إسلام فضل وإسلام سالم _ أصبحت عملية التأمين في عمليات التحول الرقمي أكثر تعقدًا وتحتاج إلى تطبيق مفهوم “Zero Trust” أو البيئة الخالية من المخاطر، وهو ما تم مناقشته، اليوم الثلاثاء، خلال جلسة “بنية خالية من المخاطر وأمن المعلومات” المقامة ضمن فعاليات معرض القاهرة الدولي للتكنولوجيا.
من جهته قال سامح إمام، المهندس الاستشاري لأمن المعلومات بشركة سيسكو، إن “مفهوم البنية الخالية من المخاوف الأمنية (زيرو تراست) أن أهميته تضاعفت بعد أحداث جائحة كورونا، واتجاه العديد من الأفراد والمؤسسات للعمل عن بُعد من المنزل أو من أي مكان خارج نطاق المؤسسة”، مشيرًا إلى أن “فكر الزيرو تراست هو طريق تشغيل مخطط العمل بها سابقًا وخلال الفترة الراهنة”.
وأضاف إمام، أن “أهم مبادئ الزيرو تراست الإجابة عن التساؤلات التالية ما الأشياء المتصلة بالشبكة؟، ومن الأشخاص المتصلين بالشبكة؟، وماذا يحدث داخل هذه الشبكة؟”.
وأوضح أن “أهم عنصر من عناصر منظومة التأمين هو العنصر البشري، ومازال هذا القطاع يحتاج مزيد من المتخصصين في المجالات الأمنية”، مشيرًا إلى أن “دراسة حددت عدد الكوادر المتخصصين في مجال الأمن الرقمي في ظل التحول الرقمي الذي يحدث على مستوى العالم أن هذا التحول يحتاج إلى مليون متخصص في 2020، وحتى الآن لم يصل العالم إلى ربع هذا الرقم وما زال العالم في احتياج إلى كوادر متخصصين في مجال أمن الشبكات والإنترنت والبيانات”.
من جانبه، قال الدكتور محمد عبد الفتاح، مسؤول الحماية الرقمية في شركة “فورتينت”، إن “زيرو تراست أو البيئة الخالية من المخاطر هي الوصول لشخص أو جهاز أو نظام ومن الذي له حق الدخول على هذا النظام”، مشيرًا إلى أن “أحد أهم المشكلات التي تواجه هذا المفهوم هو أن معظم المستخدمين يتعرضون إلى ما يعرف بـ”هجمات فيشنج” خاصة بعد تزايد الأعمال عن بُعد”.
وأضاف “عبدالفتاح” أن “الزيرو تراست للشبكات أحد المصطلحات، الذي ظهرت في عملية التأمين، والتي توفر الحماية سواء كان المستخدم فعال “on” أو أثناء عدم استخدام الشبكة “off”، كما أن كل الاستخدامات الخاصة بالمستخدمين لابد من التحكم فيها بشكل كامل فضلًا عن تكامل المنظومة مع بعضها، وهو أحد أهم الأولويات في عملية الحماية”.
وقال مارك كامل، رئيس الخدمات الاحترافية بشركة “UC Solutions” إن “من ضمن أهم المشكلات تصور البعض بتعقد أدوات التأمين، وبالتالي التوعية بأن هذا الإجراء ضروري ومهمة لأي منظومة رقمية، فضلًا عن أن فكرة التأمين الكامل هو أمر مستحيل، وبالتالي يجب التركيز على التوعية بعدم التعامل مع أي شئ غير معروف على الشبكة”.
وأضاف “كامل”، أنه “خلال العامين السابقين ظهرت بعض التحديات أهمها أن مُصنعي التطبيقات أحيانًا لا يشعرون بأن الحماية ليست طوال الوقت، وبالتالي لابد أن تكون هذه المنظومة مرنة، بحيث توفر الحماية طوال الوقت، بجانب تعليم المستخدم على تحديث النظام الأمني للشبكات، وهناك معايير كثيرة لهذه الحماية أهمها التحديث المستمر للنظام الأمني المستخدم”.
وقال شريف الديب، مسؤول أمن المعلومات في مايكروسوفت الشرق الأوسط، إن “التأمين هي منظومة ديناميكية متكاملة تشمل التطبيقات والبرامج والبنية التحتية وبناءً على كل عنصر من هذه العناصر يتم الإجراء الأمني اللازم لكل عنصر”، مشيرًا إلى أن “أكثر مشكلة تواجه مفهوم الزيرو تراست هو عدم المعرفة والوعي الكافي بهذا الفكر المعروف في الأوساط التكنولوجية فقط ومن جانب المتخصصين، ولكن بالنسبة للمستخدمين فإن الأمر يحتاج إلى مزيد من التوعية”.
بينما أكد مؤمن المهندس، مدير قنوات البيع بشركة “RSA”، أن “تطبيق هذا الفكر هو الاحتياج إلى أدوات تساعد في الدخول على الشبكة من أي مكان، فالأمر اختلف وأصبح لا يحتاج فقط إلى اسم مستخدم وكلمة مرور لتوفير الحماية اللازمة، بل يحتاج القدرة في التحكم في كل عناصر الأمن داخل المؤسسات المختلفة.
أضاف أن أنظمة التأمين تتيح تحديد من له الحق في الدخول على الشبكة، والمهام المتاحة له داخل هذه الشبكة”، مشيرًا إلى أن “أهم مشكلة تواجه هذا الفكر هو أن العملاء ليس لديهم المعرفة الكافية بمفهوم الزيرو تراست، وبالتالي لابد من تحديد عدة عناصر مهمة مثل تحديد من يدخل على الشبكة، والأجهزة المتاحة لها الدخول، والتطبيقات المستخدمة في كل شركة تبحث عن تحقيق الزيرو تراست”.
وتساءل أحمد أشرف، استشاري أمن المعلومات بشركة “كاسبرسكي” قائلًا: “لماذا زيرو تراست؟، وأجاب بأنه نظرًا لتطوير المنظومة الرقمية، والدخول على الشبكات أصبح من أي مكان عن طريق أنظمة الحوسبة، وبالتالي تعقد عملية التأمين الخاصة بهذه الشبكة، وهناك أنظمة عديدة يمكن استخدامها للتأمين بما يتناسب مع المستجدات الراهنة، مثل تطبيق البيئة الخالية من المخاطر “زيرو تراست”، مشيرًا إلى أن “هذا المفهوم ظهر من فترة كبيرة، وليس جديدًا، ولكن كان هناك صعوبة في تطبيقه في السنوات السابقة”.
وأوضح “أشرف” أن “تحقيق الزيرو تراست يحتاج إلى وقت كبير لتطبيقه، وعلى سبيل المثال نفذت شركة “جوجل” هذا الفكر على مدار سبع سنوات الأمر الذي يوضح حجم المجهود الذي يحدث لتحقيق هذا الفكر”.
وحدد حاتم شريف، كبير مستشاري الحلول الأمنية بشركة “أورنج” عدة عناصر لتحقيق مفهوم الزيرو تراست، قائلًا: ” الأول الشبكة، والثاني المستخدمين الذين لديهم الوعي الكافي بهذا الفكر، والثالث عنصر الداتا داخل الشبكة، والرابع المرونة والقدرة على التحليل، كما أن الأجهزة تعتبر جزءًا مهمًا وتشمل أجهزة الكمبيوتر والطابعات وأي أجهزة متصلة بالشبكة قد تمثل خطر عليها”، مشيرًا إلى أن “الدولة لديها توجه بكل قطاعاتها للتحول الرقمي، وبالتالي التحدي القادم في هذا التوجه هو الديناميكية المناسبة من الناحية الأمنية لتطبيقات التحول الرقمي والتطبيقات التي تتحد مع بعضها”.
وقال حسن مراد، مسؤول خدمات أمن المعلومات بشركة “IBM مصر” إن “الدافع الأساسي لمفهوم الزيرو تراست هو التحول الرقمي والدخول الكثيف على الشبكات الرقمية، وهو الأمر الذي دفع فكر البيئة الآمنة والخالية من المخاطر”، مشيرًا إلى أن “الركائز الأساسية لتطبيق البيئة الخالية من المخاطر هي فهم ما يتم حمايته من بيانات ومن المستخدمين للشبكة المراد حمايتها، ومن المستهدف من هذه الشبكة، فضلاً عن فهم السلوك والتوجهات داخل الشبكة، ثم يأتي دور الأدوات والأتوميشن أو الميكنة”.
وأضاف “مراد” أن “أهم عوامل النجاح في تحقيق الزيرو تراست هو تحديد الهدف المطلوب من تحقيق ذلك بناءً على حجم المؤسسة واحتياجاتها، كما أن التأمين منظومة متكاملة تشمل التكنولوجيا، ولكن الأهم العنصر البشري وتحديد الهدف من التأمين”.
وقال وليد عقل، استشاري الحوسبة السحابية بشركة “في إم وير”، إن “الوجه الثاني لمفهوم الزيرو تراست هو التطبيقات التي اختلفت كثيرًا عن السابق، وتحولت هذه التطبيقات من تطبيقات ضخمة إلى تطبيقات عديدة وبسيطة في الاستخدام، وكلها موجودة في المنصات السحابية المختلفة”، مشيرًا إلى أنه “بالتالي فإن السؤال الواجب الإجابة عليه حاليًا هو كيف يمكن تحقيق البيئة الآمنة في ظل هذا التنوع والتعدد في التطبيقات والمنصات وهو الأمر الذي يجب تأمينه”.