30% من الشركات ستطبق نظام «التعرّف على البصمة» على الأجهزة الجوالة بحلول عام 2016

قال اليومَ خبراءُ مؤسسة استشارية عالمية إن انتشار الحلول التقنية النقالة، مقروناً بتوجُّه الشركات والمؤسسات حول العالم نحو تمكين موظفيها من استخدام أجهزتهم النقالة من حواسيب محمولة ولوحيَّة وهواتف ذكية في بيئة العمل قد فرض على مديري التقنية المعلوماتية تحديات جِدِّية. وبطبيعة الحال يتوق المستخدمون إلى تجربة نقالة بسيطة وانسيابية دون الانشغال بالمخاوف الأمنية، ومما يفاقم خطورة الأمر أن المعلومات القيِّمة، وربما بالغة الحساسيَّة، المحميَّة بكلمات سر معقدة وتدابير دخول صارمة على الحواسيب الثابتة قد تكون عرضة للاختراق دون عناء على الأجهزة النقالة. وفي هذا السياق، يتوقع خبراء «جارتنر»، المؤسسة الاستشارية العالمية المستقلة، أن 30 بالمئة من الشركات والمؤسسات حول العالم ستطبّق بحلول العام 2016 نظام «التعرّف على البصمة» على الأجهزة النقالة المختلفة لتعزيز مناعتها، مقارنة بنسبة لا تزيد عن 5 بالمئة في الوقت الحاضر.

وفي هذا الإطار، يقول آنت ألان، نائب الرئيس لشؤون البحوث لدى «جارتنر»: “يرفض كثيرون رفضاً قاطعاً تطبيق تدابير أمنية لتخويل الدخول إلى أجهزتهم النقالة، رغم أن التدابير ذاتها مطبقة على حواسيبهم المكتبية، ولا استغناء عنها لتعزيز مناعة تلك الأجهزة. وباعتقادنا يتعين على المديرين التقنيين تحقيق ما يتوق إليه الموظفون، ولكن دون المساس بالتدابير الأمنية الكفيلة بحماية أجهزتهم والمعلومات المخزنة عليها”.

وكانت «جارتنر» قد رصدت بعض الآثار المترتبة على انتشار التقنية الشخصية النقالة، وقدَّمت توصياتها للمديرين وكبار التنفيذيين المسؤولين عن أمن التقنية المعلوماتية.

تجربة المستخدمين تفوق المخاوف الأمنية

تفرض الشركات والمؤسسات، في معظمها، تدابير أمنية تشمل إدخال كلمة سر قوية على الحواسيب المحمولة، بَيْدَ أن بإمكان المستخدمين الاستعانة بالحواسيب اللوحية للنفاذ إلى ذات التطبيقات والبيانات الحساسة لأن المعايير المطبقة عليها أقل صرامة، ناهيك عن أن الزيادة المطردة في أعداد الأجهزة النقالة المختلفة تفاقم خطر تسريب أو تسرُّب المعلومات المؤسسية الحساسة أو السرية أو بالغة الأهمية. ورغم أن العديد من الشركات تطبّق سياسة إدخال كلمة سر للدخول إلى الحواسيب فإن المسألة باتت أكثر تعقيداً بعد تمكين الموظفين من استخدام حواسيبهم المحمولة واللوحيَّة وهواتفهم الذكية في بيئة العمل بسبب الحاجة إلى تحقيق التوافق بين حقوق المستخدمين والخصوصية.

وعلينا أن نتذكر أن كلمات السر المعقدة قد لا تكون أمراً يسيراً عند إدخالها في العديد من الأجهزة النقالة، وفي حال كانت تلك الأجهزة تحمل بيانات مؤسسية أو تسهّل النفاذ إلى نظم الشركة أو المؤسسية المعنية، مثل الإيميل وغيرها، دون كلمة سر إضافية، فإن كلمة السر الرباعية لن تكون كافية على الإطلاق. وعلينا أن نتذكر أيضاً أن تطبيق تدابير أكثر صرامة لتخويل الدخول إلى الحواسيب المختلفة ليس بالأمر اليسير، لاسيما أن قلة قليلة من نظم التشغيل والأجهزة تدعم ما يُعرف باسم نظام «التعرّف على البصمة». بل حتى عند توافرها في تلك النظم والأجهزة فإن تطبيقها قد لا يكون انسيابياً بالدرجة الكافية بالنسبة للشركات والمؤسسات المعنية.

وفي هذا السياق يقول جون جيرارد، نائب الرئيس والمحلل الأول لدى «جارتنر»: “قد تستغرق عملية استرداد كلمة السر الرقمية الثمانية ساعات عدّة، وهذا سيثبط عزيمة المخترقين العشوائيين. وبالمثل، فإن كلمة سر أبجدية عددية سداسية، بالحروف الصغيرة، قد تحمل ملايين القيم المحتملة. ونعتقد أن المخترقين لن ينهمكوا بالتفكير في تلك الاحتمالات المهولة، خاصة أن سرعة الهجمة التخمينية لكلمات السر المثبتة على الهواتف الذكية والحواسيب اللوحية تظل بطيئة نسبياً”.

وعموماً، يحث خبراء «جارتنر» على تطبيق سياسة صارمة تتعلق بكلمات السر بحيث تكون سداسية وأبجدية عددية معاً، وحظر استخدام الكلمات المدرجة في القواميس، بحيث تُطبق تلك السياسة الصارمة على كافة الأجهزة النقالة المتصلة بالشبكة.

إزالة المواد المخزنة على الأجهزة النقالة عن بُعد

من أجل الحدّ من المخاطر المنطوية على فقدان الأجهزة النقالة أو سرقتها، تَعْمَدُ بعض الشركات إلى تطبيق تدابير خاصة تشمل إزالة كافة المحتوى الرقمي المخزن عليها تلقائياً بعد إدخال كلمة السر لعدد محدود من المرات، أو القيام بالمهمة ذاتها عن بُعْد. غير أن هذا الإجراء غير كافٍ للحدّ من المخاطر المنطوية، لأنه قد يستحيل إزالة المحتوى الرقمي المثبت على أقراص الحالة الصلبة. وفي هذا السياق، يقول جيرارد: “أفضل إجراء متبع في مثل هذه الحالة الاستعانة بتشفير مستقل تماماً عن إجراء التخويل عند الدخول إلى الجهاز، وبذلك لا يمكن استرداد مفتاح التشفير من الجهاز بعد مَسح الذاكرة المؤقتة”.

كذلك تحث «جارتنر» على أن تطبّق الشركات إجراءَ تخويل إضافياً، على أقل تقدير، وليكن في شكل كلمة سر إضافية عند الحاجة إلى النفاذ إلى المعلومات والتطبيقات الحساسة أو ذات الأهمية الحاسمة. وبذلك، حتى لو نجح المخترق، أو الهاكر، في اختراق كلمة السر التشغيلية الأساسية، سيواجه تحدياً صعباً آخر يتمثل في كلمة أو كلمات السر الإضافية الخاصة بالمعلومات والتطبيقات الحساسة.

وفي بعض الحالات قد يستلزم الأمر تدابير تخويل أكثر موثوقية. فعند استخدام الحواسيب الثابتة قد يستلزم الأمر جهازاً منفصلاً لتوليد رمز جديد. وفي هذا السياق، يقول آنت ألان، نائب الرئيس لشؤون البحوث لدى «جارتنر»: “مستخدمو الأجهزة النقالة يستنكفون عن مثل هذا الإجراء لصعوبة تطبيقه من الناحية العملية. لنتخيَّل أحدهم يحاول حمل الرمز الجديد وهاتفه وقهوته في آنٍ معاً، الأمر ليس بهذه السهولة”.

وبالمثل، تتوافر حلول برمجية مماثلة لتوليد الرموز، مثل X.509، عند النقاط النهائية، غير أنها بحاجة إلى تثبيت حلول إدارة الأجهزة النقالة بشكل ملائم، ناهيك عن الضوابط الإضافية لتعزيز الموثوقية التي تحتاجها بعض الشركات.

خيار «التعرّف على البصمة»

تنصح «جارتنر» بأن ينظر مديرو التقنية المعلوماتية بجدّية في مسألة تطبيق نظام «التعرّف على البصمة» عند الحاجة إلى تعزيز الموثوقية. ومن الخيارات المنضوية تحت مفهوم «التعرّف على البصمة» البصمة الصوتية وبصمة الوجه وبصمة القزحية. ويمكن تطبيق ما سبق بالاقتران بكلمة السر من أجل تعزيز الموثوقية ومناعة نُظم الشركة.

كذلك تحث «جارتنر» على إيلاء الأهمية المستحقة للأجهزة النقالة عند صياغة سياسة شاملة للتخويل، بحيث تكون تلك السياسة شاملة ومستدامة، فإغفال هذا الجانب المهم يجعل تلك السياسة منقوصة. وهنا يقول آنت ألان، نائب الرئيس لشؤون البحوث لدى «جارتنر»: “تطبيق سياسات تخويل مختلفة تماماً للأجهزة المختلفة أمرٌ غير مستدام، وبتعبير آخر يجب أن تكون تدابير تخويل الأجهزة النقالة هي ذاتها المطبقة على الحواسيب الثابتة. وقد تحقق الشركات ما تريد من خلال الجَمْع بين نظام X.509 عند النقاط النهائية، و«التعرّف على البصمة» وكلمات السر المعقدة”.