ثماني توصيات للحكومات لتحسين الأمن الإلكتروني

خلال السنوات الماضية كانت كلمات المرور حاضرة في أغلب الهجمات الإلكترونية التي استهدفت الشركات الخاصة والمؤسسات الحكومية، الأمر الذي أكد خطر استخدامها وحدها كوسيلة للتوثيق. ومهما بلغت درجة تعقيدها، تظل كلمات المرور سرًا مُشتركًا بين البرامج والتطبيقات على أجهزة المستخدمين من ناحية والخوادم المركزية من ناحية أخرى، وبالتالي تصير عرضة لهجمات مختلفة كالتصيد والبرمجيات الخبيثة.

وبحسب تقرير جديد من “مجموعة عمل ضد التصيد” كان عام 2016 الأسوأ في هجمات التصيد التي تخدع المستخدمين للإفصاح عن كلمات المرور، وزاد عددها بنسبة 65% عن العام السابق. وتتصاعد مستويات التصيد بسبب تكلفته المنخفضة نسبيًا وفعاليته ووضعه مسؤولية التأمين على كاهل المستخدمين.

وردًا على تصاعد وتيرة الهجمات الإلكترونية تسعى الحكومات لتبني سياسات تُركز على “التوثيق متعدد العوامل” Multi-factor authentication؛ بهدف منع الهجمات التي تستهدف كلمات المرور وتوفير حماية أفضل للبيانات والأنظمة المهمة. ومن بين البلدان التي ركزت على هذه المسألة خلال الأعوام الخمسة الماضية الولايات المتحدة الأمريكية والمملكة المتحدة وهونج كونج وإستونيا وتايوان وأستراليا.

وتُواجه الحكومات في هذا الشأن عدة تحديات منها تعدد تقنيات “التوثيق مُتعدد العوامل” واختلافها، ويشوب بعضها مواطن ضعف تجعلها عرضة للتصيد مثل كلمات المرور الصالحة لتسجيل الدخول أو إجراء معاملة مرة واحدة فقط. وعلى الرغم من أنها أكثر أمنًا من المصادقة المعتمدة على عاملٍ واحد، إلا أنها تُصنَّف ضمن الأسرار المُشتركة التي يُمكن اختراقها. كما يصعب استخدام بعض حلول “التوثيق مُتعدد العوامل” ويُمثل بعضها خطرًا على الخصوصية.

وبينما يسعى صانعو السياسات لمعالجة مسائل التوثيق، يحتاجون إلى اعتماد حلول جديدة تتجنب كلمات المرور وعيوبها ويسهل على المستخدمين والموظفين استخدامها. وقدم بحثٌ جديد من “مجموعة تشيرتوف” للاستشارات الأمنية ثماني توصيات حول المصادقة للحكومات من أجل حماية أصولها في الفضاء الإلكتروني على النحو التالي:

  1. وضع خطة صريحة لمُعالجة التوثيق: يُشكل اتباع أسلوب سليم في التوثيق عنصر واحد ضمن نهج إدارة المخاطر الإلكترونية، لكن تجاهل المصادقة القوية يُفقد أي نهج فعاليته.
  2. معرفة القيود الأمنية: وتشمل فهم قيود الجيل الأول من تقنيات “التوثيق مُتعدد العوامل” مثل كلمات المرور المستخدمة لمرة واحدة، والبحث عن بدائل أكثر أمنًا مثل التشفير والاحتفاظ بمفاتيح فك التشفير على جهاز المستخدم.
  3. التأكد من مُلائمة حلول التوثيق للأجهزة المحمولة: من الضروري أن تُناسب تقنيات المصادقة المحمول ومنصاته المختلفة في ضوء انتشاره الواسع.
  4. الاهتمام بالمعايير والنتائج: ستقود الابتكارات الجديدة إلى تقنيات أفضل للتوثيق، ولذلك ينبغي على الحكومات الاعتماد على مبادئ سياسة التوثيق ولا تتجنب التقنيات الجديدة المُجربة.
  5. اختيار حلول سهلة الاستخدام لدعم انتشار “التوثيق مُتعدد العوامل”: تتسبب صعوبة الاستخدام في إحباط المستخدمين، وسيُراعي الجيل التالي من تقنيات المصادقة هذه النقطة، ويجمع بين سهولة الاستخدام والمكاسب الأمنية، وينبغي على المؤسسات الحكومية تشجيع اعتماد التقنيات الجديدة التي تُوفر الأمن وتجربة استخدام جيدة.
  6. إدراك تراجع العقبات القديمة أمام التوثيق القوي: في السابق كانت التكلفة المرتفعة هي العائق الأكبر أمام “التوثيق مُتعدد العوامل”، وتمكنت مؤسسات قليلة من تحمل تكاليف تطبيق الجيل الأول من التقنيات، لكن اليوم تُوفر عشرات الشركات تقنيات جديدة أقوى من كلمات المرور التقليدية وأسهل وأقل تكلفة.
  7. أهمية الخصوصية: تتباين حلول “التوثيق مُتعدد العوامل” في التعامل مع الخصوصية، ويُسجل بعضها خطوات المستخدمين في قواعد بيانات جديدة تُمثل خطرًا على الخصوصية ويجعلها عرضة للهجمات. وحاليًا جعلت الكثير من الشركات التي تُقدم تقنيات المصادقة الخصوصية أساسًا لتصميماتها، وتُخزّن القياسات الحيوية على أجهزة المستخدمين وتُقلل من البيانات الشخصية المُخزنة في الخوادم.
  8. استخدام مناسب للقياسات الحيوية: أتاح الانتشار الحديث لأدوات الاستشعار الحيوية في الأجهزة المحمولة خيارات جديدة للتوثيق مثل التعرف على بصمات الأصابع والوجوه، لكن من الأفضل استخدام القياسات الحيوية أو البيومترية كمرحلة ضمن “التوثيق مُتعدد العوامل”، كما ينبغي أن يتم تخزينها ومطابقتها على أجهزة المستخدمين؛ للمحافظة على الخصوصية وتجنب مخاطر الاحتفاظ بها في خوادم مركزية.

ووضع “تحالف الهوية السريعة على الإنترنت” معايير للاستفادة من الأدوات الأمنية المُدمجة في منتجات الحوسبة الحديثة ومنها الهواتف. واعتمدت شركات كبيرة هذه المعايير ومنها “جوجل” و”بنك أوف أمريكا” و”مايكروسوفت” و”فيسبوك” و”باي بال”.

وعمومًا لا تكفي أية تقنية للقضاء على مخاطر الهجمات الإلكترونية كليًا، لكن اعتماد معايير حديثة يُشكل خطوة رئيسية في سبيل الحد من مخاطر الاختراق والقرصنة. وبالنسبة للحكومات تُمثل المبادئ الثمانية السابقة أساسًا لسياسة عامة لا تُعزز الأمن الإلكتروني فقط، وإنما تكفل زيادة الثقة والخصوصية على الإنترنت.

المصدر

الصورة