الفيروسات والتصيد الاحتيالي، وبرمجيات التجسس، والبريد المزعج، وهجمات حجب الخدمة... لعلكم سمعتم بهذه المصطلحات من قبل، وربما عانيتم مما تدل عليه من متاعب، سواء انتبهتم إلى ذلك أو لم تنتبهوا.
وأود هنا أن أستعرض مساراً بسيطاً للتعامل مع هذه المشكلات الأمنية (وليس حلها)، وهو مسار لا يتطلب الاتفاق بين جميع الحكومات (أو الناس) على ما يشكل جريمة حقاً في هذا السياق، ناهيك عن تشكيل قوة شرطة عالمية أو عقد معاهدات عالمية غير قابلة للتطبيق. وإذا ما تسنى لنا أن نعزز من الأمن عموماً فسوف يكون بوسع الحكومات أن تركز على المجرمين الحقيقيين.
ثمة تناول أفضل يتلخص في النظر إلى أمن الكمبيوتر باعتباره قضية مرتبطة بالصحة العامة والاقتصاد، حيث يكون بوسع الناس أن يحموا أنفسهم ولكن يتعين عليهم في الوقت نفسه أن يتحملوا ثمن التكاليف التي قد يفرضونها على آخرين. ينبغي علينا أن نمكن الناس من الدفاع عن أنفسهم ضد الآخرين؛ وأن نمنع الأبرياء من ذوي النوايا الحسنة من الإصابة بالعدوى وبالتالي إلحاق الأذى بالآخرين؛ وأن نحد من قدرة أصحاب النوايا السيئة على إلحاق الضرر بالآخرين ومن الحوافز التي قد تدفعهم إلى ذلك.
قد يبدو أن هذا كله يشكل تحديات كثيرة مختلفة. ولكن هناك توجهات فعّالة في التعامل مع كل من هذه التحديات، وهي لا تتطلب تتبع كل شخص يستخدم شبكة الإنترنت، أو تحديد هوية المشاركين في كل اتصال أو عمل متبادل. إن تتبع هويات المستخدمين لن تمكننا من الإمساك بالأشرار أو منعهم، كما أن هذا من شأنه أن يجعل استخدام الإنترنت أمراً مستحيلاً. ولا يجوز لنا أن ننقذ الفضاء الإلكتروني بتدمير انفتاحه.
إن تطبيق تدابير أمن فعّالة يستلزم اضطلاع الكيانات الأفضل تجهيزاً للقيام بهذه المهمة، وأقصد هنا شركات تقديم خدمات الإنترنت، بدور قيادي في هذا السياق. ذلك أن هذه الشركات من الناحية الفنية عبارة عن منظمات مخضرمة ولديها القدرة (إلى درجة ما) على حماية المستخدمين وكشف المخالفين؛ فهي على علاقة مباشرة (وإن لم تكن شخصية) مع مستخدميها؛ وهي تتنافس فيما بينها على الفوز بالمستخدمين، وعلى هذا فإنها، خلافاً للحكومات، سوف تعاني إذا كان أداؤها رديئاً.
يتعين على شركات تقديم خدمات الإنترنت (وليس الحكومات) أن تعمل على توفير عناصر الأمن الأساسية - مكافحة الفيروسات والتصيد الاحتيالي والبريد المزعج وما إلى ذلك - باعتبارها وظيفة منتظمة تستفيد منها خدمات الإنترنت المقدمة للمستهلكين. والحقيقة أنها ليست بالمهمة المستحيلة. ذلك أن عدداً كبيراً من شركات مكافحة الفيروسات تتنافس فيما بينها على تقديم خدمات تأمين المستهلكين: وتستطيع أي من شركات خدمات الإنترنت أن تختار واحدة من هذه الشركات، أو تعرض على عملائها الاختيار بين ثلاث من هذه الشركات على سبيل المثال. والغرض من هذا يتلخص في حمل المستهلكين على استخدام هذه الأدوات - وهو ما قد يتطلب شن حملة توعية على غرار رسائل التوعية في مجال الصحة العامة. والنتائج التي ستسفر عنها هذه الحملة سوف تكون أقرب إلى انتشار غسل الأيدي على نطاق واسع بين الناس.
أما عن البريد المزعج غير المرغوب فإن شركات تقديم خدمات الإنترنت (بما في ذلك شركات تقديم خدمات البريد الإلكتروني) تستطيع أن تلزم مستخدميها بعدم تجاوز حد المائة بريد إلكتروني على سبيل المثال، ومن يرغب في المزيد فعليه أن يدفع رسوماً محددة أو يقدم سنداً أمنياً على الأقل، أو يجتاز اختبار للسلوك الطيب. وفي الوقت نفسه، يتعين على كافة شركات تقديم خدمات الإنترنت أن تطبق نظام هوية البريد الإلكتروني (هناك معياران طيبان في هذا السياق يطلق عليهما (مفتاح النطاق) و SPF، وهو امتداد للنظام الشائع SMTP، أو البروتوكول البسيط لنقل البريد). وهذا لا يعني تتبع بريد كل المستخدمين، بل إن الغرض منه يتلخص في منع الأشرار من التحايل على الأخيار.
سوف تقوم شركات تقديم خدمات الإنترنت بخنق الحركة من وإلى شركات الخدمة التي تمتنع عن الانضمام إلى نظام الأمن الجماعي، وهذا يعني أن عملاء هذه الشركات سوف يتذمرون الأمر الذي لابد وأن يضطر هذه الشركات إلى الانضمام أو الانزلاق إلى العالم السفلي، حيث سيكون من الصعب شن الهجمات وذلك لأن أحداً لن يقبل حركة المرور منها. ولأن شركات تقديم خدمات الإنترنت تابعة في المسؤولية لشركات أخرى كبرى تقدم خدمات الإنترنت، وليس الحكومات، فلسوف يظل بوسع المنشقين والمخبرين أن يحافظوا على سرية هوياتهم.
أما فيما يتصل بمكافحة التصيد الاحتيالي أو البرمجيات الخبيثة فهناك عدد من الخدمات التي تتبع المواقع (السيئة) وتحذر المستخدمين. ويظل بوسع المستخدمين أن يذهبوا إلى حيث يشاءون، ولكنهم على الأقل سوف يصادفون في طريقهم لافتات تحذير تنبههم إلى دخولهم إلى منطقة خطيرة.
هذا ما تفعله شركة جوجل حين تعرض نتائج أي بحث، وهي بالتعاون مع StopBadware.org (وأنا واحدة من أعضاء مجلسها الاستشاري)، و Mozilla، وFirefox ، وإنترنت إكسبلورر التابعة لشركة ميكروسوفت، تعرض سبل حماية مماثلة. وفي كل الأحوال سوف يظل بوسع المستخدمين المغامرين والمحترفين أن يتغلبوا على هذا النوع من الحماية الأبوية، ولكن من خلال دفع رسوم تعتبر بمثابة تأمين ضد الخسائر التي قد يلحقونها بآخرين والمخاطر التي يفرضونها على النظام.
يتلخص الغرض من هذا في خلق حوافز اقتصادية بهدف الحد من الجريمة الإلكترونية. بطبيعة الحال لن يكون هذا كافياً لردع المجرمين الحقيقيين، ولكن مثل هذه الأنظمة من شأنها أن تمنع بقية الناس من الانجراف مع التيار أو الوقوع ضحايا للأشرار. ومع تضاؤل عدد الضحايا فلن تكون الجريمة مجزية.
ثمة عدة أسباب منعتنا من تنفيذ هذه التدابير حتى الآن. السبب الأول هو الجمود، وما يصاحبه من التشبث بالمثالية (أو التخفي تحت ستارها) - أو الفكرة الخاطئة التي يزعم أنصارها أن شبكة الإنترنت لابد وأن تتمتع بالحرية الكاملة، ليس فقط من أجل حماية حرية التعبير، بل وأيضاً للحفاظ على المجانية الكاملة. ولكن الأمر لا يخلو من التكاليف إن كنا راغبين في صيانة البنية الأساسية التي توفر الأمن للناس.
والحقيقة أن التكاليف - سواء التي يتحملها المستخدمون أو شركات تقديم خدمات الإنترنت - تشكل العقبة الثانية. والتحدي هنا يكمن في الاعتراف بالتكاليف (كما نفعل الآن فيما يتصل بقضية التلوث) وإلزام القادرين - ومن نستطيع إلزامهم - بتحملها. فنحن على أية حال نتقبل تكاليف قوات الشرطة والتكاليف المرتبطة بالرعاية الصحية، ليس فقط فيما يتصل بإنشاء المستشفيات، بل وأيضاً التكاليف المترتبة على توفير المياه النظيفة والطعام الآمن، وما إلى ذلك.
كيف إذن نعمل على تحقيق هذه الغايات؟ بطبيعة الحال سوف تكون شركات تقديم خدمات الإنترنت راغبة في تمرير هذه التكاليف إلى عملائها، ولكنها لن تتمكن من ذلك لأنها تتنافس على السعر في الأساس. وعلى هذا فلابد وأن يطالب المستخدمون بالأمن كجزء من الخدمات المقدمة إليهم، بينما يتعين على شركات تقديم خدمات الإنترنت الكبرى أن تقاطع شركات تقديم خدمات الإنترنت غير الملتزمة.
ولدفع الأمور بعض الشيء، فلابد وأن يبادر بعض الأشخاص - ولكن بلا إفراط - إلى رفع دعاوى قضائية ضد شركات تقديم خدمات الإنترنت التي تتساهل مع السلوك السيئ. وينبغي لهذه الدعاوى القضائية أن تستهدف شركات تقديم خدمات الإنترنت التي تخدم العملاء المجرمين بملء إرادتها وترفض التعامل مع الشكاوى إلى الحد الذي يجعل الاعتذار بالجهل سبباً غير مقبول.
ولكن التكاليف التي سوف تتحملها شركات تقديم خدمات الإنترنت تتضمن أيضاً تحذير الناس من الدخول إلى المواقع السيئة، وهو الأمر الذي يتطلب تأسيس نظام لإخطار أصحاب المواقع المعرضة للشبهة - حتى يتمكنون من إصلاحها أو لكي يدركوا أن أمرهم قد انكشف. إن إنشاء وإدارة مثل هذا النظام أمر مكلف نسبياً، ولكنه أرخص من التكاليف التي قد تترتب على التقاعس عن ذلك.إن هذه التغييرات لن تؤدي إلى خلق جهاز عصبي رقمي يعمل من خلال مخ مركزي قادر على حل المشاكل. ولكنها بدلاً من ذلك سوف تسفر عن نشوء نظام أشبه بالجهاز المناعي الذي يتألف من شركات متنافسة وخدمات أمنية متطورة، على المستويين المحلي والعالمي. وهذا من شأنه أن يحسن كثيراً من الوضع الإجمالي للأمن الإلكتروني: حيث سيشعر المستخدمون العاديون بالأمن ويصبح بوسع أجهزة فرض القانون والمتخصصين الأمنيين التركيز على تهديدات أعظم خطراً.
استير دايسون رئيسة شركة EDventure القابضة، وهي مستثمرة نشطة في مجموعة متنوعة من المشاريع الناشئة في مختلف أنحاء العالم. ومن بين اهتماماتها بتكنولوجيا المعلومات والرعاية الصحية والطيران الخاص والسفر إلى الفضاء.
حقوق النشر: بروجيكت سنديكيت، 2009.
www.project-syndicate.org
خاص بالجزيرة