مثلث حماية البيانات السيبراني CIA

حديثنا في هذه المقالة عن أهم 3 عناصر لتحقيق أمن البيانات على الإنترنت والتي تتلخص في  مثلث حماية البيانات السيبراني CIA  الذي يتضمن الخصوصية و تكامل البيانات و توافرها سواء كانت  مواقع ،  تطبيقات  أو سيرفرات أو أي بيانات أخرى على الإنترنت تتطلب  الحماية 

خصوصية البيانات Confidentiality

ويقصد بمصطلح الخصوصية  سرية البيانات و هي أن المعلومة تتسم بالسرية ولا يستطيع أحد الوصول الى هذه المعلومة او قراءتها الا المصرح لهم بذلك للمحافظة على البيانات  من التجسس أو الاختراق

تختلف الخصوصية في كل تطبيق عن الآخر مثال الحسابات على السوشيال ميديا تعتبر خصوصيتها اقل من تطبيقات البنوك أو العملات الرقمية التي يجب أن تكون بيانات العملاء فيها سرية بالكامل

طرق تحقيق الخصوصية

• تقسيم البيانات حسب حساسيتها
• تدريب الموظفين على التعامل مع هذه البيانات عن طريق تعريفهم  بعوامل الخطر وكيفية الوقاية منها
• استخدام كلمات مرور قوية مثل إجبار المستخدمين على إدخال حروف كبيرة و صغيرة و رموز 
• طلب رقم الهاتف لفرض  تفعيل خاصية التحقق بخطوتين 2FA

تكامل البيانات  Integrity

و بمصطلح آخر “النزاهة” و يقصد بها الحفاظ على اتساق البيانات ودقتها وموثوقيتها طوال دورة حياتها بأكملها.
يجب عدم تغيير البيانات أثناء النقل ، ويجب اتخاذ خطوات لضمان عدم إمكانية تغيير البيانات من قبل أشخاص غير مصرح لهم

دورة حياة البيانات هي أن البيانات ترسل من جهاز اللابتوب أو الهاتف الخاص بالمستخدم إلى السيرفر لمعالجتها و من ثم تعود على الجهاز أو عدة أجهزة
مثال عند نشر تغريدة على موقع تويتر فإن التغريدة ستذهب من هاتف الشخص المغرد إلى سيرفرات تويتر و من ثم تعود على شكل تغريدة يمكن للجميع مشاهدتها 

طرق تحقيق تكامل البيانات

• استخدام أذونات الملفات “مثل تحويل البيانات الى ملفات للقراءة  فقط ” لضمان عدم التعديل عليها
• عمل hashing للبيانات “يقوم بوضع رقم تسلسلي عشوائي  خاص بالملف” يكون بمثابة بصمة لهذا الملف عند أي تعديل  ولو كان بسيطاََ على الملف و اعادة حفظة يتغير رقم الـ hash الخاص به 
• النسخ الاحتياطي للبيانات  لاستعادة البيانات الصحيحة في حال تم التعديل على البيانات أو مطابقة البيانات للتأكد من صحتها وأنه لم يتم التعديل عليها 
• استخدام التوقيع الرقمي
• تشفير البيانات

تشفير البيانات : يعمل تشفير البيانات على تشويش البيانات  المفهومة إلى  “نص مشفر” لجعلها غير قابلة للقراءة لأي شخص بدون مفتاح فك التشفير أو كلمة المرور الصحيحة ، بغرض حماية البيانات من الوصول غير المصرح به أو التعديل أو الكشف أو السرقة ، وبالتالي فهي عنصر أساسي  في أي برنامج أمان.

هناك نوعين رئيسيين من التشفير : 

1- التشفير المتماثل Symmetric Encryption : يتم استخدام نفس المفتاح لتشفير البيانات وفك تشفيرها ، ولكن من المهم  أن يكون مفتاح التشفير الفردي متاحًا فقط للمستخدمين المصرح لهم لأن هذا المفتاح الفردي يمكّن الشخص بالوصول إلى البيانات وكذلك تعديل البيانات وإعادة تشفيرها دون اكتشاف

2- التشفير غير المتماثل Asymmetric Encryption : تستخدم خوارزميات المفاتيح غير المتماثلة مفتاحين مرتبطين رياضياً ، مفتاح عمومي ومفتاح خاص.
 يتم استخدام المفتاح العام لتشفير البيانات ، بينما يلزم وجود مفتاح خاص مقابل ولكن منفصل لفك تشفير البيانات
 تتمثل إحدى مزايا التشفير غير المتماثل في أنه يمكن استخدام مفتاح عام معروف على نطاق واسع لتشفير البيانات ، ولكن يمكن فقط لمن لديهم المفتاح الخاص فك تشفير البيانات والوصول إليها.

التوافر availability 

يقصد بها ضمان سلامة النظام والعمل  على توفير الخدمة المقدمة للعملاء متى احتاجوا بالوصول لها

طرق تحقيق التوافر

•  استخدم أنظمة مراقبة الشبكة أو الخادم
• صيانة المعدات و تحديث البرامج والأنظمة  بشكل دوري
• حجز مساحات كافية للبيانات على السيرفر
• تجنب الكوارث الطبيعية
•  التأكد من وجود خطة لاستعادة البيانات واستمرارية الأعمال (BC) في حالة فقدان البيانات.

معكوس مثلث الحماية cia 

ما هو معكوس الخصوصية  والنزاهة والتوافر ؟
الكشف والتعديل والتدمير هو نقيض الخصوصية  والنزاهة والتوافر

الإفصاح – عندما يتمكن طرف غير مخول من الوصول إلى المعلومات
التعديل – عند يتم تعديل البيانات أو تغييرها.
التدمير – عندما يتم إتلاف البيانات أو الأنظمة أو التطبيقات أو يصبح الوصول إليها غير ممكن.

التحديات التي تواجه مثلث حماية البيانات السيبراني cia

• البيانات الضخمة ” big data ” بسبب التدفق المتزايد باستمرار من البيانات التي تحتاج إلى الحماية بالتالي زيادة التكلفة على الشركات والمؤسسات لتحقيق ذلك
• تنوع المصادر التي تأتي منها البيانات
• اختلاف أنواع وصيغ البيانات

مثال على ذلك إنترنت الأشياء IOT تشكل خصوصية وأمان إنترنت الأشياء تحديًا كبيرًا في مجال الأمن ، في كل عام هناك المزيد من الأجهزة التي تدعم الإنترنت في السوق ، والتي يمكن أن تظل غير مثبتة أو تستخدم كلمات مرور ضعيفة
و على الرغم من أن العديد من الأجهزة لا تنقل معلومات حساسة بشكل خاص ، فمن الممكن أن يجمع المهاجم معلومات كافية من كل نقطة نهاية “end point”، ويحللها ، ويحتمل أن يكشف عن معلومات يفضل الاحتفاظ بها خاصة.

أهمية  مثلث حماية البيانات السيبراني cia

• مثلث حماية البيانات cia يشكل حجر الأساس لتطوير أنظمة وسياسات الأمن للشركات و  للمؤسسات
• يلعب  CIA دورًا مهمًا في الحفاظ على بياناتك آمنة ومحفوظة ضد التهديدات السيبرانية المتزايدة
•  CIA أمراََ مهما و فعالاََ لأمن المعلومات لأنه يعزز الموقف الأمني ​​، ويساعد المؤسسات على الثبات ويضمن استمرارية الأعمال.

خاتمة

تعتبر الخصوصية  والنزاهة  والتوافر معًا أهم ثلاثة مفاهيم في مجال أمن المعلومات و يجب العمل على تطويرها و تحقيقها بحيث تتوافق معاََ
ولكن اعتمادًا على الأهداف الأمنية للمؤسسة و طبيعة أعمالها ، قد يكون لأحد هذه المبادئ الأولوية على الآخرين
على سبيل المثال ، في الوكالات الحكومية أو المؤسسات المالية ، قد تأخذ التكاملية  الأولوية على الخصوصية  والتوافر، أما توافر البيانات فهو أمر بالغ الأهمية في قطاعي التجارة الإلكترونية والرعاية الصحية.
ومع ذلك ، قد تكون هناك مقايضة في إعطاء الأولوية لأحد المبادئ على الآخرين.

المراجع

• https://www.unitrends.com/blog/cia-triad-confidentiality-integrity-availability
  
• https://www.fortinet.com/resources/cyberglossary/cia-triad
  
• https://cypersecurity.blogspot.com/p/cia-confidentiality-integrity.html