اكتشف الباحث الأمني تروي هنت أحد أكبر كنوز البيانات الشخصية المسربة عبر الإنترنت على مر التاريخ، وهو يضم قرابة 773 مليون من حسابات البريد الإلكتروني وكلمات المرور المخترقة. فماذا عن تطوير الأمن السيبراني بشكل مستمر؟
لقد أكّد اكتشاف هنت أمراً كان ظاهراً للعيان منذ فترة من الوقت، وهو أنه لا يستطيع أحد ضمان أمن المعلومات بشكل كامل بمجرد إدخالها إلى العالم الرقمي.
إذاً، كيف نحل مشاكلنا الخاصة بالأمن السيبراني؟ يمكن ذلك بالاعتماد على كلمتين اثنتين تتعلقان بمعنى الـ (Cybersecurity) أو "الأمن السيبراني" وهما: التريث قليلاً. ببسيط العبارة، حان الوقت لامتلاك سيطرة أكثر فعالية على المحتوى الذي ندخله للعالم الرقمي، ما يعني إبطاء عملية الاعتماد على تكنولوجيا الربط الشبكي من خلال إقرار قوانين ومعايير جديدة تهدف إلى رفع مستوى جودة وموثوقية أي جهاز يمتلك عنوان بروتوكول الإنترنت (IP). وهذا يعني الحرص على الحفاظ على إمكاناتنا من التقنيات التناظرية، حتى في زمن اعتماد التقنيات الرقمية.
العجز في حماية الأنظمة الرقمية
إن الأدلة التي تثبت عجزنا عن تأمين الأنظمة الرقمية بشكل كامل كثيرة ويمكن ملاحظتها في كل مكان. ففي نوفمبر/تشرين الثاني من العام 2017، على سبيل المثال، أدت إحدى عمليات الاختراق إلى تسريب بيانات 52 مليون شخص في جوجل. وقبل ذلك بشهرين، تم تسريب 50 مليون من حسابات مستخدمي فيسبوك. تزامنت هاتين الحادثتين مع صدور تقرير لمكتب محاسبة الحكومة الأميركية في أكتوبر/تشرين الأول من ذات العام، تم التأكيد فيه على وجود خلل يمس الأمن السيبراني في جميع منظومات الأسلحة العسكرية الأميركية التي تم تطويرها. وإذا لم تستطع مؤسسات متقدمة مثل جوجل وفيسبوك والجيش الأميركي الحفاظ على أمن أنظمتها، فلا أحد يستطيع ذلك.
اقرأ أيضاً: الشركات بحاجة إلى إعادة النظر في ماهية قيادة الأمن السيبراني
في ظل الوضع الراهن، لا مجال للتأكد من سلامة وأمن أي شيء بمجرد تحويله إلى شيفرة على نظام الكمبيوتر، من خلال الكاميرات أو أجهزة التسجيل أو لوحات المفاتيح أو المستشعرات، حيث يمكن لكيانات لا تمتلك صلاحية الوصول إلى المعلومات أن تقوم بعرضها أو تخريبها أو استخدامها بطرق تنتهك خصوصية الأفراد الذين ينشرون هذه المعلومات أو تزعزع ثقتهم.
نطلق على الوضع الحالي البائس الذي يعاني منه أمننا السيبراني الجماعي اسم "فلات لايت" (Flat light)، وهو مصطلح مقتبس من عالم الملاحة الجوية. ويشير مصطلح فلات لايت في أوساط الطيّارين إلى مستوى متدنّ جداً من التأثيرات بحيث تبدو جميع الاتجاهات متشابهة، وهو ظرف ينطبق الآن على المؤسسات والمشرعين والمستهلكين على حد سواء ضمن العالم الرقمي. فجميعنا لا نعرف على ماذا نركز، وما الإجراء الدقيق الذي ينبغي الدعوة إليه، أو كيف نحمي المعلومات التي نقوم بنشرها، سواء بصفتنا كأفراد أم شركات.
اقرأ أيضاً: الأمن السيبراني الأفضل يبدأ بتقويم عادات موظفيك السيئة
تعزى مشاكل الأمن السيبراني التي نعاني منها إلى السرعة غير المسبوقة في الاعتماد على الأجهزة المربوطة شبكياً. هل ترغب بشراء مصباح كهربائي؟ يمكنك الآن وصله بالإنترنت. ماذا عن شراء ثلاجة؟ الأمر ذاته أيضاً. وحمام؟ سيتوفر قريباً جداً. وفي بعض الأماكن لا نستطيع الشراء من دون استخدام بطاقات ائتمان أو خدمات دفع مثل آبل باي (Apple Pay) مربوطة بالشبكة العنكبوتية.
السيطرة على الإنترنت
لم تُعتمد أي تكنولوجيا في التاريخ الإنساني بنفس السرعة التي اُعتمد فيها الإنترنت، حيث استغرق الهاتف 100 عام بعد أن تم اختراعه عام 1876 قبل أن يتم اعتماده بشكل شبه عام في الولايات المتحدة. ثم تبع ذلك اعتماد الكهرباء والسيارات خلال فترات زمنية مماثلة. ولكن الأمر تطلب عشرة أعوام فقط ليمتلك أربعة من كل خمسة أميركيين تقريباً هاتفاً ذكياً. وتتوقع شركة سيسكو حدوث قفزة عالمية في عدد الأجهزة المربوطة شبكياً من 17.1 مليار جهاز في 2016 إلى 27.1 مليار جهاز في 2021، بمعدل نمو سنوي يبلغ 25%.
والطريقة الوحيدة لاستعادة السيطرة على هذه البيئة هي الإدارة الفعالة للمحتوى الذي ندخله إلى العالم الرقمي، أي التقليل الحذر من سرعة اعتماد تكنولوجيا الربط الشبكي. ففي بيئة اقتصادية تكافئ السرعة في التسويق أكثر من أي شيء آخر، يجري التقليل من أهمية أمن برمجياتنا على نحو مستمر، إن لم يتم تجاهله ببساطة، بينما تستمر معدلات اعتماد التكنولوجيات الحديثة في الارتفاع. ويعتبر إبطاء معدل الاعتماد من خلال إقرار قوانين ومعايير جديدة والتأكد من الاحتفاظ ببدائل تناظرية لبعض التكنولوجيات، الطريقة الأفضل للاحتفاظ بمستوى من الأمن في بيئتنا السيبرانية التي تزداد تعقيداً. بهذا فقط يمكننا على الأقل أن نفهم طبيعة الأمور ونمتلك بعض السيطرة على اعتمادنا المتنامي على التقنيات الرقمية.
اقرأ أيضاً: كيف تحسّن الأمن الرقمي في مؤسستك؟
يقع عبء استعادة السيطرة على بيئة الأمن السيبراني على عاتق الحكومات والشركات والأفراد على حد سواء.
في بادئ الأمر، يجب أن تشترط القوانين على كل نظام يمتلك إمكانية الربط الشبكي أن يكون له عمر محدود أو أن يقبل بإدخال التحديثات، حيث يزداد في زمننا هذا عدد الأجهزة التي يتعذر تحديثها بعد اكتشاف خلل فيها. على سبيل المثال، جرى الإبلاغ عن عدم إمكانية ترقيع 29% من الأجهزة التي استخدمت نظام تشغيل أندرويد التابع لشركة جوجل في العام 2016.
يمكن لجهات شريرة السيطرة على الأجهزة التي تعاني من مشاكل، أو استخدامها لأهداف خبيثة، كما كان الحال مع برمجية البوت نت "ميراي" في عام 2016 عندما تسببت بقطع خدمة الإنترنت عن الكثيرين. إن بقاء هذه المشاكل مع عدم توفر الإمكانية لعلاجها هو أمر لا يطاق على المستوى الاجتماعي، ويجب أن يصبح غير قانوني أيضاً.
وحتى إذا كانت القوانين بطيئة في وضع هذا التشريع حيز التنفيذ، سيكون من الحكمة لو قامت الشركات والأفراد باتخاذ قراراتهم بناء على الأمر التالي: إذا كان الجهاز الذي يريدونه لا يمكن تحديثه ولا تنتهي صلاحيته، يجب ألا يوضع في مؤسستهم (أو في منزلهم).
اقرأ أيضاً: تعلّم الأمن السيبراني ضروري للحصول على شهادة في علوم الحاسب الآلي
ثانياً، يجب أن تكون المسؤولية عن المشاكل والأخطاء واضحة، ويجب مساءلة صانعي البرمجيات الذين تتسبب شيفراتهم البرمجية بالخلل، كما هو الحال مع منتجي المنتجات الاستهلاكية أو الصناعية الأخرى. وفي يومنا هذا، ترتبط معظم العقوبات المترتبة على ضعف الأمن السيبراني بعدم الإبلاغ عن اكتشاف ثغرات أو بوجود مغالطات في شروط الخدمة الخاصة بالمنتج. وكلا الأمرين لا يساهمان في وضع شيفرة أفضل.
مثلاً، تقوم التشريعات الخاصة بالإبلاغ بإلحاق العقوبة فقط بالمؤسسات التي لا تفصح عن وجود ثغرات بمجرد حدوثها. ويتجاهل الاعتماد على شروط الخدمة بين شركة البرمجيات والمستخدم النهائي، حقيقة أن المستخدمين لا يملكون حيلة عند ترخيص برمجية ما، إذ ليس بمقدورهم سوى القبول بالشروط المعروضة أو التخلي تماماً عن فكرة استخدام البرمجية. وهذا هو السبب الذي يكمن وراء ندرة مساءلة أي مؤسسة بعد إثبات عدم أمن برمجيتها. فمن شأن توضيح ماهية متطلبات الحد الأدنى للأمن السيبراني، كما فعلت كاليفورنيا بقانون جديد أصدرته في العام 2016، وتوحيد الالتزام عند مخالفة هذه المقاييس المعيارية، أن يساعد في إزالة البرمجيات الرديئة من السوق، وهو ما سيجعلنا أكثر أمناً في الوقت نفسه.
وختاماً، يجب أن تضمن الحكومات والمؤسسات الحفاظ على الإمكانات التناظرية المقابلة للرقمية حتى عند اعتمادنا على تكنولوجيات حديثة. ففي معظم الحالات، تتشارك آلية عمل البرمجيات في امتلاكها مسارات للفشل، ما يعني أنه عند فشل خدمة ما، تفشل أخرى. والأمر ليس كذلك مع الخدمات التناظرية الموجودة.
وكذلك يجب أن نكثف جهودنا لضمان إيجاد طرق بديلة لتنفيذ الأنشطة المهمة بدلاً من التركيز على الجانب الأمني فقط، في حال تسبب عيب أمني بوقف تنفيذها. وعلى نحو مماثل، يجب أن تركز فرق أمن المعلومات العاملة في المؤسسات ليس فقط على حماية المؤسسات من هجوم اليوم، إنما على التأكد من وجود وسائل تناظرية بديلة لتنفيذ العمل في حالة وقوع كارثة سيبرانية.
لقد أتى انتشار الأجهزة المربوطة شبكياً على إطار واسع بفوائد جمة. ويجب ألا نتجاهل هذا التقدم، ولا نستطيع ذلك بطبيعة الحال.
لكننا عندما نعتمد التكنولوجيات الحديثة بسرعة بالغة، بامتلاكنا لأجهزة مرتبطة بالإنترنت، فإننا جميعاً نستطيع التغاضي عن المقايضات التي قمنا بها، والمضي قدماً في سبيل تطوير الأمن السيبراني. لقد فضّلنا في السنوات العشر الأخيرة الاتصال والراحة على خيار الأمن والخصوصية. يجب ألا تكون هذه المقايضة دائمة. ما زال لدينا القدرة على اتخاذ القرار.
اقرأ أيضاً: البصمة البيولوجية لن تحل أزمة الأمن في بياناتنا