقاية الأمن المعلوماتي إلى ضرورة الجمع بين التطوير والتشغيل -وهو مصطلح معروف باسم (DevOps)- من أجل تبسيط عملية التحديث والإصلاح المنتظم والفوري. فعدم القيام بإجراءات الوقاية بالشكل الأمثل، أشبه بالطبيب الذي لا يغسل يديه -هذا الإجراء قد يستغرق وقتًا أطول، وطاقة أكبر، ولكنه يحمي آلاف المرضى من انتقال العدوى عندما يعمل الأمن المعلوماتي بشكل جيد، يكون فعالًا جدًا.

 

في (نيسان/أبريل) 2017، انتشرت الأخبار من دائرة الرقابة الداخلية عن عيب كبير في أنظمة (iOS) وأندرويد يسمح للقراصنة بالسيطرة على الهواتف الذكية عن بعد عن طريق الواي فاي. تعاملت غوغل وأبل على الفور مع المشكلة ووزعت تحديثات لإصلاحها. هذه الاستجابة السريعة تشير إلى أن تلك الشركات لديها عمليات تطوير وتشغيل تلبي معايير الصناعة للكتابة السريعة والموثوق بها للبرمجيات وكذا لاختبارها ونشر التحديثات لها.

 

بالإضافة إلى التحديات الكامنة في التكنولوجيا وفي الممارسات التجارية الحالية، يمكن أن تلعب إدارة الشركات دورًا هامًا فيما إذا كانت المشكلات قد تتحول إلى كوارث.

 

 

يمكن للشركات التي لديها أنظمة للاستثمار المنتظم في صيانة البرمجيات ورد الفعل السريع تجاه الثغرات الأمنية تستطيع الاستجابة للمشاكل بسرعة كبيرة، كما فعلت أبل وغوغل. استجابة إكويفاكس البطيئة تشير إلى أنها لم تكن مستعدة استعدادًا جيدًا في هذا الصدد. وتاريخ الشركة من الاستعانة بمصادر خارجية للتطوير تشير إلى أنه قد لا يكون هناك أي شخص في الشركة يستطيع العمل على البرامج التي تحتاج إلى تحديث.

  

ومما يزيد الأمور سوءًا أن مسؤول الأمن الرئيس، الذي تقاعد هو وكبير مسؤولي المعلومات والرئيس التنفيذي للشركة في أعقاب الخرق، يبدو أنه ليس لديه خلفية تقنية. ويمكن أن يساعد ذلك في تفسير سبب تعرض إكويفاكس لخروقات تتطلب مساعدة خارجية: الأولى في (آذار/مارس) وأخرى في (تموز/يوليو).

 

الشركات ذات الإدارة الجيدة يعرف مديرونها التنفيذيون أهمية وجود فرق الأمن المعلوماتي المستعدة للعمل على مدار الساعة عندما تنشأ نقاط الضعف. ويحتاج القادة إلى فهم مخاطر وضع معلومات حساسة على الإنترنت، بدلًا من الممارسة الأكثر أمنًا، أي تخزينها على أجهزة كمبيوتر منفصلة أو معزولة عن الإنترنت. لسوء الحظ، حين لا يكون كبار المديرين التنفيذيين في الشركات على دراية بالتكنولوجيا، فإنهم غالبًا ما يفتقرون إلى فهم المخاطر  وكيفية حماية المعلومات القيمة بسرعة.

 

يبدو أن مشاكل إيكويفاكس ليست على وشك الانتهاء. بعد الكشف عن الخرق الرئيس، سرعان ما اكتشف الضحايا أن محاولاتهم لتجميد ائتماناتهم ستحبطها أمثلة أخرى للأمن المعلوماتي السيئ لإكويفاكس: إن رقم التعريف الشخصي الذي تم إنشاؤه من قبل الشركة والذي يستخدمه العميل لإلغاء تجميد الائتمان كان يعتمد على تاريخ ووقت طلب التجميد، وبالتالي يمكن تخمينه من قبل المهاجم.

 

في الآونة الأخيرة، قام حساب تويتر الرسمي للشركة مرارًا بتوجيه الجمهور، ليس لموقع الأمن الخاص بها، بل إلى موقع يسعى إلى خداع الناس للكشف عن معلوماتهم الشخصية. كل هذه المشاكل، بالإضافة إلى بطء إكويفاكس في إصلاح الثغرات الرئيسة للبرمجيات، تشير إلى أن إدارة الشركات عنصر حاسم في منع الخروقات الأمنية والتعافي منها -أو جعلها أسوأ.

 ========================================================

 

هذا التقرير مترجم عن (ذا كونفرزيشن)