الرئيسية / أمن المعلومات / سيناريو الانقلاب على دولة الكويت باختراق بنيتها الرقمية — نظرة واقعية

سيناريو الانقلاب على دولة الكويت باختراق بنيتها الرقمية — نظرة واقعية

  خلال مؤتمر (DefCon) الذي أقيم في لاس فيغاس الأسبوع الماضي، والذي يعد أشهر مؤتمر لتجمع الهاكرز في العالم، قام أحد الهاكرز الاستراليين (Chris Rock) بتقديم عرض يتحدث فيه عن كيفية القيام بانقلاب ناجح من خلال الاختراق للبنية التحتية للدولة. كرس يمتلك شركة استرالية في أمن المعلومات يقدم فيها مجموعة من الخدمات لعملاء في عدد من الدول تسمى (Kustodian). في بداية حديثة استعان كرس بأحد المرتزقة البريطانيية سايمن مان والذي قاد الانقلاب الفاشل ضد دولة غينيا الاستوائية عام ٢٠٠٤م، وسجن لعدة سنوات. لعرض فكرته، استخدم كرس دولة الكويت كمثال لكيفية القيام بانقلاب ناجح.
 
The Kuwait Job
أحد شرائح العرض لـ Chris Rock في المؤتمر
 
في مقابلة شخصية لكرس مع موقع (Gizmodo)، قال بأنه تم التعاقد معه قبل ٥ سنوات من قبل حكومة الكويت (وزارة الداخلية بالتحديد كما أجابت شركته من خلال حسابها في تويتر كما في الصورة أدناه) للقيام بعملية اختبار لأمان البنية التحتية الرقمية للدولة. ويضيف بأنه خلال سنتين، تمكن هو و٣ أشخاص آخرين من التحكم الكامل بالعديد من البنوك والبنية التحتية للدولة مثل شركات الاتصالات وشركات المياه  والنفط. يقول كرس بأن العديد من الثغرات التي وجدوها قد تم إصلاحها من قبل المسؤولين في دولة  الكويت. بعد ذلك استرسل كرس في الحديث عن خطته التفصيلية في كيف يمكن أن ينجح الانقلاب على دولة الكويت ابتداءً من سرقة المال من البنوك، واتهام الدولة بالفساد ومن ثم استخدام هذا المال لدعم مشروع الانقلاب والتحكم بالرسائل الإعلامية المرسلة للشعب بعد اختراق وسائل الإعلام … وأخيراً اختراق شبكات مقدمي خدمة الانترنت والتحكم الكامل في وصول الدولة للانترنت والمعلومات التي يطّلع عليها الشعب، بالإضافة إلى التحكم بشركات الكهرباء والمياه.
 
MoI Kuwait Hack
رد الشركة في أن الجهة التي تعاقدت معهم هي وزارة الداخلية الكويتية
 
لن أخوض في تفاصيل الحديث عن خطة كرس للانقلاب، أو الخطوات العملية التي ذكرها لاختراق هذه الجهات، فهي تستحق الحديث عنها بمقالة منفصلة (يمكنك الاطلاع على مجمل الخطوات التي ذكرها في الصورة أدناه). ما سأتحدث عنه هو كيف أمكن لشخص مثل كرس الوصول إلى هذا الكم من المعلومات؟ وكيف يستطيع الحديث عنها بكل حرية أمام العديد من الهاكرز من كافة أنحاء العالم؟ هذا ما سأناقشه في الفقرات التالية.
 
Kuwait CNI
أحد شرائح العرض التي تتحدث عن التحكم في خطوط إنتاج الغاز في الكويت
 

التعاقد مع شركات أمن المعلومات

أصبح أمن المعلومات وحماية البيانات هاجساً لجميع المنظمات والجهات، بل إن دول عظمى أولت هذا الموضوع أولوية قصوى وبدأت في في العمل على الارتقاء بأمن المعلومات، ووضع التشريعات والأنظمة، والاستثمار الكبير في هذا القطاع. والمملكة العربية السعودية ودول الخليج هم أعضاء في هذه المنظومة العالمية وتواجه نفس التحديات. بل إن عدم استقرار الوضع السياسي في المنطقة يجعل موضوع ضمان أمن البنية التحتية للدولة وقطاعاتها الأساسية من الأولويات التي يجب الاعتناء بها.
 
kuwait coup plan
خطوات الانقلاب كما ذكرها كرس (مصدر الصورة موقع: engadget)
 
لهذا السبب تتعاقد الكثير من الجهات مع شركات أمن المعلومات، للعمل معها على اختبار الوضع الأمني الحالي وتقديم حلول لمعالجة الثغرات والتحديات. لكن للأسف الشديد نجد الكم الأكبر من الجهات التي يتم التعاقد معها هي جهات غير محلية ويتم توليتها هذه المهمة بالكامل والثقة المطلقة بنتائجها. ولعلي أعزو هذه الظاهرة لسببين رئيسين:
  • قلة الشركات السعودية والخليجية المتخصصة في هذا المجال.
  • عدم وجود الثقة الكافية بالمهارات المحلية والكفاءات الوطنية.
عندما كنت مديراً لمركز التميز لأمن المعلومات، بدأت البحث والسؤال عن جميع الشركات السعودية والخليجية العاملة المتخصصة في مجال أمن المعلومات لبناء بيئة ناضجة  (eco-system) وتقديم الدعم لهم1أقصد بذلك الجهات التي تقدم خدمات في أمن المعلومات يقوم عليها ويقدمها كفاءات محلية ووطنية، وليست الشركات التي تقدم فقط واجهة سعودية ومحلية لأعمالها أو التي تقوم بمجرد إعادة بيع منتجات أجنبية. صدمت بأني لم أجد إلا ٣ شركات قائمة بموظفين يعملون بدوام كامل ويقدمون خدمات احترافية. لا أدعي أني أستقصيت جميع الشركات في المنطقة لكن بحثي السريع وسؤالي العديد من خبراء أمن المعلومات لم يصلني أكثر من هذه المعلومة. للرغبة في معرفة سبب إحجام العديد عن الاستثمار في هذا المجال وتأسيس أعمال وشركات تنافس في سوق لا يوجد فيه إلا القليل، أقمنا في المركز لقاءات مع هذه الشركات المحلية. وجدت الأغلب يعلّلون فشل بعض المحاولات التي قاموا بها وأكبر التحديات التي تواجههم، بعدم وجود الثقة من متخذي القرار للعمل مع شركات سعودية ووطنية. شخصياً لدي قناعة كبيرة أن هذا في طور التغيير وذلك للأسباب التالية:
 
  • ازدياد الوعي لدى متخذي القرار أن الاعتماد المطلق والثقة الكاملة بشركات غير محلية في مثل هذه الأعمال الحساسة، قد لا يكون قراراً صائباً. أنا لا أدعو إلى الاستغناء عن جميع الشركات العالمية، فلديهم من الخبرات المتراكمة والمنتجات المتقدمة التي لا نملك العديد منها. لكن إشراك الشركات المحلية في تقديم المهام للجهات، بالتعاون مع الشركات العالمية لنقل المعرفة والخبرة، وتقليل المخاطر الناتجة عن إعطاء الصلاحيات الكاملة للشركات الغير محلية، خطوة بدأت تتخذها بعض الجهات. ولا أدل على وجود هذا الخطر في الاعتماد المطلق على شركات غير محلية، تجربة وزارة الداخلية الكويتية مع شركة Kustodian التي يمتلكها كرس، حيث قام بالحديث بشكل علني على الثغرات الموجودة في البنية التحتية الرقمية للدولة أما مئات الهكر من مختلف أنحاء العالم.
  • تقوم الكثير من الشركت العالمية بتسعير منتجاتها وخدماتها بسعر مرتفع، وذلك لقلة المنافسين والتحدي القائم لديهم في ارتفاع التكاليف للعمل في المنطقة. وهذا يشكل فرصة للشركات المحلية بتقديم الخدمات بجودة منافسة وتكاليف أقل.
  • التوجه العام للمملكة العربية السعودية بشكل خاص ودول الخليج بشكل عام، بالاهتمام بدعم المنشئات الصغيرة والمتوسطة التي تعد إحدى أهم عجلات تنمية الاقتصاد للدول. هذا يفتح فرص للشركات المحلية بالدخول للسوق، والدور الذي ستلعبه هيئة المنشئات الصغيرة والمتوسطة سيكون هاماً واستراتيجيا.

اتفاقية السرية وعدم إفشاء الأسرار (Non-Disclousre Agreement)

أحد أهم ركائز التعاقد مع أي شركة في مجال أمن المعلومات، هو توقيع جميع الأطراف على سياسة السرية وعدم إفشاء الأسرار. وجود هذه الاتفاقية يعطي الجهة القدرة النظامية على محاكمة أي شخص أو شركة تفشي أي معلومة حصلت عليها خلال عملها معها. في تجربة وزارة الداخلية الكويتية مع كرس يبرز هنا سؤالان رئيسيان:
  • هل تم توقيع اتفاقية السرية وعدم إفشاء الأسرار مع شركة Kustodian وكافة المتعاقدين معها؟
  • إذا كانت الاتفاقية موقعة، هل من السهولة إقامة دعوى على الشركة بسبب إخلالها ببنود الاتفاقية ومحاكمتها؟ وهنا تبرز قيمة مضافة للعمل مع شركات محلية ووطنية؛ وهي ضمان الجهات والمنظمات التزام الشركة بالحفاظ على الاتفاقيات الموقعة معها لوجودها في داخل الحدود النظامية للدولة.

لمساعدة المنظمات في البدء في بناء اتفاقية خاصة لها مع الجهات المقدمة للخدمات في أمن المعلومات، من الممكن الاستفادة من الاتفاقيات التي تستخدمها جامعة برنستون من هنا. لكن بنبغي لكل جهة العمل مع الفريق القانوني والتقني لديها في تطوير اتفاقيات دقيقة وشاملة للحفاظ على سرية المعلومات وعدم إفشاء الأسرار.

تقييم الوضع الحالي

تحدث كرس عن بعض الثغرات وطرق الاختراق التي من الممكن استخدامها لتحقيق الأهداف في خطته للانقلاب. جزء كبير من هذه الطرق ليس معقداً وإنما يهدف إلى اختراق أضعف الحلقات في المنظومة الأمنية؛ العنصر البشري (تحدثت عن هذا التحدي في مقالي السابق هنا). يعلم مختصوا أمن المعلومات، أن المثال الافتراضي الذي استخدمه كرس ليس محض خيال، وإنما هو قابل للتطبيق في ظل وجود دافع كافي. ولعلي أختم بهذا المثال؛ حيث كنت في الفترة الماضية في زيارة لأحد الجهات في المملكة للحديث حول أمن المعلومات. قبل ذهابي قمت ببحث سريع استغرق مني أقل من ٥ دقائق، فوجدة أكثر من ١٠ راوترات (routers) في مركز البيانات (data center) التابع للجهة متصلة بالانترنت، وكان أغلبها مفعلاً لخدمة FTP و Telnet! فهل يا ترى كانت هذه الجهة عرضة للاختراق2تواصلت مع الجهة مباشرة وتم تزويدهم بكامل بيانات الثغرات الحالية وتم إصلاحها؟! أترك جواب هذا السؤال لكم.

References   [ + ]

1. أقصد بذلك الجهات التي تقدم خدمات في أمن المعلومات يقوم عليها ويقدمها كفاءات محلية ووطنية، وليست الشركات التي تقدم فقط واجهة سعودية ومحلية لأعمالها أو التي تقوم بمجرد إعادة بيع منتجات أجنبية
2. تواصلت مع الجهة مباشرة وتم تزويدهم بكامل بيانات الثغرات الحالية وتم إصلاحها

3 تعليقات

  1. دكتور محمد , ماهي الشركات السعوديه التي تعمل في مجال امن المعلومات وتقدم خدمة اختبار وتقييم امن البنية التحتيه التي قصدت؟

    اسأل كطالب امن شبكات على وشك التخرج.

  2. صدقا الموضوع مش سهل
    وبحاجة الى تعمق البحث.
    والله اني لا زلت مصدوم من هذا التقرير

أضف تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *