الملتقى الدولي الخامس لأمن المعلومات والاتصالات دار النوادر _ دمشق برعاية الجمعية السورية للمعلوماتية والاتحاد العربي لمزودي خدمات الانترنت والاتصالات وشركة السلام للمؤتمرات والمعارض الدولية انطلق في يومي 27 - 28 من شهر تموز لعام /2009/ الملتقى الدولي الخامس لأمن المعلومات والاتصالات المقام في دمشق في فندق ديديمان, وقد حضرت دار النوادر الملتقى يمثلها الأستاذ خليل زنبوعة مدير الموقع الإلكتروني في دار النوادر وقد ضم الملتقى أكثر من 700 مشارك عرب وأجانب من المختصين و المهتمين في مجال تقانة أمن المعلومات والاتصالات من عدة دول عربية وأجنبية نوقش فيه مواضيع مهمة عن المخاطر المحيطة بالمعلومات وعواملها و كيفية الحماية منها وعن مفهوم التوقيع الإلكتروني و كيفية التعامل معه وباقة من المواضيع المتنوعة . جلسات الملتقى: فيما يلي لمحة عما دار في جلسات الملتقى الاثنين 27/7/2009 الجلسة الافتتاحية : تضمنت كلمة لراعيي الملتقى ومهندسين ومختصين في أمن المعلومات مؤكدين على أن قضايا أمن المعلومات والاتصالات من أهم ركائز الاقتصاد الرقمي , وأن هذا الملتقى فرصة لتبادل الخبرات و الآراء والإطلاع على آخر المستجدات في هذا المجال . الجلسة الأولى : أمن الاتصالات والشبكات والانترنت أمن شبكات الاتصالات اللاسلكية الشخصية WPAN _ BLUETOOTH حيث بينت مبادئ عمل هذه الشبكات باعتمادها في استقبال و إرسال المعلومات على الموجات المغناطيسية الكهربائية EM وعن مزاياها في الاستغناء عن الأسلاك والكابلات وتسهيل الاتصال بالصوت والبيانات وأنها تقنية رخيصة الثمن وتستهلك القليل من الطاقة . وأما عن سلبياتها فتكمن في أنه إلى الآن لا يوجد أي برمجيات لمراقبة التطفل على الشبكة وكل جهاز مشارك على الشبكة عرضة للأخطار والاختراق من جهاز آخر, وأن الوكالات بحاجة للأخذ بعين الاعتبار انتهاك السرية عند تنفيذ مثل هذه الشبكات . الجلسة الثانية : اختراق الأنظمة المعلوماتية وطرق حمايتها تضمنت لقاءات مع مسئولين في شركتين من أقوى شركات مكافحة الفيروسات العالمية هي : Bitdefender و Kaspersky ونوقش فيها عوامل اختراق الأنظمة حيث قسمت هذه العوامل إلى قسمين عوامل بشرية ومثالها عندما يفتح المستخدم رسالة مجهولة العنوان من بريده وعوامل تقنية ومثالها برنامج مضاد الفيروسات وقد أشار المحاضرون إلى أن أكبر كمية من الفيروسات تأتي من المواقع الاجتماعية مثل Face book أو البريد الإلكتروني وبينوا أيضاً أن الفيروسات قد يكون هدفها تدمير البيانات أو سرقتها أو عمل Download كبير يسبب البطء أو تكون لأهداف تجارية مثل Spam حيث أن 51% من النصب الإلكتروني موجه ضد أمريكا . وأما عن الحماية من هذه المخاطر فيكون عن طريق اعتماد برنامج مضاد فيروسات قوي وترشيد استخدام الانترنت للمستخدمين . الثلاثاء 28/7/2009 الجلسة الأولى : التوقيع الإلكتروني إن مراحل إنشاء التوقيع الإلكتروني هي : 1_ مرحلة الحصول على الشهادة الرقمية Digital ID 2_ توقيع المستند 3_ التأكد أو التحقق من التوقيع . وقدر صدر قانون خاص في سورية متعلق بموضوع التوقيع الإلكتروني أسند فيه مهمة الاعتمادية للزبون وتوقيعه الإلكتروني لهيئة رسمية تسمى هيئة خدمات الشبكة التي لم تشكل بعد وهي التي سوف تعطي الشهادات ومن المتوقع أن ننتظر عاماً لتفعيل هذه الخدمة وتم عمل تجربة على إنشاء توقيع إلكتروني من موقع مزود للشهادات مجاني الجلسة الثانية : مكافحة الجرائم الإلكترونية وحماية البيانات الشخصية الجريمة الإلكترونية هي نشاط إجرامي الهدف منها الدخول غير المشروع إلى الأنظمة لتغيير البيانات أو سرقتها أو حذفها وقد تستهدف أيضاً الأشخاص من خلال إلحاق الضرر ببياناتهم الشخصية وقد تستهدف أيضاً الدول وخاصة على المستوى الصناعي كدولة ألمانيا مثلاً حيث أنها تخسر سنويا ما يعادل 60 مليون دولار سنوياً نتيجة التجسس على منشآتها الصناعية . والواقع في سورية أن هناك صعوبة كبيرة في إيصال أصوات ضحايا الجرائم الإلكترونية إلى القضاء إلا أن وزارة الاتصالات بادرت بالتعاون مع لجنة من وزارة العدل في وضع مشروع لقانون يعنى بالجرائم الإلكترونية الذي لم يصدر بعد . أما الحلول من أجل الحماية من هذه الجرائم فيكون بتحديد المخاطر المكن للشركة التعرض له وتحديد الوسائل الفيلة بتأمين الحماية ضد هذه المخاطر ويجب أن يكون في كل شركة جهة خاصة مسئولة عن أمن المعلومات والبيانات الموجودة في الشركة ولها وحدها الحق بالدخول إلى البيانات وهي من يسمح ويعطي الصلاحيات للمستخدمين للإطلاع عليها . وفي فقرة خاصة من هذه المحاضرة بينت الأثر الاجتماعي السلبي للانترنت حيث أن عدد مستخدمي الانترنت في العالم 1.5 مليار 90% منهم من الأطفال والمراهقين والشباب وقد وصف البعض الانترنت بأنها شيخ القبيلة القادم ( مصدر المعلومات ) فلابد من التوعية والترشيد في استخدام هذه التقنية وذلك نظرا لخطورتها. الجلسة الثالثة : الحلول الأمنية _ المعايير _ مركز الاستجابة لطوارئ الحاسوب وتكون بتوعية الموظفين وتنبهم على الأخطاء حيث أن العامل الأكبر تهديد المعلومات هوا لعمل البشري الذي يتبلور في عدم وعي الموظف للخطوات والأوامر التي يقوم فيها ويجب عدم السماح لأي شخص كان استخدام الحاسب الخاص والإطلاع على الملفات ويجب أيضاً التأكد من الهوية أي عندما يصلني بريد يجب أن أتأكد أنه نفس الشخص الذي أريده لإن الهكرز قد ينتحل عناوين البريد الإلكتروني بهدف إرسال الفيروسات والاختراق ويجب أن يكون في كل شركة إدارة تسمى إدارة المخاطر مهمتها كشف الاختراقات والفيروسات وردها . تجربة ناجحة في تونس : تم إنشاء منظمة تدعى ISAC اختصار لـ Information Sharing And Analysis Center وهي منظمة حكومية تهدف إلى نشر الإنذارات المبكرة للتهديدات التي يتعرض لها الأعضاء ومكافحة ورد الاختراقات الأمنية وتعزيز الوعي والترابط بين الإنترنت ومختلف القطاعات وحماية المعلومات من المخاطر المتعلقة بالانترنت ويمكن لأي جهة عامة كانت أم خاصة التعامل معها . الجلسة الرابعة : تجارب ناجحة في أمن المعلومات تم خلال الجلسة عرض فيلم للمخابرات السويسرية يبين فيه تقنيات الاتصالات والشبكات التي تستخدمها لتنفيذ أعمالها وملاحقة المجرمين . وأيضا تم الإشارة إلى تقنية حديثة في إخفاء البيانات باستخدام قنوات الصوت والصورة الرقمية Digital Watermarking (العلامة المائية) وهي عبارة عن وسيلة يمكن من خلالها إخفاء رسالة معينة داخل الصورة المرد حمايتها مثلاً وقد تكون هذه الرسالة أرقام عشوائية أو شعار معين وإذا ما تم حماية الصورة بهذه الطريقة سيكون من الصعب على أي شخص آخر التعديل عليها أو نسبها إليه و إذا ما حاول ذلك فإن الكثير من المعلومات سوف تفقد وفي نهاية الجلسة عرضت شركة Phion AG ( النمسا) حلولها وأعمالها في مجال حماية المعلومات حيث أنها تقوم بحماية نحو 85% من البنوك السويسرية . الجلسة الختامية : جلسة الحوار المفتوح في النهاية تم مناقشة موضوع التوقيع الإلكتروني وضرورة إسناده إلى لجنة أو هيئة حكومية والتي هي سوف تمنح التوقيع بناء على المعلومات الشخصية من السجلات المدنية للشخص الزبون وذلك نظراً لخطورة هذا الأمر , وأيضاً إعداد هيئات وجمعيات مختصة بتدريب الناس على التعامل مع التوقيع الإلكتروني . التوصيات : بناءً على أوراق العمل المقدمة والمناقشات التي دارت، خلُص الملتقى إلى ما يلي: 1. ضرورة التوعية المستمرة بأهمية أمن المعلومات والنظم المعلوماتية في الشركات والمؤسسات المختلفة والعمل على اعتماد سياسية أمنية لكل جهة تأخذ بعين الاعتبار طبيعة النظم المعلوماتية لديها ومعايير أمن المعلومات. 2. اعتماد معايير أمن المعلومات التي أطلقتها وزارة الاتصالات والتقانة مؤخراً بالتعاون مع الاتحاد الأوربي في كافة الجهات العامة والخاصة. 3. الدعوة إلى إنشاء جهة وطنية تعمل على تنظيم أمن المعلومات على المستوى الوطني بالتعاون بين كافة أصحاب المصلحة في قطاع المعلومات والاتصالات. 4. حث قطاع التعليم العالي على القيام بالبحوث والدارسات في مجال أمن المعلومات وتبني مشاريع تقانية هامة في مجال أمن المعلومات. 5. الإسراع في إصدار قانون مكافحة الجرائم الالكترونية وحماية البيانات الشخصية نظراً لازدياد هذا النوع من الجرائم الالكترونية مع زيادة استخدام وانتشار الأنظمة المعلوماتية والشبكات والانترنت. وضرورة إسراع وزارتي الداخلية والعدل بتأهيل الكودار الفنية والقانونية والمخابر الجنائية المختصة اللازمة لمعالجة هذه الجرائم. 6. دعوة وزارتي التربية والإعلام والجمعيات الأهلية لنشر الوعي لدى الأطفال والشباب بمخاطر شبكة الانترنت وصولاً لاستخدام آمن للشبكة. 7. ضرورة نشر الوعي حول مفاهيم التوقيع الالكتروني وأهميته في إنجاز الأعمال الالكترونية. إ عداد مدير الموقع الإلكتروني في دار النوادر خليل زنبوعة