هذه الوحدة التعليمية هي مورد مرجعي للمحاضرين

 

تدابير الأمن الإلكتروني وقابلية الاستخدام

 

من الناحية المثالية، ينبغي تصميم الاستجابات للمخاطر لحماية السرية والنزاهة وتوافر الأنظمة والشبكات والخدمات والبيانات، مع ضمان إمكانية استخدام هذه الإجراءات (المعهد الوطني المعني بالمعايير والتكنولوجيا ، 2018). وغالبًا ما تحظى قابلية استخدام الأجهزة الرقمية (أي سهولة استخدامها) بالأولوية على أمان هذه الأجهزة ومحتوياتها (ويتن وتيجر ، 1999). ومع ذلك، فإن الأمان وسهولة الاستخدام ليسا بالضرورة متبادلين (شيروود وكلارك وليناس ، 2005) يمكن أن تكون تدابير الأمن الإلكتروني آمنة وقابلة للاستخدام.

وتشمل تدابير الأمن الإلكتروني تلك التي تسعى إلى إنشاء هوية مستخدم من أجل منع الوصول غير المصرح به إلى الأنظمة والخدمات والبيانات. كما تتضمن إجراءات المصادقة هذه "ما تعرفه" (على سبيل المثال، كلمات المرور وعبارات المرور وأرقام التعريف الشخصية)، و"ما لديك" (على سبيل المثال، البطاقات الذكية والرموز)، و"ما أنت عليه" (على سبيل المثال، القياسات الحيوية، مثل بصمات الأصابع) (ليتينن، راسل، جانجيمي الأب، 2006؛ جريفين، 2015). وتتطلب المصادقة متعددة العوامل (MFA) طريقتين أو أكثر من طرق المصادقة هذه لتأسيس هوية المستخدم (أندراس، 2014).

والتحكم في الوصول هو نوع آخر من تدابير الأمن الإلكتروني. والتحكم في الوصول، الذي ينشئ الامتيازات، ويحدد الوصول المصرح به ويمنع الوصول غير المصرح به، يشمل تدابير المصادقة وغيرها من التدابير المصممة لحماية كلمات المرور وتسجيلات الدخول للأنظمة والتطبيقات ومواقع الويب والوسائط الاجتماعية وغيرها من المنصات على الإنترنت والأجهزة الرقمية (ليتينن، راسل، جانجيمي الأب، 2006)،). ومن الأمثلة على ذلك تحديد عدد المحاولات المسموح بها لإدخال كلمة مرور على هاتف ذكي. كما يوجد خيار على الهواتف الذكية يسمح للمستخدمين بمسح جميع البيانات الموجودة على الجهاز بعد عدد معين من المحاولات الفاشلة لإدخال رمز المرور. وتم إنشاء هذه الميزة لتمكين المستخدمين من حماية البيانات الموجودة على أجهزتهم في حالة سرقة الجهاز الرقمي و/أو طلب الوصول دون إذن المستخدم.

كما تتضمن الأمثلة الأخرى لعناصر التحكم في الوصول إضافة وقت انتظار متزايد في كل مرة يتم فيها تقديم كلمة مرور بشكل غير صحيح و/أو الحد من عدد محاولات كلمة المرور الفاشلة التي يمكن توفيرها يوميًا وإغلاق حساب المستخدم لفترة من الوقت (ليتينن، راسل، جانجيمي الأب، 2006). وتم تصميم الضوابط التي تهدف إلى محاولات تسجيل الدخول للحماية من محاولات الوصول غير المصرح به إلى حسابات المستخدمين. وتم تصميم هذه التأخيرات الزمنية بشكل خاص للحماية من هجمات القوة الغاشمة.

هل كنت تعلم؟

تم استخدام اختبار تورينج العام المؤتمت بالكامل للتأكد من كون المستخدم من البشر أو حهاز الحاسوب (أو كابتشا) لمنع هجمات القوة الغاشمة. ومع ذلك، فقد أظهرت الأبحاث أنه يمكن تجاوز صور كابتشا (على سبيل المثال، بورسزتين وآخرون، 2014؛ سيفاكورن، بولاكيس زكاروميتيس، 2016؛ جاو وآخرون، 2014).

وهجوم القوة الغاشمة هو استخدام برنامج نصي (على سبيل المثال، برنامج كمبيوتر) أو روبوت (تمت مناقشته في الوحدة التعليمية 2 جرائم الإنترنت حول الأنواع العامة للجرائم الإلكترونية) للتخمين (عن طريق التجربة والخطأ) بيانات اعتماد المستخدم (أي اسم المستخدم و/أو كلمة المرور/رمز المرور) (لمزيد من المعلومات حول هجمات القوة الغاشمة، انظر كنوسدن وروبشو 2011، الصفحات 95-108). وتستخدم هجمات القوة الغاشمة، من بين أشياء أخرى، كلمات المرور الشائعة أو تفاصيل تسجيل الدخول المخترقة. وفي عام 2018، تم الكشف عن أن ميزة كلمة المرور الرئيسية، التي مكنت المستخدمين من تشفير كلمات المرور المخزنة في متصفح "Mozilla Firefox" (متصفح الويب)، يمكن اختراقها بسهولة باستخدام هجوم القوة الغاشمة (تريند مايكرو، 2018).

هل كنت تعلم؟

يمكن شن هجمات القوة الغاشمة بواسطة قراصنة ماهرين وأطفال نصوص (أي أفراد ليس لديهم أي مهارات تكنولوجية).

تريد معرفة المزيد؟

INFOSEC Institute. (2018). Popular Tools for Brute-force Attacks .

وتكون كلمات المرور إما من إنشاء النظام أو من إنشاء المستخدم ( آدامز، وساسي، ولونت، 1997). يصعب تخمين كلمات المرور التي ينشئها النظام (على سبيل المثال، كلمة مرور تم إنشاؤها بواسطة برنامج) ويمكن أن تصمد أمام تكسير كلمات المرور (على الرغم من أن هذا يعتمد على طول كلمات المرور). وتكمن مشكلة كلمات المرور التي ينشئها النظام في صعوبة تذكرها. ويؤدي ذلك إلى قيام الأفراد بتسجيل كلمة المرور، على سبيل المثال، عن طريق كتابة كلمة المرور أو حفظها على متصفح أو تطبيق أو جهاز رقمي. لهذا السبب، تُفضل كلمات المرور التي ينشئها المستخدم. ومع ذلك، قد يكون من الصعب أيضًا تذكر كلمات المرور التي أنشأها المستخدم. وغالبًا ما تحتوي الأنظمة والتطبيقات والأنظمة الأساسية عبر الإنترنت على قواعد كلمات مرور معقدة يجب على المستخدمين اتباعها، وتتطلب كلمات مرور للوفاء بالحد الأدنى من أطوال المجموعة وتتضمن مجموعات من الأحرف الكبيرة والصغيرة والأرقام والرموز. ولذلك، مثل كلمات المرور التي ينشئها النظام، يصعب تذكر معظم كلمات المرور التي ينشئها المستخدم.

ويتم تشجيع الأفراد أيضًا على استخدام كلمة مرور مختلفة لكل حساب (معلومات المستهلك للجنة التجارة الفيدرالية الأمريكية، 2017). وتهدف التوصية الأخيرة إلى تقليل الضرر الذي يلحق بالأفراد في حالة تعرض بيانات اعتماد أحد حساباتهم للخطر. وفي عام 2017، عثرت شركة بحثية على ملف على الإنترنت يحتوي على 1.4 مليار شخص من أسماء المستخدمين وكلمات المرور لمجموعة متنوعة من شبكات التواصل الاجتماعي والألعاب والتلفزيون وبث الأفلام ومواقع أخرى على الإنترنت (ماثيوز، 2017). وإذا قام أي من هؤلاء الأفراد بإعادة استخدام كلمات المرور، فإن هذا الانتهاك يعرض حساباتهم الأخرى على الإنترنت (حيث يتم استخدام نفس اسم المستخدم وكلمة المرور) للخطر. وفي حين أن استخدام كلمات مرور مختلفة ومعقدة لكل حساب قد يوفر مستوى معينًا من الأمان للأفراد، فإنه يؤثر في النهاية سلبًا على قابليتها للاستخدام (أي إمكانية تذكرها). كما أشار آدامز وساسي ولونت (1997) ، "المزيد من القيود في آليات المصادقة تخلق المزيد من مشاكل قابلية الاستخدام" (الصفحة 3).

وتم اقتراح أنظمة مصادقة مختلفة بدلاً من كلمات المرور. لا يخلو استخدام مخططات المصادقة البديلة، مثل القياسات الحيوية، من عواقب اجتماعية وقانونية وحتى أمنية سلبية (جرينبيرج، 2017 أ؛ جرينبيرج، 2017 ب). ومن الأمثلة على ذلك أجهزة "Apple iPhone" المزودة بميزة مستشعر بصمة الإصبع التي تمكن المستخدمين من فتح قفل أجهزتهم ببصمة الإصبع، ونظام التعرف على الوجه ، الذي يتيح للمستخدمين، باستخدام تقنية التعرف على الوجه، فتح هواتفهم بواسطة وجوههم. وفي الولايات المتحدة، لا يمكن لموظفي العدالة الجنائية إجبار أي فرد على تقديم كلمات المرور الخاصة به؛ لم يتم تمديد الحماية نفسها لتشمل بصمات الأصابع والقياسات الحيوية الأخرى (انظر، على سبيل المثال، فرجينيا ضد باوست، 2014؛ والدولة ضد دايموند، 2018، ،حيث رأت المحاكم أنه يمكن إجبار الأفراد على استخدام بصمات أصابعهم لفتح الهاتف) (لمزيد من المعلومات حول هذه الممارسة في الولايات المتحدة وممارسات الدول الأخرى، مثل الهند وأستراليا ونيوزيلندا، انظر المربع أدناه حول "المقاييس الحيوية وامتياز ضد تجريم الذات").

القياسات الحيوية وامتياز ضد تجريم الذات

وفقًا للتعديل الخامس لدستور الولايات المتحدة، "لا يجوز تحميل أي شخص للمساءلة عن عقوبة الإعدام أو الجريمة الشائنة، ما لم يكن ذلك بناءً على عرض أو لائحة اتهام من هيئة محلفين كبرى، باستثناء الحالات التي تنشأ في القوات البرية أو البحرية، أو في الميليشيا، عندما يكون في الخدمة الفعلية في وقت الحرب أو الخطر العام؛ ولا يجوز أن يتعرض أي شخص لنفس الجريمة للتعريض مرتين على حياته أو أحد أطرافه؛ ولا يجوز إجباره في أي قضية جنائية على أن يكون شاهدًا ضد نفسه، ولا يُحرم من الحياة أو الحرية أو الممتلكات دون اتباع الإجراءات القانونية الواجبة؛ ولا يجوز الاستيلاء على الممتلكات الخاصة للاستخدام العام، دون تعويض عادل ".

وكان أحد الحقوق المنصوص عليها في التعديل الخامس هو الامتياز ضد تجريم الذات (المعروف أيضًا باسم الحق ضد تجريم الذات القسري). وفي قضية شماربر ضد كاليفورنيا (1966)، رأت المحكمة أن "الامتياز يحمي المتهم فقط من إجباره على الشهادة ضد نفسه، أو تزويد الولاية بأدلة ذات طابع شهادة أو تواصل" (761). وعلى النقيض من ذلك، فإن التعديل الخامس لدستور الولايات المتحدة "لا يوفر أي حماية ضد الإكراه على الخضوع لبصمات الأصابع أو التصوير الفوتوغرافي أو القياسات، ... للمثول أمام المحكمة، أو الوقوف، أو اتخاذ موقف، أو السير، أو القيام بإيماءة معينة" (الولايات المتحدة ضد واد، 1967، 223). وفي الواقع، يمكن للمحاكم الأمريكية إجبار المتهمين على تقديم عينة دم أو عينة لعاب أو نموذج صوتي، على سبيل المثال لا الحصر (شميربر ضد كاليفورنيا، 1966؛ الولايات المتحدة ضد ديونيسيو، 1973؛ الناس ضد سميث، 1982).

وبالاعتماد على الولايات المتحدة ضد ويد (1967)، خلص القاضي في قضية فرجينيا ضد باوست (2014) إلى أنه نظرًا لأن بصمة الإصبع لا تتطلب إبلاغ المدعى عليه بالمعرفة، فإنها لا توفر حماية التعديل الخامس - وينطبق الشيء نفسه للمفاتيح والحمض نووي صبغي المتهم (3) في ضوء ذلك، في حين أن كلمات المرور محمية بموجب التعديل الخامس، فإن نفس الحماية لا تمتد إلى بصمات الأصابع (وعن طريق التمديد، القياسات الحيوية الأخرى). تم التأكيد مجددًا على عدم وجود حماية التعديل الخامس للقياسات الحيوية في قضية الدولة ضد دايموند (2018).

وفي النهاية، في الولايات المتحدة، يمكن إجبار "ما أنت عليه" (على سبيل المثال، إجبار الأفراد على تقديم بصمات أصابعهم ومن خلال التمديد، استخدام وجه فردي لإلغاء قفل الهواتف الذكية التي تستخدم تقنية التعرف على الوجه)، بينما "ما أنت تعرف" بشكل عام لا يمكن إجبارها بموجب التعديل الخامس لدستور الولايات المتحدة (لأن هذا ضد الامتياز ضد تجريم الذات). وبالمثل، فإن البلدان الأخرى (على سبيل المثال، أستراليا ونيوزيلندا والهند، على سبيل المثال لا الحصر) ومحاكم حقوق الإنسان (على سبيل المثال، المحكمة الأوروبية لحقوق الإنسان) لا تنظر في إجبار إظهار الوجه أو بصمات الأصابع أو غير ذلك. القياسات الحيوية (على سبيل المثال، آثار الأقدام) باعتبارها انتهاكًا للامتياز ضد تجريم الذات (انظر، على سبيل المثال، سوربي ضد الكومنولث، 1983؛ نيوزيلندا، كينغ ضد ماكليلان، 1974؛ الهند، State of UP ضد Sunil، 2017؛ وسوندرز ضد المملكة المتحدة، 1996).

كما يُنظر إلى البشر على أنهم الحلقة الأضعف في سلسلة الأمن الإلكتروني (كروسلر وآخرون، 2013؛ غروسكلاغز وجونسون، 2009؛ ساسي، بروستوف، وويريش، 2001. شناير، 2000). وفي الواقع، أظهرت العديد من الدراسات أن حوادث الأمن الإلكتروني (أي الاختراقات و/ أو الهجمات على الشبكات والأنظمة والخدمات والبيانات) هي نتيجة خطأ بشري وفشل في تنفيذ الإجراءات الأمنية (صفا ومابل، 2016؛ بفليغ، ساسي وفورنهام، 2014 ،؛ كروسلر وآخرون 2013). وبينما يتم إيلاء الكثير من الاهتمام لدور البشر في حوادث الأمن الإلكتروني، يمكن أن تلعب تدابير الأمن الإلكتروني المعمول بها وقت وقوع الحادث دورًا في حادثة الأمن الإلكتروني. الحقيقة هي أن تدابير الأمن الإلكتروني (ما يمكنهم فعله بالفعل) وتوقعات المستخدمين لأداء هذه التدابير الأمنية (ما يعتقدون أنهم يفعلونه) غالبًا لا تتطابق (أور وآخرون، 2016؛ غونسون وآخرون، 2011؛ فورنال؛ 2005)؛،

وتقترح الأدبيات والأبحاث حول التفاعلات بين الإنسان والحاسوب أن أمان الأجهزة الرقمية والأنظمة والبرامج والتطبيقات والمنصات عبر الإنترنت، من بين أمور أخرى، يجب تطويره مع وضع المستخدمين في الاعتبار (على سبيل المثال، الأمان حسب التصميم؛ انظر إلوف وإلوف، 2002؛ كرانور وغارفينكل، 2005؛ ساس وفلشيز، 2005؛ كارات، 2005؛ كارات وبرودي 2005؛ ديكس وآخرون، 2005؛ بالفانز وآخرون، 2004). ومع ذلك، لا يعد ذلك ممارسة شائعة. والممارسة الشائعة هي بناء الأنظمة ثم السعي لتعديل تفاعلات المستخدم مع النظام لتلبية الاحتياجات الأمنية (نورس وآخرون؛ 2011؛ يي، 2004).

هل كنت تعلم؟

في الاتحاد الأوروبي، أنشأ قانون الأمن الإلكتروني لعام 2018 "إطار عمل لشهادات الأمن الإلكتروني الأوروبية للمنتجات والعمليات والخدمات" من أجل تعزيز الأمن بالتصميم من خلال "دمج [أي] ميزات الأمان في المراحل المبكرة من ... ] التصميم الفني وتطوير "الأجهزة الرقمية (اللجنة الأوروبية ، 2018).

تريد معرفة المزيد؟ 

European Commission. (2018). Cybersecurity Act .

 
التالي: منع الجريمة الظرفية
العودة إلى الأعلى