ثغرة تهدد الأمن.. طالبو الوظائف عرضة لـ«التجنيد»!
الحوالات المعلوماتية تسهل عمليات انتحال الشخصية والتواطؤ الأمني
السبت / 30 / ذو الحجة / 1437 هـ السبت 01 أكتوبر 2016 20:34
د. عبدالرزاق عبدالعزيز المرجان *
بعد أن عانت المملكة واقتصادها من تهجير الأموال إلى الخارج عن طريق الحوالات النقدية التي وصلت إلى 135 مليار ريال حسب إحصاء 1435، ستعاني حاليا من ظاهرة الحوالات المعلوماتية الشخصية، وذلك من خلال استغلالها للمعلومات الشخصية للموظفين المتقدمين من داخل المملكة للشركات.
وتبدأ القصة عندما تطأ الشركات الأجنبية الكبرى أرض المملكة وتبدأ مراحل عملية اختيار الموظفين الجدد، حينها تهجر آلاف المعلومات عن طريق إرسال طلبات إلى الشركات الأجنبية المتعاقدة معها خارج المملكة لإجراء التحري عن الموظفين قبل التوظيف بما يسمى (Background Checks).
الهدف من هذا الإجراء هو التأكد من دقة وسلامة المعلومات التي قام الموظف أو الموظفة بتسليمها للشركة من مثل الشهادة الأكاديمية، والخبرات العملية والتأكد من السجل الأمني للمتقدمين، وفي بعض الأحيان معرفة مديونيات المتقدمين.
وتطبق الشركات الأجنبية سياسة التحري قبل التوظيف استنادا إلى نظام الشركة الأم في بلدانها.
وهذا لا ينطبق على الشركات الأجنبية فحسب، بل حتى الشركات السعودية الكبرى تحذو حذوها، ولكن تكتفي بتهجير المعلومات الشخصية للسعوديين المتخرجين من خارج المملكة، وجميع الأجانب المختارين للوظائف.
متطلبات التحري
يتطلب هذا الإجراء لإتمامه إرسال صورة من بطاقة الأحوال، وصورة من الشهادة الجامعية، وصورة من الخبرات المهنية للموظف السعودي، وموافقة المتقدمين لإجراء التحري.
وبالنسبة للأجانب فيتطلب الأمر جميع المتطلبات المذكورة بالإضافة إلى صورة من الإقامة إذا كان الشخص مقيما داخل المملكة، وصورة من جواز السفر.
هذا الكم الهائل من الحوالات المعلوماتية الشخصية يتم ترحيلها خارج المملكة بصفة يومية أو أسبوعية تحت غطاء التحري عن الموظفين قبل التوظيف، وبصفة نظامية؛ لوجود عقد بين الطرفين للحفاظ على سرية المعلومات، وعن طريق البريد الإلكتروني وهذه مشكلة أخرى.
ملفات الموظفين خارج البلاد
هذه الإجراءات تمكّن شركات التحري الأجنبية من الحصول على ملفات كاملة عن الموظفين السعوديين والأجانب العاملين في المملكة الذين يعملون في الشركات الأجنبية والسعودية، كالشركات البترولية والبتروكيماويات وشركات التجزئة والصيانة والصناعية والخدمية والمستشفيات الأهلية، والحصول على مسميات وظائفهم ومعلوماتهم الشخصية والمهنية بأقل جهد.
صور من المخاطر
الحوالات النقدية يمكن تعويضها مهما بلغ حجمها، فضررها محدود مقارنة بالحوالات المعلوماتية الخارجية التي لا يمكن تعويضها بأي شكل من الأشكال، حيث لا نعلم كيف تستخدم؟ ولا كيف تحفظ؟ ومن هو المستفيد من هذه المعلومات؟ وكيف يتم تداول هذه المعلومات وما هي أضرارها؟ ولا أن نأخذ في الحسبان خطورة دوران المعلومات للتحري عن المتقدم، إذ إن غالبية شركات التحري تقوم بالتعاقد بالباطن مع شركات أخرى في دول ومناطق مختلفة للحصول على معلومات المتقدم.
وهذا يزيد من احتمالية تسرب المعلومات ووصولها إلى أيد غير أمينة.
والأسوأ الذي قد يحدث هو استغلال هذه المعلومات الشخصية أو نتائج التحري السلبية بعد معرفتها، (سوابق أمنية، فصل من الوظيفة السابقة، تزوير الشهادات)، وعلى سبيل المثال، من الممكن أن تقوم شركات التحري بالتواصل مع متقدم (ما) تم اكتشاف تزوير الشهادة التي يحملها، وذلك من أجل تجنيده أو ابتزازه مقابل التستر عليه.
شركات التحري
أما النقطة المهمة فهي مدى مصداقية شركات التحري، وعن خبرة في هذا المجال فإن هناك شركات غير صادقة، وأضرب لكم مثالا، فعند تدقيق الشهادة يتم إرسال تقرير من شركة التحري يؤكد مصداقية الشهادة الجامعية لموظف (ما) وتكتشف بعد فترة من الزمن أن هذه الشهادة مزورة.
ومن المخاطر أيضا، قد تكون هذه الشركات الأجنبية المتعاقدة تقدم خدمات أو ترتبط بعقود (صيانة أو توريد أو تشغيل) مع قطاعات الدولة المهمة كالعسكرية أو الأمنية أو البترولية أو البتروكيماويات أو الاتصالات أو الكهرباء أو البنوك، ويتم اختراق هذه القطاعات المهمة في الدولة عن طريق شركات التحري لموظفي الشركات الأجنبية المتعاقدة. ومن ضمن المشكلات المهمة أيضا غياب الجهة المنظمة والرقابية في المملكة التي تضع المعايير والأنظمة، حتى تستطيع الشركات متعددة الجنسيات والأجنبية والسعودية تطبيقها لضمان بيئة عمل آمنة وخالية من الخلايا النائمة والمتعاطفين وذوي السوابق وخلايا التجسس. اختلاف المخاطر والمحاذير الأمنية من دولة لأخرى وهنا الخطورة فكما ذكرنا مسبقا تطبق الشركات الأجنبية سياسة التحري قبل التوظيف استنادا إلى نظام الشركة الأم في بلدانها، وقد يتم التغاضي من جانب الشركة عن بعض الشروط لغياب الرقيب في المملكة. على سبيل المثال؛ في حالة التدقيق على الشهادات الجامعية وعند عدم الحصول على المعلومات من الجامعة الأجنبية، قد تقوم الشركة باستثناء شرط تدقيق الشهادة لعدم وجود رقيب.
كذلك قد لا تتعاون الجهات الأمنية مع طلبات الشركات الأجنبية بالإفصاح عن السجل الأمني للمواطنين لسريتها وعدم وجود قوانين تضبط تداولها.
صور الاستخدامات السلبية للمعلومات
قد تُخترَق شركات التحري الأجنبية من خلال التواطؤ من قبل موظفيها مع الاستخبارات الأجنبية مثل إيران أو غيرها أو الجماعات الإرهابية أو الشركات التجارية للحصول على المعلومات الشخصية للموظفين في المملكة، كالحصول على البريد الإلكتروني لجنسيات معينة للتواصل معهم وتجنيدهم، أو استخدام الاصطياد الإلكتروني كإرسال روابط برامج خبيثة إليهم وبعد ذلك يتم ابتزازهم.
ومن صور الاستخدامات السلبية أيضا، قيام بعض شركات التوريد المتنافسة على العقود بشراء معلومات الموظفين من شركات التحري لتتواصل مع موظفين متواطئين من قسم العقود والمشتريات داخل المنشآت للحصول على معلومات عن أسعار المناقصات والمواصفات مثلا.
أو يمكن تجنيد موظفين في إدارات تقنية المعلومات لزرع برامج تجسس في أجهزة الشركات الكبيرة وفتح أبواب خلفية للدخول إلى عمق هذه الأجهزة والحصول على المعلومات، وقد يصل الأمر للمساهمة في سرقة أو تدمير البرامج وقواعد البيانات.
بعد هذه المعطيات، ما رأيكم؟ هل تسرب الشركات الأجنبية والشركات السعودية الكبرى معلوماتنا الشخصية إلى الخارج؟ ومن هي الجهة المخولة لمراقبة الحوالات المعلوماتية الشخصية لخارج المملكة؟ وبما أننا مقبلون على الخطة المستقبلية 2030 وهو التوجه لجذب الشركات الأجنبية للاستثمار في المملكة مع الأخذ بعين الاعتبار التوجه الواضح من الحكومة بتعيين كفاءات سعودية أكثر في هذه الشركات، لذا فنحن موعودون بازدياد الحوالات المعلوماتية للخارج ومزيد من التسرب المعلوماتي.
وضع المعايير والأنظمة
لا بد أن تقوم وزارة الداخلية بوضع المعايير والشروط الواجب توافرها للتحري قبل التوظيف حتى تستطيع الشركات تطبيقها لحفظ بيئتها وأمنها وحتى لا تتسرب المعلومات.
ومن ضمن الجهات التي لا بد أن تخضع لهذا النظام الجامعات الأهلية والبنوك والشركات البترولية والبتروكيماويات وشركات التجزئة والصناعية والخدمية والمستشفيات الأهلية.
وبحكم التخصص والخبرة في هذا المجال لتحقيق ذلك فإن ثمة آليات وأسسا علمية ومنهجية ليس هذا مقام بسطها لإيقاف هجرة المعلومات تماما.
وإلا سنكون موعودين بمزيد من تسرب المعلومات الشخصية للخارج! للأسف الشركات الأجنبية تمتلك معلوماتنا الورقية والإلكترونية.
* خبير الأمن الألكتروني
وتبدأ القصة عندما تطأ الشركات الأجنبية الكبرى أرض المملكة وتبدأ مراحل عملية اختيار الموظفين الجدد، حينها تهجر آلاف المعلومات عن طريق إرسال طلبات إلى الشركات الأجنبية المتعاقدة معها خارج المملكة لإجراء التحري عن الموظفين قبل التوظيف بما يسمى (Background Checks).
الهدف من هذا الإجراء هو التأكد من دقة وسلامة المعلومات التي قام الموظف أو الموظفة بتسليمها للشركة من مثل الشهادة الأكاديمية، والخبرات العملية والتأكد من السجل الأمني للمتقدمين، وفي بعض الأحيان معرفة مديونيات المتقدمين.
وتطبق الشركات الأجنبية سياسة التحري قبل التوظيف استنادا إلى نظام الشركة الأم في بلدانها.
وهذا لا ينطبق على الشركات الأجنبية فحسب، بل حتى الشركات السعودية الكبرى تحذو حذوها، ولكن تكتفي بتهجير المعلومات الشخصية للسعوديين المتخرجين من خارج المملكة، وجميع الأجانب المختارين للوظائف.
متطلبات التحري
يتطلب هذا الإجراء لإتمامه إرسال صورة من بطاقة الأحوال، وصورة من الشهادة الجامعية، وصورة من الخبرات المهنية للموظف السعودي، وموافقة المتقدمين لإجراء التحري.
وبالنسبة للأجانب فيتطلب الأمر جميع المتطلبات المذكورة بالإضافة إلى صورة من الإقامة إذا كان الشخص مقيما داخل المملكة، وصورة من جواز السفر.
هذا الكم الهائل من الحوالات المعلوماتية الشخصية يتم ترحيلها خارج المملكة بصفة يومية أو أسبوعية تحت غطاء التحري عن الموظفين قبل التوظيف، وبصفة نظامية؛ لوجود عقد بين الطرفين للحفاظ على سرية المعلومات، وعن طريق البريد الإلكتروني وهذه مشكلة أخرى.
ملفات الموظفين خارج البلاد
هذه الإجراءات تمكّن شركات التحري الأجنبية من الحصول على ملفات كاملة عن الموظفين السعوديين والأجانب العاملين في المملكة الذين يعملون في الشركات الأجنبية والسعودية، كالشركات البترولية والبتروكيماويات وشركات التجزئة والصيانة والصناعية والخدمية والمستشفيات الأهلية، والحصول على مسميات وظائفهم ومعلوماتهم الشخصية والمهنية بأقل جهد.
صور من المخاطر
الحوالات النقدية يمكن تعويضها مهما بلغ حجمها، فضررها محدود مقارنة بالحوالات المعلوماتية الخارجية التي لا يمكن تعويضها بأي شكل من الأشكال، حيث لا نعلم كيف تستخدم؟ ولا كيف تحفظ؟ ومن هو المستفيد من هذه المعلومات؟ وكيف يتم تداول هذه المعلومات وما هي أضرارها؟ ولا أن نأخذ في الحسبان خطورة دوران المعلومات للتحري عن المتقدم، إذ إن غالبية شركات التحري تقوم بالتعاقد بالباطن مع شركات أخرى في دول ومناطق مختلفة للحصول على معلومات المتقدم.
وهذا يزيد من احتمالية تسرب المعلومات ووصولها إلى أيد غير أمينة.
والأسوأ الذي قد يحدث هو استغلال هذه المعلومات الشخصية أو نتائج التحري السلبية بعد معرفتها، (سوابق أمنية، فصل من الوظيفة السابقة، تزوير الشهادات)، وعلى سبيل المثال، من الممكن أن تقوم شركات التحري بالتواصل مع متقدم (ما) تم اكتشاف تزوير الشهادة التي يحملها، وذلك من أجل تجنيده أو ابتزازه مقابل التستر عليه.
شركات التحري
أما النقطة المهمة فهي مدى مصداقية شركات التحري، وعن خبرة في هذا المجال فإن هناك شركات غير صادقة، وأضرب لكم مثالا، فعند تدقيق الشهادة يتم إرسال تقرير من شركة التحري يؤكد مصداقية الشهادة الجامعية لموظف (ما) وتكتشف بعد فترة من الزمن أن هذه الشهادة مزورة.
ومن المخاطر أيضا، قد تكون هذه الشركات الأجنبية المتعاقدة تقدم خدمات أو ترتبط بعقود (صيانة أو توريد أو تشغيل) مع قطاعات الدولة المهمة كالعسكرية أو الأمنية أو البترولية أو البتروكيماويات أو الاتصالات أو الكهرباء أو البنوك، ويتم اختراق هذه القطاعات المهمة في الدولة عن طريق شركات التحري لموظفي الشركات الأجنبية المتعاقدة. ومن ضمن المشكلات المهمة أيضا غياب الجهة المنظمة والرقابية في المملكة التي تضع المعايير والأنظمة، حتى تستطيع الشركات متعددة الجنسيات والأجنبية والسعودية تطبيقها لضمان بيئة عمل آمنة وخالية من الخلايا النائمة والمتعاطفين وذوي السوابق وخلايا التجسس. اختلاف المخاطر والمحاذير الأمنية من دولة لأخرى وهنا الخطورة فكما ذكرنا مسبقا تطبق الشركات الأجنبية سياسة التحري قبل التوظيف استنادا إلى نظام الشركة الأم في بلدانها، وقد يتم التغاضي من جانب الشركة عن بعض الشروط لغياب الرقيب في المملكة. على سبيل المثال؛ في حالة التدقيق على الشهادات الجامعية وعند عدم الحصول على المعلومات من الجامعة الأجنبية، قد تقوم الشركة باستثناء شرط تدقيق الشهادة لعدم وجود رقيب.
كذلك قد لا تتعاون الجهات الأمنية مع طلبات الشركات الأجنبية بالإفصاح عن السجل الأمني للمواطنين لسريتها وعدم وجود قوانين تضبط تداولها.
صور الاستخدامات السلبية للمعلومات
قد تُخترَق شركات التحري الأجنبية من خلال التواطؤ من قبل موظفيها مع الاستخبارات الأجنبية مثل إيران أو غيرها أو الجماعات الإرهابية أو الشركات التجارية للحصول على المعلومات الشخصية للموظفين في المملكة، كالحصول على البريد الإلكتروني لجنسيات معينة للتواصل معهم وتجنيدهم، أو استخدام الاصطياد الإلكتروني كإرسال روابط برامج خبيثة إليهم وبعد ذلك يتم ابتزازهم.
ومن صور الاستخدامات السلبية أيضا، قيام بعض شركات التوريد المتنافسة على العقود بشراء معلومات الموظفين من شركات التحري لتتواصل مع موظفين متواطئين من قسم العقود والمشتريات داخل المنشآت للحصول على معلومات عن أسعار المناقصات والمواصفات مثلا.
أو يمكن تجنيد موظفين في إدارات تقنية المعلومات لزرع برامج تجسس في أجهزة الشركات الكبيرة وفتح أبواب خلفية للدخول إلى عمق هذه الأجهزة والحصول على المعلومات، وقد يصل الأمر للمساهمة في سرقة أو تدمير البرامج وقواعد البيانات.
بعد هذه المعطيات، ما رأيكم؟ هل تسرب الشركات الأجنبية والشركات السعودية الكبرى معلوماتنا الشخصية إلى الخارج؟ ومن هي الجهة المخولة لمراقبة الحوالات المعلوماتية الشخصية لخارج المملكة؟ وبما أننا مقبلون على الخطة المستقبلية 2030 وهو التوجه لجذب الشركات الأجنبية للاستثمار في المملكة مع الأخذ بعين الاعتبار التوجه الواضح من الحكومة بتعيين كفاءات سعودية أكثر في هذه الشركات، لذا فنحن موعودون بازدياد الحوالات المعلوماتية للخارج ومزيد من التسرب المعلوماتي.
وضع المعايير والأنظمة
لا بد أن تقوم وزارة الداخلية بوضع المعايير والشروط الواجب توافرها للتحري قبل التوظيف حتى تستطيع الشركات تطبيقها لحفظ بيئتها وأمنها وحتى لا تتسرب المعلومات.
ومن ضمن الجهات التي لا بد أن تخضع لهذا النظام الجامعات الأهلية والبنوك والشركات البترولية والبتروكيماويات وشركات التجزئة والصناعية والخدمية والمستشفيات الأهلية.
وبحكم التخصص والخبرة في هذا المجال لتحقيق ذلك فإن ثمة آليات وأسسا علمية ومنهجية ليس هذا مقام بسطها لإيقاف هجرة المعلومات تماما.
وإلا سنكون موعودين بمزيد من تسرب المعلومات الشخصية للخارج! للأسف الشركات الأجنبية تمتلك معلوماتنا الورقية والإلكترونية.
* خبير الأمن الألكتروني