مات سويتش: هذا ما أعرفه عن أمن الإنترنت والناس
يرى مات سويتش، خبير الإنترنت ورائد الأعمال الذي يلقّب على شبكة الإنترنت بـ"مسويتش" msuiche، أن المستخدم ليس الحلقة الأضعف في أمن الإنترنت.
قبل أن ينتقل مات إلى دبي مع شركته الجديدة "كوماي تكنولوجيز" Comae Technologies المتخصّصة في أمن الإنترنت، كان يدير من على الساحل الغربي للولايات المتحدة شركته الناشئة السابقة "كلاود فوليومز" Cloudvolumes، والتي استحوذت عليها "في إم وير" Vmware التابعة لشركة "ديل" Dell في عام 2014.
أمّا "كوماي تكنولوجيز"، الشركة متخصّصة في التحليل الجنائي للذاكرات (أي تحليل ذاكرة جهاز الكمبيوتر أو الهاتف)، فقد وقّعت اتفاقَ شراكة مع شرطة دبي من أجل تطوير حلول الذاكرة الجنائية من مقرها في "مسرعات دبي المستقبل" Dubai Future Accelerators.
ولعل السؤال الذي يطرح نفسه؛ هل يعتبر البشر دائماً الحلقة الأضعف عندما يتعلق الأمر بأمن جميع الأجهزة الذكية والشبكات الخاصة بالشركات؟
التهديدات في ازدياد. كلّما ازداد عدد الأجهزة المتصلة بالإنترنت، كلمّا ازدادت التهديدات. وبالرغم من أن التدابير الأمنية المطبقة في أنظمة التشغيل الحديثة تتسم بالكفاءة، إلا أنها تبدو معقدة للأشخاص العاديين وحتى لبعض المسؤولين في مجال تكنولوجيا المعلومات الذين لا يتمتعون غالباً بأي خبرة في مجال البرمجيات. ولكن الكثير من تلك التدابير مفقودة في الأجهزة المرتبطة بشبكة "إنترنت الأشياء". وقد تم شن آخر هجوم من هجمات "حجب الخدمة الموزعة" DDOS باستخدام أجهزة إنترنت الأشياء حيث استغل المهاجمون ضعف تدابيرها الأمنية، وتمكنوا من السيطرة على مئات الآلاف من الأجهزة بعد حصولهم على كلمات المرور الافتراضية default passwords.
غالباً ما تكون برمجيّتك هي الحلقة الأضعف. ففي كثيرٍ من الأحيان يكون أحد الموظفين هو المستهدَف، ولكن المهاجم يبحث عن الحلقة الأضعف. لذلك، إذا كانت برمجيّتك تبلغ خمس سنوات من العمر، يرجّح أنّك لم تثبت آخر التصحيحات الأمنية؛ وبالتالي، تكون برمجيّتك هي الحلقة الأضعف.
غياب المواهب يعني غياب الأمن. المنهج الذي تتبعه الشركات في منطقة خليج سان فرانسيسكو في ترقية مهندسيها، لا يحثّها إلّا على مواصلة إنتاج المنتجات المطلوبة وحسب. ففي تلك المنطقة من العالم وفي أوروبا، ستجد أن الشركات ترقي مهندسيها ليتحوّلوا في النهاية إلى قيادات سيئة مما يقلل من احتمالية إنتاج منتجات مبتكرة عالية الجودة. وعند تطبيق هذه المفاهيم في مجال قطاع أمن الإنترنت، ستفشل في إنشاء المنتجات التي تحافظ على أمن شركتك أو المستخدمين لديك. وعندئذٍ، يزداد الافتقار إلى المواهب كما ولن يتم تطوير منتجات أمنية.
كلمات المرور ليست الحل. لا ينفك الناس يتحدثون عن كلمات المرور، لأنها في الواقع الشيء الوحيد الذي يمكنهم فهمه عن أمن الإنترنت من وجهة النظر التقنية. لم يعد من الضروري التركيز على مسألة كلمات المرور، فعدد البائعين الذين يهتمون بالتدابير الأمنية المناسبة لحماية منتجاتهم قليل جداً. سواء كنت فى الإمارات أو نيويورك، لن يشكل هذا فارقًا على الإطلاق، لأنك ستكون عرضة للاختراق في أيّ حال. ولكن يمكنك دائماً تسخير الذكاء الاصطناعي لاتخاذ قرارات أفضل بالنيابة عنك، ففي حين أنّ ذاكرة البشر قصيرة المدى ولايسعهم تذكّر كل شيء، تستطيع أجهزة الكمبيوتر فعل ذلك عنهم.
المستخدم النهائي ليس المشكلة. عندما تقرّر والدتك استخدام جهاز "آي باد" لن أقول لها الخطوات التي عليها اتباعها. فهي لن تقومَ بهذه الخطوات المعقّدة لأنّها تمسك بالجهاز كمستخدم. هذا الغرض يشغل البعض من أجله وظائف محدّدة، وأنا أرى أنها ليست مسؤولية المستخدم النهائي بل المسؤولون عن ذلك هم موفرو الحلول والبائعون. على الشركة أن تتأكد من أنّ موظفيها يستخدمون المنتجات والأجهزة والبرمجيات المناسبة؛ أما أنتَ كمستخدم نهائي فلا يسعك ذلك ولا عليك سوى القيام بالحدّ الأدنى الذي يساوي 2 في المئة من المشكلة برمتها.
يُفضّل عدم استخدام الموظّفين أجهزتهم الخاصة. السماح لموظّفيك بجلب أجهزة الكمبيوتر المحمولة للعمل وأجهزتهم الخاصة مثل وحدات ذاكرة الفلاش (USBs) يزيد من احتمالات تعرضك للهجمات الإلكترونية. فأنت لا تعرف إن كانت أجهزتهم تعمل بأحدث إصدار من نظم التشغيل، وما إذا كانت أحدث التحديثات الأمنية مثبتة عليها أو أنّها تستخدم منتجات أمنية تقليدية. فإن سمحت بذلك لن تتمكن من الحفاظ على الأمان في كلّ شيء. إدوارد سنودن من وكالة الأمن القومي هو مثال حيّ على ذلك، فقد استطاع الدخول والخروج من الوكالة حاملًا وحدة ذاكرة فلاش خارجية.
وسائل التواصل الاجتماعيّ أداة قرصنة. يكشف الناس عن معلوماتهم الشخصية على وسائل التواصل الاجتماعي، وفي حال "نسيت" كلمة المرور الخاصة بك عليك أن تجيب عن أسئلة مثل "ما اسم والدتك قبل الزواج؟" أو "ما تاريخ ميلادك؟" وغيرها من الأسئلة الأمنية. في السابق، كنت الشخص الوحيد الذى يفترض أن يعرف الإجابة على هذه الأسئلة، إلا أن كثيرين يكشفون عنها في وسائل التواصل الاجتماعي، أو يتبجحون على "تويتر" عن حصولهم على بطاقات ائتمانية جديدة.
ستبقى نقاط الضعف هي ذاتها. نقاط الضعف التي تجذب المهاجمين لن تتغير بل ستكون بأنماط مختلفة، وذلك لأنّ الكثير من الحلول تصل إلى مستويات عالية من التقنية لدرجة أنّ الناس لا يستطيعون ملاحظتها أو فهمها. لكننا سنرى استخدامًا متزايدًا للحلول القائمة على الذكاء الاصطناعي للمساعدة في حل المشاكل الأمنية في البنى التحتية والتأقلم معها.