أمن البيانات هو عملية لحماية الملفات وقواعد البيانات والحسابات على شبكة الانترنت؛ من خلال اعتماد مجموعة من الضوابط والتطبيقات والتقنيات التي تحدد الأهمية النسبية لأنواع البيانات المختلفة وحساسيتها، ثم تطبيق الحماية المناسبة لتأمينها.

كيف نعرف الأهمية النسبية لأنواع البيانات وحساسيتها؟

تصنيف المعلومات لأنواع بناءً على مدى حساسيتها هو عملية تقوم بها المنظمات الدولية، بحيث تقوم بتقييم البيانات التي تحتفظ بها ومستوى الحماية الذي يجب توفيره. عادةً ما تصنِّف المنظمات المعلومات من حيث السرية – أي من يُمنح حق الوصول لرؤيتها. 

ويتضمن النظام النموذجي العالمي أربعة مستويات من السرية:

1- سري
حق الوصول: الإدارة العليا فقط لها حق الوصول.
مثل: أرقام الضمان الاجتماعي، أرقام بطاقات الائتمان، السجلات الصحية، السجلات المالية، سجلات الطلاب.

2- محظور
حق الوصول: معظم الموظفين لديهم حق الوصول.
مثل: العنوان، تاريخ الميلاد، تاريخ الوفاة، الجنس، عنوان البريد الإلكتروني والويب.

3- داخلي
حق الوصول: جميع الموظفين لديهم حق الوصول.
مثل: بيانات التوظيف العامة (على سبيل المثال المرتب), معلومات شريك العمل في حالة عدم وجود اتفاقية سرية أكثر تقييداً، والعقود.

4- عام
حق الوصول: كل شخص لديه حق الوصول.
مثل: بيان صحفي منشور على الملأ، مواد التسويق المتاحة للجمهور، إعلانات الوظائف المنشورة علناً.

العناصر الأساسية لأمن البيانات:

مفهوم أمن المعلومات لأي تطبيق أو موقع أو برنامج يقتصر على عدة عناصر يجب أن تكون متوفرة ليتم اعتباره آمنا

١- العنصر الأول وهو Confidentiality (السرية أو مدى الثقة) والذي اذا تحقق، يعني انه يستحيل لأي إنسان أو جهاز الوصول للمعلومات والبيانات السرية الغير مصرح بها.

٢- العنصر الثاني وهو Integrity (النزاهة) والذي إذا تحقق يعني انه يمنع التعديل والتغيير في البيانات الموجودة نهائياً، أي ضمان موثوقية البيانات ودقتها.

٣- العنصر الثالث وهو Availability (التوفر) والذي يعني أن الوصول للبيانات المستخدمة في أي خدمة أو عملية من خلال الإنترنت، يجب أن تكون متوفرة على مدار الساعة عند طلبها من غير توقف أو التسبب بعدم القدرة للوصول لها.

٤- العنصر الرابع وهو Authenticity (الصحة والموثوقية) وهو العامل الذي يتحقق من هوية المستخدم من خلال رمز يرسله الى رقم هاتفه، أو بصمة اصبعه أو بصمة وجهه أو إرسال ايميل إلى بريد المستخدم، لضمان عدم سرقة الحسابات وبالتالي عدم سرقة البيانات.

٥- العنصر الخامس (Accountability / non-repudiation) (الاعتماد أو المسؤولية أو عدم التنصل) يعني ان البرنامج يجب أن يكون قادراً على اثبات تورط كيان معين في التسبب في حدث معين من غير التنصل من هذه المسؤولية.


إذاً كيف يتم تطبيق الحماية المناسبة لتأمين البيانات؟

يعتبر الإخلال بتوفر أحد العناصر المذكورة أعلاه سبباً كافياً للقول أن البيانات ليست آمنة، فلكل عنصر أهميته ودوره الرئيسي في حماية البيانات وحفظ خصوصيتها وسلامتها.

فالعنصر الأول “السرية” هو أكثر عنصر يسبب مشاكل وقضايا قانونية لدى الشركات الكبرى، فوجود أي ثغرة تسمح لأي متطفل الوصول لبياناتها وسرقتها سيؤدي حتماً للإخلال بتحقيقه، وإذا كانت لدى المخترقين القدرة على تغيير أو تعديل قيم هذه البيانات فسيختل تحقيق العنصر الثاني “النزاهة”، أما بخصوص العنصر الثالث “التوفر”، فمن الممكن أن يقوم المخترقون بحملات اختراق تؤدي الى عدم توفر الخدمات أو قد تؤدي إلى حجبها عن الاستخدام فتصبح غير متوفرة للمستخدم، وقد يقوم المخترقون بذلك عن طريق نوعين من الهجمات، وهي: ‏DoS attack و DDoS attack.

اولاً، DOS اختصار لـ Denial of Service:

 وتعني حجب الخدمة: يؤدي لتوقف خدمة معينة فمثلا توقف خدمة HTTP في خادم الويب يعني توقف تصفح المواقع… وتوقف خدمة FTP اذا توقفت لا تستطيع الاتصال بـ بروتوكول نقل الملفات الخاص بالخادم.

ويتم تنفيذ هجوم DOS Attack باستخدام عدة تقنيات، منها ارسال استعلامات بشكل هائل أو عبر ثغرات؛ مثل ثغرة Apache http Remote Denial of Service (memory exhaustion).

 

ثانياً، DDOS اختصار ل Distributed Denial of service Attack: 

وتعني حجب الخدمة الموَزع، من كلمة موزع نستطيع أن نتخيل أن الهجوم يتم من عدة مصادر وليس من مهاجم واحد فقط، وذلك يعني أنه يتم الهجوم من عدة مهاجمين في نفس الوقت أو باستخدام Botnet (هي عدد من الأجهزة المتصلة بالإنترنت، كل منها يشغل روبوتاً افتراضياً واحداً أو أكثر)

بحيث المهاجم برسل أوامر لهذه الروبوتات الافتراضية لتنفيذ هجوم حجب الخدمة مثلا HTTP Attack بحيث تقوم كل الروبوتات المتصلة بأرسال HTTP Request الى الخادم المستهدف في آن واحد وتؤدي هذه العملية الى توقف الخادم وعدم مقدرته على الاستجابة للطلبات الأخرى.

أما بخصوص العنصر الرابع “الموثوقية” فهو العنصر الذي نراه يتطور لدى الشركات الكبرى بشكل مستمر، حيث بدأ قديماً بالسماح للمستخدم الحصول على كلمة مرور لا يعرفها غيره، ثم إرسال رمز إلى رقم المسخدم أو بريده الإلكتروني للتحقق من هويته في حالة نسيانه لكلمة المرور أو ادخالها بشكل خاطئ، وهي طريقة مستخدمة حتى اليوم في بعض التطبيقات، وهنالك العديد من التقنيات الحديثة التي تستخدم لتحديد هوية المستخدم وموثوقيته في أيامنا هذه، كطرق التأكيد الفسيولوجية: وهي المتعلقة بالملامح الشكلية “الثابتة والتي لا تتغير” المرتبطة بشخص ما، على سبيل المثال: بصمة الإصبع وبصمة الوجه وبصمة العين، والحمض النووي. وطرق التأكيد السلوكية: وهي المتعلقة بسلوك خاص جداً بشخص ما، على سبيل المثال التوقيع، المشية، والصوت، لكن رغم تطور هذه التقنيات فهي أحياناً تفشل في تحقيق وجود عنصر الموثوقية، فهنالك مخترقون يمكنهم الوصول لكلماتك السرية وبياناتك الخاصة والوصول الى حساباتك، وهناك ايضا ثغرات عدة في تقنيات تأكيد الموثوقية، كعدم قدرة بصمة الوجه على التمييز بين الأشخاص المتطابقين والتوائم.

وأخيراً العنصر الخامس “عدم التنصل” فالعديد من الشركات والمنظمات لا تستطيع تحديد من المسؤول عن تسريب بعض البيانات، أو كيف تم اختراقها أو التعديل عليها أو حتى معرفة مكان تخزينها، وهنا تكون قد أخلت بتوفير هذا العنصر الذي حتماً لو كان متوفراً فلن يلدغون من الجحر مرتين، وستبقى بياناتهم آمنة.

وهكذا نكون قد عرفنا أنواع البيانات ومدى حساسيتها، وكيف يمكن اختراقها  وما هي العناصر الرئيسية لتحقيق حمايتها.