دليل وكالة الأمن القومي.. كيفية اختيار تطبيق مكالمات الفيديو الموثوق؟

نشرت وكالة الأمن القومي الأمريكية (NSA) الأسبوع الماضي تقييمًا أمنيًا ودليلًا إرشاديًا حول كيفية اختيار تطبيق مكالمات الفيديو المناسب عند العمل من المنزل، الذي شمل معظم التطبيقات الموجودة الآن مثل: Zoom وسلاك وسيجنال وسكايب وغيرها.

كيف يمكنك اختيار تطبيق مكالمات الفيديو الموثوق وفقًا لوكالة الأمن القومي الأمريكي؟

يحتوي الدليل على قائمة بمعايير الأمان التي تأمل وكالة الأمن القومي أن تأخذها الشركات في الاعتبار عند اختيار الأداة أو الخدمة التي تعتمد عليها عند العمل عن بُعد، وهذا التقييم ليس مخصصًا فقط للحكومة الأمريكية والكيانات العسكرية، ولكنه موجه أيضا لشركات القطاع الخاص والمستخدمين العاديين.

وقد نُشر هذا التقييم بسبب انتشار فيروس كورونا (COVID-19)، الذي أدى إلى عمل العديد من موظفي القطاع الخاص والموظفين الحكوميين والأفراد العسكريين من المنزل، وزيادة اعتمادهم بشكل متزايد على أدوات وتطبيقات العمل عن بُعد، وأولها تطبيقات مكالمات الفيديو.

وتهدف مبادرة وكالة الأمن القومي إلى إعطاء المنظمات العسكرية والمنظمات العامة والخاصة نظرة عامة على جميع ميزات هذه الأدوات، حتى لا يتخذ مسؤولو تقنية المعلومات في الشركات قرارات غير صحيحة فيما يخص اختيار تطبيق مكالمات الفيديو المناسب.

وفقًا لتقييم وكالة الأمن القومي، يجب على التطبيق أو الخدمة أن تُجيب عن الأسئلة الأساسية التالية:

  • هل تُطبق الخدمة تقنية التشفير من طرف إلى طرف (E2E)؟
  • هل يستخدم تشفير E2E معايير تشفير قوية ومعروفة وقابلة للاختبار؟
  • هل ميزة المصادقة الثنائية متاحة في الخدمة أو التطبيق؟
  • هل يمكن للمستخدمين رؤية من يتصل بجلسات الفيديو ويتحكم فيها؟
  • هل يشارك مطور الخدمة أو التطبيق البيانات مع الجهات الخارجية؟
  • هل يمتلك المستخدمون القدرة على حذف البيانات بشكل آمن من الخدمة وخوادمها حسب الحاجة؟
  • هل شفرة تطوير التطبيق مفتوحة المصدر؟
  • هل الخدمة معتمدة من FedRAMP للاستخدام الرسمي للحكومة الأمريكية؟

كما هو واضح في الجدول السابق، نجد أن تطبيق (زووم) Zoom قد احتل المرتبة الأخيرة في جدول التقييم؛ وذلك للثغرات الأمنية وانتهاكات الخصوصية التي ظهرت في التطبيق، التي أدت لموجة من الهجوم على التطبيق من المستخدمين.

وبالرغم من توفير التطبيق لبعض الحلول القوية التي ميزته عن باقي التطبيقات، مثل: إمكانية مشاركة ما يصل إلى 100 شخص في مكالمة فيديو جماعية واحدة، إلا أن الثغرات الأمنية التي ظهرت، بالإضافة إلى كشف ادعاء الشركة لاستخدام تقنية التشفير (من طرف إلى طرف)، كانت سببًا رئيسيًا في وجوده في أسفل الترتيب.

ويمثل هذا التقييم أيضًا النسخة الأمنية الثانية التي تُصدرها وكالة الأمن القومي، حيث نشرت سابقًا إرشادات وقائمة بأكثر نقاط الضعف الأمنية شيوعًا، التي يستخدمها المتسللون للوصول عن بُعد إلى خادم الويب، والمعروفة بهجوم Web Shell.