|
|
الكاتب مركز التميز لأمن المعلومات
|
|
الثلاثاء, 09 فبراير 2010 10:37 |
|
قد يطرأ على من يقرا هذه المقالة للوهلة الأولى بأن كاتبها شديد الحذر أو أنة مصاب بـ "فوبيا المعلوماتية"، قبل أن أبدا بسرد قصتي القصيرة أحب أن أذكر المثل القائل " لا تحقرن صغيرةً..إن الجبال من الحصى" وأيضا لا ننسي أن النار من مستصغر الشررٍ .
قصتي بدأت وانتهت في لحظات واقفاً أمام المحاسب في أحد المتاجر الكبرى بمدينة الرياض ، عند استلامي الإيصال بعد أن قمت بعملية الدفع عن طريق البطاقة الائتمانية إذ أنا أتفاجأ بأن جميع معلوماتي الخاصة بالبطاقة مطبوعة على ورقة الإيصال!
قد تكون القصة سخيفة نوعاَ ما ، لكن هي تحمل في طياتها مخاطر معلوماتية في غاية الأهمية.
هل تعلم أن جرائم الاحتيال في الوقت الراهن قائمه على سرقة المعلومات المتعلقة ببطاقات الائتمان، هناك خسائر تقدر بـ 380 مليون دولار للعام المنصرم في منطقة الخليج العربي ناتجة عن جرائم الاحتيال المالية.
أيضاَ وفي العام الماضي نفسه أعلنت السلطات الأمريكية عن كشف عملية قرصنة وسرقة معلومات طالت أكثر من 130 مليون بطاقة ائتمان!
السؤال هنا ، كيف تتم استخدام هذه المعلومات في عملية الاحتيال؟ وللإجابة على ذالك نقول بأنة يتم الاحتيال بعدة طرق كثيرة نذكر منها التالي:
• استخدام المعلومات وإصدار بطاقة منسوخة غير شرعية واستخدامها في عمليات الشراء المباشر.
• الهندسة الاجتماعية للحصول على معلومات إضافية وتفصيلية أكثر عن صاحب البطاقة.
قد يكون هناك عمليات قرصنة واحتيال وسرقة للمعلومات الائتمانية لم نذكرها لكن الأهم من ذلك "الوقاية" بأتباع التالي:
|
|
|
الكاتب مركز التميز لأمن المعلومات
|
|
الأحد, 07 فبراير 2010 15:09 |
|
أقرت فرنسا في بداية فبراير من 2010 قانونا جديدا لحماية حقوق الملكية الالكترونية, القانون الذي عارضه الكثيرين .. حيث ينص القانون على انه في حال اتهامك من قبل أي جهة بأنك تستعمل برامج مقرصنة و غير أصلية, فانه سيتم توجيه تحذير لك من قبل مزود خدمة الانترنت عبر البريد الالكتروني, وفي حال عدم التجاوب يرسل لك تحذير بالبريد المكتوب. أما الخطوة الثالثة فهي استدعائك لحضور محاكمة قد يحكم فيها القاضي بفصلك من الانترنت وحرمانك من خدمات الانترنت.
يرى الكثير من الخبراء إن هذا القانون قد يقلل الكثير من استخدام البرامج المقرصنة. ولكن بنفس الوقت يرون انه مجحف بعض الشيء فالاتهام قد يكون خاطئ, ويرون انه لا حق لإنذار أو إيقاع عقوبة إلا بعد التأكد من الجرم لا فقط الاتهام بالجرم. ثم إنهم أيضا يؤكدون قسوة العقوبة, ويرى البعض أنها قد تكون مستحيلة التطبيق, حيث يرى الكثير أن الانترنت أصبحت من الضروريات في حياتنا هذه الأيام, وحرمان شخص من حقه بالانترنت كحرمانه من الكهرباء.
فهل يا ترى سيكون هذا عقابا رادعا؟ وهل هو منطقي؟ و هل فعلا سيتحاشى الفرنسيون استخدام البرامج المقرصنة و سيصرفون مبالغا لشراء البرامج الأصلية لتحاشي عقوبة حرمان الانترنت.
الجدير بالذكر أن الإمارات العربية المتحدة و الأردن تدرس تطبيق هذا القانون. |
|
الكاتب Khaled Alghathbar
|
|
الثلاثاء, 28 يوليو 2009 13:11 |
|
هناك أخطاء شائعة بين الطلاب سأتناول بعضها في هذا المقال و اعلق عليها و أتمنى من الاخوه و الأخوات التعليق
أولا : مستقبل خريج كليات الحاسب إما البرمجة أو الشبكات .
هذا ليس صحيح ، اعرف طلاب تخرجو و سلكوا طريق التسويق أو إدارة المشاريع أو المبيعات أو امن المعلومات و غيرها من التخصصات قدر يراها البعض بعيده عن ما درسه في الحاسب . الحقيق هان ما تعلمه هو مجرد فتح الأبواب و تسليط ضوء على معلومات و أدوات و مهارات و علوم أنت من تقرر ماذا تفعل بها و من ضمن التخصصات التي يمكن للطالب التركيز عليها هي :-
أ – إدارة المشاريع ( وهو مطلوب في سوق العمل لمن لديه مهارة الإدارة و التخاطب وحل المشاكل و التخطيط)
ب- امن المعلومات ( وهو كذالك مطلوب )
جـ - التخطيط و التحليل (لمن لديه موهبة التخطيط و التفكير العميق )
ء – أدارة الأنظمة ( الخوادم ، مركز المعلومات ، الحواسب الشخصية )
هـ - الإدارة (لمن يحسن إدارة فرق العمل و التخطيط و المخاطبة السليمة )
ثانيا : ما يتعلمه الطالب في الجامعة هو ما يطبق في سوق العمل .
هذا ليس صحيح ما تتعلمه في الجامعة اقرب للجانب النظري منه للجانب الشخصي فبيئة العمل ليست محاضرات و واجبات و حضور و انصراف
بيئة العمل : فرق عمل ، قواعد ، مدير ، زملاء ، مشاريع حساسة ، مواعيد تسليم نهائية ، انضباط و غيرها .
نصيحتي للطالب إن يستثمر فيصل الصيف و كذالك أي وقت خلال العام الدراسي للعمل في بيئات عمل فعليه العمل و الاستفادة منها وهذا التنويع بدون كثرة سوف تستفيد الكثير من الفوائد منها : الاستمتاع بالمواد الدراسية لأنك سوف تربط بينها و بين ما تراه في العمل ، سوف تتفوق على زملائك عند التقديم على العمل بعد التخرج لأنك أظهرت انك لديك خبره سابقه و أظهرت أيضا انك إنسان تستغل الوقت و تدير عده أمور في نفس الوقت و تعمل تحت الضغط.
أيضا : حاول الحصول على شهادات مهنية معروفه مثل ما تقدمه شركة مايكروسوفت أو أراكل أو سيسكواو غيرها في الشهادات العملية
كذالك انصح أخي الطالب بالالتحاق بدورات في فن الاتصال و التسويق و إدارة الوقت و غيرها من الشهادات
ثالثا مهارتي و موهبتي يعرفها سوق العمل
لا احد يعرف مهارتك و موهبتك إلا أنت فعليك إبرازها .
و من طرق إبرازها
أ – إيضاحها في السيرة الذاتية و بدلائل واضحة.
ب – شهادات مهنيه
جـ - خبره عمليه
ء – التقديم على منظمات.
هـ العمل في شركات تقدم خدمات متميزة ، قد يكون المردود المادي اقل في السوق لكن مستوى الخبرة التي قد تخرج منها لا يقدر بثمن و قد تستقطبك جهات باضعاف راتبك لأنك أصبحت تتقن مهارة مطلوبة.
رابعا : من يبحث عن اعلي راتب :
قد تحب العمل في منظمه تقدم لك راتب مغريا لكن قد لا تفيدك في حياتك العملية و العكس قد يكون صحيح و ابحث عن البيئة العملية المناسبة التي تصقل مواهبك و تنميتها ولا يكون الراتب اعلي أولوياتك خاصة في أول أربع سنوات لأنك قد تحصل على ثلاث إضعاف راتبك بعد أربع سنوات من العمل المتميز في منظمه أخرى
أتمنى التوفيق لإخواني و أخواتي الطلاب. |
|
الكاتب Khaled Alghathbar
|
|
الثلاثاء, 28 يوليو 2009 13:06 |
|
استكمالا لموضوع سابق حول أفضل التخصصات لطالب الحاسب الآلي أبين في هذا المقال لمحه سريعة عن تخصص امن المعلومات .
لماذا تخصص امن المعلومات مطلوب ؟
لا اتوقع احد يشك في ذلك خاصة في المنظمات الحساسة
(س) كيف يمكن إن أتخصص في امن المعلومات؟
(جـ) - التخصص في امن المعلومات يعتمد على تخصصات أخرى مثل الشبكات والبرمجة وغيرها والأفضل إن يتمكن الشخص المهتم في امن المعلومات بأساسيات الشبكات و إدارة الأنظمة لكي يتخصص في مجال امن المعلومات.
(س) ما هي أفضل الشهادات المهنية المتخصصة في امن المعلومات؟
(جـ) هناك شهادات أمنيه عديدة مخصصه في امن المعلومات، منها ما هو مبني على تقنية شركة محددة و منها ما هو عام، وانصح المبتدئ بالحصول على شهادة Security+ بعدها و حسب ميول الشخص يمكن الحصول على شهادة متخصصة أخرى.
)س( هل مجال امن المعلومات ينحصر في حماية الشبكات فقط ؟
لا هناك عدة مجالات غير حماية الشبكات مثل:
- البرمجة الأمنية
- - اكتشاف الثغرات
- إدارة امن المعلومات
- حماية الانظمة
هناك دراسة أجراها معهد سانز SANS لأفضل وظائف امن المعلومات ، يمكنكم الاطلاع عليها من خلال الرابط التالي:
The 20 Coolest Jobs in Information Security
|
|
الكاتب Khaled Alghathbar
|
|
الثلاثاء, 28 يوليو 2009 13:01 |
|
بحكم تدريسي في الجامعة واختلاطي بالطلاب، يسألني بعض المتحمسين من الطلاب ويستشيرني في أفضل التخصصات في الحاسب لكي يركز عليها !
قبل إن أشجعه على التخصص في امن المعلومات استفسر أولا عن ميول الطالب ونقاط القوه لديه، إذا كان الطالب يحب البرمجة ويتمتع بها فالأفضل له إن يستمر في تطوير هذا المهارة، لأنها
أولا:- مطلوبة
ثانيا :- ليس كثير من الطلاب يتقبلونها و يحبونها
ثالثا :- إتقانه لها و تطوير ذاته فيها سوف تكون أسهل من من لا يحبها أو لا يجيدها. خلاصه الكلام غرد أمام السرب.
قد يخالفني احدهم و يقول إن السوق لا يحتاج أو يقدر المبرمج، وارد عليه إن هذا الكلام صحيح نوع ما في حال لم يجد الطالب المنظمة التي تقدر موهبته ( والحقيقة أن هناك منظمات تقدر هذه الموهبة).
ولكن في حال لم يجد من يقدر هذه الموهبة فعلى الأقل يستطيع الطالب أن يستغل أول سنين عمله في عمل تقني يحبه. و البرمجة مهارة، يستمتع بها الصغير و يمل منها الكبير ومرور الشخص بخبرة في أول مشواره العملي يضفي له عمق و تقدم نسبي على اقرأنه.
ارجع و اذكر القارئ الكريم أني لا أشجع إن يكون ذلك لجميع طلاب كليات الحاسب ولكن عنيت كما ذكرت سابقا من لديه ميول أو حب للبرمجة على سبيل المثال وكذلك لمن يحب الشبكات فعليه التخصص في الشبكات و هكذا.
لا تغرد مع السرب ولا خارج السرب بل أمامه !
ابحث عن موهبتك و هوياتك لأنها تسهل عليك التميز .
سأتناول موضوع تخصص امن المعلومات في مقاله أخرى إن شاء الله ... الآن فكر في موهبتك ! بالتوفيق. |
|
الكاتب Khaled Alghathbar
|
|
السبت, 18 يوليو 2009 13:35 |
|
يسعدنا أن نطلق مشروع رائد جديد يهدف إلى زيادة مستوى التوعية بأمن المعلومات و هذه المرة تم التركيز على أبناءنا و بناتنا و مستقبلنا .
لقد أطلقنا سلسلة من القصص القصيرة و التي تتناول جوانب مهمة في امن المعلومات مثل الاستخدام الأمثل لكلمات المرور و حماية الأجهزة و الملفات و غيرها من النصائح و لكن بشكل عفوي و في سياق قصه مشوقه خصصت للشباب في الأعمار 12-23 سنه
ألف هذه القصة كل من الأستاذ حسام يوسف و د. خالد الغثبر و سوف تتكون من 50 حلقة تنزل تباعاً إن شاء الله أدعو الجميع للاستمتاع بالقراءة والتعليق.
يوميات رعد العبقري |
|
الكاتب Khaled Alghathbar
|
|
الاثنين, 06 يوليو 2009 05:06 |
|
أولا:تطبيق مفهوم امن المعلومات لا يعتمد على قسم واحد هو "قسم امن المعلومات" بل لابد من وجود قسم أخر مستقل وهو"قسم التدقيق والمراجعة", وهدف الأخير هو التأكد من ان "قسم امن المعلومات" يعمل بشكل جيد.
ثانيا:لا انصح بان يكون "قسم امن المعلومات" تحت "قسم الشبكات" لان هناك تضارب في الأولويات . يجب ان يستقل كلا القسمين ويكونا في نفس مستوى الهيكل التنظيمي.
ثالثا: ما سبق ينطبق على الجهات المتوسطة إلى الكبيرة ,أما الجهات الصغيرة والتي لا تستطيع أن تنشئ قسم متخصص في امن المعلومات فعليها بالاقتراحات التالية:
1. اقترح تدريب كافة قسم تقنية على أساسيات المعلومات امن المعلومات ,حتى يكونوا على دراية ولو بسيطة بأمن المعلومات والمخاطر المتوقعة لان مهمة امن المعلومات ستقسم على عدد من الوظائف القائمة مثل مهندس الشبكات ومدير النظام.
2. لابد من تحديد المسئوليات بشكل واضح بين الموظفين في قسم تقنية المعلومات.
3. لابد من وجود موظف واحد على الأقل متخصص في امن المعلومات ليس مهنته إعداد جدار الحماية أو تحديث مضاد الفيروسات ولكن وضع السياسات والإجراءات ومتابعة تطبيقها ,تقديم الحلول الأفضل لحماية معلومات المنظمة ,وغيرها من المهام غير الروتينية.
4. يرتبط موظف امن المعلومات مباشراً بمدير تقنية المعلومات.
الموضوع كبير ومتشعب ويعتمد على سياسة المنظمة وطبيعتها المالية والإدارية, أدعو الجميع للتعليق والمداخلة بناء على خبراتكم في منظماتكم. |
|
الكاتب Khaled Alghathbar
|
|
الأحد, 05 يوليو 2009 00:00 |
|
اولا: استسمحكم على طول الغيبة
ثانيا: يسعدنا في المركز ان نزف قريبا أخبار جيدة عن بعض مشاريعنا ومنتجاتنا الجديدة والتي كنا نعمل عليها في الأشهر الماضية |
|
الكاتب Khaled Alghathbar
|
|
الاثنين, 20 أبريل 2009 18:47 |
|
فيما بلغت عدد السجلات المسروقة الكترونيا خلال السنة الماضية قرابة 285 مليون سجل حسب تقرير فيرايزن بسنس Verizon Business والتي تعد اكبر من عدد السجلات المسوقة الكترونيا للثلاث سنوات التي سبقت 2008 مجتمعة وهو رقم مخيف، وهذه السرقة إما لكثرة المهاجمين أو لضعف الأنظمة التي تمت سرقة المعلومات منها أو لكثرة الأنظمة التي أصبحت متصلة بالانترنت أو مجتمعة
إلا أن هذه الأرقام ليست جيدة للمخترقين الذين ينون بيع تلك السجلات (معلومات بطاقات الائتمان) في السوق السوداء، وذلك لكثرة السجلات المسروقة والمعروضة للبيع من قبل هؤلاء المخترقين، حيث وصل سعر بيع السجل الواحد إلى اقل من نصف دولار أمريكي بينما كان سعر السجل المسروق في 2007 13 دولار في المتوسط.
أمر مثير، أليس كذلك؟
الأكثر إثارة هو ظهور خدمات مساعدة لمشترين معلومات البطاقات الائتمانية المسروقة للتحقق من صلاحية معلومات تلك البطاقات الائتمانية المسروقة بل و التحقق من الرصيد المتاح.
والبقية تتبع !!!
|
|
الكاتب Khaled Alghathbar
|
|
الجمعة, 17 أبريل 2009 11:03 |
|
استطلع مركز التميز لأمن المعلومات بجامعة الملك سعود (coeia.edu.sa) تقرير شركة كاسبرسكي (Kaspersky) لاحصائيات أمن المعلومات لعام 2008م والذي يتناول حالة الهجمات الالكترونية من برامج خبيثة ودول مستضيفة ودول مستهدفة لهذه الهجمات وتلك البرامج الخبيثة. وقد استخلص المركز من ذلك التقرير بعض الوقفات لاطلاع المسؤولين ومستخدمي الانترنت على بعض المعلومات المهمة حول هذا الموضوع.
الوقفة الاولى: بدأ جليا تحول مخترقي الحواسيب والانظمة من ارسال البرامج الخبيثة عن طريق البريد الالكتروني إلى استدراج الضحايا الى مواقع الكترونية تحتضن تلك البرامج الخبيثة ويتم بث تلك البرامج لحواسيب الضحايا، والجدير بالذكر انه ليس كل تلك المواقع الالكترونية مشبوهة بل ان بعض تلك المواقع هي مواقع رسمية لجهات حكومية او تجارية او شخصية تم اختراقها سابقا وتلويثها بدون علم اصحابها وذلك لضعف تلك المواقع أمنيا. ولوجود ثغرات امنية في متصفحات الانترنت او البرامج المتصلة بالانترنت لم يتم اصلاحها من قبل المستخدمين فان تلك البرامج الخبيثة تستطيع ان تصل الى تلك الحواسيب دون ان يعلم بها مستخدموها.
الوقفة الثانية: عشرة من اصل اكثر من عشرين برنامجا خبيثة منتشرة على الانترنت هي برامج مكتوبة بلغة جافا سكربت (JavaScript) اي ان نصف اكثر البرامج الخبيثة انتشارا تعتمد على متصفحي مواقع الانترنت لكي تنتشر.
الوقفة الثالثة: 97% من مصادر الهجمات الخبيثة تتركز في عشر دول هي الصين بنسبة 79% ثم الولايات الامريكية ثم هولندا ثم المانيا ثم روسيا ثم لاتافيا ثم بريطانيا ثم اكرانيا ثم كندا واخيرا اسرائيل. وقد خلت مجموعة الدول العشرين الاولى من دول عربية او اسلامية. لكن لو تم احتساب الترتيب على اساس نسبة الهجمات الى نسبة عدد السكان او نسبة عدد مستخدمي الانترنت لارتفعت بعض الدول الى اعلى قائمة الدول الاكثر هجوما على الغير مثل اسرائيل و لاتافيا.
الوقفة الرابعة: احتلت الصين المرتبة الاولى عالميا في عدد المستخدمين الذين تم مهاجمتهم وبنسبة 53% من بين الدول وجاءت مصر المرتبة الثانية وبنسبة 15% من بين الدول وتلتها تركيا في المرتبة الثالثة وكانت السعودية في المرتبة التاسعة. ولو تم احتساب النسبة الى نسبة عدد مستخدمي الانترنت او عدد السكان لارتفعت بعض الدول ومن بينها السعودية!
إن تلك المعلومة مفزعة وتعكس حال أمن المعلومات وضحالتها بين مستخدمي الانترنت في السعودية وكذلك الجهات الحكومية و الخاصة، وعواقب تلك الهجمات لا تقتصر على سرقة صور شخصية أو درجات طالب بل تتعدى ذلك إلى الابتزاز و سرقة الأموال و التجسس على الجهات الحساسة سواء حكومية أو خاصة و تعطيل خدمات و إعادة توجيه هجمات بواسطة تلك الحواسيب المخترقة. الامر يتطلب وقفة جادة لرفع مستوى أمن المعلومات في مملكتنا على الصعيد الحكومي او الخاص او الشخصي، وها هو مركز التميز لأمن المعلومات يقدم ما يستطيع للتوعية و التدريب و التعليم ويمد يديه للجميع للتعاون من اجل تحسين مستوى أمن المعلومات في المملكة.
الوقفة الخامسة: يعتقد البعض ان البرامج الخبيثة قد اقتصرت على تلك البرامج التي تنتقل عبر الانترنت سواء عن طريق المواقع الالكترونية او البريد الالكتروني، لكن هذه السنة لفت الانظار قيروس سالتي (Sality.aa) الفيروس الكلاسيكي الذي ينتقل عبر وسائط التخزين المحمولة مثل USB وقد فاز بلقب "خطر السنة الأول" من شركة كاسبرسكي. |
|
الكاتب Khaled Alghathbar
|
|
الثلاثاء, 14 أبريل 2009 11:55 |
|
لكل قاعدة شواذ ولكل رادع أمني ثغرات...
استطاعت امرأة كورية جنوبية ممنوعة من الدخول لليابان التحايل على النظام الأمني المتطور في المطار الياباني وبكل بساطة بواسطة لاصق فقط!
في عام 2007، طبقت اليابان نظام البصمة – أو ما يعرف بالمقاييس الحيوية- (biometric system) على 30 مطار بتكلفة وصلت إلى 64 مليون دولا أمريكي، في خطوة للتحكم في دخول المسافرين.
لكن المرأة الكورية والممنوعة من الدخول لليابان استطاعت الدخول وعبر تلك الأنظمة الأمنية وذلك بوضع لاصق على إصبعها عند التبصيم الالكتروني مما أدى إلى قراءة بصمة غير البصمة الخاصة بها والمسجلة لدى السلطات اليابانية.
يا لها من حيلة ذكية وبسيطة!
|
|
|
|
|
|
|
الصفحة 1 من 3 |
