400 likes | 582 Views
Chapter 2- CIS109. خصوصية وسرية المعلومات. القضايا الاخلاقية Ethical Issues. القضايا الاخلاقية ترجع الى مبادئ الصح والخطأ التي يعتمد عليها الاشخاص في اختيار اسلوب لحياتهم.
E N D
Chapter 2- CIS109 خصوصية وسرية المعلومات
القضايا الاخلاقية Ethical Issues • القضايا الاخلاقية ترجع الى مبادئ الصح والخطأ التي يعتمد عليها الاشخاص في اختيار اسلوب لحياتهم. • تقرير ما هو صحيح وما هو خطأ ليست مهمة سهلة وليس لها فواصل أي ما يمكن ان يكون صحيح عند مجموعة من الاشخاص يمكن ان يكون خطأ عند آخرين. • أخلاقيات المعلومات في المكتبات ومراكز المعلومات تتضح بكيفية تعامل أخصائي المكتبة والمعلومات مع مصادر المعلومات ومع المستفيد، وعلاقاته المتعددة في هذا الإطار، والقواعد الأخلاقية التي يجب أن تحكم وتنظم هذه العلاقات • القضايا الاخلاقية هي منظمة من المبادئ التي تحدد السلوك الصائب والسلوك الخاطئ بالنسبة لمجتمع ما أو جماعة معينة، وهناك قضايا أخلاقيات التعامل مع المعلومات وأهمها: الخصوصية ودقة المعلومات والملكية وإتاحة الوصول للمعلومات وهناك قيم تحكم مهنة المعلومات كالصدق والتسامح والحرية الفردية والعدل وقيمة الجمال
القواعد الاساسية للأخلاق • القواعد الاساسية التي تعتمد عليها الاخلاق ترتكز على ثلاثة مرتكزات وهي الاعتمادية (Responsibilities), المسؤولية (Accountability), الاحقية (Liability) • الاعتمادية (Responsibilities): وهو معيار مدى قبول الشخص لنتائج قراراته وأعماله • المسؤولية (Accountability): وهي عملية تحديد من هو المسؤول عن تنفيذ الاجراءات والقرارات التي تم اتخاذها • الاحقية (Liability): وهو معيار لقدرة الأشخاص على تصحيح الاخطاء الناتجة عن القرارات التي اتخذت بحقهم من قبل الاشخاص الآخرين أو المنظمات أو الانظمة.
بعض قضايا التعامل مع المعلومات: الخصوصية • الخصوصية تعد مسألة الخصوصية من أهم المسائل الأخلاقية بالنسبة لنظم المعلومات. وعلى الرغم من أن هذه المسألة مثارة من سنوات طويلة قبل دخول تكنولوجيا المعلومات المعتمدة على الحاسوب في الشؤون البشرية إلا أن الحاسوب والتكنولوجيات المتعلقة به قد أوجد احتمالات تعريض الخصوصية للخطر بشكل لم يكن موجوداً من قبل.إن الخصوصية هي حق الفرد في الاحتفاظ بمعلومات معينة عن نفسه دون إفشاء أو كشف إلا بموافقته وحمايتها من الإتاحة غير المصرح بها. • ومن الأمثلة الأخرى ما يتعلق بالسجلات الطبية، فعلى الرغم من أن تحسيبها سيؤدي إلى تحسين نظام الرعاية الصحية فإن هذا التحسين يمكن أن يهدد خصوصية المرضى، ذلك لأن زيادة شبكات الحاسبات التي تحمل قواعد بيانات المرضى لم تعد محكومة داخل مؤسسة واحدة بل هي منتشرة داخل عدة هيئات خصوصاً والسجلات الطبية تتضمن معلومات شخصية حساسة تكشف بعض الجوانب الخاصة في حياة الفرد التي قد يؤدي كشفها إلى حرمان هذا المواطن من مزايا صحية أو تعليمية أو مالية أو غيرها والتحدي الذي يواجهه المشرعون وأصحاب القرارات هو كيفية الوصول إلى التوازن بين حق المواطن في خصوصية المعلومات المتعلقة به وبين الحاجة إلى الوصول إلى المعلومات المناسبة لاستخدامها لصالحه أو للبحوث العلمية
بعض قضايا التعامل مع المعلومات: الخصوصية • كما ان الخصوصية تعتبر هي الحق بان تترك وحيداً, وأن تبقى حراً من دون أي تدخل خارجي. • خصوصية المعلومات وهي الحق يتحديد متى ولاي مدى يحق للآخرين جمع ومعرفة بيانات عنك أو عن المجموعات او المؤسسات. • الخصوصية تعتمد على أساسين: • الخصوصية غير مطلقة (تنتهي حريتك عندما تبدأ حرية الآخرين) • الحق العام يلغي الحق الخاص
بعض قضايا التعامل مع المعلومات: دقة المعلومات • إن ضمان نوعية ودقة المعلومات التي تختزن في قواعد المعلومات ليس أقل أهمية من الحفاظ على سرية هذه المعلومات وذلك لأن حياة الأفراد يمكن أن تعتمد على هذه المعلومات...، وبالتالي فيجب أن تخضع هذه المعلومات لأعلى المعايير في الدقة والنوعية
بعض قضايا التعامل مع المعلومات: الملكية • تتطلب أنشطة المعلومات استخدام المصادر المطبوعة والمصادر غير المطبوعة والمصادر الإلكترونية. وإن نسخ أو نقل هذه المعلومات هو ضرورة، وعلى الرغم من أن الدافع الأولي للناشرين ومنتجي قواعد البيانات الإلكترونية هو الربح الذي يتحقق عن طريق البيع أو التأجير لمنتجاتهم، فإن الدافع لدى الكثير من مقدمي المعلومات وخاصة أمناء المكتبات هو إتاحة المعلومات للمستفيد بتكلفة منخفضة. • إن المشاعر الأخلاقية للفرد فيما يتعلق بطاعة القانون واحترام حقوق ملكية المصنفات قد تتعارض مع الالتزام أو الواجب الأخلاقي للفرد بتقديم المعلومات.وهناك العديد من الأمثلة على المشكلات التي تحدث في المكتبات ومراكز المعلومات في هذا الخصوص ومنها إتاحة نسخ أو تصوير المطبوعات للمترددين على المكتبة، فبعض المكتبات تمنع تصوير المطبوع كله وتقصر التصوير على عدد معين من الصفحات، لكن ذلك يمكن التغلب عليه بأن يقوم الفرد بتصوير المطبوع كله في عددٍ من المرات وليس في مرة واحدة. وبعض المكتبات تضع آلات التصوير التي تعتمد على الاستخدام الذاتي من جانب الفرد ومن ثم فلا قيود على النسخ أو التصوير.ومن الظواهر الشائعة الآن النسخ غير المصرح به لبرامج الحاسوب...وعلى كل حال فالقانون يعاقب على النسخ غير المسموح به بأشكاله كلها ولكن المشكلة هي في كيفية تطبيق القانون، والموازنة بين النسخ لأغراض شخصية والنسخ لأغراض تجارية.
بعض قضايا التعامل مع المعلومات: إتاحة الوصول للمعلومات • تعمل المكتبات وغيرها من مرافق المعلومات على إتاحة المعلومات لطالبيها لكن هناك العديد من الأسئلة التي تثار هنا منها هل تتاح المعلومات مجاناً أو بمقابل، خاصة بعد أن تبين أن تكاليف الحصول على مصادر المعلومات وتجهيزها واختزانها وإتاحتها أصبحت مرتفعة للغاية ومرهقة للميزانيات المقررة لمرافق المعلومات • يرى بعضهم أن من حق المواطن الحصول على المعلومات مجاناً وبعضهم الآخر يرى أنه لا بد أن يساهم في التكاليف وعلى أية حال فالظروف الحالية تتطلب أن يساهم الفرد ولو بقدر قليل من التكلفة. • تتطلب الإفادة من المعلومات ضرورة أن يكون الفرد قادراً على استخدام الأجهزة الحديثة دون إهدار لمال أو وقت وهنا يثور سؤال ما حدود تدريب المستفيدين ومحو أميتهم الإلكترونية ومن المسؤول عن ذلك؟ وعلى الرغم من البرامج الكثيرة التي تقدمها بعض المكتبات ومراكز المعلومات لتدريب المستفيدين إلا أن عدم تدريب المستفيدين في بعض المكتبات قد يكون عائقاً عن الإفادة من المعلومات. • إذا كان من حق كل مواطن الحصول على المعلومات فكيف يمكن إتاحة المعلومات للمعاقين أو لذوي الحاجات الخاصة وما يتطلبه ذلك من نفقات إضافية؟ هناك الآن تكنولوجيات حديثة تتيح للمعاقين الاستفادة من المعلومات ومن ثم فإن علم المكتبات التزامات أخلاقية تجاه تلبية طلبات مثل هذه الفئات في الحصول على المعلومات
بعض قضايا التعامل مع المعلومات: اختيار مصادر المعلومات والرقابة • هناك الآن العديد من مصادر المعلومات التقليدية وغير التقليدية المتاحة في سوق النشر والإنتاج ولكن ما دور المكتبات ومراكز المعلومات في الاختيار من هذه المصادر واقتنائها لصالح المستفيدين منها؟ على الرغم من أن هناك من يرى أنه ليس شيئاً منتجاً لا قيمة له وأنه ليس هناك شخص يمكن أن يساء إليه إذا ما قرأ أي شيء، وأن قراءة الكتب الجيدة شيء مفيد وأن هذا إفراط في الحرية وأنه إذا عددنا المكتبات وغيرها من مرافق المعلومات مؤسسات إعلامية تثقيفية تعليمية فإن الواجب الأخلاقي يقتضي مراعاة ظروف المجتمع الذي توجد فيه المكتبة أو مركز المعلومات. • إن هذا يقتضي أن يحرص أخصائيو المكتبة والمعلومات على الاختيار الجيد لمصادر المعلومات التي تحقق احتياجات المستفيدين دون إخلال بالسلوك العام ودون حجر على حرية الرأي السديد والنافع
بعض قضايا التعامل مع المعلومات: الخدمة المرجعية والرد على أسئلة القراء • تهدف الخدمة المرجعية في المكتبات إلى الرد على أسئلة واستفسارات القراء إما بتقديم المعلومات المطلوبة أو بتقديم المصادر التي تشتمل على المعلومات. وهنا تثار عدة نقاط ذات علاقة بالجوانب الأخلاقية. • إن الممارسات الفعلية تخضع لبعض الأحكام الذاتية الخاصة بتفضيل بعض الأسئلة التي تأتي من الإدارة العليا للمؤسسة أو من كبار المسؤولين وهنا قد يسوغ أخصائيو المكتبة أولوية خدمة هؤلاء لأن المعلومات التي تقدم إليهم لا تخدمهم بصفاتهم الشخصية ولكنها تخدم اتخاذ قرارات بالآلاف بل ربما بالملايين. وقد يتطلب الأمر في بعض الأحيان الرد على بعض الأسئلة على أساس أخلاقي كالذي يطلب مثلاً معلومات عن كيفية فتح الأقفال أو الخزائن أو أفضل الطرق للانتحار بلا ألم أو كيفية علاج مرض من الأمراض أو كيفية تحضير غاز الأعصاب أو المتفجرات.. وتخضع مثل هذه الأمور للتجريم القانوني في العادة إلا أن الأمر يتطلب أن يكون القائم بالخدمة المرجعية على دراية بالأخلاقيات المهنية. وعموماً فإن الاتجاه العام هو الموضوعية والخدمة المتساوية لرواد المكتبة قدر الإمكان كلهم، ذلك لأن ردود هذا السلوك الأخلاقي لأخصائي المكتبة لا يعود عليه وحده ولكنه يعود على الهيئة التي تنتمي إليها المكتبة إيضاً.
بعض قضايا التعامل مع المعلومات: قيم مهنة المعلومات • من المفيد أن نشير هنا إلى القيم التي تدعم المبادئ الأخلاقية للسلوك المهني للفرد. هناك على الأقل خمس قيم لمهنة المعلومات يمكن أن تخدم كقيمٍ للفرد وللمؤسسة أيضاً وهي على النحو التالي: 1ـ قيمة الصدق Truthإن ذلك يعني أن يكون أخصائي المكتبة صادقاً وصحيحاً في تعامله مع مصادر المعلومات ومع زملائه ومع المترددين على المكتب 2ـ قيمة التسامح Toleranceأي يجب على الأخصائي ألا يكون متحيزاً لفكر معين وإنما يعمل على إتاحة الأفكار المختلفة وأن يقبل كقيمة حق الناس في المعلومات حتى لو عدها بعضهم غير مقبولة. 3ـ قيمة الحرية الفردية Individual Liberty إن الهدف من خدمات المكتبات والمعلومات هو مساعدة الأفراد في مساعيهم الفردية من أجل حياة أفضل، ومن ثم فإن على أخصائي المعلومات العمل من أجل أن تستجيب خدمات المكتبات والمعلومات لرغبات وحاجات المستفيدين من المعلومات. 4ـ قيمة العدل Justice إن هذه القيمة تتعلق بكل من المستفيدين من المعلومات وأخصائيي المعلومات. إنها تتضمن الإتاحة المتساوية للخدمات المكتبية للمواطنين كلهم، وذلك يعني أيضاً أن كل الأفراد يجب أن يتلقوا أفضل نوعية ممكنة من الخدمة، وأن تتاح الخدمات دون نظر لاهتمامات مثل السن أو الجنس أو الدين أو الأصل أو ما إلى ذلك.وتتضمن هذه القيمة أيضاً المعاملة العادلة للعاملين كافة بالمكتبة من جانب المديرين، وهي تتضمن كذلك أن العاملين يجب أن يعامل بعضهم بعضاً بطريقة لائقة.4 . 5ـ قيمة الجمال Beautyيجب على أخصائي المكتبة أن يعمل على إتاحة المجموعات المفيدة في أغراض المتعة والتعليم، مثل الأعمال ذات القيمة الجمالية العالية في الأدب والفن والأعمال التي تساعد على الترويح والاستمتاع للأفراد
Codes of ethics • دساتير الأخلاقيات المهنية Codes of ethics يعرف دستور الأخلاقيات أنه بيان بالمثاليات والقواعد التي تبين السلوك الذي ينبغي اتباعه من جانب أعضاء جماعة مهنية معينة. ويعد توافر دستور للأخلاقيات الخاصية الأساسية الأولى لوجود مهنة من المهن والغرض منه هو تقديم القواعد المرشدة للمكتبيين وأخصائيي المعلومات بالنسبة لمسؤولياتهم وأولويات عملهم وبعث الروح لديهم للارتقاء بمثاليات المهنة وتدعيم رسالتها. • وهنالك العديد من نماذج دساتير الأخلاقيات المهنية في مجال المكتبات والمعلومات منها: • الدستور الأخلاقي لجمعية المكتبات الأمريكيةأقرت الجمعية الأمريكية للمكتبات القواعد التالية في عام 1981 1- يجب على أخصائيي المكتبات أن يقدموا أعلى مستوى في الخدمة عن طريق المجموعات المناسبة وأن يقدموا خدمات الإعارة للجميع وأن يستجيبوا للأسئلة التي توجه إليهم بمهارة وبدقة ودون تحيز. 2ـ يجب على الأخصائيين مقاومة مختلف جهود الجماعات أو الأفراد للرقابة على المواد المكتبية. 3 ـ يجب أن يعمل الأخصائيون على حماية حق المستفيدين في الخصوصية بالنسبة للمعلومات المرغوبة أو التي يتسلمونها أو يستشيرونها أو يستعيرونها أو يحصلون عليها. 4 ـ يجب على الأخصائيين الالتزام بالمبادئ الخاصة بالمساواة في العلاقات بين الزملاء. 5 ـ يجب على الأخصائيين التمييز الواضح بين اتجاهاتهم وفلسفتهم الشخصية وتلك المتعلقة بالهيئة التي يتبعونها. 6 ـ يجب على الأخصائيين تجنب المواقف التي يمكن أن تعكس مصالح شخصية أو مزايا مادية على حساب المستفيدين من المكتبة أو على حساب زملائهم أو المؤسسة التي يتبعونها.
الرقابة على المعلومات • تعد إجراءات الرقابة اكثر أهمية في نظم المعلومات المحاسبية الإلكترونية عن تلك المتبعة في نظم اليدوية لعدة أسباب أهمها : 1. يتم معالجة قدر كبير من البيانات المحاسبية بواسطة الكومبيوتر يفوق تلك التي تعالج يدوياً مما ينتج عنه زيادة احتمال ارتكاب أخطاء . 2. يتم جمع ومعالجة وتخزين بيانات العمليات المحاسبية في صورة غير قابلة للقراءة لا يمكن للإنسان مراقبة هذه البيانات والتحقق من دقتها وموضوعيتها والتي كان يسهل إجرائها تحت النظام اليدوي للمعلومات المحاسبية . 3. يصعب تتبع مسار التدقيق مما قد يترتب عليه احتمال قيام الموظفين غير الأمناء باختلاس مبالغ طائلة من الوحدات الأقتصادية التي يعملون بها .
مفهوم وأساليب الرقابة على التطبيقات • يطلق مصطلح "أساليب الرقابة على التطبيقات" على تلك الأساليب المستخدمة في نظم المعلومات المحاسبية الإلكترونية، وهي تتعلق بوظائف خاصة يقوم بأدائها قسم معالجة البيانات إلكترونيا ، وتهدف إلى توفير درجة تأكد معقولة من سلامة عمليات تسجيل ومعالجة البيانات وإعداد التقارير. وهناك عدد من الإجراءات والسجلات التي يمكن أن تؤثر على أساليب الرقابة على التطبيقات. وتقسم غالباً أساليب الرقابة على التطبيقات إلى ثلاثة مجموعات وهي : • أساليب الرقابة على المدخلات • أساليب الرقابة على معالجة البيانات • أساليب الرقابة على المخرجات.
أساليب الرقابة • أساليب الرقابة على المدخلات Input control: وتهدف إلى توفير درجة تأكد معقولة من صحة اعتماد البيانات التي يتسلمها قسم معالجة البيانات بواسطة موظف مختص ومن سلامة تحويلها بصورة تمكن الكمبيوتر من التعرف عليها. ومن عدم فقدانها أو الإضافة إليها أو حذف جزء منها أو طبع صورة منها أو عمل أي تعديلات غير مشروعة في البيانات المرسلة حتى وان كان ذلك من خلال خطوط الاتصال المباشرة . وتشمل أساليب الرقابة على المدخلات على تلك الأساليب التي تتعلق برفض وتصحيح وإعادة إدخال البيانات السابقة رفضها . • 2. أساليب الرقابة على معالجة البيانات Processing control : وتهدف إلى توفير درجة تأكد معقولة من تنفيذ عمليات معالجة البيانات إلكترونيا طبقاً للتطبيقات المحددة ، بمعنى معالجة كافة العمليات كما صرح بها وعدم إغفال معالجة عمليات صرح بها وعدم معالجة أي عمليات لم يصرح بها .3. أساليب الرقابة على المخرجات Out put control : وتهدف إلى تأكيد دقة مخرجات عمليات معالجة البيانات (مثل قوائم الحسابات أو التقارير أو أشرطة الملفات الممغنطة أو الشيكات المصدرة) وتداول هذه المخرجات بواسطة الأشخاص المصرح لهم فقط بذلك .
أساليب الرقابة • يتضح من السابق أن الهدف الرئيسي لأساليب الرقابة على التطبيقات هو تأكيد صحة وشمولية عمليات معالجة البيانات المحاسبية وان لا توزع تلك البيانات التي تم معالجتها إلا على الأشخاص المصرح لهم بتداولها . وتعد غالبية أساليب الرقابة على التطبيقات أساليب رقابة وقائية اكثر من كونها رقابة بالتغذية العكسية . ويضمن العديد منها هدف اكتشاف الأخطاء التي يصعب اكتشافها في غياب مثل هذه الأساليب ، إذ يمثل ذلك عاملاً هاماً في ظل النظم الإلكترونية حيث يفقد عنصر الفراسة والفطنة البشرية وقدرة الإنسان على الحكم أهميته في ظل هذه النظم. ويمكن وضع إطار لنظام متكامل للرقابة الداخلية يقوم على المفهوم الواسع للرقابة الداخلية ، حيث يقسم إلى ثلاثة نظم فرعية هي: الرقابة الإدارية ، الرقابة المحاسبية ، والرقابة التشغيلية . ولكل نظام من النظم الفرعية هدف يسعى إلى تحقيقه من خلال مجموعة من الإجراءات الرقابية الملائمة . وتتكامل هذه النظم الفرعية لتحقيق في النهاية الهدف العام النظام الرقابة الداخلية وهو منع أو اكتشاف أو الرقابة على تصحيح الأخطاء والمخالفات وتدنية خسائرها .
طرق جمع المعلومات • المراقبة الالكترونية (Electronic surveillance) وذلك عن طريق: • الكاميرات الموجودة في الاماكن العامة • الكاميرات الموجودة في أماكن العمل • مراقبة المواقع التي يتم الدخول عليها (تصفية المواقع) • مراقبة البريد الالكتروني (E-mail) • مراقبة دخول وخروج الموظفين • المعلومات الشخصية الموجودة في قواعد البيانات • معلومات الموظفين في شركاتهم • معلومات الطلاب في جامعاتهم • معلومات المشتركين في الشبكات الخلوية • معلومات المواطنين في دائرة الأحوال المدنية وشركات الكهرباء والمياه والتلفون وغيرها
طرق جمع المعلومات • المعلومات الموجودة في لوحات الاعلانات, الجرائد, المجلات, والمواقع الدعئية. • المكالمات التلفونية • بطاقات الصراف الآلي • الاستعلامات التي تكتبها باستخدام محركات البحث (Search engines) • جمع البيانات محصور بمدى ملائمة المعلومة المطلوبة ومدى الخدمة المنتظرة (فتح حساب داخل بنك يتطلب معلومات شخصية يحددها صاحب البنك ويوافق عليها صاحب الحساب)
المعلومات الموجودة في لوحات الاعلانات, الجرائد, المجلات, والمواقع الدعئية
حرب المعلومات • من يتحكم في المعلومات؛ على ما نرى أو ما نسمع أو ما نعمل أو ما نفكر فيه، وكلها حول المعلومات، إنها حرب معلومات. • ومصطلح حرب المعلومات Cyber War ومترادفاته؛C4I ، I-WAR ، IW يستخدم بكثافة هذه الأيام في وسائل الإعلام المختلفة، وغالبا ما يُساء فهمه على أنه يعني استخدام الأسلحة عالية التقنية في الجيوش التقليدية، والصحيح أن في حرب المعلومات تختفي المدافع والصواريخ أو تتأخر للخلف، وتتقدم الحواسب للخطوط الأمامية للجبهات، وهي في كل مكان وفي اللامكان أيضا cyberspace، ولا مجال للالتحام المباشر! • وحرب المعلومات أوinformation warfare هي استخدام نظم المعلومات لاستغلال وتخريب وتدمير وتعطيل معلومات الخصم وعملياته المبنية على المعلومات ونظم معلوماته وشبكات الحاسب الآلي الخاصة به، وكذلك حماية ما لدي من كل ذلك من هجوم الخصم؛ لإحراز السبق، والتقدم على نظمه العسكرية والاقتصادية. • وليس من الضروري أن تنشب تلك الحرب بسبب عداء تقليدي، بل قد تنشب مع منافس تجاري أو اقتصادي، أو خصم ثقافي.
تعريف حرب المعلومات • لعل أحد الأسباب التي أدت لإساءة فهم معنى ومجال حرب المعلومات في وسائل الإعلام هو عدم وجود تعريف رسمي لحرب المعلومات أو (IW)، فهي ما زالت جديدة نسبيا... وبالمقارنة بالتعريف الوارد في مقدمة هذا المقال يحصر البعض النظر إلى حرب المعلومات بمنظار عسكري، فلا يمكن لوزارة الدفاع الأمريكية النظر إلى حرب المعلومات إلا على أنها الأعمال التي تتخذ لإحراز التفوق المعلوماتي بمساعدة الإستراتيجية القومية العسكرية للتأثير سلبا على معلومات العدو ونظم معلوماته، وحماية ما لدي من معلومات ونظم. • ومع ما سبق من تعريفات لحرب المعلومات واختلاف وجهات وزوايا النظر إليها، فإن "وين شوارتو" يعرف حرب المعلومات عن طريق فصلها إلى ثلاثة مستويات: شخصية، ومؤسسية، وعالمية.
حرب المعلومات الشخصية • يتم فيها الهجوم على خصوصية الأفراد في الفضاء المعلوماتي بالتنصت عليهم ومراقبة شؤونهم الإلكترونية عبر البريد الإلكتروني، ومكتب التحقيقات الفيدرالية الأمريكية له برنامج carnivoreالشهير في التلصص على البريد الإلكتروني. • كذلك العبث بالسجلات الرقمية وتغيير مدخلاتها المخزونة في قواعد البيانات... وفيلم الشبكة The Net يعتبر مثالا دراميا يقرب الصورة لنتائج حرب المعلومات الشخصية، حيث لفق للشخصية الرئيسية فيه تهم القتل وتهريب المخدرات، بل وطمست شخصيتها الحقيقة واستبدلت هويتها بهوية جديدة.
حرب المعلومات بين الشركات والمؤسسات • وهي حرب تدور ضمن إطار المنافسة أكثر من العداء إلا أنها ليست بالشريفة بأي معيار، وتسودها قوانين الحرب التي قوامها استباحة كل شيء لتعطيل المنافس وتهديد أسواقه، فقد تقوم شركة باختراق النظام المعلوماتي لمنافسها، وتسرق نتائج وتفاصيل أبحاثه، ليس هذا فحسب بل قد تدمر البيانات الخاصة بمنافسها أو تستبدلها ببيانات زائفة في لمح البصر، وتستطيع بعد هذه الجولة من الحرب المعلوماتية أن تجعل الأمر يبدو كما لو كان حادثا أحدثه فيروس كمبيوتري. • وقد تنشر شركة منتجة للدواء أبحاثا على الإنترنت تتهم مركبا ما بأنه يسبب سرطان الرئة (بالطبع دون ذكر المنافس)، وهذا المركب تستخدمه شركة أخرى في إنتاج دواء لعلاج الربو! • وتهديد أسواق المنافس، فن له أصول فلا داعي لإقحام سيرة المنافس، فقد يكون الاتهام موجها لمكون لا ينتجه المنافس بل ينتجه طرف ثالث لا يدخل دائرة المنافسة... أما الإعلان عن المكتشف من هذه الحروب فقليل ضعيف، إذ غالبا ما تخشى الشركات والمؤسسات التأثير السلبي للإعلام عليها، هذا غير ما لم يكتشف منها وهو أكثر بكثير وغير معلوم مداه تحديدا.
حرب المعلومات العالمية • ينشب هذا النوع من الحرب المعلوماتية بين الدول وبعضها البعض، أو قد تشنه القوى الاقتصادية العالمية ضد بلدان بعينها، لسرقة أسرار الخصوم أو الأعداء وتوجيه تلك المعلومات ضده.. وهي حروب قائمة وجارية بالفعل، واللغط المثار حول نظام التجسس الأمريكي- البريطاني إيشلون echelon هو أبزر تجليات تلك الحرب، وأحدث وأكثر قضاياها سخونة على الساحة العالمية مؤخرا. • هذا هو التعريف ودوائره، وبعض ملامح استخداماته، أما عن الأسلحة التي تستخدم في هذه الحرب فسوف نتعرض لها بالإيجاز في الجزء التالي. • وأيا كان نوع أو دائرة الحرب المعلوماتية التي تشن ضد فرد أو مؤسسة أو دولة، فلا بد لها من أسلحة يمكن باستخدامها إلحاق الهزيمة بالخصم أو العدو، وبعض الأسلحة قاصر على نوع معين مثل أسلحة حرب المعلومات العسكرية، والبعض الآخر يمكن استخدامه في أي مجال من مجالات حرب المعلومات.
التهديدات لأمن المعلومات • بعض العوامل التي ادت الى زيادة الضعف في قيمة المعلومات (زيادة التهديد لامن المعلومات) الموجودة في الشركات والمؤسسات • شبكة الانترنت, الشبكات المحلية و الشبكات اللاسلكية (Wireless). • التشريعات القانونية • رخص وزيادة سرعة وقدرة التخزين في وحدات التخزين • قلة المهارات الواجب توفرها في قراصنة الشبكات • الجرائم التي تحدث على الانترنت • عدم المقدرة على تحديد المسؤولية النهائية • الزيادة المضطردة في استخدام الاجهزة الغير آمنة (غير قادرة على ادارتها) • ضعف في الادارة العامة.
التهديدات لأنظمة المعلومات • الافعال الغير مقصودة • الكوارث الطبيعية • الاعطال التقنية • النقص في الخبرة الادارية • الافعال المقصودة
الافعال الغير مقصودة • الاخطاء البشرية وتشمل: • الخطأ في ادخال البيانات • الحراس والبوابين (Janitors and Guards) • النظر على اجهزة الآخرين (Shoulder surfing) • الاهمال في أجهزة الحاسوب المحموله • الاهمال في الاجهزة المحموله • الرد على الايميلات التي تحتوي على اسئله • عدم الاهتمام بتصفح الانترنت والدخول لمواقع غير معروف طبيعتها • ضعف في كلمات المرور المختارة • الاهمال في المكاتب والاوراق الموجودة داخل المكاتب • الاهمال في المواد المتلفة • الاهمال والكسل والجهل وقلة الخبرة
التهديدات لأنظمة المعلومات • الكوارث الطبيعية وتشمل الفياضانات, الزلازل, الهزات الارضية, الاعاصير, البرق, الحرائق, تذبذب الخدمات المتوفرة نتيجة طبيعة المنطقه. • الاعطال التقنية: المشاكل في المعدات (Hardware), البرمجيات (Software), وسائل التخزين (Storage media). • النقص في الخبرة الادارية: وهذا يسبب في قلة المعرفة في المعلومات والجهل في طرق الحفاظ عليها وقلة المخصصات المالية المخصصة للحفاظ عليها.
الافعال المقصودة • التجسس (Espionage or trespass) • الابتزاز في الحصول على المعلومات (Information extortion) • التخريب والتشويه (Sabotage or vandalism) • سرقة البيانات والمعدات (Theft of equipments or information) • سرقة الاوراق والاثباتات الشخصية (Identity theft) • الاعتداء على الملكية الفكرية (Compromised to intellectual property) • براءة الاختراع, السر التجاري, حقوق الملكية الفكرية • الهجوم على البرامج (Software attacks) • الحرب على الارهاب (Cyberterrorism and cyberwarfare)
الهجوم على البرامج (Software attacks) • وأيا كان نوع أو دائرة الحرب المعلوماتية التي تشن ضد فرد أو مؤسسة أو دولة، فلا بد لها من أسلحة يمكن باستخدامها إلحاق الهزيمة بالخصم أو العدو، وبعض الأسلحة قاصر على نوع معين مثل أسلحة حرب المعلومات العسكرية، والبعض الآخر يمكن استخدامه في أي مجال من مجالات حرب المعلومات، وهذه الأسلحة هي: • فيروسات الكمبيوتر:والفيروسات معروفة جيدا في كل بيئة مبنية على استخدام الحاسب الآلي؛ لذا لن يكون مستغربا أن تستخدم الفيروسات لضرب وتعطيل شبكات الخدمات والبنية التحتية للأعداء، فمثلا يمكن شل أو على الأقل إحداث فشل عام في شبكة الاتصالات لدولة ما، طالما كانت شبكة اتصالاتها مؤسسة على الكمبيوتر، وقد حدث ذلك بالفعل مع نظام شركة AT&T الأمريكية في 15 يناير سنة 1990. • الديدان Worms:والدودة عبارة عن برنامج مستقل، يتكاثر بنسخ نفسه عن طريق الشبكات، وإذا لم تدمر الدودة البيانات، مثل الديدان التي تنتشر عبر الإنترنت؛ فهي قد تقطع الاتصالات، كما أنها قادرة على تغيير شكلها، ومن هنا اختير لها لفظ worm والذي يعني بالإنجليزية إما دودة أو أفعى، للجمع بين سرعة انتشار الأولى وقدرة الثانية على تغيير جلدها، وهي غالبا عندما تستخدم في حروب المعلومات تستهدف الشبكات المالية المؤسسة على الكمبيوتر، مثل شبكات البنوك، أو البورصات.
الهجوم على البرامج (Software attacks) • أحصنة طروادة Trojan horses:حصان طروادة عبارة عن جزء من الشفرة أو برنامج صغير مختبئ في برنامج أكبر، غالبا ما يكون من النوع ذائع الانتشار والشهرة، ويؤدي حصان طروادة مهمة خفية، هذه المهمة غالبا ما تكون إطلاق فيروس أو دودة. وحصان طروادة المبرمج بمهارة لا يمكن اكتشاف وجوده؛ إذ دائما ما يمسح آثاره التي لا تحمل صفة تخريبية. وأحصنة طروادة لها دور هام وهو إضعاف بيئة الخصم قبل اندلاع المعركة؛ حيث تقوم مثلا بإرسال بيانات عن الثغرات الموجودة في نظام ما، وكذلك إرسال كلمات المرور السرية الخاصة بكل ما هو حساس من مخزون معلومات العدو. • القنابل المنطقية logic bombs:نوع من أحصنة طروادة، يزرعها المبرمج داخل النظام الذي يطوره أو تكون برنامجا مستقلا، والدول التي بسبيل شن حرب معلوماتية على أخرى تستخدم هذا النوع في التلصص والتجسس والوقوف على حالة الدولة المعادية، فمثلا يمكن للانتشار غير المنافس لبرامج التطبيقات والنظم الآلية التي تنتجها الولايات المتحدة الأمريكية - مثل مايكروسوفت يونكس - أن تقرر أمريكا عند نشوب حرب إلكترونية بينها وبين أي دولة أخرى معادية أو منافسة، أن يقوم البرنامج (البريء) بإرسال أي ملف يحتوي على عبارات معينة أو أي كلمات تكون ذات حساسية مثل “war against the USA”، وإرسال برد إلكترونية إلى الاستخبارات المركزية الأمريكية CIA، كما يمكن للنظام مثلا أن يقوم بعمل formatting للأقراص الصلبة.
الهجوم على البرامج (Software attacks) • الأبواب الخلفية backdoors:وهي ثغرة تترك عن عمد من مصمم النظام؛ للتسلل إلى النظام عند الحاجة، وتجدر الإشارة إلى أن كل البرامج والنظم التي تنتجها الولايات المتحدة الأمريكية تحتوي على أبواب خلفية تستخدمها عند الحاجة، وهو ما يمكن هيئات وأركان حرب المعلومات من التجوال الحر داخل أي نظام لأي دولة أجنبية. • الرقائق chipping:تماما مثلما يمكن للبرامج والنظم software أن تحتوي على وظائف غير معروفة أو متوقعة، فمن الممكن أن تحتوي بعض الرقائق على مثل تلك الوظائف، والمصانع الأمريكية تنتج الملايين من تلك الرقائق، وهم سادة العالم في هذه الصناعة الدقيقة؛ حيث يمكن للدوائر المجمعة IC’s التي تشكل هذه الرقائق أن تحتوي على وظائف إضافية أثناء تصنيعها، لا تعمل في الظروف العادية، إلا أنها قد تعلن العصيان في توقيت معين، أو بالاتصال بها عن بعد؛ حيث يمكن أن تستجيب لتردد معين لبعض موجات الراديو، فتشل الحياة في مجتمع أو دولة ما.
الهجوم على البرامج (Software attacks) • الماكينات والميكروبات فائقة الصغر: ويطلق عليها Nano machines and Microbes، وهي على عكس الفيروسات التي تصيب برامج ونظم المعلومات، يمكنها إصابة عتاد النظام نفسه hardware.. فالـ Nano machines عبارة عن robots فائقة الصغر (أصغر من صغار النمل مثلا) قد تنتشر في مبنى نظام معلوماتي في دولة معادية أو منافسة؛ حيث تتفشى في الردهات والمكاتب حتى تجد حاسبًا آليا، وتدلف إليه من خلال الفتحات الموجودة به، وتقوم بإتلاف الدوائر الإلكترونية به.أما الميكروبات؛ فمن المعروف أن بعضًا منها يتغذى على الزيت، فماذا لو تم تحويرها جينيًّا لتتغذى على عنصر الـ silizium المكون الهام في الدوائر الإلكترونية؟ إن هذا يعني تدمير وإتلاف الدوائر الإلكترونية بأي معمل به حاسبات آلية أو حاسب خادم server لموقع على الإنترنت، أو مبنى هام أو حساس يدار بالكمبيوتر، أو حتى مدينة بأسرها عن طريق إتلاف دوائر التحكم الإلكترونية فيها، والتي تقوم على مرافقها الحيوية. • الاختناق المروري الإلكتروني: يمكن سد وخنق قنوات الاتصالات لدى العدو، بحيث لا يمكنهم تبادل المعلومات فيما يسمى بالـ Electronic Jamming، وقد تم تطوير هذه الخطة بخطوة أكثر فائدة، وهي استبدال المعلومات، وهي في الطريق بين المستقبل والمرسل بمعلومات مضللة.
الهجوم على البرامج (Software attacks) • مدافع HERF، وقنابل EMP:أما المدافع؛ فهي عبارة عن مدافع تطلق موجات راديو مركزة وعالية الطاقة والتردد high energy radio frequency، والتي يمكنها تعطيل وإتلاف أي هدف إلكتروني، وقد يتراوح الضرر من ضرر متوسط بغلق شبكة حاسب مثلا أو إعادة تشغيله بشكل دوري، فلا يمكن استغلاله، أو ضرر بالغ بإعطاب العتاد الخاص بالحاسب أو الشبكة بشكل لا يمكن بعده إصلاح الحاسب أو الشبكة.أما قنابل EMP فهي تشبه المدافع غير أنها تستخدم نبضات إلكترومغناطيسية ElectroMagnetic Pulse؛ حيث يمكن التسلل إلى مواقع العدو الإلكترونية الحساسة والهامة، وإلقاء هذه القنابل، التي سوف تتلف كل الحواسب والشبكات في دائرة انفجارها غير المدوي أو المشتعل، وهي وإن كانت أصغر حجما من مدافع HERF، إلا أنها أوسع وأبعد أثرا؛ حيث لا اختيار لهدف مع القنبلة، بينما قذيفة مدفع HERF تنتقي هدفها. والنوع الأخير من أسلحة حرب المعلومات يستخدم في الأغراض العسكرية، والتي توليها الأمم أهمية عظيمة، وهي وإن كانت تسميتها تشتمل على لفظي "مدفع وقنبلة"، إلا أن العبرة هنا بالهدف لا بالسلاح نفسه؛ • Denial of service attack هجوم يقوم بارسال مجموعة كبيرة من الطلبات بحيث لا يستطيع النظام تحمل هذا العدد الكبير من الطلبات مما يؤدي الى فشل النظام
حماية مصادر المعلومات • لحماية مصادر المعلومات يجب في البداية تحليل وادارة الخطر (Risk analysis and management) • الهدف من تحليل التهديد (Risk analysis ) هو معرفة الشيء المراد حمايته وتقدير مستوى الحماية الواجب توفره لهذا الاصل. • الهدف من ادارة التهديد (Risk management) هو التعرف والتحكم والتقليل من أثر التهديد. • هناك ثلاث استراتيجيات متبعة لحماية مصادر المعلومات • قبول التهديد: قبول الخطر والاستمرار بالعمل بالرغم من وجود الخطر • تحديد التهديد: محاولة تحديد نتائج التهديد بعد حدوثه • تحويل التهديد: وهو محاولة تحويل الخطر الى منفعة مثل شراء التأمين
التحكم • التحكم المادي (Physical control) • التحكم في الوصول (Access control) • التحكم في الاتصالات (Communication control) • التحكم في التطبيقات (Application control)
التحكم المادي (Physical control) • وهو منع الاشخاص الغير مخولين بالدخول الى مناطق معينه من الدخول الى هذه المناطق. • من الأمثله هي الجدران, البوابات, المداخل, الاقفال, الباجات, نظام الانذار • هذه الحواجز غير ملائمة للموظفين الرسميين
التحكم في الوصول (Access control) • وذلك عن طريق إستخدام التالي: • شيء من صفات المستخدم (User IS) (بصمة الاصبع, شبكية العين, قرنية العين, ملامح الوجه) • شيء من ممتلكات المستخدم (User has) (بطاقة الصراف الآلي, بطاقة دخول المؤسسات) • شيء من الاعمال التي يقوم فيها المستخدم (User does) (تمييز الاصواتVoice recognition, تمييز التوقيع Signature recognition) • شيء من الاشياء التي يعرفها المستخدم (user Know): كلمة السر ومن الشروط الواجب توافرها في كلمة السر التالية: • صعب حزرها • ان تكون طويله مكونة من عدد أكبر من الاحرف • تحتوي على ارقام وحروف (Capital and small letters) • كلمة غير منظمة وغير معروفة • لا تكون اسماء اشخاص او اشياء او حيوانات اليفة • لا تكون رقم الموبايل او الرقم الوطني او الرقم الجامعي. • محاولة ان تكون جملة
التحكم في الاتصالات (Communication control) • الجدار الناري (Firewall) • مضاد الفيروسات (Anti-malware) • القائمة البيضاء (Whitelisting) والقائمة السوداء (Blacklisting) • التشفير (Encryption)