ثالث م-ف1-46-س1.pdf

Full Transcript

‫الوحدة ا‪䐣‬لولى‪ :‬ا‪䐣‬لمن السيبراني‬ ‫ستتعلم في هذه الوحدة كيفية حماية المعلومات من الوصول غير المصرح به‪ ،‬كما ستتمكن من تمييز أنواع المهاجمين‪،‬‬ ‫ً‬...

‫الوحدة ا‪䐣‬لولى‪ :‬ا‪䐣‬لمن السيبراني‬ ‫ستتعلم في هذه الوحدة كيفية حماية المعلومات من الوصول غير المصرح به‪ ،‬كما ستتمكن من تمييز أنواع المهاجمين‪،‬‬ ‫ً‬ ‫وستستكشف طرقا مختلفة لحماية المعلومات الشخصية‪.‬‬ ‫ع‪䐧‬لوة على ذلك‪ ،‬ستتعلم كيفية اكتشاف البرامج الضارة وتجنبها‪.‬ثم ستتعرف على طرق مشاركة المعلومات عبر ا‪䐥‬لنترنت‬ ‫وكيفية التعامل مع البيانات المخزنة بواسطة المتصفح‪.‬‬ ‫ً‬ ‫أخيرا‪ ،‬ستتعلم أن معلوماتك الشخصية التي تشاركها عبر ا‪䐥‬لنترنت قد تؤثر على قيم وسلوكيات المواطنة الرقمية‪.‬‬ ‫‪10‬‬ ‫‪:‬‬ ‫ن‬ ‫الدرس ا‪䐣‬لول ن‬ ‫ا ‬ ‫السي ي‬ ‫ب‬ ‫مقدمة ي ا‪䐣‬لمن‬ ‫ا‪䐣‬لمن السيبراني‬ ‫يتعلق مفهوم ا‪䐣‬لمن السيبراني (‪ )Cybersecurity‬بحماية‬ ‫أجهزة الحاسب والشبكات والبرامج والبيانات من الوصول غير‬ ‫المصرح به‪ ،‬والذي قد يهدف إلى الحصول على المعلومات‬ ‫الحساسة أو تغييرها أو إت‪䐧‬لفها أو ابتزاز المستخدمين للحصول‬ ‫ً‬ ‫ً‬ ‫عموما‪.‬‬ ‫على ا‪䐣‬لموال‪ ،‬بل وأحيانا تعطيل عمليات المؤسسة‬ ‫عبر مصطلح ا‪䐣‬لمن السيبراني عن جميع الممارسات التي تتم‬ ‫ُي ‪ّ児‬‬ ‫لحماية المعلومات من المخاطر والهجمات التي تتمثل في‬ ‫الوصول غير المصرح به بغرض ا‪䐧‬لستخدام غير المشروع‬ ‫أو التعديل أو ا‪䐥‬لت‪䐧‬لف أو النسخ غير المصرح به أو تزوير‬ ‫المعلومات‪.‬‬ ‫أهمية ا‪䐣‬لمن السيبراني‬ ‫تزداد أهمية ا‪䐣‬لمن السيبراني بزيادة أهمية البيانات والمعلومات المتوفرة على الشبكة‪ ،‬وضرورة توافرها للمستخدمين دون انقطاع‪،‬‬ ‫با‪䐥‬لضافة إلى عدد المستخدمين الذين يحتاجون للوصول إلى تلك البيانات والمعلومات بشكل مستمر‪ ،‬وكلما زادت أهمية المعلومات‬ ‫كلما كانت عرضة لهجمات القرصنة الحاسوبية بهدف سرقتها أو حجبها عن المستخدمين وغير ذلك‪.‬‬ ‫يتمثل الدور المهم ل‪䐣‬لمن السيبراني في منع التهديدات الداخلية والخارجية واكتشافها والقيام با‪䐧‬لستجابة المناسبة لها حسب الضرورة‪.‬‬ ‫تهدف أنظمة الجاهزية العالية (‪)high availability‬‬ ‫إلى الحفاظ على إمكانية الوصول إلى المعلومات‬ ‫في جميع ا‪䐣‬لوقات‪ ،‬كما تضمن عدم انقطاع الخدمة‬ ‫بسبب انقطاع التيار الكهربائي أو تعطل ا‪䐣‬لجهزة أو أثناء‬ ‫ً‬ ‫عمليات تحديثات النظام‪ ،‬وتتضمن أيضا منع هجمات‬ ‫إيقاف الخدمة كتلك التي تعتمد على استهداف النظام‬ ‫ً‬ ‫إجباريا‪.‬‬ ‫برسائل تؤدي إلى إيقاف تشغيله‬ ‫‪11‬‬ ‫مثلث الحماية ‪CIA‬‬ ‫إن الهدف ا‪䐣‬لساسي ل‪䐣‬لمان ا‪䐥‬للكتروني هو التركيز على توفير حماية متوازنة للمعلومات والبيانات من حيث سريتها وتكاملها وتوافرها‪،‬‬ ‫وهذا يعرف باسم مثلث الحماية ‪ ،)CIA Triad( CIA‬وذلك مع التركيز على تنفيذ سياسات أمن المعلومات بشكل فاعل وستتعرف‬ ‫بالتفصيل على كل هذه العناصر‪.‬‬ ‫السرية (‪)Confidentiality‬‬ ‫السرية هي إتاحة البيانات والمعلومات ل‪䐣‬لشخاص المعنيين بها فقط والمسموح لهم با‪䐧‬لط‪䐧‬لع عليها‪ ،‬ولتحقيق ذلك يتم‬ ‫استخدام أساليب مختلفة مثل اسم المستخدم وكلمة المرور‪ ،‬وقوائم ا‪䐣‬لشخاص ذوي الص‪䐧‬لحيات‪.‬‬ ‫التكامل (‪)Integrity‬‬ ‫يشير مصطلح التكامل إلى الحفاظ على دقة وصحة المعلومات‪ ،‬والتأكد من عدم إمكانية تعديلها إ‪䐧‬ل من قبل ا‪䐣‬لشخاص‬ ‫المخولين بذلك‪ ،‬ومن أساليب الحفاظ على تكامل البيانات والمعلومات‪ :‬تحديد ا‪䐣‬لذونات والص‪䐧‬لحيات (‪،)Permissions‬‬ ‫والتشفير (‪ ،)Encryption‬وغيرها‪.‬‬ ‫التوافر (‪)Availability‬‬ ‫التوافر يعني ضمان الوصول للمعلومات في الوقت المناسب وبطريقة موثوقة ‪䐧‬لستخدامها‪ ،‬حيث إن أي نظام معلومات عليه‬ ‫توفير المعلومات عند الحاجة إليها وذلك ليؤدي الغرض ا‪䐣‬لساسي له‪.‬‬ ‫ومن أمثلة ا‪䐥‬لجراءات المتخذة لضمان توافر البيانات والمعلومات‪ ،‬الحفاظ على س‪䐧‬لمة ا‪䐣‬لجهزة المستضيفة للبيانات‪ ،‬والنسخ‬ ‫ا‪䐧‬لحتياطي‪ ،‬وتحديثات النظام‪ ،‬وتحسين كفاءة الشبكة لتسهيل وصول المستخدمين ما أمكن‪.‬‬ ‫التكامل (‪)Integrity‬‬ ‫ال‪㌱‬سية (‪)Con昀椀den琀椀ality‬‬ ‫مثلث‬ ‫الحماية‬ ‫‪Triad‬‬ ‫التوافر (‪)Availability‬‬ ‫‪12‬‬ ‫الجرائم ا‪䐥‬للكترونية‬ ‫الجرائم ا‪䐥‬للكترونية (‪ )Cybercrime‬هي استخدام جهاز الحاسب كأداة لتحقيق غايات غير قانونية مثل ا‪䐧‬لحتيال أو التوزي ــع غير‬ ‫القانوني للمواد المحمية بحقوق الطبع والنشر أو سرقة الهويات أو انتهاك الخصوصية‪.‬‬ ‫وتختلف جرائم ا‪䐥‬لنترنت عن النشاط ا‪䐥‬لجرامي التقليدي في استخدام ا‪䐣‬لجهزة الرقمية وشبكات أجهزة الحاسب لتنفيذ تلك الجرائم‪.‬‬ ‫على الرغم من كون الجريمة ا‪䐥‬للكترونية ذات طابع مختلف ً‬ ‫تماما عن الجريمة التقليدية‪ ،‬إ‪䐧‬ل أنها تنفذ بواسطة نفس النوع من المجرمين‬ ‫ولنفس ا‪䐣‬لسباب‪.‬‬ ‫أنواع الجرائم ا‪䐥‬للكترونية‪:‬‬ ‫يحدث هذا ا‪䐧‬لحتيال عندما يتقمص المجرم ا‪䐥‬للكتروني دور جهة موثوقة يتعامل معها الضحية‪ ،‬بغرض‬ ‫ا‪䐧‬لحتيال ا‪䐥‬للكتروني‬ ‫الحصول على معلومات شخصية عن مستخدم معين مثل كلمات المرور المصرفية وعنوان البيت أو‬ ‫ُ‬ ‫ً‬ ‫(‪)Phishing Scams‬‬ ‫الرقم الشخصي‪.‬تتم هذه العملية عادة من خ‪䐧‬لل مواقع ا‪䐧‬لحتيال التي تقلد المواقع الرسمية‪.‬‬ ‫بعد سرقة البيانات الشخصية‪ ،‬يقوم المحتالون بانتحال شخصية الضحية واستخدام بياناته ‪䐥‬لجراء‬ ‫سرقة الهوية‬ ‫معام‪䐧‬لت مالية‪ ،‬أو أعمال غير قانونية‪.‬‬ ‫(‪)Identity Theft‬‬ ‫تشمل التهديدات عبر البريد ا‪䐥‬للكتروني أو الرسائل الفورية أو المشاركات المسيئة في وسائل التواصل‬ ‫المضايقات عبر ا‪䐥‬لنترنت‬ ‫ا‪䐧‬لجتماعي مثل فيسبوك وتويتر‪.‬‬ ‫(‪)Online Harassment‬‬ ‫عادة ما يصيب المتسللون ا‪䐥‬للكترونيون أجهزة الحاسب الخاصة بضحاياهم ببرامج ضارة يمكنها‬ ‫ً‬ ‫تسجيل نشاط جهاز الحاسب لمراقبة نشاطاتهم عبر ا‪䐥‬لنترنت‪ ،‬فمث‪ ً䭫‬يقوم برنامج مسجل المفاتيح‬ ‫التسلل ا‪䐥‬للكتروني‬ ‫(‪ )keylogger‬بتتبع وتسجيل أزرار لوحة المفاتيح المضغوطة بطريقة سرية بحيث يصعب على‬ ‫(‪)Cyberstalking‬‬ ‫الشخص معرفة أنه تتم مراقبته وجمع بياناته الخاصة‪.‬‬ ‫يحدث انتهاك الخصوصية عند محاولة شخص ما التطفل على الحياة الشخصية لشخص آخر‪ ،‬وقد‬ ‫انتهاك الخصوصية‬ ‫يتضمن ذلك اختراق جهاز الحاسب الشخصي الخاص به أو قراءة رسائل البريد ا‪䐥‬للكتروني أو مراقبة‬ ‫ا‪䐣‬لنشطة الشخصية الخاصة به عبر ا‪䐥‬لنترنت‪.‬‬ ‫(‪)Invasion of privacy‬‬ ‫‪13‬‬ ‫ا‪䐧‬لختراق ا‪䐣‬لمني‬ ‫يحدث ا‪䐧‬لختراق ا‪䐣‬لمني (‪ )Security Breach‬عند تجاوز طرف غير مصرح به لتدابير الحماية للوصول إلى مناطق محمية من النظام‪،‬‬ ‫ويمكن أن يؤدي ا‪䐧‬لختراق ا‪䐣‬لمني إلى سيطرة المتسللين على معلومات قيمة والوصول إليها مثل حسابات الشركات والملكية الفكرية‬ ‫والمعلومات الشخصية للعم‪䐧‬لء التي قد تشمل ا‪䐣‬لسماء والعناوين وا‪䐣‬لرقام الشخصية ومعلومات بطاقات ا‪䐧‬لئتمان‪.‬‬ ‫في بعض ا‪䐣‬لحيان‪ ،‬يتم استخدام مصطلح اختراق البيانات بالتناوب مع مصطلح ا‪䐧‬لختراق ا‪䐣‬لمني‪ ،‬رغم وجود اخت‪䐧‬لف جوهري بينهما‪،‬‬ ‫حيث يحدث اختراق البيانات كنتيجة لحدوث ا‪䐧‬لختراق ا‪䐣‬لمني‪ ،‬كما أن اختراقات البيانات قد تحدث في مواضع مختلفة وبشكل‬ ‫ً‬ ‫مت‪䐧‬لحق‪ ،‬حيث قد تؤدي سرقة كلمات المرور مث‪ ً䭫‬إلى اختراق العديد من ا‪䐣‬لنظمة ا‪䐣‬لخرى عبر ا‪䐥‬لنترنت‪.‬‬ ‫يميل المستخدمون عادة إلى استخدام نفس كلمة المرور على حسابات متعددة عبر ا‪䐥‬لنترنت‪ ،‬ورغم أنه من الصعب تذكر مجموعة من‬ ‫ً‬ ‫كلمات المرور المختلفة‪ ،‬إ‪䐧‬ل إنه من المهم جدا استخدام كلمات مرور مختلفة لحماية البيانات في حال حدوث اختراق ‪䐣‬لحد ا‪䐣‬لنظمة التي‬ ‫تستخدمها عبر ا‪䐥‬لنترنت‪.‬‬ ‫أمثلة على ا‪䐧‬لختراقات في المؤسسات الكبيرة‬ ‫فيسبوك (‪)Facebook‬‬ ‫في عام ‪ ،2019‬كشف باحثوا أمن المعلومات أن م‪䐧‬ليين سج‪䐧‬لت مستخدمي فيسبوك كانت منتشرة عبر ا‪䐥‬لنترنت‪ ،‬بسبب قيام بعض‬ ‫التطبيقات التي يسمح لها فيسبوك بالوصول إلى بيانات مستخدميه بتخزين تلك البيانات على خوادم خاصة بها دون وضع تدابير ا‪䐣‬لمان‬ ‫المطلوبة‪ ،‬وتم العثور على م‪䐧‬ليين السج‪䐧‬لت بما فيها معرفات المستخدمين على فيسبوك‪ ،‬التعليقات‪ ،‬ا‪䐥‬لعجابات‪ ،‬ردود الفعل وأسماء‬ ‫الحسابات في قاعدة بيانات تم تحميلها بواسطة الناشر الرقمي المكسيكي كولتورا كوليكتيفا الذي تم اكتشافه على الخوادم السحابية‬ ‫لخدمات أمازون ويب (‪ ،)Amazon Web Service - AWS‬وهذا يدعو إلى اتخاذ تدابير الحيطة والحذر قبل السماح لبرامج ا‪䐣‬لطراف‬ ‫الخارجية التي تصادفنا على منصات التواصل ا‪䐧‬لجتماعي بالوصول إلى معلوماتنا‪.‬‬ ‫ماريوت الدولية (‪)Marriott International‬‬ ‫في نوفمبر ‪ ،2018‬سرق لصوص ا‪䐥‬لنترنت بيانات ما يقارب ‪ 500‬مليون عميل لشركة ماريوت الدولية‪ ،‬وتعتقد الشركة أن أرقام بطاقات‬ ‫ً‬ ‫ا‪䐧‬لئتمان وتواري ــخ انتهاء الص‪䐧‬لحية ‪䐣‬لكثر من ‪ 100‬مليون عميل قد ُسرقت أيضا‪ ،‬رغم أنه لم يكن من المؤكد فيما إذا تمكن المهاجمون من‬ ‫فك تشفير أرقام بطاقات ا‪䐧‬لئتمان‪.‬‬ ‫جوجل‪)Google+( +‬‬ ‫في أكتوبر ‪ ،2018‬تم ا‪䐥‬لب‪䐧‬لغ عن اختراق مبدئي طال ‪ 500‬ألف من مستخدمي جوجل‪ ،+‬ولكن شركة جوجل أعلنت عن ا‪䐧‬لختراق بعد‬ ‫عدة أشهر من اكتشافه‪.‬في ديسمبر‪ ،‬كشفت الشركة عن اختراق أخر للبيانات تم خ‪䐧‬لله كشف المعلومات الشخصية لـ ‪ 52.5‬مليون‬ ‫حساب على جوجل‪ +‬لمدة ستة أيام لتطبيقات غير جوجل‪.+‬تضمن هذا ا‪䐧‬لختراق بيانات مثل ا‪䐣‬لسماء‪ ،‬عناوين البريد ا‪䐥‬للكتروني‪،‬‬ ‫تواري ــخ المي‪䐧‬لد ونوع المعلومات الشخصية ا‪䐣‬لخرى التي تم جمعها بواسطة جوجل‪.+‬‬ ‫ً‬ ‫‪( X‬تويتر سابقا)‬ ‫في عام ‪ ،2019‬قام مئات من مستخدمي تويتر عن غير قصد بإعطاء بياناتهم الشخصية لتطبيقات طرف ثالث‪.‬اعترفت الشركة بأنها‬ ‫إص‪䐧‬لحا لرمز خبيث ربما تم إدراجه في تطبيقها من ِقبل قراصنة أجهزة الحاسب وكان من الممكن أن يعرض معلومات بعض‬ ‫ً‬ ‫أصدرت‬ ‫المستخدمين في جميع أنحاء العالم للخطر‪.‬تم إع‪䐧‬لم شركة تويتر بالمشكلة من ِقبل باحثي أمن تابعين لجهة ثالثة‪ ،‬اكتشفوا أن مجموعات‬ ‫تطوير برامج وان أودينس (‪ )One Audience‬وموبي بيرن (‪ )Mobiburn‬قد سمحت بالوصول إلى بيانات المستخدمين الحساسة‪.‬‬ ‫شملت المعلومات المكشوفة أسماء المستخدمين‪ ،‬عناوين البريد ا‪䐥‬للكتروني والتغريدات الحديثة‪.‬‬ ‫أدوبي (‪)Adobe‬‬ ‫أعلنت الشركة في البداية بأن المتسللين سرقوا ما يقارب ‪ 3‬م‪䐧‬ليين من سج‪䐧‬لت بطاقات ائتمان العم‪䐧‬لء المشفرة‪ ،‬با‪䐥‬لضافة إلى بيانات‬ ‫تسجيل الدخول لعدد غير محدد من حسابات المستخدمين‪ ،‬ولكن بعد أسابيع من البحث تم اكتشاف أن هذا ا‪䐧‬لختراق قد كشف عن‬ ‫الكثير من بيانات العم‪䐧‬لء بما فيها ُم ‪ّ児‬‬ ‫عرفاتهم وكلمات المرور ومعلومات بطاقات الخصم وبطاقات ا‪䐧‬لئتمان الخاصة بهم‪.‬‬ ‫‪14‬‬ ‫الهجمات ا‪䐥‬للكترونية‬ ‫الهجمات ا‪䐥‬للكترونية (‪ )Electronic Attacks‬هي محاو‪䐧‬لت لسرقة المعلومات‪ ،‬أو كشفها‪ ،‬أو تعطيلها‪ ،‬أو إت‪䐧‬لفها من خ‪䐧‬لل الوصول‬ ‫ً‬ ‫غير المصرح به إلى جهاز الحاسب‪.‬وهي أيضا محاولة للوصول غير المصرح به إلى نظام الحوسبة أو شبكة جهاز الحاسب بقصد‬ ‫إحداث ضرر‪.‬عادة ما يتم تنفيذ الهجمات ا‪䐥‬للكترونية بطريقة غير قانونية وبنية إحداث ضرر‪ ،‬ويمكن أن يكون لها عواقب وخيمة على‬ ‫المهاجمين‪.‬‬ ‫ً‬ ‫غالب ا ما يتم استخدام ا‪䐧‬لختراق ا‪䐣‬لمني والهجمات ا‪䐥‬للكترونية بشكل تبادلي‪ ،‬ولكن هناك فرق كبير‬ ‫بين المصطلحين‪.‬يشير ا‪䐧‬لختراق ا‪䐣‬لمني إلى استخدام المهارات ا‪䐥‬للكترونية للوصول إلى نظام‬ ‫جهاز الحاسب أو الشبكة دون إذن‪ ،‬بينما تشير الهجمات ا‪䐥‬للكترونية إلى نية إحداث ضرر‪.‬‬ ‫هجمات حجب الخدمات وحجب الخدمات الموزع‬ ‫إن هجمات حجب الخدمات (‪ )Denial of Service DOS - DoS‬وحجب الخدمات الموزع (‪)Distributed Denial of service - DDoS‬‬ ‫هما نوعان شائعان من الهجمات ا‪䐥‬للكترونية التي تهدف إلى تعطيل توفر مورد شبكة معين‪ ،‬مثل موقع إلكتروني أو خادم‪.‬‬ ‫هجوم حجب الخدمات‬ ‫هجوم حجب الخدمات هو نوع من أنواع الهجمات السيبرانية حيث يقوم جهاز حاسب واحد أو شبكة بإغراق موقع أو خادم مستهدف‬ ‫بحركة المرور‪ ،‬مما يؤدي إلى إرباكه وجعله غير متاح للمستخدمين‪.‬‬ ‫هجوم حجب الخدمات الموزع‬ ‫ً‬ ‫هجوم حجب الخدمات الموزع هو إصدار أكثر تقدما من هجوم حجب الخدمات حيث يتم استخدام العديد من أجهزة الحاسب أو‬ ‫الشبكات ‪䐥‬لغ راق موقع إلكتروني أو خادم مستهدف بحركة المرور‪ ،‬مما يجعل الدفاع ضده أكثر صعوبة‪.‬تجعل المصادر المتعددة لحركة‬ ‫المرور من الصعب منع الهجوم؛ ‪䐣‬لنه يبدو أنه قادم من مواقع متعددة‪.‬‬ ‫‪15‬‬ ‫هجوم الوسيط (‪)Man-in-the-middle MitM‬‬ ‫ً‬ ‫متظاهرا‬ ‫هجوم الوسيط هو نوع من الهجمات ا‪䐥‬للكترونية يتطفل فيه المهاجم بين اتصال المستخدم والتطبيق‪ ،‬ويجلس في منتصفه‬ ‫بأنه الطرف ا‪䐢‬لخر‪ ،‬ويمكنه قراءة أو تعديل أو إدخال رسائل جديدة في تدفق ا‪䐧‬لتصال‪.‬يمكن استخدام هجوم الوسيط لسرقة معلومات‬ ‫حساسة أو نشر برامج ضارة أو تنفيذ أنشطة ضارة أخرى‪.‬يمكن التخفيف من هذه الهجمات باستخدام أساليب التشفير والمصادقة‪.‬‬ ‫أمثلة على هجوم الوسيط ا‪䐥‬للكتروني‪:‬‬ ‫يمكن للمهاجم إعداد نقطة وصول واي فاي خادعة تظهر على أنها نقطة وصول شرعية‪ ،‬مما‬ ‫التنصت على الواي فاي‬ ‫يسمح له باعتراض وقراءة حركة مرور الشبكة غير المشفرة المرسلة من قبل الضحايا المطمئنين‬ ‫(‪)WiFi eavesdropping‬‬ ‫الذين يتصلون بنقطة الوصول الخادعة‪.‬‬ ‫في هذا الهجوم‪ ،‬يعترض المهاجم استع‪䐧‬لمات نظام اسم النطاق ‪ DNS‬ويغيرها‪ ،‬ويعيد توجيه‬ ‫انتحال أسماء النطاقات‬ ‫ً‬ ‫الضحايا إلى موقع إلكتروني ضار بد‪ ً䭫‬من الموقع ا‪䐥‬للكتروني المقصود‪.‬‬ ‫(‪)DNS spoofing‬‬ ‫التصيد ا‪䐧‬لحتيالي للبريد‬ ‫في هذا النوع من الهجوم يعترض المهاجم رسائل البريد ا‪䐥‬للكتروني وتغيير المحتوى أو إضافة‬ ‫ا‪䐥‬للكتروني‬ ‫مرفقات أو روابط ضارة لسرقة معلومات حساسة أو لنشر برامج ضارة‪.‬‬ ‫(‪)Email phishing‬‬ ‫ُ‬ ‫المستخدم‬ ‫‪Χ‬‬ ‫التطبيق‬ ‫هجوم الوسيط‬ ‫‪16‬‬ ‫الوقاية من الجرائم ا‪䐥‬للكترونية‬ ‫يهدف المحتالون والمتسللون ولصوص الهوية بشكل رئيس لسرقة المعلومات الشخصية والتي من خ‪䐧‬للها يمكنهم ا‪䐧‬لستي‪䐧‬لء على المال‪.‬‬ ‫ولتجنب مثل هذا ا‪䐣‬لمر‪ ،‬هناك خطوات يتعين علينا اتخاذها لحماية أنفسنا من هذه الهجمات ا‪䐥‬للكترونية‪.‬‬ ‫تساعد حماية معلوماتك الشخصية في التقليل من خطر سرقة الهوية أو انتحال الشخصية‪䐧.‬ل تقتصر المعلومات الشخصية على ا‪䐧‬لسم‬ ‫الكامل والعنوان ورقم الهاتف أو تاري ــخ المي‪䐧‬لد‪ ،‬بل قد تتضمن أرقام بطاقات ا‪䐧‬لئتمان والحسابات المصرفية والحسابات ا‪䐣‬لخرى‪ ،‬والتي‬ ‫يمكن استخدامها للسرقة أو انتحال الشخصية‪ ،‬وغيرها‪.‬‬ ‫وفيما يأتي بعض التدابير التي ينصح باتخاذها للوقاية من الجرائم ا‪䐥‬للكترونية‪:‬‬ ‫التحديث الدوري للبرامج‬ ‫‪ّ兏‬‬ ‫ُيعد تحديث البرمجيات أحد أكثر حلول ا‪䐣‬لمن السيبراني للتقليل من خطر برمجيات‬ ‫ا‪䐧‬لختراق الخاصة وخاصة تلك التي تعتمد على ابتزاز المستخدم‪ ،‬يجب أن يشمل هذا‬ ‫ً‬ ‫التحديث المستمرك‪ ً䭫‬من نظام التشغيل والتطبيقات‪ ،‬وذلك ‪䐥‬لزالة الثغرات ا‪䐣‬لمنية الحرجة‬ ‫التي قد يستخدمها المتسللون للوصول إلى ا‪䐣‬لجهزة الثابتة والمحمولة والهواتف الذكية‪.‬‬ ‫استخدام برامج مكافحة الفيروسات (‪ )Antivirus‬وجدار الحماية (‪)Firewall‬‬ ‫‪ّ兏‬‬ ‫ً‬ ‫نجاحا في محاربة الهجمات؛ ً‬ ‫نظرا ‪䐣‬لنه يمنع البرمجيات‬ ‫ُيعد برنامج مكافحة الفيروسات الحل ا‪䐣‬لكثر‬ ‫ُ ‪ّ兏‬‬ ‫الضارة والفيروسات الخبيثة ا‪䐣‬لخرى من الدخول إلى جهازك وتعريض بياناتك للخطر‪ ،‬ويعد استخدام‬ ‫مهما في الحفاظ على بياناتك من الهجمات‪ ،‬فهو يساعد على حجب المتسللين‬ ‫برنامج حماية مناسب ً‬ ‫والفيروسات والنشاطات الضارة ا‪䐣‬لخرى عبر ا‪䐥‬لنترنت وتحديد وتقنين البيانات المسموح بمرورها إلى‬ ‫جهازك‪.‬‬ ‫يتحكم جدار الحماية في حركة مرور البيانات الواردة والصادرة من خ‪䐧‬لل تحليل حزم البيانات وتحديد ما إذا‬ ‫كان ينبغي السماح بمرورها أم ‪䐧‬ل‪.‬وقد تأتي جدر الحماية على صورة برامج يتم تثبيتها على أجهزة الحاسب‬ ‫بشكل فردي‪ ،‬أو على شكل أجهزة خارجية منفصلة تستخدم ضمن هيكل الشبكة لحمايتها من الهجمات‬ ‫الخارجية‪.‬يمكن لبرامج جدار الحماية المثبتة على أجهزة الحاسب الفردية أن تفحص البيانات عن كثب‪،‬‬ ‫ويمكن أن تمنع برامج محددة من إرسال البيانات إلى ا‪䐥‬لنترنت‪.‬تستخدم الشبكات ذات ا‪䐧‬لحتياطات ا‪䐣‬لمنية‬ ‫العالية ك‪䐧‬ل النوعين من جدران الحماية لتأمين شبكة أمان كاملة‪.‬‬ ‫التواصل الرقمي الحذر‬ ‫ينبغي ا‪䐧‬لنتباه إلى كافة أشكال التواصل الرقمي سواء عبر البريد ا‪䐥‬للكتروني أو منصات‬ ‫ً‬ ‫التواصل ا‪䐧‬لجتماعية وحتى المكالمات الهاتفية والرسائل النصية‪.‬فمث‪ ً䭫‬تجنب فتح الرسائل‬ ‫ا‪䐥‬للكترونية المرسلة من جهات مجهولة‪ ،‬والتأكد من الروابط التشعبية بدقة قبل الضغط‬ ‫عليها‪ ،‬وتوخي الحذر من مشاركة أي معلومات شخصية عبر هذه المنصات‪.‬‬ ‫‪17‬‬ ‫التحقق الثنائي أو المتعدد‬ ‫استخدام كلمات المرور القوية وأدوات‬ ‫(‪)Multi-factor Authentication‬‬ ‫إدارة كلمات المرور‬ ‫عد استخدام كلمات المرور القوية ً‬ ‫ُ ‪ّ兏‬‬ ‫تقدم عملية التحقق الثنائي أو المتعدد‬ ‫أمرا‬ ‫ي‬ ‫‪ّ克‬‬ ‫ضروريا مهما ‪䐧‬لعتبارات ا‪䐣‬لمن عبر‬ ‫ً‬ ‫خيارات أمان إضافية‪ ،‬حيث تتطلب‬ ‫ً‬ ‫عملية المصادقة التقليدية إدخال اسم‬ ‫ا‪䐥‬لنترنت‪ ،‬ووفقا لسياسة استخدام كلمات‬ ‫المستخدم وكلمة المرور فقط‪ ،‬بينما يتطلب‬ ‫المرور الجديدة‪ ،‬يجب أن تكون كلمة‬ ‫التحقق الثنائي استخدام طريقة إضافية‬ ‫المرور القوية على درجة كافية من التعقيد‪،‬‬ ‫كرمز التعريف الشخصي أو كلمة مرور‬ ‫وتتغير بشكل دوري ‪.‬وفي هذا الوقت‬ ‫أخرى أو حتى استخدام بصمة ا‪䐥‬لصبع‪.‬أما‬ ‫الذي تتعدد حسابات المستخدمين على‬ ‫استخدام التحقق متعدد العوامل فيتطلب‬ ‫منصات وتطبيقات عديدة‪ ،‬ظهرت الحاجة‬ ‫أكثر من طريقتين‪.‬تتضمن أمثلة التحقق‬ ‫إلى استخدام أدوات إدارة كلمات المرور‬ ‫الثنائي أو المتعدد استخدام مزي ــج من هذه‬ ‫(‪ )Password Managers‬والتي تحتفظ‬ ‫العناصر للمصادقة مثل ‪ :‬الرموز الناتجة‬ ‫بكلمات المرور بصورة مشفرة في قواعد‬ ‫عن تطبيقات الهواتف الذكية‪ ،‬البطاقات‬ ‫بيانات آمنة‪ ،‬بحيث يتم استرجاعها عند‬ ‫أو أجهزة ‪ USB‬أو ا‪䐣‬لجهزة المادية ا‪䐣‬لخرى‪،‬‬ ‫طلب المستخدم والتحقق من هويته‪.‬‬ ‫بصمات ا‪䐣‬لصابع‪ ،‬الرموز المرسلة إلى عنوان‬ ‫بريد إلكتروني‪ ،‬التعرف على الوجه وإجابات‬ ‫‪䐣‬لسئلة ا‪䐣‬لمان الشخصي‪.‬‬ ‫النسخ ا‪䐧‬لحتياطي الدوري للبيانات (‪)Backup‬‬ ‫يعد إجراء نسخ احتياطي للبيانات بشكل دوري خطوة مهمة في مجال الحفاظ على أمان‬ ‫ا‪䐥‬لنترنت الشخصي‪ ،‬فبشكل أساسي عليك ا‪䐧‬لحتفاظ بث‪䐧‬لث نسخ من بياناتك على نوعين‬ ‫مختلفين من وسائط تخزين البيانات‪ ،‬كنسختين على (القرص الصلب المحلي والخارجي)‪،‬‬ ‫ونسخة أخرى على موقع خارجي أو باستخدام التخزين السحابي‪.‬في حالة استهدافك‬ ‫بالبرمجيات الضارة تكون الطريقة الوحيدة ‪䐧‬لستعادة البيانات هي باستعادة آخر نسخة‬ ‫احتياطية كبديل عن النظام الحالي المصاب بالبرمجيات الضارة‪.‬‬ ‫تجنب استخدام شبكات واي فاي (‪ )Wi-Fi‬العامة‬ ‫ينصح بتجنب استخدام شبكة واي فاي العامة دون استخدام شبكة افتراضية خاصة‬ ‫(‪ ،)Virtual private network - VPN‬فباستخدام هذه الشبكة‪ ،‬يتم تشفير حركة نقل‬ ‫البيانات بين الجهاز وخادم ‪ VPN‬مما يصعب على القراصنة الوصول إلى بياناتك على‬ ‫ا‪䐥‬لنترنت‪ ،‬كما يوصى باستخدام الشبكة الخلوية عند عدم وجود شبكة ‪ VPN‬وذلك للحصول‬ ‫على مستوى أعلى من ا‪䐣‬لمان‪.‬‬ ‫‪18‬‬ ‫لنطبق ً‬ ‫معا‬ ‫تدريب ‪1‬‬ ‫خطأ‬ ‫صحيحة‬ ‫حدد الجملة الصحيحة والجملة الخطأ‪:‬‬ ‫‪.1‬يعبر مصطلح ا‪䐣‬لمن السيبراني عن جميع الممارسات التي يتم تنفيذها لحماية‬ ‫المعلومات من المخاطر والهجمات التي تتمثل في الوصول غير المصرح به‪.‬‬ ‫ً‬ ‫مصمما لتوجيه‬ ‫ً‬ ‫نموذجا‬ ‫‪.2‬يعد مثلث الحماية ‪( CIA‬التوافر والتكامل والسرية)‬ ‫السياسات الخاصة با‪䐣‬لمن السيبراني‪.‬‬ ‫‪.3‬تشترك الجرائم ا‪䐥‬للكترونية والجرائم التقليدية في دوافع الجريمة ومسبباتها‪ ،‬ولكنها‬ ‫تختلف في الوسيلة‪.‬‬ ‫‪.4‬يحدث اختراق البيانات عندما ينتهك شخص ما التدابير ا‪䐣‬لمنية للتحكم بالمعلومات‬ ‫الشخصية‪.‬‬ ‫‪.5‬تساعد حماية معلوماتك الشخصية في التقليل من خطر سرقة الهوية أو انتحال‬ ‫الشخصية‪.‬‬ ‫‪.6‬تقتصر المعلومات الشخصية على ا‪䐧‬لسم الكامل والعنوان ورقم الهاتف وتاري ــخ‬ ‫المي‪䐧‬لد‪.‬‬ ‫‪.7‬يمكن تغيير أسماء النطاقات في هجوم الوسيط‪.‬‬ ‫‪19‬‬ ‫تدريب ‪2‬‬ ‫وضح بالشرح العناصر التي يتكون منها مثلث الحماية ‪ ،CIA‬ثم وضح كيفية تطبيق هذا‬ ‫النموذج على أنظمة الصراف ا‪䐢‬للي ‪.ATM‬‬ ‫‪20‬‬ ‫تدريب ‪3‬‬ ‫ابحث على ا‪䐥‬لنترنت عن أحدث حالة هجوم الوسيط (‪.)Man In the middle‬صف كيف تم‬ ‫تنفيذ الهجوم من خ‪䐧‬لل التركيز على أهمية تدابير ا‪䐣‬لمن السيبراني‪.‬كيف يمكن منع هجوم مثل‬ ‫هذا؟‬ ‫تدريب ‪4‬‬ ‫اشرح ما ا‪䐧‬لختراق ا‪䐣‬لمني‪.‬بعد ذلك‪ ،‬اكتب قائمة با‪䐥‬لجراءات التي يمكنك اتخاذها لحماية‬ ‫نفسك من ا‪䐧‬لنتهاكات ا‪䐣‬لمنية‪.‬‬ ‫‪21‬‬ ‫تدريب ‪5‬‬ ‫اختر ا‪䐥‬لجابة الصحيحة‪:‬‬ ‫السرية‪.‬‬ ‫التكامل‪.‬‬ ‫‪.1‬إتاحة البيانات والمعلومات ل‪䐣‬لشخاص المعنيين بها فقط‬ ‫والسماح لهم با‪䐧‬لط‪䐧‬لع عليها هو مفهوم‪:‬‬ ‫التوافر‪.‬‬ ‫التنوع‪.‬‬ ‫النسخ ا‪䐧‬لحتياطي‪.‬‬ ‫تحديثات النظام‪.‬‬ ‫‪.2‬من أساليب الحفاظ على تكامل البيانات والمعلومات‪:‬‬ ‫اسم المستخدم وكلمة المرور‪.‬‬ ‫ا‪䐣‬لذونات والص‪䐧‬لحيات‪.‬‬ ‫ا‪䐧‬لحتيال ا‪䐥‬للكتروني‪.‬‬ ‫التسلل ا‪䐥‬للكتروني‪.‬‬ ‫‪.3‬التهديدات عبـ ـ ــر البريد ا‪䐥‬للكترونـ ـ ــي أو الرسـ ـ ــائل الفورية أو‬ ‫المشاركات المسـ ـ ــيئة عبر وسـ ـ ــائل التواصل ا‪䐧‬لجتماعي هو‬ ‫مفهوم‪:‬‬ ‫المضايقات عبر ا‪䐥‬لنترنت‪.‬‬ ‫انتهاك الخصوصية‪.‬‬ ‫‪22‬‬

Use Quizgecko on...
Browser
Browser