الخميس، 10 سبتمبر 2009

التقدم التقني والجمود الاستراتيجي .. قضية أمن المعلومات


في يونيو الماضي أعلن وزير الاتصالات وتكنولوجيا المعلومات عن إنشاء المركز المصري للاستجابة للطوارئ المعلوماتية‏,‏ وفي الشهر نفسه أعلنت وزارة التنمية الإدارية عن لجنة لوضع معايير تأمين البيانات المتبادلة بين الجهات الحكومية‏,‏ وساعتها تناولت هذه الجهود بالتحليل وقلت إنها تحرك تقني صرف ومنفرد وليس تحركا استراتيجيا سياسيا جماعيا يستوعب المحتوي المعلوماتي المجتمعي ككل من منظور الأمن القومي بصورة شاملة‏,‏ ومن ثم فهي خطوات ناقصة‏,‏ وعلي الدرب نفسه صدر الأسبوع الماضي بيانان صحفيان عن شركتين محليتين تحدث الأول عن مشروع قائم بذاته لتأمين شبكات الاتصال بأحد البنوك‏,‏ فيما تحدث الثاني عن أول مصري يحصل علي شهادة في أمن المعلومات تعد الأرقي من نوعها علي مستوي العالم ولا يحملها سوي‏760‏ شخصا عالميا حتي الآن‏,‏ وكما نري فإن البيانين يحملان واقعتين تنضمان إلي الجهود السابقة للوزارتين في أنها جميعا تحركات دالة علي أن التقدم التقني والجمود الاستراتيجي لا يزال عرضا مستمرا يميز قضية أمن المعلومات في مصر‏,‏ وأن هذا العرض سيستمر لفترة طويلة مقبلة غير معروف أجلها‏.‏البيان الأول صدر عن شركة ساميت تكنولوجي سوليوشنز التي قالت إنها حصلت علي صفقة تقوم من خلالها بتأمين الشبكة المحلية للفرع الرئيسي لبنك التنمية الصناعية والعمال المصري بالإضافة إلي فروعه الثلاثة عشر الموزعة في جميع أنحاء الجمهورية‏,‏ وذلك في إطار مشروع مدته ثلاثة اشهر يتسهدف تغطية جميع شبكات البنك بحلول ونظم حماية تؤهله لطرح خدمات مصرفية جديدة‏,‏ وتتضمن الحلول الأمنية جدار الحماية وشبكة نظام منع الاختراق وشبكة مكافحة الفيروسات وشبكة مكافحة الرسائل الاقتحامية وأدوات ترشيح المحتوي‏.‏أما البيان الثاني فصدر عن شركة راية القابضة وقالت فيه إن محمد الهرميل ـ مهندس أمن المعلومات التكنولوجية براية للنظم ـ قد حصل علي شهادة‏'GCIHGold-‏‏GIAC‏ المعتمدة للتعاطي مع الحوادث المعلوماتية التي يمنحها معهد إدارة نظم المعلومات والمراجعات والشبكات والأمن الذي قد تأسس في عام‏1989‏ كمؤسسة بحثية وتعليمية تعاونية‏,‏ ويصل نطاق برامجه إلي ما يربو علي‏165000‏ موظف من الموظفين المختصين بالأمن حول العالم‏,‏ وتوفر هذه الشهادة طريقة فريدة ومستقلة لضمان استيفاء موظفي أمن المعلومات للحد الأدني من معايير الكفاءة الفنية وما ينبغي فعله لتأمين الأنظمة وإدارتها فضلا عن قدرتهم علي وضع هذه المعارف موضع التنفيذوقالت راية أنه لم يحصل علي هذه الشهادة سوي عدد محدود من الأفراد علي مستوي العالم‏760‏ فردا حتي الآن‏,‏ ومن ثم فإنهم يحظون بمزيد من التميز في مجال تكنولوجيا المعلومات‏,‏ أيضا و قد حصل الهرميل من المجلس الدولي الاستشاري التجارة الإلكترونية مؤخرا علي لقب مشرف معتمد لاختبارات الاختراق الإلكتروني‏.‏تفحصت البيانين ثم عدت إلي ما كتبته في يونيو الماضي عن قضية أمن المعلومات في مصر في ضوء تحركات وزارتي الاتصالات وتكنولوجيا المعلومات والتنمية الإدارية‏,‏ وفي النهاية وجدت امامي صورة بها أربع وقائع‏,‏ وإطارها العام هو أمن المعلومات‏,‏ وتفاصيل الصورة كالتالي‏:‏ـ وزارة الاتصالات وتكنولوجيا المعلومات تمضي في طريقها لإنشاء مركز يقوم بدراسة المخاطر والتهديدات الامنية علي الإنترنت ويبحث في التغيرات بعيدة المدي في النظم المترابطة عبر الشبكات ويقدم بحوثا ودراسات في أمن المعلومات‏,‏ ويصدر تقارير وتنبيهات ويقوم بردود أفعال سريعة وتحركات مضادة للهجمات التي تتم عبر الإنترنت وتضر بأمن المعلومات‏.‏ـ وزارة التنمية الإدارية تمضي في طريقها وتشكل لجنة تستهدف وضع تصور أو خطة لتأمين وحماية البنية المعلوماتية التحتية المسئولة عن انسياب وتدوير البيانات والمعلومات فيما بين الجهات الحكومية المختلفة‏,‏ من خلال الاتفاق علي معايير لتنميط البيانات وتوحيدها وفق هيكلية موحدة‏,‏ وكذلك الاتفاق علي أسس ومعايير معينة يتم الاستناد إليها في بناء وتنفيذ اجراءات أمن المعلومات بهذه الجهات سواء فيما يتعلق بالتشفير والتكويد والحماية من التهديدات الأمنية المختلفة إلي غير ذلك‏.‏ـ قطاع خاص يمضي في طريقه وينتقل من مرحلة إلحاق أو تضمين قضية أمن المعلومات ضمن مشروعات تكنولوجيا المعلومات التي ينفذها إلي مرحلة تمييز هذه القضايا والتعامل معها باعتبارها مشروعات لها ملامحها الواضحة التي تستحق أن توقع من أجلها عقودا مستقلة قائمة بذاتها مرجعيتها الأساسية هي الأمن‏,‏ حتي وإن كانت مشروعات الأمن منضوية ضمن الخطة الأوسع للمشروع ككل‏.‏ـ قطاع خاص آخر ـ وربما أفراد ـ يمضون في طريق يستهدف الارتقاء بالقدرات والمهارات الفردية إلي أعلي مستوي عرفه العالم في أمن المعلومات ويحقق في ذلك إنجازا فرديا يستحق أن يصدر به بيان للرأي العام‏,‏ ويستحق أن يحتفي به الرأي العام سواء داخل القطاع أو خارجه‏.‏كما هو واضح فإنها جميعا وقائع جيدة‏,‏ فكل منها يقدم لبنة لها دور وقيمة في تطوير أوضاع امن المعلومات بالبلاد‏,‏ وتحريكها من وضعها السيء القائم منذ سنوات بلا حراك‏,‏ لكن دقق النظر جيدا وستجد الملاحظات التالية‏:‏ـ لا يوجد تفكير مشترك أو تخطيط مشترك بين من يخططون وينفذون مركز الطوارئ المعلوماتية في وزارة الاتصالات ومن يخططون وينفذون لتطوير معايير تأمين تبادل البيانات الحكومية في وزارة التنمية الإدارية‏,‏ وهذا معناه أنه لا رابط ولا إفادة متبادلة من أي نوع بين ما يفترض أن يرصده مركز الاستجابة للطواريء علي الإنترنت من مخاطر مستقبلا ـ هذا بافتراض أنه سيقوم بذلك أصلاـ وبين المعايير الموضوعة لتأمين تبادل المعلومات الحكومية التي يوجد مشروع ضخم لربط وعرض الكثير منها بالإنترنت وهو مشروع الحكومة الالكترونية بكل ما يثار حوله من ضجيج لا ينقطع‏,‏ وعلي ذلك فإن معايير أو جهود تأمين البيانات الحكومية لاتعرف ما الذي يرصده المركز من أخطار وما يستخدم في هذه الأخطار من منهجيات وأدوات ووسائل للهجوم لكي تأخذها في اعتبارها عند وضع وتشغيل أدوات الدفاع والتأمين‏,‏ ولا جهود مركز الطواريء تعرف ما هي منجهيات وادوات الدفاع والتأمين الموضوعة لتأمين البيانات الحكومية لتأخذها في اعتبارها وهي ترصد الاخطار وتمنحها اولوية في رصد رد الفعل والتنبوء بالخسائر والاضرار المتوقعة عند التعرض لهجوم فعلي‏.‏ـ علي الرغم من أن مشروع التأمين الذي تحدثت عنه شركة ساميت يتعلق ببنك حكومي أو قطاع عام‏,‏ فإن المشروع وأصحابه بالبنك ومنفذيه من الشركة لا يربطهم اي رابط فكري أو تخطيطي أو تشغيلي أو توجيهي مع ما يجري في وزارة التنمية الإدارية التي تضع معايير تأمين البيانات الحكومية‏,‏ ومع ما يجري بوزارة الاتصالات التي ترصد الأخطار علي الانترنت‏,‏ وأغلب الظن أنهم لا يعرفون أصلا أن هناك جهودا من هذا النوع تجري بالوزارتين‏,‏ وأغلب الظن ايضا أن المسئولين عن هذه الجهود بالوزارتين لا يعلمون شيئا بالمرة عن أن هناك تطورا علي الساحة المحلية في أمن المعلومات افرز مشروعا ينفذه القطاع الخاص لصالح بنك حكومي يعمل وفق رؤية تنتقل بقضية أمن المعلومات من جزء في خطة إلي مشروع مستقل واضح الملامح‏.‏ـ علي الرغم من أن الإنجاز الذي حققه محمد الهرميل في رابة علي صعيد التدريب والارتقاء بالمهارات هو من النوع الذي لا يحدث فجأة‏,‏ بل يتطلب مسارا طويلا وشاقا وتراكميا في تحصيل المعرفة والخبرة‏,‏ فالأغلب أن أحدا في وزارة الاتصالات التي تبني مركزا للطواريء المعلوماتية عبر الإنترنت لم يعلم بأن هناك كادرا مصريا قد اتخذ طريقه صوب اعتلاء القمة في امتلاك المهارات في أحد فروع أمن المعلومات حتي بلغها‏,‏ وأغلب الظن أن الوزارة حتي الآن لا تعلم بأمره وليس لديها أدني نية للاستفادة به وضمه لفريق المركز الذي تنشئه‏,‏ وكذلك الحال بالنسبة لمن يخططون في وزارة التنمية الإدارية لتأمين البيانات الحكومية التي يفترض أن يكون قسما لا بأس به منها معروضا علي الإنترنت بشكل أو بآخر‏,‏ وينطبق الحال نفسه علي البنك صاحب مشروع التأمين والشركة التي تنفذه‏.‏إذن الصورة التي أمامنا لقضية أمن المعلومات هي في واقع الأمر صورة مفككة‏,‏ شروخها ليست داخلية فيما بينها فقط‏,‏ بل شروخا تمتد من داخل الصورة لتكسر الإطار الخارجي نفسه وتعطينا في النهاية ليس إطارا محكما يضمها جميعا‏,‏ بل فتافيت جمعتها المصادفة وتواتر الاحداث وطبائع القضية وتراصت جنبا إلي جنب بلا رابط‏.‏ لماذا تبدو الأمور علي هذا النحو البائس؟السبب كما سبق القول مرارا أن قضية أمن المعلومات لم ينظر إليها بعد علي أنها قضية ذات علاقة وثيقة بالأمن القومي‏,‏ ومن ثم نحن لم نطور بعد رؤية قومية متكاملة تتعامل مع أمن المعلومات باعتباره ركيزة للأمن القومي‏,‏ ونستخلص من هذه الرؤية خططا واستراتيجيات يسهر علي وضعها وتطويرها ومراجعتها وتدقيقها وتوكيد جودتها مركز تفكير قومي‏,‏ ويضطلع بتنفيذها مؤسسة أو كيان قومي أيضا‏,‏ له امتدادات أو أشكال من التعاون والتنسيق في كل الاتجاهات‏,‏ ولو كان هذا الأمر قائما لما كانت الصورة مفتتة بائسة مليئة بالشروخ التي تفصل ما يجري بوزارة الاتصالات عن ما يجري بوزارة التنمية الإدارية وما يجري بالقطاع الخاص‏,‏ وخلاصة القول إن القضية غارقة وستستمر غارقة في العرض الساخر الباكي القائم علي بعض إرهاصات التقدم التقني وعلامات الجمود الاستراتيجي‏,‏ وهو عرض يجعل البلاد عرضة لمخاطر وتهديدات غير قابلة للوقاية منها أو حصرها‏.‏



لغة العصر - جمال محمد غيطاس

ليست هناك تعليقات:

إرسال تعليق