أصبح الأمن السيبراني جزءاً لا يتجزأ من عالم البرمجيات. وفي السنوات الماضية شهدنا ازدياداً في المخاوف الأمنية الناتجة عن عدة حوادث من بينها التدخل الروسي في الانتخابات الرئاسية الأميركية عام 2016، واختراق المعلومات الشخصية للعملاء الأميركيين في شركة "إكويفاكس" (Equifax) عام 2017، والمشاكل العديدة التي تعرضت لها شركة فيسبوك بسبب اختراق بيانات حسابات المستخدمين. والأسوأ من ذلك أنه لا يبدو أن هناك تحسناً في هذا الصدد في السنوات الست الماضية وقع أكثر من 1,000 انتهاك لسرية البيانات عالمياً رغم الوعود الجدية للشركات حول العالم بحماية خصوصية الأفراد وأمانهم بجدية.

تكمن المشكلة في أن العديد من الشركات ليس لديها دافعاً للاعتناء بمعلوماتنا الشخصية نظراً لأن أقصى عقوبة يمكن أن تتلقاها لن تكون سوى عقوبة خفيفة. وغالباً ما تضحي الشركات بالإجراءات الأمنية على حساب تطوير الأعمال لأن الإنفاق على الإجراءات الأمنية لا يعود بمكاسب مالية فورية. وإضافة إلى ذلك، لن تستطيع الشركات والحكومات على حدٍ سواء تحسين أوضاعهم دون الاستعانة بمجموعة من الخبراء الأمنيين الذين هم على دراية بالإجراءات والمسائل الأمنية.

بصفتي باحثاً في الشؤون الأمنية، وأيضاً لأنني اكتشفت المئات من الثغرات في أنظمة الشركات والحكومات، أرى أن أعقد المشكلات تَنتُج من أبسط الأخطاء؛ وهذا دليل على حاجة الشركات إلى مراجعة المبادئ الأساسية للأمن. وبدراسة الحوادث المتعلقة بانتهاك سرية البيانات، تبين أن هناك نهجاً ملحوظاً متبعاً في تلك الحوادث: في معظم الحالات لا تحدث الاختراقات عبر أساليب اختراق معقدة باستغلال نقاط ضعف جديدة، وإنما بسبب ثغرات بسيطة يستطيع كشفها أي شخص لديه خبرة كافية في أمن المعلومات. ووفقاً للمدير التنفيذي لشركة "إيكويفاكس"، تم الاختراق بسبب خطأ صغير من موظف، وكان يمكن تجنب ذلك بسهولة. وبالمثل، عانت شركة "داو جونز" (Dow Jones) من اختراق سرية بياناتها لأن موظفاً أخطأ في تكوين خادم يُستخدم لحفظ معلومات المستخدمين، مما عرّض بيانات العملاء للكشف من قبل أي زائر للموقع.

النقص في الأيدي الخبيرة في مجال الأمن السيبراني موثق جيداً، ووفقاً لأحد المصادر، هناك أكثر من 500 ألف وظيفة شاغرة في هذا المجال في الولايات المتحدة وحدها. وفي حين أنه من الجلي أن هناك حاجة ماسة إلى موظفين في هذا المجال، فهذا لا يعني أن شَغل الوظائف العامة في مجال الأمن السيبراني سيكون كافياً لمواجهة الهجمات والانتهاكات في سرية البيانات في المستقبل. ومع ذلك، في هذا العالم الذي تتخلل شبكة الإنترنت جميع جوانبه، أصبح لمبتكري البرمجيات دوراً جوهرياً.. ومع اتساع نطاق عالم الاتصالات من الإنترنت إلى ساعات اليد والسيارات ومجالات حياتنا برمتها، فبمرور الوقت سيصبح الأمن السيبراني أكثر أهمية لأمن العالم الواقعي. ولكن إن فشلت الشركات في اتخاذ إجراءات صحيحة في هذا الصدد، سيظل الوضع الأمني على حاله مع ازدياد مخيف في المخاطر ذات الصلة.

فإذا سألنا مهندساً متوسط الخبرة في مجال البرمجيات عن دور الأمن في عملية التطوير، غالباً لن تخرج إجاباته عن العبارات التالية: "لا أهتم كثيراً بالجانب الأمني"، أو "أدرس الجانب الأمني فقط عندما أحتاج إلى ذلك". في الحقيقة مطورو البرمجيات غير مؤهلين للأسف لمواجهة هذه المشكلة، حتى أن العديد منهم تنقصه المعرفة الأساسية بالأمور الأمنية. وتبيّن من إحدى الدراسات أن 70% من المختصين في مجالي التطوير وتقنية المعلومات وصفوا تدريبهم في مجال أمن التطبيقات بأنه "غير كاف"، و86% قالوا إن مؤسساتهم لا تستثمر بما يكفي في هذا النوع من التدريب. ونتيجة لذلك، معظم المطورين يرون المسألة الأمنية أمراً ثانوياً؛ أو بعبارة أخرى، مجرد خطوة إضافية تساعد على إعاقة التطوير السريع. ولكن بما أن انتهاك سرية البيانات أصبح أمراً شائعاً، فإن هذه العقلية يجب أن تتغير. فمثلاً لماذا لا يجب أن يكون مهندسو البرمجيات، الذين ينشئون التعليمات البرمجية التي تدعم التقدم التقني، مسؤولين عن أمن التعليمات البرمجية؟

تبدأ مواجهة المشكلة الأمنية على نحو منهجي بتثقيف مطوري البرمجيات بشأن تلك المشكلة على نطاق واسع. فبالنظر إلى أن معظم الانتهاكات لسرية البيانات يمكن تفاديها بسهولة باستخدام أفضل الممارسات في هذا المجال، فإن التحلي بمقدار قليل من المعرفة يمكن أن يقطع شوطاً كبيراً في حل هذه المشكلة. يقع جزء من اللوم على الجامعات فيما يتعلق بهذا الافتقار إلى الإعداد. فهناك برنامج واحد فقط من بين أفضل 24 برنامج للدراسة في مرحلة ما قبل التخرج في الولايات المتحدة في مجال علوم الحاسب يتضمن دراسة مجال الأمن باعتباره مطلباً أساسياً للتخرج (وقد تحققتُ من ذلك). وهذا البرنامج موجود في: "جامعة كاليفورنيا، سان دييغو" (UC San Diego). وفي 23 كلية أخرى، يستطيع الطلاب التخرج دون الحصول على محاضرة دراسية واحدة في مجال أمن المعلومات، ثم يتخرجون ويتوظفون وبالتالي ينشئون تعليمات برمجية تؤثر على الأجهزة التي نعتمد عليها بشكل متزايد!

بصفتي طالباً في جامعة ستانفورد، أُتيحت لي الفرصة لأرى عن كثب كيفية تنشئة الجيل القادم من علماء الحاسوب ومطوري البرمجيات. ومع أن المنهاج يغطي أساسيات علم الحاسب وأحدث التوجهات مثل تعلم الآلة، فإنه يفتقر بشكل ملحوظ إلى دراسة الأمن باعتباره مطلباً من متطلبات التخرج. ففي جامعة ستانفورد، تُقدَّم الدروس العملية في مجال الأمن فقط لدارسي علوم الحاسوب باعتبارها دروساً اختيارية للدارسين المهتمين بها فحسب.

وبما أن ستانفورد وغيرها من الجامعات تخرّج علماء حاسوب سيكونون مسؤولين حتماً عن تأثير التكنولوجيا على حياتنا في العقود القادمة، فلا تنحصر مسؤولية الجامعات في ضمان حصول الطلاب على عمل، بل هي أيضاً مسؤولة عن تدريبهم على إنشاء التعليمات البرمجية مع مراعاة الدقة عندما تتطلب الناحية الأمنية ذلك. لهذا السبب على الجامعات تعديل متطلبات التخرج بأن تجعل دراسة الأمن مادة أساسية لجميع دارسي علوم الحاسوب. ويجب أن تتضمن هذه المادة دراسة أساسيات إعداد البرمجيات الآمنة، بما في ذلك الثغرات الأمنية الشائعة وممارسات الترميز الآمنة وأمن التطبيقات. وفي هذا المقرر التعليمي، يمكن للجامعات استكشاف تأثير التقنيات التي يجري تطبيقها على طريقة سير المجتمع بشكل عام، وبذلك يكتسب الطلاب المعرفة التقنية المطلوبة لبناء إنترنت آمن.

لا يحرز المجتمع الأمني تقدماً على صعيد تحسين الأمن العالمي. فعندما توظف الشركات مطوري البرمجيات، يجب عليها أن تجعل الخبرة في المجال الأمني أولوية للتوظيف. وعلى الكليات تهيئة مطوري البرمجيات بإكسابهم المهارات المطلوبة في مجال الأمن ليصبحوا مطورين شاملين ملمين بجميع الجوانب. وإلى حين أن يتم تقييم قدرة المطوّر على إنشاء التعليمات البرمجية بالقدر نفسه الذي تُقيّم به قدرته على بناء خوارزميات الفرز والترتيب، فإننا سنستمر في مواجهة مشاكل واسعة النطاق. لهذا يجب تزويد مهندسي البرمجيات بالمعرفة الأساسية المطلوبة لإنشاء تعليمات برمجية آمنة، وسوف نجني ثمار ذلك بالتأكيد.

تنويه: يمكنكم مشاركة أي مقال من هارفارد بزنس ريفيو من خلال نشر رابط المقال أو الفيديو على أي من شبكات التواصل أو إعادة نشر تغريداتنا، لكن لا يمكن نسخ نص المقال نفسه ونشر النص في مكان آخر نظراً لأنه محمي بحقوق الملكية الدولية. إن نسخ نص المقال بدون إذن مسبق يعرض صاحبه للملاحقة القانونية دولياً.

ﺟﻣﯾﻊ اﻟﺣﻘوق ﻣﺣﻔوظﺔ ﻟﺷرﻛﺔ ھﺎرﻓﺎرد ﺑزﻧس ﺑﺑﻠﯾﺷﻧﻎ، ﺑوﺳطن، اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة اﻷﻣﯾرﻛﯾﺔ - 2019

اترك تعليق

قم بـ تسجيل الدخول لتستطيع التعليق
avatar
  شارك  
التنبيه لـ
error: المحتوى محمي !!