المواضيع

بناء ثقافة
الأمان
أساس قوي:
تأمين الحسابات
والأجهزة
توصيل البيانات
وتخزينها بأمان
البقاء آمنًا على
الإنترنت
حماية الأمن
المادي
ما الذي يجب القيام به
عندما تسوء الأمور

توصيل البيانات وتخزينها بشكل آمن

الاتصالات ومشاركة البيانات

تاريخ التحديث الأخير: يوليو، 2022

لاتخاذ أفضل القرارات لمنظمتك فيما يتعلق بكيفية التواصل، من الضروري فهم أنواع مختلفة من الحماية التي يمكن أن تتمتع بها اتصالاتنا وسبب أهمية هذه الحماية. يتعلق أكثر عناصر أمن الاتصالات أهمية بالحفاظ على خصوصية الاتصالات - التي يتم الاهتمام بها بشكل كبير في العصر الحديث عن طريق التشفير. وبدون التشفير المناسب، يمكن رؤية الاتصالات الداخلية بواسطة أي عدد من الخصوم. ويمكن أن تكشف الاتصالات عن المعلومات والرسائل الحساسة أو المربكة وتكشف عن كلمات المرور أو البيانات الخاصة الأخرى ومن المحتمل تعريض موظفيك ومنظمتك للخطر وفقًا لطبيعة الاتصالات والمحتوى الذي شاركته.

تأمين الاتصالات والمجتمع المدني

Image of political protestors in Belarus

 

يعتمد الآلاف من نشطاء حقوق الإنسان والمنظمات الديموقراطية على قنوات الاتصالات الآمنة يوميًا للحفاظ على سرية المحادثات في البيئات السياسية الصعبة. وبدون مثل ممارسات الأمان هذه، يمكن للسلطات اعتراض الرسائل الحساسة واستخدامها لاستهداف النشطاء وتفريق الاحتجاجات. أحد الأمثلة البارزة والموثقة جيدًا على ذلك هو ما وقع في أعقاب انتخابات عام 2010 في بيلاروسيا. وكما هو مفصل في تقرير Amnesty International هذا، اعترضت الحكومة تسجيلات الهاتف وغيرها من الاتصالات غير المشفرة واستخدمتها في المحكمة ضد السياسيين المعارضين البارزين والناشطين، الذين قضى العديد منهم سنوات في السجن. وفي عام 2020، شهدت موجة أخرى من الاحتجاجات التي تلت الانتخابات في بيلاروسيا استخدام الآلاف من المتظاهرين تطبيقات مراسلة آمنة وسهلة الاستخدام لم تكن متاحة بسهولة قبل عشر سنوات فقط لحماية الاتصالات الحساسة.

ما التشفير وما سبب أهميته؟

يُعد التشفير عملية حسابية تُستخدم لتشفير رسالة أو ملف بحيث يمكن فقط لشخص أو كيان ما لديه المفتاح "فك تشفيره" وقراءته. بدون القيام بأي تشفير، تُصبح رسائلنا مفتوحة للقراءة من قبل الخصوم المحتملين، بما في ذلك موفر خدمات الاتصالات أو الإنترنت (ISP) أو الحكومات غير الصديقة أو المتسللين على الويب. يقدم دليل الدفاع الذاتي ضد المراقبة الخاص بمؤسسة Electronic Frontier Foundation شرحًا عمليًا (مع الرسومات) لما يعنيه التشفير:

المراسلة غير المشفرة

Image of no encryption being used for a message in transit

كما ترى في الصورة أعلاه، يرسل هاتف ذكي رسالة نصية غير مشفرة خضراء ("مرحبًا") إلى هاتف ذكي آخر في أقصى اليمين. على طول الطريق، ينقل برج الهاتف المحمول (أو في حالة إرسال شيء ما عبر الإنترنت، موفر خدمة الإنترنت، المعروف باسم ISP) الرسالة إلى خوادم الشركة. ومن هناك ينتقل عبر الشبكة إلى برج هاتف خلوي آخر يمكنه رؤية الرسالة غير المشفرة "مرحبًا"، ثم يتم توجيهها إلى الوجهة أخيرًا. من المهم ملاحظة أنه دون أي تشفير، يمكن لأي شخص أن يشارك في نقل الرسالة وأي شخص يمكنه رؤية الرسالة سريعًا وقراءة محتواها أثناء مرورها. وقد لا يكون هذا مهمًا إذا كان كل ما تقوله هو "مرحبًا"، ولكن قد يكون مشكلة كبيرة إذا كانت الرسالة تحتوي على شيء ما أكثر خصوصية أو حساسية لا تريد أن يراه موفر خدمة الاتصالات أو موفر خدمة الإنترنت أو حكومة غير ودية أو أي خصم آخر. ولهذا السبب، من المهم تجنب استخدام أدوات غير مشفرة لإرسال أية رسائل حساسة (ويُفضل أية رسائل على الإطلاق). ضع في اعتبارك أن بعض طرق الاتصالات الأكثر شيوعًا - مثل الرسائل القصيرة والمكالمات الهاتفية - تعمل دون أي تشفير (مثل الصورة السابقة) عمليًا.

وهناك طريقتين لتشفير البيانات أثناء نقلها: وتشفير طبقة النقلو التشفير من طرف إلى طرف. من المهم معرفة نوع التشفير الذي يدعمه مزود الخدمة لأن منظمتك تتخذ خيارات لاعتماد ممارسات وأنظمة اتصالات أكثر أمانًا. يتم وصف هذه الاختلافات جيدًا بواسطة دليل الدفاع الذاتي ضد المراقبة، والذي نعرضه بتصرف فيما يلي:

يعمل

تشفير طبقة النقل، المعروف أيضًا باسمأمان طبقة النقل (TLS)، على حماية الرسائل أثناء انتقالها من جهازك إلى خوادم تطبيق/خدمة المراسلة ومن هناك إلى جهاز المستلم. وهذا يحميها من أعين المتسللين إلى شبكتك أو موفري خدمة الإنترنت أو الاتصالات. وعلى الرغم من ذلك، في المنتصف، يمكن لمزود خدمة المراسلة/البريد الإلكتروني أو موقع الويب الذي تستعرضه أو التطبيق الذي تستخدمه رؤية نُسخًا غير مشفرة من الرسائل الخاصة بك. ونظرًا لأنه يمكن رؤية رسائلك بواسطة خوادم الشركة (وتكون غالبًا مُخزنة عليها)، فقد تكون عُرضة لطلبات إنفاذ القانون أو السرقة إذا تم اختراق خوادم الشركة.

تشفير طبقة النقل 

Image of transport layer encryption being used for a message

توضح الصورة السابقة مثالاً على تشفير طبقة النقل. على اليسار، يرسل هاتف ذكي رسالة خضراء غير مشفرة: "مرحبًا". يتم تشفير تلك الرسالة ثم تمريرها إلى برج هاتف محمول. في المنتصف، تكون خوادم الشركة قادرة على فك تشفير الرسالة وقراءة المحتوى وتحديد مكان إرسالها وإعادة تشفيرها وإرسالها إلى برج الهاتف المحمول التالي باتجاه وجهتها. في النهاية، يتلقى الهاتف الذكي الآخر الرسالة المشفرة ويفك تشفيرها ليقرأ "مرحبًا".

التشفير من طرف إلى طرف يحمي الرسائل أثناء التنقل على طول الطريق من المرسل إلى المستلم. إنه يضمن أن يتم تحويل المعلومات إلى رسالة سرية من قبل المرسل الأصلي ("الطرف" الأول) ويتم فك التشفير فقط بواسطة المستلم النهائي ("الطرف" الثاني). لا يمكن لأي شخص، بما في ذلك التطبيق أو الخدمة التي تستخدمها، "الاستماع" والتنصت على نشاطك.

التشفير من طرف إلى طرف

Image of end-to-end encryption being used for a message

توضح الصورة السابقة مثالاً على التشفير من طرف إلى طرف. على اليسار، يرسل هاتف ذكي رسالة خضراء غير مشفرة: "مرحبًا". يتم تشفير تلك الرسالة ثم تمريرها إلى برج هاتف محمول ثم إلى خوادم التطبيق/الخدمة، التي يتعذر عليها قراءة المحتويات ولكنها ستنقل الرسالة السرية إلى وجهتها. في النهاية، يتلقى الهاتف الذكي الآخر الرسالة المشفرة ويفك تشفيرها ليقرأ "مرحبًا". وعلى عكس تشفير طبقة النقل، يتعذر على موفر خدمة الإنترنت أو مضيف المراسلة فك تشفير الرسالة. تحتوي نقاط النهاية فقط (الأجهزة الأصلية التي ترسل وتستقبل الرسائل المشفرة) على مفاتيح فك تشفير الرسالة وقراءتها.

ما نوع التشفير الذي نحتاجه؟

عند اختيار نوع التشفير الذي تحتاج إليه منظمتك سواء كان تشفير طبقة النقل أو التشفير من طرف إلى طرف لاتصالاتك (أو مزيج من الاثنين لأنظمة وأنشطة مختلفة)، فإن الأسئلة الكبيرة التي يجب أن تطرحها تتضمن الثقة. على سبيل المثال، هل تثق في التطبيق أو الخدمة التي تستخدمها؟ هل تثق في بنيتها الأساسية التقنية؟ هل أنت قلق بشأن احتمالية أن تجبر حكومة غير صديقة الشركة على تسليم رسائلك - وإذا كان الأمر كذلك، هل تثق في سياسات الشركة فيما يتعلق بالحماية من طلبات إنفاذ القانون؟

إذا كانت الإجابة "لا" على أي من هذه الأسئلة، فإنك تحتاج إلى تشفير من طرف إلى طرف. إذا كانت الإجابة "بنعم"، فقد تكون الخدمة التي تدعم فقط تشفير طبقة النقل كافية - ولكن من الأفضل عمومًا استخدام الخدمات التي تدعم التشفير من طرف إلى طرف عندما يكون ذلك ممكنًا.

عند المراسلة مع مجموعات، ضع في اعتبارك أن أمان رسائلك يوازي أمان كل شخص يستلم رسائلك. بالإضافة إلى اختيار التطبيقات والأنظمة الآمنة بدقة، فمن المهم أن يتبع كل شخص في المجموعة الممارسات الفضلى الأخرى التي تتعلق بأمان الحساب وأمان الجهاز. إن كل ما يتطلبه الأمر شخص واحد لا يتبع التعليمات أو جهاز واحد مخترق لكي يتم تسريب محتويات مكالمة جماعية أو مجموعة دردشة كاملة.

ما أدوات المراسلة المشفرة من طرف إلى طرف التي يجب أن نستخدمها (اعتبارًا من عام 2022)؟

إذا كنت بحاجة إلى استخدام تشفير من طرف إلى طرف، أو ترغب في التكيف مع الممارسات الفضلى بغض النظر عن سياق تهديد منظمتك، فإليك بعض الأمثلة الموثوقة على الخدمات التي تقدم مكالمات ومراسلة من طرف إلى طرف اعتبارًا من 2022. سيتم تحديث هذا القسم من الدليل بانتظام عبر الإنترنت، ولكن يُرجى ملاحظة أن الأشياء تتغير سريعًا في عالم المراسلة الآمنة، لذلك قد تكون هذه التوصيات غير محدثة في الوقت الذي تقرأ به هذا القسم. ضع في اعتبارك أن الاتصالات الخاصة بك تكون آمنة بقدر مستوى أمان جهازك فقط. لذلك، بالإضافة إلى اعتماد ممارسات المراسلة الآمنة، من المهم تنفيذ الممارسات الفضلى المذكورة في قسم تأمين الأجهزة من هذا الدليل.

المراسلة النصية )الفردية أو الجماعية(

  • Signal
  • WhatsApp )فقط مع تكوينات إعدادات محددة مفصلة فيما يلي(

المكالمات الصوتية ومكالمات الفيديو:

  • Signal (يصل إلى 40 شخصًا)
  • WhatsApp يصل إلى 32 شخصًا للرسائل الصوتية وثمانية لمكالمات الفيديو)

مشاركة الملفات:

  • Signal
  • Keybase / Keybase Teams
  • OnionShare + مراسلة مشفر من طرف إلى طرف مثل تطبيق Signal

ما بيانات التعريف وهل يجب أن نقلق بشأنها؟

إن معلومات مثل

من الذي تتحدث إليه أنت وموظفيك ومتى وأين تتحدث معهم يمكن أن تكون حساسة مثل ما تتحدث عنه. من المهم تذكر أن التشفير من طرف إلى طرف يحمي فقط المحتويات ("ما تتحدث عنه") من اتصالاتك. وهنا يأتي دور بيانات التعريف. يقدم دليل الدفاع الذاتي ضد المراقبة من EFF نظرة عامة على بيانات التعريف وسبب أهميتها للمنظمات (بما في ذلك توضيح لما تبدو عليه بيانات التعريف):

غالبًا ما يتم وصف بيانات التعريف على أنها كل شيء باستثناء محتوى الاتصالات الخاص بك. ويمكنك التفكير في بيانات التعريف على أنها مغلفًا رقميًا. تمامًا مثل مغلف يحتوي على معلومات حول المرسل والمستلم ووجهة الرسالة، تقوم بيانات التعريف بهذا كذلك. تُعد بيانات التعريف معلومات حول الاتصالات الرقمية التي تقوم بإرسالها واستقبالها. تتضمن بعض أمثلة بيانات التعريف ما يلي:

  • مع من تتواصل
  • موضوع رسائل البريد الإلكتروني الخاصة بك
  • طول محادثاتك
  • الوقت الذي تحدث به المحادثة
  • موقعك عند الاتصال

يمكن حتى لعينة صغيرة من بيانات التعريف أن تقدم معلومات دقيقة عن أنشطة منظمتك. فلنلقي نظرة على ما كشف بيانات التعريف فعليًا للمتسللين والجهات الحكومية والشركات التي تجمعها:

  • إنهم على علم بتواصلك مع صحفي وحديثك معه قبل ساعة من نشر هذا الصحفي لقصة مع اقتباسات من مصدر مجهول. وعلى الرغم من ذلك، فإنهم يجهلون ما تحدثتم بشأنه.
  • إنهم يعرفون أن العديد من الموظفين داخل منظمتك قد أرسلوا رسائل إلى مدرب محلي بارز في الأمن الرقمي. ولكن لا زال موضوع الرسائل سرًا.
  • إنهم على علم باستلامك بريدًا إلكترونيًا من مركز خدمة اختبار كوفيد، ثم تواصلت مع الطبيب وزرت موقع ويب منظمة الصحة العالمية في الساعة نفسها. وعلى الرغم من ذلك، فإنهم لا يعلمون بمحتوى البريد الإلكتروني أو المواضيع التي تحدثت عنها عبر الهاتف.
  • إنهم يعرفون أنك استلمت رسالة بريد إلكتروني من مجموعة محلية للدفاع عن حقوق الإنسان بسطر عنوان "أخبر الحكومة: توقف عن استغلال قوتك". ولكن مازال محتوى البريد الإلكتروني غير مرئي

بيانات التعريف ليست محمية بواسطة التشفير الذي تقدمه معظم خدمات الرسائل.. إذا كنت ترسل رسالة على WhatsApp، على سبيل المثال، ضع في اعتبارك أنه على الرغم من محتويات رسالتك تخضع للتشفير من طرف إلى طرف، إلا أنه لا يزال من الممكن على الآخرين معرفة من تقوم بمراسلته وعدد مرات مراسلته والمكالمات الهاتفية والمدة. وكنتيجة لذلك، يجب أن تضع في اعتبارك المخاطر الموجودة (إن وجدت) إذا كان بعض الخصوم قادرين على اكتشاف مع من تتحدث منظمتك ومتى حدث ذلك و(في حالة رسائل البريد الإلكتروني) سطور الموضوع العامة لاتصالات منظمتك.

وإن أحد أسباب التوصية باستخدام تطبيق Signal بشدة، بالإضافة إلى تقديم التشفير من طرف إلى طرف، هو أنه قد قدم ميزات والتزامات بتقليل كمية بيانات التعريف التي يسجلها ويخزنها. على سبيل المثال، تعمل ميزة Sealed Sender (المرسل المؤمن) على تشفير بيانات التعريف المتعلقة بمن يتحدث إلى من، لذلك يعرف تطبيق Signal مستلم الرسالة فقط وليس المرسل. وبالوضع الافتراضي، تعمل هذه الميزة فقط عند الاتصال بجهات اتصال حالية أو ملفات تعريف (الأشخاص) الذين تواصلت معهم بالفعل أو الذين قمت بتخزينهم في قائمة جهات الاتصال. وعلى الرغم من ذلك، يمكنك تمكين الإعداد "Sealed Sender" (المرسل المؤمن) هذا على "Allow from anyone" (السماح من أي شخص) إذا كان من المهم بالنسبة إليك التخلص من بيانات التعريف هذه عبر جميع محادثات تطبيق Signal، حتى تلك التي تحتوي على أشخاص مجهولين بالنسبة إليك.

ماذا عن البريد الإلكتروني؟

يستخدم معظم موفري البريد الإلكتروني، على سبيل المثال، Gmail وMicrosoft Outlook وYahoo Mail، تشفير طبقة النقل. لذلك، إذا كان يجب عليك توصيل محتوى حساس باستخدام البريد الإلكتروني وكنت تشعر بالقلق من أن موفر البريد الإلكتروني الخاص بك قد يكون ملزمًا قانونيًا بتقديم المعلومات المتعلقة باتصالاتك إلى الحكومة أو أي خصم آخر، فقد ترغب في التفكير باستخدام خيار بريد إلكتروني يخضع للتشفير من طرف إلى طرف. وعلى الرغم من ذلك، ضع في اعتبارك أنه حتى خيارات البريد الإلكتروني المشفرة من طرف إلى طرف تفتقر إلى أمر مطلوب من منظور أمني، على سبيل المثال، عدم تشفير سطور الموضوع في رسائل البريد الإلكتروني وعدم حماية بيانات التعريف. إذا كنت بحاجة إلى توصيل معلومات حساسة بشكل خاص، فإن البريد الإلكتروني ليس الخيار الأمثل. وبدلاً من ذلك، اختر خيارات مراسلة آمنة مثل Signal.

إذا استمرت منظمتك في استخدام البريد الإلكتروني، فمن المهم اعتماد نظام على مستوى المنظمة. وهذا يساعدك في الحد من المخاطر الشائعة عندما يستخدم الموظفين عنوان البريد الإلكتروني الشخصي لعملهم، مثل ممارسات أمان حساب ضعيفة. على سبيل المثال، من خلال توفير حسابات البريد الإلكتروني الصادرة عن المنظمة للموظفين، فإنه يمكنك فرض الممارسات الفضلى مثل كلمات المرور القوية والمصادقة ثنائية العامل على أية حسابات تديرها منظمتك. إأما إذا، وفقًا لتحليلك السابق، كان التشفير من طرف إلى طرف ضروريًا لرسالة البريد الإلكتروني، فإن كلاً من Protonmail وTutanota يقدمان خططًا للمنظمات. إذا كان تشفير طبقة النقل كافيًا للبريد الإلكتروني الخاص بالمنظمة، فإن الخيارات مثل Google Workspace (Gmail) أو Microsoft 365 (Outlook) قد تكون مفيدة.

هل يمكننا حقًا الوثوق في تطبيق WhatsApp؟

يُعد تطبيق WhatsApp الخيار الشائع للمراسلة الآمنة، ويمكن أن يكون خيارًا جيدًا بسبب توافره في كل مكان. ويشعر بعض الأشخاص بالقلق تجاه فكرة أن تطبيق WhatsApp مملوك ومسيطر عليه بواسطة Facebook، حيث يتم العمل على دمجه مع أنظمته الأخرى. ويشعر الأشخاص بالقلق فيما يتعلق بكمية بيانات التعريف (على سبيل المثال، المعلومات الخاصة بمن تتواصل معهم ومتى) التي يجمعها تطبيق WhatsApp. إذا اخترت استخدام تطبيق WhatsApp كخيار مراسلة آمن، فتأكد من قراءة القسم السابق الذي يتعلق ببيانات التعريف. كذلك، يوجد بعض الإعدادات التي تحتاج إلى تعيينها بشكل صحيح. الأهم من ذلك، تأكد من إيقاف تشغيل النسخ الاحتياطي عبر السحابة أو، على الأقل، قم بتمكين ميزة النسخ الاحتياطي المشفر من طرف إلى طرف الجديدة من WhatsApp باستخدام مفتاح التشفير المكون من 64 رقمًا أو رمز مرور طويل وعشوائي وفريد محفوظ في مكان آمن (مثل تطبيق إدارة كلمات المرور الخاص بك). كذلك، تأكد من عرض إعلامات الأمان وتحقق من رموز الأمان. يمكنك العثور على أدلة إرشادية بسيطة لتكوين هذه الإعدادات للهواتف التي تعمل بنظام التشغيل Android هنا وأجهزة iPhone هنا.. إذا لم يقم موظفوك *وأولئك الذي تتواصل معهم* بتكوين هذه الخيارات بشكل صحيح، فإنه يجب عليك عدم التفكير في تطبيق WhatsApp كخيار جيد للاتصالات الحساسة التي تتطلب التشفير من طرف إلى طرف. فلا يزال تطبيق Signal هو الخيار الأفضل لاحتياجات المراسلة المشفرة من طرف إلى طرف وذلك بسبب إعدادات الأمان الافتراضية وحماية بيانات التعريف.

ماذا عن الرسائل النصية؟

تُعد الرسائل النصية الأساسية غير آمنة إلى درجة كبيرة (الرسائل القصيرة القياسية غير مشفرة بفاعلية)، ويجب تجنبها لأي شيء غير مخصص للمعرفة العامة. وفي حين أن رسائل من جهاز iPhone إلى آخر (المعروفة باسم iMessages) من Apple مشفرة من طرف إلى طرف، فإذا كان هناك طرف ليس iPhone في المحادثة، فستكون الرسائل غير مؤمنة. من الأفضل أن تكون آمنًا وتجنب الرسائل النصية لأي شيء حساس أو خاص أو سري.

لماذا لا يُوصى باستخدام Telegram أو Facebook Messenger أو Viber لإجراء دردشات آمنة؟

تقدم بعض الخدمات، مثل Facebook Messenger وTelegram، تشفيرًا من طرف إلى طرف فقط إذا قمت بتشغيله عمدًا (وللدردشات الفردية فقط)، لذلك فإنها ليست خيارات جيدة لإرسال المعلومات الحساسة أو الخاصة، خاصة بالنسبة لمنظمة. لا تعتمد على هذه الأدوات إذا كنت بحاجة إلى استخدام التشفير من طرف إلى طرف، لأنه من السهل جدًا نسيان تغيير الإعدادات الافتراضية الأقل أمانًا. يدعي تطبيق Viber تقديم التشفير من طرف إلى طرف، ولكنه لم يوفر الرمز للمراجعة لباحثي الأمان الخارجيين. كذلك، لم يتم توفر رمز تطبيق Telegram للتدقيق العام. وكنتيجة لذلك، يخشى الكثير من الخبراء من أن يكون تشفير تطبيق Viber (أو "الدردشات السرية" الخاصة بتطبيق Telegram) دون المستوى وبالتالي يكون غير مناسب للاتصالات التي تتطلب تشفيرًا حقيقيًا من طرف إلى طرف.

تستخدم جهات الاتصال والزملاء تطبيقات المراسلة الأخرى - كيف يمكننا إقناعهم بتنزيل تطبيق جديد للتواصل معنا؟

في بعض الأحيان، يكون هناك مفاضلة بين الأمان والراحة، ولكن القليل من الجهد الإضافي يستحق العناء في سبيل الحفاظ على أمان الاتصالات الحساسة. كن مثالاً جيدًا لجهات الاتصال الخاصة بك. إذا كان عليك استخدام أنظمة أخرى  أقل آمانًا، فكن واعيًا ومدركًا تمامًا لما تقوله. تجنب مناقشة الموضوعات الحساسة. بالنسبة لبعض المنظمات، قد تستخدم نظامًا واحدًا للدردشة العامة ونظامًا آخر للقيادة لإجراء المناقشات الأكثر سرية. بالطبع، من الأسهل أن يتم تشفير كل شيء تلقائيًا طوال الوقت - لا شيء لتتذكره أو تفكر فيه.

لحُسن الحظ، أصبحت التطبيقات المشفرة من طرف إلى طرف مثل Signal شائعة بشكل متزايد وسهلة الاستخدام - ناهيك عن ترجمتها إلى عشرات اللغات للاستخدام العالمي. إذا احتاج شركاؤك أو جهات اتصال أخرى المساعدة في تحويل الاتصالات إلى خيار مشفر من طرف إلى طرف مثل Signal، فاستغرق بعض الوقت للتحدث معهم حول سبب أهمية حماية اتصالاتك بشكل صحيح. عندما يفهم الجميع الأهمية، فلن تبدو الدقائق القليلة المطلوبة لتنزيل تطبيق جديد واليومين اللذين قد تحتاجهما للتعود على استخدامه مشكلة كبيرة.

هل هناك إعدادات أخرى للتطبيقات المشفرة من طرف إلى طرف يجب أن نكون على علم بها؟

في التطبيق Signal، من المهم كذلك التحقق من رموز الأمان (التي يُشار إليها باسم أرقام الأمان). لعرض رقم الأمان والتحقق من صحته في التطبيق Signal، يمكنك فتح الدردشة الخاصة بك مع جهة اتصال، المس على الاسم في أعلى الشاشة ومرر لأسفل والمس "عرض رقم الأمان". إذا كان رقم الأمان الخاص بك يتوافق مع جهة اتصالك، فإنه يمكنك وضع علامة "تم التحقق" من الشاشة نفسها. بشكل خاص، من المهم الانتباه إلى أرقام الأمان هذه وللتحقق من جهات الاتصال الخاصة بك إذا استلمت إشعارًا في دردشة بتغيير رقم الأمان الخاص بك مع جهة اتصال معينة. إذا احتجت أنت أو أحد الموظفين المساعدة في تكوين هذه الإعدادات، يوفر التطبيق Signal نفسه إرشادات مفيدة.

إذا كنت تستخدم التطبيق Signal، الذي يعتبر أفضل خيار سهل الاستخدام على نطاق واسع للمراسلة الآمنة والمكالمات الفردية، فتأكد من تعيين رقم تعريف شخصي قوي. استخدم على الأقل ستة أرقام ولا تكون أرقامًا سهلة التخمين مثل تاريخ ميلادك. 

للحصول على المزيد من النصائح حول كيفية تكوين التطبيق Signal والتطبيق WhatsApp بشكل صحيح، فإنه يمكنك التحقق من أدلة الأدوات لكل منهما المطورين بواسطة EFF في دليل الدفاع الذاتي ضد المراقبة.

استخدام تطبيقات الدردشة في العالم الحقيقي

لتقليل الضرر في حالة ضياع هاتف أو سرقته أو مصادرته، فإن تقليل سجل الرسائل المحفوظ على هاتفك إلى الحد الأدنى يُعد الممارسة الأفضل. تتمثل إحدى الطرق السهلة للقيام بذلك في تشغيل "الرسائل ذاتية الاختفاء" لدردشات المنظمة الجماعية ولتشجيع الموظفين على القيام بذلك في دردشاتهم الشخصية أيضًا.

في التطبيق Signal وتطبيقات المراسلة الشائعة الأخرى، يمكنك ضبط مؤقت لإخفاء الرسائل بعد عددًا معينًا من الدقائق أو الساعات بعد القراءة. يمكن تخصيص هذا الإعداد بناءً على الدردشة الفردية أو الجماعية. وبالنسبة لمعظمنا، يمنحك تعيين نافذة تخفي لمدة أسبوع واحد متسعًا من الوقت للبحث عن الأشياء مع عدم الاحتفاظ بالرسائل التي لن تحتاجها على الإطلاق - ولكن يمكن استخدامها ضدك مستقبلاً. تذكر أنه لا يمكن سرقة ما ليس بحوزتك.

لتشغيل الرسائل المختفية في Signal، افتح دردشة والمس اسم المجموعة/الشخص الذي تدردش معه والمس "الرسائل ذاتية الاختفاء" واختر "مؤقت" ثم المس "موافق". يوجد إعداد مشابه في تطبيق WhatsApp.

في المواقف الأكثر خطورة حيث الحاجة إلى حذف الرسائل فورًا، ربما بسبب سرقة هاتف شخص ما أو قمت بإرسال رسالة إلى الشخص الخطأ، لاحظ أن التطبيق Signal يسمح لك بحذف رسالة إلى مجموعة أو فرد من هاتف الجميع في غضون ثلاث ساعات من إرساله فقط عن طريق حذفه من الدردشة. لا يزال التطبيق Telegram شائعًا في العديد من الدول على الرغم من قيود التشفير الخاصة به لميزة مشابهة تسمح للمستخدمين بحذف الرسائل عبر الأجهزة دون قيود.

ومع ذلك، إذا كانت منظمتك مهتمة بسلامة الموظفين كنتيجة للاتصالات التي قد تتم رؤيتها على هواتفهم، فمن المحتمل أن يكون استخدام الرسائل المختفية ذات المؤقتات القصيرة هو الخيار الأبسط والأكثر استدامة.

 

ماذا عن مكالمات الفيديو الجماعية الأكبر؟ هل هناك خيارات مشفرة من طرف إلى طرف؟

مع زيادة العمل عن بُعد، من المهم أن يكون لديك خيار آمن لمكالمات الفيديو الجماعية الأكبر للمنظمة. ولسوء الحظ، لا توجد خيارات رائعة حاليًا تحدد مربعات الاختيار جميعها: سهلة الاستخدام وتدعم أعدادًا كبيرة من الحضور وميزات التعاون وتمكين التشفير من طرف إلى طرف بالوضع الافتراضي.

بالنسبة للمجموعات التي تصل إلى 40 شخصًا، يُوصى بشدة باستخدام تطبيق Signal على أنه خيار مشفر من طرف إلى طرف. يمكن الانضمام إلى مكالمات الفيديو الجماعية على Signal إما من هاتف ذكي أو تطبيق Signal لسطح المكتب على كمبيوتر، مما يسمح بمشاركة الشاشة. ومع ذلك، ضع في اعتبارك أنه يمكن إضافة جهات الاتصال الذين يستخدمون Signal بالفعل إلى مجموعة Signal فقط.

إذا كنت تبحث عن خيارات أخرى، فقد أضاف نظام Jitsi Meet حديثًا الإعداد المشفر من طرف إلى طرف. يُعد Jitsi Meet حل المؤتمرات الصوتية ومؤتمرات الفيديو المستند إلى الويب الذي ينجح مع عدد كبير من الأشخاص (يصل إلى 100 شخصًا) ولا يتطلب تنزيل تطبيق أو برنامج خاص. لاحظ أنه إذا قمت باستخدام هذه الميزة مع مجموعات كبيرة (أكثر من 15-20 شخصًا)، فقد تقل جودة المكالمة. لإعداد اجتماع على Jitsi Meet، يمكنك الانتقال إلى meet.jit.si، واكتب رمز الاجتماع وشارك ذلك الرابط (عبر قناة آمنة مثل Signal) مع المشاركين المرغوبين. لاستخدام التشفير من طرف إلى طرف، ألق نظرة على هذه الإرشادات التي حددها Jitsi. لاحظ أن جميع المستخدمين الفرديين سيحتاجون إلى التشفير من طرف إلى طرف بأنفسهم للعمل. عند استخدام Jitsi، تأكد من إنشاء أسماء غرف اجتماعات عشوائية واستخدام رموز مرور قوية لحماية المكالمات.

إذا لم ينجح هذا الخيار في منظمتك، فإنه يمكنك التفكير في استخدام خيار تجاري شائع مثل Webex أو Zoom مع تمكين التشفير من طرف إلى طرف. سمح Webex بالتشفير من طرف إلى طرف؛ ومع ذلك، لا يتم تشغيل هذا الخيار افتراضيًا ويُطالب المشاركين بتنزيل Webex للانضمام إلى اجتماعك. للوصول إلى الخيار المشفر من طرف إلى طرف لحساب Webex، فإنه يجب عليك فتح حالة دعم Webex واتباع هذه الإرشادات لضمان تكوين التشفير من طرف إلى طرف. يحتاج مضيف الاجتماع فقط إلى تمكين التشفير من طرف إلى طرف. إذا قام بذلك، فإنه سيتم تشفير الاجتماع بالكامل . إذا كنت تستخدم Webex لتأمين اجتماعات وورش عمل جماعية، تأكد أيضًا من تمكين رموز مرور قوية على المكالمات.

بعد شهور من الآراء السلبية، عمل تطبيق Zoom على تطوير خيار التشفير من طرف إلى طرف للمكالمات. ومع ذلك، لا يتم تشغيل ذلك الخيار بالوضع الافتراضي، ويتطلب أن يربط مضيف المكالمة الحساب برقم الهاتف، ويعمل فقط إذا انضم جميع المشاركين إلى تطبيق Zoom لسطح المكتب أو للهاتف المحمول بدلاً من الاتصال. لأنه من السهل تكوين هذه الإعدادات بالخطأ عن غير قصد، فليس من الذكاء الاعتماد على تطبيق Zoom كخيار مشفر من طرف إلى طرف. ومع ذلك، إذا كان التشفير من طرف إلى طرف مطلوبًا وتطبيق Zoom هو الخيار الوحيد لديك، فإنه يمكنك اتباع الإرشادات الخاصة بالتطبيق Zoom لتكوينه. فقط تأكد من التحقق من أية مكالمة قبل البدء لضمان أنها مشفرة من طرف إلى طرف بالنقر فوق القفل الأخضر الموجود في الزاوية اليسرى العلوية لشاشة تطبيق Zoom ورؤية عبارة "طرف إلى طرف" بجانب إعداد التشفير. كذلك، يجب عليك تعيين رمز مرور قوي لأي اجتماع على تطبيق Zoom.

بالإضافة إلى الأدوات المذكورة أعلاه، يلقي المخطط الانسيابي هذا المطور بواسطة Frontline Defenders الضوء على بعض خيارات مكالمات الفيديو والمؤتمرات التي قد تكون منطقية لمنظمتك وفقًا لسياق المخاطر الخاص بك.

ومع ذلك، تجدر الإشارة إلى أن هناك ميزات شائعة معينة من الأدوات المذكورة أعلاه تعمل مع تشفير طبقة النقل فقط. على سبيل المثال، يعمل تشغيل التشفير من طرف إلى طرف في Zoom على تعطيل الغرف الفرعية وإمكانات الاستطلاع والتسجيل عبر السحابة. في Jitsi Meet، يمكن للغرف الفرعية تعطيل ميزة التشفير من طرف إلى طرف، مما يؤدي إلى انخفاض غير مقصود في مستوى الأمان.

ماذا لو كنا حقًا لا نحتاج إلى التشفير من طرف إلى طرف لجميع اتصالاتنا؟

إذا لم يكن التشفير من طرف إلى طرف مطلوبًا لجميع الاتصالات الخاصة بمنظمتك استنادًا إلى تقييم المخاطر، فإنه يمكنك التفكير باستخدام التطبيقات المحمية بواسطة تشفير طبقة النقل. تذكر أن هذا النوع من التشفير يتطلب منك أن تثق بموفر الخدمة، مثل Google لـ Gmail أو Microsoft لـ Outlook/Exchange أو Facebook لـ Messenger، لأنه يمكن أن يرى أو يسمع اتصالاتك (وأي شخص قد يضطر إلى مشاركة المعلومات معك). مرة أخرى، ستعتمد الخيارات الأفضل على نموذج التهديد الخاص بك (على سبيل المثال، إذا كنت لا تثق في Google أو إذا كانت حكومة الولايات المتحدة الأمريكية هي خصمك، فلا يُعد Gmail خيارًا جيدًا)، ولكن تشمل بعض الخيارات الشائعة والموثوقة:

 

البريد الإلكتروني

  • Gmail (عبر Google Workspace)
  • Outlook (عبر Office 365)
    • لا تستضيف خادم Microsoft Exchange الخاص بك للبريد الإلكتروني للمنظمة. إذا كنت تقوم بذلك حاليًا، فإنه يجب عليك الترحيل إلى Office 365.

المراسلة النصية )الفردية أو الجماعية

  • Google Hangouts
  • Slack
  • Microsoft Teams
  • Mattermost
  • Line
  • KaKao Talk
  • Telegram

المؤتمرات الجماعية، المكالمات الصوتية ومكالمات الفيديو

  • Jitsi Meet
  • Google Meet
  • Microsoft Teams
  • Webex
  • GotoMeeting
  • Zoom

مشاركة الملفات:

  • Google Drive
  • Microsoft Sharepoint
  • Dropbox
  • Slack

ملاحظة حول مشاركة الملفات

بالإضافة إلى مشاركة الرسائل بأمان، من المحتمل أن تكون مشاركة الملفات بأمان جزءًا مهمًا من خطة أمان منظمتك. إن معظم خيارات مشاركة الملفات مضمنة في تطبيقات أو خدمات المراسلة التي قد تستخدمها بالفعل. على سبيل المثال، تُعد مشاركة الملفات عبر تطبيق Signal خيارًا رائعًا إذا كنت تحتاج إلى التشفير من طرف إلى طرف. أما إذا كان تشفير طبقة النقل كافيًا، فقد يكون استخدام Google Drive أو SharePoint خيارًا جيدًا لمنظمتك. تأكد فقط من تكوين إعدادات المشاركة بشكل صحيح حتى يتمكن الأشخاص المناسبون فقط من الوصول إلى مستند أو مجلد معين، وتأكد من أن هذه الخدمات متصلة بحسابات البريد الإلكتروني للموظفين الخاصة بالمنظمة (وليست الشخصية). إذا استطعت، احظر مشاركة الملفات الحساسة عبر مرفقات البريد الإلكتروني أو ماديًا باستخدام منافذ USB. يعمل استخدام أجهزة مثل أجهزة USB داخل منظمتك بشكل كبير على زيادة احتمالية وجود برامج ضارة أو سرقة ويعمل الاعتماد على البريد الإلكتروني والأشكال الأخرى من الملفات المرفقة على إضعاف دفاع منظمتك ضد هجمات التصيّد الاحتيالي.

 

البدائل التنظيمية لمشاركة الملفات

إذا كنت تبحث عن خيار مشاركة ملفات آمن لمنظمتك غير مضمن مباشرةً في النظام الأساسي للمراسلة (أو ربما تكون قد وصلت إلى حدود حجم ملف عند مشاركة مستندات كبيرة)، ففكر في OnionShare. يُعد OnionShare أداة مصدر مفتوح تسمح لك بمشاركة ملف بأي حجم بشكل آمن ومجهول. إنه يعمل عندما يقوم المرسل بتنزيل التطبيق OnionShare (المتوفر على الأجهزة التي تعمل بنظام Mac وWindows وLinux)، وتحميل الملف (الملفات) الذي يرغب في مشاركته وإنشاء رابط فريد. بعد ذلك، يمكن مشاركة هذا الرابط، الذي لا يمكن معالجته إلا في مستعرض Tor، عبر أي قناة مراسلة آمنة (Signal، على سبيل المثال) إلى المستلم المقصود. يمكن للمستلم بعد ذلك فتح الرابط في المستعرض Tor وتنزيل الملف (الملفات) على جهاز الكمبيوتر. ضع في اعتبارك أن الملفات آمنة فقط مثل الطريقة التي تشارك من خلالها الرابط. سيتم التحدث عن Tor بمزيد من التفصيل في القسم "متقدم" اللاحق من هذا الدليل، ولكن لأغراض مشاركة الملفات داخل منظمتك، ضع OnionShare في اعتبارك كبديل أكثر أمانًا لمشاركة الملفات الكبيرة على أجهزة USB في أرجاء المكتب إذا لم يكن لديك خيار موفر تخزين سحابي موثوق.


إذا كانت منظمتك تستثمر بالفعل في برنامج إدارة كلمات مرور، كما هو موضح في هذا القسم من الدليل المتعلق بكلمات المرور، واختارت حساب Bitwarden Premium أو حساب Bitwarden المخصص الفرق، تُعد الميزة Bitwarden Send خيارًا آخر لمشاركة الملفات بأمان. تتيح هذه الميزة للمستخدمين إنشاء روابط آمنة لمشاركة الملفات المشفرة عبر أي قناة مراسلة آمنة (مثل Signal). إن أقصى حجم للملف 100 ميجا بايت، ولكن يسمح لك Bitwarden Send بتعيين تاريخ انتهاء صلاحية الروابط وتحمي كلمة المرور الوصول إلى الملفات المشتركة والحد من عدد المرات التي يمكن فيها فتح الرابط.

توصيل البيانات ومشاركتها بأمان

  • اطلب استخدام خدمات المراسلة المشفرة من طرف إلى طرف الموثوقة للاتصالات الحساسة لمنظمتك (ولجميع الاتصالات بشكل مثالي).
    • استغرق الوقت اللازم لتشرح للموظفين والشركاء الخارجيين سبب أهمية الاتصالات الآمنة؛ وسيعمل هذا على تعزيز نجاح خطتك.
  • ضع سياسة فيما يتعلق بالمدة التي ستحتفظ بها بالرسائل وعند/إذا كانت المنظمة ستستخدم الاتصالات "المخفية" أم لا.
  • تأكد من وجود الإعدادات المناسبة لتطبيقات الاتصالات المؤمنة، بما في ذلك:
    • تأكد من أن جميع الموظفين يهتمون بإعلامات الأمان ولا يقومون بنسخ الدردشات إذا كانوا يستخدمون التطبيق WhatsApp.
    • إذا كنت تستخدم تطبيقًا لا يتم به تمكين التشفير من طرف إلى طرف بالوضع الافتراضي (على سبيل المثال Zoom أو Webex)، فتأكد من قيام المستخدمين المطلوبين بتشغيل الإعدادات المناسبة في بداية أي اجتماع أو مكالمة.
  • استخدم خدمات البريد الإلكتروني المستندة إلى السحابة مثل Office 365 أو Gmail لمنظمتك.
    • لا تحاول استضافة خادم البريد الإلكتروني الخاص بك.
    • لا تسمح للموظفين باستخدام حسابات البريد الإلكتروني الشخصية للعمل.
  • ذكّر المنظمة بأفضل ممارسات الأمان المتعلقة بالمراسلة الجماعية وبيانات التعريف باستمرار.
    • كن على علم بمن يتواجد في الرسائل الجماعية والدردشات وسلاسل البريد الإلكتروني.