جريدة الدستور
رئيس مجلسي التحرير والإدارة
د. محمد الباز

خلال معرض القاهرة الدولى للتكنولوجيا

خبراء: تطبيق مفهوم «Zero Trust» أهم أولويات نجاح منظومة التحول الرقمى

ندوة المخاطر وأمن
ندوة المخاطر وأمن المعلومات

قال سامح إمام، المهندس الاستشارى لأمن المعلومات بشركة سيسكو، إن مفهوم البنية الخالية من المخاوف الأمنية “Zero Trust”، تضاعفت أهميته بعد أحداث جائحة كورونا، واتجاه العديد من الأفراد والمؤسسات للعمل عن بُعد من المنزل أو من أي مكان خارج نطاق المؤسسة".

جاء ذلك خلال جلسة "بنية خالية من المخاطر وأمن المعلومات" المقامة ضمن فعاليات معرض القاهرة الدولي للتكنولوجيا فى دورته الخامسة والعشرين المقام خلال الفترة من ٧ إلى ١٠ نوفمبر ٢٠٢١.

ومع عمليات التحول الرقمي التى تحدث حاليًا فى جميع القطاعات أصبحت عملية التأمين أكثر تعقيدًا وتحتاج إلى تطبيق مفهوم "Zero Trust" أو البيئة الخالية من المخاطر، وهو ما تم مناقشته، اليوم الثلاثاء.

وأضاف "إمام" أن “Zero Trust” يجيب عن التساؤلات التالية.. ما الأشياء المتصلة بالشبكة؟، ومن الأشخاص المتصلين بالشبكة؟، وماذا يحدث داخل هذه الشبكة؟.

وأوضح أن "أهم عناصر منظومة التأمين هو العنصر البشري، ومازال هذا القطاع يحتاج مزيد من المتخصصين في المجالات الأمنية"، مشيرًا إلى أن "دراسة حددت عدد الكوادر المتخصصين فى مجال الأمن الرقمي في ظل التحول الرقمي الذي يحدث على مستوى العالم وأن هذا التحول يحتاج إلى مليون متخصص في ٢٠٢٠، وحتى الآن لم يصل العالم إلى ربع هذا الرقم وما زال العالم في احتياج إلى كوادر متخصصة فى مجال أمن الشبكات والإنترنت والبيانات".

ومن جانبه، قال الدكتور محمد عبد الفتاح، مسؤول الحماية الرقمية في شركة "فورتينت"، إن البيئة الخالية من المخاطر هي أمكانية الوصول لشخص أو جهاز أو نظام ومن الذى له حق الدخول على هذا النظام، مشيرًا إلى أن "أحد أهم المشكلات التي تواجه هذا المفهوم هو أن معظم المستخدمين يتعرضون إلى ما يعرف بـ"هجمات فيشنج" خاصة بعد اتساع فرص العمل عن بُعد.

وأضاف أن “Zero Trust” للشبكات هو أحد المصطلحات التى ظهرت فى عملية التأمين، والتي توفر الحماية سواء كان المستخدم فعال أو لا، كما أن الاستخدامات الخاصة بالمستخدمين لابد من التحكم فيها بشكل كامل وهو أحد أهم الأولويات في عملية الحماية".

وقال مارك كامل، رئيس الخدمات الاحترافية بشركة "UC Solutions"، إن من أهم المشكلات تصور البعض بتعقد أدوات التأمين، وبالتالي التوعية بأن هذا الإجراء ضروري ومهمة لأي منظومة رقمية، فضلًا عن أن فكرة التأمين الكامل هو أمر مستحيل، وبالتالي يجب التركيز على التوعية بعدم التعامل مع أي شئ غير معروف على الشبكة".

وقال شريف الديب، مسؤول أمن المعلومات في مايكروسوفت الشرق الأوسط، إن "التأمين هي منظومة ديناميكية متكاملة تشمل التطبيقات والبرامج والبنية التحتية وبناءً على كل عنصر من هذه العناصر يتم الإجراء الأمني اللازم لكل عنصر"، مشيرًا إلى أن  "أكثر مشكلة تواجه مفهوم الزيرو تراست هو عدم المعرفة والوعي الكافي بهذا الفكر المعروف في الأوساط التكنولوجية فقط ومن جانب المتخصصين، ولكن بالنسبة للمستخدمين فإن الأمر يحتاج إلى مزيد من التوعية".

بينما أكد مؤمن المهندس، مدير قنوات البيع بشركة "RSA"، أن الأمر لم يعد يتوقف على اسم الاستخدام وكلمة المرور بل يحتاج القدرة فى التحكم بكل عناصر الأمن داخل المؤسسات المختلفة، وفى هذا الصدد تتيح أنظمة التأمين تحديد من له الحق فى الدخول على الشبكة، والمهام المتاحة له داخل هذه الشبكة".

وتابع: "أهم مشكلة تواجه هذا الفكر هو أن العملاء ليس لديهم المعرفة الكافية بمفهوم الزيرو تراست، وبالتالي لابد من تحديد عدة عناصر مهمة مثل تحديد من يدخل على الشبكة، والأجهزة المتاح لها الدخول، والتطبيقات المستخدمة في كل شركة تبحث عن تحقيق الزيرو تراست".

وتساءل أحمد أشرف، استشاري أمن المعلومات بشركة "كاسبرسكي" قائلًا: "لماذا زيرو تراست؟، وأجاب بأنه نظرًا لتطوير المنظومة الرقمية، والدخول على الشبكات أصبح من أي مكان عن طريق أنظمة الحوسبة، وبالتالي تعقد عملية التأمين الخاصة بهذه الشبكة، وهناك أنظمة عديدة يمكن استخدامها للتأمين بما يتناسب مع المستجدات الراهنة، مثل تطبيق البيئة الخالية من المخاطر "زيرو تراست"، مشيرًا إلى أن "هذا المفهوم ظهر منذ فترة كبيرة، وليس جديدًا، ولكن كان هناك صعوبة في تطبيقه في السنوات السابقة".

وأوضح "أشرف" أن "تحقيق الزيرو تراست يحتاج إلى وقت كبير لتطبيقه،  وعلى سبيل المثال نفذت شركة "جوجل" هذا الفكر على مدار سبع سنوات الأمر الذي يوضح حجم المجهود الذي يحدث لتحقيق هذا الفكر".  

وحدد حاتم شريف، كبير مستشاري الحلول الأمنية بشركة "أورنج" عدة عناصر لتحقيق مفهوم الزيرو تراست، قائلًا: " الأول الشبكة، والثاني المستخدمين الذين لديهم الوعي الكافي بهذا الفكر، والثالث عنصر الداتا داخل الشبكة، والرابع المرونة والقدرة على التحليل"، مشيرًا إلى أن "الدولة لديها توجه بكل قطاعاتها للتحول الرقمي، وبالتالي التحدي القادم في هذا التوجه هو الديناميكية المناسبة من الناحية الأمنية لتطبيقات التحول الرقمي والتطبيقات التي تتحد مع بعضها".

وقال حسن مراد، مسؤول خدمات أمن المعلومات بشركة "IBM مصر" إن "الدافع الأساسي لمفهوم الزيرو تراست هو التحول الرقمي والدخول الكثيف على الشبكات الرقمية، وهو الأمر الذي دفع فكر البيئة الآمنة والخالية من المخاطر"، مشيرًا إلى أن "الركائز الأساسية لتطبيق البيئة الخالية من المخاطر هي فهم ما يتم حمايته من بيانات ومن المستخدمين للشبكة المراد حمايتها،  ومن المستهدف من هذه الشبكة، فضلاً عن فهم السلوك والتوجهات داخل الشبكة، ثم يأتي دور الأدوات والأتوميشن أو الميكنة".

وقال وليد عقل، استشاري الحوسبة السحابية بشركة "في إم وير"، إن "الوجه الثاني لمفهوم الزيرو تراست هو التطبيقات التي اختلفت كثيرًا عن السابق، وتحولت هذه التطبيقات من تطبيقات ضخمة إلى تطبيقات عديدة وبسيطة في الاستخدام، وكلها موجودة في المنصات السحابية المختلفة"، مشيرًا إلى أنه "بالتالي فإن السؤال الواجب الإجابة عليه حاليًا هو كيف يمكن تحقيق البيئة الآمنة في ظل هذا التنوع والتعدد في التطبيقات والمنصات وهو الأمر الذي يجب تأمينه".