كم هو اسم جميل لمن لا يعرف مضمونه. فمن لا يحب أن يكون مهندسا اجتماعيا؟ إن هذا هو أحد فروع العلوم الاجتماعية الذي يتضمن استخدام بعض الآليات والأدوات لدراسة التوجهات والميول الاجتماعية والتأثير عليها، بواسطة الدولة أو بعض المجموعات الخاصة، لمواجهة التصرفات السلبية الاجتماعية المنتشرة.
ومن العجيب أن يطلق اسم الهندسة الاجتماعية على الهجمات التي تعتمد على خداع الموظفين في داخل المؤسسات، بحيث يقومون ــ بأنفسهم وعن طيب خاطر ــ بالكشف عن المعلومات التي تمكن المهاجمين من الاستيلاء على البيانات، أو الوصول إلى النظم الحاسوبية أو الهواتف النقالة، استغلالا لطيبتهم أو نقائهم أو براءتهم.
والأعجب أن لا يوصف ذلك بأنه خسة أو نذالة أو غش... إلخ، أو أي صفة حقيقية لمن يقوم بهذا العمل، وكأنما هي متلازمة ستوكهولم ــ التي تصف حالة المرء عندما يتعاطف مع من يسيء إليه ــ هي التي تجعلنا نطلق على من يقوم بهذا العمل الدنيء لقب «مهندس اجتماعي»، وكأنما نظهر إعجابنا بما يقوم به.
إن هذا النوع من الهجمات يمكن أن يكون بسيطا للغاية أو شديد التعقيد، وهو يعتمد على أن يقوم شخص من الخارج بطلب معلومات حساسة، أو صلاحيات زائدة، من شخص يعمل من الداخل. ومن الخارج لا تعني بالضرورة أنه من غير موظفي المؤسسة، وإنما يمكن أن يكون من موظفيها، ولكنه يسعى للتحايل على سياساتها ومعاييرها.
فمنهم من يستغل رغبة الشخص في أن يكون متعاونا. فعندما يتم تدريب الموظفين الجدد في المؤسسات، فإنه يتم التركيز على الحرص على رضاء العملاء، وعلى أن المبادرة بتقديم المساعدة للآخرين هي من ضمن معايير التقييم الإيجابي. ولذا فإن العديد من الموظفين ينساقون وراء تلك التوجيهات بما يؤدي إلى التفريط في كثير من المعلومات.
كما يستغل بعض المهاجمين الميل الإنساني الطبيعي نحو الثقة في الآخرين. فالطبيعة البشرية السوية تثق في الآخر حتى يثبت أنه ليس جديرا بالثقة. فإذا أخبرنا بأن شخصا ما هو رجل محل ثقة، فإننا في العادة نقبل ذلك. ولذا فينبغي تدريب الموظفين على السعي دائما للتأكد من أن من يحصل على الثقة هو بالفعل يستحق ذلك.
وكثيرا ما نرى الرؤساء يمتعضون من مرؤوسيهم إذا استغرقوا وقتا طويلا في التحقق من هوية من يتعاملون معه من العملاء، ما قد يدفعهم للتساهل في ذلك، بدلا من التحقق من هوياتهم. بالرغم من أن المفروض أن تقوم الإدارة بدعم من يؤدون مهامهم، وفي نفس الوقت يحافظون على موارد المؤسسة المعلوماتية.
كما أن موقع المؤسسة على الإنترنت عادة ما يبوح بمعلومات كثيرة يمكن استخدامها في مهاجمة شبكة المؤسسة بواسطة هذا النوع من المهاجمين، ولذا ينبغي فحصها بدقة.
والطبيعة المهملة لبعض الموظفين تساعد المهاجمين من فئة المهندسين الاجتماعيين على اختراق الأنظمة، باستخدام كلمات المرور التقليدية.
فكلمات المرور التي يتم اقتراحها آليا في أول الاستخدام لبعض الأنظمة تكون طويلة، وبعض الأنظمة لا تطلب تغييرها، ويقوم الموظف بكتابتها مطبوعة فوق شاشة الحاسوب أو بجوارها ليتذكرها، وكله ثقة في أنه لن يجد في زملائه من يتلصص سعيا لمعرفتها، كما يقوم البعض باستخدام كلمات مرور قصيرة أو يسهل التنبؤ بها، وذلك برغم كل التحذيرات والتنبيهات بضرورة الاهتمام بكلمات المرور.
وخطورة هذا النوع من الهجمات، والذي يعتمد على الطبيعة البشرية، هو أن علامة نجاح المهاجمين، هي أنهم يحصلون على ما يريدون من معلومات دون أن تظهر أي بادرة شك من المؤسسة نحوهم.
فالمؤسسات إنما تكتشف الفاشلين منهم فقط، أما الماهرون فهم في مأمن من الاكتشاف. فلماذا يبذل المهندس الاجتماعي «النذل» جهدا في اختراق النظام بواسطة برامج خبيثة أو كاشفة لكلمات المرور أو غير ذلك، وهو يستطيع الحصول على ما يريد من معلومات، بمجرد مكالمة تلفونية مع أحد أصدقائه الذين يثقون فيه من موظفي المؤسسة، أو بمجرد المرور أمام مكاتب الموظفين الخالية لاقتناص كلمات المرور.
إن العديد من الاختراقات الأمنية هي بسبب بعض الأشياء التي قد تبدو بسيطة، ورغم ذلك فإنه يتم تجاهلها. ولا يوجد أجهزة أو برمجيات تحمي المؤسسة من هذا النوع من الهجمات؛ لذا فمن الضروري أن يتم اتباع ممارسات بسيطة وجيدة، تقلل من فرص مهاجمي الهندسة الاجتماعية، مثل طلب التحقق من هوية كل من يطلب الخدمة، ووضع نظام يحول دون الإفصاح عن كلمات المرور عبر الهاتف.
وكذا نظام يحول دون اقتناص كلمات المرور من الموظفين المهملين، واستخدام التكنولوجيا التي تقوم بإعطاء رقم تعريفي لكل متصل بمكتب الدعم الفني، هذا فضلا عن نشر أجهزة فرم المستندات الورقية في أقسام المؤسسة.
وينبغي أن ينخرط الموظفون في دورات تعليمية حول حيل المهندسين الاجتماعيين ووسائلهم، كما ينبغي تخصيص صفحة لنفس الغرض، تكون متاحة لموظفي المؤسسة فقط من موقعها على الإنترنت، ويتم تحديثها دوريا، بحيث تذكر الموظفين بحيل المهاجمين ودلالات وجودهم، والتي يمكن أن تشمل رفضهم إعطاء بياناتهم أو معلومات الاتصال بهم، والتسرع في ما يقومون به من عمليات، وإغفال ذكر الاسم، وطلب معلومات محظورة.. وغير ذلك.
إن إكساب الموظفين المعرفة، واتباعهم لسياسة أمن المعلومات هو خط الدفاع الأول في المعركة ضد المهاجمين بكل أنواعهم.
* أستاذ المعلومات ــ جامعة الملك سعود
عضو مجلس الشورى
ومن العجيب أن يطلق اسم الهندسة الاجتماعية على الهجمات التي تعتمد على خداع الموظفين في داخل المؤسسات، بحيث يقومون ــ بأنفسهم وعن طيب خاطر ــ بالكشف عن المعلومات التي تمكن المهاجمين من الاستيلاء على البيانات، أو الوصول إلى النظم الحاسوبية أو الهواتف النقالة، استغلالا لطيبتهم أو نقائهم أو براءتهم.
والأعجب أن لا يوصف ذلك بأنه خسة أو نذالة أو غش... إلخ، أو أي صفة حقيقية لمن يقوم بهذا العمل، وكأنما هي متلازمة ستوكهولم ــ التي تصف حالة المرء عندما يتعاطف مع من يسيء إليه ــ هي التي تجعلنا نطلق على من يقوم بهذا العمل الدنيء لقب «مهندس اجتماعي»، وكأنما نظهر إعجابنا بما يقوم به.
إن هذا النوع من الهجمات يمكن أن يكون بسيطا للغاية أو شديد التعقيد، وهو يعتمد على أن يقوم شخص من الخارج بطلب معلومات حساسة، أو صلاحيات زائدة، من شخص يعمل من الداخل. ومن الخارج لا تعني بالضرورة أنه من غير موظفي المؤسسة، وإنما يمكن أن يكون من موظفيها، ولكنه يسعى للتحايل على سياساتها ومعاييرها.
فمنهم من يستغل رغبة الشخص في أن يكون متعاونا. فعندما يتم تدريب الموظفين الجدد في المؤسسات، فإنه يتم التركيز على الحرص على رضاء العملاء، وعلى أن المبادرة بتقديم المساعدة للآخرين هي من ضمن معايير التقييم الإيجابي. ولذا فإن العديد من الموظفين ينساقون وراء تلك التوجيهات بما يؤدي إلى التفريط في كثير من المعلومات.
كما يستغل بعض المهاجمين الميل الإنساني الطبيعي نحو الثقة في الآخرين. فالطبيعة البشرية السوية تثق في الآخر حتى يثبت أنه ليس جديرا بالثقة. فإذا أخبرنا بأن شخصا ما هو رجل محل ثقة، فإننا في العادة نقبل ذلك. ولذا فينبغي تدريب الموظفين على السعي دائما للتأكد من أن من يحصل على الثقة هو بالفعل يستحق ذلك.
وكثيرا ما نرى الرؤساء يمتعضون من مرؤوسيهم إذا استغرقوا وقتا طويلا في التحقق من هوية من يتعاملون معه من العملاء، ما قد يدفعهم للتساهل في ذلك، بدلا من التحقق من هوياتهم. بالرغم من أن المفروض أن تقوم الإدارة بدعم من يؤدون مهامهم، وفي نفس الوقت يحافظون على موارد المؤسسة المعلوماتية.
كما أن موقع المؤسسة على الإنترنت عادة ما يبوح بمعلومات كثيرة يمكن استخدامها في مهاجمة شبكة المؤسسة بواسطة هذا النوع من المهاجمين، ولذا ينبغي فحصها بدقة.
والطبيعة المهملة لبعض الموظفين تساعد المهاجمين من فئة المهندسين الاجتماعيين على اختراق الأنظمة، باستخدام كلمات المرور التقليدية.
فكلمات المرور التي يتم اقتراحها آليا في أول الاستخدام لبعض الأنظمة تكون طويلة، وبعض الأنظمة لا تطلب تغييرها، ويقوم الموظف بكتابتها مطبوعة فوق شاشة الحاسوب أو بجوارها ليتذكرها، وكله ثقة في أنه لن يجد في زملائه من يتلصص سعيا لمعرفتها، كما يقوم البعض باستخدام كلمات مرور قصيرة أو يسهل التنبؤ بها، وذلك برغم كل التحذيرات والتنبيهات بضرورة الاهتمام بكلمات المرور.
وخطورة هذا النوع من الهجمات، والذي يعتمد على الطبيعة البشرية، هو أن علامة نجاح المهاجمين، هي أنهم يحصلون على ما يريدون من معلومات دون أن تظهر أي بادرة شك من المؤسسة نحوهم.
فالمؤسسات إنما تكتشف الفاشلين منهم فقط، أما الماهرون فهم في مأمن من الاكتشاف. فلماذا يبذل المهندس الاجتماعي «النذل» جهدا في اختراق النظام بواسطة برامج خبيثة أو كاشفة لكلمات المرور أو غير ذلك، وهو يستطيع الحصول على ما يريد من معلومات، بمجرد مكالمة تلفونية مع أحد أصدقائه الذين يثقون فيه من موظفي المؤسسة، أو بمجرد المرور أمام مكاتب الموظفين الخالية لاقتناص كلمات المرور.
إن العديد من الاختراقات الأمنية هي بسبب بعض الأشياء التي قد تبدو بسيطة، ورغم ذلك فإنه يتم تجاهلها. ولا يوجد أجهزة أو برمجيات تحمي المؤسسة من هذا النوع من الهجمات؛ لذا فمن الضروري أن يتم اتباع ممارسات بسيطة وجيدة، تقلل من فرص مهاجمي الهندسة الاجتماعية، مثل طلب التحقق من هوية كل من يطلب الخدمة، ووضع نظام يحول دون الإفصاح عن كلمات المرور عبر الهاتف.
وكذا نظام يحول دون اقتناص كلمات المرور من الموظفين المهملين، واستخدام التكنولوجيا التي تقوم بإعطاء رقم تعريفي لكل متصل بمكتب الدعم الفني، هذا فضلا عن نشر أجهزة فرم المستندات الورقية في أقسام المؤسسة.
وينبغي أن ينخرط الموظفون في دورات تعليمية حول حيل المهندسين الاجتماعيين ووسائلهم، كما ينبغي تخصيص صفحة لنفس الغرض، تكون متاحة لموظفي المؤسسة فقط من موقعها على الإنترنت، ويتم تحديثها دوريا، بحيث تذكر الموظفين بحيل المهاجمين ودلالات وجودهم، والتي يمكن أن تشمل رفضهم إعطاء بياناتهم أو معلومات الاتصال بهم، والتسرع في ما يقومون به من عمليات، وإغفال ذكر الاسم، وطلب معلومات محظورة.. وغير ذلك.
إن إكساب الموظفين المعرفة، واتباعهم لسياسة أمن المعلومات هو خط الدفاع الأول في المعركة ضد المهاجمين بكل أنواعهم.
* أستاذ المعلومات ــ جامعة الملك سعود
عضو مجلس الشورى