ورقة بحثية عن “حماية البيانات المتداولة عبر الشبكات”

للمؤتمر الدولي الأول حول
“حماية أمن المعلومات في قانون الإنترنت”
إعداد
أ.د. ماجد عثمان
رئيس مركز المعلومات ودعم اتخاذ القرار بمجلس الوزراء
يونيو 2008
المحتويات
عرض عام.. 2
ما الذي يجب حمايته؟. 4
المحتوى الاقتصادي والمالي:4
المحتوى الاجتماعي والمحلى:5
المحتوى السياسي والعسكري:6
عناصر الخطر وتبعات إغفال الحماية الكافية.. 8
الهجمات على الأهداف الاقتصادية:10
الهجمات على مشروعات البنية الأساسية:12
الهجمات على الأهداف العسكرية:13
التجارب الدولية في أمن تداول المعلومات…. 14
المعايير الفنية:14
التشريعات والرقابة:15
مصر وأمن المعلومات…. 18

عرض عام

يعتبر القرن العشرين – وخاصة في الفترة من عام 1939 والأعوام التي تلته وبظهور أول حاسب آلي في العالم على يد العالم هوارد ايُكن – هو بداية عصر تكنولوجيا المعلومات، الذي يمكن أن يصنف على أنه العصر التالي لعصر الآلة والبخار.
وقد كانت البداية محدودة من حيث عدد تلك الحواسب، وأيضا من حيث قدراتها الحسابية والتخزينية والتطبيقات المستخدمة فيها، ولقد استمر التطور السريع في هذه الحواسب العملاقة حتى ظهور أول حاسب شخصي عام 1981، ثم حدث تطور كبير منذ ذلك التاريخ في سرعة إجراء العمليات الحسابية، وسعة التخزين، وحجم الذاكرة الخاصة بالحاسب، ثم استتبع ذلك تطور جذري وسريع في نظم التشغيل، وظهرت العديد من التطبيقات والتي تم ترجمتها إلى لغات مختلفة، مما أتاح لصناعة حزم البرامج لأن تنمو وتصبح من إحدى أهم الصناعات التي يعتمد عليها العالم المتحضر في إدارة وتشغيل ومتابعة كافة شؤونه، ومنها: نظم التوجيه، ومتابعة مركبات الفضاء، والاستخدام في محال الوجبات السريعة، وحجز المقاعد في دور السينما والمسرح، إلى آخره من الاستخدامات المختلفة.
ونتيجة لذلك ازدادت أعداد الحواسب، كما زاد الاعتماد عليها وباتت من الاحتياجات الأساسية. ومن المتوقع أن يصل عددها إلى 1.3 بليون جهاز بحلول عام 2010.[1]
وكما هو الحال بالنسبة للعقل البشرى الذي عند تواجده بمكان يتشوق إلى الاتصال ومحاورة العقول البشرية الأخرى، فإن الحال حدث بنفس الكيفية بالنسبة للعقل الألكترونى الذي بدأت الحاجة إلى اتصاله وتواصله مع العقول الألكترونية الأخرى فور ظهوره للنور عن طريق ما يسمى بشبكات المعلومات (Computer networks)، والتي إتسع نطاق تطويرها حتى عام 1964 بظهور أول شبكة معلومات ممتدة (Wide area network) حتى عام 1969 عندما ظهرت شبكة معلومات الARPANET، والتي نشأت وتم تطويرها في وزارة الدفاع الأمريكية، ثم استمرت في التطور والاتساع في نطاقها الجغرافي بدخول الجامعات والمعاهد البحثية ثم القطاع الخاص، وكانت تلك البدايات هي النواة الأولى لشبكة الشبكات المعروفة بإسم شبكة الإنترنت، والتي أصبحت الآن تغطى معظم الكرة الأرضية، ويرتادها يوميا أعداد هائلة من المستخدمين الذين بلغ عددهم 1.4 مليار مستخدم عام 2008، منهم حوالي 38% في آسيا و27% في أوروبا وحوالي 17.5% في أمريكا الشمالية
(http://www.internetworldstats.com/stats.htm)

وبتنامي هذا العالم الجديد المسمى بالعالم الألكترونى، ومع تنامي الاعتماد عليه بصورة أساسية في كافة مناحي الحياة العملية والشخصية، وزيادة الحاجة إلى التطبيقات ونظم التشغيل والمكونات المادية، وأيضا آليات الربط والاتصال متمثلة في شبكات المعلومات المحلية والممتدة وشبكة الإنترنت … ظهرت الحاجة إلى تأمين وحماية البيانات الموجودة والمتداولة عبر هذه الشبكات.
وفيما يلي نتعرض ونجيب عن أسئلة أساسية حول ما الذي يجب حمايته؟ ومم نحميه؟ ولماذا نحميه؟ وخطوات الحماية الحالية، وتجربة لأهم الدول في هذا المجال، ثم ما هو المطلوب على المستوى القومي للوصول إلى منظومة حماية متكاملة للبيانات المتداولة عبر الشبكات.

ما الذي يجب حمايته؟

الأصل في الحماية أن تكون للمورد الرئيسي المساهم في إحداث التنمية البشرية، والذي تطور من المجتمع الزراعي والذي سادت فيه حماية المحاصيل من الآفات والأضرار وحماية الحيوانات المساعدة في العملية الزراعية؛ ثم تم الانتقال إلى العصر الصناعي حيث كانت الحماية للآلات والمعدات والتصميمات الصناعية وخطوات وأسس عملية الإنتاج وبالانتقال إلى عصر المعلومات وتنامي دور تكنولوجيا المعلومات والاتصالات ودخولها كعنصر فاعل ورئيسي في كافة مناحي الحياة الشخصية والمؤسسية في المجالات المختلفة بصورة غير مسبوقة، وما ترتب عليه من تراكم معرفي ألكترونى يعرف بالمحتوى المعلوماتى الرقمي.
ويشمل هذا المحتوى العديد من المجالات والأفرع الرئيسية في المجالات الاقتصادية والتجارية والبنكية، وخدمات الحكومة الألكترونية، وأيضا خدمات نشر وإتاحة المعلومات والبيانات والأخبار مثل بوابات المعلومات، وقواعد البيانات المرتبطة بها، والمواقع، والخدمات الإخبارية من وكالات الأنباء والصحف والمجلات والدوريات العلمية والثقافية، وأيضا خدمات الاتصال بين الجهات الخدمية الحكومية والخاصة والتي تعتمد اعتمادا كبيرا على شبكات المعلومات للربط فيما بينها، للتسهيل والإسراع في الإجراءات من أجل تقديم المزيد من الخدمات الدقيقة والمميزة للمستفيدين والمرتبطين بهذه الجهات من أفراد ومؤسسات وجهات أخرى محلية وإقليمية ودولية.
وفيما يلي محاولة لتقسيم هذا المحتوى طبقا لطبيعته ونوع استخدامه:

· المحتوى الاقتصادي والمالي:

o ويضم كافة المعلومات والبيانات الخاصة باقتصاديات المؤسسات والدول، ويتضمن المعلومات المتعلقة بالقطاعات الاقتصادية والمعاملات المالية الخاصة بالخدمات البنكية مثل خدمات الإيداع والسحب والاستعلام.
المصدر: موقع بنك مصر: http://www.banquemisr.com.eg

ويشمل أيضا خدمات التجارة الألكترونية بجوانبها المختلفة، والتي تشمل معاملات تجارية ألكترونية بين المؤسسات المختلفة فيما يعرف بـB2B (Business to Business) ، والمعاملات بين الأفراد والمؤسسات فيما يعرف بـB2C ( Business to Consumer) ، والتي تشمل جميع الخدمات التجارية بداية من عملية الشراء، وخدمات الشحن، والخدمات البنكية الألكترونية المختلفة.

· المحتوى الاجتماعي والمحلى:

o ويقصد به المحتوى المعلوماتى الشبكي الذي يخدم قضايا اجتماعية ومحلية، منها ما هو مرتبط ارتباطا مباشرا بشبكة الإنترنت، ومنها ما هو مقتصر على شبكات داخلية معزولة Isolated internal networks، والتي قد تستخدم نفس بروتوكولات نقل وتبادل البيانات المستخدمة في شبكة الإنترنت.
o ومن الأمثلة الهامة في هذا المجال خدمات الحكومة الألكترونية والتي تعتبر هي الثمرة الأساسية لمشروع الحكومة الألكترونية الذي تتبناه وترعاه وزارة الدولة للتنمية الإدارية، والذي يسعى لإعادة هندسة وتطوير وميكنة أساليب ودورات العمل الداخلية بالجهات المختلفة، وأيضا إتاحة التعامل مع الجمهور من خلال الوسائل الحديثة، وفي مقدمتها شبكة الإنترنت، للحصول على الخدمات المختلفة، مثل خدمة الحصول على قيد ميلاد، وخدمة الحصول على بدل فاقد للرقم القومي، والاستعلام عن مخالفات المركبات، والاستعلام والسداد لفواتير التليفون، وغيرها من الخدمات الحكومية الأساسية.
المصدر: بوابة الحكومة المصرية http://www.egypt.gov.eg

o ويشمل المحتوى الاجتماعى أيضا العديد من قواعد البيانات العملاقة مثل قاعدة بيانات الرقم القومي، وقاعدة بيانات التشريعات المصرية، وغيرها من قواعد البيانات الهامة والعملاقة والتي قد لا يكون للمواطن الصلاحية للدخول عليها وإنما تستخدم في أغراض داخلية خاصة بالجهات المسؤوله عنها، ولكن تستخدم بغرض خدمة المواطنين بصورة أو بأخرى.
o كما يشمل خدمات المعلومات، والخدمات التعليمية والبحثية والأنشطة المرتبطة بها، والتقنيات الحديثة مثل خدمات عقد المؤتمرات عن بعد.

· المحتوى السياسي والعسكري:

o وهو المحتوى الخاص بالبيانات والمعلومات التي تختص بالأمن القومي والإجراءات السياسية والسياسة العامة للدولة بالإضافة إلى المعلومات العسكرية التي تشمل بيانات المعدات والأفراد ومقارنة وتوزيع القوات سواء في ميدان القتال أو الحدود السياسية للدولة.
o ويشمل أيضا في المجال العسكرى الخطط الدفاعية والوقائية وأساليب الاتصال والتشفير بين أجزاء المنظومة العسكرية.
o كما يضم الوثائق السرية الخاصة بالجهات الحكومية المختلفة ومكاتبها وفروعها داخل وخارج البلاد، وأساليب الاتصال وتبادل البيانات والمعلومات فيما بينها.
o بالإضافة إلى غرف العمليات الخاصة بالأزمات والكوارث على المستويات المختلفة، وما تتضمنه من عملية تبادل المعلومات والبيانات وتحليلها وصياغة السيناريوهات والبدائل وأساليب العمل بها.

عناصر الخطر وتبعات إغفال الحماية الكافية

خلال العقد الأخير من القرن العشرين ومع انتشار ثورة المعلومات، وبداية تحكم تكنولوجيا المعلومات في مجريات الأمور, وككل ثورة حضارية تمر بها البشرية يبدأ ظهور فكر إجرامي لاستغلال تلك الحضارة، واستغلال التطور في غير محله. ففي منتصف التسعينات من القرن الماضي بدء انتشار جرائم ألكترونية عبر الشبكات العامة والخاصة أسماها المحللون بالإرهاب الألكتروني أو الحروب الرقمية.
وكان من المنطقي أن تتنبه المجتمعات الغربية، حيث تعتمد تلك المجتمعات بشكل شبه كلى على الأنظمة الرقمية في مختلف مناحي الحياة, ففي الولايات المتحدة الأمريكية تم تشكيل “لجنة حماية منشآت البنية التحتية الحساسة” بهدف معرفة المخاطر التي تواجهها، وكيفية تفاديها أو القضاء عليها. وكان من تقارير تلك اللجنة أن مصادر الطاقة الكهربائية والاتصالات إضافة إلى شبكات المعلومات ضرورية بشكل قاطع لنجاة البلاد من مخاطر الانهيار, وبما أن هذه المنشآت تعتمد بشكل كبير على نظم المعلومات الرقمية ووسائل الاتصالات مما لا شك فيه انها ستصبح الهدف الأول لأية هجمات تستهدف أمن الولايات المتحدة الأمريكية.
وكنتيجة حتمية، قامت باقي الهيئات الحكومية في الولايات المتحدة، بإنشاء مراكزها الخاصة للتعامل مع أى احتمالات لحدوث إرهاب ألكتروني، مثال لذلك قامت وكالة المخابرات المركزية الأمريكية بإنشاء مركز حروب المعلوماتية، ووظفت ألفا من خبراء أمن المعلومات، إضافة إلى قوة ضاربة على مدى 24 ساعة لتقويض أي محاولة من محاولات الإرهاب الألكتروني. وبالمثل فقد قامت كل من القوات الجوية الأمريكية وكذا المباحث الفيدرالية باتخاذ خطوات مشابهة، كما قامت قوات الأمن في أوروبا، وخصوصا الدول التابعة لحلف الأطلسي، باتخاذ إجراءات مماثلة.
وقد كان لكليات الحرب الأمريكية تعريفا محددا لمفهوم الحرب الرقمية أو الألكترونية أسمته “هجمات الشبكات المعلوماتية”، وتم تصنيفه تحت بند “العمليات الألكترونية”. وينص التعريف على أن الحرب الرقمية هي:
” الإجراءات التي يتم اتخاذها للتأثير بشكل سلبي على المعلومات ونظم المعلومات، وفي الوقت نفسه الدفاع عن هذه المعلومات والنظم التي تحتويها”.[2]
وطبقا للتعريف فإن هجمات العمليات الرقمية تتضمن بعض الأنشطة ويعتبر أهمها “الهجمات على الشبكات الرقمية (شبكات المعلومات)”.
وهناك العديد من أخطار اختراق أمن المعلومات[3]، يعد أهمها:

· اختراق النظم: ويتم ذلك بدخول شخص على النظام لاستخدامه دون وجه حق، وإن لم يحُدثِّ أي تأثيرات سلبية على النظام بمعنى أنه غير مخول له بعض الخدمات أو غير مخول له الدخول مطلقا على النظام.
· زراعة نظم الضعف: حيث يقوم الشخص الغير مخول له استخدام النظام بزرع مدخل ما يمكنه من إختراق النظام فيما بعد, ومن أشهر هذه الأنظمة نظام “حصان طروادة”.

· مراقبة الاتصال: بدون اختراق حاسب المجني عليه يتمكن الجاني من الحصول على معلومات سرية – غالبا ما تمكنه من اقتحام النظام فيما بعد – ويتم ذلك من خلال مراقبة إحدى نقاط الاتصال.

· اعتراض الاتصالات: وهنا يقوم المعتدي باعتراض البيانات المرسلة من شخص لآخر ويجري عليها بعض التعديلات التي تتناسب مع الهدف من الاعتداء.

· إنكار الخدمة: ويكون ذلك عندما يقوم المعتدي بعمل أنشطة ما تمنع المستخدم الشرعي من الوصول إلى المعلومات أو الحصول على الخدمة (مثل إرسال كميات هائلة من البريد الألكتروني على موقع معين في نفس الوقت بهدف إسقاطه أو إيقافه وتعطيله عن العمل) .

· الهجمات المباشرة: من خلال التدمير المادي لأجهزة الخصم، أو نقاط الاتصالات الهامة ضمن شبكاته.

· سرقة المعلومات من أجهزة الخصم: بحيث يمكِّن ذلك الجهات المنافسة أو المعتدية من اتخاذ قرارات أفضل أو إلحاق ضرر مادي أو معنوي بالخصم.

ويمكن تصنيف هجمات أمن المعلومات لنوعين رئيسيين وهما:[4].

1. هجمات الأمن السلبية: مثل اعتراض الرسائل بشكل سلبي، ويمكن أن يسمى أيضاً بالهجوم على السرية، حيث يقوم المهاجم بالتنصت على الاتصال بين الراسل والمستقبل للحصول على معلومات سرية.
2. هجمات الأمن النشطة: مثل مقاطعة الرسائل حيث يقوم المهاجم بقطع قناة الاتصال لمنع وصول الرسالة إلى المرسل إليه,أو القيام بتعديل الرسالة حيث يقوم المهاجم بالحصول على الرسالة الأصلية ومنع وصولها للمستقبل، ثم يقوم بتغيير محتوى الرسالة وإرسالها إلى المستقبل بدلا من الرسالة الأصلية, والمثال الثالث لهذا النوع من الهجمات يسمى بالهجوم الملفق حيث يقوم المهاجم بإرسال رسالة إلى المستقبل – على أنه شخص معرف له – تحتوى على معلومات خاطئة قد تسبب له أضرار جسيمة.
وحال الحروب الرقمية كحال مختلف الحروب، حيث تسعى إلى سيطرة طرف على طرف آخر ولكي يتم ذلك لابد من السيطرة والتحكم في ثلاثة أنواع من الأهداف الرئيسية وهي[5]:
· الأهداف الاقتصادية.
· الأهداف ذات التأثير المجتمعي المباشر (مثل شبكات البنية الأساسية).
· الأهداف العسكرية والسياسية.
ويكون على رأس تلك الأنواع من الأهداف الثلاث: البنوك والمؤسسات المالية، ومؤسسات المنافع العامة كمؤسسات المياه والكهرباء، ومراكز القيادة والتحكم العسكرية.

· الهجمات على الأهداف الاقتصادية:

أصبح العالم الاقتصادي والمالي يعتمد على شبكات المعلومات اعتمادا مطلق في الحصول على المعلومات، والتواصل بين البنوك والهيئات بعضها البعض، مما يجعل هذه الشبكات -بتواصلها وانفتاحها على العالم – هدفا للمتلصصين والمخترقين. وبطبيعة الحال فإن الهيئات المالية والاقتصادية تتأثر بالتوقعات والتكهنات والتشكيك في صحة المعلومات، وبالتالي فإن أي تخريب بسيط قد يحدث في هذه المعلومات قد يؤدي إلى نتائج مدمرة، حيث يؤدي إلى إضعاف الثقة في النظام الاقتصادي لتلك المؤسسات
إن مثل تلك الهجمات كلفت رجال الأعمال والعملاء الأمريكيين حوالي 56.6 مليار دولار أمريكي عام 2005.[6]
وبلغت الخسائر نتيجة الخداع على الانترنت عام 2005 حوالي 13.9 مليون دولار أمريكي بزيادة بلغت 5.8 مليون دولار أمريكي مقارنة بعام 2004 كما ذكرت إحدى الدراسات الأمريكية. [7]
وقد أظهرت إحصائيات شركات كروت الائتمان العالمية (ماستر كارت وفيزا كارت) أنها خسرت مع نهاية عام 2005 نتيجة الاحتيال حوالي 2.8 مليون دولار عام 2005 فقط وبصفة عامة فإن الاحتيال باستخدام كروت الائتمان يكلف الشركات المالكة للكروت والمُصدِرة لها حوالي 500 مليون دولار سنويا.[8]
ومن الأمثلة المشهورة على الهجمات الاقتصادية الهجمات التي تمت عام 1997 وعرفت باسم “نادي الفوضى”، حيث قام بعض المخربون بإنشاء برنامج يعمل عبر شبكة الإنترنت بهدف خداع برنامج كويكن Quicken المحاسبي، لكي يقوم بتحويل الأموال من الحساب المصرفي للمستخدمين إلى حسابات أخرى لعملاء وهميين ثم يقوموا بعد ذلك بسحبها من البنوك أو بتحويلها إلى حسابات وهمية أخرى بهدف تصعيب مهمة ملاحقاتهم. وهذا مثال على الطرق التي يمكن بها اختراق شبكات المعلومات الاقتصادية واستغلالها بحيث تُحدث آثار مدمرة على المجتمعات اقتصاديا.[9]
وفي 1 فبراير عام 2001 اخترق متسللون(World Economic Forum)وقاموا بسرقة أرقاماً لبطاقاتالاعتماد، والأرقام الشخصية للهواتف المحمولة، ومعلومات تتعلق بجوازات السفر وترتيبات السفر لعدد من القادة الحكوميين ورجال الأعمال، وكان من بين الضحايا: بيل جيتس رئيس شركة مايكروسوفت، وسكرتير عام الأمم المتحدة السابق كوفيعنان، ووزيرة الخارجية الأمريكية السابقة مادلين أولبرايت.
وتاكيداً لخطورة جرائم الإنترنت أفاد تقرير برلماني وضعته لجنة العلوم والتكنولوجيا في مجلس اللوردات البريطاني بأن شبكة الإنترنت تحولت إلى مرتع للمجرمين، وتنفذ فيها عمليات سرقة الأموال من الحسابات المصرفية، وقد حذر التقرير الحكومات والمؤسسات والشركات المختصة بحتمية التدخل لتنظيم عملها قبل فوات الأوان. حيث أدت الجرائم الألكترونية إلى الإحساس بأن الإنترنت تحول إلى منطقة شبيهة بـ “الغرب المتوحش” في الولايات المتحدة الأمريكية في عهودها الأولى، حيث تنعدم سيادة القانون. كما أوضح التقرير أن المصارف العالمية خسرت ملايين من الدولارات بسبب هذا النوع من الجرائم حيث خسرت المصارف البريطانية وحدها عام 2007 أكثر من 67 مليون دولار.[10]

· الهجمات على مشروعات البنية الأساسية:

لقد أصبحت الدول المتقدمة تعتمد اعتمادا كليا على شبكات المعلومات الرقمية في إدارة نظم البنية الأساسية (على سبيل المثال نظم الطاقة الكهربية). والهجمات على هذا النوع من الشبكات له تداعيات خطيرة جدا، ومن الإحصائيات التي لها دلالة على أثر مثل هذا النوع من الهجمات هي إحصائيات الهجمات الأمريكية على العراق خلال حرب الخليج الثانية. حيث أشارت مصادر أمريكية أن ضرب مولدات الطاقة الكهربائية العراقية أدي بشكل غير مباشر إلى موت ما بين 70 إلى 90 ألف مواطن عراقي كنتيجة مباشرة لعدم توفر الطاقة الكهربائية.
ولذلك، فإن شبكات المعلومات المرتبطة بشكل مباشر أو غير مباشر بمثل هذا النوع من الشبكات يعد من الأهداف الأساسية التي قد يستهدفها الهجوم الرقمي أو الألكتروني.
وبالطبع يوجد الكثير من الأهداف الأخرى المتعلقة بالبنية الأساسية والتي تمكن المهاجمين من إثارة الفوضى في الحياة المدنية. فمثلا شبكات المعلومات الطبية، ففي حالة التلاعب فيها ومهاجمتها واختراقها قد تؤدي إلى كوارث وخسائر فادحة في الأرواح. وهناك الكثير من الحالات في أوروبا وأمريكا حيث تمكن المخترقون من النفاذ إلى سجلات المستشفيات وتسببوا في حقن بعض المرضى بأدوية كانت مميتة بالنسبة لهم.
وقد يصل التأثير الاجتماعي للهجمات على حسابات المستخدمين لشبكات المعلومات إلى حد تحريضهم على الانتحار، ففي إحدى مدن ولاية أوريجن الأمريكية استخدم شابًا عاطلاً عن العمل عمره 26عامًا أحد مواقع المحادثة على شبكة الإنترنت لتنظيم انتحار جماعي فيما يسمى بعيد الحب هذا العام لمن لم يوفق في حياته العاطفية.

· الهجمات على الأهداف العسكرية:

تستهدف هذه النوعية من الهجمات عادة الأهداف العسكرية والمرتبطة بشبكات المعلومات، ويندر هذا النوع من الهجمات حيث يتطلب إلى معرفة عميقة بالهدف وطبيعته، وبالمعلومات التي يجب النفاذ إليها، وهذه المعرفة لا تمتلكها إلا الحكومات، بالإضافة إلى أن الحكومات تقوم عادة بعزل المعلومات العسكرية السرية، ولا تقوم بوصل الأجهزة التي تحملها على الشبكات العامة. ولكن قد يحدث تسريب أو اختراق، ومن هنا لابد من استخدام نظم موثوق منها للتحقق من شخصيات المستخدمين، وتحديد مستويات التخويل الدقيق للمعلومات التي يُسمح بالنفاذ إليها.

ومن أشهر الأمثلة لهذا النوع من الهجمات ما حدث فى 12نوفمبر عام 2002 حيث تم اتهام مدير شبكات سابق يدعى “جاري مكينن”، يبلغ من العمر 36 عاما، بتهمة صنفتها السلطات الأمريكية كأكبر عملية تسلل عسكرية عبر التاريخ، حيث قام “مكينن” باختراق ومهاجمة 92 شبكة تديرها وكالة ناسا، ووزارة الدفاع الأمريكية في 14 ولاية أمريكية، وتسببفي خسائر قدرت بـ900 ألف دولار، وقد اتهم المدعي العام “مكينن” بعده جرائم منها سرقة كلمات السر، حذف ملفات، تحكم بمرور المعلومات، إغلاق شبكات للمعلومات في قواعدعسكرية بدءاً من ميناء بيل هاربر إلى ولاية كونيكتيكت11[11].

التجارب الدولية في أمن تداول المعلومات

من المفيد عند الحديث عما يجب إتباعه للوصول إلى منظومة متكاملة لتأمين المعلومات النظر إلى تجارب الدول المختلفة في هذا الشأن، وخاصة الدول المتقدمة منها والتي وصلت فيها درجة الاعتمادية على الأنظمة الفنية وشبكات المعلومات والاتصالات إلى درجة عالية، حتى تتوافر لنا الرؤية الشاملة لما يجب أن تكون عليه المنظومة المصرية في هذا المجال.
وفي هذا الصدد يجب الإشارة إلى أنه بالرغم من تواجد بعض الخصوصيات لهذه الدول من حيث استخدام وتطبيق تلك التقنيات إلا أنه توجد بعض العناصر المشتركة والأساسية والتي تشكل أولوية أولى لمصر، وهي التي يجب البدء في تنفيذها دون الانتظار لتكامل أطراف العملية الفنية.
وتعتبر التجربة الأمريكية هى التجربة الدولية الرائدة فى هذا المجال والتي يجب التعرض إليها ودراسة جوانبها المختلفة.
وتنقسم التجربة الأمريكية إلى قسمين رئيسيين، وهما:
· المعايير الفنية Technical standards.
· التشريعات والرقابةLegislation and Monitoring .

· المعايير الفنية:

o تتضافر الجهود من خلال العديد من المؤسسات من أجل الوصول إلى سياسة عامة لأمن المعلومات وتشفير البيانات، ومن المؤسسات العاملة في هذا المجال المعهد القومي للمعايير القياسية والتكنولوجيا ((National Institute for Standards & technology – (NIST)http://www.nist.gov. والذي تم إنشاؤه عام 1901 ليتبع وزارة التجارة الأمريكية، ويعمل على أربعة محاور عمل أو ما يسمى برامج عمل يختص أحدها بالمعامل والاختبارات العملية.
o وتقوم وحدة المعلومات التابعة لمعمل تكنولوجيا المعلومات (Information access division- IAD) بوضع سياسات ومعايير تبادل المعلومات والبيانات عبر الوسائل الحديثة في عصر تكنولوجيا المعلومات والاتصالات(http://www.itl.nist.gov/iad/IAD.html)
حيث يقوم بإصدار القواعد والمعايير الفنية لتصنيف نظم المعلومات على أنها نظم قومية من وجهة نظر أمن المعلومات، ويقوم أيضا بإصدار العديد من الإرشادات والقواعد الدورية في الجوانب المتعلقة بأمن المعلومات والإجراءات الواجب إتباعها، وأيضا الاحتياجات التنظيمية والتدريبية فيما يختص بأمن المعلومات.
o وتقوم أيضا لجنة الحاسبات والاتصالات التابعة للمجلس القومي للبحوث (National Research Council – (NRC)))) http://*******nationalacademies.org/nrc/index.htm) بوضع المعايير الخاصة بتشفير المعلومات والبيانات Cryptography من خلال لجنة متخصصة لوضع السياسة القومية للتشفير، والتي تهدف إلى الإتاحة الواسعة لنظم التشفير لكافة شرائح المجتمع وذلك في الإطار القانوني المناسب – كما سيرد ذكره لاحقا – وتهدف هذه اللجنة أيضا إلى الاهتمام بالنمو الاقتصادي داخل وخارج الولايات المتحدة في كافة المجالات وخاصة صناعة تكنولوجيا المعلومات والاتصالات. كما تهدف أيضا إلى تحقيق الأمن والسلامة للمجتمع من التهديدات الداخلية والخارجية فيما يخص أمن المعلومات (http://www.nap.edu/readingroom/books/crisis/Executive_Summary.txt)
· التشريعات والرقابة:

o الحديث عن المعايير الفنية فقط حديث منقوص لا يضمن تنفيذ ورقابة هذه المعايير، ويحتاج إلى الإطار التشريعي المنظم والملزم لضمان تطبيق هذه المعايير ومتابعتها ومعاقبة أي تقصير في تطبيقها لضمان السلامة للأمن القومي الأمريكي. ولذلك فقد كانت ولا تزال المعلومات والخصوصية والحرية من أهم العناصر التي تم العمل عليها، ومن أجلها تم تشريع العديد من القوانين والتشريعات
http://en.wikipedia.org/wiki/Freedom_of_Information_Act_%28United_States%29

ومنها:
§ قانون حرية المعلومات ((Freedom of Information Act لعام 1966 والذي يعد أساسا لتنظيم الحصول على الملفات والمعلومات الحكومية تحت شعار “الحق في المعرفة”.
§ قانون حماية الخصوصية لعام 1974 (The Privacy Act) والذي اختص بحماية الخصوصية الفردية في الملفات الخاصة بالمواطنين.
§ وتعاقبت القوانين والتعديلات عليها والخاصة بحرية المعلومات وتداولها والحق في الحصول عليها مع الاحتفاظ بدرجة السرية المطلوبة حتى عام 1996حيث صدر التعديل المسمى حرية المعلومات الألكترونية (The Electronic Freedom of Information Act- EFIA) والذي يطالب جميع الجهات بتحويل بعض الملفات إلى الصورة الألكترونية وإعداد غرف خاصة لإطلاع المواطنين عليها.
o ثم جاء عام 2002 وحمل معه القانون الفيدرالي لأمن المعلومات 2) والذي يعتبر هو القانون الأهم في منظومة قوانين أمن المعلومات الأمريكية، حيث أنه يوفر الإطار العام لتأمين نظم تكنولوجيا المعلومات والاتصالات والمحتوى الرقمي في كافة الهيئات والمؤسسات الواردة بنص القانون، والذي يطالبها بالعديد من الإجراءات القياسية التي أصدرها المعهد القومي للمعايير القياسية والتكنولوجيا، والتي تتلخص في تعريف نظام المعلومات وتحديد أبعاده وحدوده، ثم تحديد نوع المعلومات بهذه النظم طبقا لمجموعات محددة لتعريف درجة الضرر عند حدوث إختراق أو تعديل أو تعطيل لهذه النظم، وعمل توثيق كامل للنظم، وعمل قياس للمخاطر التي قد يتعرض لها النظام، ثم يتم تطبيق نظم وإجراءات التأمين لهذه النظم والبيانات الموجودة بها والمتداولة عبر الشبكات، ويتم كل ذلك في إطار من المتابعة والتقييم المستمرين لكافة الإجراءات، لضمان استمرار توافقها مع القانون.
(http://csrc.nist.gov/drivers/documents/FISMA-final.pdf)
o وتتم الرقابة أيضا من خلال فريق الاستعداد United States Computer Emergency Readiness Team- (US-CERT). والذي يعتبر جزئا رئيسيا من وحدة الأمن القومي الافتراضي National Cyber Security Division، والذى تم انشاءه عام 2003 بالتعاون بين كلا من القطاع الحكومي والخاص بغرض تنسيق الرد والتعامل مع مخاطر التأمين من خلال شبكة الإنترنت، حيث يقوم بإصدار الدوريات بأهم المخاطر الموجودة بالشبكة، ويقوم أيضا بالتعاون مع القطاع الخاص بتطوير نظم التأمين والإصلاح لأنظمة المعلومات والاتصالات ضد الاختراقات المحتملة، وتعتبر هذه هي نقطة الالتقاء فيما يخص تأمين الشبكات وأنظمة المعلومات وشبكات الإنترنت بالولايات المتحدة الأمريكية.

مصر وأمن المعلومات

قطعت مصر خطوات واسعة في نشر الوعي والتعريف بأهمية ودور تكنولوجيا المعلومات والاتصالات في كافة المجالات، حيث قامت وزارة الاتصالات وتكنولوجيا المعلومات بالعديد من المبادرات لهذا الغرض كان من أهمها مبادرة الإنترنت المجاني، ومبادرة الإنترنت فائق السرعة، وأيضا مبادرة حاسب لكل بيت، واستمرت الوزارة منذ إنشائها في التبشير بهذا الدور حتى وصل عدد مستخدمي شبكة الإنترنت في مصر إلى 9 مليون مستخدم، ووصل عدد الشركات العاملة في مجال تقديم خدمات الإنترنت(Internet Server Provider) إلى 218 شركة، كما وصل إجمالي السعة الترددية الدولية إلى 14911 مليون نبضة في الثانية، وانتشرت خدمات الإنترنت والشبكات لتغطى كافة محافظات الجمهورية. (موقع وزارة الاتصالات وتكنولوجيا المعلومات http:\www.mcit.gov.eg )
وتزامن مع إنشاء هذه البنية الأساسية الكبيرة البدء في مشروع الحكومة الألكترونية المصري، والذي تقوم به وتشرف عليه وزارة الدولة للتنمية الإدارية بالتعاون مع الجهات مقدمة الخدمة، كما ازداد عدد المواقع والبوابات المصرية على شبكة الإنترنت وأصبحت تضم العديد من المجالات، بداية من المال والاقتصاد مرورا بالمراكز والمعاهد والصحافة والإعلام، وانتهاء بمواقع التسلية والألعاب.
ولا يجب أن نغفل دور شبكات التليفون المحمول والذي يشهد طفرة قد تكون أكبر من تلك الموجودة بشبكة الإنترنت حيث بلغ عدد المستخدمين 33 مليون مستخدم حتى 2002، مثلما أشار السيد الدكتور/ طارق كامل – وزير الاتصالات وتكنولوجيا المعلومات في الجلسة الافتتاحية لقمة التحويلات المالية عبر المحمول، والتي تزامنت مع انعقادمؤتمر ومعرض “تيليكوم إفريقيا 2008”. ويهدف المؤتمر إلى التعريف بأهمية الخدمات المالية المتنقلة عبر شبكات المحمول وأثرها على النموالاقتصادي وخاصة في قطاعات المال والاتصالات، وانعكاساتها على المستهلكين والأفرادوالمؤسسات. ووجوب التركيز على تأمين البيانات خلال انتقالها عبر شبكات المحمول وعدم التركيز فقط على تأمين شبكة الإنترنت وتطبيقاتها.
وقد تم إصدار العديد من القوانين والتشريعات الخاصة بالشبكات والحواسب الآلية، والجرائم والتجاوزات الممكن حدوثها من خلالها حيث تم إصدار القانون رقم 143 لعام 1994 والخاص بإنشاء إدارة متخصصة لمكافحة جرائم الحاسب الآلي وشبكات المعلومات بوزارة الداخلية، وتقوم هذه الإدارة بتلقي البلاغات حول الانتهاكات والتجاوزات التي تحدث خلال الشبكة وتسبب ضررا أدبيا أو معنويا للأفراد والمؤسسات. وتطالعنا الصحف من يوم لآخر بأحد القضايا التي توصلت إليها الإدارة من سرقات لكروت الائتمان، إلى المعاكسات والمضايقات والتشهير بالشخصيات والجهات من خلال شبكات المعلومات وشبكة الإنترنت.
وفي عام 2002 تم إصدار قانون حماية الملكية الفكرية والذي تناول الانتهاكات التي تحدث من خلال شبكات الإنترنت والنشر غير المصرح به للإبداعات الفنية والفكرية والتقنية وخلافه.
كما تم عام 2003 إصدار القانون رقم 10 والخاص بإنشاء الجهاز القومي لتنظيم الاتصالات، والذي يعمل كجهة رقابة وترخيص للشركات العاملة في مجال الاتصالات وتكنولوجيا المعلومات.
وفي عام 2004 تم إصدار القانون رقم 15 والخاص بتنظيم عملية التوقيع الألكترونى والذي سيتم تطبيقه للحد من المخاطر التي قد تنشأ من عدم وجود أهلية Identity على شبكة الإنترنت للمؤسسات والجهات وخاصة في التعاملات المالية والتجارية فيما بينها. حيث سيتيح هذا القانون تدعيم التجارة الألكترونية في مصر من خلال تمكين المواطنين من استخدامالإنترنت لإبرام العقود، وجعل الإنترنت وسيلة فعالة من الناحية القانونية للبيع دون التوقيع على مستندات ورقية.
وفي افتتاح المؤتمر الإقليمي الأول حول الجريمة الألكترونية بعنوان “تحديات تكنولوجيا المعلوماتوالتنمية الاقتصادية” والذي نظمته الجمعية المصرية لمكافحة جرائم المعلوماتية والإنترنت في نوفمبر 2007 أشار السيد الأستاذ الدكتور/طارق كامل – وزير الاتصالات وتكنولوجيا المعلومات إلى ضرورة إنشاء مركز تنسيقي مصري لحماية الشبكات والمعلومات يسمى “مركز طوارئ الكمبيوتر” “سيرت” يقوم بالاتصال والتنسيق مع المراكز المماثلة حول العالم للتنسيق في حال وقوع الجرائم المعلوماتية ذات الأبعاد الدولية، وتبادل الآراء والخبرات حول أحدث التقنيات والمعايير القياسية في هذا الشأن.
وقد أشار الدكتور/ أحمد فتحي سرور في نفس المؤتمر إلى ضرورة الإسراع بسن تشريعات لمواجهة هذه الظاهرة، لأن التشريعات الحالية قاصرة عن التعاملمعها؛ وأشار لضرورة تزويد السلطات الرسمية بوحدات متخصصة تدعمها كي تستدل على كشف الجرائمالرقمية.
وأخيرا وليس بآخر نود أن نشير إلى أن ما تحتاجه مصر في الواقع هو إستراتيجية متكاملة لأمن المعلومات تأخذ في الحسبان المتغيرات الفنية والاقتصادية والسياسة الداخلية والخارجية وتشمل أساليب شراء واستقدام وتطوير نظم المعلومات وشبكات الاتصال والتأمين وأجهزتها، كما تشمل أيضا سياسات للتشفير والتحقق وأيضا سياسات لتأمين وتداول المحتوى الرقمي عبر الشبكات وقواعد البيانات وخاصة على شبكة الإنترنت، حيث أن ما يتم الآن هو جهود فردية من الوزارات والهيئات والمؤسسات وأيضاً شركات القطاع الخاص من خلال تواجدها على شبكة الإنترنت وما تقدمه من خدمات، وأيضا في التعاملات فيما بينها أو مع المستفيدين.
ولابد أيضا من إصدار القوانين المنظمة والملزمة حيث أن الوضع الحالي والذي يستند على القوانين التقليدية يقف عاجزا أمام العديد من المواقف، وخاصة في ظل التطور السريع والمتلاحق في تقنيات وأساليب نقل وتبادل وتداول المحتوى الألكترونى، كما يقف عاجزاً أمام أساليب الاختراق لهذه العمليات.

[1]http://news.bbc.co.uk/1/hi/technology/4095737.stm

[2] CERT® Coordination Center, Carnegie Mellon University’s S/W Engineering Institute, http://www.cert.org

3″إدارة أن المعلومات القائم على الحاسب”, أ.د. محمد السعيد خشبة, سلسلة كتب دكتور خشبة لتكنولوجيا المعلومات والإدارة, جامعة الأزهر

4 “إدارة أن المعلومات القائم على الحاسب”, أ.د. محمد السعيد خشبة, سلسلة كتب دكتور خشبة لتكنولوجيا المعلومات والإدارة, جامعة الأزهر

[5]http://ar.wikipedia.org

[6]http://www.idtheftcenter.org/artman2/publish/m_facts/Facts_and_Statistics.shtml

[7]

[8]http://www.spamlaws.com/credit-fraud-stats.html

[9]http://ar.wikipedia.org

[10]

[11]http://redda.forumotion.com/index.htm

ورقة بحثية عن حماية البيانات المتداولة عبر الشبكات