«البيئة التقنية للجامعة الأميركية في بيروت غير آمنة». كان يمكن لهذه العبارة ان تكون مجرد شائعة، لكنها اليوم مثبتة في تقرير صادر عن الجامعة نفسها، حصلت عليه «الأخبار» من مسرب معلومات. يكشف التقرير عن صراع خفي على إدارة سرية البيانات بين مكتب تكنولوجيا المعلومات ومكتب التدقيق الداخلي، وقد حاولت «الأخبار» استطلاع رأي ادارة الجامعة في بعض مضامينه والاجراءات التي اتخذتها لمعالجة الخلل، الا انها استمهلت يومين قبل ان تعلن انها لن تعلق على مضمون التقرير الذي بحوزتنا، وانها ستنشر قريباً التقرير الرسمي وتعلق عليه.
ما هي قصة هذا التقرير؟ ولماذا لم يعلَن عنه حتى اليوم على الرغم من مضي اشهر عدّة على انجازه؟
في ٢٨ ايار ٢٠١٣ نشرت «الأخبار» تحقيقاً بعنوان «ادارة الجامعة الاميركية تتجسس على اهلها»، اشار هذا التحقيق الى ان ادارة الجامعة طلبت من قسم تكنولوجيا المعلومات فيها الحصول على كامل «الداتا» المتوافرة في أقراص التخزين بما فيها كل المراسلات الإلكترونية بين أهل الجامعة من أساتذة وطلاب وموظفين والتي تجري عبر خدمة البريد الإلكتروني الخاص بنطاق «aub.edu.lb»، اضافة إلى التسجيلات الصوتية للمكالمات الهاتفية وجميع عناصر قاعدة البيانات بما فيها المعلومات الشخصية والمهنية للموظفين والأطباء والمرضى في مستشفى الجامعة.
اكّدت ادارة الجامعة في حينه صدور هذا القرار عن رئيس الجامعة بيتر دورمان، الذي سمح فيه لافراد مخولين بدخول سجلات البريد الإلكتروني بناء على دلائل موثوق بها على انتهاكات خطيرة لقوانين وسياسات الجامعة. وقالت «إن هذا الإجراء خضع لبروتوكولات استثنائية لضمان عدم وصول فرد إلى هذه السجلات وحده». ولفتت الجامعة إلى «أن هذه البروتوكولات تشمل تقنيات تشفير متطورة واستعمال كلمات مرور امنة تتطلب شخصين لتفعيلها، وفي كل مرة يجري فيها إدخال سجلات البريد الإلكتروني لأهداف التحقيق، تكون فترة الدخول مقتصرة على مدة زمنية محددة، لذلك فان سرية السجلات وسلامتها تبقيان مصونتين في كل الأوقات».
الا ان التقرير الذي تنشره «الأخبار» اليوم، يبيّن ان رئيس الجامعة كان قد كلّف فريق عمل من الجامعة، في ١٤ أيار 2013، التحقيق في واقعة نقل البيانات من قسم تكنولوجيا المعلومات الى قسم التدقيق الداخلي، والاعتراضات التي واجهت هذا الإجراء من قبل اثنين من كبار الموظفين في قسم المعلوماتية، وفيما ترجح مصادر ان هذين الموظفين طردا من الجامعة بسبب اعتراضهما على نقل الداتا، يرجح مصدر آخر ان يكون سبب الطرد مرتبطا بما كشفه مكتب التدقيق الداخلي من قصور في عملهما، وخصوصاً لناحية امن المعلومات والحفاظ على سريتها.
هل نُقلت الداتا الى قبرص؟
يكشف هذا التقرير معلومات بالغة الخطورة، باتت مثبتة ولا أحد يمكنه إنكارها، وتوصل الى نتيجة مفادها ان البيئة التقنية للجامعة الاميركية في بيروت غير آمنة، وانه بالفعل جرى نسخ كامل قاعدة بيانات الجامعة في نيسان عام ٢٠١٣، ونقلها من قسم تكنولوجيا المعلومات، في خرق واضح لقوانين الجامعة الداخلية ولقواعد الخصوصية والتحقيق الآمن المبني على قرار قضائي التي تتبعها عادة المؤسسات الأكاديمية في مختلف الدول.
يفيد التقرير بأن فريق العمل المؤلف من أعضاء في هيئة التدريس حقق في هذه الحادثة، وتولّى مراجعة البروتوكولات والسياسات والإجراءات المتعلقة بتنظيم تكنولوجيا معلومات الجامعة، نظراً إلى ارتباطها بحماية قاعدة بيانات البريد الإلكتروني وتكامل السجلات بما فيها التشفير وتسلسل العهدة وأمور أخرى ذات صلة، إضافة الى ذلك، عمل الفريق على معاينة البيئة التقنية الحالية للجامعة بحكم ارتباطها بالحاجة لحماية سرية البيانات خلال عمليات الوصول، البالغة السرية، إلى قاعدة بيانات البريد الالكتروني والأرشيف التي يجريها أفراد مخولون القيام بعمليات وصول كهذه من قبل رئيس الجامعة. كما أوصى الفريق بمجموعة من التدابير في سبيل تأمين تكامل وأمن بيانات الجامعة السرية.
اجتمع فريق عمل هيئة التدريس بعد وقت قصير على اثارة أسئلة تناولت على نحو علني سرية وأمن بيانات البريد الالكتروني، وذلك من قبل أعضاء كليات الجامعة الأميركية في بيروت، بعدما علموا بأنّ مكتب التدقيق الداخلي قد حصل على نسخ من محتويات حسابات البريد الإلكتروني على أقراص صلبة محمولة، وأن هذه الحسابات متاحة لطاقم موظفي التدقيق الداخلي خارج نطاق مركز بيانات تكنولوجيا المعلومات.
يوضح التقرير ان فريق العمل اجرى عشر مقابلات مع الاشخاص المعنيين بواقعة نقل «الداتا» من قسم تكنولوجيا المعلومات الى قسم التدقيق الداخلي، وبلغ مجموع هذه المقابلات ١٥ ساعة خلال شهر حزيران 2013. ومن اللافت ان جميع هذه المقابلات جرى تسجيلها بإذن من اصحابها، ما عدا اثنتين رفض اصحابها اي عملية تسجيل لاقوالهم فيهما، وهما نائب رئيس الشؤون القانونية بيتر ماي، ومدقق حسابات الجامعة أندرو كارترايت.
وتشير المعلومات الى اتهامات موجهة إلى أحد كبار الموظفين في الجامعة بتهريب «الداتا» إلى قبرص. وليس واضحا في التقرير اذا كان فريق العمل الذي حقق في هذه الحادثة، قد تقصى الحقائق حول هذه الاتهامات، لكن امتناع كل من ماي وكارترايت عن تسجيل المقابلتين اللتين جرتا معهما، يضع علامة استفهام حول هذه المسألة التي بقيت دون اجابة الى اليوم.
يورد التقرير ان ادارة الجامعة رفضت طلب فريق عمل هيئة التدريس مقابلة مدراء تدقيق تكنولوجيا المعلومات في مكتب التدقيق الداخلي على الرغم من مقابلة الفريق لمدقق حسابات الجامعة. وكذلك رُفض وصول فريق التحقيق الى معلومات اعتبرت ذات صلة كانت بحيازة مكتب التدقيق الداخلي ونائب رئيس الشؤون القانونية. الامر الذي يؤدي الى استنتاج مفاده ان مهمة فريق العمل لم تكن كاملة وان هناك «قطبة مخفية» تصر الادارة العليا للجامعة على ابقائها طي الكتمان الشديد حتى عند اهل الجامعة الموثوق بهم.
البحث عن علبة البريد محددة
يكشف التقرير ان مكتب التدقيق الداخلي كان يسعى منذ بداية عام ٢٠١٣ الى الوصول الى علبة بريد محددة ضمن قاعدة البيانات، من دون توضيح الاسباب التي دفعت هذا المكتب الى الوصول إلى بيانات هذه العلبة، سواء كانت تتعلق بخرق صاحب هذه العلبة لنظم التواصل والاتصالات او لاسباب امنية او جنائية، وما اذا كان هذا الاجراء يتعلق بتحقيق داخلي من قبل الجامعة، او بطلب من طرف خارجي سواء كان السلطات اللبنانية او جهاز امن أجنبي.
ويشير التقرير الى انه «في اطار التحقيق الشديد التأثر بالوقت، حيث يكون عامل السرية مهما جداً، كان مكتب التدقيق الداخلي بحاجة للوصول الى علبة بريد محددة في وقت معين، لكن الوصول الى علبة البريد هذه لم يكن متاحاً نظراً لكون بيانات هذه الاخيرة مخزّنة على شريط محفوظات مشفر.
وبناء عليه عُمد الى إعادة تخزين كامل قاعدة بيانات البريد الالكتروني على القرص الصلب. وبلغ الحجم الاجمالي لبيانات البريد الالكتروني المسترجعة أكثر من 3 تيرابايت. أما البيانات، فقد نسخت على نسختين، حفظت كل منهما على قرص صلب خارجي، وأعيد تشفيرها بكلمات مرور جديدة. وشُفرت البيانات على كل قرص بكلمة مرور مؤلفة من جزءين. كان الجزء الاول من كلمة المرور بحوزة عضو طاقم تكنولوجيا المعلومات، وعضوين من طاقم التدقيق الداخلي، فيما كان الجزء الآخر من كلمة المرور بحوزة عضو طاقم التدقيق الداخلي ونائب رئيس الشؤون القانونية. وبديهي الاستنتاج ان هذا الاجراء بقي شكلياً، اذ لا قيمة لكلمة المرور هذه ما دام احد اطراف النزاع وهو مكتب التدقيق الداخلي يتشارك في عضوية الفريقين اللذين تقاسما كلمة المرور!
قوبل هذا الاجراء باعتراض من قبل مكتب تكنولوجيا المعلومات، الذي طلب من مكتب التدقيق الداخلي إيجاد حل تقني لاستخراج علب البريد المحددة ضمن نطاق مركز البيانات، عوضاً عن نسخ كل العلب البريدية على أقراص صلبة، ونقلها الى مكتب التدقيق الداخلي خارج أماكن عمل مركز بيانات تكنولوجيا المعلومات، لكن الرئيس التنفيذي لأمن المعلومات أمر بالامتثال وتقديم القرصين الى مكتب التدقيق الداخلي، وقد جرى التسليم في 16 نيسان ٢٠١٣ مساءً. وبعدما بقي القرصان تحت وصاية فريق التدقيق الداخلي لمدة ثلاثة أيام، أُتلف القرصان، مساء 19 نيسان، بحضور طاقم التدقيق الداخلي فقط.
واللافت ان مكتب تكنولوجيا المعلومات لم يقم بتسجيل تسلسل العهدة الخاص بالقرصين، وهو اجراء بسيط جداً. وتذرع المكتب لاحقاً بأن حضوره عملية تلف القرصين لم يكن ضرورياً لانه لا يمكن اثبات ما اذا كان القرصان المتلفين هما الاصليين، أو أنهما نسخ فقط عن قاعدة البيانات. ويستدل من هذه الفقرة من التقرير ان مكتب تكنولوجيا المعلومات كان يصر على نزع مسؤوليته عن عملية نقل البيانات خارج نطاقه، وانه لا يريد ان يعطي اي شرعية لعملية الإتلاف التي حصلت في وقت لاحق.
تساؤلات وخبايا
خلص التقرير الى مجموعة من الاستنتاجات والتوصيات، ابرزها أنّ بيئة تكنولوجيا المعلومات في الجامعة الاميركية في بيروت غير محمية على نحو صحيح، اذ إنها تفتقر على نحو خطير الى المعرفة المتعلقة بالسرية والسياسات والاجراءات، فضلاً عن غياب آليات تسجيل دخول وتنبيه تحفظ تكامل البيانات.
كذلك اشار التقرير الى أنّ الاجراءات الامنية المتوافرة لإدارة سجل وأحداث نظم الاتصال والبريد الالكتروني غير كافية، وبحسب معلومات «الأخبار»، فان احد الطلاب في كلية الهندسة قد نجح العام الماضي في اختراق بيانات مكتب التدقيق المالي في الجامعة، وبقي هذا الحادث طي الكتمان.
وفي ما يتعلق بأمن وسرية البيانات، خلص التقرير، الى انه يفتقر إلى التواصل بين مكتبي التدقيق الداخلي وتكنولوجيا المعلومات والادارة العليا الى الوضوح، حسن التوقيت والتوثيق. وان كان من الممكن استرجاع بيانات علبة البريد، اللازمة في تحقيق التدقيق الداخلي من أقراص ضمن اماكن عمل مركز بيانات تكنولوجيا المعلومات، مع الحفاظ على السرية. وختم التقرير «على ما يبدو، لم يكن لدى التدقيق الداخلي سبباً وجيهاً لازالة الاقراص من مركز البيانات».
اسئلة كثيرة يطرحها هذا التقرير على ادارة الجامعة الاميركية في بيروت. ما هي الدوافع التي ادت الى نقل البيانات خارج مكتب تكنولوجيا المعلومات، ومن يضمن عدم تكرار هذه الحادثة؟ والسؤال الأهم من هو صاحب علبة البريد التي استدعت القيام بكل هذه الإجراءات؟ وماذا وجد في بريده من معلومات؟ ومن طلبها؟ ولمن سُلّمت؟ وكيف تمنع لجنة موثوق بها من الوصول الى جميع المعلومات التي تريدها لاتمام التحقيق؟ ولماذا لم يتدخل رئيس الجامعة لمصلحة اللجنة بعدما منعت من مقابلة موظفين محددين ومن تسجيل كامل المقابلات التي اجرتها؟
* للاطلاع على التقرير أنقر هنا
يمكنكم متابعة بسام القنطار عبر | http://about.me/bassam.kantar
علب البريد الإلكتروني ملك الجامعة
خلص تقرير فريق عمل هيئة التدريس حول تنظيم تكنولوجيا معلومات في الجامعة الاميركية الى مجموعة من الاستنتاجات ابرزها:
• تفتقر الجامعة الاميركية في بيروت الى سياسة معالجة صريحة لسرية البيانات.
• على الرغم من أن مدونة القواعد السلوكية لمستخدمي النظم الحاسوبية وخدمات الإنترنت الخاصة بالجامعة الاميركية في بيروت تنص على أن «الجامعة تحتفظ بالحق بإجراء تدقيق شامل قد يتضمن معاينة محتويات ملفات المستخدم، الا ان الجامعة تفتقر الى سياسة تتعاطى صراحة مع عملية الوصول/النفاذ الى علب البريد الالكتروني من قبل غير أصحابها.
• تعد سجلات البريد الإلكتروني ملكية الجامعة الأميركية في بيروت، يمكن الوصول اليها عند الضرورة من قبل التدقيق الداخلي بعد موافقة الرئيس.
• في سياق الترخيص والوصول إلى البيانات، اتخذت قرارات إدارية جدية على نحو شفهي من دون أي اتصالات رسمية مكتوبة.
• أدى نقص قنوات التواصل بين كل من مكتبي التدقيق الداخلي وتكنولوجيا المعلومات والادارة العليا (الرئيس، المدير، نواب الرؤساء) في بعض الحالات الحرجة الى انتشار غير دقيق للمعلومات، الأمر الذي أعاق عملية اتخاذ القرارات.
أعضاء فريق عمل هيئة التدريس
تألفت عضوية فريق عمل هيئة التدريس حول تنظيم تكنولوجيا المعلومات في الجامعة الاميركية في بيروت، من: مازن الغول (استاذ جامعي في كلية الفنون والعلوم)، زاهر ضاوي (استاذ جامعي مساعد، كلية الهندسة والعمارة)، عماد الحاج (استاذ جامعي مساعد، كلية الهندسة والعمارة)، ايمن قيسي (استاذ جامعي في كلية الهندسة والعمارة وهو رئيس فريق العمل) وآلان شحادة (استاذ جامعي في كلية الهندسة والعمارة).
قام فريق العمل بمراجعة المستندات التالية: مشروع سياسة حول سرية البيانات من مكتب المدير (بتاريخ 26 اذار 2013) الميثاق الحالي لمكتب التدقيق الداخلي (جرى آخر تحديث له في 13 أيار2013)، الميثاق السابق لمكتب التدقيق الداخلي (جرى آخر تحديث له في 12 اذار 2010)، سياسة حسابات البريد الإلكتروني الخاصة بالجامعة الأميركية في بيروت (4 آب 2003)، سياسة أمن بيانات الجامعة الأميركية في بيروت (000005- AUB-IT، تشرين الاول 2012)، سياسة الجامعة الأميركية في بيروت لضبط الوصول الى المعلومات (000035 -AUB-IT، كانون الاول 2012) ومشاريع سياسات اخرى قيد الاعداد، اضافة الى سياسات تكنولوجيا المعلومات السرية والمستندات الاجرائية المقدمة من قبل المدير التنفيذي لأمن المعلومات.
أما الافراد الذين جرت مقابلتهم، فهم: الرئيس بيتر دورمان، المدير أحمد الدلال، الرئيس التنفيذي للعمليات جورج دبين، المدير التنفيذي للمعلومات ريتا خياط، نائب رئيس الشؤون القانونية بيتر ماي، مدقق حسابات الجامعة أندرو كارترايت، المدير التنفيذي للمعلومات المساعد جو حاج، المدير التنفيذي لأمن المعلومات غسان حتي، المدير المؤقت لنظم تكنولوجيا المعلومات والتخزين سامي عجروش، ومدير اتصالات تكنولوجيا المعلومات ريما عاصي.
«الأخبار» تنشر مضمون تقرير داخلي في الجامعة الأميركية: من يطلع على «داتا» المعلومات الكاملة؟
من ملف :
ما نشرته «الأخبار» في وقت سابق
