تطبيق خطة للتدقيق الأمني المعلوماتي على الجهات العامة في بداية عام 2024
دمشق – ميس خليل
لا بد من امتلاك المؤسسة لنظام إدارة أمن معلومات شامل يرتكز على إدارة المخاطر التي قد تهدد بنى نظم المعلومات، وعلى السياسات الأمنية وخطط التعافي من الكوارث واستمرارية العمل والاستجابة للطوارئ المعلوماتية، ويعتمد ذلك على حجم المؤسسة وحساسية بياناتها وخدماتها الإلكترونية، فكيف تستطيع المؤسسات من صد الجيوش الإلكترونية التي تعمل من خلف الستار، وما تقوم به من هجمات سيبرانية تشل المؤسسات وتخرجها عن عملها، وماهي آليات التصدي لهذه الهجمات؟
رئيس مركز أمن المعلومات المهندس سلمان سليمان أوضح لـ”البعث” أن الهجمات السبرانية متعددة الأنواع والأشكال والأهداف ونجاحها يعتمد بالدرجة الأولى على وجود نقاط ضعف يستغلها المهاجم، ولذلك ينبغي امتلاك حماية أمنية متعددة الطبقات على صعيد السياسات الأمنية والإجراءات وتطبيق أفضل الممارسات العالمية ودعم البنية التحتية (اعتادية وبرمجية) واختبارها وتقييمها وتطويرها على الدوام، وأهم عنصر في هذه المنظومة هو الكادر البشري المدرب وفق المهام والمسؤوليات المسندة إليه ويتحلى بالوعي الكافي والولاء للمؤسسة التي ينتمي إليها، منوهاً إلى أن القانون رقم /7/ لعام 2023 حدد مهام ومسؤوليات الهيئة الوطنية لخدمات تقانة المعلومات في مجال أمن المعلومات حيث تمارس الهيئة هذه المهام من خلال مركز أمن المعلومات المسؤول عن التنظيم والإشراف على أمن المعلومات على المستوى الوطني من خلال وضع المعايير والسياسات وتقديم الخدمات وإحداث وإدارة فرق الاستجابة للطوارئ المعلوماتية لمساعدة الجهات العامة والخاصة والشركات والأفراد على الاستجابة والحد والوقاية من الحوادث الأمنية وتقديم الدعم اللازم بهذا المجال، واختبار التطبيقات والبرمجيات وتجهيزات أمن المعلومات ليصار إلى منحها الاعتماديات والموافقات اللازمة للعمل على الشبكة السورية وفق المعايير والضوابط الوطنية ذات الصلة، وتنفيذ مشاريع أمن المعلومات التي تكلف بها الهيئة من قبل وزارة الاتصالات والتقانة في ضوء الإستراتيجية الوطنية للأمن السبراني التي أصدرتها وزارة الاتصالات والتقانة عام 2023 بالتعاون والتنسيق مع الجهات المعنية في الدولة.
وبيّن سليمان انه يجري حالياً بناء مركز الاستجابة للطوارئ المعلوماتية في الهيئة بخبرات وطنية بالتعاون مع مركز الدراسات والبحوث العلمية والذي سيكون له دور فاعل في رصد وكشف التهديدات والهجمات السبرانية والاستجابة لها ودعم وتنسيق جهود المؤسسات الوطنية لرفع مستوى أمنها السبراني ومناعتها ضد الهجمات السبرانية .
وحول سؤالنا سليمان عن كيفية حماية الحسابات الإلكترونية أوضح أن حماية الحسابات الإلكترونية من مسؤولية الشركات المطورة للتطبيقات والبرمجيات والمنصات الإلكترونية من جهة، ومن جهة أخرى هي من مسؤولية مستخدم هذه التطبيقات والبرمجيات حيث يجب على شركات البرمجيات أن توفر سبل الحماية من خلال التحقق من هوية المستخدم (User Authentication) بناء على إدارة تسجيل المستخدم، وإدارة كلمة المرور، والتحقق من الهوية متعدد العوامل (Multi-Factor Authentication) لعمليات الدخول، وفرض سياسة استخدام كلمة مرور قوية وغير قابلة للتخمين على المستخدم وتغييرها بشكل دوري، بحيث يمنع من استخدام كلمات مرور ضعيفة ويجبر على تغييرها بشكل دوري، بالإضافة إلى إتاحة إمكانية استعادة الحساب في حال نسيان أو فقدان كلمة المرور من خلال كود تحقق يرسل إلى المستخدم المعني حصراً عن طريق بريد إلكتروني أو رقم هاتف محمول ويفضل رقم الهاتف المحمول، كما ينبغي فرض استخدام قناة اتصال مشفرة من خلال شهادة رقمية SSL عند تسجيل الحساب أو إرسال كلمات المرور للوقاية من هجمات التجسس على البيانات في الشبكة وهجمات الرجل في المنتصف لسرقة كلمات المرور، أما مسؤولية المستخدم فهي إدراك أهمية تفعيل إجراءات الحماية هذه والاعتماد عليها واستخدام كلمات مرور قوية حتى لو لم تفرض عليه من خلال التطبيق أو المنصة أو الخدمة الإلكترونية.
ويقوم مركز أمن المعلومات- بحسب سليمان- باختبار التطبيقات ومواقع الويب والمنصات الإلكترونية للجهات العامة والخاصة ويتأكد من تطبيق اجراءات الحماية هذه (من ضمن عدة إجراءات أخرى) قبل منح التصريح أو الموافقة أو وثيقة اجتياز الاختبار.
والسؤال الهام..هل هناك وعي واهتمام لدى الجهات العامة بمجالات أمن المعلومات وهنا يشير سليمان إلى أن الوعي والاهتمام بمجالات أمن المعلومات لدى الجهات العامة في تزايد وتحسن مستمر وأصبح هذا الأمر ملموساً إذا ما أردنا المقارنة بسنين خلت، وخصوصاً في الصفوف الأولى على مستوى الشخصيات القيادية من وزراء ومدراء عامين ومدراء المعلوماتية، ويتجلى ذلك من خلال لجوء الجهات العامة إلى الهيئة لاختبار تطبيقاتها وبرمجياتها ومنظوماتها المعلوماتية قبل استلامها من الشركات المطورة -كما نص القانون رقم /7/ لعام 2023- كما تستعين الجهات العامة بمركز أمن المعلومات وتستشيره في العديد من الحالات ذات الصلة بأمن المعلومات للحصول على المساعدة اللازمة،سواء في مجال الاختبارات الأمنية لمنظوماتها المعلوماتية أو الطوارئ المعلوماتية أو الحلول الأمنية التي تطورها.
ويعمل مركز أمن المعلومات على زيادة هذا الوعي من خلال النشرات والمقالات التوعوية الدورية التي يتم نشرها على صفحة الهيئة على موقع التواصل الاجتماعي فيسبوك وموقعها الإلكتروني، وفي عدة مجالات ولعدة شرائح من المتابعين، كما يتم نشر وإرسال التحذيرات الأمنية للجهات العامة والخاصة، وتصدر الهيئة الضوابط والنواظم والأدلة الاسترشادية لدعم الصناعات البرمجية وتغطية نقص الخبرات والكوادر في القطاع العام في جوانب أمن المعلومات وغيرها، وتقترح البلاغات والتعاميم ذات الصلة، إضافةً إلى تنظيم عدد من ورشات العمل والدورات التدريبية للشرائح المستهدفة للتعريف بما تصدره الهيئة من ضوابط ونواظم وسياسات وأدلة استرشادية وتأهيلها لتطبيق هذه المعايير بشكل فعال.
وذكر سليمان أن الهيئة الوطنية لخدمات الشبكة ستقوم من خلال مركز أمن المعلومات قريباً بإعداد خطة للتدقيق الأمني المعلوماتي على الجهات العامة سيتم البدء بتطبيقها خلال العام 2024 للتحقق من التزام الجهات العامة بالمعايير والضوابط والأدلة الاسترشادية والسياسات الأمنية والبلاغات والتعاميم والقوانين ذات الصلة بأمن المعلومات الصادرة عن الهيئة أو الجهات الوصائية الأخرى، بهدف كشف وتقييم مواطن الضعف ودعم الجهات العامة ومساعدتها للامتثال لمتطلبات أمن المعلومات، وتقييم أمن المعلومات على المستوى الوطني، ومن هنا تنبع أهمية بيان الأمن السبراني الذي أصدرته الهيئة بتاريخ 31/10/2023 لناحية وجوب استعداد الجهات العامة للامتثال للمعايير الوطنية واتخاذ إجراءات وخطوات فاعلة للتخطيط لإدارة أمنها المعلوماتي على الوجه الذي يمكنها من حماية أصولها المعلوماتية، وخدماتها الإلكترونية في إطار استراتيجية التحول الرقمي واستراتيجية الأمن السبراني التي تنفذها الدولة، ولا بد أن ينعكس هذا الأمر على فعاليات القطاع الخاص التي ستعتمد على البنى التحتية الحكومية إلى حد كبير في تقديم خدماتها الإلكترونية، وإن الهيئة مستمرة في جهودها والقيام بمهامها ومسؤولياتها للنهوض بالأمن المعلوماتي على الصعيد الوطني تحقيقاً لأهداف الدولة السورية ورؤيتها في هذا المجال.