هل دراسة الأمن السيراني تستدعي تعلم جميع الطرق والأدوات التي يستخدمها اصحاب القبعات السوداء، وبغيرها لا يصبح مهندس الأمن السيراني قويا في  تخصصه.

#سؤال مشروع، وإجابته تحتاج إلى تروي وتركيز وفهم وظيفة صاحب القبعة البيضاء وهو الشخص الذي يمارس وظائف الأمن السيبراني المختلفة، بشكل محترم ومفيد للمجتمع وللذات، ومن أشهر هذه الوظائف:

محلل أمن سيبراني (Cybersecurity Analyst): مراقبة الأنظمة والكشف عن التهديدات والاستجابة الأولية للحوادث.

مهندس أمن شبكات (Network Security Engineer): تصميم وتطبيق حلول الحماية للشبكات والبنية التحتية.

مختبر اختراق/هاكر أخلاقي (Penetration Tester / Ethical Hacker): تنفيذ اختبارات الاختراق للكشف عن الثغرات.

مدير أمن المعلومات (Information Security Manager): وضع السياسات الأمنية وقيادة فرق الحماية.

محلل حوادث واستجابة (Incident Response Analyst): التعامل مع الهجمات بعد وقوعها وتحليل آثارها.

خبير جنائي رقمي (Digital Forensics Specialist): التحقيق في الأدلة الرقمية وتتبع المهاجمين.

مهندس أمن تطبيقات (Application Security Engineer): اختبار وحماية البرمجيات والتطبيقات من الثغرات.

مسؤول التوافق والامتثال (Compliance and Risk Officer): ضمان التزام المؤسسة بالقوانين والمعايير مثل ISO 27001 أو GDPR.

مهندس أمن سحابي (Cloud Security Engineer): تأمين البيئات السحابية وإدارة الهوية والوصول.

باحث في التهديدات (Threat Intelligence Researcher): دراسة أنماط الهجمات وتطوير مؤشرات إنذار مبكر.

وهو على عكس صاحب القبعة السوداء الذي يعمل في وظائف التخريب والاختراق والابتزاز، وكلها تندرج تحت مسمى الجرائم الالكترونية أو الجرائم السيرانية.

#بكل أسف، ثمة فكرة مغلوطة منتشرة بشكل غير متوقع، حيث يظن بعض دارسي الأمن السيراني، ومن بينهم بعض طلاب تقنية المعلومات أن دراسة الأمن السيراني تتطلب مهارات مظلمة وخبرات خبيثة في إيذاء الناس، مما يندرج تحت مسمى الجرائم السيرانية، وهذا خطأ كبير، يفترض تصحيحة.

إن ممارسة الأمن السيبراني الدفاعي عبر منهجيات أصحاب القبعة البيضاء تمثل ركناً أساسياً في حماية البيانات، كتأمين الأنظمة الحيوية، وتعزيز استمرارية الأعمال. 

هذا الدور يتطلب الالتزام بالمعايير الدولية، مثل اختبارات الاختراق الأخلاقية (Ethical Penetration Testing)، والتقييم الأمني المستمر (Security Assessment)، مما يضمن الثقة المؤسسية والمجتمعية. 

أما تبني أدوات وأساليب أصحاب القبعة السوداء، مثل الهجمات الخبيثة (Malware Attacks) أو الاستغلال غير المصرح به للثغرات (Unauthorized Exploitation)، فهو مسار غير قانوني يقود إلى المساءلة الجنائية ويقوّض سمعة المتخصص. 

الاستثمار الحقيقي في المهارات التقنية يكون عبر توجيهها إلى التحصين الرقمي والاستجابة للحوادث الأمنية بما يخدم الأمن الوطني والاقتصاد الرقمي.

بشكل عام، هذا الكلام لا يوجه فقط للدارسين والمتخصصين في الأمن السيبراني، بل يمس كل تخصصات الحاسبات والمعلومات، فاحترام أخلاقيات المهنة، وعدم تجاوزها يعتبر عنصر اساسي في كل تخصصات الحاسبات والمعلومات، كتطوير البرمجيات وتطبيقات الذكاء ا لاصطناعي وقواعد البيانات وشبكات الحاسوب وهلم جره.

في الواقع إن احترام اخلاقيات المهنة، هو حجز الأساس في تقدم وتطور أي أمة، وهذا قد يرتبط بالقوانين والأنظمة الادارية واللوائح، ولكنه يمس بشكل أساسي ضمير العاملين والقيم التي يلزم كل ممارس مهنة نفسه بها، وكفى بنفسك عليك رقيبا.

#الحاسبات_والمعلومات

#الأمن_السيبراني

#تقنية_المعلومات

#Cybersecurity

#ملاحظة: تمت صياغة هذا المقال المبسط، بمساعدات مبسطة، من أحد تطبيقات النماذج اللغوية المعروفة.

المدونة الأخلاقية (Code of Ethics) لمنظمة Ec-Council:

1. احفظ المعلومات الخاصة والسرية التي تحصل عليها في عملك المهني (وخاصة ما يتعلق بقوائم العملاء والمعلومات الشخصية للعملاء). لا تجمع أو تمنح أو تبيع أو تنقل أي معلومات شخصية (كالاسم، البريد الإلكتروني، رقم الضمان الاجتماعي، أو معرّف فريد آخر) إلى طرف ثالث دون موافقة مسبقة من العميل.

2. احمِ الملكية الفكرية للآخرين بالاعتماد على ابتكاراتك وجهودك الخاصة، بحيث تؤول جميع الفوائد إلى صاحبها الأصلي.

3. أبلغ الأشخاص أو الجهات المختصة بالمخاطر المحتملة التي تعتقد بامتلاكها صلة بالمعاملات الإلكترونية أو برمجيات أو أجهزة معينة، والتي قد تؤثر على العملاء أو المجتمع أو الجمهور.

4. قدّم خدمات ضمن مجالات كفاءتك، وكن صادقًا ومباشرًا بشأن أي حدود في خبرتك وتعليمك. تأكّد من أنك مؤهل لأي مشروع تعمل عليه بناءً على مزيج مناسب من التعليم والتدريب والخبرة.

5. لا تستخدم عن علم برنامجًا أو عملية تم الحصول عليها أو الاحتفاظ بها بطريقة غير قانونية أو غير أخلاقية.

6. لا تشارك في ممارسات مالية مضللة مثل الرشوة أو الفوترة المزدوجة أو غيرها من الممارسات المالية غير الصحيحة.

7. استخدم ممتلكات العميل أو صاحب العمل فقط بالطرق المصرح بها، وبمعرفة صاحبها وموافقته.

8. أفصح لجميع الأطراف المعنية عن تضارب المصالح الذي لا يمكن تجنبه أو الهروب منه بشكل معقول.

9. ضمّن إدارة جيدة لأي مشروع تقوده، بما في ذلك إجراءات فعالة لتعزيز الجودة والكشف الكامل عن المخاطر.

10. أضف إلى المعرفة المهنية في التجارة الإلكترونية بالدراسة المستمرة، وشارك دروس خبرتك مع أعضاء EC-Council، وساهم في التوعية العامة بفوائد التجارة الإلكترونية.

11. تصرف بأخلاق وكفاءة عند طلب الخدمات المهنية أو السعي لتوظيفك، بحيث تكسب الثقة بمعرفتك ونزاهتك.

12. احرص على السلوك الأخلاقي والعناية المهنية في جميع المهام المهنية، دون تحيُّز.

13. لا ترتبط بهكرز ضارين ولا تشارك في أنشطة خبيثة.

14. لا تقصد اختراق نظم العميل عمدًا أو السماح بأن تُخترق ضمن تعاملاتك المهنية.

15. تأكد من أن جميع أعمال اختبار الاختراق (penetration testing) مصرح بها وتتم ضمن الحدود القانونية. لا تشارك في أي نشاط “black hat” أو تكون مرتبطًا بأي مجتمع "black hat" يهدف إلى تعريض الشبكات للخطر.

16. لا تشارك في أي جماعة اختراق سرّية لأغراض الترويج أو التوسعة لأنشطة “black hat”.

17. لا تشير بشكل غير لائق إلى الشهادات أو الاستخدام المضلل للشهادات أو الرموز أو الشعارات في المنشورات أو الكتالوجات أو الوثائق أو الكلمات.

18. لا يُدان بارتكاب جريمة كبيرة، أو خرق أي قانون للدولة.