الخوف من تهديدات هجمات القراصنة يتجاوز الخشية من المراقبة الحكومية

توقعات بتزايد اهتمام الشركات بتشفير بياناتها في 2014

اتجاه الشركات لتقوية إجراءات تشفير بياناتها سيكون علامة مميزة للعام الجديد. غيتي

خلال العام الماضي برزت تسريبات الموظف السابق لدى وكالة الأمن القومي الأميركية «إن إس أيه»، إدوارد سنودن، عن برامج تجسس الوكالة على شركات الإنترنت ضمن أهم أحداث العام في مجال التكنولوجيا وغيره، كما يبدو أن تبعات الحدث الكبير لن تنتهي بعد.

وتشير توقعات إلى أن اتجاه الشركات لتقوية إجراءات تشفير بياناتها سيكون علامة مميزة للعام الجديد، كما لو كان اتفاقاً مع ما ذكره رئيس مجلس إدارة «غوغل» إيريك شميدت ضمن مقابلة تلفزيونية خلال شهر نوفمبر الماضي حين قال: «علاج المراقبة الحكومية هو تشفير كل شيء».

وبدا ذلك لدى الشركات الكبيرة والصغيرة على حدٍ سواء، فعلى سبيل المثال قالت شركة «مايكروسوفت» إنها ستمتلك «صناعة التشفير الأفضل في فئتها» للعديد من خدماتها مثل «أوتلوك دوت كوم»، و«أوفيس 365»، و«سكاي درايف»، وذلك بحلول نهاية العام الجاري. في حين أعلنت شركة «ياهو» عن خططها لتشفير بيانات جميع عملائها بما فيها رسائل البريد الإلكتروني خلال الربع الأول من عام 2014.

وعلى مستوى الشركات الأصغر، فمن المرجح أن تكون السنة الحالية سنة للاهتمام بالتشفير، ويتفق مع هذا الرأي كبير مسؤولي أمن المعلومات في شركة «يونيسيس» الأميركية ديف فريمير.

لكن فريمير يعتقد أن ما سيدفع الشركات للاهتمام بتشفير البيانات ليس المراقبة الحكومية، وإنما الخوف من تهديدات الهجمات التي يشنها قراصنة الحاسب. وبدلاً من الاتجاه لتشفير جميع البيانات، يعتقد فريمير بأنه ينبغي على الشركات أن تحدد نسبة من بياناتها تراوح بين 5 و15% باعتبارها بيانات سرية، وتستخدم التشفير لحماية هذا الجزء فقط.

ويتابع أنه عند تحديد هذا الجزء من البيانات يُمنع موظفو الشركات من الوصول إليه من خلال حواسيب مكتبية ومحمولة عادية، أو بواسطة هواتفهم الذكية وحواسيبهم اللوحية الخاصة، التي يمكن أن تصيبها البرمجيات الخبيثة بسهولة، على أن يقتصر الوصول لهذه البيانات على الموظفين الذين يستخدمون حواسيب آمنة جيداً وأقل عرضة للخروقات والبرمجيات الخبيثة.

وقال فريمير: «عندما تنظر إلى تصاعد تطور البرمجيات الخبيثة، تتضح الحاجة إلى إنشاء جيوب بيانات تتمتع بدرجة عالية من الحماية. الطريقة الوحيدة لتحقيق ذلك من خلال التشفير الحديث المُنفذ بطريقة صحيحة». وشبه فريمير تقسيم البيانات بالفصل بين قطع الألماس ودبابيس الورق، والأهم حينها تشفير قطع الألماس، وليس القلق بشأن دبابيس الورق.

ويذهب المدير العام في شركة «سيفنت» الأميركية المتخصصة في حماية البيانات، براكاش بانجواني، إلى أن عام 2014 سيشهد حتماً إقبالاً على بائعي خدمات التشفير، نظراً للعدد الكبير من حوادث اختراق أمن البيانات على مستوى رفيع خلال العام الماضي، ومنها الهجمات على البيانات الشخصية للملايين من عملاء متاجر التجزئة «تارجت» في الولايات المتحدة، وشركة «أدوبي» للبرمجيات، وتطبيق «سناب شات» للهواتف الذكية.

وأشار بانجواني إلى أن تسريبات سنودن ركزت الاهتمام على قضايا المراقبة، في حين ينبع التهديد الحقيقي، بحسب رأيه، من الجريمة المنظمة وحوادث تسريب البيانات. وأضاف أن الشركات في العام الجاري ستتجه، وبسبب الضغط الشديد من مجالس الإدارات والمستهلكين والجهات المنظمة، لاتخاذ إجراءات بشأن التشفير، بحيث إذا ما وقع أي خرق للبيانات يمكنها القول إنها لم تفقد أية بيانات لأنه قد تم تشفيرها.

ومع الاتفاق حول اتجاه الشركات لمزيد من الاهتمام بتشفير بياناتها، يظهر بعض الخلاف حول الأسلوب الأمثل، وحالياً يستخدم كثير من الشركات التشفير لحماية البيانات غير النشطة والمخزنة على أنظمتها الخاصة، بالإضافة إلى البيانات المستخدمة التي تُرسل عبر الشبكات إلى العملاء ومراكز البيانات الأخرى، أو للمعالجة والتخزين في الخدمات السحابية.

ويعتقد المحلل في شركة «جارتنر» للأبحاث، رامون كريكن، أن هذه الطريقة ستتغير خلال عام 2014. دون أن ينفي ذلك اتجاه الشركات للتفكير في إجراءات التشفير بطريقة أكثر جدية، بفضل ما كشف عنه سنودن.

وأشار كريكن إلى أن العديد من الشركات حالياً تستخدم التشفير بدافع التوافق والاستجابة وليس الأمن، فلا يأتي الاستخدام بغرض حماية البيانات، ولكن لأنه الأسلوب الأسهل للتوافق مع اللوائح المنظمة، فيمثل التشفير العنصر المفضل لدى المدققين والمنظمين.

وتواجه الشركات أسئلة عدة، منها الاختلاف حول أفضل خوارزميات التشفير أو الشفرات المستخدمة لحماية البيانات، وتتأكد أهمية هذه المسألة لأن بعض الشفرات القديمة يمكن اختراقها بسرعة نسبياً بفضل قوة الحوسبة المتوافرة في الحواسيب المكتبية العادية.

يُضاف إلى ذلك تساؤل آخر حول ما إذا كانت وكالة الأمن القومي الأميركية قد استخدمت نفوذها لإضعاف بعض أنظمة التشفير، أو تهيئة المجال لوجود «أبواب خلفية» تتيح لأي جهة النفاذ السهل إلى بيانات مشفرة طالما كانت تعلم بوجودها.

ولفت كريكن إلى أن جزءاً من المشكلة يكمن في أنه حتى التحقق من الشفرة المصدرية لا يعني التمكن من عمل «باب خلفي»، والأمر الأهم، بحسب رأيه، معرفة جميع مصادر أنظمة وحلول التشفير المستخدمة، ففي حال شراء إمكانات عتادية أو برمجية من دولة لا تراعي حكومتها أو لا تريد مصالحك، فقد يعني ذلك أن هذه الأجزاء ليست آمنة، وقال: «لذلك عليك أن تقرر بمن تثق، والتوصل إلى الأماكن التي يحصل منها البائع على جميع أجزاء منتجه».

وضمن الاختلاف حول تفاصيل إجراءات التشفير، تواجه الشركات تساؤلاً حول درجة القوة التي ينبغي أن تتمتع بها إجراءات التشفير، فصحيح أن استخدام مفتاح تشفير أطول يُصعب على القراصنة مهمة اختراق الشفرات، لكنه في المقابل يتطلب توفير قوة أكبر للحوسبة.

لكن المستشار الأمني في شركة «نيوهابسيس» للخدمات الأمنية، روبرت فورمر، يعتقد أن العديد من الشركات تبالغ في تقدير التعقيد الحسابي المطلوب للتشفير.

ولذلك يوصي فورمر الشركات باستخدام مفاتيح تشفير أطول مرتين وحتى أربع مرات من المستخدمة حالياً، وقال: «أقول استخدم التشفير الأقوى الذي يمكن أن تدعمه برمجياتك وعتادك»، وأضاف أن كلفة استخدام قوة المعالجة المتوافرة أقل من التكاليف والأعباء الناتجة عن فقدان البيانات، بسبب استخدام أنظمة رخيصة لن تجعل إجراءات التشفير قوية بدرجة كافية.

طباعة