توصيات المشاركون في جلسة إدارة مخاطر الأمن السبيرانى لسلاسل التوريد بمؤتمر CAISEC’22 لصد أي هجوم إلكتروني

كتب نور محمد في الثلاثاء, 14 يونيو , 2022

شدد المشاركون في جلسة إدارة مخاطر الأمن السيبرانى لسلاسل التوريد، والتي تعقد خلال فعاليات اليوم الثاني لمعرض ومؤتمر أمن المعلومات والأمن السيبراني CAISEC’22، على ضرورة العمل على سد أي ثغرات قد تكون بابًا خلفيًا لأي تهديد ويترتب عليها تهديد المؤسسات والشركات.

قال على صبري، المدير الإقليمي في إفريقيا وبلاد الشام بشركة سيسكو، إن العمل المكثف عبر مختلف الأجهزة المؤمنة وغير المؤمنة يعتبر تحدى جديد لأمن المعلومات، واليوم لم يعد أحد يعمل من موقع واحد وبالتالي يجب الاستعداد للتعامل مع هذا التحدي، مضيفاً أن البنية التحتية الرقمية أصبح يتصل بها الكثير من الأجهزة المنزلية، وقد أصبح هناك الكثير من الثغرات المتاحة لقراصنة أمن المعلومات.

وأضاف أن مفهوم الثقة المعدومة، يعتبر رحلة مستمرة تتطلب النظر إلى مجموعة عوامل الموظفين والأجهزة ومستخدمي الأجهزة، ثم النظر للجزئية الثانية الخاصة بالتطبيقات والعلاقة بينها، والجزئية الثالثة تتمثل في كيفية التعامل مع البنية التحتية سواء الإنترنت والسحابة وغيرها، ولكى يصبح لدينا zero trust، يجب النظر إلى المستخدم نفسه لأن 81% من الهجمات تتم عن طريق سرقة الباسورد من المستخدم النهائي، كما يتم النظر في سياسات الربط والاتصالات.

وقال إن الاتجاهات الخمسة للمرونة الإلكترونية تشمل الرؤية الشاملة ثم توقع الهجمات والقدرة على إغلاق الفجوة والاتجاه لبناء مهارات العاملين، وكذلك القدرة على زيادة حجم الأعمال وزيادة القدرة للتعامل مع مخاطر أكبر تزداد بشكل مستمر.

فيما قال علاء عبده، نائب رئيس المبيعات بشركة ستار لينك، إن استخدام أي جهاز حالياً يتصل به الكثير من المتعاملين على مراحل عمليات تلقى الخدمة، وبالتالي لابد من تفعيل الحماية وتطويرها بشكل دوري، كما يجب سد الفجوات الأمنية التي يخلقها العمل عن بعد من المنزل.

وأضاف عبده إنه من ضمن التدابير الواجبة أن يكون هناك اختبارات دورية للتأكد الدائم من جاهزية الحماية، كما يجب أن يكون لدينا سيناريوهات مختلفة لجميع الهجمات المحتملة.

ومن جانبه، قال أحمد أسامة، مدير أمن المعلومات بشركة مصر المقاصة، إنه يمكن تقسم المتعاملين الرقميين لمقدم خدمة ومتلقى خدمة، كما يجب تحديد نوعية البيانات المتعامل عليها وأهميتها مع التأكد من درجة حماية خطوط وأجهزة التعامل على تلك الخدمة، وبالنسبة للمتعامل مقدم الخدمة للشركة يجب متابعته جيداً بأعلى درجات الحوكمة بحيث يعمل فى بيئة محكومة ومن الأفضل أن يعمل من خلال خطوط وأجهزة الشركة داخل إطار عملي محدود.

وأوضح أن نظام التأمين داخل المؤسسات هو الذى يراقب أي تدخلات للدعم الخارجي مهما كان مستواها وجميع كل تلك العمليات يتم مراقبتها من المراكز الرئيسية للمتابعة بحيث يتم تتبع تحركات أي جهة أو شخص داخل النظام، مشدداً على ضرورة التوعية الكاملة للعنصر البشرى.

وللمساعدة في إغلاق الثغرات، قال أسامة، إنه يمكن أن يكون هناك تحكم في تحديد مناطق الثغرات أولاً ثم تحديد نوع الثغرة القادمة من اتجاه محدد وبعد ذلك يتم اختار الطرف المعنى بالمشكلة، وبالتالي سيتم حماية النظام بالكامل عن طريق حماية أي خلل يظهر في أحد أطرافه.

ومن ناحيته، قال طارق فتحي إبراهيم، مستشار التكنولوجيا بالهيئة العامة للرقابة المالية، إن الهيئة العامة للرقابة المالية مثلها كباقي الهيئات الحكومية تواجه بعض التحديات وتسعى دائماً للتطوير، ولا يوجد مؤسسة حالياً لا تواجه تحديات سلاسل الإمداد ودائماً ما نحاول تطوير مصادر الحماية، كما يتم التعامل مع مختلف خبراء امن المعلومات المحليين والعالميين من ذوى الخبرات الكبيرة.

وحول إيجاد قانون او هيئة منظمة لما يسمى الشريك الثالث، ذكر فتحي، أنه لا يوجد إجابة واحدة ولكن هناك نماذج للتعاقد التي تتم بين الأطراف الرقمية وغالباً ما تتدخل الجهات المنظمة وكل قطاع له معرفته الخاصة ونماذج مسبقة للمعاملات التي تمت داخل بيئة العمل الرقمية.

وبالنسبة لتأمين سلاسل الإمداد الرقمية فقد أوضح أن هناك اتجاه أكبر للتعامل نحو المصادر المفتوحة بما يعنى مزيد من المخاطر ولذا فإن هناك محاولات كبيرة لمزيد من التوعية والهيئة كمنظم تفضل أن تكون الاستضافات والحوسبة السحابية من داخل مصر، مؤكداً على تشجيع الهيئة لما يسمى التنافس التعاوني، حيث الموازنة بين العلاقات التنافسية والتعاونية لكافة الشركات.