ساعدت نظم المعلومات في نجاح الكثير من الشركات اليوم. حيث لم تكن بعض الشركات مثل جوجل وفيسبوك وإي باي، إلخ. متواجدة الأن بدون تكنولوجيا المعلومات. ولكن، من الممكن أن ينتج عن الاستخدام الخطا لتكنولوجيا المعلومات مشاكل للمؤسسة والموظفين

إن حصول مجرمي الانترنت على إمكانية الدخول إلى معلومات بطاقة الائتمان من الممكن أن يؤدي إلى خسارة مالية لصاحب البطاقة أو المؤسسة المالية. ومن الممكن أيضا أن يؤدي استخدام المؤسسة ل نظم المعلومات مثل نشر محتوى غير مناسب على فيسبوك أو تويتر باستخدام حساب الشركة إلى دعاوي قضائية وخسارة للشركة

سيقوم هذا البرنامج التعليمي بالتحدث عن هذه التحديات التي تشكلها نظم المعلومات والإجراءات التي يمكن اتخاذها لتقليل أو خفض المخاطر وكيفية تامين نظم المعلومات في مؤسستك

وفي هذا البرنامج التعليمي، ستتعلم الآتي:

• الجريمة الالكترونية
• تامين نظم المعلومات
• مبادئ نظم المعلومات
• تقنية المعلومات والاتصالات ICT

اولا : الجريمة الالكترونية

تشير الجريمة الالكترونية إلى استخدام تكنولوجيا  المعلومات من أجل ارتكاب الجرائم. ومن الممكن أن تتراوح الجريمة الالكترونية بين ازعاج كمبيوتر المستخدمين وخسائر مالية كبيرة وحتى خسارة الحياة البشرية. كما ساعد نمو الهواتف الذكية وهواتف المحمول الأخرى التي تمتلك دخول إلى الانترنت على زيادة نمو الجريمة الالكترونية

أنواع الجريمة الالكترونية:

• سرقة الهوية

سرقة الهوية هى الجريمة الالكترونية الاشهر و تحدث سرقة الهوية عندما يقوم المخترق الحاسوبي بانتحال شخصية أحد أخر لإحداث عطل ما. ويحدث ذلك عادة عند الدخول إلى المعلومات الشخصية الخاصة بأحد ما. وتشمل المعلومات المستخدمة في مثل هذه الجرائم:

1. أرقام الامن الاجتماعي
2. تاريخ الميلاد
3. أرقام بطاقة الائتمان والخصم
4. أرقام جوازات السفر و….إلخ.

وبمجرد حصول مخترق الانترنت على المعلومات، يمكنه استخدامها لإتمام عمليات الشراء عبر الانترنت أثناء انتحال شخصية أحد آخر.

ويعتبر الحصول على المعلومات الشخصية هو أحد طرق انتحال الشخصية. ويتضمن انتحال الشخصية إنشاء موقع الكتروني مزيف يبدو تماما مثل الموقع أو البريد الالكتروني الشرعي لأي شركة

على سبيل المثال،

• من المحتمل أن تصلك رسالة الكترونية تبدو وأنها قادمة من ياهو، للمستخدم لتأكيد معلوماتهم الشخصية والتي تضمن أرقام الاتصال وكلمات مرور البريد الاكتروني. وإذا وقع المستخدم في هذه الخدعة وقام بتحديث معلوماته الشخصية وإرسال كلمة المرور، سيكون لدى المخترق إمكانية الدخول إلى المعلومات الشخصية والبريد الالكتروني الخاص بالضحية
• وإذا استخدم الضحية خدمة مثل Paypal، سيستطيع المخترق استخدام الحساب لاتمام عمليات شراء أو تحويل الأموال
• وتضمن طرق أخرى لانتحال الشخصية استخدام شبكة  WIFI Hotspot مزيفة  والتي تبدو تماما كواحدة حقيقية. يعد ذلك شائعا في المطاعم والمطارات. إذا قام مستخدم غافل بالدخول إلى الشبكة، سيحاول مخترق الانترنت الحصول على دخول إلى المعلومات الحساسة مثل اسم المستخدم وكلمة المرور وأرقام بطاقة الائتمان، إلخ.

وفقا لقسم العدالة بالولايات المتحدة، قام موظف سابق بوزارة الخارجية باستخدام بريد الكتروني لانتحال شخصية ما للدخول إلى البريد الالكتروني وحسابات التواصل الاجتماعي لمئات السيدات والدخول إلى صورهن. وكان قادرا على استخدام الصور في ابتزازهن وتهديدهن لنشر الصور إلى العامة إن لم ينفذن طلباته ….وهذا يرشدنا الى لماذا يجب علينا حماية البريد الالكترونى من الاختراق .

• مخالفة حقوق التأليف والنشر

تعتبر القرصنة الالكترونية واحدة من أكبر المشكلات بالمنتجات الرقمية. حيث كانت تقوم المواقع الالكترونية مثل مواقع القرصنة بنشر مواد حقوق التأليف والنشر مثل التسجيلات الصوتية والفديوهات وبرامج الكمبيوتر إلخ. وتشير مخالفة حقوق التأليف والنشر إلى الاستخدام الغير مسموح به لمواد حقوق التأليف والنشر وهذه الممارسات تندرج تحت بند الجريمة الالكترونية .

كما ساعد الدخول السريع الى الانترنت وتخفيض تكاليف التخزين على زيادة جرائم مخالفة حقوق التأليف والنشر

• التزوير

تقدم الشركات الاعلانية مثل جوجل AdSense نظام الدفع مقابل كل ضغطة على الخدمات الاعلانية.  ويظهر تزوير الضغط عندما يقوم الشخص بالضغط على الروابط بدون معرفة أي شئ عن ما يقوم بالضغط عليه سوى جني المزيد من الأموال. ويمكن تحقيق ذلك من خلال استخدام برنامج تلقائي يقوم بهذه الضغطات

• رسم مسبق للتزوير

يتم إرسال رسالة إلكترونية إلى الضحية المستهدفة والتي توعدهم بالكثير من الأموال عند مساعدتهم على المطالبة بأموال ميراثهم

وفي هذه الحالة، يدعي المجرم دائما انه قريب لشخص غني جدا ومعروف ولكن هذا الشخص قد توفى. فيقوم/تقوم بادعاء أنه قد ورث ثورة هذا الرجل المتوفي حديثا ولكنه يحتاج إلى مساعدة في المطالبة بالمال. وسيسأل عن مساعدة مالية ويوعد بمكافأة لاحقا. إذا قام الضحية بإرسال المال للمخترق، يختفي المخترق ويخسر الضحية المال.

• الاختراق

يتم استخدام الاختراق لعبور البوابات الامنية للحصول على دخول غير مسموح به إلى النظام. وبمجرد أن حصول المخترق على الدخول، استطاع أن يفعل ما يريد. وفيما يلي بعض الاشياء التي يتم فعلها عندم يتم اختراق النظام:

• تثبيت البرامج التي تساعد المخترق في التجسس على المستخدم أو التحكم بنظامهم عن بعد
• تشويه المواقع الالكترونية
• سرقة البيانات الحساسة. يمكن فعل ذلك من خلال استخدام التكنيك مثل ضخ SQL واستغلال نقاط الضعف وتكنيك الهندسة الاجتماعية التي تخدع المستخدمين بتأكيد اسم هويتهم وكلمات المرور وإلخ

 – فيروسات الحاسب الآلي

تعتبر الفيروسات برامج غير مصرح بها والتي باستطاعتها إزعاج المستخدم وسرقة البيانات الحساسة أو استخدامها للتحكم بالادوات التي تسيطر على الحواسيب الآلية

ثانيا : تامين نظم المعلومات

يشير تامين نظم المعلومات إلى المقاييس التي تم وضعها لتامين مصادر نظم المعلومات من الدخول الغير مصرح به أو من انتهاكها. كما تعتبر نقاط ضعف الحماية هي نقاط ضعف نظام الحاسب الآلي، وبرنامج ومعدات الكمبيوتر التي يمكن ان يستغلها المخترق للحصول على دخول غير مصرح به أو اختراق النظام

كما يستطيع الافراد أيضا كجزء من محتويات نظام المعلومات استغلال تكنيك الهندسة الاجتماعية. ويعتبر الهدف من الهندسة الاجتماعية هو الحصول على ثقة مستخدمين النظام

دعونا نلقي نظرة الان على بعض التهديدات التي يواجهها نظام المعلومات وما يمكن فعله ل تامين نظم المعلومات و لتقليل أو خفض الدمار إذا حدثت التهديدات :

1. فيروسات الحاسب الآلي – كما تم ذكرها بالأعلى فهي برامج ضارة. يمكن خفض التهديدات الناجمة عن الفيروسات أو تقليل تأثيرها من خلال استخدام برنامج مضاد للفيروسات واتباع أفضل ممارسات الحماية المحددة للمؤسسة

2. دخول غير مصرح به – تعتبر الاتفاقية التقليدية هي استخدام مزيج من اسم المستخدم وكلمة المرور. لقد تعلم المخترقون كيفية التحايل على هذه التحكمات إذا لم يتبع المستخدم أفضل ممارسات الحماية. وقد أضافت معظم المؤسسات استخدام اجهزة الهاتف المحمول لتقديم طبقة إضافية من الحمايةلنأخذ Gmail كمثال، إذا شعر جوجل بالاشتباه في من يقوم بتسجيل الدخول إلى الحساب سيقوم بالطلب من الشخص تسجيل الدخول لتأكيد هويته باستخدام هاتف محمول بنظام أندرويد أو إرسال رسالة قصيرة برقم سري والذي يجب أن يستكمل اسم المستخدم وكلمة المرور

   وإذا لما تجد الشركة مصادر كافية لتطبيق حماية إضافية مثل جوجل، يمكنها استخدام أساليب أخرى. ومن الممكن أن تشمل هذه الاساليب سؤال المستخدم خلال عملية التسجيل عن البلد التي نشأ بها، أو اسم أول حيوان اليف حصل عليه، إلخ. إذا قدم الشخص إجابات دقيقة لهذه الاسئلة أصبح من المسموح له الدخول إلى النظام

3. فقدان البيانات – إذا تعرض مركز البيانات لحريق أو فيضان، من المحتمل دمار المعد الذي يحتوي على البيانات وفقدانها. لذلك، تحتفظ معظم الشركات بنسخ احتياطية للبيانات بأماكن بعيدة، كأفضل مماسات الحماية التقليدية، ويتم عمل هذه النسخ الاحتياطية باستمرار وحفظها دائما في أكثر من مكان بعيد

تعريف القياسات الحيوية – أصبح ذلك معروفا جدا الأن من خلال الهواتف المحمولة مثل الهواتف الذكية. يستطيع الهاتف تسجيل بصمة المستخدم واستخدامها لأغراض التشفير. فيمثل ذلك صعوبة على المخترقين في الحصول على دخول غير مصرح به للهاتف المحمول. ويمكن استخدام هذه التقنية أيضا لإيقاف الاشخاص الغير مصرح بهم للدخول إلى أجهزتك….لذالك عليك احيانا  ان تستخدم برنامج لادارة برامج الكمبيوتر .

ثالثا: مبادئ نظم المعلومات

تشير مبادئ نظم المعلومات إلى القوانين الصحيحة والخاطئة التي يستخدمها الأفراد لصنع الاختيارات التي تقوم بتوجيه تصرفاتهم. فتسعى مبادئ نظام المعلومات لحماية وضمان الافراد والمجتمع من خلال استخدام مسئولية نظم المعلومات. وقامت الكثير من الوظائف بتعريف رمز المبادئ أو رمز تنفيذ الإرشادات التي تتبعها معظم الوظائف مع المهنة التي يجب التقيد بها

وباختصار، يقوم رمز المبادئ بجعل الافراد مسئولين تماما عن أفعالهم. وعلى سبيل المثال، يمكن العثور على الوظائف على موقع مجتمع الحاسب الآلي البريطاني British Computer Soiety (BCS)

رابعا: سياسة تقنية نظم المعلومات والاتصال ICT

تعتبر سياسة ICT هي مجموعة من الإرشدات التي تحدد كيف يجب على المؤسسة استخدام تكنولوجيا المعلومات ومسئولية نظم المعلومات. وتضمن سياسات ICT الارشادات الآتية:

• شراء أدوات معدات الكمبيوتر واستخدامها وكيفية التخلص منها بشكل آمن
• استخدام البرامج المرخصة وضمان ان البرامج محدثة مع التصحيحات الاخيرة لاسباب الحماية
• قواعد حول كيفية إنشاء كلمات المرور (تنفيذ التعقيد) وتغيير كلمات المرور وإلخ.
• تدريب جميع الموظفين باستخدام ICT و MIS

الخلاصة

كلما ازدادت القوة تزداد معها المسئولية. حيث تقوم نظم المعلومات بتقديم فرص ومميزات جديدة لكيفية أداء العمل ولكنه يقدم المشكلة دائما التي ستؤثر بالسلب على المجتمع (الجريمة الحاسوبية). فتحتاج المؤسسة إلى مواجهة هذه المشكلات التي تواجهها والتوصل إلى إطار عمل (حماية MIS وسياسة ICT إلخ)

مصادر

هيئة الاتصالات وتكنولوجيا المعلومات
Udemy Information security
Mcit