دراسة حذرت من استغلال الثغرات الأمنية في «الأجهزة الذكية» بالمكاتب ومقار الشركات
«التجسس الذكي» التحدي المقبل في أمن المعلومات للشركات والمؤسسات
يُعد «الجاسوس الذكي»، القابع في ركن من أركان المكتب، هو الصداع المؤلم المقبل في مجال أمن المعلومات بالنسبة للشركات والمؤسسات، وذلك بحسب ما ورد في دراسة حديثة أعدها الباحث في أمن المعلومات بشركة «بين تست»، كين مونرو.
وتعد هذه الشركة متخصصة في بحوث أمن المعلومات و«هجمات القرصنة الأمنية الأخلاقية»، أو الهجمات الأمنية الصعبة التي يتم إطلاقها عمداً وبصورة مخططة على المؤسسات والشركات، بهدف كشف الثغرات ونقاط الضعف الأمنية الموجودة بها وعلاجها، والمحاولة من خلالها تحديد الأدوات والثغرات الأمنية التي ستعمل على توليد ونمو وانتشار «التجسس الذكي».
قرصنة أخلاقية
ونشرت شركة «زد دي نت» zdnet.com المتخصصة في تقنية المعلومات، تفاصيل الدراسة التي قام بها كين مونرو أخيراً، وأهم ما يميز هذه الدراسة، أن الباحث شنّ هجمة قرصنة أخلاقية ضد شركة كبيرة لمدة يوم، وقام خلالها مع معاونيه من الباحثين بتتبع وفحص كل شيء في مكاتب الشركة وبنيتها التحتية المعلوماتية، من نظم وقواعد بيانات وشبكات وكبلات ومحولات وموجهات بيانات وحاسبات مكتبية ومحمولة ويدوية ووصلات إنترنت وغيرها، بما فيها الأسقف المعلقة، وأرضيات المكاتب المرتفعة قليلاً بضعة سنتيمترات، بحثاً عن أي أداة أو جهاز يمكن أن يلعب دور «الجاسوس الذكي» الذي يخترق أنظمة الأمن ويسرب المعلومات إلى طرف آخر.
و«التجسس الذكي» يشير إلى استغلال نقاط الضعف والثغرات الأمنية الموجودة في «الأجهزة الذكية» المنتشرة بالمكاتب ومقار الشركات، لتصنع لنفسها طرقاً وآليات «ذكية» في القيام بأعمال الاختراق والتجسس وتسريب أو تخريب المعلومات والبيانات، أو بعبارة أخرى مواجهة الأدوات التي تنتج وتدير العمل بذكاء، بأدوات تتجسس وتهاجم بذكاء أيضاً.
ومن بين الأجهزة التي جرى اتهامها بتهمة «الجاسوس الذكي» جهاز يسمح لموظفي الشركة بالمشاركة في استخدام شاشات العرض الكبيرة، وتقديم المحاضرات والعروض من خلالها لاسلكياً، مباشرة من الحاسبات المحمولة التي يستخدمونها في العمل.
• أجهزة الإنذار وآلة القهوة الذكية بيئات خصبة للتجسس الذكي. |
الحاسب المحمول
ووجد أن هذا الجهاز يكون في الغالب معزولاً ويتم استخدامه للتوصيل بين الحاسب المحمول وشاشة العرض الكبيرة، لكن الخطأ كان في توصيله وتشغيله «دون تفكير» أو احتياطات كاملة، الأمر الذي أوجد ثغرة أمنية يمكن لأي مهاجم استغلالها للقفز مباشرة من شبكة الـ«واي فاي» المفتوحة التي يعمل بها الجهاز إلى شبكة معلومات الشركة وبياناتها الداخلية.
وكان هناك ايضاً آلة إعداد القهوة الذكية التي تعمل لاسلكياً، وتتصف بقدر من الذكاء في تلقي الطلبات وإعداد نوع القهوة المطلوب لكل موظف على حدة، وكيف أنها نقطة ضعف أمنية على الشبكة، يمكن أن ينفذ منها المهاجمون والمخترقون وسارقو البيانات والمخربون.
وبحسب مونرو، فهذه لم تكن سوى مجرد أمثلة على أن التوسع في إضافة الأجهزة الذكية داخل بيئة العمل بالمكاتب يمكن أن يضعف قوة وصلابة إجراءات الحماية والأمن بالشركة عن غير قصد، ومع تعدد مثل هذه الأدوات الذكية، ترتفع فرص وجود الجواسيس الأذكياء داخل المكاتب والشركات.
المكاتب الذكية
ووفقاً للدراسة، فإن التحدي الأمني للمكاتب الذكية، يأتي من جانبين، الأول: النظم القديمة القائمة على إدارة وتشغيل البنية التحتية للمكاتب، ومنها نظم التحكم في الأبواب والتدفئة والتهوية، والإنذار بالحريق، وكاميرات المراقبة وأنظمة الرش، وغيرها من النظم التي يمكن التحكم فيها عن بعد عبر شبكات المحمول من الجيلين الثالث والرابع، أو عبر الإنترنت، وتقوم بالكثير من الوظائف بصورة تلقائية، وغالباً ما يتم تركيبها وتشغيلها مع القليل من التفكير في مستويات تأمينها وحمايتها.
ويحدث الخطأ الأكبر حينما يتم توصيلها للإنترنت المفتوحة والشبكة الداخلية للشبكة، لأنها في هذه الحالة تعطي الفرصة لجاسوس ذكي من الداخل، أو نفذ إليها من الخارج بإيقاف تكييف الهواء في المبنى بالكامل، أو فصل الطاقة عن مركز بيانات أو خلافه، عبر هجمات أمنية ذكية غير معهودة كثيراً من قبل.
ورصدت الدراسة أيضاً أن العديد من الشركات والمكاتب الصغيرة تستخدم الدوائر التلفزيونية المغلقة، وأنظمة الإنذار الذكية التي يتم التحكم فيها عن بعد عبر تطبيقات تعمل على الهواتف المحمولة، من دون أن يكون لديها ما يكفي من الأمن، ما يجعلها عرضة للجواسيس الذكية.
إنترنت الأشياء
وأشارت الدراسة إلى أن الجانب الثاني في ما يتعلق بالتحدي الأمني للمكاتب الذكية، يأتي من مجموعة واسعة من الأدوات الجديدة المتاحة العاملة بمفهوم «إنترنت الأشياء»، مثل الميكروفونات الذكية علي غرار «أمازون ايكو»، و«غوغل هوم»، و«هوم بود» وغيرها، ووحدات مراقبة الطقس وأجهزة استشعار الحركة، وغيرها من الأجهزة والتقنيات التي تدخل في عداد «إنترنت الأشياء»، أو الأدوات والأشياء التي ترتبط بالإنترنت في عملها، وتتصف بالكثرة العددية، والقدرة على توليد ونقل البيانات على مدار اللحظة، في ما يخص الوظائف المنوطة بها. ورغم أن هذه الأدوات والأجهزة باتت تجعل الحياة العملية أكثر كفاءة وإنتاجية، ولم تعد مجرد متعة أو رفاهية، إلا أن استخدامها وتشغيلها من دون حذر كافٍ، يجعل منها أرضاً خصبة أمام الجواسيس الذكية.
وأوصت الدراسة، المؤسسات والشركات المالكة لمكاتب ذكية، بضرورة وضع سياسة واضحة لكيفية استخدام الأجهزة الذكية بالمكاتب، لتحدد مثلاً ما إذا كان مقبولاً وضع ميكروفون ذكي في مكتب الرئيس التنفيذي، تتدفق منه المحادثات إلى حاسب خادم يعمل عبر نظام حوسبة سحابية عن بعد وينقل ما يدور بالمكتب طوال الوقت، أو وضع هذا الميكروفون في غرف الاجتماعات.