تسريب امتحانات الثانوية لن يكون الأخير .. معلومات مصر فى خطر

29/06/2016 - 1:27:46

تحقيق يكتبه: عبد اللطيف حامد - أحمد جمعة

أجمع خبراء أمن المعلومات والاتصالات أن كارثة تسريب امتحانات الثانوية العامة لن تكون الأخيرة فى مسلسل الجرائم الإلكترونية فى مصر لأننا نفتقد لمنظومة متكاملة لتأمين البيانات والمعلومات الحيوية فى مختلف القطاعات والمؤسسات بل الأخطر أن معظم القيادات فى الجهاز الإدارى للدولة لا يدركون أصلا أهمية قضية أمن المعلومات داخل الجهة، ويعتبرون الأمر مجرد رفاهية لا طائل منها، فلا ميزانية للإنفاق على هذا البند من قريب أو بعيد، والتهرب من الموقف بشعار “ كله تحت السيطرة “ رغم أن مصادر الاختراقات تحيط بهم من كل مكان، ولا أجهزة أو برامج متخصصة لصد أى هجوم إليكترونى على قواعد البيانات والمعلومات، ولا كوادر بشرية مؤهلة ومدربة على ضرورة التأمين والحماية .


ويحذرون من الإهمال والتقصير الذى يدفع الموظفين والمصالح الحكومية إلى التواصل فيما بينهم عند نقل بعض المعلومات والبيانات الحيوية من خلال الإيميلات المجانية كـ “الياهو وجيميل” التى تتم مراقبتها من جانب بعض أجهزة المخابرات الأجنبية، ولا تكلف العديد من الوزارات خاطرها إنشاء شبكة داخلية أو عمل إيميل مشفر يضمن سرية تعاملاتها مما يجعل من السهل اختراقها حتى بدون وضع فلاشة أو سى دى فى أجهزة الكمبيوتر


فى البداية يقول المهندس عادل عبد المنعم رئيس مجموعة تأمين المعلومات بغرفة صناعة تكنولوجيا المعلومات والاتصالات والمحاضر فى مجال جرائم المعلومات إن أمن المعلومات لم يعد رفاهية كما يتخيل البعض لكنه أصبح ضرورة قومية للجهات والمؤسسات المختلفة بل للأمن القومى للدولة، فأمن المعلومات ليس مشكلة تقنية بل مسألة استراتيجية، والنظر إليه على أنه جزء من قطاع تكنولوجيا المعلومات والاتصالات فقط بمثابة نظرة قاصرة لأنه يمتد لكل القطاعات والمجالات فى المجتمع لأن الاختراقات المعلوماتية يمكن أن يترتب عليها كوارث وأزمات فى أداء المرافق الأساسية والإستراتيجية، وقد يصل الأمر لإصابة الدولة بالشلل، فيمكن على سبيل المثال قطع الكهرباء فى منطقة ما أو على مستوى الدولة من خلال فيروس يهدف إلى إحداث خلل فى منظومة الكهرباء بين محطات التوليد وشبكات التوزيع، ونفس السيناريو يمكن أن يتكرر فى منظومة النقل بخروج قطار عن مساره سواء فى قطاع السكة الحديد أو المترو عن طريق إحداث خلل فى أنظمة التحكم وهنا أذكر بحادثة مترو الأنفاق التى وقعت منذ نحو ٨ شهور عندما خرج أحد القطارات عن مساره ووقتها ترددت أقاويل متعددة فى هذا الشأن.


الأمن المعلوماتى فريضة


وعلينا أن ندرك أن التوغل التكنولوجى فى الحياة العملية جعل فكرة الأمن المعلوماتى فريضة لابد منها، وعلى الحكومة أن تتبنى إستراتيجية واضحة لضمان تأمين المعلومات تشمل عدة عوامل أساسية منها سياسات تأمين وفق أحدث النظم العالمية كأدوات التشفير والتوقيع الإلكترونى إلى جانب تدريب الكوادر المتخصصة فى مجال أمن المعلومات علما أن مصر تمتلك كوادر فائقة فى الجهات والمؤسسات الخاصة، لكن فى القطاع الحكومى مازلنا نعانى من قصور شديد فى الكوادر المؤهلة فى هذا المجال بسبب نظام الأجور الذى لا يستطيع توفير دخول تتناسب مع هذه النوعية من الخبرات إلى جانب عدم اعتماد هذه الجهات الحكومية نظام الدورات التدريبية وورش العمل لتطوير أداء العاملين، وهنا لابد أن نلفت الانتباه إلى أهمية تعديل وهيكلة الأجور فى القطاع الحكومى لجذب الكوادر والكفاءات فى مجال أمن المعلومات من القطاع الخاص حتى لا تتعرض البنية المعلوماتية وقواعد البيانات فى مؤسساتنا للخطر بسبب عدم تأمينها بالإضافة إلى سياسات وإجراءات تأمين مدروسة ومعروفة مسبقا فى ظل حزمة من القوانين والتشريعات، فالعمل على حل ناجح لمشكلة الاختراقات المعلوماتية يحتاج إلى تكامل العوامل الثلاثة فلا يجوز إرسال بيانات مهمة على إيميل مجانى كـ “الياهو وجاميل” لأن كل البريد المجانى مراقب من المخابرات الأميريكية، وليس من المنطقى أن يكون نقل المعلومات والبيانات خاضعا لهوى الموظف دون قواعد واضحة كأن يعطى أى كم منها لموظف آخر لينقلها بمعرفته، فضلا عن ضرورة توافر أنظمة تشغيل محدثة وبرامج أصلية وليس كما يحدث فى العديد من الجهات حيث تقوم بتحميل برامج من شبكة الإنترنت يسهل اختراقها.


وليس من المقبول أن تتهاون بعض الوزارات فى تأمين قطاع المعلومات بها والمثال الواضح هنا وزارة التربية والتعليم فى أزمة تسريب امتحانات الثانوية العامة، فالملاحظ فيما هو معلن أن الوزارة لم تستعن بمتخصصين فى أمن المعلومات لوضع تصور دقيق لتأمين منظومة الامتحانات إلكترونيا، لأننا فى ٢٠١٦ لا يمكن أن نتعامل بأساليب تقليدية عفا عليها الزمن للتأمين مثل وضع الأسئلة فى خزنة أو مطبعة سرية.


ويؤكد المهندس عادل عبد المنعم أن الموقف على الأرض يكشف غياب الإدراك فى العديد من الجهات المهمة بشأن أهمية أمن المعلومات فى مصر فلا يوجد لدينا قانون لمحاربة جرائم المعلومات رغم وجود عدة قوانين تستخدم فى التعامل مع هذه الجرائم لكنها ليست ناجزة منها قانون الاتصالات رقم ١٠ لسنة ٢٠٠٣ وقانون التوقيع الإلكترونى رقم ١٥ لسنة ٢٠٠٤ ـ وهنا مفارقة يجب الانتباه إليها مفاداها أننا لدينا هذا القانون منذ قرابة ١٢عاما لكنه لم يفعل حتى الآن ـ بالإضافة إلى قانون الطفل وقانون الملكية الفكرية مع قانون العقوبات لكن كل هذه القوانين غير صالحة للتعامل مع جرائم المعلومات فمثلا لو قام أى شخص بالتشهير وسب آخر فى محل سكنه فى وجود عدد محدود من الشهود تعامل كجريمة ثابتة الأركان بينما التشهير على الإنترنت فى الفضاء الواسع ويراه ملايين من الأشخاص يصعب إثباته لأن صاحب الحساب يتهرب منه بسهوله باستغلال الثغرات الموجودة فى قانون العقوبات الذى وضع فى ثلاثينيات القرن الماضى، وعدم وجود توصيف قانونى للجريمة الإكترونية أو التعامل مع مفهوم الأدلة الرقمية للإثبات فى هذه الجرائم ومن هنا لم يعد التباطؤ فى إصدار حزمة قوانين فى مجال أمن المعلومات مفهوما أو مبررا. وعلى الحكومة والبرلمان معا الإسراع فى إصدار ثلاثة قوانين لتأمين المعلومات والجريمة الإلكترونية والخصوصية، فلو افترضنا أن شخصا حصل على رقم بطاقة مواطن يستطيع من خلال بعض الوسائل الملتوية معرفة كل البيانات والمعلومات التى يريدها عن هذا الشخص بالمخالفة لمبدأ الحق فى الخصوصية، ويجدر الإشارة فى هذا الشأن إلى أن شركات الاتصالات تبيع بيانات العملاء لبعض الجهات والشركات بمبالغ ضخمة وبالمخالفة للقانون فأحيانا تطلب شركة ما قاعدة بيانات تضم العملاء الذين تتجاوز فواتيرهم الشهرية خمسة آلاف جنيه لتسويق بعض منتجاتها كالفيلات والشاليهات والسيارات، وهذا ليس من حق أى طرف، ويتنافى مع الحق فى الخصوصية، وبالتالى ضرورة وجود قانون يجرم هذا السلوك خصوصا أنه لأول مرة فى تاريخ الدساتير المصرية ينص دستور ٢٠١٤ فى المادة ٥٧ على أن “للحياة الخاصة حرمة، وهى مصونة لا تمس، وللمراسلات البريدية، والبرقية، والإلكترونية، والمحادثات الهاتفية، وغيرها من وسائل الاتصال حرمة، وسريتها مكفولة، ولا تجوز مصادرتها أو الاطلاع عليها، أو رقابتها إلا بأمر قضائى مسبب، ولمدة محددة، وفى الأحوال التى يبينها القانون”. أما ما يحدث فى الواقع عند انتهاك الخصوصية لأى مواطن فلا يعرف المتضرر على من تقع المسئولية ولمن يتوجه بشكوته.


وعلينا الاعتراف بوجود مشكلة كبيرة فى مجال التوعية بخطورة الجرائم الإلكترونية لدرجة أننا نحتاج بالفعل إلى حملة قومية لتعريف الموطنين بل والمسئولين بطرق تأمين المعلومات والبيانات فى مختلف المجالات مع عدم التهاون فى الحفاظ على سرية منظومة المعلومات المسئول عنها أى موظف فى الدولة لآن هناك قاعدة أساسية ترى أن العامل البشرى أخطر عنصر يهدد المنظومة المعلوماتية ويفتح الباب أمام اختراقها مهما تمت الاستعانة ببرامج وأنظمة حديثة، ولا يوجد شئ اسمه الأمان الكامل فى منظومة المعلومات، وبالمناسبة ما أعلن مؤخرا عن طرح تطبيق “واتس اب” لأسلوب تشفير لجميع رسائله غير صحيح لأن هناك برتوكولا معمولا به فى شركات الاتصالات يمكن من خلاله اختراق المواد المشفرة ويطلق عليه “SS٧”، وهنا لابد من التأكيد على أننا لا نسعى إلى التخويف من اتجاه الدولة إلى أسلوب الميكنة فى العديد من القطاعات والخدمات كـ”الصحة والنقل والمرور والأحوال المدنية والتعليم” لأن مصر دولة كبيرة وتستحق ذلك بشرط أن يتوازى معه وضع استراتيجية لأمن المعلومات حتى لا تحدث كوارث، ومن غير المسموح التعامل مع قضية التأمين بأى قدر من التهاون، فيمكن أن نفاجأ بما حدث فى تركيا مؤخرا من نشر بيانات المواطنين الموجودة بمصلحة الأحوال المدنية على مواقع الإنترنت، فليس هناك أحد بمعزل عن الاختراقات الإلكترونية.


منع دخول الفلاشات


ويشير رئيس مجموعة تأمين المعلومات بغرفة صناعة الاتصالات وتكنولوجيا المعلومات إلى أن تبنى بعض الجهات لسياسة منع دخول الفلاشات تخوفا من تسريب بعض الوثائق أو البيانت المهمة إجراء غير كاف، وبمثابة نقطة فى بحر أمن المعلومات لأن كل يوم هناك جديد فى تطور وسائل حفظ المعلومات، فلم تعد الفلاشة التقليدية هى الأحدث بل ظهرت مؤخرا الفلاشة اللاسلكية لينقل عليها الشخص ما يريد من معلومات “من اللاب توب أو الموبايل” إلى جانب إمكانية خاصية البلوتوث، وسيزداد التحدى مع دخول خدمات الجيل الرابع للمحمول بسبب التطبيقات الجديدة والسرعات الفائقة التى سترتفع إلى مائة ميجا بايت فى الثانية وتصل إلى ١ جيجا مما يعنى أنه لو تمكن أى شخص من اختراق جهاز ما يستطيع الحصول على المعلومات والبيانات الموجودة عليه وإرسالها لأى جهة فى ثوانى معدودة ولذلك منع دخول الفلاشات تصرف ساذج ونحتاج إلى منظمة متكاملة من التأمين.


وردا على المطالبة بإغلاق الإنترنت وشبكات التواصل الاجتماعى خلال امتحانات الثانوية العامة على غرار ما حدث فى الجزائر يقول فى الأساس لست مع قطع الإنترنت لأنه سيصيب مصالح الدولة المختلفة كالسياحة والبورصة والبنوك وغيرها بأضرار، ولايجوز تعطيل مصالح الدولة كلها لصالح جزء منها وهو امتحانات الثانوية أما فيما يتعلق بشبكات التواصل الاجتماعى فإذا استمرت حالة الفشل فى التصدى لعمليات تسريب الامتحانات قد يكون إيقافها بشكل مؤقت وكحل جزئى فطالما لم تستطع الحكومة السيطرة على مصدر التسريب يمكن أن نمنع طرق التدوال وهى شبكات التواصل الاجتماعى.


تحديث شفرات التأمين


ويشير مالك صابر، خبير أمن المعلومات وقواعد البيانات، إلى أن مصر علي الرغم أنها تملك بالفعل جدار حماية لمعظم المواقع والجهات الحكومية خاصة الأجهزة الأمنية، إلا إنه يسهل اختراقه نتيجة عدم الاهتمام بتحديث وتطوير شفرات هذا النظام من وقت إلي آخر وبالتالي يكون من السهل الاستيلاء علي المعلومات وحدوث تسريبات كثيرة من مواقع هذه الأجهزة، نظرا لعدم التحديث المستمر لهذه الشفرات فى ظل افتقاد مصر إلي الكفاءات المتخصصة، بالإضافة إلي عدم الاهتمام بالجزء المعلوماتي، وعلى الأجهزة الرسمية على وجه الخصوص أن تسارع بإنشاء جدار حماية قوي باستخدام طرق وآليات غير قابلة للاختراق.


ويؤكد صابر أن نظام حماية المعلومات يتطلب حماية أمنية في ذات الوقت، وعندما غاب ذلك تسربت امتحانات الثانوية العامة من داخل المطابع السرية، عن طريق أبسط أنواع الاختراق “الفلاشة”، وكان على أجهزة المراقبة إغلاق جميع المنافذ أمام نسخ الملفات على الأجهزة، وأن يتم التعامل بشبكة داخلية محكمة، لأنه من الصعب التحكم فيما ينشر على شبكة الإنترنت من خلال صفحات تسريب الامتحانات، فقد ألقت أجهزة الأمن على أصحابها لكنها ما زالت حتى اليوم تنشر نماذج الأسئلة والإجابات .


الحل من وجهة نظر مالك صابر ، يتمثل في تدريب الكفاءات خارج مصر للتعرف على الطرق الحديثة لحماية البيانات، والتي تواكب التطور التكنولوجي الهائل، لو طبقنا نظام الحماية المعلوماتية لن تصل الامتحانات إلى مواقع التواصل الاجتماعي، وسيصبح من الصعب على أي “هاكرز “ اختراق المواقع المهمة في الدولة، خاصة أنها أصبحت لعبة في يد الأجهزة الاستخباراتية العالمية، بل إن امتلاك مصر لكابل إنترنت خاص لمصر بهدف حماية المعلومات بدلاً من كابل الإنترنت التي تحصل عليه من الولايات المتحدة الامريكية، أمر جيد ومهم لحماية المعلومات، لكنه خيار صعب للغاية لأنها تحتاج لموارد بشرية كبيرة بجانب ارتفاع تكلفتها بشكل مبالغ.


الأنتى فيروس


وانتقد الدكتور حسين زكريا، غياب أنظمة التأمين في مصر، قائلا «أقصى ما نعرفه عن التأمين في مصر برامج الحماية أو (الإنتي فيرس)»، ولابد أن نهتم بهذا الموضوع، ومن الواضح أن مصر لا تعطي أولوية لذلك، رغم أنه ينفق عليه أموال طائلة تصل إلى مليارات في العديد من دول العالم، والأماكن ذات الطبيعة الخاصة والمهمة بالأجهزة الحكومية والمؤسسات الاقتصادية لابد أن يكون لها أنشطة حماية خاصة.


وعن تسريب امتحانات الثانوية العامة قال أي (عيل صغير في المجال) يستطيع منع الأشخاص من استخدام الفلاشات على الأجهزة كيف لا تستطيع المطابع السرية ضبط الأجهزة لديها؟، وحتى إن لم يكن هناك إجراءات تفتيش ذاتي، فمن ترك الجهاز لاستخدام الفلاشات، وهناك إمكانية لضبط ذلك؟ نحن لا نعرف القصور إلا عندما يقع الخطأ الكبير، ولابد أن نراعي ذلك وأن تخصص وزارة التربية والتعليم ميزانية خاصة لديها للتحكم في مطابعها السرية».


أكذوبة أمن الملعلومات


أما المهندس محمد أبو قريش رئيس جمعية مهندسى الاتصالات يؤكد أن ما يردده بعض المسئولين فى غالبية القطاعات بأن منظومة أمن المعلومات فى أجهزة الدولة تحت السيطرة باتباع الإجراءات والاحتياطات اللازمة مجرد أكذوبة، وشو إعلامى فقط، والقول الفصل فى هذا الاتجاه يتمثل فى ضرورة وجود رقم لا يستهان به فى الموازنة السنوية لأى جهة أو وزارة للانفاق على مجال تأمين المعلومات داخلها فى عدة صور منها شراء الأجهزة الحديثة والبرامج المتخصصة فى مجال الحماية الإلكترونية، ثم الإستعانة بخبراء واستشاريين لديهم خبرات واسعة فى مواجهة التهديدات والاختراقات لمنظومة العمل مع تنظيم دورات تدريبية دورية لجميع الموظفين العاملين فى قطاع التأمين بل وغيرهم حتى يكونوا على دراية بالتصرف السليم عند حدوث محاولات للقرصنة أو الهجوم الإلكترونى على أنظمة المعلومات بهذه الجهة، وسرعة التواصل مع المتخصصين لصد هذا الهجوم أما ما يتردد عن وجود كيانات لأمن المعلومات من قبل بعض قيادات قطاع الاتصالات مجرد كلام والكلام لا يستند إلى معطيات وبراهين على أرض الواقع.


ويحمل رئيس جمعية مهندسى الاتصالات وزراء الاتصالات المتعاقبين وآخرهم المهندس ياسر القاضى مسئولية ضعف بنية تأمين منظومة المعلومات فى مصر لأنهم يكتفون فقط بالحديث عن إعداد مشاريع قوانين تصب فى هذا الاتجاه دون خطوات ملموسة، فما الفائدة التى تعود علينا من هذه القائمة الطويلة طالما ظلت حبيسة أدراج الوزارة أو حتى أرسلتها إلى مجلس الوزراء دون متابعة مستمرة لتحريكها كما تفعل بعض الوزارات فى التشريعات المهمة وفى مقدمتها وزارتا المالية والتنمية المحلية، وبالفعل هناك حزمة من القوانين خرجت من لجنة التشريعات بالوزارة لكنها دخلت مرحلة النسيان، وطرقت مستجدات أخرى على المشهد تستدعى إعادة النظر فيها من جديد ومنها تعديلات قانون الاتصالات، والجريمة الإلكترونية، وعلى وزارة الاتصالات أن تطرق كل أبواب الحكومة ومجلس النواب والمجتمع المدنى لتمرير التشريعات المهمة وفى مقدمتها قانون أمن المعلومات بعد طرحها للنقاش بين المتخصص والحوار المجتمعى لتلافى أية عيوب أو ثغرات بها، وفى الوقت نفسه على قطاع الاتصالات أن يقود تفعيل تطبقات تكنولوجيا المعلومات والاتصالات فى كل القطاعات كالصحة والتعليم والصناعة والتنمية المحلية وغيرها بشكل حقيقى وليس مجرد توقيع مذكرات تفاهم أو تصميم بوابة إلكترونية لا يترتب عليها منفعة لجمهور المتعاملين مع هذه الجهات من المواطنين.


ويطالب المهندس محمد أبو قريش وزارة الاتصالات أن تدرك أنها المرجع الرئيسى فى مجال أمن المعلومات بالنسبة لكل الوزارات والجهات، ولا تتخندق على نفسها بحجة أن كل جهة تملك المعلومات مسئولة عن حمايتها، وهنا لا مانع من عمل تعديل تشريعى يسمح لمسئولى الوزارة بتشكيل جهاز أو جهة ما تشبه الضبطية القضائية الممنوحة لبعض العاملين فى وزارات أخرى من أجل المراقبة والإشراف على كافة القطاعات والأجهزة بالدولة للتأكد من التزامها بمعايير حماية وأمن المعلومات.


وفى نفس الاتجاه يقول د.عبدالرحمن الصاوي، رئيس لجنة التشريعات بوزارة الاتصالات وتكنولوجيا المعلومات، إن أمن المعلومات لا يأخذ أي نوع من الأولويات على الخريطة المصرية في الوقت الحالي، وهذا موضوع بعيد عن تفكير الجهات المعنية على الرغم من الأزمات والمشاكل التي تحدث من ورائه، لكن لا أحد يتحرك في هذا الاتجاه.


وكشف الصاوي أن وزارة الاتصالات تقدمت بأكثر من طلب لإصدار تشريع يختص بأمن المعلومات، لكن الحكومة وضعت العراقيل أمامه وفي كل مرة يحدث نوع من التأخير بدون سبب مبرر، ولم أعد لديّ القدرة على الفهم، ونحن كوزارة اتصالات أعددنا هذه التشريعات المناسبة للأوضاع الحالية والتي تقتضي أن تسارع جميع الجهات بتطبيق نظام لحماية معلوماتها، بدلا من أن تكون مباحة لـ»أطفال في أعمار ١٣ سنة» !.


معلومات مصر فى خطر


وفي رأي «الصاوي» أن القضية ليست في تسريب امتحانات الثانوية العامة على مواقع التواصل الاجتماعي ما يقتضي إغلاق تلك الصفحات من قبل وزارة الاتصالات، بقدر ما يجب أن تُسأل وزارة التربية والتعليم عن تسريب الامتحانات من البداية، وكان لابد من فرض نظام لحماية تلك الامتحانات، والدولة مهما فعلت فلن تتمكن من إغلاق الصفحات كل يوم، لأننا أصبحنا نعيش في عالم افتراضي.


مضيفا أن الحل ليس في تغليظ العقوبات على من يتم ضبطه، لكن الأهم إلزام الهيئات والمؤسسات والشركات بالتعاون مع الحكومة بوضع خطط لحماية المعلومات وأمن البوابة والدخول والخروج انتهاءً بالمعلومات على أجهزة الحاسب الألى، ولابد من اتباع الطرق المعتمدة لأن الموضوع لم يعد هزلا بل لابد من الاعتماد على العلم والفكر، واختتم ، رئيس لجنة التشريعات بوزارة الاتصالات وتكنولوجيا المعلومات كلامه قائلا «نعم معلومات الدولة في خطر».. ونحتاج لوضع استراتيجية لحماية الأمن المعلوماتي، وقلنا كل هذه في المذكرة المقدمة للحكومة، ولا أدري لماذا لم تأخذ الحكومة بها .