ISACA JOURNAL المجلد ٦, ۱٢٠١٢

مقالة مميزة

ستيوارت هايز شارك في إدارة المخاطر والممارسات األمنية ألكثر من ۲٥ عاما، ويوفر الخدمات االستشارية المتخصصة في األمريكتين،

وآسيا والمحيط الهادئ وأوروبا والشرق األوسط.

يمكن التواصل مع هايز عبر البريد اإللكتروني

stewart.hayes@jakeman.

.com.au

مالكولم شور يمتلك خبرة واسعة في مجال تقنية

المعلومات مع أكثر من ۲۰ عاما من الخبرة في إدارة األمن والمخاطر. يمكن التواصل معه

عبر البريد اإللكترونيmalcolm.shore@stratsec.

.com.au

د. ميلز جاكمان، متخصص في إدارة األعمال. بوصفه

المدير العام لمجموعة ،Citadel Group Limited

قام جاكمان بتقديم المشورة لكبار رجال األعمال

والمسؤولين الحكوميين في عدد من المناسبات، بما في

ذلك تمثيل البلدان في المنتديات الوزارية.

لقد أصبح من المألوف حاليا أن يتم تنفيذ كل المعامالت التجارية-بداية من التسوق من المنزل إلى صفقات بماليين

الدوالرات-عبر اإلنترنت. لكن، تطور االنترنت السريع كقناة لتنفيذ األعمال التجارية، لم يوازيه بنفس القدر تطور

في مستوى األمن. فقد اشتهرت االنترنت بكونها بيئة عدائية والدليل على ذلك زيادة الجرائم اإللكترونية المنظمة التي

تؤكد على عدم اتخاذ اإلجراءات الالزمة للحد من هذه المخاطر. في عام ۲۰۰٤، كتب باتلر المبسون قائال:

ا من العمل في مجال أمن بعد ثالثين عامالحاسوب، لماذا تعتبر معظم األنظمة العاملة حاليا معرضة أكثر للهجمات الخطرة؟ السبب الرئيسي الذي يجيب عن هذا السؤال هو ارتفاع

تكلفة إعداد الحل األمني واألعباء الناتجة عن تشغيله، لذا يرى المستخدمون من خالل

تجربتهم أنه ال مجال لإلفالت من هذه الهجمات الخطرة، كما يرون أنه ال حاجة إلى المزيد من

األمن طالما أن الضرر الناتج عن هذه الهجمات ليس مؤثرا بشكل كبير. إضافة إلى ذلك، تنصيب

الحل المستخدم لتوفير األمن عملية شديدة ا ما تتم على نحو صحيح. ومادمنا التعقيد ونادرنتوقع أن تحل الكارثة في أي وقت، يصبح اإلعداد المبسط هو الخطوة األهم على طريق الحصول

على بيئة آمنة بشكل أفضل.

في نظام موزع يفتقر إلى إدارة مركزية كاإلنترنت، يتطلب األمن سيناريو واضح يبين من الذي يمكن

الوثوق به في كل خطوة من خطوات تثبيته ولماذا. ويمكن لنا الوصول إلى هذا السيناريو

من خالل أداة أساسية ممثلة في عالقة تفويض كيفية تصف التي المبادئ "اإلنابة" بين

السلطة، أي من يثق بمن. الفكرة بسيطة وتشرح ما يحدث في أي نظام تعاملت معه. غالبا

ما تكون الوسائل المتعددة والمختلفة المستخدمة لترميز هذه العالقة هي السبب في صعوبة

التعرف على الترتيب األساسي لها.۱

خالل العشرين عاما المنصرمة، حدث نمو ضخم في عدد خدمات الحاسوب والشبكات التي ساعدت على تنفيذ

المعامالت التي تؤديها الشركات األصغر حجما في أي سوق عالمية. وفي نفس الوقت، يزداد عدد األفراد الذين يسعون

نحو استغالل قابلية اإلصابة في األجهزة المتصلة بالشبكات وأنظمة وتطبيقات الحاسوب.

لقد أثبتت أنظمة تقنية المعلومات على مدار ۲۰ عاما أنها ليست مثالية بشكل مطلق حيث تحتاج إلى ضوابط

تعويضية لمواجهة المشكالت عند ظهورها. يعمل الموردون بشكل مستمر على إصدار حزم برامج تكتيكية وترقيات لحل المشكالت، إال أن القراصنة الذين يمتلكون المعرفة

والمهارات واإلمكانيات يعملون على تطوير وإصدار فيروسات وأدوات سهلة االستخدام تساعد المستخدمين األقل

خبرة في أن يصبحوا قراصنة مثلهم. على مستوى المستخدم، لم يتغير أسلوب الحماية الذي

تنتهجه الحكومة والمؤسسات كثيرا، فال يزال يستخدم نموذج حماية الحدود عبر جدران الحماية والشبكات الداخلية

البسيطة؛ والفصل المحدود للتطبيقات، حال وجودها؛ واستمرار استخدام آليات األمن غير الفعالة كمصادقة

كلمة السر. حتى أن آليات األمن األكثر تطورا كالتشفير والمصادقة ثنائية العناصر لم تف بما هو متوقع منها، فقد

ظهر مدى ضعف هذه اآلليات في بعض األحداث مثل ۳.MD5 وفشل RSA۲ اختراق منهجية التشفير الالتناظرية

لقد ابتكر الموردون إمكانيات مراقبة دقيقة توجه إنذارا للمشغلين عند محاولة إجراء تغيير أو وصول شخص بشكل

غير مرخص، لكن القليل من بيئات المستخدمين يمكنها تهيئة المعدات بشكل مناسب بحيث توفر األمن الفعال. ابتكرت

بعض المنظمات مثل المنظمة العالمية للمواصفات (األيزو) والمجلس العالمي للمعايير األمنية PCI بل وحثت على

إقرار المعايير القياسية األمنية، لكن على الرغم من ذلك فإن مستويات االختراق ومدى كفاءة التنفيذ بل ومدى مالءمة هذه

المعايير لتوفير الحماية ضد الهجمات الدائمة ال تزال محال للشك.

بالنسبة للمنظمات التي لها فروع في أماكن متفرقة من العالم، غالبا ما تفرض القوانين المحلية بعض االختالفات

في النموذج األمني، األمر الذي من شأنه أن يتسبب في فتح ثغرات في نظام األمن وخلق ثغرات في أكثر قطاعات الشبكة

أمانا. تخضع البيانات للنقل والتعديل عبر أنظمة متعددة مما قد يؤدي إلى ظهور تعارضات وأخطاء محتملة. يتكرر دائما االستعانة بمصادر خارجية لتوفير الخدمات وتخزين البيانات دون االهتمام بشكل كافي بالكفاءة األمنية وسياسات التوظيف

الخاصة بالمزود. إن محاولة إدارة السجالت بشكل متناسق في بيئة مبعثرة (قد تخضع أو ال تخضع لسيطرة المؤسسة)

يمكن أن تمثل كابوسا لمدير األمن.

الوجه المتقلب ألمن الفضاء اإللكتروني

ISACA JOURNAL المجلد ٦, ٢٠١٢

۲ ISACA JOURNAL المجلد ٦, ٢٠١٢

والقدرة على تطوير مجتمع رقمي والتمتع بالفوائد المتعددة المنتظرة منه يعتمد في جوانب كثيرة منه على الثقة في بنية الفضاء اإللكتروني. إن هجوم

Amazon.com (2010)و Paypal منع الخدمة الذي تعرض له كل من Twitter (2009)و CNN (2008)و

والبرلمان األسترالي (۲۰۱۰) وشركات النفط األمريكية (۲۰۱۱) ليس بالضرورة أن يكون ألحق ضررا بالجهة المستهدفة ومن الممكن أيضا أن تستخدم

هذه الهجمات في أغراض الدعاية من جانب شركات األمن على اإلنترنت،

لكنها عملت على زيادة توجيه االهتمام العام باألمن في الفضاء اإللكتروني. وقد

أوضحت هجمات التسلل األكثر شدة على شركة Sony Corp. (والتي تم

فيها نشر تفاصيل بطاقات االئتمان الخاصة بآالف الالعبين)، وهناك منظومة التشفير RSA التي تعرضت فيها معلومات شديدة الحساسية خاصة بجهاز

المصادقة ثنائية العناصر اآلمن الخاص بها للخطر. أن اإلنترنت أصبح مكان شديد الخطورة لتنفيذ األعمال من خالله.

يحتاج أمن الفضاء اإللكتروني باعتباره خطة واستراتيجية وطنية إلى توفير ليس فقط أمن أفضل في الخدمات الحكومية وخدمات األعمال، لكن

تحول أساسي في أمن البيئة اإللكترونية التي يعملون بها.٤ وقد فشل مجتمع تقنية المعلومات خالل العشرين عاما المنصرمة في توفير أداة لصيانة

البيانات تتميز بمستوى من الثقة التي تتسم بها المنظومات األخرى. ماذا بإمكان مجتمع تقنية المعلومات القيام به لمواجهة التحديات الحالية التي تعوق

تطوير مجتمع رقمي فعال؟

ما الذي تغير؟ما الذي تغير بخصوص اإلنترنت؟ اإلجابة، تغير كل شيء بالتأكيد-أنشطة العمل وتقنية المعلومات وبيئة االتصاالت ومحيط التهديدات. اليوم، أصبح

الموردون والمهاجمون متورطين في سباق تسليح الفضاء اإللكتروني، والمستخدمون هم الخاسرون. إذ يتم التسلل إلى تقارير منتظمة ألنظمة الحكومة والشركات واختراق البيانات في األقسام الحكومية. وتتعرض

أجهزة الحاسوب الخاصة بالمستهلكين وأجهزة المودم الالسلكية والهواتف الخلوية للدمار، وحتى بنية الفضاء اإللكتروني األساسية تتعرض للهجوم في

الدول التي تفخر بقدرتها على التحكم في اإلنترنت.٥

في األعوام الخمسة األخيرة، حدثت مجموعة من التحوالت الجوهرية في التقنية واستخداماتها تستلزم تحوالت مماثلة في السلوكيات المستخدمة

لتحقيق األمن. تطورت تقنية المعلومات من مجرد وسائل تساعد على التشغيل التلقائي لألنظمة لتصبح سمات أساسية للمجتمع: أي مجتمع

الفضاء اإللكتروني. إن نوع الجودة والموثوقية وإمكانية الوصول، بالمستوى الذي عادة ما يرتبط بمجاالت الطاقة والمياه أصبح اآلن عنصرا ضروريا

للتقنية المستخدمة لتوفير خدمات حكومية وخدمات للشركات التي تعمل عبر الفضاء اإللكتروني.

التقنية بطبيعتها سريعة التغير، كما أن هناك تحول آخر جوهري نشأ مع ظهور الحوسبة السحابية. تتيح الحوسبة السحابية لألفراد والمنظمات

الوصول إلى خدمات التطبيقات والبيانات من أي مكان عبر واجهة ويب؛ وتعد بشكل أساسي نموذجا لتقديم الخدمة ذو سلوكيات خاصة. ونظرا للفرص االقتصادية التي يتيحها استخدام السحابة في مقابل حلول تقنية المعلومات الداخلية، فحتما سنرى غالبية المؤسسات والحكومات تعمل

عبر السحابة خالل األعوام الخمسة القادمة. سيؤدي هذا فعليا إلى تغيير الوسائل التي تستطيع المنظمات من خاللها التأثير على كال من وظيفة تقنية

المعلومات واألمن في األنظمة لديها وإدارتها. تم تطوير المعايير األمنية الحالية في عالم كانت فيه أجهزة الحاسوب

عرضه لالحتيال واألنشطة اإلجرامية األخرى من جانب أفراد داخل المؤسسة وفي بعض الحاالت من خارجها. إال أن هذا تغير خالل الخمس

سنوات الماضية مع الزيادة السريعة في الجرائم اإللكترونية المنظمة ال سيما ظهور شبكات الروبوت (شبكات البوت نت)، وهذه الشبكات ساعدت النشاط اإلجرامي أن يتم على نطاق عالمي واسع لم يشهد له مثيل، كما أنها ضاعفت قوة هجمات منع الخدمة التي تستهدف شركات بعينها—في مستوى يزداد فيه

عدد الدول المعرضة لخطر قطع االتصال باإلنترنت عالميا.ولألسف، قدرة قوات الشرطة الوطنية على الحد من الجرائم اإللكترونية

العالمية تتطور ببطء شديد ال يضاهي أبدا القدرات التقنية التي يتميز بها المجرمون اإللكترونيون. ويمكن القول بأن الجرائم اإللكترونية أصبحت اآلن

قضية أكبر من قضايا المخدرات غير المشروعة. إن اعتماد اتفاقية مجلس أوروبا بشأن الجريمة اإللكترونية، يعد منطلقا لالستجابة العالمية للجريمة

اإللكترونية، وقد ظهرت بوادر تدل على أن قوات الشرطة تتكاتف معا على الصعيد العالمي في هذا الشأن. لكن هناك حاجة ملحة إلى تطوير مفهوم

االختصاص القضائي العالمي قبل تطوير أي رد فعل حكيم لمواجهة الجريمة اإللكترونية.

“هجمات تسلل خطرة…”

تثبت أن شبكة اإلنترنت تشكل مكانا للعمل بالغ

الخطورة على نحو متزايد.

ISACA JOURNAL المجلد ٦, ۳٢٠١٢

فيما يعرف اآلن بالعالم الهوبزي6، تسعى األنظمة الحكومية التي تتعرض لهجمات قاسية من الدول األخرى للحصول على معلومات استخباراتية

وطنية وأخرى صناعية. وعلى الرغم من أن الصين متهمة عالنية بالقيام بهذا النوع من النشاط،۷ فهناك دول أخرى كثيرة من المعروف أنها مضطلعة في األمر أيضا. عالوة على ذلك، لم يقتصر استخدام الدول لإلنترنت بشكل

عدائي على قطاع المعلومات االستخباراتية. فقد أعطى نموذج المراهقين الذين قاموا في فيلم المناورات (War Games) باقتحام أنظمة الدفاع

وعمل مناورات، أدلة موثوقة في الحاالت مثل حالة استونيا،8 تثبت أن هناك هجمات تتم برعاية الدولة بمعرفة جيوش محترفة من المحاربين اإللكترونيين

داخل الجيش أو يعملون تحت رعايته. في الواقع، ابتكرت الواليات المتحدة برنامج Cyber Corps9 الخاص بها ألنها تعتبر الهجوم اإللكتروني حاليا

أحد مكونات أي حملة تنفذها.

إلى أين نتحرك؟إن الكثير من أوجه القصور في التقنية وإدارتها التي ناقشناها في السابق

تم التعرف عليها منذ عدة سنوات مضت، ولكن على الصعيد الوطني، ال يزال يتم تركيب األنظمة

الحساسة تجاريا وشخصيا وتشغيلها مع وجود أوجه القصور هذه. إن إدخال التحسينات على التقنية والكفاءة حتما له مردود، فقد أصبح المهاجمون

المنظمون أكثر قدرة على التسبب في تعطيل العمل واالحتيال بسهولة. ثمة عدد من الخطوات المحددة

التي يمكن اتخاذها لتحسين الموقف وإصالح الوضع المؤسف الذي يعتري صناعة أمن المعلومات نفسها.

في ظل وجود نقاط الضعف القابلة لإلصابة في التطبيقات الجديدة (وهو األمر الذي تبرهنه

حزم األمن العديدة التي يصدرها موردو البرامج)، وزيادة عدد األدوات المتاحة التي تسبب التشويه المتعمد للمؤسسات المتصلة باإلنترنت، وتنامي

معرفة وإمكانيات مجتمعات المستخدمين، ال تزال الحكومات والصناعات تعتمد على الحظ وليس

حسن التقدير لتجنب وقوع الحوادث الكبيرة. هل تستطيع الحكومات والصناعات مواصلة استيعاب هذه التهديدات في النموذج المؤسسي الخاص بها،

مع العلم أنه مع نشر الشبكة الوطنية األسترالية ذات النطاق العريض مثال، وبروتوكول اإلنترنت اإلصدار ٦ (IPv6)، فإن وتيرة وخطورة القضايا

سوف تتفاقم؟. إن توسيع النطاق وزيادة قوة الحوسبة قد يتسببا في اشتداد ضراوة أي هجوم جماعي،

وقد يصبح كل جهاز يتمتع بعنوان شبكي IP تهديدا محتمال - ليس فقط أجهزة الحاسوب المنزلية، بل

واألجهزة المنزلية والسيارات والهواتف المحمولة. ففي الفضاء اإللكتروني، قد يصبح أي شيء يتعلق بالفرد عامل من عوامل الخطر التي تهدده.

عقب قصف الجيش الجمهوري األيرلندي (IRA) لفندق برايتون جراند (Brighton Grand) في عام ۱۹۸٤، أصدر IRA بيانا يقول فيه "...إننا لم نحتج إلى الحظ إال لمرة واحدة؛ ولكنكم بحاجة إليه دائما". إذن فاألمر يتعلق

بالفضاء اإللكتروني.

التعرف على مصدر التهديدمن الواضح أن التعرف على مصدر أي تهديد واحتمالية أن يشكل هذا التهديد خطورة على المصالح التجارية ألي مؤسسة هو خطوة أولى حاسمة في بناء استراتيجية األمن اإللكتروني. ويشرح ستيفن بوتشي عوامل التهديد كما هو

موضح في الشكل ۱.۱۰يوضح ستيف بوتشي أنه مع التغير المستمر للتهديدات اإللكترونية من

مجرد قرصنة من جانب أفراد إلى جريمة منظمة، ومن هجمات إرهابية إلى هجمات إلكترونية وطنية أو تقوم الدول برعايتها، فإن مستوى الخطورة

الشكل ۱—عوامل التهديدالوصفمصادر التهديدمشغلو شبكة البوت هم قناصون؛ لكن بدال من أن يتسللوا إلى النظام مباشرة يتحكمون في مشغلو شبكة البوت

العديد من األنظمة لتنسيق الهجمات وتوزيع خطط التصيد والبريد العشوائي وهجمات البرمجيات الخبيثة. تتوفر خدمات هذه الشبكات أحيانا في األسواق السرية (مثل شراء هجوم

منع الخدمة وخوادم ترحيل البريد العشوائي وهجمات التصيد). تسعى المجموعات اإلجرامية إلى مهاجمة النظم من أجل الحصول على المال. وعلى وجه المجموعات اإلجرامية

التحديد، تستخدم المجموعات اإلجرامية المنظمة البريد العشوائي والتصيد وأنظمة التجسس/البرمجيات الخبيثة لتنفيذ سرقة الهوية واالحتيال عبر اإلنترنت.

الحكومات األجنبية والخدمات االستخباراتية تستخدم األدوات اإللكترونية باعتبارها جزء من عناصر ترعاهم الدولة أنشطتهم الخاصة بجمع المعلومات والتجسس. إضافة إلى ذلك، تعمل العديد من الدول وبشكل

دءوب على تطوير المبادئ والبرامج واإلمكانيات المستخدمة في حرب المعلومات. يخترق القراصنة الشبكات إما إلشباع رغبتهم في التحدي أو من أجل نيل حقوق متبجحة المخترقون (الهاكرز)

في مجتمع المخترقين. في حين أن االختراق عن بعد كان يتطلب يوما ما قدرا معقوال من المهارات أو المعرفة الحاسوبية، إال أن الهواة أيضا يمكنهم اآلن تنزيل نصوص وبروتوكوالت

الهجوم من على اإلنترنت وإطالقها ضد المواقع التي تقع فريسة لهم. المطلعون على األسرار الداخلية

يعتبر الموظف الساخط المطلع على األسرار الداخلية ألي مؤسسة هو مصدر للجريمة الحاسوبية. وقد ال يكون المطلعون على األسرار الداخلية في حاجة إلى قدر كبير من

المعرفة بهجمات التسلل الحاسوبية ألن معرفتهم بالنظام المستهدف غالبا ما تتيح لهم إمكانية الوصول غير المقيد إلحداث ضرر بالنظام أو سرقة بياناته. وتشمل هذه الفئة كذلك الموردون

والموظفون الذين قد يدخلون البرمجيات الخبيثة بطريق الخطأ إلى أنظمتهم.أفراد أو مجموعات صغيرة تقوم بتنفيذ خطط تصيد في محاولة لسرقة الهويات أو معلومات المتصيدون

تمهيدا الحصول على المال.مرسلو البريد

العشوائيأفراد أو منظمات تقوم بتوزيع رسائل غير مرغوب فيها تحمل معلومات خفية أو مزورة

لبيع منتجات أو تنفيذ خطط التصيد أو توزيع أنظمة تجسس/برمجيات خبيثة أو الهجوم على المؤسسات (كهجمات منع الخدمة)

منشئو نظم التجسس/البرمجيات الخبيثة

أفراد أو منظمات تقوم بإنتاج وتوزيع أنظمة التجسس والبرمجيات الخبيثة أحيانا مجانا وأحيانا أخرى تبيعها بأعلى سعر.

يسعى اإلرهابيون إلى تدمير البنى التحتية، أو اضعافها، أو استغاللها وذلك سعيا لتهديد األمن اإلرهابيونالوطني أو إيقاع إصابات جماعية أو إضعاف االقتصاد العالمي والقضاء على الروح المعنوية

والثقة.

٤ ISACA JOURNAL المجلد ٦, ٢٠١٢

يتزايد في المقابل.۱۱ وهكذا، ففي حين يتسبب األفراد في التشويه المتعمد، فإن األمر عموما غير دائم ويتم احتواؤه على نحو الئق. حاليا قد يتسبب

الهجوم في تدمير واسع االنتشار وتقويض مستمر لسيادة الدولة.فيما يلي النموذج المقبول للجريمة: هل قيمة الهدف تستحق عناء محاولة الهجوم؟ وما هي احتمالية القبض على المهاجم؟ وما مدى صعوبة أو ارتفاع تكلفة المهمة؟ إن المالمح الخاصة بكل جانب من هذه الجوانب تحدد النطاق

الديموغرافي للمهاجم المحتمل. وبالمثل، فإن تغيير متغيرات كل من هذه الجوانب يؤثر على احتمالية أن تكون مستهدفا—مع الوضع بعين االعتبار

أن الهجمات اإللكترونية التي ترعاها الدولة عادة ما تكون ذات مصادر باهظة التكلفة.

تجنب نقاط الضعف القابلة لإلصابةال تنشأ المشكالت في الفضاء اإللكتروني بسبب هذه التهديدات فقط، إنما

بسبب مزيج من التهديدات ونقاط الضعف القابلة لإلصابة. فالقابلية لإلصابة ما هي إال نتاج طبيعي للمستوى المنخفض أو المعدوم من الجودة سواء فيما

يتعلق بالموظفين أو المنتجات المستخدمة لتوفير األمن اإللكتروني.فلم يعد من المقبول للمحترفين والعاملين في التجارة والمنتجات

والخدمات التي تمثل عناصر مهمة لنجاح الفضاء اإللكتروني أن تجري عملها اعتمادا على عبارة "الشراء على مسؤولية المشتري". فبعض المهن

مثل القانون والطب وعلم النفس يتم التحكم بها من خالل معايير مهنية صارمة، بينما قامت مهن أخرى مثل المحاسبة بإنشاء معاهد تمنح مؤهالت المحاسبة القانونية. في بعض الدول، يعد المؤهل المعترف به أمرا إلزاميا

حتى يتم تسجيل الشخص كعامل بالتجارة، مثل فني الكهرباء أو البناء. لذلك، فإن التأسيس لألمن اإللكتروني باعتباره مهنة ونشاط تجاري تأخر كثيرا.

أصبحت الدول تعترف وبشكل كبير بالحاجة إلى إنشاء الفضاء اإللكتروني على أساس بنى تحتية موثوقة. في المملكة المتحدة، لضمان أن

يوفر مزودي خدمة االتصاالت بنية IP تحتية بنفس مستوى الجودة الذي تتمتع به الشبكات التناظرية الخاصة بهم، تم إنشاء نموذج تحفيزي للشراكة بين القطاعين العام والخاص لتوفير خدمات البنية التحتية للدوائر الحكومية

بناء على الجيل الثاني من المعايير األمنية۱۲. وقد أصدرت العديد من الدول، بما في ذلك أستراليا، قواعد للممارسات خاصة بمزودي خدمات االتصال ISP ۱۳ التي تعمل على دمج متطلبات مزودي، (ISP) بالشبكة العالمية

الخاصة بتحميلهم بعض المسؤولية عن المحتوى الموجود على وصالتهم.

وما زال أمر إنشاء برامج موثوقة (على سبيل المثال، برامج بدون نقاط ضعف قابلة لالستغالل) يمثل تحديا. فعلى الرغم من توافر النظريات والنماذج واألساليب لتطوير هيكليات آمنة وترميز برامج آمنة، لكن لم يكن لهذا دور فعال في دفع صناعة تقنية المعلومات. وتغافل المجتمع األكاديمي

من جانبه عن الحاجة إلى أن يصبح أمن البرامج عنصرا أساسيا في أي منهج ألمن الحاسوب، أما الموردون فهم من جانبهم على أتم استعداد إلنشاء

أنظمة جديدة على أسس غير آمنة وتصحيح أوجه القصور بدال من إعادة بناء أنظمة آمنة من األساس. ال يوجد حل سهل لهذه المشكلة، بيد أن ربط

تمويل األبحاث بالبرامج التي تفي بالمتطلبات األساسية للفضاء اإللكتروني من شأنه أن يعتبر بداية جيدة نحو الوصول إلى هذا الحل. أيضا، فإن

استمرار الحكومات في استخدام استراتيجيات شراء انتقائية سوف يعمل على تعزيز سلوكيات األكاديميين والموردين بحيث يتسم سلوكهم بمسؤولية أكبر.

وعلى الرغم من أن «الغاية المنشودة» هي تجنب نقاط الضعف القابلة لالصابة، إال أن الواقع ما زال يشهد تسبب الموردين في خلق أوجه

ضعف قابلة لإلصابة. وحاليا، يعد تبني استراتيجية أمنية تركز على الوعي بالظروف المحيطة أساسا هاما للتعرف على التهديدات. يجب أن تظل المؤسسات على معرفة مستمرة باتجاهات الهجوم واالختراقات األمنية

المحددة الخاصة بها، وأن تكون قادرة على الرد عليها. باإلضافة إلى ذلك، يوفر اختبار األنظمة مقابل االختراقات األمنية المعروفة منهجا عميقا للدفاع

• اقرأ COBIT 5 ألمن المعلومات.www.isaca.org/COBIT/Pages/

Product-Family.aspx

• اقرأ تدقيق الجرائم اإللكترونية/برنامج الضمان.www.isaca.org/cybercrime-AP

• احضر ISRM/IT GRC ألمريكا الشمالية، حيث المسار ۱ هو إحباط التهديدات اإللكترونية.

www.isaca.org/governancerisk

• اعرف المزيد وناقش وتعاون بشأن األمن اإللكتروني في مركز المعرفة.

www.isaca.org/topic-cybersecurity

ISACA JOURNAL المجلد ٦, ٥٢٠١٢

حتى يمكن التغلب على نقاط الضعف هذه القابلة لإلصابة. إن إجراء فحص بسيط الختراق األنظمة الخارجية إلحدى المؤسسات سيكشف النقاب عن مشكالت في التكوين أو في حزم برامج غير مطبقة. إن تضييق األنظمة

هو أسلوب آخر يتم استخدامه للحد من االختراقات عبر نقاط الضعف القابلة لإلصابة التي يتيحها الموردين من خالل غلق الوصالت غير المستخدمة

والتحقق من الثغرات المتعلقة بكلمة المرور والحسابات غير النشطة وأوجه القصور األخرى التي قد يتم استغاللها بواسطة عدد من أدوات الهجوم

المتاحة بسهولة. بالنسبة لألعمال التجارية، يعتبر الفضاء اإللكتروني إحدى الوسائل التي

يتم من خاللها تنفيذ األعمال، وليس غاية في حد ذاته. إن الشركات في تطور سريع لتضمن أنها مازالت في المنافسة وأنها قادرة على اإليفاء بمتطلبات العمالء من خالل التحالفات االستراتيجية التي تتم على نطاق متزايد. أحد ضوابط الجودة األكثر فعالية التي يمكن تطبيقها يتمثل في تنفيذ مراجعات

مستمرة عالية الجودة تتسم بالعناية الواجبة على المؤسسات التي يتم مشاركة المعلومات معها أو التي يستعان بها كمصادر خارجية لتنفيذ الخدمات أو التي

كانت مصدرا للمعلومات. تماما كما شرحه بيتر كين في ۲۰۰۲:

إن االستعانة بمصادر خارجية في تنفيذ اإلجراءات المؤسسية أفضل بتوريد الخاصة االستثمارية االستراتيجية (BPO) هي

ممارسات العمليات بشكل متكامل مع سالسل القيمة التجارية وهي: سلسلة عالقات العمالء وسلسلة التوريد

وسلسلة اإلنتاجية التنظيمية وسلسلة ابتكار المنتجات والخدمات. وهذه االستعانة هي عملية تعاونية مكثفة ألنها

التقنيات تعتمد على دمج مهارات عمالء BPO وقاعدة إمكانيات والعمليات بالعروض المميزة لمزودي BPO. إنها

إضافية تعزز القدرات على طول سلسلة القيمة.۱٤

في أحيان كثيرة، تجد التقنيات المستخدمة من جانب المؤسسات الشريكة في دول أخرى لكنها ذات ترتيبات قانونية معقدة وقوانين امتالك بيانات—وربما قانون صريح أو ضمني، مثل القانون األمريكي لمكافحة اإلرهاب.

وبينما تأتي التهديدات الجديدة التي يتعرض لها الفضاء اإللكتروني من الخارج، فإن هذا ال يعني توقف الهجمات من الداخل. عادة ما يقل

االهتمام بالتحقق من خلفية العاملين والمقاولين عند تعيينهم وخالل فترة توظيفهم، والتحقق من مستوى جودة مقاولي األمن الذين يقومون بتركيب

المعدات، واختبار الضوابط المطبقة بشكل مستمر، ومراجعة محفظة المخاطر التنظيمية. إجراءات بسيطة مثل هذه ما هي إال مجرد بداية،

إال أنه يتعين بذل المزيد من الجهد لضمان أنه يمكن للمستخدمين الوثوق بخدماتهم االلكترونية بنفس مستوى ثقتهم بخدمات الطاقة والمياه. من شأن

استراتيجيات األمن اإللكتروني الوطنية أن تؤثر على بعض التحسينات الالزمة لتوفير مستوى كاف من الجودة في الفضاء اإللكتروني، إال أن هذا

يتطلب دعما من الصناعة القوية ودعم العمالء من خالل عمليات الشراء والتوظيف التقديرية.

فهم طبيعة العملبينما يستمر العمل في التطور ووضع االسس االمنية لبيئة الفضاء

اإللكتروني اآلمنة، ثمة مجتمعات رقمية آخذة في الظهور ولكنها تتسم بمستوى أقل من الكفاءة. ولكي تبقى

هذه المجتمعات نشطة، بل ولكي نمو، يجب أن يكون هناك فهما

واضحا ومجردا للمخاطر وتطوير مناهج إدارية بإمكانها التخفيف من

حدة هذه المخاطر. على مستوى األعمال التجارية الفردية، عادة

ما يتم تطبيق حلول األمن التقليدية مع إدراك أقل الحتياجات األعمال

ومصدر المعلومات التجارية ومدى تدفقها. وبدون ذلك يكون من الصعب تقييم المخاطر بشكل صحيح، وبدون

التعرف على محفظة المخاطر بشكل جيد يكون من الصعب إنشاء حلول فعالة تتحاشى الحاجة إلى ضوابط أمنية معقدة وغير عملية.

إن التوافق بين احتياجات العمل وتدفق المعلومات وهيكلية األمن يتطلب من محترفي األمن اإللكتروني فهم:

• المشروعات واألهداف االستراتيجية والسوق وحاملي األسهم ونوعية المعلومات التي يتم استخدامها ومشاركتها

• تدفقات المعلومات التجارية والعالقات والروابط األساسية• قيمة المعلومات التجارية من الناحية المالية واالستراتيجية والتشغيلية

• آثار فشل إدارة المعلومات، كتورطها بقضايا فساد، أو التسبب بخسائر أو اإلفصاح—والفشل في تقديم الخدمات

• ماذا يلزم الستعادة السيطرة على الموقف في حالة الفشل (وإدراك ما يجري) عندما تتعذراستعادة السيطرة

• العالقات داخل وخارج العمل، وكيف يمكن للفشل في مجال واحد التأثير على المجاالت األخرى

من خالل هذا الفهم، بإمكان محترفي األمن اإللكتروني البدء في تطوير محفظة مخاطر ألعمالهم واستخالص خيارات إلنشاء نموذج أمني من

منظور الميزانية والهيكلية على حد سواء.

هيكلة الحلمن خالل فهم طبيعة العمل والبيئة التشغيلية، يكون من الممكن تطوير نموذج

أمني فعال ومستمر. لقد جرى تطوير نماذج أمنية عامة على مر السنوات بناء على الضوابط األمنية الفعلية التي تحمي المعلومات واألنظمة التي

يتم تضمينها في موقع محدد فضال عن الحدود األمنية التي تحمي األنظمة المكتملة في حد ذاتها؛ لكن لم يتم تطبيق هذه النماذج بعد. ومع ظهور

الشركات االفتراضية التي توجد غالبا على اإلنترنت، والتي يعمل لديها افراد في مختلف المواقع، وتمتلك معلومات متاحة على األجهزة المحمولة وفي

“بدون تحديد محفظة المخاطر ”

بشكل جيد يكون من الصعب إنشاء حلول فعالة تتحاشى

الحاجة إلى ضوابط أمنية معقدة وغير عملية.

٦ISACA JOURNAL المجلد ٦, ٢٠١٢

السحابة (وأين تقع هذه؟)، ال يمكن للنماذج التقليدية إال أن تحمي جزء

ضئيل من المعلومات المؤسسية. تركز الغالبية العظمى من النفقات األمنية حاليا على شكل من أشكال

التوافق وليس حماية المعلومات التجارية المهمة.

تحتاج التقنية إلى إعادة هيكلة لكي يمكنها تقليل النزعة إلى شن الهجمات في الفضاء اإللكتروني. سوف يتطلب هذا إعادة النظر وبشكل جذري في

الطريقة التي يتم بها تقديم الخدمات إلى الشبكة. "إن المنهج القديم لألمن الذي يصور الحاسوب بالحديقة المسورة التي تتم حمايتها عبر جدران الحماية

والشبكات الداخلية يبدو أنه ال يتفق مع الواقع الفعلي".۱٥لقد دعا منتدى Open Group’s Jericho Forum۱٦ إلى منهج أكثر

توافقية مع الفضاء اإللكتروني ويمكنه معالجة مبدأ إزالة الحدود األمنية الخارجية ألنظمة المؤسسات. يعتمد نموذج Jericho على إنشاء مسارات

موثوقة بين المؤسسات الشريكة وتحسين المصادقة على المستخدمين (البشر أو اآللة) والمعلومات وتحسين ضوابط الدخول عند مستوى معلومات أكثر

عمقا. األمر الذي يتيح التعاون بين المؤسسات التجارية بمزيد من الثقة. يمكن كذلك تقليل تأثيرات أي هجوم على هدف واحد من خالل ابتكار هيكلية مرنة ذاتية اإلصالح. وقد طرح هذا المنهج ألول مرة عام ۱۹۸۹،

:(DDSSA) تحت مسمى هيكلية أمنية للنظام الرقمي الموزع

تتضمن هذه الهيكلية األمنية منهجية للمصادقة تشمل كالمن المستخدم والنظام، ونظام أمني إلزامي واختياري، وإمكانية التهيئة والتحميل بشكل آمن، والتفويض في بيئة حوسبة ذات

أغراض عامة تضم أنظمة غير متجانسة ال توجد بها سلطات مركزية وتنعدم فيها الثقة العالمية والضوابط المركزية.. تصف

هذه الهيكلية إطار عمل لجميع التطبيقات وأنظمة التشغيل المتاحة حاليا أو التي سيتم ابتكارها فيما بعد. نظرا ألن هذا

النظام الموزع عبارة عن بيئة (نظام تشغيل OS) مفتوحة حيثما ال يتطلب التشغيل البيني للوظائف سوى التوافق

مع بروتوكوالت محددة يتطلبها أي تطبيق مخصص، ينبغي تصميم هذه الهيكلية لتدعم وبشكل آمن األنظمة التي ال

تنفذ أو تستخدم أي من الخدمات األمنية، وفي نفس الوقت توفر إمكانيات أمنية إضافية هائلة لألنظمة التي اختارت تنفيذ هذه

الهيكلية.٧١

إن األفكار المبدئية المتعلقة بهيكلية DDSSA قد تبعها تطوير للمفاهيم الخاصة بالشبكات القادرة على البقاء،۱۸ التي يمكن أن تساهم وإن كان بشكل ضئيل في توفير خدمات ضرورية عند التعرض لهجوم. لكن األنظمة القوية

والموثوقة المعتمدة على هذه المفاهيم لم تظهر بعد في مجال المنتجات ولم يتم نشرها على نطاق واسع على الرغم من أن ظهور معيار الشبكة المرنة۱۹

ينبغي أن يتجه وبشكل ما نحو التعامل مع هذه القضايا.في الفضاء اإللكتروني، يجب أن ينصب التركيز على حماية المعلومات.

فالمعلومات موجودة سواء كانت مخزنة أو قيد النقل عبر الفضاء اإللكتروني، وهي معرضة في كلتا الحالتين لخطر السرقة دون اإلحساس بأي تغيير يذكر. وبمجرد سرقة المعلومات، يمكن تغييرها أو يعاد التزويد بها واستخدامها لتكرار عمليات االحتيال. قد تقلل ضوابط الدخول من هذه

المخاطر في نطاق خاص، ولكن ليس عند وضع المعلومات في نطاق عام. لقد تم تطوير تقنية إدارة الحقوق الرقمية (DRM) لإليفاء بهذا التحدي من

خالل تمكين تطبيق الضوابط على عناصر المعلومات التي تمنع التغيير أو النسخ أو الطباعة أو إعادة التوجيه أو التنفيذ (تطبيقات). ترى بعض المؤسسات مثل مؤسسة الحدود اإللكترونية (EFF) هذا بوصفه انتهاكا

لحقوق األفراد للوصول إلى المعلومات ومشاركتها بحرية، لذلك لم تشهد تقنية DRM قبوال واسع النطاق.

في الفضاء اإللكتروني، ال يزال التخطيط من أجل استمرارية عمل الشركات أمر يشغل حيزا من األهمية. فكلما أصبحت األنظمة أكثر موثوقية، كانت الشركات أكثر اعتمادية عليها وزادت اآلثار المترتبة على الفشل بشكل

كبير. في زلزال مدينة كرايستشيرش عام ۲۰۱۱ (نيوزيلندا)، تعرض ما يقدر بنسبة ۲٥ بالمائة من المباني للدمار، مما تطلب عمليات نقل جماعي

ولم تتمكن الكثير من الشركات استرداد المواد من المباني قبل هدمها.۲۰ وفي حين أن استخدام خدمات السحابة يمكن أن يقلل من إمكانية اإلصابة بهذه األحداث المحددة الموقع، إال أن السحابة نفسها ال تعد ترياقا لجميع

األمراض، كما تجلى األمر في فشل سحابة موقع Amazon.com في عام ۲۰۱۱. ۲۱ في الواقع، جلب استخدام خدمات السحابة معه مشكالت كبرى متعلقة بامتالك البيانات والقدرة على استعادة البيانات من السحب في حالة إنهاء الخدمة. إن الخطة الناجحة الستمرار عمل الشركات ال تضمن فقط

إمكانية استمرار نشاط الشركة واسترداد بيانات األعمال واألنظمة، بل تضم أيضا التحكم باألضرار التي تلحق بعالقات العمالء.

“تحتاج التقنية إلى إعادة ”

هيكلة لكي يمكنها تقليل النزعة إلى شن الهجمات

في الفضاء اإللكتروني.

ISACA JOURNAL المجلد ٦, ۷٢٠١٢

الملخصفي الوقت الذي توسع فيه نطاق األنشطة التي تشتمل على معامالت شديدة

الحساسية عبر اإلنترنت بشكل كبير على مدار الـ ۲۰ عاما الماضية، لم تتغير صناعة النظم األمنية إال بالقدر الضئيل جدا. نقاط الضعف القابلة

لإلصابة التي تم تحديدها واستثمارها في أوائل تسعينيات القرن العشرين ظلت كما هي وما يزال يتم استغاللها بشكل أكبر في مطلع القرن الواحد

والعشرين. وفي الوقت الذي يسرت فيه التحسينات التي أدخلت على التقنية واالتصاالت تنفيذ الهجمات، ال يزال هناك بطء في أسلوب إدراك الهيكليات

األمنية التي يمكن أن تعالج نقاط الضعف هذه. ال يوجد حل فريد أو عالج شامل لقضايا األمن اإللكتروني وال ينبغي

ذلك. إذ يجب على كل مؤسسة أن تقيم ما تحتاجه ويتناسب مع انشطتها وتحديد المخاطر التي يجب التعامل معها. وبعد ذلك يتوافر عدد هائل من

الحلول ذات القدرة العالية التي يمكن تنفيذها بل واالهم صيانتها واستدامتها. إن المستهلكين في الفضاء اإللكتروني، سواء أكانوا من الحكومة أو

القطاعات الصناعية أو المجتمع، ال يزالون يسعون للحصول على خدمات مرنة وأكثر تنقال وأقل قدرة على تحمل الفشل. على الرغم من زيادة الوعي

بالتهديدات، لكن عادة ما تتخذ اإلجراءات األمنية بعد اختراق البيانات وتعطل األنظمة.

األمن ليس عنصر مساعدا أو أداة إضافية للفضاء اإللكتروني؛ إنما هو جانب أساسي يجب أخذه في الحسبان إلى جانب كل الوظائف األساسية

األخرى لضمان أن وفاء المنظمات بأهدافها االستراتيجية. وتحتاج المؤسسات األكاديمية إلى دمج موضوع األمن اإللكتروني باعتباره مكونا أساسيا لعلوم الحاسبات والمعلومات وذلك لتوفير أيدي عاملة مجهزة على

نحو جيد للقيام بدورها في المجتمع الرقمي. يحتاج قادة المنظمات إلى التأكيد على تطوير الهيكليات األمنية لتعكس احتياجات العمل، وعليهم التحقق من

أن األفراد الذين يقومون بتوظيفهم هم محترفون معتمدون ويمكنهم تفهم متطلبات العمل، وأن المنتجات وخدمات التقنية التي يستخدمونها مالئمة

للغرض المطلوب منها. ومن جانبها، يمكن للحكومة أن تحدد المعايير الضرورية والنماذج المفيدة التي يمكن االحتذاء بها.

إن نماذج الحوكمة الجديدة في حاجة إلى تطوير لكي توفر أساسا متسقا وفعاال لتحقيق الثقة في بيئة تتشارك فيها مصادر العمليات التجارية، ويجب

أن تضمن وجود االختبارات والمراقبة واستمرارية العمل.ما تزال تقنية األمن المستخدمة معقدة وغير عملية وال تتماشى جيدا مع

احتياجات المستهلك. إذ أن ضرورة تذكر العديد من اسماء التعريف وكلمات المرور المعقدة يعتبر أمرا مزعجا للغاية وهو السبب في الكثير من القضايا األمنية. كما أن نشر المعلومات الشخصية على المواقع العامة أحد العوامل المساهمة في سرقة الهوية. حيث تحمي جدران الحماية المعلومات المتبقية

داخل الحدود اإللكترونية للشركة ولكنها ال توفر الحماية لهذا القدر الهائل من المعلومات الحساسة المتعلقة بالعمل والتي تقع خارج هذه الحدود. تقوم أنظمة

كشف التسلل بالكشف عن المشكالت التي وقعت باألمس وليس المشكالت التي من المتوقع أن تحدث في المستقبل. تحتاج النماذج والهيكليات والتقنيات

األمنية إلى أن تعكس هذه المخاوف.إن تعدد األنشطة داخل الشركة ال يعني أنه يجب أن تكون هناك هيكليات

أمنية عديدة لدعم هذه األنشطة. إنما الحصول على منهج وحيد ومتناسق ومستمر أثبتت فعاليته ومرونته يعتبر أسهل

إلدامته والمحافظة عليه. لكن يتطلب هذا إدراكا جيدا ألهداف العمل والبيئة التشغيلية

والمخاطر التي تواجه العمل. وهكذا، بل يجب أن يثبت النموذج األمني أن حماية الخدمات والمعلومات في حد ذاتها ليس كافيا؛ يجب أن تكون الشركة قادرة على إصالح ما حل بها من عطل ومواصلة

العمل بمستوى يتوقعه أصحاب المصلحة الشركاء والمستهلكون. ويجب كذلك أن يكون قادرا على األلتزام بذلك بشكل

مستمر.

التعليقات الختامية "Computer Security in the Real۱ المبسون، بتلر دبليو؛

، http://research.٤۰۰۲ ٦ يونيو ،World"، IEEE Computermicrosoft.com/en-us/um/people/blampson/69-

SecurityRealIEEE/69-SecurityRealIEEEpub.pdf "RSA Breach: An Attack That Used a Social ۲ ويليام، أليكس؛

Media Boobytrap?"، ReadWrite Enterprise،www.readwriteweb.com/ ،۲۰۱۱ ۱۸ مارس

enterprise/2011/03/rsa-breach-an-attack-that-used "How to Break MD5 and Other ۳ وانج، شياويون؛ هونجبو يو؛

Hash Functions"، www.cs.cmu.edu/~bhiksha/11-795.privacy/reports/How.to.break.MD5.and.Other.Hash.

Functions.pdf "Attorney General Outlines Cyber Security ٤ بانكس، ليزا؛

www.cio.com.au/ ،۲۰۱۱ ۲۰ يوليو ، Strategy"، CIO article/394302/attorney-general_outlines_cyber_

security_strategy/

“ال يوجد حل فريد أو ”

عالج شامل لقضايا األمن اإللكتروني وال ينبغي

ذلك.

۸ ISACA JOURNAL المجلد ٦, ٢٠١٢

PBS، "China’s Internet “Hijacking” Creates Worries ٥ www.pbs.org/ ،۲۰۱۰ ۲٦ نوفمبر for ،Security Experts"

html.26-newshour/bb/science/july-dec10/chinainternet_11 "Hobbes and International Relations: ٦ ويليامز، مايكل سي؛

A Reconsideration"، JSTOR، 1996، www.jstor.org/pss/2704077

Titan Rain—How Chinese Hackers" ۷ نورتون تايلور، ريتشارد؛ www. ،۲۰۰۷ ٤ سبتمبر Targeted Whitehall"، The Guardian،

guardian.co.uk/technology/ 2007/sep/04/news.internet "Cyber۸ كما ورد في منشورات عدة، بما في ذلك: تييرما كالر، هيلي؛

Security Threats and Responses at Global, Nation- .state, Industry and Individual Levels"، SciencesPo

"State Responsibility for Cyber Attacks: شاكلفورد، سكوت؛ Competing Standards for a Growing Problem"،

"When Cyber جرينبريج، آندي .University of CambridgeTerrorism Becomes State Censorship"، Forbes.com.

Cyber Strategy, www.defense.gov/،۹ وزارة الدفاع األمريكية home/features/2011/0411_cyberstrategy/

"The Confluence of Cyber Crime and ،۱۰ ستيفن بوتشي ،Terrorism"، The Heritage Foundation ۱۲ يونيو ۲۰۰۹،

www.heritage.org/Research/Lecture/The-Confluence-of-Cyber-Crime-and-Terrorism

الموضع نفس ۱۱ في ۱۲ "توثيق"، CESG IL2/IL3 (224 & 334) ۲۱ أكتوبر ۲۰۱۰

http://interweave-consulting.blogspot.com/2010/10/cesg-il2il3-accreditation-224-334.html

News4Us، "Australian ISP Code of Practice Now in Effect"، ۱۳ www.news4us.com/australian-isp-code-of- ،۲۰۱۰ ۲ ديسمبر

practice-on-cyber-security-icode-now-in-effect/223611/

Business Process Outsourcing: Imperative," ۱٤ كين، بيتر؛ Historically Inevitable, Ready to Go"، 2004، http://ebcs-

consulting.com/wp-content/uploads/2010/10/BPO.pdf "The Internet Firewall: R.I.P.?" ،The New ۱٥ لوهر، ستيف؛

http://bits.blogs. ،۲۰۰۷ ۱۱ سبتمبر York Times Bits،nytimes.com/2007/09/11/the-internet-firewall-rip/

The Jericho Forum Vision، www.opengroup.org/jericho/ ۱٦ ۱۷ جاسر، مورى؛ آندي جولدشتاين؛ تشارلي كوفمان؛ بتلر المبسون؛

"The Digital Distributed System Security Architecture"،1989، http://research.microsoft.com/en-us/um/people/blampson/41-DigitalDSSA/41-DigitalDSSAAsPub.pdf

Architecting Survivable" ۱۸ شور، مالكولم؛ شيانجلين دينج؛ Networks Using SABSA"، ۲۳ سبتمبر ۲۰۱۰،

http://wenku.baidu.com/view/9bc51f1efc4ffe473368abb5.html

www.cesg.gov.uk/products_services/iacs/cas/ ۱۹ faqs-comms.shtml

۲۰ جوان ستيفنسون؛ هليوي كاشالي؛ زاكاري ويتمان؛ إيريكا إشبيلية؛ جون Preliminary Observations of the" فارجو؛ توماس ويلسون؛

Impacts of the 22 February Earthquake on Organisationswww.resorgs.org.nz/ ،۲۰۱۱ ۱۸ أبريل and the Economy"،pubs/EconImpacts_22Feb_ChristchurchEarthquake.pdf "Lessons From a Cloud Failure: It’s Not ۲۱ سكوت جلبرتسون؛

www.wired. ،۲۰۱۱ ۲٥ أبريل Amazon, It’s You"، Wired ،com/epicenter/2011/04/lessons-amazon-cloud-failure/