عقد برنامج التكتيكات الجديدة في حقوق الانسان- مركز ضحايا التعذيب ضمن مشروع آفاق مدنية ندوة إلكترونية بعنوان “الأمن السيبراني من اجل نشطاء حقوق الإنسان” باستخدام برنامج زوم وبث مباشر على الفيسبوك، يوم الاربعاء الموافق 27 تموز/يوليو 2022 من الساعة الثالثة مساءً حتى الساعة الخامسة مساءً بتوقيت الأردن. شارك بالندوة عدد من المتحدثين من دول مختلفة من الوطن العربي:
علاء غزال: مسؤول أول للسلامة الرقمية لمنطقة الشرق الأوسط وشمال أفريقيا في مؤسسة سيكديف.
علاء أبوالقاسم علي: مسؤول تقني بمنظمة فزان ليبيا
بلند زندي: منسق مشاريع في جمعية الأمل العراقية
ويسر الحوار الاستاذ عمر طباخه من برنامج التكتيكات الجديدة.
وترجمه الى لغة الاشارة الاستاذ أشرف عودة.
تالياً ملخص لأبرز ما تم ذكره بالحوار “يتوفر لكل محور تسجيل فيديو حيث انقسمت الندوة الى ثلاثة محاور رئيسية وهي:
ما هو الامن الرقمي والامن السيبراني؟
الأمن الرقمي: هو موضوعٌ هامٌ جدًا في وقتنا الحالي، بسبب الاعتماد المتزايد على الانترنت، في الحياة الشخصيّة أو المهنيّة، سواء لمتابعة أعمالنا المصرفيّة، أو التواصل الاجتماعي، أو حتّى ممارسة العمل عبر الانترنت. ومع ذلك، تصاحب هذا الكم الهائل من الراحة والاستمتاع عبر الانترنت، بكثيرٍ من المخاطر، حيث ظهر مجرمو الانترنت، بهدف الاحتيال، أو سرقة المعلومات، أو بدافع الأذى الشخصي فقط. الأمر الذي جعل من وجود الامن الرقمي هامًا جدًا، لوضع حدٍ لهذه الانتهاكات على شبكة الانترنت.
الأمن السيبراني: هو الأمن الذي يتعلق بكل الأجهزة والشبكات والبيانات المتصلة مع بعضها البعض على شبكة الإنترنت. يتعامل الأمن السيبراني مع التهديدات الرقمية على وجه الخصوص، وهو خط الدفاع الذي يتم به الدفاع ضد الهجمات والتهديدات السيبرانية. لهذا السبب عادة ما يتعامل الأمن السيبراني مع التهديدات الخارجية أكثر مما يتعامل مع التهديدات الداخلية.
خلال هذه الفقرة سوف نقوم بتسليط الضوء على الأمن الرقمي والأمن السيبراني والفرق بينهم.
- تعريف الأمن السيبراني وأهميته في مجال حقوق الانسان؟
- تعريف الأمن الرقمي وأهميته في مجال حقوق الانسان؟
- بدأ الأستاذ علاء حديثه عن الأمن السيبرأني والأمن الرقمي وأمن المعلومات وعن الفرق البسيط بينهما، وأن هذا الفرق يستطيع ملاحظته فقط الأشخاص المختصين في هذا المجال، وأن غير المختصين من الصعب عليهم ملاحظة هذا الفرق. وأوضح الأستاذ علاء هذا الاختلاف على أنه مثل الاختلاف بين المعلومات والبيانات، هل من المهم معرفة الفرق بين الأمن السيبراني والأمن الرقمي؟ بالحقيقة لا، فهو موضوع لأهل الاختصاص، ولكن فضل الأستاذ علاء توضيح الفرق بين الأمن السيبراني وأمن المعلومات، بالعموم الأمن السيبراني يعنى بحماية الشبكات الموجودة في أماكن العمل ويعمل على حماية أجهزة الكمبيوتر والبيانات من الوصول غبر المصرح فيه، أما عند الحديث عن أمن المعلومات فهو حماية الأصول الرقمية أو الأصول التي يتم تخزين المعلومات فيها، مثل حسابات البريد الالكتروني ومواقع التواصل الاجتماعي أو الموقع الالكتروني الخاص.
- وأضاف الأستاذ علاء، أن حماية البريد الإلكتروني وحسابات مواقع التواصل الاجتماعي مرتبطة بكلمة المرور، حيث أن كلمة المرور تعتبر من الأمن السيبراني، ولكن البرامج الخاصة بحفظ وإدارة كلمات المرور على الحاسوب تعتبر من ضمن حماية البيانات.
- ووضح الأستاذ علاء أنه في بعض الأحيان يتم فصل عن الأمن السيبراني والأمن الرقمي وأمن المعلومات الى أقسام مختصة بكل قسم منهم داخل العمل، أي أن كل قسم منهم يعمل لوحده، ولكن هذا ليس بالضرورة أن يتم تطبيقه إذا كان مكان العمل ناشئ أو صغير أو حتى لو كانت شركات أو منظمات كبيرة، من الممكن أن يكون هنالك فقط قسم واحد مسؤول عن هذه الأقسام الثلاث.
- وتطرق الأستاذ علاء للحديث عن الأمان الرقمي والسلامة الرقمية، وأن السياق العام هو نفسه ولكن تختلف طبيعة التهديد أو طبيعة المشكلة الحاصلة. وأيضاً الحديث عن تقييم السلامة الرقمية، وأنواع التهديدات التي يمكن العمل عليها، وهي التهديدات الحالية والمحتملة والثغرات الموجودة في الشركة أو المنظمة.
ما هي الهوية الرقمية وكيفية حماية الهوية الرقمية ومعلوماتنا الرقمية؟
أصبح تواجدنا مرتبط بالأنترنت لذلك أصبح من الواجب التثقيف بالمعلومات التي يتم مشاركتها على الانترنت وكيفية حمايتها وتميز معنا الهوية الرقمية. الهوية الرقمية هي الطريقة التي نُمثل بها أنفسنا على الإنترنت. بعض جوانب الهوية الافتراضية مألوفة بالفعل وكانت موجودة منذ فترة طويلة. أشياء مثل صور الملف الشخصي على شبكات التواصل الاجتماعي هي مثال أساسي للهوية الرقمية. تم تطوير عناصر أخرى من هوياتنا الرقمية الاجتماعية منذ فترة أقصر وأصبحت الآن فقط عناصر مُهمة وعملية في “حياتنا الحقيقية”.
- خلال هذه الفقرة سوف نقوم بتسليط الضوء على الهوية الرقمية وكيفية حمايتها
- ما هي الهوية الرقمية؟ كيف نحمي معلوماتنا الخاصة على الانترنت وهويتنا الرقمية؟
شارك معنا أيضاً في هذا المحور السيد علاء أبو القاسم علي من منظمة فزان/ ليبيا. حيث انضم إلينا كمتحدّث عن المحور الثالث الذي تناولشارك معنا أيضاً في هذا المحور السيد علاء أبو القاسم علي من منظمة فزان/ ليبيا. حيث أنضم إلينا كمتحدّث عن المحور الثالث الذي تناول جزئية الهوية الرقمية وكيفية حمايتها، خاصةً مع تواجدنا الكثيف عبر الانترنت واعتبار الهوية الرقمية هي الطريقة التي نمثّل بها أنفسنا على منصاته. استهل السيد علاء مداخلته بالحديث عن الأمن الرقمي وأهميته، حيث أوضح أنه عملية حماية البيانات والمعلومات الخاصة بنا على الانترنت سواء كانت معلومات شخصية أو تخص مؤسسات وهيئات. كما أشار إلى الاختلاف بين مفهوم الأمن الرقمي والسلامة الرقمية، التي تعني بدورها السلامة الشخصية للفرد، سواء كانت الجسدية أو النفسية أو حتى الذهنية، التي من الممكن أن تتعرّض للإساءة أو الأذى جراء استخدام الانترنت ومواقع التواصل الاجتماعي، كالتنمر، أو التحرّش، أو حتى الاستغلال أو الابتزاز. تابع السيد علاء بالحديث عن عناصر السلامة الرقمية التي تتمحور في جزئيتين رئيسيتين، وهما السلوكيات والأدبيات الواجب اتباعها من قبل المستخدمين، بالإضافة إلى الأجهزة المستخدمة، خاصةً في مجال العمل، وقواعد استخدامها، مثل أنظمة التشغيل ووحدات التخزين (USB)، والخدمات والمنصات المختلفة وبرامج الحماية. ففيما يخص القواعد والأساليب المتبعة عرض السيد علاء مثالاُ حول أحد هذه الأساليب وهو خاصية التحقق بخطوتين المفعّلة من قبل العديد من التطبيقات ووسائل التواصل الاجتماعي، أهمها موقع فيسبوك، وجيميل وواتساب، والتي تساعد في التحقق من هوية الشخص المستخدم للتطبيق. ومن الأساليب الأخرى المهملة هي استخدام خاصية تسجيل الخروج من التطبيقات عند الانتهاء من استخدامها؛ حيث يغفل عنها المستخدمون بالعادة، ولكنّها من أكثر الطرق أهمية وتوفيراً للحماية. وأخيراً، تطرق السيد علاء إلى أهمية أو ضمان تطبيق السياسة لدى الشركات أو المؤسسات أو حتى الهيئات التابعة للحكومة وتفعيل البروتوكولات الخاصة بالأمن والحماية الرقمية.
من جهة أخرى، أضاف المتحدّث علاء غزال مداخلة تناولت ماهية الهوية الرقمية، حيث أشار إلى أنها مصطلح يطلق على مجموعة المعلومات والبيانات الشخصية الخاصة المتوفرة بشكل الكتروني والتي تمثلنا كأشخاص على الأنترنت؛ هذا ويندرج تحت عنوان الهوية الرقمية، مفهومين أساسيين: الجمع المباشر والجمع غير المباشر للمعلومات. ويشير الجمع المباشر إلى إمكانية الحصول على المعلومات الواضحة والمصرّح بها من قبل الفرد أو المستخدم عبر البرامج والتطبيقات أو من خلال مشاركاته بأنشطة أخرى كحضور الندوات مثلاً أو التسجيل بأي خدمة أو موقع إلكتروني يتطلب تعبئة بيانات شخصية، وهي تضم الاسم، العمر، مكان الإقامة، البريد الالكتروني، الجنس… وما إلى ذلك. أما الجمع غير المباشر، فهي المعلومات التي يمكن لشركات التطبيقات (كالفيسبوك، وإنستغرام، وزووم..) معرفتها من خلال برمجيات معينة. على سبيل المثال، في حال استخدام تطبيق زووم، يمكن للشركة معرفة التوقيت عند المستخدم، نوع الجهاز المستخدم من قبله، نوع نظام التشغيل، حتى ولو لم يصرّح بذلك بشكل علني، من خلال البرمجيات التي تستخدمها هذه الشركات. كما تطرق الأستاذ غزال إلى موضوع الهندسة الاجتماعية social initiating، حيث يمكن جمع المعلومات للفرد من خلال مراقبة سلوكه على حساباته على الانترنت، مثلاً تعليقاته، آراؤه، الأماكن التي يزورها، دائرة أصدقائه، نشاطاته اليومية، وبذلك يمكن صنع شبكة أكثر تعقيداً من المعلومات حول الشخص وزيادة فرصة مهاجمته، بالتالي ينبغي على المستخدمين أن يكونوا أكثر حرصاً في نوعية المعلومات والبيانات التي يقومون بنشرها عبر الأنترنت، لأنها من الممكن أن تؤدي إلى عمليات أنتحال صفة أو قرصنة أو تصيّد وغيرها من أساليب الاعتداء أو الهجوم من الآخرين. وفي هذا الخصوص، شارك السيد علاء غزال، موقع يستطيع المستخدمون من خلاله معرفة معلوماتهم التي يمكن الوصول لها جراء استخدامهم للأنترنت بأشكاله المختلفة، وهو موقع “تتبّع ظلي أو trace my shadow”، وقد عرض كيف أن هذا الموقع قد أظهر أن شركة زووم على سبيل المثال لديها إمكانية لمعرفة 18 معلومة على الأقل نتيجة المشاركة في هذه الندوة فقط وحضورها عبر التطبيق الخاص بها، وهذا يشير إلى كمية المعلومات التي من الممكن تركها على الأنترنت نتيجة الاستخدام المعتاد أو اليومي. كما تناول السيد علاء جزئية ملفات cookies أو ملفات ارتباط التشعب، الموجودة تقريباً بجميع المواقع الالكترونية، والتي تهدف إلى جمع معلومات عن المستخدمين بهدف استهدافهم كعملاء أو زبائن أو روّاد، بحسب طبيعة الموقع. وأخيراً تم التأكيد على ضرورة الانتباه إلى نوعية المعلومات التي نقوم بنشرها عبر وسائل التواصل الاجتماعي، وكيف أن مشاركة هذه المعلومات، خاصة المتعلقة بالنشاطات والممارسات اليومية، قد يرسم خط زمني وهوية كاملة للفرد المستخدم يمكن استهدافه من خلالها أو استخدامها ضده؛ بالإضافة إلى أهمية إزالة أو محو التطبيقات غير المستخدمة على أجهزتنا، لأنها تقوم بجمع المعلومات عنا حتى في حالة عدم استخدامها.
تعريف بطرق تفادي والحماية من البرمجيات الخبيثة وأساليب القرصنة
يستخدم قراصنة الإنترنت أساليب عديدة لاختراق أو تعطيل شبكات الحاسوب المستهدفة، وقد يكون ضرر بعض هذه الأساليب محدودا يقتصر على سرقة معلومات محددة من حاسوب مستهدف، وقد يكون مدمرا يؤدي إلى تعطيل شبكة بأكملها وتسريب بيانات مستخدميها وبريدهم الإلكتروني.
خلال هذه الفقرة اليوم سوف نقوم بتسليط الضوء على أساليب القرصنة وطرق الحماية منها.
- ما هي أساليب القرصنة المنتشرة.
- طرق الحماية من القرصنة.
- نصائح لحماية البيانات.
بدأ الأستاذ بلند بالتوضيح بأن عجلة التطور تقدمت كلما كانت هناك حاجة ملحة جداً أن نكون على وعي بكيفية التعامل مع الأجهزة ومع هذه الشبكة العنكبوتية، وأن الأمور الرقمية دخلت في جميع تفاصيل حياتنا وهي ليس فقط اللابتوب والموبايل والحسابات البنكية وأما المنتديات ومواقع التواصل الاجتماعي المربوطة بهذه الشبكة العنكبوتية المعقدة، ونحن وفي نفس الوقت إذا لم نكن حذرين سوف نكون مهددين بأن نخترق في أي لحظة، فمن الأساليب المنتشرة التي استخدمها القراصنة للدخول والتجسس على حساباتنا الشخصية هي أساليب عديدة مثل التصيد وانتحال الشخصية وكشف البروتوكولات الخاصة بمواقع الأنترنت والهجوم على المتصفح والعديد من الأمور الأخرى، وحتى لا نزيد الأمور تعقيداً، ونخشى من ذلك الكم الهائل من المسميات والمصطلحات، سوف يتم التركيز على بعض النقاط التي قد تكون بسيطة، مثلاً التصيد. يقوم المتصيدين أحيانا بإرسال رسالة إلكترونية زائفة تطلب الدخول الى الحساب الشخصي أو البنكي لإتمام عملية معينه. ولكن هذه المواقع كلها هي مواقع مزيفة وهي مواقع تصيد فقط. أي بعد ادخال الحساب ممكن أن يتم استخدام معلومات الحساب الخاص بك بصورة غير لائقة ومن الممكن أن يتم انتحال الشخصية واستخدامها في أمور أخرى، مثل بطاقات الائتمان، الضمان الاجتماعي، ورقم الحساب البنكي.
كما أوضح أنه هنالك طرق لتفعيل البرمجيات الخبيثة على الأجهزة من خلال الروابط والصور. ففي معظم الأوقات يتم مشاركة الروابط بين الأصدقاء والعائلة على منصات التواصل الاجتماعي دون معرفة المرسلين باحتواء هذه الروابط والصور على البرمجيات الخبيثة لذلك يجب الحذر عند فتحها أو مشاركتها.
وهنالك طريقة أخرى كانت شائعة جداً وهي واجهة المواقع المشهورة. موقع مشهور مثل موقع الفيسبوك. أحيانا ندخل حساب فيس بوك بشكل يومي وليس هنالك أية مشاكل، وفجأة الحساب يغلق ويطلب منك مرة أخرى أن تدخل كلمة المرور والبريد الالكتروني، يجب عليك التوقف هنا، والتأكد من الرابط. أحيانا لا يكون مكتوب في الرابط فيسبوك، بل يكون هنالك حرف زائد او ناقص او مكرر، هذا يكون موقع وهمي ويسرق معلوماتك من الحساب. وكذلك في كل المواقع الأخرى وأحيانا أيضا تحصل عندما نحمل تطبيقات من مواقع غير موثوقة وتطلب منا تسجيل الدخول الى حساباتنا، من الممكن أن يتم اختراق الحساب في هذه الحالة.
امثلة على برمجيات خبيثة
حصان طروادة
أحياناً عندما نستخدم لابتوب، نجد فيه ملف اسمه ” trojan””هذه الفيروسات تدخل إلى داخل النظام وخصوصا في نظام ويندوز وتنتشر في داخل اللابتوب بصورة سريعة جداً وفي كل أجزاء الجهاز.
كي لوجر “Key logger”
هذا البرنامج يستخدمه المتصيدين أو القراصنة بعد تحميل البرنامج داخل جهازك، هذا برنامج يخزن كل النقرات وكل العمليات التي تحدث داخل الجهاز ويرسلها إلى حساب محدد عن طريق البريد الالكتروني، هذا شيء خطير، فجميع كلمات السر التي تدخلها من جهازك ترسل إلى الشخص الآخر فيجب علينا بين فترة وأخرى تفقد حواسيبنا أن كانت موجودة هذه البرامج فيها أو لا لأن هذه برامج تعتبر مؤذية.
كيف نتفادى هذه المخاطر؟
يجب أن نتأكد قبل أن نفتح أي رابط من أنه موقع موثوق، مثلاً في البداية في بعض المواقع يكون هنالك أربعة أحرف وهي”HTTP” ,وهذا حالياً يعتبر موقع غير موثوق بل يجب أن تكون المواقع التي نستخدمها تبدأ ب “HTTPS” إذا لم يكن حرف “S” موجودا يعني هذا الموقع ربما معرض للاختراق. ويجب أن يبدأ الموقع ب “www.” واسم الموقع وينتهي بالنهايات المتعارف عليها مثل”. Com” او “Org” على سبيل المثال.
كما أوضح الأستاذ بلند عن طريق مشاركة شاشته مع الجميع عن طريقة التأكد من سلامة المواقع الالكترونية، وكيفية التأكد من الشهادة الممنوحة للموقع، وكما ذكر بعض المواقع التي تساعدنا بفحص هذه المواقع والروابط للتأكد من انها امنه.
وذكر الأستاذ عن طريقة الحفاظ على سلامة بياناتك، عن طريق التحديث الدائم للتطبيقات التي تملكها، ومزامنة هذه التحديثات، سواء كان ويندوز او أندرويد او مايكروسوفت أو الآي أو إس، هذه التحديثات تكون تعديلات وحلول للثغرات.
كما أوضح الأستاذ بلند عن طريق مشاركة شاشته مع الجميع عن طريقة التأكد من سلامة المواقع الالكترونية، وكيفية التأكد من الشهادة الممنوحة للموقع، وكما ذكر بعض المواقع التي تساعدنا بفحص هذه المواقع والروابط للتأكد من أنها آمنه. وذكر الأستاذ بلند كيفية الحفاظ على سلامة البيانات عن طريق التحديث الدائم للتطبيقات التي تملكها، ومزامنة هذه التحديثات، سواء كان ويندوز أو أندرويد أو مايكروسوفت أو الآي أو إس، هذه التحديثات تكون تعديلات وحلول للثغرات.
كما أوضح الأستاذ بلند عن طريق مشاركة شاشته مع الجميع عن طريقة التأكد من سلامة المواقع الالكترونية،وذكر الأستاذ بلند نصائح لكتابة كلمة مرور قوية، وأن كلمة المرور تعتبر حاجز الصد الأول لك، وأن كلمة السر يجب ألا تقل عن أربعة عشر حرف أو رمز أو رقم، الأحرف يفضل أن تكون أحرف كبيرة وصغيرة. هذه أربع أمور ضرورية جداً، وإذا أردنا تكون قوية أكثر ممكن أن نضيف لها الخامسة وهي المساحة “Space”.
مشروع آفاق مدنية بقيادة المعهد العربي لحقوق الإنسان وبدعم مشترك من الاتحاد الاوروبي.