“جارتنر”: 30% من الشركات ستطبق نظام “التعرف على البصمة” على الأجهزة النقالة بحلول 2016
قال اليومَ خبراءُ مؤسسة استشارية عالمية إن انتشار الحلول التقنية النقالة، مقرونًا بتوجُّه الشركات والمؤسسات حول العالم نحو تمكين موظفيها من استخدام أجهزتهم النقالة من حواسيب محمولة ولوحيَّة وهواتف ذكية في بيئة العمل قد فرض على مديري التقنية المعلوماتية تحديات جِدِّية.
وبطبيعة الحال يتوق المستخدمون إلى ما يُقال عنه إنه تجربة نقالة بسيطة وانسيابية دون الانشغال بالمخاوف الأمنية، ومما يفاقم خطورة الأمر أن المعلومات القيِّمة، وربما بالغة الحساسيَّة، المحميَّة بكلمات سر معقدة وتدابير دخول صارمة على الحواسيب الثابتة قد تكون عرضة للاختراق دون عناء على الأجهزة النقالة.
وفي هذا السياق، يتوقع خبراء مؤسسة الاستشارات العالمية “جارتنر”، أن 30 بالمئة من الشركات والمؤسسات حول العالم ستطبّق بحلول العام 2016 نظام “التعرّف على البصمة” على الأجهزة النقالة المختلفة لتعزيز مناعتها، مقارنة بنسبة لا تزيد عن 5 بالمئة في الوقت الحاضر.
وفي هذا الإطار، يقول “آنت ألان”، نائب الرئيس لشؤون البحوث لدى “جارتنر”، إن الكثيرين يرفضون رفضًا قاطعًا تطبيق تدابير أمنية لتخويل الدخول إلى أجهزتهم النقالة، رغم أن التدابير ذاتها مطبقة على حواسيبهم المكتبية، ولا استغناء عنها لتعزيز مناعة تلك الأجهزة.
وشدد ألان على ضرورة تحقيق المديرين التقنيين ما يتوق إليه الموظفون، ولكن دون المساس بالتدابير الأمنية الكفيلة بحماية أجهزتهم والمعلومات المخزنة عليها، حسب تعبيره.
وكانت “جارتنر” قد رصدت بعض الآثار المترتبة على انتشار التقنية الشخصية النقالة، وقدَّمت توصياتها للمديرين وكبار التنفيذيين المسؤولين عن أمن التقنية المعلوماتية.
ولفتت المؤسسة إلى أن الشركات والمؤسسات، تفرض في معظمها، تدابير أمنية تشمل إدخال كلمة سر قوية على الحواسيب المحمولة، بَيْدَ أن بإمكان المستخدمين الاستعانة بالحواسيب اللوحية للنفاذ إلى ذات التطبيقات والبيانات الحساسة لأن المعايير المطبقة عليها أقل صرامة، ناهيك عن أن الزيادة المطردة في أعداد الأجهزة النقالة المختلفة تفاقم خطر تسريب أو تسرُّب المعلومات المؤسسية الحساسة أو السرية أو بالغة الأهمية.
ورغم أن العديد من الشركات تطبّق سياسة إدخال كلمة سر للدخول إلى الحواسيب فإن المسألة، حسبما تراها “جارتنر”، باتت أكثر تعقيدًا بعد تمكين الموظفين من استخدام حواسيبهم المحمولة واللوحيَّة وهواتفهم الذكية في بيئة العمل بسبب الحاجة إلى تحقيق التوافق بين حقوق المستخدمين والخصوصية.
حيث إن كلمات السر المعقدة قد لا تكون أمرًا يسيرًا عند إدخالها في العديد من الأجهزة النقالة، وفي حال كانت تلك الأجهزة تحمل بيانات مؤسسية أو تسهّل النفاذ إلى نظم الشركة أو المؤسسة المعنية، مثل عناوين البريد الإلكتروني وغيرها، دون كلمة سر إضافية، فإن كلمة السر الرباعية لن تكون كافية على الإطلاق.
ولا تعتقد “جارتنر” أن تطبيق تدابير أكثر صرامة لتخويل الدخول إلى الحواسيب المختلفة أمر يسير، لاسيما أن قلة قليلة من نظم التشغيل والأجهزة تدعم ما يُعرف باسم نظام “التعرّف على البصمة”. بل حتى عند توافرها في تلك النظم والأجهزة فإن تطبيقها قد لا يكون انسيابيًا بالدرجة الكافية بالنسبة للشركات والمؤسسات المعنية.
وفي هذا السياق يقول “جون جيرارد”، نائب الرئيس والمحلل الأول لدى “جارتنر”، إن عملية استرداد كلمة السر الرقمية الثمانية قد تستغرق ساعات عدّة، وهذا سيثبط عزيمة المخترقين العشوائيين. وبالمثل، فإن كلمة سر أبجدية عددية سداسية، بالحروف الصغيرة، قد تحمل ملايين القيم المحتملة. واضاف جيرارد أنه يعتقد أن المخترقين لن ينهمكوا بالتفكير في تلك الاحتمالات المهولة، خاصة أن سرعة الهجمة التخمينية لكلمات السر المثبتة على الهواتف الذكية والحواسيب اللوحية تظل بطيئة نسبيًا.
وعمومًا، يحث خبراء “جارتنر” على تطبيق سياسة صارمة تتعلق بكلمات السر بحيث تكون سداسية وأبجدية عددية معًا، وحظر استخدام الكلمات المدرجة في القواميس، بحيث تُطبق تلك السياسة الصارمة على كافة الأجهزة النقالة المتصلة بالشبكة.
ومن أجل الحدّ من المخاطر المنطوية على فقدان الأجهزة النقالة أو سرقتها، أشارت “جارتنر” إلى أن بعض الشركات تَعْمَدُ إلى تطبيق تدابير خاصة تشمل إزالة كافة المحتوى الرقمي المخزن عليها تلقائيًا بعد إدخال كلمة السر لعدد محدود من المرات، أو القيام بالمهمة ذاتها عن بُعْد.
غير أن هذا الإجراء غير كافٍ للحدّ من المخاطر المنطوية، لأنه قد يستحيل إزالة المحتوى الرقمي المثبت على أقراص الحالة الصلبة. وفي هذا السياق، يقول جيرارد، إن أفضل إجراء متبع في مثل هذه الحالة هو الاستعانة بتشفير مستقل تمامًا عن إجراء التخويل عند الدخول إلى الجهاز، وبذلك لا يمكن استرداد مفتاح التشفير من الجهاز بعد مَسح الذاكرة المؤقتة.
كذلك تحث “جارتنر” على أن تطبّق الشركات إجراءَ تخويل إضافيًا، على أقل تقدير، على أن يكون في شكل كلمة سر إضافية عند الحاجة إلى النفاذ إلى المعلومات والتطبيقات الحساسة أو ذات الأهمية الحاسمة. وبذلك، حتى لو نجح المخترق، أو الهاكر، في اختراق كلمة السر التشغيلية الأساسية، سيواجه تحديًا صعبًا آخرًا يتمثل في كلمة أو كلمات السر الإضافية الخاصة بالمعلومات والتطبيقات الحساسة.
وفي بعض الحالات قد يستلزم الأمر تدابير تخويل أكثر موثوقية. فعند استخدام الحواسيب الثابتة قد يستلزم الأمر جهازًا منفصلًا لتوليد رمز جديد. وفي هذا السياق، يقول آنت ألان، إن مستخدمي الأجهزة النقالة يستنكفون عن مثل هذا الإجراء لصعوبة تطبيقه من الناحية العملية.
وبالمثل، تتوافر حلول برمجية مماثلة لتوليد الرموز، مثل X.509، عند النقاط النهائية، غير أنها بحاجة إلى تثبيت حلول إدارة الأجهزة النقالة بشكل ملائم، ناهيك عن الضوابط الإضافية لتعزيز الموثوقية التي تحتاجها بعض الشركات.
وتنصح “جارتنر” بأن ينظر مديرو التقنية المعلوماتية بجدّية في مسألة تطبيق نظام “التعرّف على البصمة” عند الحاجة إلى تعزيز الموثوقية. ومن الخيارات المنضوية تحت مفهوم “التعرّف على البصمة” البصمة الصوتية وبصمة الوجه وبصمة القزحية. ويمكن تطبيق ما سبق بالاقتران بكلمة السر من أجل تعزيز الموثوقية ومناعة نُظم الشركة.
كذلك تحث “جارتنر” على إيلاء الأهمية المستحقة للأجهزة النقالة عند صياغة سياسة شاملة للتخويل، بحيث تكون تلك السياسة شاملة ومستدامة، فإغفال هذا الجانب المهم يجعل تلك السياسة منقوصة. وهنا يقول ألان، إن تطبيق سياسات تخويل مختلفة تمامًا للأجهزة المختلفة أمرٌ غير مستدام، وبتعبير آخر يجب أن تكون تدابير تخويل الأجهزة النقالة هي ذاتها المطبقة على الحواسيب الثابتة. وقد تحقق الشركات ما تريد من خلال الجَمْع بين نظام X.509 عند النقاط النهائية، و”التعرّف على البصمة” وكلمات السر المعقدة.
