الخدمات السحابية، هل هي فعلًا آمنة؟
المعلوماتية >>>> الحوسبة السحابية
بدأت الحوسبةُ السحابية أساسًا كمصطلحٍ اُستخدم لتوصيف شبكات صغيرة، يمكن تشبيهها بالإنترنت في عصرنا. ويعود استخدامُ رسم السحابة لتوصيف خدمات تؤديها حواسيب في شبكة مترابطة إلى عام 1977، من خلال أول شبكة استخدمت بروتوكولات TCP/IP (والتي هي أساس تواصل الشبكات الحديثة بما فيها شبكة الإنترنت)، للتواصل بين مجموعة من الحواسيب سميت "ARPANET"، اختصارًا لاسم شبكة هيئة البحوث والمشاريع المتقدمة (Advanced Research Projects Agency Network). أما المصطلح فقد استُخدم أولًا لتوصيف خدمات الحوسبة الموزعة (Distributed Computing) من قِبل مجلة وايرد "Wired" العريقة للتكنولوجيا والحوسبة في عام 1994.
يمكنك الاطلاع على سلسلتنا الكاملة عن الحوسبة السحابية من هنا: هنا
يعود انتشارُ الحوسبة السحابية الكبير هذا أساسًا لسهولة الوصول إلى شبكات الإنترنت وانتشارها الواسع والقليل التكلفة نسبيًا. بالإضافة إلى مرونة فكرةِ الحوسبة السحابية وتبَنِّيها من قِبل معظم عمالقة الإنترنت وتكنولوجيا المعلومات، عدا عن استخدامها لتوفير خدماتٍ رائجة كالصور ومعالجتها كتطبيق "Instagram" أو صور "Google Photos" أو خدمات الأغاني وتخزينها مثل "iTunes" و"Google Music".
ومع هذا الاستخدام الكبير من قِبل أكثر من 90% من المؤسسات والشركات حول العالم عدا عن الأفراد، تبرزُ الحاجة إلى وضع ضوابط صارمة للمحافظة على خصوصيةِ البيانات أو الخدمات المُقدّمة باستخدام الحوسبة السحابية، فهل هي آمنة بشكلٍ كافٍ للاستخدام بهذا القدر الكبير المتوسع باستمرار؟ وهل تستحق هذا القدر الكبير من الاعتمادية من قِبل المستخدمين والمطوّرين بالنسبة لمدى وثوقيتها وأمنها؟
الجواب هنا هو: لمجرّدِ وجودِ الخدمات أو المعلومات على المخدمات السحابية وتقديمها باستخدام الحوسبة السحابية فهذا لا يعني أن أمنها (أي الخدمات أو المعلومات) مضمون. بحسب الخبراء، فإنه- ببساطة- من المستحيل ضمانُ خصوصية البيانات بعد تخزينها باستخدام الخدمات السحابية. يقول خبيرُ الأمن المعلوماتي «بروس شنايدر»: "من المستحيل أن تعرفَ أنه تم تسريب البيانات، كما أنك لا تستطيعُ أن تثقَ بأي من مزودي الخدمات السحابية، فالجميع بدون استثناء يكذب بهذا الخصوص، من المحتمل حتى أنهم يكذبون لأن الحكومة الأمريكية (يتحدث هنا عن الشركات الأمريكية) أجبرتهم على الكذب". وبشكل عام، تدّعي شركاتُ الحوسبة السحابية تشفيرَ بياناتِها لاحترام خصوصية مستخدميها، ولكنها هي التي تحتفظُ بمفاتيح التشفير وفك التشفير، وهذا يعني أنه في حال طُلب مفاتيح التشفير منها فإنها مجبرة قانونياً على إعطائها.
عدا عن مشاكل الخصوصية والاعتمادية وسرقة المعلومات فإن المشاكلَ الأمنية التقليدية للمخدمات والشبكات موجودة أيضًا، وقد تمَّ تطويرُها من قِبل مستخدميها لضرب مخدمات الحوسبة السحابية أو العمل على سرقة المعلومات منها. بحسب منظمة أمن الحوسبة السحابية (Cloud Security Alliance) فإن أهمَّ هذه التهديدات:
أول هذه التهديدات يشمل استغلالَ السماحيات المحدودة على بياناتٍ معينة والممنوحة لبعض المستخدمين، وسرقةَ مفاتيح فك التشفير الخاصة بها، مما يعطي المخترقين الصلاحيةَ للوصول إلى بياناتٍ أو معلومات أخرى لا يملكون الصلاحيةَ للوصول إليها باستخدات مفاتيح فك التشفير المسروقة، ويعود هذا إلى التصميم غيرِ السليم لقواعد بياناتِ المخدمات السحابية؛ حيث أن الأخطاءَ الصغيرة في التصميم تمنحُ المخترقين سماحياتٍ للوصول إلى بيانات المستخدم المخترَق بالإضافة إلى بيانات مستخدمين آخرين على المخدم.
بحسب منظمة أمن الحوسبة السحابية أيضًا، فبسبب البنيةِ الحالية للحوسبة السحابية فإنه لا يمكنُ تَتبّعُ حذف بعض المعلومات الخاصة من المخدمات السحابية. بالإضافة إلى أن توقفَ المخدمات عن العمل بسبب إهمال مزودي الخدمات قد يسببُ ضياعَ البيانات الموجودة على المخدم لجميع المستخدمين بشكل نهائي.
التجسس على المستخدمين: في حال حصولِ المخترقين على بياناتِ الدخول إلى حساب المستخدم، وعدا عن سرقة البيانات، فمن الممكن استغلالُ هذا في التجسس على كل ما يقومُ به المستخدم الضحية، ثم استبدالُ البيانات بأخرى مزورة وتوجيه معاملات المستخدم صاحب الحساب المخترَق لصالح مواقع غير شرعية أو غير ذات صلة، مما يؤثرُ على العمل بشكل عام.
استغلالُ واجهات الاستخدام الضعيفة أمنيًا التي يستخدمها مدراءُ النظم لإدارة وضبط الأنظمة السحابية؛ حيث يقوم المخترقون بعمل إضافاتٍ إلى واجهات الاستخدام لتمكينهم من الحصول على جميع بيانات مدير النظم والتحكم الكامل بالنظم السحابية.
الحرمان من الخدمة: أحد أقدم التهديدات الموجودة في الشبكات بشكل عام بما فيها شبكة الإنترنت. وبسبب ضرورةِ العمل الدائم للأنظمة السحابية، يشكّل هذا التهديدُ خطورةً أكبر؛ لأن توقفَ المخدمات عن العمل في حال حصول التهديد سيحرمُ جميعَ المستخدمين من الخدمات السحابية بشكل نهائي إلى أن تعودَ المخدمات للعمل الطبيعي.
المستخدمون السيئون أو الخبثاء: وهذا يشمل الموظفين السابقين أو الحاليين أو حتى شركاء العمل الذين يملكون صلاحياتٍ للوصول إلى معلوماتٍ معينة، ثم يستخدمونها للوصول إلى جميع بيانات النظام (بما فيها مفاتيح التشفير وفك التشفير لجميع المستخدمين).
الاستخدام المسيء للحوسبة السحابية: عندما يقوم مستخدمٌ ما باستغلال قدراتِ المعالجات الكبيرة للمخدمات السحابية مثلًا لفكِّ مفاتيح تشفير معقدة لا يمكن حلها باستخدام معالجات الحواسيب التقليدية.
عدم كفاءة العمل التطويري على الحوسبة السحابية: كمثال، عندما تتبنى الشركاتُ العمل مع الأنظمة السحابية فإن المطورين والعاملين في أقسام الدعم التقني غالبًا ما يكونون قليلي الخبرة نسبيًا بهذا المجال بسبب كونه جديدًا نسبيًا في أسواق العمل، مما يؤدي إلى ارتكاب الأخطاء التي تؤدي بدورها إلى تشكيل تهديداتٍ أكبرَ على العمل والتطبيقات السحابية عامة.
مشاركة المعلومات والبيانات: تُعطي الحوسبة والتطبيقات السحابية للمستخدمين عامة القدرةَ على مشاركة الموارد الخاصة بالمعالجات والذواكر مع مستخدمين آخرين، ولكن ليست جميع الموارد المستخدمة قابلة لهذا النوع من المشاركة الواسعة، مما يشكّلُ نقاطَ ضعف في الأنظمة السحابية وقد تشكل عبئًا على المخدمات عامة.
وأخيرًا، لا بد من الإشادة بالقدرات الهائلة للحوسبة السحابية ونفعها العام على عمل الأفراد والمؤسسات بما تقدمه من خدماتٍ عديدة ذات تكاليف منخفضة. ولكن تجدرُ الإشارة هنا أنه ليس من الضروري التطوير للعمل بهذا النوع من النظم طالما لا تحتاجه المؤسسات. كما أن التكاليفَ المنخفضة لهذه الأنظمة ستبدو عالية نسبياً بالنسبة للشركات الصغيرة، ولا بدَّ من دراسة البنية التقنية لأي مؤسسة للإجابة على السؤال الأهم لبيئة العمل، هل سيعطي هذا التطوير أفضليةً للمؤسسة وعملها مقارنة بالبنية التقنية الحالية؟
المصادر:
هنا
هنا
هنا
هنا