فرضت أزمة الصحة العالمية كوفيد 19 اتخاذ عدة تدابير احترازية كعمليات العزل وتقييد السفر وقصره على الأسباب الأساسية فقط. وفي مواجهة هذا الوضع الاستثنائي وغير المسبوق، اضطرت الإدارات أو المؤسسات أو الجماعات المشار إليها فيما يلي بالهيئات، والتي أتيحت لها الفرصة، إلى العمل عن بُعد من أجل الحفاظ على الأنشطة الأساسية والتي يمكن انجازها بهذه الطريقة.

بيد أن العمل عن بُعد بطرق غير مضبوطة قد يزيد من المخاطر الأمنية للهيئات التي تستخدم طريقة العمل عن بُعد. بل ويمكن أن يعرض أنشطتهم وأعمالهم للخطر في مواجهة الجريمة السيبرانية، التي تضاعفت في السنوات الأخيرة. أعدت هذه المذكرة من قبل المديرية العامة لأمن نظم المعلومات في أعقاب المذكرة الإعلامية التي أصدرة بتاريخ 20 مارس 2020 والموجهة إلى مسؤولي أمن نظم المعلومات (RSSI)، وذلك لشرح تدابير السلامة التي يتعين اتخاذها للسيطرة على المخاطر المرتبطة بالعمل عن بُعد.

أ - المخاطر الرئيسية والتهديدات السيبرانية المتصلة بالعمل عن بُعد

في هذا السياق غير المسبوق والذي يتميز باستخدام العمل عن بعد، أمست المؤسسات أكثر عرضة لمخاطر وهجمات تكنولوجيا المعلوميات. وتتمثل الأهداف الرئيسية لهذه الهجمات فيما يلي:

•  سرقة البيانات أو تغييرها : يستغل المهاجمون قلة الإجراءات الأمنية خارج مباني الهيئة للولوج إلى البيانات المتواجدة بأجهزة الكمبيوتر. في الواقع، ترتبط أجهزة الكمبيوتر في المنزل مباشرة بالإنترنت دون حماية مناسبة (عدم تصفية التدفقات، وجود معدات أخرى على نفس الشبكة، استخدام الجهاز لأغراض غير مهنية).
•  المساس بنشاط العمل : في هذه الأوقات من الأزمة الصحية، يعتمد نشاط الهيئات بالأساس على نظم معلوماتها. ويسعى المهاجمون بشتى الوسائل لتقويض الأداء السليم لهذه الأنظمة، لاسيما هجمات الحرمان من الخدمة. على هذا النحو، تعد الخدمات عبر الإنترنت ومنصات الولوج عن بُعد هي الأكثر استهدافًا بهذا النوع من الهجمات.

ولتحقيق أهدافهم، فإن الوسائل والمتجهات الرئيسية المستخدمة للهجوم هي:

•  التصيد الاحتيالي : يتعلق الأمر برسائل احتيالية (البريد الإلكتروني والرسائل القصيرة والدردشة وما إلى ذلك) الهدف منها سرقة المعلومات السرية (كلمات المرور، البيانات الحساسة، المعلومات الشخصية أو المصرفية) عبر انتحال شخصية طرف آخر موثوق به أو إصابة الآلة بأكواد ضارة أو رموز خبيثة (فيروس، برنامج الفدية أو برنامج التجسس، إلخ). وقد باتت هذه التقنية تستفيد الآن من الإثارة حول المعلومات المتعلقة بكوفيد 19 من جهة، كما تستفيد من استخدام البريد الإلكتروني كوسيلة رئيسية للاتصال بين الموظفين والشركاء من جهة أخرى.
•  الالتفاف على آليات الولوج إلى نظم المعلومات : في غياب التدابير الأمنية المناسبة، يتيح الولوج عن بعد للمهاجمين إمكانيات الوصول إلى نظم المعلومات المتاحة. يمكن القيام بذلك مباشرة عن طريق استغلال أوجه القصور في النظم والتطبيقات المعروضة على شبكة الإنترنت؛ أو بشكل غير مباشر من خلال محطة مستخدم مخترقة تستخدم كنقطة ارتداد.

ب - تدابير الحماية المتصلة بالعمل عن بُعد

للتصدي للمخاطر المذكورة أعلاه، يوصى بتنفيذ تدابير الأمن السيبراني التالية ولفت انتباه مسؤول أمن نظم معلومات الهيئة إلى ضمان تطبيقها:

• 1 - استخدام الوسائل والمعدات المناسبة للعمل عن بُعد: يوصى بشدة بإعطاء أكبر قدر ممكن من الأولوية لاستخدام الوسائل المتاحة والمؤمنة، والتي تسيطر عليها المؤسسة (مجهزة بمكافحة الفيروسات وجدار الحماية، تشفير الأقراص...) وتعزيز أمن الولوج إلى نظم المعلومات الحساسة.
• 2 - الحد من الولوج عن بُعد: يجب أن يكون فتح باب الولوج الخارجي أو عن بُعد مخصصاً حصريا للأشخاص المؤهلين والخدمات الأساسية، مع اجبارية التصفية عبر جدار الحماية. يجب أن تستند عمليات الولوج هذه إلى امتيازات كافية وأن تقتصر على احتياجات المستخدمين. كما ينبغي عزل النظم التي لا يلزم الوصول إليها عن بعد للحفاظ عليها.
• 3 - تأمين الولوج عن بُعد: يجب أن تكون الوصلات البعيدة الموصولة بنظم المعلومات الداخلية دائما عن طريق شبكة افتراضية خاصة (VPN). كما يفضل تنفيذ التحقق المزدوج للحماية من سرقة الهوية.
• 4 - تعزيز سياسة كلمات المرور: يجب أن تكون كلمات المرور طويلة بما فيه الكفاية، معقدة وفريدة من نوعها في كل جهاز أو خدمة مستخدمة. في هذا السياق، من الضروري أيضًا تقليص مدة تغيير كلمات المرور وإحداث آليات تمكن من مواجهة هجمات القوة الغاشمة. عند أدنى شك أو حتى وقائيا، يجب تغيير كلمات المرور وتفعيل التحقق المزدوج كلما أمكن ذلك.
• 5 - السهر على الالتزام بالتحديثات الأمنية: يجب أن تستفيد جميع المعدات والنظم، ولا سيما تلك الموصولة بالإنترنت (الحواسيب المتنقلة، والأجهزة اللوحية، والهواتف الذكية، والخوادم، ومعدات الشبكات والأمن، وما إلى ذلك) بصورة منهجية وفورية من التحديثات الأمنية. في الواقع، غالبًا ما يكون عدم تحديث جهاز واحد فقط سببًا لاقتحام شبكة الهينات.
• 6 - السهر على النسخ الاحتياطي للبيانات: مع عدم امتلاك العاملين عن بعد بالضرورة لآليات النسخ الاحتياطي التلقائي المستخدمة على المستوى المركزي للهيئات، يجب توعيتهم بأهمية النسخ الاحتياطي الذاتي لبياناتهم وبشكل منتظم من أجل مواجهة الخسائر المحتملة في البيانات في أعقاب هجوم سيبراني (برنامج الفدية على سبيل المثال).
• 7 - مراقبة عمليات الولوج من الخارج والنظم الحساسة: يجب أن تمكّن هذه المراقبة الهيئات من الكشف عن أي نشاط غير طبيعي، إذ يمكن أن يكون علامة على هجوم سيبراني، مثل الاتصال المشبوه من مستخدم غير معروف، أو رفع امتيازات مستخدم معروف، أو تحميل قدر غير عادي من المعلومات...
• 8 - تفعيل التوثيق على مستوى البنية التحتية للعمل عن بعد: غالبًا ما يكون التوثيق هو الطريقة الوحيدة لفهم كيفية حدوث هجوم سيبراني ومن ثم التمكن من علاجه، وكذلك تقييم حجم ومدى انتشار الهجوم. أيضا، يجب تفعيل التسجيل لاسيما على الحواسيب المتنقلة، والأجهزة اللوحية، والهواتف الذكية، ومعدات الواجهة والخدمات المكشوفة.
• 9 - الامتثال لقواعد الأمن على مستوى المنصات التشاركية: يجب عدم مشاركة البيانات الحساسة أثناء استخدام المنصات القائمة على السحابة لتبادل المعلومات المهنية (مؤتمرات الفيديو ومشاركة المستندات والرسائل وما إلى ذلك). وعلى أي حال، وبقدر الإمكان، يوصى باستخدام وصلات الشبكات الافتراضية الخاصة وآليات توثيق قوية.
• 10 - توعية ودعم العاملين عن بعد: يتعلق الأمر بإعطاء العاملين عن بعد تعليمات واضحة حول ما يمكنهم وما لا يمكنهم فعله وتوعيتهم بمخاطر الأمن المتصلة بالعمل عن بُعد. وينبغي توجيه انتباههم لاسيما إلى ما يلي:
  •  الاستخدام الحصري لمعدات العمل عن بعد لأغراض الأعمال المهنية؛
  •  استخدام بروتوكول آمن (WPA2) و كلمات مرور قوية لحماية شبكة الويفي المنزلية؛
  •  الإبلاغ المنهجي عن أي حادث أو حدث مشبوه إلى مسؤول أمن نظم المعلومات (RSSI)الخاص بالهيئة.

للمزيد من المعلومات أو الحصول على أية مساعدة، يرجى الاتصال بالمديرية العامة لأمن نظم المعلومات على عنوان البريد الإلكتروني التالي: contacts@dgssi.gov.ma