IMLebanon

مدير أمن معلومات الاستخبارات الأمريكية السابق: لماذا يسهل اختراق المؤسسات؟

login
روبرت بيجمان عمل ككبير مسؤولي أمن المعلومات في وكالة الاستخبارات المركزية الأمريكية (سي آي أي). وعند خروجه من الخدمة لم يأخذ منحى إدوارد سنودن الذي سرب ما رأه خلال عمله في وكالة الأمن القومي ووضع خصوصية وأمن المعلومات وقضية المراقبة الإلكترونية في أجندة الرأي العام العالمي. يرفض بيجمان حتى مناقشة قضية سنودن، ويفضل تسخير خبرته ومعرفته بنظم المعلومات والاختراقات التي قد تستهدفها لنصح المؤسسات والشركات عن كيفية حماية منظوماتها المعلوماتية وبياناتها الحساسة. لكنه متمرد أيضا بطريقة أخرى، حيث يواجه بائعي برامج أمن المعلومات بفشل منتجاتهم…

فرضت قضية أمان المعلومات نفسها في الإعلام العالمي بشكل غير مسبوق خلال أكثر من سنة مضت، وأصبحت ملئ السمع والبصر بعد أن كانت مقصورة على المتخصصين وتثير تآثب العامة لسنوات طويلة. وأصبح الجميع من رجل الشارع إلى أعلى متخذي القرار في المؤسسات والدول الكبرى يتسألون إذا ما كانت بياناتهم في أمان. فلم تأتي إفاقة فضيحة تسريبات إدوارد سنودن وحدها، وإنما عملت كمحفز لانتباه الصحافة إلى الاختراقات التي كانت تمر مرور الكرام من ذي قبل. لكن هذا الوعي المتزايد له جانبه المظلم أيضا، حيث وجد كل من يسوق لمنتجات تتعلق بأمان المعلومات فرصة ذهبية بجمهور ينصت وميزانيات مرصودة للأمر بغض النظر عن مدى فاعلية الحلول التي يروج لها في الواقع.

دعاية كاذبة

ويبرز بيجمان بأنه ضد التيار ويرى أن الشركات والحكومات حول العالم تكرر الأخطاء ذاتها، وتحاول أن تواجه هذا التهديد بإنفاق ضخم نادرا ما يحقق أهدافه. فبدلا من أن يمثل شركة عالمية ويروج لمنتجها بفضل مصداقيته في المجال، يجوب بيجمان المعمورة لشرح أفضل وسائل الوقاية من الجريمة الإلكترونية، مؤكداً أن شراء أفضل تكنولوجيا الأمن الالكتروني ليست بالضرورة أفضل وسيلة للحيلولة دون وقوعها. ويحظى بيجمان بشهرة واسعة كشخصية رائدة في مجال حماية المعلومات، حيث عمل على تطوير الإجراءات والتدابير الفنية لإدارة أكثر الأسرار الأمريكية حساسية. ويملك بيجمان خبرة تربو على 25 عاماً عمل خلالها في كافة مجالات أمن المعلومات والبيانات وشارك في تطوير الإجراءات الأمنية للحواسيب الحكومية. كما عرف عنه أنه طور حلولاً مبتكرة لاستخدام وكالة الاستخبارات المركزية لشبكة الإنترنت دون أن تتعرض لأية اختراقات.

يرى بيجمان ببساطة أن “ما أثبته الموردون في هذا القطاع حتى الآن هو أنهم لا يحرصون على مصلحة العميل. تراهم يقفزون من هوجة إلى أخرى: ففي مرة يتجه الجميع لتسويق الحوائط النارية، والعام التالي يسوقون للتشفير ويقولون أنه سيحمي البيانات نهائيا، ثم يؤكدون أن جمع المعلومات على الإنترنت واختراق القراصنة هو أفضل سبيل”.

لذا قام بتشكيل مجموعة عمل لوضع معايير موضوعية متاحة للجميع. لكن هنا أيضا يجد صعوبة في الحصول على دعم الشركات العاملة في القطاع، وكأن القائمين على حماية البيانات لا يأبهون لفاعلية منتجاتهم. يقول بيجمان “نحاول وضع معايير موضوعية لكن كبار التنفيذيين في شركات التقنية يماطلون، فما نطلبه غير تنافسي، كما أنه عمومي وشامل مما يتعارض مع استراتيجياتهم لخلق منتجات معينة لكل نوعية من العملاء، كما أن اقتراحاتنا كلها لا ترجح منتج أو مزود تقنية بعينه لكي يساندنا وإنما تريد أن تكون ثابتة بغض النظر عن من ينفذها”.

كما أن هناك مجموعات من صناعات بعينها بدأت في التحرك لدرء هذا الخطر. لكنها تعمل كجزر منعزلة ولا تمتلك المعرفة الكافية بأمن المعلومات رغم إلمامها باحتياجات قطاعها بطبيعة الأمور. لا يعتقد بيجمان “أن الطرق المثلى لحماية المعلومات تختلف من بلد إلى آخر أو من صناعة معينة إلى أخرى. وهناك صناعات مثل النقل الجوي والبحري والطرق البرية وقطاع الطاقة والتعدين يشكلون مجموعات عمل من داخل الصناعة لوضع تصورات عن ما يمكن تحقيقه في مجالهم، لكن نتائجها ليست جيدة لأنهم ليسوا خبراء في الجريمة الإلكترونية بالتحديد”.

وقد يكون السبب في عدم توضيح الأمور على هذا الصعيد هو أن الفلسفة التي تباع على أساسها الحلول بها شيء من التضليل. يقول بيجمان: “أؤمن أن الاكتفاء لحماية البرمجيات بمزيد من البرمجيات رهان خاسر لا محالة. معظم تلك البرامج لا تعمل، قد تعطل المخترق عدة دقائق في أفضل الأحوال. لم يحدث في حياتي أن تحدثت مع أحد القراصنة وقال لي أن هذا البرنامج أو ذاك يجعل عمله أصعب أو يعرقل عمليات الاختراق التي يقوم بها”.

الأمن منهجية غائبة
لا يرى روبرت بيجمان المشكلة الثقافية عند المزودين بالحلول الأمنية فحسب، لكن في المنطلق الفكري عند الجميع الذي يجعلهم يعتقدون أن كل شيء ممكن في آن واحد مع التكنولوجيا كأنها لونا من ألوان السحر. يشرح بيجمان أنه “في الحقيقة لا مفر من التضحية ببعض سهولة التعامل والأداء لنظام المعلومات إذا كنت تريد تأمينه بشكل حقيقي. لكن الآن الشركات اتجهت إلى ترك موظفيها يفعلون ما يشاؤون على شبكة الإنترنت مثلا. رغم كل هذا الوعي المتزايد حول هذه القضية، يبدو أن الاتجاه يميل إلى عكس ما يجب انتهاجه لمعالجتها. أحد أكبر شركات حلول الاتصالات الأمريكية مثلا لا تكف عن التسويق لإنترنت الأشياء دون تحسين مستوى أمن المسير الذي من المفترض أنه سيربط تلك الشبكات ببعضها. أو مثلا الاتجاه للاعتماد على الحوسبة السحابية في كل شيء والذي يضاعف المخاطر”.

كما أنه يرى عوارا في أسلوب إدارة المؤسسات الضخمة، وحتى الدول لعملية اتخاذ القرار في موضوغ الأمن المعلوماتي. فلا يمكن تقسيم الأدوار والسلطات جغرافيا أو سياسيا: “عندما تتحدث عن حماية البنية الأساسية والحيوية للأمن القومي من القراصنة، يجب التفكير بشكل مركزي ووضع خطة موحدة تحت قيادة قوية ومعايير وطنية واضحة للجميع. فقد فشلت كل الطرق الأخرى هنا في الولايات المتحدة والتي اضطررنا للمرور بها بسبب البنية السياسية عندنا. القراصنة لا يرون الأمور بشكل إقليمي، لكنهم يرون نقاط الضعف ويتجهون إليها. فمعلوماتك قد تكون مخزنة في أي مكان على وجه الأرض”.

وهذا النظام الرأسي لإدارة المنظومة الأمنية يراه أيضا حيويا في القطاع الخاص. فمن الظواهر التي تدعو إلى القلق من وجهة نظره “اتخاذ طبيعة الهجمات على الأمن الإلكتروني منحى أكثر خطورة وباتت التهديدات التي تتعرض لها الشركات والمؤسسات الحكومية أكثر إزعاجاً. فعلى سبيل المثال، يستطيع القراصنة اختراق شبكات الشركات من خلال شبكات الشركاء أو الموردين ذات الحماية الضعيفة، لذلك فهم يعكفون حالياً على دراسة إقامة نموذج لعمل الشركات لتشخيص البرامج أو الواجهات الأمامية الضعيفة. لقد حان الوقت للشركات لإعادة التفكير بشكل جوهري في كيفية حماية شبكاتها والأخذ في عين الاعتبار تقليل حجم الاعتماد على منتجات الأمن الإلكترونية التجارية والاتجاه صوب شبكات وهيكلية أكثر أمناً ما بين العملاء والأجهزة الخادمة”.

ولا يرجع بيجمان الأمر إلى تحول القراصنة إلى التنظيم والمؤسسية بشكل كبير كما جاءت بعض التقارير الصحافية في العام المنصرم. يقول أنه “في الواقع لم يتحسن أداء القراصنة بشكل كبير عن ذي قبل كما يشاع، لكننا أصبحنا نعطيهم المزيد والمزيد من الفرص كل يوم. أنا أعرف هؤلاء الناس شخصيا بحكم عملي السابق، إنهم يسمون الحوسبة السحابية ‘الفرصة كخدمة’. حتى أماكنهم لم تتغير، فما زالوا متمركزين في أوروبا الشرقية بشكل مستقل وفي الصين سواء على المستوى الفردي أو المستوى الحكومي. لكن ما يجنونه من أرباح يتزايد كل يوم، وخلال الأعوام القليلة المقبلة سيمثل إيراد الجريمة الالكترونية أموال تفوق ما تجنيه تجارة المخدرات”.
لكن ما يدعو إلى التفاؤل عند محاورة بيجمان هو أنه دائما ما يذكر أن “هناك الكثير من الإجراءات غير المكلفة التي يمكن تطبيقها لتقليل المخاطر بنسبة 90 %. لكن المؤسسات ليس لديها الالتزام الكافي، أو لا تريد إزعاج موظفيها أو عملائها أو مورديها. ويكون الحل دائما أن يبتاعوا أحدث منتج في السوق واعتبار أنهم قاموا بواجبهم هكذا”.
لذا ما يريده بيجمان يتطلب أكثر من بعض الإجراءات الوقتية، فهو يدعو لتغيير ثقافي أوسع. وغياب التعاون من قبل الشركات الخاصة مع الحكومات أو مع مجموعات خبراء كالتي يديرها أو حتى مع بعضها البعض هو أكثر ما يؤرقه: “سيأخذ الأمر وقتا طويلا للوصول إلى معايير فعالة. ليس لأن الأمر معقد تقنيا لكن لأن التحدي الحقيقي هو جعل كل من يشارك في المنظومة يؤدي دوره. وهذا طبيعي، فنحن في عالم رأس مالي يبنى فيه النجاح على التنافسية وليس التعاون. وتخشى الشركات التعاون في تلك الخطط لأنها لا تريد أن تخسر التحكم في معلوماتها أو المواهب التي لديها لصالح المنافسين”.

لكنه يطمح أن الانتهاء من تشكيل المعايير التي يعمل عليها سيحدث قفزة في تغيير الأذهان. ويؤكد أن “ليس لدى أحد ترف تجاهلها إذا كان يريد حماية بيانات حيوية. عند الانتهاء من تشكيل تلك المعايير، ستتمكن الشركات السباقة في الالتزام بها من استخدامها للبرهنة على جودة وفاعلية منتجاتها”. لكنه يعتقد أننا لن ننتبه إلى الجريمة الالكترونية بشكل كافي قبل أن تتسبب في كارثة بحجم 11/9: “نعم هناك وعي متزايد، لكننا لا نعترف بالجريمة الإلكترونية كشيء يهدد وجودنا بعد، رغم اعتمادنا على الحواسيب في تسيير كل شيء!”