إليك هذه القصة التي تتحدث عن تعزيز أمن الحكومات الإلكتروني تحديداً. اختراق كلمة السر هو وسيلة أغلبية الهجمات الإلكترونية (السيبرانية) خلال الأعوام الماضية، إن لم تكن كلها. فقد تم اختراق كل من تارغت وسوني بيكتشرز واللجنة الوطنية الديمقراطية والمكتب الأميركي لإدارة شؤون الموظفين لأنها اعتمدت جميعها على كلمات السر فقط كإجراء أمان للتحقق من هوية المستخدم. ونحن اليوم نعيش في عصر لا وجود فيه لكلمات السر "الآمنة"، فحتى أشدها تعقيداً تبقّى سراً مشتركاً يحتاج كل من البرنامج والمستخدم معرفته وتخزينه على الخوادم، لكي يتم التحقق بواسطتها من هوية المستخدم. وهذا ما يجعل كلمات السر ضعيفة بطبيعتها أمام الكثير من أساليب الهجوم، بما فيها الاحتيال الإلكتروني وهجوم القوة العمياء والبرمجيات الخبيثة.
ولعل الأمر الأكثر خطورة هو تزايد استخدام المجرمين الإلكترونيين لأساليب الاحتيال الإلكتروني من أجل خداع المستخدمين ودفعهم للكشف عن كلمات السر. فقد وجد تقرير جديد من مجموعة مكافحة الاحتيال الإلكتروني أنّ عام 2016 كان الأسوأ في التاريخ نسبة لعمليات الخداع والاحتيال الإلكتروني، إذ ازداد عدد الهجمات بنسبة 65% عنه في عام 2015. كما كانت عمليات الاحتيال الإلكتروني وراء عملية اختراق اللجنة الوطنية الديمقراطية بالإضافة إلى اختراق حسابات البريد الإلكتروني الحكومية في النرويج، ناهيك عن أنه كان الأسلوب الذي اتبعه المخترقون الذين مولتهم الحكومة لمحاولة سرقة كلمات سر صحفيين أميركيين بارزين. وقد لمع نجم الاحتيال الإلكتروني لسبب بسيط، وهو أنه رخيص نسبياً وفعال، كما أنه يرمي عبء مسؤولية الاختراق على المستخدم. ونظراً لكون العديد من المستخدمين يفضلون استخدام كلمة سر واحدة لعدة حسابات، يمكن استغلال كلمة السر بمجرد اختراقها للدخول إلى أنظمة أخرى وتجاوز المعايير التقليدية لأمن الشبكات.
ومن أجل تعزيز أمن الحكومات الإلكتروني بنجاح، كانت استجابة الحكومات لتكرار الهجمات الإلكترونية المبنية على التحقق من هوية المستخدم بالسعي لوضع سياسات تركز على تحفيز تبني حلول التحقق متعدد العوامل التي يمكنها الوقوف في وجه الهجمات المبنية على اختراق كلمات السر وحماية البيانات والأنظمة الحساسة على نحو أفضل. وكانت الولايات المتحدة والمملكة المتحدة وهونغ كونغ وتايوان وإستونيا وأستراليا من بين الدول التي ركزت على هذه المشكلة على مدى الأعوام الماضية.
وكانت إحدى الصعوبات التي واجهتها هذه الدول هي أنّ هناك المئات من تقنيات التحقق متعدد العوامل تتنافس لجذب الانتباه ولكنها ليست جميعها متساوية. فبعضها لديه نقاط ضعف من ناحية الأمان تجعلها عرضة للاحتيال الإلكتروني، كنظام كلمة السر المستخدمة لمرة واحدة (one-time passwords (OTPs) )، وهي كلمة سر صالحة للاستخدام مرة واحدة لدخول أو تعامل واحد فقط، والتي على الرغم من كونها أكثر أماناً من التحقق الذي يعتمد على عامل واحد تبقى عبارة عن سر مشترك يمكن اختراقه. كما أنّ هناك حلولاً معقدة أكثر مما يجب أو حلول مصممة بطريقة تولد مخاوف جديدة بشأن الخصوصية.
سيضطر صانعو السياسات الذين يعملون لمعالجة مشاكل التحقق هذه إلى تبني حلول تبتعد عن نموذج السر المشترك وتكون في الوقت ذاته سهلة الاستخدام نسبة للمستهلكين والموظفين. وبحسب دراسة جديدة نشرتها مجموعة تشيرتوف.
طرق تعزيز أمن الحكومات الإلكتروني
يمكن للحكومات ضمان حماية الأصول الحساسة في الفضاء الإلكتروني بأفضل صورة عن طريق اتباع 8 مبادئ أساسية لسياسة التحقق:
- امتلاك خطة تعالج مشكلة التحقق بوضوح: على الرغم من كون خطة التحقق السليمة مجرد عنصر من عناصر الإدارة الصحيحة للمخاطر الإلكترونية، إلا أن المبادرة الإلكترونية مهما كانت ستكون منقوصة بدرجة كبيرة إذا لم تتضمن تركيزاً على أسلوب التحقق القوي.
- التعرف على القيود الأمنية للأسرار المشتركة: يجب على صانعي السياسات فهم قيود الجيل الأول من تقنيات التحقق متعدد العوامل كحلول كلمة السر المستخدمة لمرة واحدة التي تعتمد على الأسرار المشتركة، والسعي لتحفيز تبنّي بدائل أكثر أماناً كالحلول التي تستخدم الترميز بالمفاتيح العمومية، حيث تكون المفاتيح مخزنة دائماً على جهاز المستخدم ولا تغادره أبداً، مثل معايير التحقق التي وضعها تحالف التحقق السريع من الهوية على الإنترنت (فايدو FIDO).
- الحرص على دعم حلول التحقق في الهواتف النقالة: يجب توجيه سياسات الحماية نحو تطوير استخدام التحقق متعدد العوامل في بيئة الهاتف النقال وإلا ستعجز عن حماية التعاملات التي تجري من خلاله بصورة متزايدة.
- عدم فرض تقنية وحيدة أو حل وحيد، والتركيز على المعايير والنتائج: يقع التحقق اليوم وسط موجة كبيرة من الابتكارات، وسيستمر ظهور التقنيات الجديدة ذات الجودة الأعلى. ولذلك يجب على الحكومات التركيز على خطة مبنية على هذه المبادئ من أجل وضع سياسة تحقق لا تمنع استخدام تقنيات جديدة.
- اختيار حلول تحقق سهلة الاستخدام من أجل تشجيع تبنيها على نطاق واسع: تثير صعوبة الاستخدام استياء المستخدمين وتمنع انتشار تبني الحلول على نطاق واسع، بينما يخفض الجيل الجديد من حلول التحقق متعدد العوامل غضب المستخدم بصورة كبيرة مع تقديم فوائد أمنية أكبر. لذلك، يجب أن يبحث صانعو السياسات عن محفزات تشجع على استخدام الحلول الحديثة للتحقق متعدد العوامل التي تعنى بمشكلتي الأمان وخبرة المستخدم على حد سواء.
- إدراك أن العوائق القديمة في وجه حلول التحقق القوية لم تعد موجودة: كانت التكاليف هي إحدى أكبر عوائق حلول التحقق متعدد العوامل، ففي السابق كانت بضع مؤسسات فقط قادرة على تحمل تكاليف تطبيق الجيل الأول من تقنيات التحقق متعدد العوامل. واليوم هناك عشرات الشركات التي تقدم حلول التحقق الحديثة التي تتمتع بقوة أكبر من نظام كلمات السر وبساطة أكبر في الاستخدام وكلفة أقل لتطبيقها وإدارتها.
- إدراك أهمية الخصوصية: يمكن أن تتنوع حلول التحقق متعدد العوامل بصورة كبيرة من ناحية تعاملها مع الخصوصية. فبعضها يتتبع كل حركة يقوم بها المستخدم أو ينشئ قواعد جديدة لبيانات المستهلكين. وتثير هذه الحلول مخاوف تتعلق بالخصوصية وتولد مخزوناً جديداً وقيماً من البيانات قد يكون عرضة للهجوم. ولكن لحسن الحظ، تبنت عدة شركات لحلول التحقق اليوم نهجاً للخصوصية يطلق عليه "الخصوصية من أساس التصميم" (privacy by design) الذي يحتفظ بالسمات الحيوية القيّمة (biometrics) على جهاز المستخدم ويقلص كمية البيانات الشخصية المخزنة على الخوادم.
- استخدام السمات الحيوية على النحو السليم: إن الانتشار الوشيك لمستشعرات السمات الحيوية في أجهزة الهواتف النقالة يولد خيارات جديدة للتحقق الآمن، ما يسهل استخدام التقنيات كبصمة الإصبع والتعرف على الوجه. ولكن أفضل طريقة لاستخدام السمات الحيوية هي استخدامها كمرحلة واحدة من حلول التحقق متعدد العوامل، من خلال مطابقة سمة حيوية على الجهاز أولاً من أجل فتح عامل ثان. ويكون الوضع الأمثل بتخزين السمات الحيوية ومطابقتها على جهاز واحد فقط وتفادي الحاجة للتعامل مع مخاطر الخصوصية والأمن المترافقة مع الأنظمة التي تخزن السمات الحيوية مركزياً. لأن بيانات السمات الحيوية المخزنة على خادم ما ستكون عرضة للوقوع في أيد غير أمينة إذا تعرض ذاك الخادم للاختراق. وهذا ما حصل في شهر يونيو/حزيران عام 2015 عندما أدت ثغرة أمنية في مكتب إدارة شؤون الموظفين الأميركي إلى اختراق 1.1 مليون بصمة.
يملك صانعو السياسات موارد ومعايير مهنية تساعد على توجيههم في معالجة هذه المبادئ. وقد طور تحالف فايدو (FIDO) معايير مصممة للاستفادة من الأجهزة الأمنية المتطورة المدمجة في الأجهزة الحاسوبية الحديثة، بما فيها الهواتف النقالة. وتم تبني هذه المعايير على نطاق واسع عبر أقسام مجتمع التقنية وهي الآن مدرجة فعلاً ضمن الحلول التي تقدمها شركات عدة مثل مايكروسوفت وجوجل وباي بال وبنك أوف أميركا ودروب بوكس وسامسونج.
لا يمكن لأي تقنية أو معايير القضاء تماماً على خطورة التعرض لهجمة إلكترونية أو تعزيز أمن الحكومات الإلكتروني تحديداً، ولكن قد يكون تبني المعايير الحديثة التي تندرج ضمنها حلول التحقق متعدد العوامل خطوة هامة نحو تقليص الخطورة الإلكترونية بصورة كبيرة. وعن طريق اتباع هذه المبادئ، ستتمكن الحكومات من إنشاء قاعدة لسياسة التحقق متعدد العوامل يمكنها تعزيز أمننا الإلكتروني الجماعي ومساعدتنا على ضمان خصوصية أكبر وزيادة الثقة على شبكة الإنترنت.
اقرأ أيضاً:
- هل سيؤدي فيروس كورونا إلى زيادة الهجمات الإلكترونية؟
- نحن بحاجة إلى معيار عالمي للإبلاغ عن الهجمات الإلكترونية
- هل شركتك مستعدة لأي هجمات إلكترونية؟
- التهديدات الإلكترونية كابوس يؤرق المدن الذكية