منى عوض لـ «الراي»: ضعف كلمة المرور من أكبر أسباب الاختراقات
«تقنية المعلومات» تحذر من خطورة برامج التجسس
- يمكن الاختراق عن طريق الإيميل المرتبط بالحساب
- برامج المطابقة تستخدم قاعدة البيانات حتى تحصل على كلمة السر
- وجود بيانات موثقة للحساب تسهل التواصل مع الفنيين لاستعادة الحساب
تفاعلت الجمعية الكويتية لتقنية المعلومات مع التقرير الذي نشرته «الراي» في 30 مارس الماضي، في أعقاب اختراق حساب وزارة التربية في موقع التواصل الاجتماعي «تويتر»، محذرة على لسان عضو مجلس إدارة الجمعية منى عوض من أنه يمكن تهكير بعض الحسابات من خلال «برامج التجسس أو برامج المطابقة التي تقوم بمطابقة قاعدة بيانات كلمات السر إلى أن تتم مطابقة كلمة السر، وكذلك برامج تخمينية تقوم بإرسال كلمات السر والمفاتيح الخاصة بالحسابات، إما عن طريق تنزيلها على الهاتف وإما الكمبيوتر وترسل للمخترق، فضلاً عن برامج تكون جزءاً من برامج أخرى غير موثوقة يقوم المستخدم بتثبيتها على جهازه تعمل على اختراق الحسابات أيضا بواسطة روابط أو تغريدات أو أخبار ملفتة للنظر لفيروسات، بمجرد الضغط عليها يتم تثبيت برامج التجسس تلقائيا على الهاتف، ومنها يقوم البرنامج بالتقاط كلمة السر الخاصة وارسالها للمخترق».
وحذرت عوض من «إمكانية الاختراق من قبل الإيميل المرتبط بالحساب، وضعف كلمة المرور الذي يعد من أكبر أسباب الاختراقات، وانتشار كلمة المرور بين موظفي المؤسسة الحكومية مما يسبب سهولة تسريبها أو اختراقها، واستخدام الجهاز الشخصي للموظف في إدارة الحسابات الحكومية».
وحول كيفية استعادة الحساب الحكومي المخترق، أكدت عوض أنه «من الضروري وجود خطوات استبقيةة لاستعادة الحساب الحكومي وذلك من خلال وجود بيانات موثقة لسهولة التواصل مع مسؤولي الدعم الفني في وسائل التواصل الاجتماعي، ليتم تعليق الحساب حتى تتم معالجة الأمر واسترداد الحساب»، مؤكدة وجود عدد من الإجراءات المهمة لتطوير نظام الأمان الداخلي سواء للفرد أو المؤسسة الحكومية عبر ادارة كلمات المرور، ومنع الوصول المباشر إلى البيانات وتشمل:
- «قفل» الحساب في واجهة المستخدم Profile Lock ويتم اغلاق الحساب ومنع النشر في المستقبل.
- اختيار سياسة (حظر جميع التطبيقات) لأي حسابات تم اختراقها.
7 إجراءات لحماية الحسابات الحكومية
أكدت عوض أنه مع استمرار جائحة فيروس كورونا والاعتماد على العالم الافتراضي بالعمل والتعليم ووسائل التواصل الاجتماعي، يجب القيام بسبعة إجراءات لحماية الحسابات الحكومية من الاختراق مستقبلاً، هي:
1 - ضوابط الأمن السيبراني (Cybersecurity Controls) ونشرها بالمؤسسات الحكومية والاجتماعية.
2 - تطبيق بروتوكول (TLP) لإدارة معلومات الحسابات الحكومية من حيث مشاركة المعلومات السرية.
3 - توعية وتدريب موظفي الدولة بآلية حماية الحسابات الحكومية.
4 - توافر معلومات محدثة حول أنواع الأنشطة الأمنية عالية التأثير التي تؤثر على المجتمع ككل.
5 - توافر معلومات في الوقت المناسب حول مشكلات الأمان الحالية ونقاط الضعف والاستغلال.
6 - تقديم ملخصات أسبوعية عن نقاط الضعف الجديدة. يتم توفير معلومات التصحيح عند توافرها.
7 - توفير تحليل متعمق للتهديد السيبراني الجديد أو المتطور.