أتحدّث عن الزيف الأمني حيث أن مفهوم الأمن المنتشر عند أغلب الناس وغير المتخصصين هو أمن لا يحمل من حقيقته إلا تشابه الاسم فقط، مفهوم الأمن يقفز إلى الوعي بشخصية رجل الأمن الذي تجده جالسًا عند بوابة المنشآت والفنادق والأماكن العامّة، ومفهوم الأمن الالكتروني ينحصر أيضًا في عقول كثيرة حول تنصيب أحدث برامج مضادات الفايروسات على حواسبهم، هذا هو المفهوم الأمني الزائف.
الأمن الحقيقي هو ليس ظاهرة أو سلوك معين يُتخذ أو إجراء يُنفّذ، الأمن هو مفهوم عقلي يقوم حول تخطيء الثوابت والشك في عمل كل شيء بصورة كاملة، والعقل الأمني هو الذي ينشغل دائمًا بالتفكير في إيجاد الخلل في الأنساق، والثغرات في الأنظمة سواء المعلوماتية أو الواقعية.
حقيقة الأمن الزائف تتمثل في الاعتماد على العنصر البشري أكثر من غيره، والذي يتخصص في الأمن يعلم تمام العلم أن أضعف حلقة في النظام الأمني هو الإنسان، وأسهل طريقة لاختراق أي نظام هو في اختراق الإنسان نفسه، سأضرب مثالًا: تخيّل أن بنكًا رائدًا شديد التنظيم ويستورد أحدث التقنيات الأمنية، وفي نظامه المعلوماتي حائط ناري فائق الحماية، ولا يقبل دخول المستخدم إلا من منطقة محددة داخل النطاق المحلي للانترانت، كيف يُمكن أن تخترق هذا البنك؟، الإجابة قد تكون من السهولة أن تحصل على وظيفة متدرّب بلا مقابل في قسم تكنولوجيا المعلومات، عندها تضمن التحرك بسهولة داخل البنك وفي أشد الأقسام حساسية، وبسهولة بالغة تستطيع دخول أحد الحواسيب من داخل شبكة البنك أو الاتصال مع الشبكة الداخلية للبنك من حاسوبك الخاص، وهكذا اخترقت النظام الأمني للبنك.
الاختراق الالكتروني لا يتطلب شديد ذكاء ولا تقنية عالية متطورة، أصبح يتطلب فقط ذكاءً اجتماعيًا وكما يُسمى عند العارفين (الهندسة الاجتماعية). وهو الذكاء الذي يعني استغلال الظروف الاجتماعية والإنسانية الفردية أو الجماعية للأشخاص ضمن سلسلة النظام الأمني، وغالبًا ما يكون الشخص الأضعف يمتلك صلاحيّات أكبر من حجمه يسهل استغلالها للإطاحة بالنظام، والنقطة الواقعيّة التي نستطيع فهمها جدًا، هو مسؤول الإعلام في وسائل الإعلام الحديث، هذا الشخص في غالب المؤسسات لا يفهم كثيرًا أو لا شيء أصلًا عن أمن المعلومات، وكلمة السر في الحسابات الرسمية لا تكون بالقوّة الموصى بها، لكن ليست هُنا النقطة، التقنية الأكثر انتشارًا للاختراق الالكتروني وخاصة الحسابات الاجتماعية تكمن في “الاصطياد”، فإذا أردت مثلًا أن تسرق كلمة السر لأحد الحسابات الرسمية، يكفي أن تُرسل بريدًا الكترونيًا يشابه البريد الرسمي من مقدم الخدمة وليكن تويتر، وبه رابط خارجي يفتح صفحة الاصطياد التي يكون تصميمها مماثلًا لصفحة تأكيد اسم المستخدم وكلمة المرور، تذكر في الرسالة أن حسابك يواجه بعض المشاكل في التوثيق أو من باب الحماية الدورية يُرجى تغيير كلمة المرور الخاصة بك عبر الرابط أدناه، وهكذا تكون أخذت كلمة المرور بكل سهولة. ولا يُخفى على أحد أن معرفة عنوان البريد الالكتروني للحساب أو أحد القائمين عليه ضروري من أجل نجاح الاصطياد. هذا المثال فقط لتوضيح عملية الاختراق بشكل سهل، وهناك طرق أخرى قد تكون أكثر سهولة أو تعقيدًا، ولكن العامل المشترك فيها أنها لا تحتاج لتقنية معقدة ولا لعقل خارق الذكاء والعبقرية.
ليست هناك تعليقات :
إرسال تعليق