أمن المعلومات والبيانات في المؤسسات الحكومية

سفيان منذر صالح

الحوار المتمدن-العدد: 8261 - 2025 / 2 / 22 - 04:16
المحور: التربية والتعليم والبحث العلمي
    

يشكّل أمن المعلومات والأمن السيبراني ركيزة أساسية في منظومة الأمن القومي المحلي والعالمي داخل البلد او في المؤسسات مهما اختلفت المسميات، إذ بات الأمن المعلوماتي، باعتباره جزءًا من الأمن السيبراني، يشكل تحديًا حقيقيًا يستدعي حلولًا مبتكرة واستراتيجيات محكمة، إلى جانب سنّ القوانين والتشريعات اللازمة لضمان بيئة رقمية آمنة تقلّل من المخاطر إلى أدنى حدّ ممكن.
وبناءً على ذلك، أصبح من الضروري تحديد المخاطر المرتبطة بأمن المعلومات والأمن السيبراني، إلى جانب وضع آليات وإجراءات وتقنيات فعالة للكشف عنها واحتوائها، بهدف حماية الأنظمة المعلوماتية من التهديدات المحتملة مع الاخذ بنظر الاعتبار المتغيرات الدورية والعرضية والفجائية التي تصيب النظام العامل المخطط والمرجوا منه تحقيق اهدافة بدقة .
في هذا الإطار، تهدف هذه المداخلة إلى توضيح المفاهيم الأساسية لكل من الأمن المعلوماتي والأمن السيبراني، إلى جانب تسليط الضوء على المعرفة التقنية المرتبطة بهما، مع استعراض المخاطر التي تستهدف بشكل رئيسي برامج الحماية المسؤولة عن تأمين النظام المعلوماتي. كما تسعى إلى مناقشة دور مالك النظام في وضع استراتيجية أمنية احترافية تضمن الحماية الفعالة للمعلومات والبنى التحتية الرقمية.
يُعتبر الأمن المعلوماتي، كجزء لا يتجزأ من الأمن السيبراني، تحديًا حقيقيًا يستدعي حلولًا مبتكرة واستراتيجيات فعالة، إلى جانب سنّ التشريعات اللازمة. والأهم من ذلك، ضرورة إنشاء درع حماية تقني قادر على التصدي للهجمات السيبرانية وكافة أشكال الاعتداء على أنظمة المعلومات وقواعد البيانات، بما في ذلك البنى السحابية، نظرًا لأن المعلومات تُعدّ من أثمن الموارد وأكثرها قيمة على الإطلاق.
ولضمان بيئة رقمية آمنة تسهّل الانتقال الرقمي بأقل مستوى من المخاطر، يصبح من الضروري تحديد تهديدات الأمن المعلوماتي والسيبراني، إلى جانب وضع آليات وإجراءات وتقنيات فعالة للكشف عنها واحتوائها، سواء تعلّق الأمر بالأنظمة المعلوماتية الفردية أو العمومية أو الخاصة بالمجالات الاقتصادية والمنظومات الأمنية. ويزداد هذا التحدي تعقيدًا مع التطور التكنولوجي المتسارع، الذي يكشف يوميًا عن تقنيات وأساليب جديدة، تحمل في طياتها فوائد عديدة، لكنها في الوقت ذاته تُشكّل تهديدًا خطيرًا يُعرف بـ "الوجه المظلم لتكنولوجيا المعلومات".
بناءً على ذلك، تهدف هذه المداخلة إلى توضيح المفاهيم الأساسية للأمن المعلوماتي والأمن السيبراني، إلى جانب تسليط الضوء على المعرفة التقنية المرتبطة بهما والمخاطر الناجمة عنهما، والتي تستهدف بالدرجة الأولى برامج الحماية المسؤولة عن تأمين النظام المعلوماتي. كما تتناول المداخلة مسؤولية مالك النظام في وضع استراتيجية أمنية متكاملة تستوفي المعايير العالمية لأمن المعلومات وعلاقتة ISO27001، مما يضمن حماية فعالة لنظامه من أي اختراقات قد تترتب عليها تبعات قانونية.
التمييز بين الامن السيبراني وامن المعلومات
أولا امن المعلومات هو ذلك العلم الذي يهتم بالحفاظ على سرية المعلومات والبيانات التي يقوم مستخدم الانترنت بربطها ببعض شبكات التواصل او المنصات الالكترونية من اي محاولة خرق او تجسس ، وهو يتضمن 4 انواع اساسية يتم التعامل معها – انظمة حماية البرامج والتطبيقات
-انظمة حماية برامج التشغيل
-انظمة حماية الدخول والخروج للتطبيقات
-انظمة حماية البرمجيات والالكترونيات
فهو علم يتعامل مع مخاطر متعددة كمعامل الامان المنخفض ، مشاكل التشفير ، الهجمات السيبرانية وكذا وجود تلف في البيانات الرقمية والغير الرقمية واعتماد برامج امان ضعيفة ،فامن المعلومات يقوم على عناصر اساسية ومبادئ محددة كمايلي – السرية ، عدم التنصل والإنكار ، الاصالة ، المسائلة ، النزاهة ، السلامة ن ومبدأ اتاحة المعلومة لمن له اذن الوصول اليها .
ثانيا : الامن السيبراني يهدف الى حماية الانظمة والشبكات والأجهزة المختلفة من الهجمات الالكترونية والرقمية ، فهو يعمل على تشكيل سد او جدار حماية من اي اختراق او تجسس.
اذن رغم التشابه في مجال اهتمام كلا منهما من حيث حماية المعلومات والحفاظ عليها الا ان الفرق بينهما كبير من حيث المفهوم او الوظيفة
امن المعلومات يحافظ على جميع البيانات عند على استخدام تطبيق الكتروني معين ، اما الامن السيبراني فانه يمنع التطبيق نفسه من التجسس عليك او اختراق قواعد بيانات تك او ملفاتك المحفوظة في الجهاز ، او الموقع الالكتروني او التطبيق ويمنعه من تتبع وجمع المعلومات عنك من خلال مجالات اهتمامك فيرصد كل نافذة تفتحها وكل صفحة او زيارة افتراضية تقوم بها ويحصيها ثم يعد ملف عنك فيكون فكرة عن عاداتك وشخصيتك .


البرامج الضارة كأحد أهم صور المخاطر التقنية
تنقسم برامج الكمبيوتر من حيث الاداء الذي تقوم به الى نوعين ، برامج تشغيلية ، وبرامج تطبيقية ، وهما يختلفان اساسا في اداء كل منهما لمهامه ، فالبرامج التشغيلية لها وظيفة اجرائية ، فهي تسيطر على العمليات الاساسية للأداء الاولي داخل الكمبيوتر فهي مجموعة اوامر تؤدي بها عملها المرسوم لها وفقا للنظام المبنية عليه .
اما البرامج التطبيقية فتقوم بتوجيه اسام الكمبيوتر ضمن النظام الذي وضع لها وفق لأوامر البرامج التشغيلية المثبتة بالكمبيوتر .
وهناك نوع ثالث من البرامج تعرف بالبرامج الضارة او الخبيثة ، وهي عبارة عن تعليمات برمجية تتسبب في الحاق الضرر او تعطيل الاستخدام العادي لأجهزة الكمبيوتر او الشبكات او المنصات الرقمية ، وذلك من خلال الاختراق والوصول غير المصرح به .
وتلجأ البرامج الضارة الى خداع المستخدمين الاعتياديين لمنع الاستخدام الطبيعي للجهاز ، و/او الولوج للمنصة او الصفحة ، من خلال اتباع اسلوب واحد او اكثر مثل البريد الالكتروني للتصيد او الثغرة الامنية للنظام او محرك الاقراص USB المحمول الذي اصابته العدوى ، او فتح موقع ضار حيث يفتح هذا البرنامج نافذة خلفية يتسلل من خلالها الفيروس للنظام وهو ما يعرف بهجمة الجذور الخلفية حيث صمم هذا الفيروس ليكون مخفيا وكامنا لأطول مدة ممكنة .
كذلك نجد التصيد الاحتيالي الذي يتم عن طريق رسائل الايميل الاحتيالية المخادعة ، كذلك نجد برامج التجسس وهي تستهدف الحياة الخاصة للأشخاص وبياناتهم الخاصة او المالية ، حيث تقوم بتثبيت نفسها وتغيير اعدادات الجهاز كما تقلل من اداءه .
كما تعد الفيروسات المصممة لتعطيل التشغيل العادي للجهاز عن طريق تعديل بياناته او اتلافها او حذفها او منع وصول مالكها اليها ، وتنتشر عن طريق الملفات الضارة ومن اشهرها برامج الفدية .
وتعد هجمات الاستغلال ومجموعات الاستغلال من اخطر هذه البرمجيات لأنها تستغل الثغرات الامنية لتجاوز اجراءات الحماية الامنية للكمبيوتر من خلال تضمين كود شل shellcode في احد الهجمات مما يمكنهم من تنزيل المزيد من البرامج الضارة ، وأما البرمجيات عديمة الملفات خطيرة جدا لأنها تثبت نفسها في ذاكرة النواة مما يصعب اكتشافها والتخلص منها ، لان معظم برامج مكافحة الفيروسات لم تصمم لاكتشافها والتعرف عليها وتحييدها .
تعد هجمات ضد سلسلة التوريد من البرامج الضارة لأنها تستهدف المطورين ومقدمي البرامج من خلال النجاح في الوصول الى اكواد المصدر في التطبيقات الموثوقة ، بعد العثور على بروتوكول شبكة غير امن او بنية تحتية للخادم غير محمية او اجراء ترميز أي تشفير غير امن حيث تعدل اكواد المصدر ويتخفى البرنامج الضار في صورة عملية انشء البرامج وتحديثها .

يمكن ان يكون النظام الامني للمعلومات المستخدم عرضة هو نفسه للاختراق من خلال هجمات سيبرانية ، او حتى خارج الاتصال والربط بالشبكة ، باستخدام اجهزة فك شيفرات او برمجيات في دعامات الكترونية منفصلة يمكن ربطها بالجهاز بشكل مادي دون الحاجة للاتصال بالشبكة في حين ان الامن السيبراني هو مجموعة عمليات وإجراءات تستهدف حماية الجهاز والنظام المعلوماتي نفسه من اي فيروسات او برمجيات ضارة ن ويتم اطار المستخدم بذلك لاتخاذ الخطوات المناسبة لحمايته من السرقة .

يمكن لأمن المعلومات ابلاغ المستخدم مالك انظام بمحاولة الاختراق من خلال الاشعارات المتعلقة بالأمان ، اما الامن السيبراني فيمكنه تتبع المتسلل الالكتروني وتحديد هويته الشخصية ولرقمية وجمع معومات عنه مما يسهل اتخاذ الاجراءات القضائية المناسبة .
يلتزم مالك النظام المعلوماتي بتوفير مجموعة عناصر اساسية لأي استراتيجية توفر امن المعلومات او الامن السيبراني بشكل اوسع ، وهذه العناصر هي السرية والموثوقية والتكاملية وسلامة المحتوى واستمرارية توفير المعلومات او الخدمة وعدم انكار التصرف المرتبط بالمعلومات أي الصلة القانونية بين التصرف وصاحبه ( التوقيع الالكتروني وكلمات المرور السرية ) وبعدها يجب وضع خطة لتحديد المسؤوليات والواجبات الامنية لكل متدخل في عملية وضع النظام المعلوماتي قيد التشغيل ،والإشراف عليه ، وصيانته ومراقبته الامنية ، فهي خطة تستهدف وضع سياسة امنية وتحديد المسؤوليات فيما يتعلق بحماية وامن المعلومات .
ان مسؤولية مالك النظام عن كل مايتعلق بتامين المصادر تحت سيطرته كنوع الحماية المطلوبة وصلاحيات المستخدمين تحت سلطته ،وتوزيع المسؤوليات والمهام التقنية عليهم وهو ما يتطلب توفير حماية متكاملة عبر معايير امنية تكفل الامن المادي والشخصي، والإداري والحماية الاعلامية والمعرفية .

معايير الامن المعلوماتي والسيبراني العالمية
يجب وضع مجموعة من المقاييس او المعايير التي يمكن من خلالها تحقيق مستوى ملائم من الامن ، وتعد كلا من الايزو والكوبيت The Control Objectives for Information and related Technology ):COBIT)، وitil The Information Technology Infrastructure Library من ابرز المعايير لعالمية الي تساعد على تحقيق الحد الادنى لامن المعلومات ، وسنركز في ورقتنا هذه على معايير الايزو .
معايير التوحيد القياسي العالمي الايزو
أنشئ في عام 1947 ، هو هيئة غير حكومية تتعاون مع اللجنة ، (ISO)( المنظمة الدولية للتوحيد القياسي (آيزو. (ICT ) على تكنولوجيا المعلومات والاتصالات (ITU) والاتحاد الدولي للاتصالات (IEC) الدولية الكهرتقنية وهنا أشهر المعايير التابعة لها :
آيزو 27002هذا المعيار يتضمن بعض السياسات والتوجيهات، منها :
أ - السياسة الأمنية Security policy
ب - تنظيم أمن المعلومات Organization of information security
t ت - وإدارة الأصول Asset managemen
ث - أمن الموارد البشرية Human resources security
ج - الأمن البيئي والمادي Physical and environmental security
ح - الاتصالات وإدارة العمليات Communications and operations management
خ - التحكم في الوصول access control
د - اقتناء نظم المعلومات وتطويرها وصيانتها Information systems acquisition
and maintenance development
ذ - إدارة الحوادث الأمنية للمعلومات Information security incident management
ر - إدارة استمرارية الأعمال Business continuity management
ز - إدارة الامتثال أو التوافق .
آ-يزو 27001
وهو يهدف إلى (Plan-DO-Check-Act ) وهو اختصار ل (PDCA) هذا المعيار يقدم نموذج دوري يعرف بتحديد الاحتياجات اللازمة لإقامة وتنفيذ وتشغيل ورصد واستعراض وصيانة وتحسين وتوثيق نظام إدارة أمن المعلومات داخل المنظمة ، وعادة ما ينطبق على جميع أنواع المنظمات ، بما في ذلك المؤسسات التجارية و الوكالات الحكومية ، وغيرها. هذا النموذج يتم في أربع مراحل متتابعة:
- تأسيس نظام لإدارة أمن المعلومات. : (Plan) أ - الخطة
- البدء في تنفيذ الخطط وتشغيلها. : (Do) ب - التنفيذ
- مراجعة النظام بعد تنفيذه. : (Check) ت - التحقق
-صيانة وتحسين النظام. : (Act) ث - العمل
: 3 آ-يزو 15408
يساعد هذا المعيار على التقييم ، والتحقق ، والتصديق على الضمانات الأمنية للمنتجات التكنولوجية.
وكذلك يمكن تقييم الأجهزة والبرمجيات لمكافحة تغير المناخ في مختبرات معتمدة للتصديق.
: 4 - آيزو 13335يتكون من سلسلة من المبادئ والتوجيهات وهي
أ - آيزو 13335عبارة عن توثيق للمفاهيم والنماذج لإدارة أمن تكنولوجيا المعلومات والاتصالات.
ب -آيزو 13335عبارة عن توثيق للتقنيات لإدارة أمن تكنولوجيا المعلومات.
ت - آيزو 13335يشمل اختيار الضمانات ، كالضوابط الأمنية التقنية .
ث -آيزو 13335يشمل على التوجيه الإداري لأمن الشبكات.

مميزات تطبيق المواصفة القياسية ISO 27001 :2005 بشأن أمن وسرية المعلومات:
يمكن أن نشير إلى بعض ميزات تطبيق المواصفة كما يلي
*المطابقة مع المتطلبات الرقابية للحفاظ على أمن وسرية البيانات.
*تصميم أفضل الضوابط الداخلية وأكثرها اقتصاديا بما يتناسب مع بيئة الأعمال وحجم النشاط.
*إنشاء _السياسات والإجراءات الموثقة على أساس تقييم المخاطر ووضع نظم لمعالجة المخاطر المتوقعة.
*تخفيف تكاليف إعادة إنشاء قواعد بيانات وأنظمة آلية فيما إ ذا تعرضت للفقدان أو الاختراق.
*توحيد السياسات والإجراءات لكافة الوحدات التنظيمية في التعامل بشأن إدارة أمن وسرية المعلومات.
*تبوء موقع ريادي متقدم في ظل بيئة المنافسة في السوق.
*رفع درجة الوعي لدى الموظفين داخل كيان الأعمال بمفهوم إدارة أمن وسرية المعلومات.
*زيادة فاعلية وكفاءة تشغيل وإدارة نظم المعلومات، مما يوفر الوقت والموارد، وذلك من خلال تفعيل هندسةالعمليات.
*ضمان استمرارية العمل في حالات الأزمات.
*اعتماد الضوابط الأمنية المناسبة والكافية لحماية المعلومات، وزيادة الثقة لدى كافة الأطراف المتعاملة مع كيانالأعمال.
إضافة إلى ذلك فمن أهم فوائد الشهادة هو وضع معالم أمن المعلومات في المؤسسة، و بناء نظام متكامل يعتمد على عمليات مستمرة يؤدي تطبيقها إلى الحماية المرجوة و التطور المستمر بناء على منهجية معتمدة، كما تعد الشهادة مؤشرا بالتزام المؤسسة على جميع مستوياتها بحماية المعلومات، و زيادة الثقة بالمؤسسة.

اليات وضع نظام امن معلوماتي سيبراني مطابق للمواصفات العالمية مستخدم في المؤسسات عامة
مع تزايد القيمة الاقتصادية والمالية للمعلومات ، وشيوع وتنامي التطبيقات العملية لفكرة راس المال الفكري والاقتصاد القائم على المعرفة او الاقتصاد الرقمي ،وجب العمل على توفير الحماية التقنية لنظم المعلومات وهو ما ادى الى ابتكار وسائل تقنية مستحدثة ، حيث يتوجب اولا تحديد العناصر الضرورية لاي نظام الامني للمعلومات وهي: - القدرة على اثبات شخصية الطرف الاخر على Authentication الشبكة وبنفس الوقت اثبات شخصية الموقع للمستخدم .
- الخصوصية او حماية بيانات المستخدم من الافشاء Privacy والاطلاع دون اذن او تخويل .
- الصلاحيات وتحديد مناطق الاستخدام المسموحة Access Control لكل مستخدم واوقاته .
- تكاملية او سلامة المحتوى وتتصل بالتاكد من ان المعلومة Integrity التي ارسلت هي نفسها التي تم تلقيها من الطرف الاخر .
-عدم الانكار اذ لا يكفي فقط اثبات شخصية Non-repudiation المستخدم او الموقع بل يتعين ضمان عدم انكار منفذ التصرف صدور التصرف عنه .
-استمرارية يكفي الوجود وتقديم الخدمة الالكترونية ووجود النظام الالكتروني ويتعين ضمان استمرار الوجود وحماية النظام من انشطة التعطيل ( كهجمات انكار الخدمة ) .

مسؤولية مالك النظام المعلوماتي المدنية عن عدم اعتماد برامج حماية مطابقة
يمكن اعتبار مالك النظام المعلوماتي حارسا له، وذلك بسبب اعتماده عليه في تقديم الخدمة ووضعه لعدة وسائل تحت تصرف العملاء والمستهلكين لاستخدامها في تمرير رسائل المعلومات (البيانات) المتضمنة لالتزاماتهم القانونية المختلفة، كالفاكس والبرق، والانترنت والشباك ألالكتروني ومواقع التجارة الالكترونية الافتراضية على الشبكة الإنترنت والبريد ألالكتروني والموزع الصوتي. وفي بعض الحالات البطاقات الائتمانية كالفيزا والماستركارد التي تقدم خدمة التحويل بين الحسابات .
واخيرا ... من خلال ما تقدم في هذه المداخلة نستنتج انه هناك عدة مستويات من الآمن فعلى مستوى بسيط نجد امن المعلومات والذي يتضمن حماية المعلومات والكيان المادي والمنطقي للنظام المعلوماتي سواء كان متصلا بالشبكة او خارجها، إلا انه اقل فعالية مقارنة بالأمن السيبراني الذي يبنى على اسس وقواعد اكثر حزما ويتضمن الوقاية الاستباقية ثم الهجوم او الردع لضمان امن اعلى وأكثر فعالية .
غير انه تقع على مالك النظام المعلوماتي سواء كانوا افرادا او شركات او ادارات ومرافق عمومية اخذ مسالة الامن المعلوماتي والسيبراني على محمل الجد، وذلك ان اي اهمال او تقصير من مالك النظام في وضع استراتيجية امنية لمواجهة العالم السيبراني وما ينطوي عليه من مخاطر وتهديدات ، او تحديث استراتجيته ان كانت له واحدة ومتابعة ورصد كل تطور تقني في مجال الامن السيبراني سيؤدي الى قيام مسؤوليته ولو جزئيا في حالة اي اعتداء او تخريب او حتى خطا من النظام المعلوماتي نتيجة عدوى فيروسية رقمية اصابته بسبب تدهور الوضع الامني للنظام المعلوماتي او تأخره و ضعفه وعدم فعالية البرمجيات الحمائية المثبتة فيه .
وعليه فانه على ضوء ما تقدم يمكننا ان نوصي بمايلي : يجب وضع استراتجية وطنية فعالة مبنية على عدة محاور تقنية فنية من جهة وقانونية من جهة ثانية واقتصادية من جهة ثالثة والاهم تربوية توعوية ونفصل هذه الاستراتيجية كما يلي :
1- من الناحية التقنية الفنية يجب على الدولة بكافة المتدخلين فيها خاصة الامنية العمل على توفير نظم وبرمجيات حماية للأنظمة المعلوماتية ، اي الانتاج الوطني المحلي لهذه النظم والبرمجيات من طرف مبرمجين وباحثين عراقيين لتفعيل مبدأ حماية السيادة والأمن القومي السيبراني .
2-من الناحية القانونية نلاحظ قصورا تشريعيا في ضبط المسؤولية القانونية خاصة المدنية لمصممي ومطوري ومنتجي البرامج والانظمة المعلوماتية الناتجة عن ضعف او فشل برامجهم وانظمتهم عن توفير الحماية التقنية المتوقعة منهم وعن عدم متابعتهم للتطور التقني وتحديث برامجهم بشكل الي مع التطور المطرد للخاطر الملازمة للتقنية العالية .
3- من الناحية الاقتصادية الزام الشركات والمتعاملين الاقتصاديين على وضع استراتيجية داخلية خاصة لكل واحد منهم تتضمن وضع جهاز لمتابعة امن المعلومات يتابع التطور التقنني في العالم ويضع خطط حماية تستجيب لأي تهديد محتمل يشكل خطر على امن المعلومات والنظام المعلوماتي للشركة او المؤسسة .
4- نشر الوعي والثقافة المعلوماتية بين افراد المجتمع حول الخاطر المعلوماتية الناجمة عن عدم اخذ الحيطة في التعامل مع التكنولوجيا من الجانب التقني كالبرمجيات غير المحترفة والتوجيه بنشر ثقافة تكنولوجية في الوسط المدرسي لحماية الخصوصية خاصة للاطفال القصر .

#سفيان_منذر_صالح (هاشتاغ)      

---

---

الحوار المتمدن مشروع تطوعي مستقل يسعى لنشر قيم الحرية، العدالة الاجتماعية، والمساواة في العالم العربي. ولضمان استمراره واستقلاليته، يعتمد بشكل كامل على دعمكم. ساهم/ي معنا! بدعمكم بمبلغ 10 دولارات سنويًا أو أكثر حسب إمكانياتكم، تساهمون في استمرار هذا المنبر الحر والمستقل، ليبقى صوتًا قويًا للفكر اليساري والتقدمي.
 

اشترك في قناة ‫«الحوار المتمدن» على اليوتيوب
حوار مع الكاتبة انتصار الميالي حول تعديل قانون الاحوال الشخصية العراقي والضرر على حياة المراة والطفل، اجرت الحوار: بيان بدل	حوار مع الكاتب البحريني هشام عقيل حول الفكر الماركسي والتحديات التي يواجهها اليوم، اجرت الحوار: سوزان امين

كيف تدعم-ين الحوار المتمدن واليسار والعلمانية على الانترنت؟

تابعونا على:

الفيسبوك

التويتر

اليوتيوب

RSS

الانستغرام

لينكدإن

تيلكرام

بنترست

تمبلر

بلوكر

فليبورد

الموبايل

كيفية إشراك-إيصال مواضيعكم أو مواضيع تهمكم  إلى اكبر عدد ممكن من القراء والقارئات