05-19-2011, 12:29 AM
السلام عليكم ورحمة الله وبركاته :
حماية معلومات الأجهزة الحكومية والأهلية من مخاطر الهندسة الاجتماعية
مصطلح المهندس الاجتماعي اسم يوحي في ظاهره انه من أشكال الهندسة المحمودة التي عمرت البشرية علماً ونفعا بينما هو بالحقيقة خطر محدق على المعلومات الشخصية للمواطن وأمن معلومات القطاع الحكومي والأهلي.
فالهندسة الاجتماعية هي إحدى تقنيات الهكرز في الاختراق اعتماداً على الطبيعة البشرية ونقاط الضعف فيها. بعض الهكرز يستخدمون هذه الميزة للحصول على معلومات تساعد في الدخول على نظام محمي. فبدلا من استخدام برامج لاختراق الأنظمة يحاول الهكرز انتحال شخصيات مثل عميل أو مراجع أو موظف تقني أو موظف بريد للحصول على الأرقام السرية أو أي معلومات تساعد على اختراق النظام عن طريق الموظف نفسه وبشكل مباشر دون استخدام أي تقنيات الكترونية، فهم يقومون باستخدام مهارات الهندسة الاجتماعية للحصول على اسم المستخدم، اسم النظام، اسم السيرفر أو الرقم السري أو طلب كتابة أوامر تساهم في فتح ثغرات في النظام أو تُعطي صلاحيات خاصة. مثال على ذلك، أن يتم الاتصال الهاتفي بالموظف أو مقابلته في مقر عمله على أن هناك مشكلة تحتاج إلى إصلاح أو أمر طارئ يستدعي الدخول على النظام مع إيهام الموظف انه أن لم يقدم المساعدة فإن المدير سيغضب منه، وقد يتم ذلك عن طريق عرض المساعدة في تركيب برامج أو ضبط إعدادات الحاسب الآلي أو قد يدعي احدهم بأنه موظف جديد ويحتاج لمساعدة مستغلين بذلك الزمالة الوظيفية وحسن النية وحب مساعدة الآخرين. وبالتالي تتم عملية الاختراق والحصول على معلومات قد تستخدم في علميات إرهابية أو تتعرض لأسرار أمنية أو مالية للشركات وللأجهزة الحكومية والأهلية. لذلك فالهندسة الاجتماعية تبلغ من خطورتها لدرجة انه من الممكن أن تتجاوز جميع ما يقوم به الجهاز الحكومي أو الأهلي من حماية معلوماته بوسائل تقنية مثل برامج مكافحة التجسس وبرامج الجدار الناري غيرها من وسائل الحماية والأمان.
هنا تكمن أهمية اتخاذ أساليب حماية وتوعية من قبل الأجهزة الحكومية والأهلية لموظفيها من مخاطر الإدلاء بأي معلومات عن الأنظمة الإلكترونية لأي شخص غير مصرح له حتى لو كان من موظفي الجهاز. خصوصا أن نوعية المعلومات التي قد تلحق ضرراً بأمن المعلومات الإلكترونية لا تعرف من قبل موظفي الجهاز العاديين وبالتالي الإدلاء بها لأي شخص دون الانتباه بان مثل هذه المعلومات البسيطة قد تستخدم في اختراق النظام أو الموقع الإلكتروني.
من ضمن وسائل الحماية التي يجب على الموظف مراعاتها عن طلب معلومات من المهندسين الاجتماعيين:
التحقق من هوية أي شخص يطلب معلومات عن جهازك أو حسابك أو أي معلومات عن حساب لموظف آخر وذلك بالاتصال بنفس الإدارة للتحقق من هوية طالب المعلومات.
لا تقوم بالتجاوب مع أي اتصال لا يظهر رقم المتصل.
لا تعط أرقامك السرية لأي كان حتى لموظفي تقنية المعلومات.
لا تعط معلوماتك الوظيفية أو أي معلومات وظيفية لأي موظف آخر.
لا تقم بإتباع تعليمات غريبة أو مريبة تتعلق بالأجهزة الإلكترونية.
من الضرورة عدم إتباع أي أوامر تصدر لك لكتابة أوامر على النظام أو إدلاء بمعلومات دون التأكد من هوية الشخص المتصل بك وأحقيته في إصدار الأوامر حتى لو ادعى أن الأمر طارئ.
لا تشارك بالاستبيانات الهاتفية حتى لو كانت من داخل الجهاز نفسه لأنه قد تستغل لدس أسئلة بين الاستبيان للحصول على معلومات تساعد على الاختراق.
اتصل على الجهة ذات العلاقة بأمن المعلومات عند الإحساس بأن هناك من يريد الحصول على معلومات خاصة بنوعية الأجهزة ونظم التشغيل.
والأهم من ذلك هو مبادرة الأجهزة الحكومية والأهلية بتدريب موظفيها وتوعيتهم بأمن المعلومات وأهمية عدم إعطاء معلومات حتى لو كانت بسيطة لأشخاص غير مصرح لهم وتوضيح صلاحيات التحكم للموظفين واختبار إلمامهم بأمن المعلومات من وقت إلى آخر.
منقول
ادارة سكيورتي العرب
حماية معلومات الأجهزة الحكومية والأهلية من مخاطر الهندسة الاجتماعية
مصطلح المهندس الاجتماعي اسم يوحي في ظاهره انه من أشكال الهندسة المحمودة التي عمرت البشرية علماً ونفعا بينما هو بالحقيقة خطر محدق على المعلومات الشخصية للمواطن وأمن معلومات القطاع الحكومي والأهلي.
فالهندسة الاجتماعية هي إحدى تقنيات الهكرز في الاختراق اعتماداً على الطبيعة البشرية ونقاط الضعف فيها. بعض الهكرز يستخدمون هذه الميزة للحصول على معلومات تساعد في الدخول على نظام محمي. فبدلا من استخدام برامج لاختراق الأنظمة يحاول الهكرز انتحال شخصيات مثل عميل أو مراجع أو موظف تقني أو موظف بريد للحصول على الأرقام السرية أو أي معلومات تساعد على اختراق النظام عن طريق الموظف نفسه وبشكل مباشر دون استخدام أي تقنيات الكترونية، فهم يقومون باستخدام مهارات الهندسة الاجتماعية للحصول على اسم المستخدم، اسم النظام، اسم السيرفر أو الرقم السري أو طلب كتابة أوامر تساهم في فتح ثغرات في النظام أو تُعطي صلاحيات خاصة. مثال على ذلك، أن يتم الاتصال الهاتفي بالموظف أو مقابلته في مقر عمله على أن هناك مشكلة تحتاج إلى إصلاح أو أمر طارئ يستدعي الدخول على النظام مع إيهام الموظف انه أن لم يقدم المساعدة فإن المدير سيغضب منه، وقد يتم ذلك عن طريق عرض المساعدة في تركيب برامج أو ضبط إعدادات الحاسب الآلي أو قد يدعي احدهم بأنه موظف جديد ويحتاج لمساعدة مستغلين بذلك الزمالة الوظيفية وحسن النية وحب مساعدة الآخرين. وبالتالي تتم عملية الاختراق والحصول على معلومات قد تستخدم في علميات إرهابية أو تتعرض لأسرار أمنية أو مالية للشركات وللأجهزة الحكومية والأهلية. لذلك فالهندسة الاجتماعية تبلغ من خطورتها لدرجة انه من الممكن أن تتجاوز جميع ما يقوم به الجهاز الحكومي أو الأهلي من حماية معلوماته بوسائل تقنية مثل برامج مكافحة التجسس وبرامج الجدار الناري غيرها من وسائل الحماية والأمان.
هنا تكمن أهمية اتخاذ أساليب حماية وتوعية من قبل الأجهزة الحكومية والأهلية لموظفيها من مخاطر الإدلاء بأي معلومات عن الأنظمة الإلكترونية لأي شخص غير مصرح له حتى لو كان من موظفي الجهاز. خصوصا أن نوعية المعلومات التي قد تلحق ضرراً بأمن المعلومات الإلكترونية لا تعرف من قبل موظفي الجهاز العاديين وبالتالي الإدلاء بها لأي شخص دون الانتباه بان مثل هذه المعلومات البسيطة قد تستخدم في اختراق النظام أو الموقع الإلكتروني.
من ضمن وسائل الحماية التي يجب على الموظف مراعاتها عن طلب معلومات من المهندسين الاجتماعيين:
التحقق من هوية أي شخص يطلب معلومات عن جهازك أو حسابك أو أي معلومات عن حساب لموظف آخر وذلك بالاتصال بنفس الإدارة للتحقق من هوية طالب المعلومات.
لا تقوم بالتجاوب مع أي اتصال لا يظهر رقم المتصل.
لا تعط أرقامك السرية لأي كان حتى لموظفي تقنية المعلومات.
لا تعط معلوماتك الوظيفية أو أي معلومات وظيفية لأي موظف آخر.
لا تقم بإتباع تعليمات غريبة أو مريبة تتعلق بالأجهزة الإلكترونية.
من الضرورة عدم إتباع أي أوامر تصدر لك لكتابة أوامر على النظام أو إدلاء بمعلومات دون التأكد من هوية الشخص المتصل بك وأحقيته في إصدار الأوامر حتى لو ادعى أن الأمر طارئ.
لا تشارك بالاستبيانات الهاتفية حتى لو كانت من داخل الجهاز نفسه لأنه قد تستغل لدس أسئلة بين الاستبيان للحصول على معلومات تساعد على الاختراق.
اتصل على الجهة ذات العلاقة بأمن المعلومات عند الإحساس بأن هناك من يريد الحصول على معلومات خاصة بنوعية الأجهزة ونظم التشغيل.
والأهم من ذلك هو مبادرة الأجهزة الحكومية والأهلية بتدريب موظفيها وتوعيتهم بأمن المعلومات وأهمية عدم إعطاء معلومات حتى لو كانت بسيطة لأشخاص غير مصرح لهم وتوضيح صلاحيات التحكم للموظفين واختبار إلمامهم بأمن المعلومات من وقت إلى آخر.
منقول
ادارة سكيورتي العرب