تختلف تقنيات الأمان الرقمي الواجب تطبيقها على المؤسسات عن تلك التي يطبقها الأفراد شخصيًا، وهذا طبيعي فالمؤسسات هياكل عمل أكبر وتعتمد على المزيد من البرمجيات في عملها، وبالتالي تحتاج أساليب حماية أكثر مختلفة عما يطبّقه الأفراد.
سنتحدث في هذا المقال عن بعض تقنيات الأمان الرقمي الأساسية التي لا بد لأي شركة أو مؤسسة أن تعملها لتأمين بنيتها التحتية التقنية، وهذا لتجنب عمليات الاختراق وسرقة البيانات التي قد تحصل بسبب الفشل في حمايتها.
أساليب الحماية الضرورية للشركات والمؤسسات
1- الاستيثاق الثنائي
يعرف الاستيثاق الثنائي (Two-factor Authentication) بأنه عملية تسجيل الدخول إلى الأنظمة والخدمات عن طريق هويتين اثنتين، وليس واحدة فقط. فمثلًا التسجيل عن طريق كلمات المرور وحدها هو استيثاق وحيد، لأنه يطلب هوية واحدة فقط وهي كلمة المرور نفسها.
لكنّ في الاستيثاق الثنائي يكون هناك هوية أخرى يطلبها النظام قبل السماح للمستخدمين بالولوج، مثل رسالة SMS تصل إلى أرقام هواتفهم المسجّلة في النظام أو شفرة التحقق عبر تطبيقات مثل Google Authenticator، ولا يُسمح للمستخدم بالولوج إلى النظام حتى لو امتلك كلمة المرور الخاصة به إلا بعد أن يقوم بإدخال هذه الشفرة أيضًا.
إن الاستيثاق الثنائي ضروري لحسابات الموظفين التابعة لخدمات الشركة أو المؤسسة، وهذا لتشكيل طبقة حماية إضافية فوق عامل كلمات المرور التي يضبطها المستخدمون أنفسهم، والتي قد تكون ضعيفة أو مكررة أو غير جيدة على حسب وعي الموظفين وخبرتهم في المجال الأمني.
2- برامج إدارة كلمات المرور الجماعية
هناك نوع من البرمجيات يسمى برامج إدارة كلمات المرور (Password Managers)، وهي برمجيات تحتفظ في قاعدة بياناتها باسم المستخدم وكلمات المرور لأي موقع ويب قد ترغب به، وفيها عدة مزايا أمان إضافية يمكن استعمالها مثل توليد كلمات المرور العشوائية أو دفتر العناوين أو ما شابه ذلك.
إن أفضل طريقة لتأمين كلمة المرور هو ألا تحتاج لمعرفتها أصلًا؛ أن تكون مخزّنة فقط في برنامج إدارة كلمات المرور ولا طريقة للوصول إليها إلا عبر كلمة المرور الرئيسية (Master Password) وأي عوامل إضافية قد تعملها لفتح خزنة كلمات المرور الخاصة بك. وبعد أن تقوم بإلغاء قفل الخزنة ستتمكن من نسخ ولصق كلمة المرور مباشرة داخل متصفّحك دون الحاجة لأن تحفظها أو تعرفها.
غالبًا ما يكون هناك في بيئة الشركات والمؤسسات الكثير من الحسابات الرسمية التابعة للشركة التي سيحتاج الموظفون تسجيل الدخول إليها، وبالتالي بيانات اسم مستخدم وكلمة مرور لتأمينها. بدلًا من تأمينها بطريقة يدوية أو مشاركتها داخليًا عبر البريد الإلكتروني مثلًا لا بد أن تستعمل الشركة أو المؤسسة برنامج إدارة كلمات مرور جماعي، وهي التي تسمح لأكثر من مستخدم واحد باستخدامها والوصول إلى خزنة كلمات المرور المشتركة.
3- برامج تشفير الاتصال (VPN)
قد تتعرض الشركة أو موظفوها لهجمات إلكترونية مختلفة، ولهذا من الضروري أن يكون الاتصال بين أجهزة هؤلاء الموظفين وبين الإنترنت مشفّرًا ومحميًا بطبقة حماية إضافية لضمان عدم تنصّت أي جهة خارجية على البيانات الموجودة في هذا الاتصال.
أضف إلى ذلك أنه من الضروري معرفة عناوين الآي بي التي تسجّل الدخول إلى خدمات ومواقع الشركة كل يوم، وحصرها بحيث يمنع أي عنوان آي بي خارجها من الدخول، وبالتالي سيحتاج الموظفون إلى عنوان آي بي ثابت (Static IP Address) لا يسمح لسواه بتسجيل الدخول إلى النظام، وهو ما يوفره اتصال VPN.
إن اتصال VPN هو اتصال مشفّر بين جهاز المستخدم والخادوم (Server) التابع لشركة الـVPN، يسمح للمستخدم من خلاله الوصول إلى كامل الإنترنت عن طريق بوابة الخادوم وعنوان الآي بي الخاص به بدلًا من عنوان الآي بي الخاص بالمستخدم، وبالتالي يضمن حمايته وسلامته من الأخطار الخارجية.
4- برامج تسجيل الأحداث والمتابعة
من الضروري تسجيل أي حدث (Event) يحصل على أنظمة الشركة أو المؤسسة لعدة عوامل:
- مشاكل قانونية داخلية قد تحصل بين الموظفين، فلان فعل كذا وفلان خرّب النظام وفلان لم يفعل… إلخ.
- زيادة الأمان الرقمي عبر تسجيل كل حدث قام به كل مستخدم لمعرفة إن حصل اختراق أم لا.
- معرفة تسلسل الأحداث وما قد يؤدي إلى مشاكل وعلل تقنية في الخدمات بسبب إجراء معين مثلًا.
تمتلك اليوم الكثير من خدمات البنى التحتية التقنية أدواتٍ لتسجيل الأحداث داخلها، لكن قد يُحتاج أيضًا إلى برامج خارجية لمراقبة هذه الأنظمة جميعها وضمان أن كل شيء يعمل بالصورة المطلوبة.
وبالتالي يمكن الاعتماد على البرمجيات مفتوحة المصدر للمراقبة (Open Source Monitoring Software) أو برمجيات تسجيل الأحداث والسجل (Open Source Log Management) للقيام بهذا، وهي برمجيات مجانية غالبًا يمكن تثبتيها على خواديم الشركة للمراقبة.
5- التدقيق الروتيني للأنظمة الرقمية وأمانها
من الأمور الضرورية كذلك لبيئة الشركات والمؤسسات أن يكون هناك تدقيق روتيني لأنظمة الشركة والإجراءات المتبعة من قبل موظفيها لتحقيق الأمان الرقمي. فلا يكفي أن تُثبّت برامج المراقبة والحماية وتشفير الاتصال لأول مرة ثم تتوقف عن التفكير في هذا الموضوع، بل لا بد من عمليات فحص دورية للتأكد من إعدادات كل الخدمات التابعة للشركة وأنها تعمل بصورة صحيحة، وأنها لا تسرّب أي بيانات للخارج.
وهذا لأن البرمجيات – بطبيعتها – قد تحوي ثغرات أمنية أو قد تتأثر ببرمجيات أخرى تعمل معها مع مرور الوقت فتؤدي إلى تسريب بيانات غير محسوب، ولن يكتشفه أحد دون عمليات التدقيق الروتينية هذه.
يمكن أن تكون هذه العمليات كل أسبوع مثلًا، أو كل أسبوعين أو كل شهر، بناءً على عدد الخدمات والموظفين في الشركة والموارد المتوفرة للقيام بهذه العمليات كذلك.
6- الفحص الخارجي للأمان الرقمي
تمتلك الكثير من المؤسسات اليوم موظفين داخليين لضبط إجراءات الأمان الرقمي في الأنظمة والأجهزة، والتأكد من أن جميع الموظفين يلتزمون بمعايير الأمان الرقمي المسندة إليهم، وهو أمرٌ رائع بالطبع لكنه قد لا يكون كافيًا.
ذلك أن الأمان الرقمي ليس شيئًا ثابتًا أو واحدًا يمكن تطبيقه من شخص واحد ثمّ يُكتفى بذلك، بل هو مجموعة أفكار ومعايير قابلة للنقاش والأخذ والرد، وهذا الموظف قد ينسى أو يغفل أمورًا كان يجب ألا يغفلها فيما يتعلق بأمان خدمات الشركة، أو قد يكون لم يتلقى التدريب الكافي في حياته العملية من قبل.
إن كانت المؤسسة تدير معاملات حساسة أو معاملات مصرفية ومالية مثلًا، فحينها لا بد من توظيف خبير أمني خارجي ليتأكد من إجراءات الأمان الرقمي المتبعة في المؤسسة وأنه لا شيء من أنظمتها يحوي ثغرات أو مشكلات أمنية قد تؤثر على سلامة البيانات.
يمكن توظيف هؤلاء الخبراء من مواقع الخدمات المصغّرة أو مواقع العمل الحر، أو عبر الحديث المباشر معهم، وقد يكون هذا الأمر مكلفًا لأن تكلفة الخبراء الأمنيين عمومًا مرتفعة، ولكن كما يقولون: درهم وقاية خير من قنطار علاج.
7- الوعي الأمني للموظفين
أخيرًا لا بد أن تستثمر أي مؤسسة أو شركة في موضوع الوعي بالأمان الرقمي لموظفيها، فمهما كان هناك إجراءات وخدمات وطبقات حماية لتأمين الأجهزة والبيانات، ستبقى المؤسسة في خطر طالما أن موظفيها لا يبالون بموضوع الأمان الرقمي ويعتبرونه شيئًا رفاهيًا أو تكميليًا.
لأجل هذا لا بد أن يكون هناك ورشات عمل تدريبية للموظفين حول هذه المواضيع، وأن تكون دورية (مثلًا كل 3 أو 4 أشهر)، وتكون إجبارية للموظفين الجدد قبل أن يمنحوا وصولًا إلى خدمات وبيانات الشركة الحساسة.
أو لعله يقترح عليهم قراءة مجموعة كتب متخصصة في المجال لزيادة وعيهم الأمني، مثل كتاب دليل الأمان الرقمي المتوفر بالعربية.
خاتمة
إن مفاهيم الأمان الرقمي والحماية والهجمات الإلكترونية لم تعدة رفاهية وتكميلية كما كانت في السابق، بل صارت ضرورية لضمان سلامة أي كيان يعمل في السوق، فقد صار عدد المخترقين أكثر وإمكانيات الهجمات والاختراقات أكبر، وبالتالي لا بد من اتباع هذه الإجراءات لضمان سلامة الشركات والمؤسسات وبيانات عملائها.
لاحظ أيضًا أنه هناك تطورات مستقبلية تحصل في مجال الأمان الرقمي، فهو ليس مجالًا جامدًا. من بينها مثلًا تحول الشركات إلى الاستيثاق الخالي من كلمات المرور (Passwordless)، حيث تتعرف الأنظمة على المستخدمين المخوّلين لولوج النظام عبر عوامل أخرى مثل الهاتف المحمول أو بصمة الإصبع أو قطع العتاد (Hardware) بدلًا من اسم المستخدم وكلمات المرور، وهو ما يزيد الأمان ويحسّن من تجربة المستخدم.